分类： *BSD

学习BSD-UNIX系统

让FreeBSD更安全(Securing FreeBSD)

前几天我整理了过去的一些笔记，以及近几年收集的一些安全建议。我认为这可能对您有帮助，所以本周我就暂停文档系列的文章，写一点关于使你的FreeBSD系统更安全的内容。

很明显，在这个领域我不可能用一篇文章全面地介绍所有的事情。另外，也不可能给出一个防止四海皆准的，保证任何系统都安全的方案。

在我整理笔记的过程中，我注意到很多都是关于如何让FreeBSD服务器(如，Web服务器，邮件服务器，等等)更安全的方法。如果你用FreeBSD做为个人系统，并希望完全的桌面功能的话，这就不太够用了。你肯定不愿意因为某些强化安全的设置，造成某些功能无法使用，并在此后的一周内孤立无援地与计算机进行搏斗，直到找到问题的所在。

因此，你将注意到，和许多其它安全教程不同，这份文档并不建议你修改FreeBSD系统中文件的权限。这是有意的。除非你正在强化一台生产服务器的安全性，并且十分明白自己在做什么，否则绝不要修改文件的权限。(如果你一定要做做实验的话，请在自己的home文件夹中作)。不然的话，一些东西可能就会停止工作，例如，电子邮件，X Window系统，声音。怪事会在不经意的时刻发生，让你头疼良久之后才意识到可能是一周前的某个权限设置造成的问题。

我们都知道Internet并不总是一个友好的地方，而且你可能也不想让另一个地方的人拥有与你一样的访问许可权限。这意味着你可能不希望在没有某种防火墙的前提下访问Internet。幸运的是，你的FreeBSD系统支持良种防火墙：ipfw 和 ipfilter。更令人振奋的是，通俗易懂的文档正在迅速增加。如果你不在防火墙后面，那么请花一个周六下午的时间读一读如何在你的系统上配置防火墙的文章，并操练一把。你将为此感到愉快，以下是一部分可用的资源：

man ipfw

FreeBSD Handbook: Section 10.7 — Firewalls

Setting Up a Dual-Homed Host using IPFW and NATD

man ipf

IPFilter and PF resources

好的安全总是“层层设防”，这意味着如果一个机制失效了，仍然有备用的机制。即使你的系统已经受到了防火墙的保护，你仍然需要禁用所有服务，除了那些绝对需要的。在桌面系统中，不需要很多的服务。

用下面的命令可以查看哪些服务正在试图监听连接你的系统：

sockstat -4

输出的差别可能很大，这取决于在安装的最后阶段选择的软件，以及之后自行安装的port和package。

端口6000(X Window服务器)是输出中非常常见的；如果没看到它的话，启动一个X Window会话，然后重新运行 sockstat -4。不幸的是，在过去的几年中有很多针对X Window的攻击。幸运的是，使用X并不需要打开6000端口，不必担心，即使关闭了这个端口，仍然可以使用图形界面！

许多方法可以关掉这个端口。我发现的最简单的方法是成为超级用户，并编辑 /usr/X11R6/bin/startx。找到 serverargs 那一行，并把它改为类似下面的样子：

serverargs=”-nolisten tcp”

保存修改之后，以普通用户身份运行X并执行 sockstat -4。如果没有打字错误，那么X会像往常那样启动，但 sockstat -4 输出中不会再出现端口6000。

如果想了解6000端口打开的后果，请阅读 Crash Course in X Window Security。

好了，现在 sockstat -4 输出中的服务少了一个。我们还需要处理一下邮件：端口 25 (smtp) 和 587 (submission)。收发邮件并不需要 587 端口，为了关闭它，我们需要修改 /etc/mail/sendmail.cf。查找这一行：

O DaemonPortOptions=Port=587, Name=MSA, M=E

然后在前面加上 #，并告诉 sendmail 变化：

killall -HUP sendmail

-HUP 不会杀掉 sendmail，但他会告诉sendmail重新处理 /etc/mail/sendmail.cf。重复sockstat -4，它将不再显示 587。

那么端口25呢？你可能需要，也可能不需要打开这个端口，这取决于使用什么样的邮件程序来收发邮件。对于运行 FreeBSD 4.6-RELEASE 或更高版本的系统，在/etc/rc.conf中增加下面的行：

sendmail_enable=”NO”

将告诉 sendmail 只监听 localhost，这允许所有的邮件客户程序发送邮件。如果你知道你的邮件客户程序带有内置的SMTP代理，或者喜欢冒险，那么可以尝试一下：

sendmail_enable=”NONE”

这将彻底关闭25端口。检查一下这是否让你无法发送邮件是很重要的，确保已经关掉了所有应用程序，随后，以超级用户身份执行：

shutdown now

收到提示后按回车、exit。重新登录后给自己发一封邮件，如果收不到，那么把NONE改回NO。

如果你的”sockstat”显示端口111打开，那么把下面几行加到 /etc/rc.conf (或者，如果已经有这些行，把 YES 改为 NO):

nfs_server_enable=”NO”

nfs_client_enable=”NO”

portmap_enable=”NO”

Portmap只有在运行NFS时才是必需的，而这往往不是FreeBSD桌面系统的需要。历史上它有过很多安全问题，因此除非你绝对需要它，否则就别用。

syslog (端口 514) 也可能出现在你的输出结果中。我们可能并不希望完全关掉 syslog，因为它提供的消息记录是我们需要的。但我们并不需要为此打开端口。在 /etc/rc.conf 文件中增加下面的选项:

syslogd_enable=”YES”

syslogd_flags=”-ss”

标志中的ss (确认用了两个s，而不是一个) 将禁止来自远程主机的记录并关闭端口，但仍然允许 localhost 进行日志记录。

随后，确认 /etc/rc.conf 中inetd_enable不是YES。如果sockstat输出中有inetd，那么/etc/inetd.conf中肯定有什么项目没有被注释掉，如果不需要的话，那么把那一行前面加上#，并 killall inetd。

