Базовая настройка FreeBSD

Материал из Bas Wiki
Перейти к навигации Перейти к поиску

Постоянная работа с данной системой приучила к одним и тем же манипуляциям. Часть моих знакомых и приятелей, которые только начинают знакомиться с FreeBSD или уже работающие с ней просят объяснить, почему я делаю так или иначе. Тем более что после установки у нас нет никаких вспомогательных инструментов кроме командной строки, что очень сильно пугает новичков. В силу этих обстоятельств я решил написать статью, в которой по шагам буду описывать установку и настройку FreeBSD со своими пояснениями. На текущий момент установка и настройка будет производиться над FreeBSD 8.2.


Для того, чтобы в дальнейшем было проще работать и мне не приходилось постоянно повторяться договоримся сразу, что если в командной строке или ещё где в консоли у меня стоит символ $ (доллар), то мы работаем/находимся под обычным пользователем. Если же необходимы права root, то будет использоваться символ # (решёточка).


Сразу же небольшое пояснение к пункту выше - это не значит, что надо постоянно выходить из root-режима и/или перелогиниваться под непривилегированного пользователя. Безопасность, конечно, превыше всего, но делайте всё в меру своей распущенности и паранойи.

1. Выбор языка. 2. Кодировка Russian KOI8-R 3. Вариант установки Custom 4. В Option выключаю NFS 5. Partition. Выбираю свой раид. Делаю авто. Нажимаю кью. Меня спрашивает какой загрузчик, выбираю Стандарт. 6. Label. Разбиваем диск на разделы. Корень не меняем

Свап ставлю как размер опертивы умножить на 2

Вар разделяю на вар лог и сам вар

тмп делаю 5 гиг

юср всё остальное

нажимаем кью

7. Distributions. выбираю Минимал, ставлю base, kernels, man, src (base и src ) ports

8. Media CD-Rom

9. Commit

Visit the general configuration menu да

root password

user managment add member group wheel

console -

font ibm 866 russian, ibm encoding (use with koi8-r screenmap)

keymap russian koi8-r

screenmap koi8-r to ibm866

ttys koi8-r cons25r

exit

time zone select local or UTC выбираю no

networking -

interfaces указываю ип

gateway включаю

mail выбираю sendmail

ntpdate выбираю russian который ru.pool.ntp.org

sshd ставим галку

tcp extensions снимаем галку

Startup -

named

снимаю quotas

TTYs выбираю Yes везде делаю insecure и ttyv0 off

Exit потом опять exit иначе он заново всё форматнёт и т д потом exit install

перегружаемся, меняем если надо приоритет загрузки

2. Настройка установленной системы.

После первой перезагрузки я захожу в BIOS и выставляю загрузку с нужного мне жёсткого диска (в моём случае это аппаратный RAID-массив), выключаю ненужные мне устройства: мышку, usb, floppy, порты COM и LPT; настраиваю профиль питания, чтобы сервер стартовал при появлении питания (Last State).

Итак, система загрузилась. Уже на этапе загрузки я вижу что мне "не нравится" и что я буду исправлять в первую очередь. Переходим в первую консоль (Alt+F2), чтобы войти в систему. Вводим логин и пароль созданного нами пользователя.

 

2.1. Настройка загрузки  и входа в систему.

Во время загрузки системы мы видели красивое фирменное приглашение с 10 секундным обратным отсчётом. Я не люблю так долго ждать :) По моему опыту мне всегда хватало 2 секунд, для того чтобы спокойно нажать Esc, чтобы сбросить таймер или выбрать необходимый вариант загрузки, отличный от стандартного. Для изменения времени ожидания устанавливаем параметру autoboot_delay значение 2 в файле /boot/loader.conf. Данный файл так же используется для загрузки различных модулей. Я люблю использовать встроенный редактор ee вместо vi в силу его более интуитивно-понятной работе:

[cc lang="text" line_numbers="false" theme="blackboard"] tower# ee /boot/loader.conf [/cc]

Откроется окно редактора, добавляем строку autoboot_delay="2" и нажимаем Enter, чтобы добавить пустую строку в конце. Затем нажимаем Esc, выбираем a) leave editor, выбираем a) save changes после чего редактор закрывается и на консоль выводится сообщение примерно такого плана: "/boot/loader.conf" 2 lines, 20 characters.

