ＦｒｅｅＢＳＤ１３のインストール

ＦｒｅｅＢＳＤ １３．０－ＲＥＬＥＡＳＥをインストールしてみる。 本記述は１３．０－ＢＥＡＴＡ２時点での内容であるが、１３．０がリリースされた後、微調整する。

前提条件

• ＣＭＯＳ（ＢＩＯＳ）クロックのタイムゾーンをＵＴＣとする。
  • ほとんどのクラウド環境では本設定を変更することができないか、極めて困難である。
  • 物理環境では変更しやすいし、メンテナンス性も高いのだが、設定の統一性から見なかったことにする。
  • よく出来た物理環境では、内部時間と表示時間（タイムゾーン情報を有す）を変えられるものも出てきたので、昔ほどＪＳＴにこだわらなくてもよい。
• ＣＰＵについては特に明記しないし、１コアからでも使用できるが、２コア以上をお勧めしたい。
  • 使用する用途に応じてＣＰＵ数や動作周波数、アーキテクチャを選ぶこと。
  • 基本的には「時間」に影響出るが、投入したリソースに応じて反比例（少ないと時間がかかる、多いと時間が短縮される）する。
• 搭載メモリはできれば４ＧＢ以上にしておきたい。
  • カツっカツにチューニングすれば５１２ＭＢでも動作するが、その後はあまりできることが少ない。
  • ＦｒｅｅＢＳＤ本体のビルドに６ＧＢは必要なので、３ＧＢや２ＧＢの環境だとスワップアウトがキツイ。
  • これはＣ＋＋のコンパイル負荷によるものなので、搭載メモリが少ない環境でのビルド（サードパーティ製含む）は諦めた方がよい。
  • 良好に使用するなら８ＧＢ以上は欲しいところではある。
• 搭載ストレージもできれば５０ＧＢ以上は欲しいところ。
  • ３０ＧＢ程度では一通りのセットアップで埋まってしまう程度の容量なので、大きめに欲しいところ。
  • 用途にもよるがログ保存等を考慮すると１００ＧＢ程度あれば安心である。

• インストール先メディア（ストレージ）に応じてデバイス名を読み替えること。今回、ここでは vtbdｎ（ｎ≧０） を使用する。

  • adaｎ： ＳＡＴＡ接続のＨＤＤおよびＳＳＤ

  • daｎ： ＵＳＢ／ＳＡＳ／ＳＣＳＩ接続の（マスストレージ）ＨＤＤおよびＳＳＤ

  • nvdｎ： ＮＶＭｅ接続ＳＳＤ

  • mmscdｎ： ｅＭＭＣ（内蔵メモリカード）

  • vtbdｎ： バーチャルＩ／Ｏストレージ（ＱＥＭＵ、ＢＨｙＶｅ環境他）

  • xbdｎ： Ｘｅｎ準仮想化ドライバ（Ｘｅｎ環境）

設定目標

• 全てＧＰＴパーティション（領域）で組むものとして、ＢＩＯＳまたはＵＥＦＩ環境での起動を前提とする（マルチブートは考えない）。
  • ＢＩＯＳまたはＵＥＦＩがブート用に認識するパーティション
  • /boot 用パーティション（ＵＦＳで構成する）
  • / 用のパーティション（ＺＦＳで構成する）
  • スワップパーティション
• またこの時以下のサイズを割り当てる。
  • ブートパーティション： ＢＩＯＳ環境＝５１２ＫＢ弱、ＵＥＦＩ環境＝２００ＭＢ程度
  • ＵＦＳパーティション： ４ＧＢ弱 ※実用５１２ＭＢ・最低でも２倍の１ＧＢ程度はあった方がよい
  • ＺＦＳパーティション： 残りサイズを計算して割り当て
  • スワップパーティション： ８ＧＢ程度 ※搭載メモリの２倍で最大８ＧＢ程度に
• スワップについてメモ：
  • スワップはおおよそ「搭載メモリの２倍」で確保だが、一定量を超えると使用しなく（て良いように）なるため、この辺りで打ち止めしておくのがよい。
  • またどれほど搭載メモリが多くてもゼロスワップ運用はお勧めしない。
  • カーネルがメモリのガベージコレクトする時にスワップを使用することがあるので、巨大な連続領域を確保できなくなることがありうる。
• またパーティション境界を可能な限り「各種」境界を考慮して割り当てることを目指す。とりあえず１ＭＢ境界で設定する。
  • １ブロック５１２バイトが最小単位であるが、
  • ４ＫＢセクタードライブであったり、
  • ＳＳＤのページ単位（２ＫＢ～）・ブロック単位（１２８ＫＢ～）を考慮したり、
  • ＨＤＤ ＳＭＲのブロック単位（２５６ＭＢ）を考慮しての結果。
  • 容量とのバランスで１ＭＢ程度にしておく。そのうち１ＧＢ単位にしてもいいかもしれない。
  • ＳＭＲの２５６ＭＢについては、実運用とのバランスを考えると考慮に値しなくてよい（ＯＳ用に使うべきで無い）。
  • ＳＳＤのページ、ブロックの単位は大容量化にともない大きくなっていくので、この数字が正しいとは限らない。
• ＵＦＳブート、ＺＦＳルート構成についてのメリットとデメリット。
  • 構造がシンプルでないので若干の小細工が必要。
  • インストーラーからインストールできないので、全ての手順でコマンドを叩く必要がある。