如果需要使用DHCP自动获取地址，那么请保持dhclient (udp 68)打开，否则将不能刷新地址。

如果在 sockstat 输出中发现了其他东西，那么请看看 man rc.conf 里面有没有关于如何关掉这些东西的提示。如果没有的话，那么很可能是某个启动脚本启动了一些服务程序，请执行：

cd /usr/local/etc/rc.d

来看看你的系统中的启动脚本。绝大多数 packages/ports 会安装一个扩展名为sample的示范脚本用于启动服务，这些脚本并不被执行；也有一些直接安装能够执行的脚本，它们会在计算机启动的时候加载。禁止某个脚本知性最简单的方法是把它的扩展名改为sample，随后杀掉守护程序，这样sockstat就不会再说什么了。举例来说，我最近安装了 ethereal 结果发现 snmpd 出现在 sockstat -4 的输出中，这个程序在安全方面名声不佳，因此我把自己升级为root并执行了下面的命令：

cd /usr/local/etc/rc.d

mv snmpd.sh snmpd.sh.sample killall snmpd

你可能会希望把下面的选项加入 /etc/rc.conf：

tcp_drop_synfin=”YES”

这个选项可以挫败诸如OS指纹识别的企图(译注：这个选项对最新的nmap无效)。如果你打算开启这个选项，那么，还需要在内核编译配置文件中加入：

options TCP_DROP_SYNFIN

还有两个相关的选项：

icmp_drop_redirect=”YES”

icmp_log_redirect=”YES”

ICMP 重定向可以被利用完成DoS攻击。这篇 ARP and ICMP redirection games article 介绍了具体的一些情况。

在打开 icmp_log_redirect 选项时请务必小心，因为它会记录每一个ICMP重定向，如果你遭到了这样的攻击，那么日志很可能会塞满记录。

建好防火墙之后，请考虑加入下面的选项：

log_in_vain=”YES”

这个选项会记录每一个到关闭端口的连接企图。另一个比较有意思的选项是：

accounting_enable=”YES”

这将打开系统审计功能，如果你不熟悉他们，那么请阅读 man sa 和 man lastcomm。

最后，下面的选项可能非常有用：

clear_tmp_enable=”YES”

因为它在系统启动时将清空 /tmp，这永远是一件值得去做的事情。

让我们来研究一下其他能够加强安全的设置。我比较喜欢把默认的口令加密算法改为Blowfish，因为它在提供最佳安全性的前提下，也提供了最快的速度。这里有一份 comparison of algorithms[几种密码学算法的比较]。

当然，如果你对这类东西感兴趣的话，看看 Cryptogram newsletter，它是Blowfish作者写的。

为了启用 Blowfish 散列，编辑 /etc/login.conf 并把 passwd_format 一行改成下面这样：

:passwd_format=blf:\

保存设置，重新创建登录数据库：

cap_mkdb /etc/login.conf

随后需要修改每一个用户的口令，以便让这些口令都使用 Blowfish 散列值。以超级用户的身份执行下面的命令：

passwd username

需要修改所有用户的口令，包括root自己。

完成了这些操作之后，重新检查一下确认自己没有遗漏什么：

more /etc/master.passwd

所有用户的口令应该以$2.开始

最后，重新配置 adduser 程序，让它在以后使用Blowfish。修改 /etc/auth.conf，找到 crypt_default 一行，改为：

crypt_default=blf

你可能已经注意到，每次登录的时候FreeBSD都会提示你，你在用的那个系统是FreeBSD，以及它的版权信息，包括内核的编译时间，等等。这些信息可能有用，但相当烦人，特别是当别人可以登录的时候，它可能会暴露一些你不希望暴露的信息。

可以通过编辑 /etc/motd 来阻止计算机说出一些不该说的东西，或者宣扬你的一些想法，包括你喜欢看的 sci-fi 文摘，或者其他一些——总之你想写什么就写什么。

随后，删除版权信息：

touch /etc/COPYRIGHT

随后，还可以修改登录提示，编辑 /etc/gettytab. 找到 default:\ 小节，它以下面的文字开头：

:cb:ce:ck:lc

小心地修改 \r\n\ \r\n\r\nr\n: 之间的文字来适应自己的需要。请仔细检查 \r 和 \n 的数量，并保存修改。例如，我的登录提示是这样的：

I’m a node in cyberspace. Who are you?

login:

可以在其他终端上尝试登录，以确认正确性。

最后，即使你已经修改了motd并从中删除了内核版本信息，默认情况下FreeBSD仍然会在启动之后把这些东西加入 /etc/motd。因此需要修改 /etc/rc.conf 并加入下面的设置：

update_motd=”NO”

这个设置需要重新启动才会生效。

此外，限制登录也是非常重要的。因为这些变动会改变 login 程序的行为，因此需要非常谨慎。比较好的习惯是保持一个以root身份登录的终端，用其他终端尝试。这样如果由于某种原因造成问题，你仍然可以改正。

包括你自己在内的任何人都不应该直接以root身份登录。修改 /etc/ttys。你将注意到 ttyv0 到 ttyv8的一系列设置。把后面的 secure 改为 insecure。注意，这个文件肯定是你不希望有任何错误的一个文件，因此请仔细地进行测试。如果设置正确，root登录将收到 “Login incorrect”。

我个人倾向于使用所有的9个终端。如果你不打算这样，请把对应的 “on” 改为 “off”，当然，只是一部分 ttys。切记保持至少1个 “on,” 否则你会无法登录，这将导致系统无法使用。ttyv8 默认情况下是 “off”，这意味着你需要手动打开X，如果希望自动启动，那么把它改为”on.”。

最后一个我想说的限制是阻止从其他地方登录，这是通过编辑 /etc/login.access 实现的。

你可能希望禁止一切远程登录（这意味着你必须物理地坐在机器前面），删除下面这一行前面的#号：

#-:wheel:ALL EXCEPT LOCAL .win.tue.nl

把 .win.tue.nl 去掉，于是它看起来将像这样：

-:wheel:ALL EXCEPT LOCAL

如果你需要从远程登录，那么把.win.tue.nl 替换为相应的IP或域名。如果有多个地址，用空格分开。

如果只有一两个用户的话，那么可以拒绝其他人登录：

-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4

用具体的用户名替换掉 user1 user2。如果需要的话，增加相应的tty。

另外，也可以把用户组方在这里。首先，编辑 /etc/group 并增加下面的行：

mygroup:*:100:genisis,dlavigne6,biko

当增加组时，需要保证GID的唯一性。

随后，修改 /etc/login.access：

-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5

测试它非常重要，一定要留一个终端。测试每一个终端上的登录，确认其效果。

2012-07-17
Apache/MySQL/PHP/phpMyAdmin on FreeBSD
1. Introduction:

This article describes how to setup Apache, MySQL, PHP and phpMyAdmin on a server running FreeBSD. The article was written for the software versions below but is likely to work on newer versions without too much difficulty.

