2.8.账户、时区、服务和安全

2.8.1.设置 root 密码

首先,必须设置 root 密码。在输入密码时,正在输入的字符并不会显示在屏幕上。在输入密码后,必须再输入一次以防止输入错误。

图 34. 设置 root 密码

2.8.2.设置时区

接下来的一系列菜单用于通过选择地理区域、国家和时区来确定正确的本地时间。设置时区可以使系统自动纠正地区时间变化,如夏令时,并正确执行其他与时区有关的功能。

这里显示的例子是针对位于欧洲西班牙大陆时区的机器。根据地理位置的不同,选择也会有所不同。

图 35. 选择区域

使用方向键选择适当的区域,然后按回车键

图 36. 选择国家

用方向键选择适当的国家,然后按回车键

图 37.设置时区

使用箭头键选择适当的时区并按下回车键

图 38. 确认时区

确认时区的缩写是正确的。

图 39. 选择日期

使用方向键选择适当的日期,然后按 Set Date。否则,可以通过按 Skip 来跳过日期的选择。

图 40. 选择时间

使用方向键选择适当的时间,然后按 Set Time。否则,可以通过按 Skip 来跳过时间的选择。

2.8.3.开启服务

接下来的菜单用于配置哪些服务会开机自启。所有这些服务都是可选的。只需启动系统运行所需的服务。

图 41. 选择要开启的其他服务

这里是在这个菜单中可以启用的服务摘要:

  • local_unbound——启用本地 DNS 的 unbound。请注意,这是基本系统预置的 unbound,只作为本地缓存转发解析器使用。如果目标是为整个网络建立一个解析器,请安装 dns/unboundopen in new window
  • sshd——Secure Shell(SSH)守护程序用于经过加密的连接远程访问系统。只有在系统允许远程登录时才启用这个服务。
  • moused——如果要在命令行系统控制台使用鼠标,则启用该服务。
  • ntpdate——启用开机时的自动时钟同步功能。这个程序的功能现在在 ntpd(8)open in new window 守护进程中可用。经过一段时间的哀悼以后,ntpdate(8)open in new window 工具将消失。
  • ntpd——用于自动时钟同步的网络时间协议(NTP)的守护进程。如果网络上有 Windows®、Kerberos 或 LDAP 服务器,请启用该服务。
  • powerd——系统的电源控制工具,用于电源控制和节能。
  • dumpdev——启用崩溃转储在调试系统故障时很有用,所以推荐用户启用崩溃转储。

2.8.4.启用强化安全选项

接下来的菜单是用来配置启用安全选项。所有这些选项都是可选的。但我们鼓励开启它们。

图 42. 启用强化安全选项

下面是这个菜单中可以启用的选项的摘要:

  • hide_uids——隐藏以其他用户身份运行的进程,防止非特权用户看到其他用户正在执行的进程(UID),防止信息泄露。
  • hide_gids——隐藏以其他组的名义运行的进程,以防止非特权用户看到其他组正在执行的进程(GID),防止信息泄露。
  • hide_jail——隐藏在 jail 中运行的进程,防止非特权用户看到 jail 中运行的进程。
  • read_msgbuf——禁止非特权用户使用 dmesg(8)open in new window 查看内核日志缓冲区的信息,以防止读取内核缓冲区中的信息。
  • proc_debug——禁用非特权用户的进程调试设施,禁用各种非特权的进程间调试服务,包括一些 procfs 功能、trace() 和 ktrace()。请注意,这也会妨碍调试工具,例如 lldb(1)open in new windowtruss(1)open in new windowprocstat(1)open in new window,以及某些脚本语言(如 PHP)中的内置调试工具,对非特权用户起作用。
  • random_pid——随机创建新进程的 PID。
  • clear_tmp——在系统启动时清理 /tmp
  • disable_syslogd——禁止打开 syslogd 网络套接字。在默认情况下,FreeBSD 以安全的方式使用 -s 参数运行 syslogd。这可以防止守护进程在 514 端口监听传入的 UDP 请求。启用该选项后,syslogd 将以标志 -ss 运行,它可以阻止 syslogd 打开任何端口。要获得更多信息,请参考 syslogd(8)open in new window
  • disable_sendmail——禁用 sendmail 邮件传输代理。
  • secure_console——当启用这个选项时,在进入单用户模式时,会要求输入 root 密码。
  • disable_ddtrace——DTrace 可以在实际影响运行中的内核的模式下运行。除非明确启用,否则不得使用破坏性的操作。要在使用 DTrace 时启用该选项,请使用 -w 参数 。要获得更多信息,请查阅 dtrace(1)open in new window

2.8.5.添加用户

接下来的菜单提示要创建至少一个用户账户。建议使用非 root 的用户账户身份登录系统。当以 root 身份登录时,基本上任何事都没有限制或保护。以普通用户身份登录更安全、更有保障。

