Links
Comment on page

2.8.账户、时区、服务和安全

2.8.1.设置 root 密码

首先,必须设置 root 密码。在输入密码时,正在输入的字符并不会显示在屏幕上。密码必须输入两次,以防止输入错误。
图 34. 设置 root 密码

2.8.2.网络设置

接下来,会显示计算机上检测到的网卡列表。选择要配置的网卡。
图 35. 选择网卡
如果选择了以太网卡,安装程序将跳到选择 IPv4 网络中显示的菜单。如果选择了无线网络接口,系统将转而扫描无线接入点。
扫描无线接入点
图 36. 扫描无线接入点
无线网络是由服务集标识(SSID)来识别的;这是给予每个网络的简短、独特的名称。在扫描过程中发现的 SSID 会被列出,然后是对该网络可用的加密类型的描述。如果所需的 SSID 没有出现在列表中,选择 Rescan 以再次扫描。如果想要的网络仍然没有出现,请检查天线连接是否有问题,或者尝试将电脑移到离接入点更近的地方。每次改变后都要 Rescan。
选择无线网络
图 37. 选择无线网络
接下来,输入连接到所选无线网络的加密信息。强烈建议使用 WPA2 加密,而不是旧的加密类型(如 WEP),因为后者提供的安全性不高。如果网络使用 WPA2,请输入密码,也被称为预共享密钥(PSK)。出于安全考虑,输入框中的字符会显示为星号。
WPA2 设置
图 38. WPA2 设置
接下来,选择是否要在以太网卡或无线卡上配置 IPv4 地址:
选择 IPv4 网络
图 39. 选择 IPv4 网络
有两种方法可以配置 IPv4。DHCP 会自动正确配置网络,如果网络中提供了 DHCP 服务器,就应该使用这种方法。否则,需要以静态配置的方式手动输入寻址信息。
注意
不要随意输入网络信息,因为这没用。如果没有 DHCP 服务器,请从网络管理员或互联网服务提供商那里获得所需网络信息中列出的信息。
如果有 DHCP 服务器,在下一个菜单中选择 Yes 来自动配置网络。当安装程序找到 DHCP 服务器并获得系统的寻址信息时,会出现一分钟左右的停顿。
选择IPv4 DHCP配置
图 40. 选择 IPv4 DHCP 配置
如果没有 DHCP 服务器,请选择 No,并在此菜单中输入以下寻址信息:
静态 IPv4 配置
图 41. 静态 IPv4 配置
  • IP Address——分配给该计算机的 IPv4 地址。该地址必须是唯一的,并且没有被本地网络中的其他设备使用。
  • Subnet Mask——网络的子网掩码。
  • Default Router——网络的默认网关的 IP 地址。
下一屏将询问该接口是否应配置为 IPv6。如果 IPv6 可用并且需要,选择 Yes 来选择它。
选择 IPv6 网络
*图 42. 选择 IPv6 网络
IPv6 也有两种配置方法。无状态地址自动配置(SLAAC)将自动向本地路由器请求正确的配置信息。更多信息请参考 rfc4862。静态配置需要手动输入网络信息。
如果有 IPv6 路由器,请在下一个菜单中选择 Yes,以自动配置网络接口。安装程序在找到路由器并获得系统的寻址信息时,会出现一分钟左右的停顿。
选择 IPv6 SLAAC 配置
图 43. 选择 IPv6 SLAAC 配置
如果没有 IPv6 路由器,请选择 No 并在该菜单中输入以下寻址信息。
静态 IPv6 配置
图 44. 静态 IPv6 配置
  • IPv6 Address——分配给该计算机的 IPv6 地址。该地址必须是唯一的,并且没有被本地网络中的其他设备使用。
  • Default Router——网络的默认网关的 IPv6 地址。
最后一个网络配置菜单用于配置域名系统(DNS)解析器,它将主机名转换为网络地址。如果使用了 DHCP 或 SLAAC 来自动配置网络,那么 Resolver Configuration 的值可能已经被填入。若没有,在 Search 中输入本地网络的域名。DNS #1DNS #2 是 DNS 服务器的 IPv4 / IPv6 地址。至少需要一个 DNS 服务器。
DNS配置
图 45. DNS 配置
配置好界面后,选择一个与安装 FreeBSD 的计算机位于同一地区的镜像站点。当镜像站点靠近目标计算机时,可以更快地检索到文件,从而减少安装时间。
选择镜像站
图 46. 选择镜像站