2. Software:

Operating System: FreeBSD 7.0 for i386 Download

Apache: 2.2.8 Installed from Ports Collection

MySQL Server: 5.0.51a Installed from Ports Collection

PHP & Extensions: 5.2.5 Installed from Ports Collection

phpMyAdmin: 2.11.5 Installed from Ports Collection

3. Before you begin:

This article assumes you have a working install of FreeBSD 6.2 for i386 logged in as root (or another user in the wheel group and you have used “su”) with the ports collection installed. You can use sysinstall, cvsup or portsnap to install the ports distribution if you have not already done so. See point 2 below.

Update your ports collection (portsnap fetch, portsnap extract.) (See the FreeBSD Handbook Section 4.5.1)

4. Installing MySQL:

(1) Go to the mysql50-server port directory by typing the command:

cd /usr/ports/databases/mysql50-server

(2) Build the port by typing: (This takes AGES – good time for some food.)

make BUILD_OPTIMIZED=yes BUILD_STATIC=yes

(3) Install by typing:

make install clean

(4)Open /etc/rc.conf with your favourite text editor and add the line shown below. This will ensure mysql is enabled and starts on boot.

mysql_enable=”YES”

(5)Start mysql manually to avoid having to reboot now by typing:

/usr/local/etc/rc.d/mysql-server start

(6)Set a password for the MySQL root user by executing the command, subtituting your own password in place of new-password:

/usr/local/bin/mysqladmin -uroot password ‘new-password’

And you’re done! MySQL is installed.

5.Installing Apache

(1)Go to the apache22 port directory by typing the command:

cd /usr/ports/www/apache22

(2)Build and install the port by typing: (This takes a while, coffee time!)

make install clean

Note: You may want to disable the two DAV options if you don’t need them when prompted

(3)Open /etc/rc.conf with your favourite text editor and add the line shown below. This will ensure apache is enabled and starts on boot.

apache22_enable=”YES”

6.Installing PHP

(1)Go to the php5 port directory by typing the command:

cd /usr/ports/lang/php5

(2)Build and install the port by typing: (Just accept the default options, this takes a while, more coffee.)

make install clean

Make sure the APACHE (Build Apache module) option is ticked when configuring the build, leaving all other options as default, before selecting OK.

(3)Go to the php5-extentions meta port directory by typing the command:

cd /usr/ports/lang/php5-extentions

(4)Build and install the port by typing: (Just accept the defaults here, phpMyAdmin will install any other extensions required itself)

make install clean

(5)Install the php.ini file:

cp /usr/local/etc/php.ini-dist /usr/local/etc/php.ini

版本不同，只面的文件可能有所改变

php.ini-production对应于php.ini-recommended

php.ini-development对应于php.ini-dist

php.ini-development 开发用的，php.ini-produciton 生产机用的，如果做站的话，我觉得应该将php.ini-produciton改为php.ini，用php.ini-produciton可能会出现无法支持PHP，修改php.ini中的短标签开关short_open_tag=Off在作怪,改成On就行了

(6)Edit your Apache configuration file (/usr/local/etc/apache22/httpd.conf) and add the following lines to the end of the file:

AddType application/x-httpd-php .php

AddType application/x-httpd-php-source .phps

Note: You can add additional extenions other than .php (eg .phtml) seperated by spaces.

Note: The second line is optional, it will show colour highlighted PHP source for .phps files.

(7)You should also search for the line that reads:

DirectoryIndex index.html

and change it to read:

DirectoryIndex index.php index.html

Note: You may also add index.phtml or any other default page if you added additional extentions in the previous step.

(8)Enable language settings by searching for the line:

#Include etc/apache22/extra/httpd-languages.conf

and removing the # comment mark so it reads:

Include etc/apache22/extra/httpd-languages.conf

(9)Edit the language settings file (/usr/local/etc/apache22/extra/httpd-languages.conf) and add the following line at the end of the file:

AddDefaultCharset On

(10)Start Apache using the startup script:

/usr/local/etc/rc.d/apache22 start

And you’re done! Apache with PHP is installed.

安装Zend Optimizer

cd /usr/ports/devel/ZendOptimizer/

make install clean

===> ZendOptimizer-3.3.0.a cannot install: doesn’t work with PHP version : 5 (Doesn’t support PHP 5).

*** Error code 1

Stop in /usr/ports/devel/ZendOptimizer.

注:如果你用的是FreeBsd8.0版本的可能会出现上面的情况,这里可以使用使用pkg_add命令来安装Zend Optimizer.

#pkg_add -r ZendOptimizer

#rehash

执行结果将类似如下:

Fetching ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.0-release/Latest/ZendOptimizer.tbz… Done.

pkg_add: warning: package ‘ZendOptimizer-3.3.0.a’ requires ‘libxml2-2.7.5’, but ‘libxml2-2.7.7’ is installed

pkg_add: warning: package ‘ZendOptimizer-3.3.0.a’ requires ‘php5-5.2.11’, but ‘php5-5.3.2’ is installed

********************************************************************************

You have installed the ZendOptimizer package.

Edit /usr/local/etc/php.ini and add:

[Zend]

zend_optimizer.optimization_level=15

zend_extension_manager.optimizer=”/usr/local/lib/php/20060613/Optimizer”

zend_extension_manager.optimizer_ts=”/usr/local/lib/php/20060613/Optimizer_TS”

zend_extension=”/usr/local/lib/php/20060613/ZendExtensionManager.so”

zend_extension_ts=”/usr/local/lib/php/20060613/ZendExtensionManager_TS.so”

NOTE: PHP should be compiled in non-debug mode (default).