选择 Yes 来添加新用户。

图 43. 添加用户

按照提示,输入所要求的用户账户信息。输入用户信息open in new window中显示的例子创建了一个名为 asample 的账户。

图 44. 输入用户信息

此处是需要输入的信息的摘要:

  • Username——用户登录时要输入的名字。常见的惯例是使用名字的第一个字母与姓氏相结合,只要每个用户名对系统来说是唯一的即可。用户名是区分大小写的且不应包含任何空格。
  • Full name——用户的全名。作为用户账户的描述,可以包含空格,。
  • Uid——用户 ID。通常情况下,这部分留空,系统会自动分配一个值。
  • Login group——用户的组。通常的情况是留空,使用默认值。
  • Invite user into other groups?——额外的用户组,用户将被添加为成员。如果用户需要管理权限,在这里输入 wheel
  • Login class——通常留空使用默认值。
  • Shell——键入列表中的一项来设置用户的交互式 shell。关于 shell 的更多信息,请参考 shellopen in new window
  • Home directory——用户主目录。通常使用默认值。
  • Home directory permissions——用户主目录的权限。通常使用默认值。
  • Use password-based authentication?——通常回答 yes ,这样用户在登录时就会被提示输入他们的密码。
  • Use an empty password?——通常是 no ,因为空白的密码是不安全的。
  • Use a random password?——通常是 no ,这样用户可以在下一个提示中设置自己的密码。
  • Enter password——输入用户的密码。输入的字符不会显示在屏幕上。
  • Enter password again——必须再次输入密码进行验证。
  • Lock out the account after creation?——通常是 no ,这样用户就可以登录。

在输入所有内容后,会显示一个摘要供审阅。如果输错了什么,输入 no,然后再试一次。如果一切正确,输入 yes 来完成新用户的创建。

图 45. 退出用户与用户管理

如果需要添加更多的用户,请在 Add another user? 这个问题上回答 yes。输入 no 可完成添加用户步骤并继续安装。

关于添加用户和用户管理的更多信息,请参阅用户和基本账户管理open in new window

2.8.6.最终配置

在所有东西都被安装和配置好之后,会提供最后一次修改设置的机会。

图 46. 最终配置

在完成安装之前,使用此菜单进行任何修改或做任何额外的配置。

在完成最终配置后,选择 Exit

图 47. 手动配置

bsdinstall 会提示是否有任何额外的配置需要在重启到新系统之前完成。选择 Yes 会进入到新系统的 shell,或者选择 No 进入安装的最后步骤。

图 48. 安装完成

如果需要做进一步的配置或特殊的设置,选择 Live CD 来启动安装介质进入 Live CD 模式。

如果安装完成,选择 Reboot 来重新启动计算机并开始使用新的 FreeBSD 系统。不要忘记移除 FreeBSD 的安装介质,否则计算机可能会再次进入安装程序。

当 FreeBSD 启动时,会显示许多可供参考的信息。在系统完成启动后,会显示登录提示:在 login: 的提示下,输入安装时添加的用户名。避免以 root 身份登录。了关于在需要管理权限时如何成为超级用户的说明,请参考超级用户open in new window

Scroll-Lock 键打开缓冲区,就可以查看启动时出现的信息。可以用 PgUpPgDn 和方向键来回滚信息。完成后,再按一次 Scroll-Lock 键,解除画面锁定并返回到控制台。要在系统开机一段时间后查看这些信息,可以在命令提示符下输入 less /var/run/dmesg.boot。查看后按 q 键返回到命令行。

如果在选择要开启的其他服务open in new window中启用了 sshd,第一次启动时可能会慢一些,因为系统会生成 RSA 和 DSA 密钥。后续的启动会恢复正常速度。接下来将显示密钥的指纹,如本例所示:

Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 [email protected]
The key's randomart image is:
+--[RSA1 1024]----+
|    o..          |
|   o . .         |
|  .   o          |
|       o         |
|    o   S        |
|   + + o         |
|o . + *          |
|o+ ..+ .         |
|==o..o+E         |
+-----------------+
Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 [email protected]
The key's randomart image is:
+--[ DSA 1024]----+
|       ..     . .|
|      o  .   . + |
|     . ..   . E .|
|    . .  o o . . |
|     +  S = .    |
|    +  . = o     |
|     +  . * .    |
|    . .  o .     |
|      .o. .      |
+-----------------+
Starting sshd.

关于密钥指纹和 SSH 的更多信息请参考 OpenSSHopen in new window

FreeBSD 不会预装图形环境。请参考 X Window 系统open in new window以了解更多关于安装和配置图形化窗口管理器的信息。

正确地关闭 FreeBSD 计算机有助于保护数据和硬件免受损害。在系统尚未正常关机之前,请不要切断电源! 若用户是 wheel 的成员,可在命令行输入 su 并输入 root 密码,成为超级用户。然后输入 shutdown -p now,系统就会干净利落地关机,如果硬件支持,就会自动切断电源。