Следующее, что мы увидели после  входа в систему - это стена текста. Стена текста - это MOTD (Message Of The Day). Предполагается, что сюда можно написать важную информацию, но в данный момент стена текста мне не нужна, тем более что если сервер будет использоваться на медленных линиях связи это будет тормозить вход. Поэтому отредактируем это сообщение, которое находится в файле /etc/motd:

[cc lang="text" line_numbers="false" theme="blackboard"] tower# ee /etc/motd [/cc]

Подробнее о файле /boot/loader.conf: man loader.conf Подробнее о возможных опциях: ee /boot/defaults/loader.conf

 

2.2. Оптимизация хранения временных файлов.

В системе есть папка /var/tmp, которая по сути является тем же разделом /tmp и необходима для совместимости со старыми программами. Для того, чтобы все временные файлы были в одном месте мы удалим данную папку, а для сохранения совместимости создадим символическую ссылку:

[cc lang="text" line_numbers="false" theme="blackboard"] tower# rm -rf /var/tmp tower# ln -s /tmp /var/tmp [/cc]

 

2.3. Оптимизация работы с подключаемыми устройствами.

В системе есть папка /mnt, но так же есть папка /cdrom. Возьмём за правило размещать все монтируемые устройства в папке /mnt. Теперь, чтобы дисковод не выбивался от стаи переместим папку /cdrom внуть папки /mnt:

[cc lang="text" line_numbers="false" theme="blackboard"] tower# mv -f /cdrom /mnt/ [/cc]

По своей необходимости можно создать папки для flash и других hdd.

Теперь немного отредактируем файл с используемыми файловыми системами /etc/fstab. Во-первых, мы исправим путь к папке, куда будет монтироваться cdrom. Во-вторых, мы на всех разделах отключим запись последнего времени доступа, что может ускорить работы высоконагруженной файловой системы. Данный функционал достигается добавлением noatime к списку опций файловой системы.

[cc lang="text" line_numbers="false" theme="blackboard"] tower# ee /etc/fstab [/cc]

Откроется окно редактора, приведём данный файл к следующему формату:

[cc lang="text" line_numbers="false" theme="blackboard" width="600"]

  1. Device Mountpoint FStype Options Dump Pass#

/dev/ar0s1b none swap sw 0 0 /dev/ar0s1a / ufs rw,noatime 1 1 /dev/ar0s1e /tmp ufs rw,noatime 2 2 /dev/ar0s1f /usr ufs rw,noatime 2 2 /dev/ar0s1d /var ufs rw,noatime 2 2 /dev/acd0 /mnt/cdrom cd9660 ro,noauto 0 0

[/cc]

Теперь мы можем монтировать cdrom с помощью команды mount /mnt/cdrom, не указывая полностью название физического устройства: mount /dev/acd0 /mnt/cdrom. Согласитесь, так гораздо удобнее.

Подробнее о файле /etc/fstab: man fstab Подробнее об опциях подключения файловых систем: man mount

 

2.4. Синхронизация времени.

Важность синхронизации времени нельзя недооценивать. Для того, чтобы решить эту проблему раз и навсегда только синхронизации при старте системы не достаточно, т.к. система может не перегружаться очень долгое время (всё-таки сервер). Мы можем синхронизировать время вручную, но мы же админы, что означает заведомо ленивое существо, поэтому автоматизируем этот процесс добавив команду синхронизации времени в crontab.

