ＦｒｅｅＢＳＤ１３でのよくある設定集

ＦｒｅｅＢＳＤ １３．０－ＲＥＬＥＡＳＥ環境におけるよく設定するような内容についてまとめる。 本記述は１３．０－ＲＣ１時点での内容であるが、１３．０がリリースされた後、微調整する。

インストール および 初期設定 が完了しているものとする。

ユーザーおよびグループの追加

• いわゆるユーザーアカウントの管理をどうするかについてはここでは問わない。
• 管理ポリシーを決めた上で運用する際の手順をまとめる。
• ｐｏｒｔｓ／ｐｋｇシステムで追加されるユーザーおよびグループについて以下のファイルを参照すること（デフォルト設定）。

  • /usr/ports/UIDs

  • /usr/ports/GIDs

  • もちろん事前に作成してしまってもかまわない（ＵＩＤを他の環境に合わせるなど）。

• 本設定においてはいくらか前提条件（/home がパーティションされてる）があるので留意すること。

ユーザーの追加

• ユーザー設定に必要なパラメータは以下の通り。
  • ユーザー名
  • ユーザーＩＤ
  • グループ名（事前に設定しておくこと）

• ログインシェルは /etc/shells ファイル内のリストから設定すること。

pw useradd ユーザー名 -u ユーザーＩＤ -g グループ名 -c "名前" -s ログインシェル
zfs create zroot/home/ユーザー名
chown ユーザー名:グループ名 /home/ユーザー名

• ここではホームディレクトリは作成しない。別途ＺＦＳパーティションを切るものとする。

• この時パスワードは無効になっている（パスワードフィールドが *）。

• セカンダリグループを加えたい場合は -G オプション（複数指定はカンマ区切り）を指定すること。

• よく使われるセカンダリグループは以下の通り。

  • wheel： ルートになれるユーザー（管理者）

  • operator： 再起動等のサーバーの操作ができるユーザー（オペレーター）

  • dialer： シリアル通信するユーザー

後から修正したい場合は pw usermod を使う。

pw usermod ユーザー名 -G wheel,operator

パスワードの設定

パスワードは例えば makepasswd --chars=パスワード長 でランダムなパスワードを決める。

passwd ユーザー名

パスワードの無効化

グループの追加

• グループ設定に必要なパラメータは以下の通り。
  • グループ名
  • グループＩＤ

pw groupadd グループ名 -g グループＩＤ

ＤＮＳキャッシュサーバーの運用

• 自前でＤＮＳキャッシュサーバー（フルリゾルバ）を運用したい場合の設定。
• デフォルトでお堅い設定なので若干緩くする。

• 具体的には、デフォルトで dig +trace 使えなくなるのだが、使えるように設定する。

  • access-control では allow の代わりに allow_snoop を有効にすると良い。

/etc/unbound/conf.d/local.conf

server:
        prefetch:               yes
        rrset-cache-size:       64m
        rrset-roundrobin:       yes
        access-control:         127.0.0.1/8 allow_snoop

準備

sysrc local_unbound_enable="YES"
service local_unbound setup
service local_unbound start

/etc/resolv.conf

以下の２行が追加されるので整理する。具体的には古い nameserver の指定を消す、options に組み込むなどである。

nameserver 127.0.0.1
options edns0

今時は edns0 オプションの指定をしなくても動くとのことで、消してしまっても問題無い。