一、Managing Services in FreeBSD
- Service restart will only work if it is set to YES in /etc/rc.conf. To start, stop or restart a service regardless of the settings in /etc/rc.conf, these commands should be prefixed with “one”
-
service sshd onerestart - 配置文件优先級:/etc/rc.conf.local > /etc/rc.conf > /etc/default/rc.conf
- 通用脚本(sh)函数定义文件:/etc/rc.subr、/etc/networksubr
- 系统脚本目录:/etc/rc.d/;用户脚本目录:/usr/local/etc/rc.d/
-
/* 如下为启动脚本的基本格式 */
#!/bin/sh # PROVIDE: xxx #将要启动的程序名称 # REQUIRE: xxx #在指定进程之后启动——依賴 # BEFORE: xxx #在指定进程之前启动——被依賴 # KEYWORD: shutdown #固定格式,表示在关机之前执行正常程序终止流程 . /etc/rc.subr #固定格式,载入系统預定义的规则(函数等) name=xxx #指定該脚本的名称 rcvar=${name}_enable #指定用于 /etc 下 rc.conf 或 rc.conf.local 的开机启动标志(語法) command="/usr/sbin/xxxx" #指定可执行文件的路径,xxxx 的名称与 PROVIDE 保持一致 pidfile="/var/run/xxxx.pid" #指定 pid 文件,提高操作效率 # 以下两行为固定格式 load_rc_config $name #使 rc.subr 载入 rc.conf 中的参数 run_rc_command "$1" #使 rc.subr 载入当前脚本中定义的参数 - (/etc/rc.conf)ifconfig_fxp0_alias0="inet xxx.xxx.xxx.xxx/xx":alias# 的編号必須从 0 开始,且必須连续;针对每个不同的网络(段),只能将首个 IP 的 netmask 配置成真实的掩码,其余均須设置为 0xffffffff(255.255.255.255 或 .../32)
-
ifconfig_fxp0="inet 10.1.1.1/24" #物理 NIC ,首 IP ifconfig_fxp0_alias0="inet 10.1.1.2 netmask 0xffffffff" ifconfig_fxp0_alias1="inet 10.1.1.3 netmask 255.255.255.255" ifconfig_fxp0_alias2="inet 10.1.1.4/32" ifconfig_fxp0_alias3="inet 10.1.1.5/32" ifconfig_fxp0_alias4="inet 202.0.75.17 netmask 255.255.255.240" #新网段,首 IP ifconfig_fxp0_alias5="inet 202.0.75.18/32" ifconfig_fxp0_alias6="inet 202.0.75.19 netmask 0xffffffff" ifconfig_fxp0_alias7="inet 202.0.75.20/32" -
简写模式: ifconfig_alc0_aliases="inet 10.1.1.1-5/24 inet 202.0.75.17-20/28" - syslog.conf 語法
- facility:auth, authpriv, console, cron, daemon,ftp, kern, lpr, mail, mark, news, ntp, security, syslog, user, uucp, and local(0,1,..7)
- level:emerg, crit, alert, err,warning, notice, info and debug
-
*.err;kern.*;auth.notice;authpriv.none;mail.crit /dev/console 注:all facility 的大于或等于(=>) err 級别(level)的日志,kern facility 的所有 level 日志,及 mail facility 的 =>crit level 的日志,显示到控制台;authpriv facility 的所有 level 日志均不显示在控制台 *.info;mail.none;authpriv.none /var/log/messages 注:除了 mail 与 authpriv 之外的所有 facility 的 info level 以上的日志,记录到 messages 文件 daemon.=debug /var/log/daemon.debug 注:记录 daemon facility 的 debug level 日志(“=” 指仅记录此一个級别) authpriv.* /var/log/secure 注:authpriv facility 的所有 level 日志记录到单独的文件以确保安全 mail.* -/var/log/maillog 注:记录 mail facility 的所有 level 日志,但 I/O 不以 fsync 方式同步(“-” 指以普通緩存形式执行非同步写入,以减少到系统性能的影响) *.emerg * *.emerg @arpa.berkeley.edu 注:以上两行,将所有 facility 的 emerg level 日志记录到远程主机,即使已记录到其它位置(“*” 指重置,对应的日志可重复记录) *.alert root,eric 注:仅 root 及 eric 两个用户可以收到 alert 信息 auth.* |exec /usr/local/sbin/authfilter 注:将 auth facility 的所有 level 日志首先通过管道传递給 authfilter 处理 console.* /var/log/console.log 注:将所有原先写往控制台的信息,记录到文件 !ipfw *.* -/var/log/ipfw !* 注:以上三行,仅记录 ipfw 程序产生的日志,且非同步写入(使用緩存),“!” 指明接下来的内容仅对 ipfw 有效,最后的 "!*" 将重置记录对象 - Log Management and Rotation:newsyslog.conf(cron 定时执行)