  • その代わりブートローダーがＺプールの最新に対応してなくてよいので安心して zpool upgrade ができる。

  • パスフレーズとキーファイルによるＺＦＳ領域の暗号化（ＧＥＬＩ）が可能（パスフレーズのみでいいならブートローダーからでも可）。
• ＺＦＳ領域とスワップ領域については暗号化を施す。
  • ブート時点からセキュアでは無いが、セキュアブートの仕組みが今のところ確立されてないので、この辺りが限界。
  • クラウド環境でセキュアブートの仕組みが提供されていることがないので、頑張る余地があるか微妙。
  • 逆にクラウド環境では暗号化の仕組みが用意されているのでそちらを利用すること。
  • 個別に本手順を実施する分には問題無いが、イメージそのままでデプロイすると、同じ暗号化鍵を使ったイメージがコピーされるのでよろしい運用では無い。
  • 当然暗号鍵の変更をオンザフライでできるが、どれくらい時間がかかるかは不明。
  • 本手順の場合、キーファイルを消去（参照不能なレベルで）するだけで廃棄可能。パスフレーズは同じでも問題ない。
  • 今時のＣＰＵは、ＡＥＳ－ＮＩ対応については疑義は無いが、ＳＨＡ－ＮＩ対応については限定的なので、その点を考慮した設定を行う。
• ＴＲＩＭ／ＵＮＭＡＰを考慮（最適化）する。

  • sysctl kern.geom.disk.デバイス名.flags を実行して CANDELETE の表示があれば、ＴＲＩＭ／ＵＮＭＡＰに対応している。

  • この表示が無ければＴＲＩＭ／ＵＮＭＡＰに対応してないことを意味する。

インストール設定

以下のパーティション構成を組む。ブート環境に応じて選択する。

• freebsd-boot パーティションのサイズ制限は gpart(8) のマニュアル の BOOTSTRAPPING 節に記述がある。

• ＢＩＯＳおよびＵＥＦＩどちらの環境でもブート可能なよう構成することは可能だが、実機環境の切り替え動作は未検証。

• ＧＰＴエントリ数（デフォルト１２８）は変更しない。変更すると起動しないことが gptboot(8) と gptzfsboot(8) のマニュアルに明記されている。

環境確認方法

ＯＳ起動後になるが、以下のコマンドで環境を確認できる。実際にインストール時に確認すること。 以下はある環境での実行結果である。

ブート環境

sysctl machdep.bootmethod

この時「BIOS」と表示されればＢＩＯＳブート環境、「UEFI」とあればＵＥＦＩブート環境である。

ディスク一覧

geom disk status

ディスク一覧が表示される（この時 Status と Components が N/A となるのは無視して良い）。
下記は実行例であるが、下記の実効例の場合、インストール先メディアを選ぶこと（mmcsd0 または ada0）。

root@:~ # geom disk status
       Name  Status  Components
     mmcsd0     N/A  N/A
mmcsd0boot0     N/A  N/A
mmcsd0boot1     N/A  N/A
       ada0     N/A  N/A

ＴＲＩＭ／ＵＮＭＡＰ対応の確認

sysctl kern.geom.disk.デバイス名.flags

先に確認したインストール先メディア（デバイス）に対して上記コマンドを実行する。下記の実行例のように CANDELETE の表示があれば、対応している。

root@:~ # sysctl kern.geom.disk.ada0.flags
kern.geom.disk.ada0.flags: be<OPEN,CANDELETE,CANFLUSHCACHE,UNMAPPEDBIO,DIRECTCOMPLETION,CANZONE>