[cc lang="text" line_numbers="false" theme="blackboard"] tower# crontab -e [/cc]

Так как система у нас ещё не настроена, то откроется любимый многими легендарный редактор vi :) Чтобы добавить запись нажмите "a" (что означает add / вставить). После этого мы вставляем следующий текст:

[cc lang="text" line_numbers="false" theme="blackboard" width="600" escaped="true"] 05 00 * * * /usr/sbin/ntpdate -B ru.pool.ntp.org > /dev/null 2>&1 [/cc]

Для сохранения мы нажимаем Esc, затем ":" (двоеточие) и пишем "wq" (что означает write / запись и quit / выход соответственно). На всякий случай: для выхода без сохранения необходимо нажимать ":!q" (двоеточие, восклицательный знак, q). Во всём остальном для изучения этого редактора вам поможет Интернет.

Данной строкой мы будет производить синхронизацию каждый день в 00 часов 05 минут. Я выбрал данное время для того, чтобы в случае расхождения серверного времени  с временем на time-серверах это как можно менее пагубно сказалось на нас. Согласитесь, если время синхронизируется и  на нашем сервере будет 00 часов 00 минут, а на на сервере времени 23 часа 50 минут, то мы вернёмся назад. Это может плохо сказаться как на логах, так и на программах учёта трафика, например. Указывать же более позднее время мы так же можем получить актуальное время слишком поздно. При ежедневной синхронизации таких проблем быть не должно, поэтому вы сами можете определиться с данным временем и частотой синхронизации (хоть каждые 2 часа).

Подробнее о демоне ntpdate: man ntpdate

 

2.5. Работа с планировщиками.

Раз уж мы взялись за cron, то настроим наши планировщики: cron и at. Мы ограничим тех, кто может им пользоваться.

[cc lang="text" line_numbers="false" theme="blackboard" escaped="true"] tower# touch /var/cron/allow tower# chmod 600 /var/cron/allow [/cc]

Теперь добавим в allow пользователя root, чтобы разрешить ему выполнять запланированные задачи. Если потребуется ещё кому-нибудь разрешить доступ к cron'у, то пишем нового пользователя с новой строчки.

[cc lang="text" line_numbers="false" theme="blackboard" escaped="true"] tower# touch /var/at/at.allow tower# chmod 600 /var/at/at.allow [/cc]

Здесь я никого не добавляю, т.к. не использую данный планировщик.

Подробнее о cron: man cron Подробнее о at: man at

 

2.6. Настройка системных параметров (/etc/rc.conf).

Внесём изменения в главный конфигурационный файл системы /etc/rc.conf. Оговорюсь, что я стараюсь использовать алфавитное расположение параметров в этом файле, но иногда делаю исключение, т.к. данный файл считывается построчно сверху вниз, поэтому иногда требуется, чтобы тот или иной параметр считался раньше, например, присвоение адреса сетевому интерфейсу. Многие любят группировать параметры по их назначению.

[cc lang="text" line_numbers="false" theme="blackboard"] tower# ee /etc/rc.conf [/cc]

и приведём его к следующему формату:

[cc lang="text" line_numbers="true" lines="-1" theme="blackboard" width="600"] clear_tmp_enable="YES" check_quotas="NO" defaultrouter="192.168.2.1" font8x14="cp866-8x14" font8x16="cp866b-8x16" font8x8="cp866-8x8" fsck_y_enable="YES" gateway_enable="YES" hostname="tower.domain.ru" ifconfig_bge0="inet 192.168.2.10 netmask 255.255.255.0" keymap="ru.koi8-r.win" local_startup="/usr/local/etc/rc.d" named_enable="YES" named_flags="-4" ntpdate_enable="YES" ntpdate_hosts="ru.pool.ntp.org" scrnmap="koi8-r2cp866" sendmail_enable="YES" sshd_enable="YES" syslogd_flags="-ss" tcp_drop_synfyn="YES" tcp_extensions="NO" update_motd="YES" [/cc]

Кратко о том, чего не было и почему я это использую (буду указывать номер строки с интересующим нас параметром):