-
# logfilename [owner:group] mode count size when flags [/pid_file] [sig_num]
1 logfilename:生成的分段日志文件存放路径,如:/root/logdir 2 [owner:group]:可选项,指定生成的文件的属主属組,如:root:wheel 3 mode:指定生成的文件的訪问权限,如:0600 4 count:指定能生成的最大文件数量 5 size:数字,以 KB 为单位,指定日志大小維度的触发条件 6 when:指定时间維度的触发条件,如:$D23(每天 23:00)、$W5D20(每周五 20:00 ,W0 指星期日)、$M10D0(每月的第 10 天 00:00) 7 flags:指定压缩格式等,如:X 指用 xz 压缩以节約空间;B 指源文件为二进制格式,直接压縮不添加备注信息 - Configuring Remote Logging
- 服务器端
-
/etc/syslog.conf +logclient.example.org # “+” 指接受远程主机存储日志 *.* /var/log/logclient.log #指定远程客户端的日志存储位置
/etc/rc.conf syslogd_enable="YES" syslogd_flags="-d -a logclient.example.org -v -v"
# -d ,Put syslogd into debugging mode(仅用于故障調试)
# -a 指添加,多个客户端須用多个 -a 选项,格式可以为:IP/masklen:port 或 IP/masklen:syslogd 或 hostname:syslogd 等,syslogd可以替换为其它可用的日志服务器名称
# -v -v 指存储详细信息,日志按 facility 分类显示 - 客户端
-
/etc/syslog.conf *.* @logserv.example.org # “@” 指将日志存储到其后的 hostname 主机之上
/etc/rc.conf syslogd_enable="YES" syslogd_flags="-s -v -v" # -s 不为其它主机存储日志,若 -s -s (两个 -s),则同时不能将日志存储到其它主机
- 远程日志存储是以明文形式传輸,可以考虑应用 ssh 遂道
- 系统配置文件位置
-
1 /etc Generic system-specific configuration information 2 /etc/defaults Default versions of system configuration files 3 /etc/mail Extra sendmail configuration and other MTA configuration files 4 /etc/ppp Configuration for both user- and kernel-ppp programs 5 /etc/namedb Default location for named data. Normally named.conf and zone files are stored here 6 /usr/local/etc Configuration files for installed applications. May contain per-application subdirectories 7 /usr/local/etc/rc.d rc scripts for installed applications. 8 /var/db Automatically generated system-specific database files, such as the package database and the locate database - /etc/hosts 文件格式
-
[Internet address] [official hostname] [alias1] [alias2] ... 如: 10.0.0.4 myname.xxx.org myname cat monkey - Tuning with sysctl :readonly 项只能在 /boot/loader.conf 中设置,其它可在 /etc/sysctl.conf 中或使用 sysctl 命令设置
- sysctl -a #显示所有可用项目
- sysctl kern.maxproc #显示指定项目的值
- sysctl -d kern.maxvnodes #显示指定项目的简介
- sysctl kern.maxfiles=10000 #临时设置指定项目的值
- /etc/sysctl.conf #配置文件
-
kern.ipc.soacceptqueue #默认值是 128,limits the size of the listen queue for accepting new TCP connections.For Web Server,increase this value to 1024 or higher net.inet.ip.portrange.first/net.inet.ip.portrange.last #服务器主动对外连接可用的端口范围:last - first sysctl kern.maxvnodes/sysctl vfs.numvnodes #maxvnodes 指系统最大可用 vnodes 数量,numvnodes 指当前已用数量;当后者的数量与前者接近时,有必要提升前者的值,以避免 I/O 瓶颈
kern.ipc.somaxconn=32768 #并发连接数,默认 128
security.bsd.see_other_uids=0 #禁止用户查看其他用户的进程
kern.ipc.shm_use_phys=1 #共享内存只使用物理内存,不使用 swap
kern.ipc.shmmax=67108864 #单一 shm segment 可占用的最大内存量(单位:bytes/B)
kern.ipc.shmall=32768 #系统共享内存可分配的总頁数,頁大小可用 getconf PAGESIZE 命令获得,通常为 4096
- Disk Soft Updates
- 磁盘的元数据是否异步写入,可极大提升机械式硬盘的元数据操作效率,但在系统异常中止的情况下,会造成数据不一致
- 提供 UFS 文件系统的 snapshot 功能,可对单个目录做快照
- 操作方式:tunefs -n enable/disable /FILESYSTEM