********************************************************************************

虽然居然成功了,但也可能用phpinfo时候还是不行的![可惜最后还是不行，得到的教训是，不要用太新的版本，这样资料和环境的支持会很不完善。]

7.Installing phpMyAdmin

(1)Got to the phpmyadmin port directory by typing the command:

cd /usr/ports/databases/phpmyadmin

(2)Build and install the port by typing: (Just accept the default options)

make install clean

(3)phpMyAdmin is now installed in /usr/local/www/phpMyAdmin. To use it we need to create Alias and Directory entries in /usr/local/etc/apache22/httpd.conf. To do this, add the following lines to the <IfModule alias_module> section (just search for where all the other Alias commands are.)

Alias /phpmyadmin /usr/local/www/phpMyAdmin

(4)As /usr/local/www/phpMyadmin is outside of the Apache <DocumentRoot> you will have to make a <Directory> entry for it too. Add the following lines to the end of the <Directory> section: (just search for </Directory>)

<Directory “/usr/local/www/phpMyAdmin”>

Order allow,deny

Allow from all

</Directory>

Note:You may prefer to put the Alias entry inside a <VirtualHost> entry if you are hosting multiple sites using name based virtual hosting and do not wish to enable phpMyAdmin on all the sites.

(5)Create a config directory for phpMyAdmin and make it globally read/write/executable by typing the commands:

cd /usr/local/www/phpMyAdmin

mkdir config

chmod 777 config

(6)Restart Apache so that the Alias and Directory entries take effect by typing:

/usr/local/etc/rc.d/apache22 restart

(7)Configure phpMyAdmin by going to http://hostname/phpmyadmin/scripts/setup.php in your browser and set at least the following:
- Add Server
Save the configuration using the Save button in the Configuration section.

(8)For the changes to take effect you must copy the generated config file from the phpMyAdmin/config directory to the phpMyAdmin directory by typing the following command: (Note the space dot at the end of the command)

cp config/config.inc.php .

(9)You can now delete the config directory you created earlier and reset the permissions on the config.inc.php file to read only typing the commands:

rm -rf config

chmod 444 config.inc.php

(10)That’s it! You can place your web site in /usr/local/www/data/ and access phpMyAdmin at http://hostname/phpmyadmin/ in your web browser and logging in using username root and the MySQL password you set earlier.

以上安装完，可能有所出入，特别是Apache22可能无法启动,以下两点是一些总结：

1:注意：apache22有个bug，不能启动FreeBSD自带的一个基于http端口过滤的模块。这个模块的作用很不错——检查HTTP请求是否完整，符合规则accpt一个Http进程，否则就扔掉。你会遇到如下提示

[Sat Jan 23 22:47:29 2010] [warn] (2)No such file or directory: Failed to enable the ‘httpready’ Accept Filter 解决方法是：

#kldload accf_http 或者将/boot/defaults/loader.conf==> accf_httpd_load=”YES”

2.apache22无法启动时，进入/var/logo查看httpd_error.log，如果出现以下提示：

[alert] (EAI 8)hostname nor servname provided, or not known: mod_unique_id: unable to find IPv4 address of “shao Configuration Failed

解决方法：进入/usr/local/etc/apache22 ee ./httpd.conf

将LoadModule unique_id_module libexec/apache2/mod_unique_id.so注释掉

然后启动/usr/local/etc/rc.d/apache22 start即可.

一个IP多个域名添加方法

在httpd.conf中去掉httpd-vhosts.conf那一栏注释，然后进入/usr/local/etc/apache22/extra/修改httpd-vhosts.conf网站域名对应的目录，还要加

<Directory “/usr/home/www/jpeps.com”>

Options FollowSymLinks

AllowOverride None

Order allow,deny

Allow from all

</Directory>

<IfModule dir_module>

DirectoryIndex index.html index.htm index.php

</IfModule>

添加php.ini 被禁用的函数（disable_functions）

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
2012-07-12
Freebsd9.0安装Nginx+PHP-FPM+MySQL+eAccelerator+Memcached+phpMyAdmin

更新 ports

第一种方式: portsnap (自带)

首先修改/etc/portsnap.conf

SERVERNAME=portsnap.cn.freebsd.org

1.下载压缩的 Ports 套件快照到 /var/db/portsnap

# portsnap fetch

2.假如是首次运行 Portsnap，则需要将快照释放到 /usr/ports：

# portsnap extract

如果您已经有装好的 /usr/ports 而只想更新，则应执行下面的命令：

# portsnap update

完成后需要退出终端重新登陆。

复制cvsup更新配置文件

# cp /usr/share/examples/cvsup/ports-supfile /etc/supfile

下面是我使用的配置，屏蔽了desktop等一些服务器用不到的软件包，源已经改成中国镜像，速度比国外的主服务器要快很多

# $FreeBSD: release/9.0.0/share/examples/cvsup/ports-supfile 219858 2011-03-22 04:31:35Z glebius $

#

# This file contains all of the “CVSup collections” that make up the

# FreeBSD-current ports collection.

#

# CVSup (CVS Update Protocol) allows you to download the latest CVS

# tree (or any branch of development therefrom) to your system easily

# and efficiently (far more so than with sup, which CVSup is aimed

# at replacing). If you’re running CVSup interactively, and are

# currently using an X display server, you should run CVSup as follows

# to keep your CVS tree up-to-date:

#

# cvsup ports-supfile

#

# If not running X, or invoking cvsup from a non-interactive script, then

# run it as follows:

#

# cvsup -g -L 2 ports-supfile

#

# You may wish to change some of the settings in this file to better

# suit your system:

#

# host=CHANGE_THIS.FreeBSD.org

# This specifies the server host which will supply the

# file updates. You must change it to one of the CVSup

# mirror sites listed in the FreeBSD Handbook at

# http://www.freebsd.org/doc/handbook/cvsup.html#CVSUP-MIRRORS.

# You can override this setting on the command line

# with cvsup’s “-h host” option.

#

# base=/var/db

# This specifies the root where CVSup will store information

# about the collections you have transferred to your system.

# A setting of “/var/db” will generate this information in

# /var/db/sup. You can override the “base” setting on the

# command line with cvsup’s “-b base” option. This directory

# must exist in order to run CVSup.

#

# prefix=/usr

# This specifies where to place the requested files. A

# setting of “/usr” will place all of the files requested

# in “/usr/ports” (e.g., “/usr/ports/devel”, “/usr/ports/lang”).

# The prefix directory must exist in order to run CVSup.

# Defaults that apply to all the collections

#

# IMPORTANT: Change the next line to use one of the CVSup mirror sites

# listed at http://www.freebsd.org/doc/handbook/cvsup.html#CVSUP-MIRRORS.

*default host=cvsup.cn.FreeBSD.org

*default base=/var/db

*default prefix=/usr

*default release=cvs tag=.