ＡＥＳ－ＮＩ／ＳＨＡ－ＮＩ対応の確認

sysctl dev.aesni.0.%desc

この時「AES-XTS」の表示があること（あればＡＥＳ－ＮＩに対応）。「SHA256」の表示があること（あればＳＨＡ－ＮＩに対応）。

時刻およびＣＭＯＳクロックのタイムゾーンの確認

sysctl machdep.wall_cmos_clock
date

sysctl machdep.wall_cmos_clock の結果が０であること。date の結果が日本時間から９時間前で「UTC」を含むこと。

インストール

インストールメディアの入手

• Index of /ftp/releases/ISO-IMAGES/13.0より、FreeBSD-13.0-amd64-disc1.iso というＩＳＯイメージファイルをダウンロードする。

  • 今回 amd64 環境、いわゆる x86_64 環境にインストールするものとする。
  • arm64 と名称が似ているが、こちらは arm64-aarch64 環境と別物なので注意。
  • また dvd1 ではなく disc1 である。幸い dvd1 は disc1 を内包しているので、無駄を承知で使用してもよい。
  • その代わり bootonly では必要なものが足りないので、ネットにアクセスできる必要がある（ここでは詳細を取り上げない）。
• このＩＳＯイメージをＣＤメディアとして認識させる。
  • 物理的にはもちろん、ＣＤ－Ｒに焼いてもかまわない。

  • 個人的には Hagiwara Solutions 社製 CD Memory2 の使用をお勧めする。

  • 入手性については ぷらっとオンライン が一番確実である。

  • ＩＳＯイメージの書き込みに専用ソフト（ＣＤＭ２ Ｗｒｉｔｅｒ）を必要とするが、

  • 読み取り処理はＣＤＲＯＭドライブのエミュレーションしか行わないので、非常に互換性が高い。
  • 似たようなハードは売られているので、使い慣れた物を使用しても問題無い。

インストールメディアの起動とコンソールへ

ＩＳＯイメージからシステムがブートすると下記の画面が表示される。表示されない場合は起動順序に問題がある（ほぼこれ）、認識してない（挿入ミス、接続されてないなど、希に）ので確認する（確認手順は難しいのでここでは省略）。
１０秒カウントダウンの後、ＯＳが起動するので、その前に「3」を押す。あるいはスペースキーを押すとカウントダウンが止まる。

３を押すと下記のようにプロンプトが表示されるので、

以下のコマンドを入力して起動する（実施しなかったとしてもペナルティは無い）。

set hint.psm.0.disabled="1"
set kern.geom.label.disk_ident.enable="0"
boot

• hint.psm.0.disabled： ＰＳ／２マウス（ＵＳＢ接続ではない）の識別（１秒かかる）を止める。

• kern.geom.label.disk_ident.enable： gpart show を実行したときに同じストレージをラベルで参照することを止める（結果として二重表示になる）。

環境によっては、下記の追加設定を実施しても良い。ただしキー入力を受け付けなくなることがあるので、要動作確認のこと。

set hint.atkbdc.0.disabled="1"
set hint.atkbd.0.disabled="1

今時のハードウェアだと、この手のレガシー（ＰＳ／２接続）デバイスのエミュレーションの互換性が低い（遅い等）ことがあるので、可能な限り積極的に設定してみることをお勧めする。

上記画面が表示されるので、「<Live CD>」を選択（カーソルキーで→に移動、エンターキーを押す）する。

ログインプロンプトが表示されるので「root」を入力してエンターキーを押す（パスワード入力は求められない）。

コマンド操作によるインストール作業

先に情報収集が成されているものとして以下のコマンドを実行する。

パーティションを切る

ＢＩＯＳブート環境の場合、以下の手順でパーティションを切る（設定状態を都度 gpart show で確認できる）。

gpart destroy -F vtbd0
gpart create -s GPT vtbd0
gpart add -t freebsd-boot -s     984 vtbd0
gpart add -t freebsd-ufs  -s 8387584 vtbd0
gpart add -t freebsd-zfs  -s `gpart show vtbd0 | awk '/- free -/{ st = $1; sz = $2; sw = ( 8 * 1024 * 1024 * 1024 ) / 512; aln = ( 1024 * 1024 * 1024 ) / 512; sz -= sw; sz -= ( st + sz ) % aln; print sz }'` vtbd0
gpart add -t freebsd-swap            vtbd0