- Linux 下的 ext 系列文件系统默认即是异步写入
- Swap
- Adding a new hard drive for swap gives better performance than using a partition on an existing drive.
- RAW disk ,即没有创建文件系统的裸盘,用作 swap 可提升性能
二、The FreeBSD Booting Process
- shutdown -p/-r now :关机/重启
- 如下所示,修改 /etc/ttys ,使单用户模式下登陆系统需要 root 密码
-
# If console is marked "insecure", then init will ask for the root password when going to single-user mode console none unknown off insecure
三、Security
- 系统資源限制
- 传统方式:/etc/login.conf(cap_mkdb /etc/login.conf :Whenever /etc/login.conf is edited, the /etc/login.conf.db must be updated by executing the command)
- rctl(>= FreeBSD 9.0):supports user limits, and set resource constraints on processes and jails
-
rctl requires the kernel to be compiled with: options RACCT options RCTL 启用 rctl 支持: 在 /boot/loader.conf 中 添加 kern.racct.enable=1 #只读项,无法通过 sysctl 直接设置 /etc/rctl.conf 格式: subject:subject-id:resource:action=amount/per(user/process...) 示例:jail:httpd:memoryuse:deny=2G/jail #Block jail from using more than 2G memory subject:process, user, loginclass, or jail subject-id:process ID, user name, numerical user ID, login class name, or jail name resouce:memoryuse, maxproc, datasize(单文件大小), pcpu(single CPU 占用率), readbps(bytes/sec), writebps(B/sec), readiops(operations/sec), writeiops(每秒钟的 I/O 写数量) action:
<1> deny(deny the allocation,not supported for cputime, wallclock, readbps, writebps, readiops, and writeiops)
<2> log(log a warning to the console)
<3> throttle(slow down process execution; only supported for readbps, writebps, readiops, and writeiops)
- 阻止用户登陆
-
pw lock USERNAME 或 chsh -s /usr/sbin/nologin USERNAME - Permitted Account Escalation:sudo
-
# visudo
#賦予 webadmin 組的成员操作 apache24 的权限 %webadmin ALL=(ALL) /usr/sbin/service apache24 *
#启用日志功能,使用 sudoreplay 工具进行管理
Defaults iolog_dir=/var/log/sudo-io/%{user} - /etc/master.passwd:类似于 Linux 下的 shadow 文件
- HASH 算法标志:Blowfish(2a)、sha512(6)等
- Password Policy Enforcement:Pluggable Authentication Modules (PAM)——密码复杂度控制
-
# /etc/pam.d/passwd # 格式如下: # module-type control-flag pam_passwdqc [options] password requisite pam_passwdqc.so min(密码最小长度:N0...N5,分别指明不同复杂度性况下的长度要求)=disabled,18,14,12,10 max(密码最大长度)=40 similar(是否允许与以前设置过的密码类似)=permit|deny enforce(策略类型:仅警告|普通用户|包括 root )=none|users|everyone
- /etc/login.conf 中的安全相关
-
:passwd_format=blf: #设置密码加密算法为 Blowfish :passwordtime=90d: #设置所有普通账户的密码有效期为 90 天 #配置完成后,执行 cap_mkdb /etc/login.conf 使之生效
- rkhunter :排查系统安全漏洞的工具
-
rkhunter -c
-
# /var/lib/rkhunter.log ... [09:20:01] Checking if SSH root access is allowed [ Warning ] [09:20:01] Warning: The SSH configuration option 'PermitRootLogin' has not been set. The default value may be 'yes', to allow root access. [09:20:01] Checking if SSH protocol v1 is allowed [ Warning ] [09:20:01] Warning: The SSH configuration option 'Protocol' has not been set. The default value may be '2,1', to allow the use of protocol version 1. ...