*default delete use-rel-suffix

# If you seem to be limited by CPU rather than network or disk bandwidth, try

# commenting out the following line. (Normally, today’s CPUs are fast enough

# that you want to run compression.)

*default compress

## Ports Collection.

#

# The easiest way to get the ports tree is to use the “ports-all”

# mega-collection. It includes all of the individual “ports-*”

# collections,

#ports-all

# These are the individual collections that make up “ports-all”. If you

# use these, be sure to comment out “ports-all” above.

#

# Be sure to ALWAYS cvsup the ports-base collection if you use any of the

# other individual collections below. ports-base is a mandatory collection

# for the ports collection, and your ports may not build correctly if it

# is not kept up to date.

ports-base

#ports-accessibility

#ports-arabic

ports-archivers

#ports-astro

#ports-audio

ports-benchmarks

#ports-biology

#ports-cad

#ports-chinese

#ports-comms

ports-converters

ports-databases

#ports-deskutils

ports-devel

ports-dns

ports-editors

#ports-emulators

#ports-finance

#ports-french

ports-ftp

#ports-games

#ports-german

#ports-graphics

#ports-hebrew

#ports-hungarian

#ports-irc

#ports-japanese

#ports-java

#ports-korean

ports-lang

ports-mail

ports-math

ports-misc

#ports-multimedia

ports-net

#ports-net-im

#ports-net-mgmt

#ports-net-p2p

#ports-news

#ports-palm

#ports-polish

#ports-ports-mgmt

#ports-portuguese

#ports-print

#ports-russian

#ports-science

ports-security

ports-shells

ports-sysutils

ports-textproc

#ports-ukrainian

#ports-vietnamese

ports-www

#ports-x11

#ports-x11-clocks

#ports-x11-drivers

#ports-x11-fm

#ports-x11-fonts

#ports-x11-servers

#ports-x11-themes

#ports-x11-toolkits

#ports-x11-wm

然后更新 Ports到最新

# cvsup -L 2 -g /etc/supfile

安装 screen（这个是很有必要，除非你在本地）

除非你确信在最长可达半天的编译时间里不会因为任何因素掉线,否则尽可能用屏幕保持软件,如果编译一大半突然断线,那就很麻烦了

# cd /usr/ports/sysutils/screen/

# make install clean

options 里直接点 OK 就可以了。编译安装完成后，打入 screen 进入 screen 环境，会有一个提示信息，直接点击回车就好，然后正常进行编译过程。如果断线，可以在重新连上 SSH 后通过下面的命令回到前面的工作中。

screen -r

安装 MySQL

Ports 里提供了很多版本的 MySQL，这里我选择了 5.5

# cd /usr/ports/databases/mysql55-server

# make WITH_CHARSET=gbk WITH_XCHARSET=all BUILD_OPTIMIZED=yes BUILD_STATIC=yes install clean

即可，慢慢等吧，要花一些时间的。

如果提示 Error when bootstrapping CMake: Cannot find appropriate Makefile processor on this system. Please specify one using environment variable MAKE.

安装下cmake即可:

pkg_add cmake -v -r

安装完成后，在 /usr/local/share/mysql/ 里有很多预先设置好的 MySQL 配置文件，可以根据自己的需要选择这些预先设置好的文件，或者根据自己的需要，写配置文件。

# cp /usr/local/share/mysql/my-medium.cnf /usr/local/etc/my.cnf

# rehash

# echo mysql_enable=”YES” >> /etc/rc.conf

# /usr/local/etc/rc.d/mysql-server start

FreeBSD 下安装 MySQL 后，脚本会自动为其建立用户、用户组 mysql。可以根据自己需要，设置安全策略。

安装 PHP 版本 5.3 .10

# cd /usr/ports/lang/php5/

# make config

这里我根据自己需要，选择了(图片截取自5.3.9)

# make install clean

之后安装 PHP5 的扩展库

# cd /usr/ports/lang/php5-extensions

# make config

在对话框中，选择需要的（编译扩展是最耗时间的，至少2-3小时以上，根据需要能少选就少选！以后可以单个安装）

[X] BCMATH bc style precision math functions

[X] BZ2 bzip2 library support

[ ] CALENDAR calendar conversion support

[X] CTYPE ctype functions

[X] CURL CURL support

[ ] DBA dba support

[ ] DBASE dBase library support

[X] DOM DOM support

[ ] EXIF EXIF support

[ ] FILEINFO fileinfo support

[X] FILTER input filter support

[ ] FRIBIDI FriBidi support

[X] FTP FTP support

[X] GD GD library support

[ ] GETTEXT gettext library support

[ ] GMP GNU MP support

[X] HASH HASH Message Digest Framework

[X] ICONV iconv support

[ ] IMAP IMAP support

[ ] INTERBASE Interbase 6 database support (Firebird)

[X] JSON JavaScript Object Serialization support

[ ] LDAP OpenLDAP support

[ ] MBSTRING multibyte string support

[X] MCRYPT Encryption support

[X] MHASH Crypto-hashing support

[ ] MING ming shockwave flash support

[ ] MSSQL MS-SQL database support

[X] MYSQL MySQL database support

[ ] MYSQLI MySQLi database support

[ ] NCURSES ncurses support (CLI only)

[ ] ODBC unixODBC support

[X] OPENSSL OpenSSL support

[ ] PCNTL pcntl support (CLI only)

[X] PCRE Perl Compatible Regular Expression support

[ ] PDF PDFlib support (implies GD)

[X] PDO PHP Data Objects Interface (PDO)