ＵＥＦＩブート環境の場合、以下の手順でパーティションを切る（設定状態を都度 gpart show で確認できる）。

gpart destroy -F vtbd0
gpart create -s GPT vtbd0
gpart add -t efi          -s  409560 vtbd0
gpart add -t freebsd-ufs  -s 7979008 vtbd0
gpart add -t freebsd-zfs  -s `gpart show vtbd0 | awk '/- free -/{ st = $1; sz = $2; sw = ( 8 * 1024 * 1024 * 1024 ) / 512; aln = ( 1024 * 1024 * 1024 ) / 512; sz -= sw; sz -= ( st + sz ) % aln; print sz }'` vtbd0
gpart add -t freebsd-swap            vtbd0

両用ブート環境の場合、以下の手順でパーティションを切る（設定状態を都度 gpart show で確認できる）。

gpart destroy -F vtbd0
gpart create -s GPT vtbd0
gpart add -t freebsd-boot -s     984 vtbd0
gpart add -t efi          -s  408576 vtbd0
gpart add -t freebsd-ufs  -s 7979008 vtbd0
gpart add -t freebsd-zfs  -s `gpart show vtbd0 | awk '/- free -/{ st = $1; sz = $2; sw = ( 8 * 1024 * 1024 * 1024 ) / 512; aln = ( 1024 * 1024 * 1024 ) / 512; sz -= sw; sz -= ( st + sz ) % aln; print sz }'` vtbd0
gpart add -t freebsd-swap            vtbd0

ファイルシステムをフォーマットする

ＴＲＩＭ／ＵＮＭＡＰ対応の場合、以下の手順でフォーマットする（両用ブート環境では vtbd0p2 → vtbd0p3 と置き換えること）。

newfs -U -j -E -t /dev/vtbd0p2

ＴＲＩＭ／ＵＮＭＡＰに未対応の場合、以下の手順でフォーマットする（両用ブート環境では vtbd0p2 → vtbd0p3 と置き換えること）。

newfs -U -j /dev/vtbd0p2

更にＵＥＦＩブート環境の場合、以下の手順でフォーマットする（両用ブート環境では vtbd0p1 → vtbd0p2 と置き換えること）。

newfs_msdos -F 32 -c 1 -L EFISYS /dev/vtbd0p1

フォーマットしたファイルシステムをマウントしてディレクトリを準備する

以下の手順を実施する（両用ブート環境では vtbd0p2 → vtbd0p3 と置き換えること）。

mount -t ufs -o rw,async,noatime /dev/vtbd0p2 /mnt
mkdir -p /mnt/boot/efi

更にＵＥＦＩブート環境の場合、以下の手順を実施する（両用ブート環境では vtbd0p1 → vtbd0p2 と置き換えること）。

mount -t msdosfs /dev/vtbd0p1 /mnt/boot/efi
mkdir -p /mnt/boot/efi/EFI/BOOT

ブートローダーをインストールする

ＢＩＯＳブート環境の場合、以下の手順でブートローダーをインストールする。

gpart bootcode -b /boot/pmbr -p /boot/gptboot -i 1 vtbd0

ＵＥＦＩブート環境の場合、以下の手順でブートローダーをインストールする。

cp -a /boot/loader.efi /mnt/boot/efi/EFI/BOOT/BOOTX64.efi

パーティションを暗号化（ＧＥＬＩ）する

ＳＨＡ－ＮＩに対応している場合、以下の手順でＺＦＳパーティションを暗号化（ＧＥＬＩ）を施す（両用ブート環境では vtbd0p3 → vtbd0p4 と置き換えること）。

kldload geom_eli

dd if=/dev/random of=/mnt/vtbd0p3.key bs=64 count=1
chmod 0400 /mnt/vtbd0p3.key

geli init -b -B none -e AES-XTS -l 256 -a HMAC/SHA256 -s 4096 -K /mnt/vtbd0p3.key /dev/vtbd0p3
geli attach -k /mnt/vtbd0p3.key /dev/vtbd0p3

ＳＨＡ－ＮＩに未対応の場合、以下の手順でＺＦＳパーティションを暗号化（ＧＥＬＩ）を施す（両用ブート環境では vtbd0p3 → vtbd0p4 と置き換えること）。

kldload geom_eli

dd if=/dev/random of=/mnt/vtbd0p3.key bs=64 count=1
chmod 0400 /mnt/vtbd0p3.key

geli init -b -B none -e AES-XTS -l 256 -s 4096 -K /mnt/vtbd0p3.key /dev/vtbd0p3
geli attach -k /mnt/vtbd0p3.key /dev/vtbd0p3