- Binary Verification:mtree/map a directory hierarchy
-
mtree -p /sbin -s 31982734 -c -K cksum,sha256 > ~/.sbin_mtree #映射目录层次結构 #-c 创建;-p 指定目标目录;-s 加盐 salt;-K 指定校验算法
#可与 freebsd-update IDS 結合使用进行輔助性入侵检测 mtree -p /sbin -s 31982734 < ~/.sbin_mtree >> ~/.sbin_chk_result #检测内容被修改的文件 - 更改内核安全等級:-1/0/1/2/3
-
# /etc/rc.conf kern_securelevel_enable=“YES” # /etc/sysctl.conf kern.securelevel=N # -1/0/1/2/3 # 級别 -1 与 0 :Insecure Mode,适用于桌面环境,更高安全級将会給 Xorg 带来问题 # 級别 1 :Secure Mode ,不能修改文件的 immutable 和 append-only 标志、不能 load 或 unload 内核模块、不能对 /dev/mem 及 /dev/kmem 执行写操作 # 級别 2 :Highly Secure Mode ,在級别 1 之上,額外限制不能将磁盘持载或重新挂载成可写模式、多用户环境下不能使用 newfs 格式化磁盘 # 級别 3 :Network Secure Mode ,在級别 2 之上,額外限制不能修改网络防火墙(ipfw)规则、不能修改 dummynet 与 pf 的配置文件
- blackhole :防止端口扫描,设置 net.inet.tcp.blackhole=2 及 net.inet.udp.blackhole=1
-
# Control system behaviour when connection requests are received on SCTP, TCP, or UDP ports where there is no socket listening # /etc/sysctl.conf net.inet.tcp.blackhole[={0 | 1 | 2}] # 1 : the incoming SYN segment is merely dropped # 2 : any segment arriving on a closed port is dropped without returning a RST net.inet.udp.blackhole[={0 | 1}] # 1 : turns off the sending of an ICMP port unreachable message in response to a UDP datagram
# 注:Any remote host‘s "traceroute" via this node will failed - 防止 ip redirect (icmp type 5)攻击:net.inet.icmp.drop_redirect=1 及 net.inet.ip.redirect=0,与 ping(icmp type 0) 无关
- 禁用源路由(用于防问不可路由地址,如:10.*.*.* 等内网网段的技术)功能,保护私网安全:net.inet.ip.sourceroute=0 / net.inet.ip.accept_sourceroute=0
- 拒绝外部主机的广播报文:net.inet.icmp.bmcastecho=0
- ssh 安全相关
-
# /etc/ssh/sshd_config AllowUsers Ani@11.11.11.11 John #限制可以登陆 ssh 服务器用户列表,仅允许 Ani 与 John 两个用户登陆,且 Ani 只能从 11.11.11.11 登陆 Protocol 2#仅启用 ssh 协议版本 2 PasswordAuthentication no #禁用密码方式,仅允许密鈅对登陆 PermitRootLogin no #禁止直接使用 root 登陆
- Third Party Software Auditing(Monitoring Third Party Security Issues)
-
pkg audit -F #/etc/defaults/periodic.conf daily_status_security_enable="YES" #设置此项确保每天执行,审记結果将发至 root 的邮箱 - Process Accounting:参见手册頁 lastcomm(1)、 acct(5) 和 sa(8)