[X] PDO_SQLITE PDO sqlite driver

[X] PDO_MYSQL PDO mysql driver

[ ] PGSQL PostgreSQL database support

[X] POSIX POSIX-like functions

[ ] PSPELL pspell support

[ ] READLINE readline support (CLI only)

[ ] RECODE recode support

[X] SESSION session support

[ ] SHMOP shmop support

[X] SIMPLEXML simplexml support

[ ] SNMP SNMP support

[X] SOAP SOAP support

[X] SOCKETS sockets support

[X] SPL Standard PHP Library

[X] SQLITE sqlite support

[ ] SYBASE_CT Sybase database support

[ ] SYSVMSG System V message support

[ ] SYSVSEM System V semaphore support

[ ] SYSVSHM System V shared memory support

[ ] TIDY TIDY support

[X] TOKENIZER tokenizer support

[ ] WDDX WDDX support (implies XML)

[X] XML XML support

[X] XMLREADER XMLReader support

[ ] XMLRPC XMLRPC-EPI support

[X] XMLWRITER XMLWriter support

[ ] XSL XSL support (Implies DOM)

[ ] YAZ YAZ support (ANSI/NISO Z39.50)

[X] ZIP ZIP support

[X] ZLIB ZLIB support

选择完成后，继续

# make install clean

经过漫长的等待(估计得一个多小时呢)，终于完成了编译。启用 PHP-FPM

# echo php_fpm_enable=”YES” >> /etc/rc.conf

# /usr/local/etc/rc.d/php-fpm start

PHP-FPM 的配置文件，在 FreeBSD 下位于 /usr/local/etc/php-fpm.conf，可以自行更改

安装 nginx

nginx 的编译所用的时间相对于前两个东西而言，就快非常多了

# cd /usr/ports/www/nginx

# make install clean

编译选项

[ ] DEBUG Enable nginx debugging

[ ] DEBUGLOG Enable debug log (–with-debug)

[ ] FILE_AIO Enable file aio

[X] IPV6 Enable IPv6

[ ] GOOGLE_PERFTOOLS Enable google perftools module

[X] HTTP_MODULE Enable HTTP module

[ ] HTTP_ADDITION_MODULE Enable http_addition module

[X] HTTP_CACHE_MODULE Enable http_cache module

[ ] HTTP_DAV_MODULE Enable http_webdav module

[ ] HTTP_FLV_MODULE Enable http_flv module

[ ] HTTP_GEOIP_MODULE Enable http_geoip module

[X] HTTP_GZIP_STATIC_MODULE Enable http_gzip_static module

[ ] HTTP_IMAGE_FILTER_MODULE Enable http_image_filter module

[ ] HTTP_PERL_MODULE Enable http_perl module

[ ] HTTP_RANDOM_INDEX_MODULE Enable http_random_index module

[ ] HTTP_REALIP_MODULE Enable http_realip module

[X] HTTP_REWRITE_MODULE Enable http_rewrite module

[ ] HTTP_SECURE_LINK_MODULE Enable http_secure_link module

[X] HTTP_SSL_MODULE Enable http_ssl module

[X] HTTP_STATUS_MODULE Enable http_stub_status module

[ ] HTTP_SUB_MODULE Enable http_sub module

[ ] HTTP_XSLT_MODULE Enable http_xslt module

[ ] MAIL_MODULE Enable IMAP4/POP3/SMTP proxy modul

[ ] MAIL_IMAP_MODULE Enable IMAP4 proxy module

[ ] MAIL_POP3_MODULE Enable POP3 proxy module

[ ] MAIL_SMTP_MODULE Enable SMTP proxy module

[ ] MAIL_SSL_MODULE Enable mail_ssl module

[X] WWW Enable html sample files

[ ] CACHE_PURGE_MODULE 3rd party cache_purge module

[ ] ECHO_MODULE 3rd party echo module

[ ] HEADERS_MORE_MODULE 3rd party headers_more module

[ ] HTTP_ACCEPT_LANGUAGE 3rd party accept_language module

[ ] HTTP_ACCESSKEY_MODULE 3rd party http_accesskey module

[ ] HTTP_AUTH_PAM_MODULE 3rd party http_auth_pam module

[ ] HTTP_AUTH_REQ_MODULE 3rd party http_auth_request module

[ ] HTTP_EVAL_MODULE 3rd party eval module

[ ] HTTP_FANCYINDEX_MODULE 3rd party http_fancyindex module

[ ] HTTP_GUNZIP_FILTER 3rd party http_gunzip_filter modul

[ ] HTTP_MOGILEFS_MODULE 3rd party mogilefs module

[ ] HTTP_MP4_H264_MODULE 3rd party mp4/h264 module

[ ] HTTP_NOTICE_MODULE 3rd party notice module

[ ] HTTP_PUSH_MODULE 3rd party push module

[ ] HTTP_REDIS_MODULE 3rd party http_redis module

[ ] HTTP_RESPONSE_MODULE 3rd party http_response module

[ ] HTTP_UPLOAD_MODULE 3rd party upload module

[ ] HTTP_UPLOAD_PROGRESS 3rd party uploadprogress module

[ ] HTTP_UPSTREAM_FAIR 3rd party upstream fair module

[ ] HTTP_UPSTREAM_HASH 3rd party upstream hash module

[ ] HTTP_UPSTREAM_KEEPALIVE 3rd party upstream keepalive modul

[ ] HTTP_ZIP_MODULE 3rd party http_zip module

[ ] MEMC_MODULE 3rd party memc (memcached) module

[ ] PASSENGER_MODULE 3rd party passenger module

[ ] SLOWFS_CACHE_MODULE 3rd party slowfs_cache module

[ ] SUPERVISORD_MODULE 3rd party supervisord module

[ ] SYSLOG_SUPPORT 3rd party syslog support

[ ] UDPLOG_MODULE 3rd party udplog (syslog) module

编译完成后，启动 nginx

# echo nginx_enable=”YES” >> /etc/rc.conf

这里先不急着 start nginx，因为现在还没有对 PHP 的支持。

# vi /usr/local/etc/nginx/nginx.conf

将如下段落前的 “#” 删除，并且将 html 更改为 /usr/local/www/nginx

location ~ \.php$ {

root /usr/local/www/nginx;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;

include fastcgi_params;