2.8.3.设置时区

接下来的一系列菜单用于通过选择地理区域、国家和时区来确定正确的本地时间。设置时区可以使系统自动纠正地区时间变化,如夏令时,并正确执行其他与时区有关的功能。
这里显示的例子是针对位于欧洲西班牙大陆时区的机器。根据地理位置的不同,选择也会有所不同。
图 47. 选择区域
使用方向键选择适当的区域,然后按回车键
图 48. 选择国家
用方向键选择适当的国家,然后按回车键
图 49.设置时区
使用箭头键选择适当的时区并按下回车键
图 50. 确认时区
确认时区的缩写是正确的。
图 51. 选择日期
使用方向键选择适当的日期,然后按 Set Date。否则,可以通过按 Skip 来跳过日期的选择。
图 552. 选择时间
使用方向键选择适当的时间,然后按 Set Time。否则,可以通过按 Skip 来跳过时间的选择。

2.8.4.开启服务

接下来的菜单用于配置哪些服务会开机自启。所有这些服务都是可选的。只需启动系统运行所需的服务。
图 53. 选择要开启的其他服务
以下是在此菜单中可以启用的服务的摘要:
  • local_unbound——启用 DNS 本地 unbound。需要牢记这只是用作本地缓存转发解析器的配置。如果目标是为整个网络设置解析器,请安装dns/unbound
  • sshd——安全外壳(SSH)守护程序用于通过加密连接远程访问系统。仅在系统应该可用于远程登录时启用此服务。
  • moused——如果将从命令行系统控制台使用鼠标,则启用此服务。
  • ntpdate——在启动时启用自动时钟同步。请注意,此程序的功能现在已经在ntpd(8)守护程序中实现,并且ntpdate(8)软件将很快被淘汰。
  • ntpd——用于自动时钟同步的网络时间协议(NTP)守护程序。如果希望将系统时钟与远程时间服务器或时间池同步,启用此服务。
  • powerd——用于电源控制和节能的系统电源控制实用程序。
  • dumpdev——崩溃转储在调试系统问题时非常有用,因此建议用户启用它们。

2.8.4.启用安全加固选项

接下来的菜单是用来配置启用安全选项。所有这些选项都是可选的。但我们推荐开启它们。
图 54. 启用安全加固选项
以下是可以在此菜单中启用的选项摘要:
  • hide_uids——隐藏以其他用户(UID)身份运行的进程。这可以防止非特权用户查看其他用户运行的进程。
  • hide_gids——隐藏以其他组(GID)身份运行的进程。这可以防止非特权用户查看其他组运行的进程。
  • hide_jail——隐藏在 jail 中运行的进程。这可以防止非特权用户查看在 jail 中运行的进程。
  • read_msgbuf——禁用非特权用户读取内核消息缓冲区。防止非特权用户使用dmesg(8)查看内核日志缓冲区的消息。
  • proc_debug——禁用非特权用户的进程调试工具。禁用各种非特权进程调试服务,包括一些 procfs 功能,ptrace()ktrace()。请注意,这也将阻止调试工具,如lldb(1)truss(1)procstat(1),以及某些脚本语言中的一些内置调试工具,如 PHP。
  • random_pid——随机化进程的 PID。
  • clear_tmp——在系统启动时清理/tmp
  • disable_syslogd——禁用 syslogd 网络套接字的打开。默认情况下,FreeBSD 使用-s以安全方式运行 syslogd。这会阻止守护程序在端口 514 上监听传入的 UDP 请求。启用此选项后,syslogd 将以-ss运行,这会阻止 syslogd 打开任何端口。有关更多信息,请参阅syslogd(8)
  • disable_sendmail——禁用 sendmail 邮件传输代理。
  • secure_console——在进入单用户模式时,使命令提示请求root密码。
  • disable_ddtrace——DTrace 可以以影响正在运行的内核的方式运行。除非明确启用,否则不得使用破坏性的操作。在使用 DTrace 时,使用-w启用此选项。有关更多信息,请参阅dtrace(1)
  • enable_aslr——启用地址布局随机化。有关地址布局随机化的更多信息,可以查阅Wikipedia 文章