1 - очистка временной папки будет происходить при перезагрузке системы. 7 - автоматически отвечать на все запросы программы проверки файловой системы, в противном случае программа проверки перейдёт  в интерактивный режим и сервер не запуститься. Маленькое но: такое так же возможно, если ошибки довольно серьёзные, тогда автоматическая проверка не пройдён и придётся её делать вручную. 11 - здесь я изменил параметр на "ru.koi8-r.win". Данное значение позволит переключать раскладку клавиатуры стандартным Ctrl+Alt. 13 - синхронизация времени будет происходить при старте системы. 15 - отключаем в DNS-сервере Bind использование IPv6. 21 - включаем для демона логов группировку однотипных сообщений. После этого в логах вместо повторяющихся сообщений будет писаться примерно такая строка: last message repeated 4 times. 22 - отбрасывать флаги SYN и FYN. Если вы их используете, то вы знаете их назначение. 24 - обновлять motd. Обновление, например, будет проходить при обновлении ядра. После входа (если вы оставили motd в том виде, что описывал я) вы увидите изменение порядкового номера ядра, а так же его путь и дату компиляции.

Часть параметров мы добавим позже в процессе настройки. Сразу обратите внимание, что большая часть сервисов и демонов требует наличия строки в этом файле и запускаются если есть строка ИмяСервиса_enable="YES".

Подробнее об /etc/rc.conf: man rc.conf Список параметров с комментариями: ee /etc/defaults/rc.conf

 

2.7.  Настройка процесса компиляции и скачивания исходников.

Для того, чтобы нам продолжить настраивать систему потребуется устанавливать дополнительное программное обеспечение, проводить компиляцию. Сейчас мы настроим ещё один важный файл, который позволяет оптимизировать процесс компиляции и установки портов. Приведём содержимое файла /etc/make.conf к следующему содержанию:

[cc lang="text" line_numbers="false" lines="-1" theme="blackboard" width="600"]

CFLAGS= -O2 -fno-strict-aliasing -pipe COPTFLAGS= -O -pipe

DOC_LANG="en_US.ISO8859-1 ru_RU.KOI8-R"

MAKE_KERBEROS4=false MAKE_KERBEROS5=false

MASTER_SITE_BACKUP?=ftp://ports@192.168.2.1/distfiles/${DIST_SUBDIR}/ MASTER_SITE_OVERRIDE?=${MASTER_SITE_BACKUP}

NO_BLUETOOTH=true NO_CPU_CFLAGS=false NO_CPU_COPTFLAGS=false NO_FORTRAN=true NO_GAMES=true NO_INET6=true NO_IPFILTER=true NO_PF=true NO_PROFILE=true NO_USB=true

WITHOUT_X11=true [/cc]

В данном файле мы отключаем флаги тех вещей, которые мы не будем использовать. Это может существенно ускорить процесс компиляции и скачивания. Обратите внимание на строки MASTER_SITE_BACKUP и MASTER_SITE_OVERRIDE. Здесь указан сервер (можно указать несколько серверов) с которых будут скачиваться исходники для портов, которые лежат в папке /usr/ports/distfiles. Я обычно эту папку не удаляю от версий к версии и все скачанные исходники пытаюсь хранить в одном месте. Данный механизм позволяет быстро и легко экономить трафик и время на скачивании необходимых портов, особенно если вы часто и много устанавливаете однотипные программы. Если необходимый порт не будет найден ни на одном из зеркал, то скачивание продолжится по официальному списку зеркал для этого порта.

Подробнее об /etc/make.conf: man make.conf

 

2.8. Системные переменные (/etc/sysctl.conf).

Не могу не упомянуть о системных переменных. Я использую не так много переменных. Открываем на редактирование файл /etc/sysctl.conf и добавляем необходимые нам  параметры:

[cc lang="text" line_numbers="true" theme="blackboard"] kern.coredump=0 kern.ipc.somaxconn=1024 kern.sync_on_panic=1 security.bsd.see_other_uids=0 security.bsd.see_other_gids=0 [/cc]

1 переменная запрещает создавать файлы .core, которые чаще всего возникают при сбоях в программе. Эти файлы нужны разработчикам, поэтому я от них избавляюсь. Мне хватает и записи в системных логах. 2 переменная ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. 3 переменная пытается сделать команду sync, которая скидывает все хранящиеся в памяти данные на диск перед тем, как система завершит работу аварийно (panic). 4 и 5 переменные скрывают в списке процессов те процессы,  владельцами которых мы не являемся и если мы не состоим в нужной группе. Чаще всего эти переменные нужны на многопользовательских системах, хостингах и.т.п., где работает много пользователей. Нужны в целях повышения безопасности.