}

结束后，编辑 /usr/local/etc/nginx/fastcgi_params，加入

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

启动 nginx，看看是否已经对 PHP 了

# /usr/local/etc/rc.d/nginx start

# echo “<?php phpinfo() ?>” > /usr/local/www/nginx/info.php

访问 http://yourdomain/info.php，看到 phpinfo 的页面则证明无误。

安装 eAcceletrator

eAcceletrator 可以预编译你的 PHP，这样执行的时候，就会起到加速作用。（下图红色地址部分需要根据自己编译结束后给出的地址修改）

# cd /usr/ports/www/eaccelerator

# make install clean

# echo zend_extension=”/usr/local/lib/php/20060613/eaccelerator.so” >> /usr/local/etc/php.ini

# mkdir /tmp/eaccelerator

# chown www /tmp/eaccelerator

# chmod 0700 /tmp/eaccelerator

# /usr/local/etc/rc.d/php-fpm restart

再刷新刚才的 info.php，看看是不是加入了 eAcceletrator 的支持

安装memcached

cd /usr/ports/databases/memcached

make install clean

cd /usr/ports/databases/pecl-memcache

make install clean

echo “memcached_enable=YES” >> /etc/rc.conf

开启 /usr/local/etc/rc.d/memcached start

下面附上安装过程中会下载的软件(只供大致参考,一般都需要自己下载,可以配置163的镜像源)

/usr/ports/distfiles/xcb-proto-1.6.tar.bz2

/usr/ports/distfiles/varnish-3.0.2.tar.gz

/usr/ports/distfiles/unzip60.tar.gz

/usr/ports/distfiles/tcl8.5.11-src.tar.gz

/usr/ports/distfiles/t1lib-5.1.2.tar.gz

/usr/ports/distfiles/suhosin-patch-5.3.9-0.9.10.patch.gz

/usr/ports/distfiles/sqlite-src-3071000.zip

/usr/ports/distfiles/screen-4.0.3.tar.gz

/usr/ports/distfiles/repcached-2.3.1-1.4.10.patch.gz

/usr/ports/distfiles/redis-2.4.4.tar.gz

/usr/ports/distfiles/php-5.3.9.tar.bz2

/usr/ports/distfiles/pcre-8.21.tar.bz2

/usr/ports/distfiles/pcre-8.20.tar.bz2

/usr/ports/distfiles/openldap-2.4.26.tgz

/usr/ports/distfiles/nss-3.13.1.with.ckbi.1.88.tar.gz

/usr/ports/distfiles/nload-0.7.3.tar.gz

/usr/ports/distfiles/Nginx_upstream_hash-0.3.1.tar.gz

/usr/ports/distfiles/nginx_upstream_fair-20090923.tar.gz

/usr/ports/distfiles/nginx-1.0.11.tar.gz

/usr/ports/distfiles/mysql-5.5.20.tar.gz

/usr/ports/distfiles/memcached-1.4.10.tar.gz

/usr/ports/distfiles/make-3.82.tar.bz2

/usr/ports/distfiles/m4-1.4.16.tar.bz2

/usr/ports/distfiles/libxcb-1.7.tar.bz2

/usr/ports/distfiles/libtool-2.4.tar.gz

/usr/ports/distfiles/libpthread-stubs-0.3.tar.bz2

/usr/ports/distfiles/libpng-1.4.8.tar.xz

/usr/ports/distfiles/libpng-1.4.8-apng.patch.gz

/usr/ports/distfiles/libmcrypt-2.5.8.tar.gz

/usr/ports/distfiles/libiconv-1.13.1.tar.gz

/usr/ports/distfiles/libgpg-error-1.10.tar.bz2

/usr/ports/distfiles/libgcrypt-1.5.0.tar.bz2

/usr/ports/distfiles/libexecinfo-1.1.tar.bz2

/usr/ports/distfiles/libevent-1.4.14b-stable.tar.gz

/usr/ports/distfiles/IO-Tty-1.10.tar.gz

/usr/ports/distfiles/help2man-1.40.5.tar.gz

/usr/ports/distfiles/haproxy-1.4.16.tar.gz

/usr/ports/distfiles/gettext-1.05.tar.gz

/usr/ports/distfiles/gettext-0.18.1.1.tar.gz

/usr/ports/distfiles/freetype-2.4.7.tar.bz2

/usr/ports/distfiles/eaccelerator-0.9.6.1.tar.bz2

/usr/ports/distfiles/cyrus-sasl-2.1.25.tar.gz

/usr/ports/distfiles/curl-7.21.3.tar.bz2

/usr/ports/distfiles/cmake-2.8.7.tar.gz

/usr/ports/distfiles/check-0.9.8.tar.gz

/usr/ports/distfiles/automake-1.11.1.tar.bz2

/usr/ports/distfiles/autoconf-2.68.tar.bz2

/usr/ports/distfiles/agentzh-headers-more-nginx-module-v0.16-0-gde77fd2.tar.gz

/usr/ports/distfiles/xorg

/usr/ports/distfiles/ruby

/usr/ports/distfiles/python

/usr/ports/distfiles/PECL

/usr/ports/distfiles/jpeg8b2

/usr/ports/distfiles/gnome2

最后说一下安装phpMyAdmin

cd /usr/ports/databases/phpmyadmin

make install clean

Alias /phpmyadmin /usr/local/www/phpMyAdmin

修改nginx.conf文件

vi /usr/local/etc/nginx/nginx.conf

在主域名下面插入

location /phpmyadmin/ {

alias /usr/local/www/nginx/phpMyAdmin/;

index index.php index.html index.htm;

}

Location ~ ^/phpmyadmin/(.*\.php)$ {

root /usr/local/www/nginx/phpMyAdmin/;

fastcgi_pass unix:/tmp/php-fpm.sock;

include fastcgi_params;

fastcgi_param SCRIPT_FILENAME /usr/local/www/nginx/phpMyAdmin/$1;

fastcgi_param DOCUMENT_ROOT /usr/local/www/nginx/phpMyAdmin;