- /usr/bin/finger:将此程序的权限设定为 0500 ,不允许普通用户查看它人登陆信息
四、Storage——UFS 文件系统
- 添加硬盘
- gpart delete -i N ada1 #删除原有的分区,N 指分区編号,如 ada1p3 中 N=3
- gpart create -s GPT ada1 #创建 GPT 类型的 scheme
- gpart add -t freebsd-ufs -a 1M -s 100G ada1 #创建一个大小为 100GB 的 freebsd-ufs 类型的分区,因为是首个分区所以按 1M 对齐,若不指定 -s 选项,则使用全部可用空间
- gpart add -t freebsd-swap -a 4k -s 2G -i 8 ada1 #创建 swap 分区,以 4k 对齐,指定分区編号为 8 ,因此分区名称为 ada1p8
- gpart show ada1 #显示磁盘信息
- newfs -U ada1p1 #创建 UFS2 文件系统
- gpart recover ada1 #If the disk was formatted with the GPT partitioning scheme, it may show as “corrupted” , fix with gpart
- 調整容量
- gpart resize -i 2 -a 4k -s 20G ada0 #将 ada0 的每 2 个分区总容量扩展至 20G ,保証 4k 对齐;不能縮小分区
- growfs ada0p2 #使新扩展的容量生效
- 外部设备
- camcontrol devlist :查看 CDROM 或 USB 等设备信息
- usbconfig :查看详细 USB 设备信息
- 授权非 root 用户操作磁盘
- /etc/devfs.rules
-
[localrules=5] #給规则取一个唯一的数字編号,此处为 5 add path 'da[3-6]*' mode 0660 group usb #名称符合 da[3-6]* 表达式的设备可以被 usb 組的成员操作 add path 'usb/*' mode 0660 group usb #授权 usb 組成员可以使用 usbconfig 工具查看设备信息
- /etc/rc.conf
-
devfs_system_ruleset="localrules" #声明规则的标识
- /etc/sysctl.conf
-
vfs.usermount=1 #允许普通用户挂载设备
- 文件备份
- tar -zcvf /tmp/mybackup.tgz . #将当前目录打包压缩备份
- ls -R | cpio -ovF /tmp/mybackup.cpio # cpio 可以同时打包多个文件和目录
- 挂载 ISO 文件
-
mdconfig -f diskimage.iso -u N #将 iso 文件映射到 /dev/mdN 设备,若不指定 -u N ,则自动分配編号并返回結果 mount /dev/`mdconfig -f diskimage.iso` /mnt #仅用一条命令,将 iso 文件挂域到 /mnt 下 umount /mnt #首先取消挂载 mdconfig -d -u N #然后断开与 /dev/mdN 的 映射
-
-
磁盘配額
-
- 内核支持:options QUOTA 及 sysctl kern.features.ufs_quota=1
- /etc/rc.conf:quota_enable="YES" 及 check_quotas="NO",后者用于縮断开机时间
- /etc/fstab:/dev/ada0p1 /home ufs rw,userquota,groupquota 1 2 #按需启用 userquota 及 groupquota 特性
- quota -v:查詢自己的配額使用信息
- edquota -u John:編辑用户 John 的磁盘配額
- edquota -p John 2-100:将 John 的配額规则复制到 uid 为 2-100 之间的所有用户,修改 John 的限額后,需要重新执行此命令
- repquota -v /dev/ada0p1:查看指定分区的详细磁盘 quota 信息
五、Updating and Upgrading FreeBSD
- 指定更新方式,通常保持默认
-
