3.3 FreeBSD
3.3.1 インストール時の設定
• 3.3.2 セキュリティパッチの適用
• 3.3.3 アカウントのセキュリティ設定
• 3.3.4 パスワードの設定
• 3.3.5 リモートからのアクセスの制限
• 3.3.6 ローカルリソースへのアクセス制限
• 3.3.7 ログの確認
3.3.1 インストール時の設定
インストールを開始すると、Welcome メニューが表示されます。ここでは、その 中の Custom を選択した場合のインストール方法を紹介します。
Custom のメニューには、Options、Partition、Label、Distributions、Media、
Commit の各項目があり、これを順に選択して実行することになります。インス トール方法の詳細は該当する文書を参照してください。
CustomInstallationOptions 選択メニュー Options View/Setvariousinstallationoptions Partition AllocatediskspaceforFreeBSD
Label Labelallocateddiskpartitions Distributions Selectdistribution(s)toextract
Media Choosetheinstallationmediatype
Commit PerformanypendingPartition/Label/Extractactions
Partition および Label メニューでパーティショニングやスライス、マウントポ イント等を選択した後、Distributions メニューでインストールする内容を選択 します。
(1)Distributions の選択
Distributions メニューから選択できるものは次のとおりです。用途に合わせて 選択します。
Distributions 選択メニュー
All Allsystemsources,binariesandXWindowSystem Reset Resetselecteddistributionlisttonoting
Developer Fullsources,binariesanddocbutnogames X‑Developer Sameasabove+XWindowSystem
Kern‑Developer Fullbinariesanddoc,kernelsourcesonly X‑Kern‑Developer Sameasabove+XWindowSystem
User Averageuser‑binariesanddoconly X‑User Sameasabove+XWindowSystem Minimal Thesmallestconfigurationpossible Custom Specifyyourowndistributionset
サーバを構築するときは、必要最小限の Distributions をインストールします。
何でもできるように全ての Distributions を選択することは避けてください。
サーバへ必要のない Distributions をインストールすることは、資源を無駄に 使用するだけでなく、安全性や安定性を損なう危険を孕みます。
通常は、Minimal を選択します。もし、他にインストールしたい Distributions があれば、Minimal を選択した後に、Custom から必要な Distributions を追加 選択してください。
例えば、カーネルソースを追加したいときは、Custom から src の中の sys を追 加選択します。
また、オンラインマニュアルを追加したいときは、Custom から man を、ポート コレクションを追加したいときは Custom から ports を追加選択してください。
(2)Configure 設定
Distributions を選択した後、Media、Commit を順に実行します。そして、Exit を選択し Configure のメニューへ移ってください。
ここで設定する項目は、RootPassword、Console、TimeZone、Networking です。
Configuration メニュー
Distributions Installadditionaldistributionsets
Packages Installpre‑packagedsoftwareforFreeBSD RootPassword Setthesystemmanager'spassword
Fdisk ThediskSlice(PC‑stylepartition)Editor Label ThediskLabeleditor
UserManagement Adduserandgroupinformation Console Customizesystemconsolebehavior TimeZone Setwhichtimezoneyou'rein
Media Changetheinstallationmediatype Mouse Configureyourmouse
Networking Configureadditionalnetworkservices Security Selectdefaultsystemsecurityprofile Startup Configuresystemstartupoptions TTYs Configuresystemttys.
Options View/Setvariousinstallationoptions XFree86 ConfigureXFree86Server
Desktop ConfigureXFree86Desktop
HTMLDocs GototheHTMLdocumentationmenu(post‑install) LoadKLD LoadaKLDfromafloppy
• RootPassword
の設定
root のパスワードを設定します。ここで設定したパスワードは決して忘れない ようにしてください。
インストール作業が終了しシステムを再起動させた後から、このパスワードを 使用することになります。
• Console
の選択
日本語 106Keymap のキーボードを使用するときは、Console メニューの Keymap から Japanese106 を選択してください。
• TimeZone
の選択
時刻を JST 表記にするときは、TimeZone メニューの Asia から Japan を選択して ください。
• Networking
の選択
サーバが提供するサービスを選択します。
この時点で、AMDFlags、inetd、Sshd、TCPExtensions が選択されています。
NetworkServices 選択メニュー
Interfaces Configureadditionalnetworkinterfaces
AMD Thismachinewantstoruntheauto‑mounterservice AMDFlags SetflagstoAMDservice(ifenabled)
AnonFTP ThismachinewishestoallowanonymousFTP.