Подробнее о системных переменных: man sysctl

 

2.9. Настройка DNS (/etc/resolv.conf).

При установке мы указали один DNS-сервер, но может так получиться, что этого не достаточно. Отредактировав файл /etc/resolv.conf мы можем добавить альтернативные DNS-сервера, а так же указать последовательность обращений к ним. Для добавления нового DNS-сервера достаточно написать с новой строки nameserver IP-адрес_DNS-сервера.

Подробнее об /etc/resolv.conf: man resolv.conf

2.10.  Дерево портов.

Порты - это различные программы, которые мы ставим. Естественно все хотят поддерживать актуальные и свежие версии портов. Перед тем, как мы начнём их устанавливать нам необходимо обновить наше дерево портов. Вспоминая, что админ - существо ленивое, то данный процесс мы автоматизируем.

Во FreeBSD для работы с деревом портов есть специальная утилита portsnap. Для того, чтобы обновить дерево портов сначала качается образ. После этого качаться будет только инкрементальный образ, т.е. изменения. Когда дерево портов скачано необходимо распаковать образ. Внимание! Образ распаковывается только в первый раз. Во все последующие разы мы просто обновляем наше дерево.

[cc lang="text" line_numbers="false" theme="blackboard"] tower# portsnap fetch tower# portsnap extract [/cc]

В дальнейшем, команда portsnap extract нам больше не потребуется, т.к. она полностью удаляет старое дерево портов и распаковывает новый образ заново. Для обновления мы будем использовать команду portsnap update. Для того, чтобы забыть про первую команду мы добавим её в cron. Для этого запустим cron в режиме редактирования и добавим следующую строчку:

[cc lang="text" line_numbers="false" theme="blackboard" escaped="true"] 00 05 * * * /usr/sbin/portsnap cron > /dev/null 2>&1 [/cc]

Закачка обновлений для дерева портов будет проходить автоматически в 5 часов утра каждый день. Я использую это время как заведомо самое неактивное время как для использования сетью, так и нагрузки на сервер. Теперь когда мы решим обновить дерево портов мы будем писать только portsnap update.

Подробнее о команде portsnap: man portsnap

 

2.11. Ядро системы.

Ядро без сомнения является одной из важных составляющих системы. Сис. админы делятся в данном вопросе на 2 категории: 1. Ничего убирать не надо, вдруг пригодится. Будем добавлять недостающий функционал. 2. Убрать всё лишнее, оставить только необходимый минимум и то что используем, добавляем чего не хватает.

Я отношусь ко второй категории. Если бы я относился к первой категории, то этот пункт уже бы просто закончился :) Какие проблемы в этом подходе? Когда мы соберём ядро и вдруг добавим новые устройства или поменяем что-то, то они не заработают. Для себя эту проблему я решаю подгрузкой соответствующего модуля в ядро командой kldload. Как временное (а иногда и постоянное решение) этого достаточно. Если возникает необходимость, то я уже добавляю нужные параметры и устройства в ядро и пересобираю его.

Настройка ядра во FreeBSD выглядит как комментирование ненужного или добавление нужных параметров. По умолчанию система использует ядро GENERIC, это ядро всегда рабочее и его никто не трогает. Обычно это ядро копируют под желаемым именем и работают именно с этой копией.

