⇤ ← 2021-03-12 10:03:31時点のリビジョン1
4330
コメント:
|
4879
|
削除された箇所はこのように表示されます。 | 追加された箇所はこのように表示されます。 |
行 3: | 行 3: |
本記述は13.0-RC1時点での内容であるが、13.0がリリースされた後、微調整する。 | 本記述は13.0-RC2時点での内容であるが、13.0がリリースされたあとも調整する。 |
行 5: | 行 5: |
[[FreeBSD/FreeBSD13-install|インストール]] および [[FreeBSD/FreeBSD13-initial-setup|初期設定]] が完了しているものとする。 | [[FreeBSD/FreeBSD13-install|インストール]] および [[FreeBSD/FreeBSD13-initial-setup|初期設定]] が完了しているものとするが、そう極端に依存はしてないはずである。 |
行 10: | 行 10: |
* 実行頻度: ユーザーおよびグループを追加したいと思った都度。 | |
行 35: | 行 36: |
* `wheel`: ルートになれるユーザー(管理者) * `operator`: 再起動等のサーバーの操作ができるユーザー(オペレーター) * `dialer`: シリアル通信するユーザー |
* `wheel`: ルートになれるユーザー(管理者)が所属するグループ * `operator`: 再起動等のサーバーの操作ができるユーザー(オペレーター)が所属するグループ * `dialer`: シリアル通信したいユーザーが所属するグループ |
行 53: | 行 54: |
TODO | |
行 64: | 行 66: |
* 実行頻度:セットアップしたいと思った1回だけ。 | |
行 94: | 行 97: |
= 参考文献 = * [[https://people.allbsd.org/~hrs/FreeBSD/sato-20140313.pdf|Kerberos 認証サービスの設定と運用]] * [[https://people.allbsd.org/~hrs/FreeBSD/sato-FBSDW20180629.pdf|30分で分かるKerberos]] |
FreeBSD13でのよくある設定集
FreeBSD 13.0-RELEASE環境におけるよく設定するような内容についてまとめる。 本記述は13.0-RC2時点での内容であるが、13.0がリリースされたあとも調整する。
インストール および 初期設定 が完了しているものとするが、そう極端に依存はしてないはずである。
目次
ユーザーおよびグループの追加
- 実行頻度: ユーザーおよびグループを追加したいと思った都度。
- いわゆるユーザーアカウントの管理をどうするかについてはここでは問わない。
- 管理ポリシーを決めた上で運用する際の手順をまとめる。
- ports/pkgシステムで追加されるユーザーおよびグループについて以下のファイルを参照すること(デフォルト設定)。
/usr/ports/UIDs
/usr/ports/GIDs
- もちろん事前に作成してしまってもかまわない(UIDを他の環境に合わせるなど)。
本設定においてはいくらか前提条件(/home がパーティションされてる)があるので留意すること。
ユーザーの追加
- ユーザー設定に必要なパラメータは以下の通り。
- ユーザー名
- ユーザーID
- グループ名(事前に設定しておくこと)
ログインシェルは /etc/shells ファイル内のリストから設定すること。
pw useradd ユーザー名 -u ユーザーID -g グループ名 -c "名前" -s ログインシェル
zfs create zroot/home/ユーザー名
chown ユーザー名:グループ名 /home/ユーザー名
- ここではホームディレクトリは作成しない。別途ZFSパーティションを切るものとする。
この時パスワードは無効になっている(パスワードフィールドが *)。
セカンダリグループを加えたい場合は -G オプション(複数指定はカンマ区切り)を指定すること。
- よく使われるセカンダリグループは以下の通り。
wheel: ルートになれるユーザー(管理者)が所属するグループ
operator: 再起動等のサーバーの操作ができるユーザー(オペレーター)が所属するグループ
dialer: シリアル通信したいユーザーが所属するグループ
後から修正したい場合は pw usermod を使う。
pw usermod ユーザー名 -G wheel,operator
パスワードの設定
パスワードは例えば makepasswd --chars=パスワード長 でランダムなパスワードを決める。
passwd ユーザー名
パスワードの無効化
TODO
グループの追加
- グループ設定に必要なパラメータは以下の通り。
- グループ名
- グループID
pw groupadd グループ名 -g グループID
DNSキャッシュサーバーの運用
- 実行頻度:セットアップしたいと思った1回だけ。
- 自前でDNSキャッシュサーバー(フルリゾルバ)を運用したい場合の設定。
- デフォルトでお堅い設定なので若干緩くする。
具体的には、デフォルトで dig +trace 使えなくなるのだが、使えるように設定する。
access-control では allow の代わりに allow_snoop を有効にすると良い。
/etc/unbound/conf.d/local.conf
server: prefetch: yes rrset-cache-size: 64m rrset-roundrobin: yes access-control: 127.0.0.1/8 allow_snoop
準備
sysrc local_unbound_enable="YES"
service local_unbound setup
service local_unbound start
/etc/resolv.conf
以下の2行が追加されるので整理する。具体的には古い nameserver の指定を消す、options に組み込むなどである。
nameserver 127.0.0.1 options edns0
今時は edns0 オプションの指定をしなくても動くとのことで、消してしまっても問題無い。