#/etc/freebsd-update.conf IgnorePaths /usr/sbin #指定不与系统一起更新的目录
KeepModifiedMetadata yes #更新时保留旧文件的权限、归属及 flags 等元数据信息
UpdateIfUnmodified /etc/ #指定目录中的被更改过的文件不会被更新
WorkDir /var/db/freebsd-update #指定更新时的 patch 及 临时文件存放目录
MergeChanges /etc/ #指定目录中的文件更新时,新旧文件的合并方式将提示用户选择,如:替换、保留或手动編辑等 - freebsd-update
-
版本内更新:
# 只有 GENERIC 内核可以直接打补丁,自定义内核需要重新編译并安装,用uname -r 查看内核核本号
# 若 /etc/freebsd-update.conf 中的相关项保持默认,freebsd-update 会同时下载更新的源码
freebsd-update fetch #检查并下载可用更新,包括软件更新及内核补丁 freebsd-update install #安装更新,内核补丁需要重启机器,软件补丁需要 restart 程序 freebsd-update cron #放在 crontab 中定期检查更新 freebsd-update rollback #回滚到上一次未更新的状态,同样,回滚之后需要重启生效
跨版本升級:
第一步:freebsd-update -r 11.0-RELEASE-p1 upgrade #跨版本升級时通常切换至 GENERIC 内核
第二步:freebsd-update install #基础文件更新
第三步:[使用自定义内核升級时需要] nextboot -k GENERIC
第四步:shutdown -r now
第五步:freebsd-update install #系统库更新
第六步:portmaster -af [-G] #大版本(major)通常伴随 ABI 的版本更新,因此需要重新編译安装所有软件包;-G 选项指明所有软件按默认配置編译安装,不提示用户选择
第七步:freebsd-update install #应用程序更新
第八步:[可选]重新編译自定义内核 - !注意!
- 首次編译内核后,系统会将預装的 GENERIC 内核目录保存为 /boot/kernel.old ,需要手动更名至 /boot/GENERIC ,防止下一次編译内核时被覆盖
- 若 GENERIC 内核已被意外覆盖,可通过以下两种方式解决:
-
# mount /cdrom #指 FreeBSD 系统安装光盘 # cd /cdrom/usr/freebsd-dist # tar -C /boot/kernel/ -xvf kernel.txz kernel # !!! set "-C" before "-xvf" 或 # cd /usr/src #需要保証 GENERIC 内核配置文件没有被更改 # make kernel __MAKE_CONF=/dev/null SRCCONF=/dev/null
- 重新編译整个系统:Rebuild World
- 务必查看 /usr/src/UPDATING 文件了解注意事项
- 更新步骤-(如果編译失败,在 /usr/src 下连续执行两次 make cleandir 之后重新开始):
-
#尽可能在单用户模式下编译 一、删除 /usr/obj/ 下所有旧文件 chflags -R nosimmutable /usr/obj/ rm -rf /usr/obj/* 二、編译新的編译器及相关工具 cd /usr/src make buildworld 三、使用 /usr/obj/ 中新生成的編译器編译 kernel make buildkernel 四、安装新内核(若内核安全等級在 1 以上,则需要进行单用户模式操作) make installkernel 五、进入单用户模式,并重新挂载文件系统为可读写 mount -u / && mount -a $$ swapon -a #UFS 文件系统,-u 选项表示将已挂载的分区标记为可更改状态,以便重新挂载 zfs set readonly=off zroot && zfs mount -a #ZFS 文件系统 六、如果 date 显示的时间和时区不正确,执行以下命令纠正 adjkerntz -i 七、更新配置文件 mergemaster -p #remaking world 过程中,/etc 等目录默认不会被更新,备份 /etc 之后,使用此命令合并配置文件,-p 选项指仅处理与下一步中的 installworld 相关的文件 八、安装 /usr/obj 中新編译出的软件包 cd /usr/src && make installworld 九、追加新的配置文件 mergemaster -iF #-i 选项指若目标目录中不存在同名文件,则安装;-F 选项指若新旧文件之间的差异只有系统版本标识,则覆盖旧文件 十、清除所有不需要的旧文件,之后 reboot make check-old && yes|make delete-old && reboot #检查核对无誤后,传递 yes 无需用户确认直接删除 十一、重新編译所有软件包之后,删除旧的库文件 portmaster -af && make delete-old-libs