С конфигом ядра я работаю по принципу "не знаю, не лезу", чего и вам советую, т.е. если вы точно и чётко не знаете, для чего этот параметр - НЕ ТРОГАЙТЕ. Потом, конечно, вы можете поэкспериментировать. Несколько важных вещей на очень часто задаваемый вопрос "а что если": 1. Скорее всего, если вы перемудрите с ядром, оно не соберётся. Следовательно, систему вы не сломаете. Каждый этап должен закончится обычными сообщениями, никаких error или failed. 2. Если вы всё-таки собрали проблемное ядро и/или у вас перестало работать что-то важное, а надо что капец, то вы всегда можете подгрузить старое ядро, которые сохраняется как раз на всякий случай.  Здесь обращу ваше внимание, что вы должны быть уверены, что копия ядра точно рабочая. Если вы в этом не уверены, скомпилируйте GENERIC ядро и установите его, а потом уже поверх установите свой экземпляр. Давайте это и сделаем. Перейдём в папку с конфигами ядра, скопируем ядро по умолчанию под своим именем и начнём настраивать.

[cci lang="text" line_numbers="false" theme="blackboard"] tower# cd /usr/src/sys/i386/conf[/cci] для 32-разрядной системы. [cci lang="text" line_numbers="false" theme="blackboard"] tower# cd /usr/src/sys/amd64/conf[/cci] для 64-разрядной системы. [cci lang="text" line_numbers="false" theme="blackboard"]tower# cp GENERIC TOWER[/cci] копируем под своим именем.

Определить  установленное у вас оборудование и его индексы вы можете просмотрев файл /var/log/messages. Я настраиваю систему на 64-разрядной версии ядра, но отличий от 32-разрядной будет не много. Важно! Не пытайтесь копировать мой конфиг для 32-разрядной системы. Мой конфиг ядра ниже:

[cc lang="text" line_numbers="true" theme="blackboard" width="800"]

  2. GENERIC -- Generic kernel configuration file for FreeBSD/amd64
  4. For more information on this file, please read the config(5) manual page,
  5. and/or the handbook section on Kernel Configuration Files:
  7. http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
  9. The handbook is also available locally in /usr/share/doc/handbook
  10. if you've installed the doc distribution, otherwise always see the
  11. FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
  12. latest information.
  14. An exhaustive list of options and more detailed explanations of the
  15. device lines is also present in the ../../conf/NOTES and NOTES files.
  16. If you are in doubt as to the purpose or necessity of a line, check first
  17. in NOTES.
  19. $FreeBSD: src/sys/amd64/conf/GENERIC,v 1.531.2.15.2.1 2010/12/21 17:09:25 kensmith Exp $

cpu HAMMER ident TOWER

  1. To statically compile in device wiring instead of /boot/device.hints
  2. hints "GENERIC.hints" # Default places to look for devices.
  1. Use the following to compile in values accessible to the kernel
  2. through getenv() (or kenv(1) in userland). The format of the file
  3. is 'variable=value', see kenv(1)
  5. env "GENERIC.env"
  1. makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

options SCHED_ULE # ULE scheduler options PREEMPTION # Enable kernel thread preemption options INET # InterNETworking

  1. options INET6 # IPv6 communications protocols
  2. options SCTP # Stream Control Transmission Protocol

options FFS # Berkeley Fast Filesystem options SOFTUPDATES # Enable FFS soft updates support

  1. options UFS_ACL # Support for access control lists

options UFS_DIRHASH # Improve performance on big directories options UFS_GJOURNAL # Enable gjournal-based UFS journaling options MD_ROOT # MD is a potential root device

  1. options NFSCLIENT # Network Filesystem Client
  2. options NFSSERVER # Network Filesystem Server
  3. options NFSLOCKD # Network Lock Manager
  4. options NFS_ROOT # NFS usable as /, requires NFSCLIENT