ＺＦＳファイルシステムの構築

両用ブート環境では vtbd0p3 → vtbd0p4 と置き換えること。

mkdir -p /tmp/zroot
zpool create -R /tmp/zroot -O atime=off -o compression=lz4 -m legacy zroot vtbd0p3.eli
mount -t zfs -o rw,noatime zroot /tmp/zroot

zfs create -o mountpoint=/home zroot/home
zfs create -o mountpoint=/tmp  zroot/tmp
zfs create -o mountpoint=/usr  zroot/usr
zfs create -o mountpoint=/var  zroot/var
zfs create zroot/usr/src
zfs create zroot/usr/obj
zfs create zroot/usr/ports
zfs create zroot/usr/ports/distfiles
zfs create zroot/usr/local
zfs create zroot/var/empty
zfs create zroot/var/log
zfs create zroot/var/spool
zfs create zroot/var/spool/mqueue
zfs create zroot/var/tmp

mkdir -p /tmp/zroot/boot /tmp/zroot/bootdir
mount -t nullfs /mnt/boot /tmp/zroot/boot

配布物のインストール

tar -xpf /usr/freebsd-dist/base.txz   -C /tmp/zroot
tar -xpf /usr/freebsd-dist/kernel.txz -C /tmp/zroot
tar -xpf /usr/freebsd-dist/lib32.txz  -C /tmp/zroot

zfs set readonly=on zroot/var/empty

起動に必要な最低限の設定の実施

/tmp/zroot/etc/fstab

ＢＩＯＳブート環境の場合、以下の内容でファイルを作成する（ＴＲＩＭ／ＵＮＭＡＰ対応環境では sw → sw,trimonce に置き換えること）。

# Device                Mountpoint      FStype  Options                 Dump    Pass #
zroot                   /               zfs     rw,noatime              0       0
/dev/vtbd0p2            /bootdir        ufs     rw,noatime              1       1
/bootdir/boot           /boot           nullfs  rw                      0       0
/dev/vtbd0p4.eli        none            swap    sw                      0       0
#/dev/vtbd0p4.eli       none            swap    sw,trimeonce            0       0

ＵＥＦＩブート環境の場合、以下の内容でファイルを作成する（ＴＲＩＭ／ＵＮＭＡＰ対応環境では sw → sw,trimonce に置き換えること）。

# Device                Mountpoint      FStype  Options                 Dump    Pass #
zroot                   /               zfs     rw,noatime              0       0
/dev/vtbd0p2            /bootdir        ufs     rw,noatime              1       1
/bootdir/boot           /boot           nullfs  rw                      0       0
/dev/vtbd0p1            /boot/efi       msdosfs rw                      0       0
/dev/vtbd0p4.eli        none            swap    sw                      0       0
#/dev/vtbd0p4.eli       none            swap    sw,trimeonce            0       0

両用ブート環境の場合、以下の内容でファイルを作成する（ＴＲＩＭ／ＵＮＭＡＰ対応環境では sw → sw,trimonce に置き換えること）。

# Device                Mountpoint      FStype  Options                 Dump    Pass #
zroot                   /               zfs     rw,noatime              0       0
/dev/vtbd0p3            /bootdir        ufs     rw,noatime              1       1
/bootdir/boot           /boot           nullfs  rw                      0       0
/dev/vtbd0p2            /boot/efi       msdosfs rw                      0       0
/dev/vtbd0p5.eli        none            swap    sw                      0       0
#/dev/vtbd0p5.eli       none            swap    sw,trimeonce            0       0

/tmp/zroot/boot/loader.conf

両用ブート環境では vtbd0p3 → vtbd0p4 と置き換えること。

autoboot_delay="5"
beastie_disable="YES"

#hint.atkbdc.0.disabled="1"
#hint.atkbd.0.disabled="1
hint.psm.0.disabled="1"

zfs_load="YES"
nullfs_load="YES"
geom_eli_load="YES"

vfs.root.mountfrom="zfs:zroot"
vfs.root.mountfrom.options="rw,noatime"

geli_vtbd0p3_keyfile0_load="YES"
geli_vtbd0p3_keyfile0_type="vtbd0p3:geli_keyfile0"
geli_vtbd0p3_keyfile0_name="/vtbd0p3.key"