}

然后

cd /usr/local/www/phpMyAdmin

mkdir config

chmod 777 config

phpMyAdmin by going to http://hostname/phpmyadmin/setup/index.php in your browser and set at least the following:

做好了一些基本的设置后

cp config/config.inc.php .

rm -rf config

chmod 444 config.inc.php

这样就可以访问phpMyAdmin了

以上参考的网站

Apache/MySQL/PHP/phpMyAdmin on FreeBSD

2012-07-12
FreeBSD安装后配置

安装及更新ports树

ports如何使用，我们以后再讲，先不要着急使用portsnap。先完成以下步骤，你会发现，ports会更快，安装软件也会更快。

#cd /etc

#vi portsnap.conf

找到portsnap.FreeBSD.org

将其改为portsnap3.hshh.org

保存退出

我是网通用户，所以用3号镜像。镜像列表如下

portsnap.hshh.org(电信)

portsnap2.hshh.org(电信)

portsnap3.hshh.org(网通)

portsnap4.hshh.org(电信)

这是国内的portsnap镜像，更新速度会更快。我见过无数linux装好后就再也不更新，导致漏洞一大堆，并不完全是系统管理员的问题，这跟yum或者apt的包维护也有关系。FreeBSD完全不用担心这一点，只要你自动设定portsnap，自动upgrade，即便你放在那里一年，你的软件也会是最新的。不过一般不建议这样做。后面会讲到。

然后，执行下述命令：portsnap fetch extract

更新你的ports树吧，国内的镜像速度飞快。大约会下载63-64M的port包。然后等待解压缩完成即可。现在，你的ports树就是最新的了，尽管去编译安装软件吧。需要更新，可以运行下述命令

portsnap fetch update

portsnap采用增量更新的方式，第一次需要执行fetch extract，以后只需要执行fetch update即可，增量更新的更新量很小，速度飞快。

更新FreeBSD系统文件

没有人能保证操作系统完美无缺，即便是发行版也不能，但在发现补丁后及时打上，是最明智的做法。这一点上FreeBSD也做得相当人性。那么，更新系统文件之前，我们也需要改一个配置文件，会让你变得更快。

cd /etc

#vi freebsd-update.conf

找到ServerName update.FreeBSD.org

将update.freebsd.org

改为freebsd-updates.mirrors.163.com

保存退出

然后就可以了，运行下面的命令更新吧，更新之前可以看一下uname -a，以8.2为例，会显示FreeBSD 8.2-RELEASE

#freebsd-update fetch

#freebsd-update install

更新完成后重启，再打uname -a，会显示FreeBSD 8.2-RELEASE-p4，显示系统补丁已经打上了。

这些命令，你都可以加入到crontab中定期自动运行

软件安装源配置

编辑一个文件，这个文件在新装的freebsd系统中是不存在的，除非你用ports安装过软件，否则不会生成这个文件。所以，在新装系统中需要手动创建这个文件。

vi /etc/make.conf

然后输入以下内容

MASTER_SITE_BACKUP?=http://mirrors.163.com/FreeBSD/distfiles/${DIST_SUBDIR}/

MASTER_SITE_OVERRIDE?=${MASTER_SITE_BACKUP}

保存退出，这样你在用ports安装的时候，就会直接连接到163的镜像，速度会更快。不过有一个缺点，就是最新的软件发行包通常不会及时更新，大概需要3-4天或者更长的时间，163镜像才会与freebsd同步过来，不过，however，有国内镜像总比没有强

一般不推荐用pkg_add方式直接安装二进制文件，这样不够优化，最好是通过ports树进行编译安装。除非有特殊的要求，所以我先不写PACKAGESITE变量的设置。

软件安装

这是我最欣赏freebsd的优点之一，软件收集全面，分类明确，安装简便，编译安装方式足够适应系统并优化。配置文件集中管理，绝对节省人类的时间，比起LINUX到处找编译文件要强太多了。

举例，比如我要需要安装nginx，我在这里假设你已经更新过ports树了，在我写这个文章的时候，最新的frebbsd nginx版本为1.0.8,1。

运行下列命令进行安装

#cd /usr/ports/www/nginx

#make install clean

会弹出选项，按照需求进行选择，然后OK，等待编译完成吧，这个软件就装完了。安装过程中会自动检测依赖关系，并自动下载依赖软件编译。这比糟糕透顶yum强不知多少倍，且不论yum是安装二进制文件，而且经常找不到依赖包，装完之后你还需要find配置文件，浪费时间！freebsd的配置文件全部集中管理。无论你通过ports安装什么软件，如果他存在配置文件，请到下面这个路径里找

#cd /usr/local/etc

ubuntu好像也是这个路径，但是，我用apt-get安装后，基本这个路径里什么都没有。

运行你安装的软件

这里有一点小麻烦，但绝对不大，只占用你大约不到30秒的时间。如果你安装了应用软件，比如nginx，请按照下列步骤完成

#vi /etc/rc.conf

然后新起一行，输入

nginx_enable=”YES”

保存退出

然后运行下面的命令

#cd /usr/local/etc/rc.d

#./nginx start

你的nginx就启动了，访问你的服务器，看看welcome to nginx吧。

安全设置

其实我觉得安全更加重要一些。不过其实即便你不配置下列内容，freebsd也是很安全的。但是你配了不是会更好么。

rc.conf里面与安全相关的设置

1.关闭不必要的端口和服务以及调整系统日志的记录，是网络安全的第一步。

#vi /etc/rc.conf

加入

sendmail_enable=”NONE”

#YES为打开，NO为仅监听本机，NONE为彻底关闭port 25

sendmail_submit_enable=”NO”

sendmail_outbound_enable=”NO”

sendmail_msp_queue_enable=”NO”

nfs_server_enable=”NO”

nfs_client_enable=”NO”

portmap_enable=”NO”

#关闭NFS系统

syslogd_enable=”YES”

syslogd_flag=”-ss”

#打开syslog日志

log_in_vain=”YES”

accounting_enable=”YES”

#帐号保护

update_motd=”NO”

#关闭对Motion Of Today，文件是/etc/motd，建议删除该文件所有内容。

icmp_drop_redirect=”YES”

#禁止ping，不建议禁用，并且需要重新编译内核才可支持。

2012-07-05