-
/etc/src.conf:全局控制除内核以外的系统软件包构建(/usr/src 下的源码編译)
-
#单次不使用全局设定,可指定 make SRCCONF=/dev/null WITHOUT_BLUETOOTH=1 #不安装蓝牙相关包 WITHOUT_GAMES=1 WITHOUT_IPFILTER=1 #选择 IPFW ,故禁用 ipfilter
WITHOUT_PF=1 #同上,禁用 PF
WITHOUT_ISCSI=1 #IBM iscsi 支持模块 WITHOUT_LIB32=1 #不安装 32 位 lib 库 # WITHOUT_WIRELESS=1 #不安装无线网络相关软件包 WITHOUT_TCP_WRAPPERS=1 #不使用 inetd 及 tcpwrapper WITHOUT_INETD=1 #同上
WITHOUT_RCMDS=1 #不安装 rlogin 等过时远程软件包 WITHOUT_TELNET=1 #同上
WITHOUT_SETUID_LOGIN=1 #取消 login 程序的 setuid 权限位 # WITHOUT_RADIUS_SUPPORT=1 #没有拔号网络可禁用 # WITHOUT_PPP=1 #同上 WITHOUT_LPR=1 #过时的打印相关软件包 WITHOUT_HYPERV=1 #微软的 hyperv 支持 WITHOUT_HTML=1 #html 帮助文档 WITHOUT_FLOPPY=1 #软盘 WITHOUT_EE=1 #ee 編辑器 WITHOUT_ATM=1 #过时的路由协议 WITHOUT_APM=1 #过时的电源管理工具 apm、apmd
WITHOUT_AUTOFS=1 #用于自动挂载光盘及网络文件系统的工具包 autofs
WITHOUT_BHYVE=1 #FreeBSD 平台的虚拟机組件,使用类似于 kvm 的技术特性充分利用硬件資源
WITHOUT_CALENDAR=1 #用于用户提示目的的日历小工具
WITHOUT_CCD=1 #一种将多个物理磁盘连接成一个逻辑磁盘的技术,类似于软 raid
WITHOUT_CTM=1 #FreeBSD 平台的一种源代码管理工具,类似于 CVS git 等的应用領域
WITHOUT_DICT=1 #不创建韦氏詞典相关的文件(Webster dictionary,一种英文詞典)
WITHOUT_KVM_SUPPORT=1 #不安装 libkvm 库
WITH_NAND=1 #使用 SSD 最好启用此项,最新的 NVM 新型 SSD 不在此列
WITHOUT_PC_SYSINSTALL=1 #PC-BSD 发明的系统安装工具,主要用于桌面系统
WITHOUT_SHAREDOCS=1 #不创建老旧的 4.4BSD 相关文档
WITHOUT_TALK=1 #用户之间的互动小工具,类似于 Linux 下的 screen
WITHOUT_TIMED=1 #用于多主机间的时间同步,提供 ntpd 的部分功能
# WITHOUT_FTP=1 #不安装系统自带的 ftp 软件包
# WITHOUT_UNBOUND=1 #不安装系统自带的精简版 unbound 域名緩存服务器(用于本地 DNS 緩存,若本机需要为其它主机提供 DNS 緩存服务,建议从 ports 中安装完整版 unbound)
# WITHOUT_MAIL=1 #完全不安装与 mail 有关的所有組件,包括 sendmail、mailwrapper等
# WITHOUT_SENDMAIL=1 #不安装 sendmail 及相关組件;如计划使用 postfix等
# WITHOUT_TCSH=1 #不安装 tcsh/csh(需要进入单用户模式更改 root 的 SHELL 为 sh)
# WITHOUT_VI=1 #不安装原始的 vi 編辑器
# WITHOUT_SVNLITE=1 #不安装用于系统版本控制的 svnlite 及相关組件(Subversion)