/tmp/zroot/etc/rc.conf

keymap="jp"
keyrate="fast"
zfs_enable="YES"
clear_tmp_enable="YES"
moused_nondefault_enable="NO"

hostname="ホスト名"

defaultrouter="ＩＰｖ４デフォルトゲートウェイ"
ifconfig_vtnet0="inet ＩＰｖ４アドレス/ネットマスク値 up"

ipv6_defaultrouter="ＩＰｖ６デフォルトゲートウェイ"
ifconfig_vtnet0_ipv6="inet6 ＩＰｖ６アドレス prefixlen 64"

sshd_enable="YES"
ntpd_enable="YES"
ntpd_sync_on_start="YES"

• キーマップは日本語キーボードの場合 jp で、英語キーボードの場合は us で設定する。

• ＩＰｖ４が無い環境では defaultrouter と ifconfig_vtnet0 の設定は不要。

• ＩＰｖ６が無い環境では ipv6_defaultrouter と ifconfig_vtnet0_ipv6 の設定は不要。

• ＩＰｖ６については指定されたインターフェースのみＩＰｖ６が設定されるようになっている。

• 設定のあるインターフェース以外でも「積極的に」ＩＰｖ６を使用したい場合、ipv6_activate_all_interfaces="YES" という設定を追加で入れる。

ＩＰｖ４アドレスをＤＨＣＰで取得する場合

ＩＰｖ４アドレスをＤＨＣＰで動的に取得する場合、設定は下記の通りとなる。

ifconfig_vtnet0="SYNCDHCP"

この時、ＤＨＣＰサーバーからの設定内容を受け取るまで待った後（待たなくていいなら ifconfig_vtnet0="DHCP" でもよいがお勧めしない）、以下の設定が行われる。

• ホスト名（hostname 設定相当）

• 指定したＮＩＣ（vtnet0）に対するＩＰｖ４アドレス（ifconfig_vtnet0 設定相当）

• デフォルトゲートウェイ（defaultrouter 設定相当）

• ＤＮＳキャッシュサーバー情報（/etc/resolv.conf 置き換え）

  • ＤＨＣＰを使用する場合 /etc/resolv.conf の事前設定された内容は保証されない（消えることがある）。

  • よってＤＨＣＰで置き換えて欲しくない設定や、足りない設定の付与等については、/etc/resolvconf.conf にて制御する。

• その他
  • インターフェースのメディア設定
  • インターフェースのＭＴＵ設定
  • 静的ルーティング設定（クラスレスまたはクラスフル）

ＤＨＣＰサーバーから送られてくるこれ以外の情報（例えばＮＴＰサーバーの指定など）については標準的には処理されない。

ＩＰｖ６アドレスをＲＡで取得する場合

ＩＰｖ６アドレスをＲＡで動的に取得する場合、設定は下記の通りとなる。

ifconfig_vtnet0_ipv6="inet6 accept_rtadv"

以下の設定が行われる。

• 指定したＮＩＣ（vtnet0）に対するＩＰｖ６アドレス（ifconfig_vtnet0_ipv6 設定相当）

• デフォルトゲートウェイ（ipv6_defaultrouter 設定相当）

• ＤＮＳキャッシュサーバー情報（/etc/resolv.conf 置き換え）

  • ＲＡを使用する場合 /etc/resolv.conf の事前設定された内容は保証されない（消えることがある）。

  • よってＲＡで置き換えて欲しくない設定や、足りない設定の付与等については、/etc/resolvconf.conf にて制御する。

ＲＡを受けてＤＨＣＰ６サーバーからの追加の情報を受信したい場合（例えばＮＴＰサーバーの指定など）については標準的には処理されない。

/tmp/zroot/etc/resolv.conf

nameserver      ＤＮＳキャッシュサーバー１
nameserver      ＤＮＳキャッシュサーバー２
nameserver      ＤＮＳキャッシュサーバー３
options         edns0 timeout:2 attempts:5

• ＤＮＳキャッシュサーバーを複数指定する（最低でも２台）。
• デフォルトのタイムアウト値は５秒、繰り返し回数は２回（サーバー台数×繰り返し回数がリトライ回数となる）なので調整する。
• 具体的にはタイムアウト値は２秒（最大３０秒）、繰り返し回数を５回（最大５回）に設定する。
• これはＤＮＳキャッシュサーバーの障害に対して早期に回復を図るための設定である。