Gateway Thismachinewillroutepacketsbetweeninterfaces inetd Thismachinewantstoruntheinetdaemon
NFSclient ThismachinewillbeanNFSclient NFSserver ThismachinewillbeanNFSserver Ntpdate Selectaclock‑synchronizationserver
PCNFSD RunauthenticationserverforclientswithPC‑NFS.
portmap Thismachinewantstoruntheportmapperdaemon Routed Selectroutingdaemon(default:routed)
Rwhod Thismachinewantstoruntherwhodaemon Sendmail Thismachinewantstorunthesendmaildaemon Sshd Thismachinewantstorunthesshdaemon TCPExtensions AllowRFC1323andRFC1644TCPextensions?
sendmail にはチェックマークが付いていませんが、デフォルトでは sendmail が 起動されるように選択されていることに注意してください。
sendmail は SendmailInvocation メニューから Yes、No、None を選択できます。
デフォルトでは Yes が選択されています。もし、sendmail は起動するがネット ワークからアクセスさせないのであれば No を選択し、sendmail を起動しないの であれば None を選択します。
SendmailInvocation 選択メニュー Yes Startsendmail
No Startsendmail,butdon'tlistenfromnetwork None Don'tstartanysendmailprocesses
ここで選択するサービスは運用形態によって異なります。必要の無いサービス にチェックマークが付いているときは、そのチェックマークを外してください。
また、起動するサービスを追加するときは、そのサービスにチェックマークを 付けてください。
ただし、ここで選択したサービスにセキュリティホールなどの不具合が報告さ れているバージョンが使用されていたならば、インストール後に不具合が修正 されたバージョンのものへ入れ替える必要があります。
各種設定が完了し、sysinstallMain メニューから ExitInstall を選択して抜け ると、システムが再起動します。
(3)/etc/rc.conf
これまでに設定した内容は、/etc/rc.conf に反映されています。
/etc/rc.conf には、システム起動時に設定するカーネルのセキュリティレベル や起動するサービスなどについて記されています。
システム起動時において/etc/rc.conf は、/etc/defaults/rc.conf の後に読み 込まれます。そのため、/etc/defaults/rc.conf に記述されている内容と異なる 場合、/etc/rc.conf に記述されている内容が優先されます。
ここまで設定した内容は、例えば次のようになっています。IP アドレスやネッ トワークインターフェースなど朱字で記した箇所はシステムによって異なりま すので注意してください。
/etc/rc.conf の例 defaultrouter="192.168.0.254"
hostname="bsd.ipa‑sec.com"
ifconfig̲fxp0="inet192.168.0.1netmask255.255.255.0"
kern̲securelevel̲enable="NO"
keymap="jp.106"
nfs̲reserved̲port̲only="YES"
sendmail̲enable="YES"
sshd̲enable="YES"
usbd̲enable="YES"
先の NetworkServices 選択メニューから選択した inetd についての記述が /etc/rc.conf に 見 当 た ら な い の は 、 /etc/defaults/rc.conf に inetd̲enable="YES"の記述があるためです。
もし、先ほど選択した inetd を稼動させないのであれば、inetd̲enable="NO"を /etc/rc.conf ファイルへ追加してください。
USB 機器を取り扱わないのであれば、usbd̲enable=YES"を usbd̲enable="NO"へ 修正してください。
/etc/defaults/rc.conf において"NO"になっているサービスを稼動させたいと きは、/etc/rc.conf へその記述をします。
例えば、/etc/defaults/rc.conf において named は"NO"になっていますが、この サービスを稼動させたいときは、/etc/rc.conf へ named̲enable="YES"を追加し てください。ただし、このとき、DNS について設定されている必要があります。
ま た 、 カ ー ネ ル の セ キ ュ リ テ ィ レ ベ ル を "2" ま で 高 め た い と き は 、 kern̲securelevel̲enable="NO"を kern̲securelevel̲enable="YES"へ修正し、
kern̲securelevel="2"を追加してください。セキュリティレベル"2"では、安全 性が高まりカーネルの再構築などもできません。もし、カーネルを再構築する ならば、その際にセキュリティレベルを落とす必要があることを覚えておいて ください。
修正した/etc/rc.conf の内容を有効にするためにシステムを再起動します。