2.8.5.添加用户

接下来的菜单提示至少要创建一个用户账户。建议使用非 root 的用户账户身份登录系统。当以 root 身份登录时,基本上任何事都没有限制或保护。以普通用户身份登录更安全、更有保障。
选择 Yes 来添加新用户。
图 55. 添加用户
按照提示,输入所要求的用户账户信息。输入用户信息中显示的例子创建了一个名为 asample 的账户。
图 56. 输入用户信息
以下是要输入的信息概述:
  • Username——用户登录时输入的用户名。通常的约定是使用名字的第一个字母与姓氏结合,只要每个用户名对于系统是唯一的。用户名区分大小写,不应包含任何空格。
  • Full name——用户的全名。可以包含空格,用作用户账户的描述。
  • Uid——用户 ID。通常留空,以便系统自动分配一个值。
  • Login group——用户的组。通常留空以接受默认值。
  • Invite user into other groups?——将用户添加为成员的其他组。如果用户需要管理员访问权限,在此处键入wheel
  • Login class——通常留空以使用默认值。
  • Shell——输入列出的值之一,以设置用户的交互式 shell。有关 shell 的更多信息,请参阅Shells
  • Home directory——用户的主目录。通常情况下,默认值是正确的。
  • Home directory permissions——用户主目录的权限。通常情况下,默认值是正确的。
  • Use password-based authentication?——通常是 yes,以便在登录时提示用户输入密码。
  • Use an empty password?——通常是 no,因为空或空白密码是不安全的。
  • Use a random password?——通常是 no,以便用户可以在下一个提示中设置自己的密码。
  • Enter password——此用户的密码。在屏幕上不会显示输入的字符。
  • Enter password again——必须再次键入密码以进行验证。
  • Lock out the account after creation?——通常是 no,以便用户可以登录。
输入所有详细信息后,将显示一个摘要供审核。如果出现错误,请输入 no 进行更正。一切都正确后,输入 yes 创建新用户。
图 57. 退出用户与用户管理
如果需要添加更多的用户,请在 Add another user? 这个问题上回答 yes。输入 no 可完成添加用户步骤并继续安装。
关于添加用户和用户管理的更多信息,请参阅用户和基本账户管理

2.8.7.最终配置

在所有东西都被安装和配置好之后,会提供最后一次修改设置的机会。
图 58. 最终配置
完成配置后,选择 Exit
图 59. 手动配置
bsdinstall 会提示是否有任何额外的配置需要在重启到新系统之前完成。选择 Yes 会进入到新系统的 shell,或者选择 No 进入安装的最后步骤。
图 60. 安装完成
如果安装完成,请选择 Reboot 重新启动计算机以启动新的 FreeBSD 系统。不要忘记移除 FreeBSD 安装介质,否则计算机可能会再次从中启动。
当 FreeBSD 启动时,会显示信息性消息。系统完成启动后,将显示登录提示符。在login:提示符处,输入安装过程中添加的用户名。避免使用root登录。有关在需要进行管理访问时如何成为超级用户的说明,请参阅超级用户账户
按下 Scroll-Lock 键以打开滚动缓冲区,可以查看引导期间出现的消息。可以使用 PgUp、PgDn 和箭头键来回滚消息。完成后,再次按下 Scroll-Lock 以解锁显示并返回到控制台。要在系统运行一段时间后查看这些消息,请从命令提示符处键入less /var/run/dmesg.boot。在查看后按 q 返回到命令行。
如果在选择要启用的其他服务中启用了 sshd,则第一次启动可能会比较慢,因为系统正在生成 SSH 主机密钥。后续的启动将更快。然后,密钥的指纹将显示如下:
Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 [email protected]
The key's randomart image is:
+--[RSA1 1024]----+
| o.. |
| o . . |
| . o |
| o |
| o S |
| + + o |
|o . + * |
|o+ ..+ . |
|==o..o+E |
+-----------------+
Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 [email protected]
The key's randomart image is:
+--[ DSA 1024]----+
| .. . .|
| o . . + |
| . .. . E .|
| . . o o . . |
| + S = . |
| + . = o |
| + . * . |
| . . o . |
| .o. . |
+-----------------+
Starting sshd.
有关指纹和 SSH 的更多信息,请参阅OpenSSH
FreeBSD 默认不安装图形环境。有关安装和配置图形窗口管理器的更多信息,请参阅X Window System
正确关闭 FreeBSD 计算机有助于保护数据和硬件免受损害。*在系统被正确关闭之前,请勿关闭电源!*如果用户是wheel组的成员,请通过在命令行输入su并输入root密码来成为超级用户。然后,键入shutdown -p now,系统将干净地关闭,并且如果硬件支持的话,会自动关闭。
FreeBSD 中文社区