# WITHOUT_ZFS=1 #不安装 zfs 文件系统組件
# WITHOUT_CDDL=1 #不安装以 CDDL 许可証发布的软件包,如:zfs 文件系统、ctfconvert 調式信息转换工具等
# WITHOUT_JAIL=1 #不安装 jail 組件
# WITHOUT_AUDIT=1 #不安装系统审计組組件
# WITHOUT_KERBEROS=1 #若不使用 kerberos 身份认証代理服务
# WITHOUT_RESCUE=1 #不创建求援工具包;与单用户模式无关,这是一些用静态库链接生成的系统程序,可独立运行,不依賴于其它組件,存放于 /rescue 目录下
####################以下为系统調试相关組件#################################
# WITHOUT_LLDB=1 #LLDB 是一种較新的多語言調试器,功能比 GDB 丰冨
# WITHOUT_KERNEL_SYMBOLS=1 #不创建用于内核調试的符号文件
# WITHOUT_DEBUG_FILES=1 #不安装調试文件
# WITHOUT_PROFILE=1 #不編译性能评估模块
# WITHOUT_TESTS=1 #不安装系统测试組件,包括 dtrace 的相关模块;Test Suite 主要用于开发調式及对系统組件功能是否正常的定期测试,需要安装 devel/kyua
# WITHOUT_DTRACE_TESTS=1 #不安装 dtrace 测试組件
# WITHOUT_CTF=1 #如果不使用 Dtrace 可以不安装 ctf 組件
# WITHOUT_ASSERT_DEBUG=1 #不編译程序中用于調试目的 assert micro (断言宏)
- /etc/make.conf
-
#参数賦值不加引号,字符串以空格分割,布尔(t/f)及数字型参数值可不添加空格 # =,指定全部标志 # +=,在已有默认标志之上,追加标志 # ?= 若标志尚未设置,则设置 COPTFLAGS?= -O2 -pipe #内核优化参数(C opt flags) CPUTYPE= haswell #若为本机編译,可设置为 native CFLAGS?= -O2 -pipe -march=${CPUTYPE} #C 优化参数,影响全局 INSTALL?= -C #软件包安装参数,尽可能避免不必要的文件更新 KERNCONF= MyKernel # 内核配置文件名称 MODULES_OVERRIDE= ipfw zfs opensolaris ext2fs #仅編译指定的模块,即白名单 # WITHOUT_MODULES= linux :指定不編译的模块,即黑名单;通常不与 MODULES_OVERRIDE 共存 # NO_MODULES=1 #編译内核时不同时編译模块
MTREE_FOLLOWS_SYMLINKS= -L # “mtree” 将对符号链接文件本身的状态变化进行跟踪 # FETCH_CMD= wget #指定下载工具,默认是系统自带的 fetch PORTSDIR= /usr/ports #指定 ports 目录树的位置 WRKDIRPREFIX= ... #指定編译时的临时工作目录 DISTDIR= /usr/ports/distfiles #源码存放目录 LOCALBASE= /usr/local #已安装软件包的位置,用于查詢并解决依賴关系 PREFIX= #软件包安装目录,通常与 LOCALBASE 相同 PORT_DBDIR= /var/db/ports #指定用于存储软件包 OPTIONS(編译选项) 的目录 # XFCE
VIDEO_DRIVER=intel
# 全局启用的功能模块
OPTIONS_SET+= CPU_OPTS THREADS MANPAGES GSSAPI_NONE LZ4
# 全局屏蔽的功能模块
OPTIONS_UNSET+= X11 FONTCONFIG NLS EXTRAS SUID LLDB ZSH BASH EXAMPLES COOKIES CUPS DOCS GNOME GTK3 KDE4 PULSEAUDIO JAVA BABEL - freebsd-update IDS
-
#IDS : Intrusion Detection System(入侵监测系统) #用于比較当前系统的 ports (应用程序)、系统库、配置文件等与官方系统初始状态的差异,与 mtree 比較当前系统两具时间点的状态差异一样,只能作为一种輔助性安全措施 freebsd-update IDS >> outfile.ids #与官方系统初始文件的 HASH 值不同的文件将被列出