※/etc/resolv.conf の変更後、デフォルトで２秒以内に反映される（options reload-period:2）。 これはＤＨＣＰ等によるネームサーバーの変更を、反映させるための設定である。

/tmp/zroot/etc/localtime

tzsetup -s -C /tmp/zroot Asia/Tokyo

/tmp/zroot/etc/ntp.conf

--- /etc/ntp.conf.orig  2021-02-12 15:31:56.000000000 +0900
+++ /etc/ntp.conf       2021-02-14 17:49:37.089165000 +0900
@@ -29,7 +29,7 @@
 #
 # The option `iburst' is used for faster initial synchronization.
 #
-pool 0.freebsd.pool.ntp.org iburst
+pool ＮＴＰサーバー iburst

 #
 # If you want to pick yourself which country's public NTP server
@@ -95,6 +95,8 @@
 #
 #server 127.127.1.0
 #fudge 127.127.1.0 stratum 10
+server 127.127.1.0
+fudge 127.127.1.0 stratum 10

 # See http://support.ntp.org/bin/view/Support/ConfiguringNTP#Section_6.14.
 # for documentation regarding leapfile. Updates to the file can be obtained

• 指定されたＮＴＰサーバーが３台以上で「なければ」、追加で pool ntp.nict.jp iburst 行を追加すること。

• ＮＴＰサーバーの台数はＩＰアドレス単位でカウントするので drill ＮＴＰサーバー を実行して、ANSWER SECTION 以下のＩＰアドレスの個数を数えること。

• また指定されたサーバーのＩＰが１つなら、pool ではなく server ＮＴＰサーバー と指定してもよい。

• ＮＴＰサーバーは最低でも３台（＝３ＩＰ）を指定すべき。

/tmp/zroot/etc/ssh/sshd_config

--- /etc/ssh/sshd_config.orig   2021-02-12 06:26:33.000000000 +0000
+++ /etc/ssh/sshd_config        2021-02-14 10:26:06.896045000 +0000
@@ -28,21 +28,21 @@

 # Logging
 #SyslogFacility AUTH
-#LogLevel INFO
+LogLevel VERBOSE

 # Authentication:

 #LoginGraceTime 2m
-#PermitRootLogin no
+PermitRootLogin prohibit-password
 #StrictModes yes
 #MaxAuthTries 6
 #MaxSessions 10

-#PubkeyAuthentication yes
+PubkeyAuthentication yes

 # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
 # but this is overridden so installations will only check .ssh/authorized_keys
-AuthorizedKeysFile     .ssh/authorized_keys
+#AuthorizedKeysFile    .ssh/authorized_keys

 #AuthorizedPrincipalsFile none

@@ -50,7 +50,7 @@
 #AuthorizedKeysCommandUser nobody

 # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
-#HostbasedAuthentication no
+HostbasedAuthentication no
 # Change to yes if you don't trust ~/.ssh/known_hosts for
 # HostbasedAuthentication
 #IgnoreUserKnownHosts no
@@ -58,20 +58,20 @@
 #IgnoreRhosts yes

 # Change to yes to enable built-in password authentication.
-#PasswordAuthentication no
+PasswordAuthentication no
 #PermitEmptyPasswords no

 # Change to no to disable PAM authentication
-#ChallengeResponseAuthentication yes
+ChallengeResponseAuthentication no

 # Kerberos options
-#KerberosAuthentication no
+KerberosAuthentication no
 #KerberosOrLocalPasswd yes
 #KerberosTicketCleanup yes
 #KerberosGetAFSToken no

 # GSSAPI options
-#GSSAPIAuthentication no
+GSSAPIAuthentication yes
 #GSSAPICleanupCredentials yes

 # Set this to 'no' to disable PAM authentication, account processing,
@@ -97,9 +97,9 @@
 #TCPKeepAlive yes
 #PermitUserEnvironment no
 #Compression delayed
-#ClientAliveInterval 0
-#ClientAliveCountMax 3
-#UseDNS yes
+ClientAliveInterval 120
+ClientAliveCountMax 30
+UseDNS no
 #PidFile /var/run/sshd.pid
 #MaxStartups 10:30:100
 #PermitTunnel no

/tmp/zroot/root/.ssh/authorized_keys

mkdir -p /tmp/zroot/root/.ssh
# /tmp/zroot/root/.ssh/authorized_keys ファイルを編集 #

authorized_keys ファイルを設置すること。またこの時ネットワークからダウンロードできるようにしておくと便利。
ネットワークに接続して authrized_keys ファイルを取得、設置する場合は下記のような手順となる。

chroot /tmp/zroot service netif start
chroot /tmp/zroot service routing start

mount -t devfs devfs /tmp/zroot/dev
chroot /tmp/zroot fetch -o /root/.ssh/authorized_keys https://....
umount /tmp/zroot/dev

