FreeBSD:FreeBSD7.0(amd64)OS標準設定
提供:KinusatiWiki
目次 |
OS基本設定
レソルバ設定
/etc/resolv.confにDNSサーバ情報を登録する。参照先はIIJ DNSとする。
search foo.bar.com nameserver 202.232.2.38 nameserver 202.232.2.39
NTP設定
時刻同期のためNTPを設定する。
ntpdate設定
/etc/rc.confに以下の項目を追加する
ntpdate_enable="YES" ntpdate_flags="-b ntp.jst.mfeed.ad.jp"
ntpdateを実行する
# /etc/rc.d/ntpdate start
ntpd設定
/etc/rc.confに以下の項目を追加する
ntpd_enable="YES"
/etc/ntp.confを以下で設定する
server ntp1.jst.mfeed.ad.jp broadcastdelay 0.008 driftfile /var/run/ntp.drift server 127.127.1.0 # local clock fudge 127.127.1.0 stratum 10 restrict 210.173.160.27 nomodify notrap noquery restrict 127.0.0.0 mask 255.0.0.0 restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap restrict default ignore
ntpdを起動する
# /etc/rc.d/ntpd start
ntpd起動状況を確認する
# ntpq -p
ports
パッケージ管理にportsを利用する。
portsデータを最新に更新する
cvsupを利用する
# cd /usr/share/examples/cvsup # cp ports-supfile /usr/local/etc/ # cd /usr/local/etc # sed -e 's/host=CHANGE_THIS.FreeBSD.org/host=cvsup.jp.freebsd.org/' ports-supfile > ports-supfile.new # cp ports-supfile.new ports-supfile # rm ports-supfile.new # cvsup /usr/local/etc/ports-supfile
BerkeleyDB 4.6を導入する
# cd /usr/ports/databases/db46 # make install && make clean
portupgradeを導入しportsdbを更新する
# cd /usr/ports/ports-mgmt/portupgrade # make install && make clean # portsdb -uU # portversion | grep "<"
OS標準パッケージ導入
X11の利用停止
/etc/make.confに以下設定を追加しX11を利用しないようにする
WITHOUT_X11=yes
追加パッケージ導入
iconv, bash3, sudo, vim, lvを導入する。
# WITH_EXTRA_PATCHES=yes portupgrade -f converters/libiconv # portinstall -R -P bash # portinstall -R -P sudo # portinstall -R -P vim # portinstall -R -P lv # portinstall -R -P screen
wheelグループ設定
rootアカウントを利用するユーザをwheelグループに登録する。/etc/groupsを以下の通り修正する。
wheel:*:0:root,foo,bar
sudo設定
wheelグループに対して権限を付与する
# visudo %wheel ALL=(ALL) ALL => コメントアウトを外す
セキュリティ設定
ログイン時のバナー表示を抑制する
# cp /dev/null /etc/motd
kernelセキュリティをレベル1に変更する
/etc/rc.confに以下の設定を追加
kern_securelevel="1" kern_securelevel_enable="YES"
設定変更後再起動
# sync;sync;sync;reboot
不要ユーザの削除
toorユーザを削除
# pw user del toor
syslogdのUDP停止(udp 514停止)
/etc/rc.confに以下の設定を追加
# syslogd syslogd_flags="-ss"
syslogdの再起動
# /etc/rc.d/syslogd restart
cron制限
cron利用可能ユーザの制限
rootユーザのみcronを利用可能とする。/var/cron/allowファイルを新規作成後以下のユーザを追加する
root
crontabのパーミッション変更
crontabはroot:wheelグループのみが参照可能とする。/etc/crontabファイルのパーミッションを落とす
# chmod 640 /etc/crontab
アカウンティング
コマンド実行履歴を取得するため、アカウンティングを有効にする。/etc/rc.confに以下を追加する
accounting_enable="YES"
rootユーザのホームディレクトリセキュリティ
/rootのパーミッションを以下に変更する
# chmod 750 /root
管理運用設定
syslog出力変更
コンソールログをログに出力する
/etc/syslog.confを修正する
console.info /var/log/console.log => コメントアウトを外す
console.logファイルを作成する
# touch /var/log/console.log
syslogdを再起動する
# /etc/rc.d/syslogd restart
ログローテーション
newsyslog利用時の保管日数を186日に変更するため、/etc/newsyslog.confを修正する
/var/log/all.log 600 186 = @T00 J /var/log/amd.log 644 186 100 @T00 J /var/log/auth.log 600 186 = @T00 JC /var/log/console.log 600 186 = @T00 J /var/log/cron 600 186 = @T00 JC /var/log/daily.log 640 7 = @T00 JN /var/log/debug.log 600 186 = @T00 JC /var/log/kerberos.log 600 186 = @T00 J /var/log/lpd-errs 644 186 = @T00 JC /var/log/maillog 640 186 = @T00 JC /var/log/messages 644 186 = @T00 JC /var/log/monthly.log 640 12 = $M1D0 JN /var/log/pflog 600 186 = @T00 JB /var/run/pflogd.pid /var/log/ppp.log root:network 640 186 = @T00 JC /var/log/security 600 186 = @T00 JC /var/log/sendmail.st 640 186 = 168 B /var/log/slip.log root:network 640 186 = @T00 JC /var/log/weekly.log 640 5 1 $W6D0 JN /var/log/wtmp 644 186 = @01T05 B /var/log/xferlog 600 186 = @T00 JC