/mnt/boot/zfs/zpool.cache

umount /tmp/zroot/boot

zpool export zroot
zpool import -o cachefile=/mnt/boot/zfs/zpool.cache -o altroot=/tmp/zroot zroot
zpool export zroot
zpool import zroot

再起動する

reboot

よくある質問とその答え

Ｑ．ＳＨＡ－ＮＩに対応したＣＰＵなんてあるんですか？

Ａ．２０２１年２月現在のＩｎｔｅｌ製ＣＰＵ（Cooper Lake、Comet Lake、Tiger Lake、Tremont）において、サーバー（Ice Lake-SP 以降）・デスクトップ（Rocket Lake 以降）向けでは存在しない。
モバイル（Ice Lake 以降）向けおよび組み込み（Goldmont 以降）向けのＣＰＵでのみ対応している状況である。
またＡＭＤ製ＣＰＵにおいてＺＥＮアーキテクチャから対応してるので、ＲＹＺＥＮシリーズ（ＥＰＩＣシリーズ）では当たり前に対応してると言える。

Ｑ．これ全部手で入力するんですか？

Ａ．ここまでコマンドで手順化できてるなら、自動化は難しくない！と思われ。
最初から用意してくれ、という向きがあるかもしれないけど、コードだけ読まされても理解できないなら意味ないし。

クラウド環境だとシングルディスク構成がほとんどだろうから、ここに書いた手順で十分だとは思うけど、 物理環境だとマルチディスク構成を組むとして、どう設計するかは自分で考えないといけないから、
ここでの手順は参考になると思う。どこに何をどう挟み込めばいいのか、という議論はあるけど。

Ｑ．ＺＦＳパーティションを確保するときの計算式が意味不明です。説明求む！

Ａ．ＬＢＡは０から始まるので、次の開始位置は領域のサイズ（の累計）となる。まずこれが前提。
５１２ＫＢ境界は１０２４ブロック、１ＭＢ境界は２０４８ブロック、１ＧＢは２０９７１５２ブロックとなるので、 パーティションの開始位置が各境界のブロックで割った余りが０であることを確認する。

ＴＯＤＯ

参考文献

• ＦｒｅｅＢＳＤ１３

  • FreeBSD 13.0-RELEASE Announcement

  • FreeBSD 13.0-RELEASE Release Notes

• マニュアル

  • adjkerntz(8) ※ＣＭＯＳクロックの取り扱いに関するマニュアル

  • gpart(8) ※パーティションの取り扱いに関するマニュアル

  • gptboot(8) ※freebsd-boot パーティションにインストールするブートローダ（ＵＦＳ専用）に関するマニュアル

  • gptzfsboot(8)　※freebsd-boot パーティションにインストールするブートローダ（ＺＦＳ専用）に関するマニュアル

  • geli(8)　※ＧＥＯＭ層における暗号処理機能に関するマニュアル

  • loader.conf(5)　※/boot/loader.confに関するマニュアル

  • rc.conf(5)　※/etc/rc.confに関するマニュアル

• パーティショニング・ブート処理に関する参考文献

  • ＢＩＯＳブートとＵＥＦＩブートでＧＰＴパーティションの違いと作り方

  • FreeBSDのブートプロセス

  • loader.efiで任意のパーティションのFreeBSDをブートする

  • FreeBSDのboot1.efiがもう使われていなかった件

  • LinuxがGPTを1MB確保するのはWindowsとの互換性のため

  • FreeBSD UEFI Secure Boot

• ハードウェア情報

  • デスクトップ向けIntelプロセッサー・ナンバー一覧表

  • モバイル向けIntelプロセッサー・ナンバー一覧表

  • AMDモデルナンバー一覧表

  • Intel、「Ice Lake世代の32コアXeonは64コアEPYCを上回る性能」

  • Intel、デスクトップ向け第11世代Core「Rocket Lake-S」の詳細を発表

  • 第11世代Core「Tiger Lake」の新要素まとめ

  • Intel、2021年にCore/Atom両系統のCPUを搭載したクライアントPC向けCPU「Alder Lake」を投入へ

  • Intel、bfloat16対応の第3世代Xeon SP「Cooper Lake」を投入