options MSDOSFS # MSDOS Filesystem options CD9660 # ISO 9660 Filesystem options PROCFS # Process filesystem (requires PSEUDOFS) options PSEUDOFS # Pseudo-filesystem framework options GEOM_PART_GPT # GUID Partition Tables. options GEOM_LABEL # Provides labelization options COMPAT_43TTY # BSD 4.3 TTY compat (sgtty) options COMPAT_FREEBSD32 # Compatible with i386 binaries options COMPAT_FREEBSD4 # Compatible with FreeBSD4 options COMPAT_FREEBSD5 # Compatible with FreeBSD5 options COMPAT_FREEBSD6 # Compatible with FreeBSD6 options COMPAT_FREEBSD7 # Compatible with FreeBSD7 options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI options KTRACE # ktrace(1) support options STACK # stack(9) support options SYSVSHM # SYSV-style shared memory options SYSVMSG # SYSV-style message queues options SYSVSEM # SYSV-style semaphores options P1003_1B_SEMAPHORES # POSIX-style semaphores options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions options PRINTF_BUFR_SIZE=128 # Prevent printf output being interspersed. options KBD_INSTALL_CDEV # install a CDEV entry in /dev options HWPMC_HOOKS # Necessary kernel hooks for hwpmc(4) options AUDIT # Security event auditing options MAC # TrustedBSD MAC Framework options FLOWTABLE # per-cpu routing cache

  1. options KDTRACE_FRAME # Ensure frames are compiled in
  2. options KDTRACE_HOOKS # Kernel DTrace hooks

options INCLUDE_CONFIG_FILE # Include this file in kernel

options KDB # Kernel debugger related code options KDB_TRACE # Print a stack trace for a panic

  1. Make an SMP-capable kernel by default

options SMP # Symmetric MultiProcessor Kernel

  1. CPU frequency control

device cpufreq

  1. Bus support.

device acpi device pci

  1. Floppy drives
  2. device fdc
  1. ATA and ATAPI devices

device ata device atadisk # ATA disk drives device ataraid # ATA RAID drives device atapicd # ATAPI CDROM drives

  1. device atapifd # ATAPI floppy drives
  2. device atapist # ATAPI tape drives

options ATA_STATIC_ID # Static device numbering

  1. SCSI Controllers

device ahc # AHA2940 and onboard AIC7xxx devices options AHC_REG_PRETTY_PRINT # Print register bitfields in debug

  1. output. Adds ~128k to driver.

device ahd # AHA39320/29320 and onboard AIC79xx devices options AHD_REG_PRETTY_PRINT # Print register bitfields in debug

  1. output. Adds ~215k to driver.

device amd # AMD 53C974 (Tekram DC-390(T)) device hptiop # Highpoint RocketRaid 3xxx series device isp # Qlogic family

  1. device ispfw # Firmware for QLogic HBAs- normally a module

device mpt # LSI-Logic MPT-Fusion

  1. device ncr # NCR/Symbios Logic

device sym # NCR/Symbios Logic (newer chipsets + those of `ncr') device trm # Tekram DC395U/UW/F DC315U adapters

device adv # Advansys SCSI adapters device adw # Advansys wide SCSI adapters device aic # Adaptec 15[012]x SCSI adapters, AIC-6[23]60. device bt # Buslogic/Mylex MultiMaster SCSI adapters

  1. SCSI peripherals

device scbus # SCSI bus (required for SCSI) device ch # SCSI media changers device da # Direct Access (disks) device sa # Sequential Access (tape etc) device cd # CD device pass # Passthrough device (direct SCSI access)

device ses # SCSI Environmental Services (and SAF-TE)

  1. RAID controllers interfaced to the SCSI subsystem

device amr # AMI MegaRAID device arcmsr # Areca SATA II RAID

  1. XXX it is not 64-bit clean, -scottl
  2. device asr # DPT SmartRAID V, VI and Adaptec SCSI RAID

device ciss # Compaq Smart RAID 5* device dpt # DPT Smartcache III, IV - See NOTES for options device hptmv # Highpoint RocketRAID 182x device hptrr # Highpoint RocketRAID 17xx, 22xx, 23xx, 25xx device iir # Intel Integrated RAID device ips # IBM (Adaptec) ServeRAID device mly # Mylex AcceleRAID/eXtremeRAID device twa # 3ware 9000 series PATA/SATA RAID

  1. RAID controllers

device aac # Adaptec FSA RAID device aacp # SCSI passthrough for aac (requires CAM) device ida # Compaq Smart RAID device mfi # LSI MegaRAID SAS device mlx # Mylex DAC960 family

  1. XXX pointer/int warnings
  2. device pst # Promise Supertrak SX6000

device twe # 3ware ATA RAID

  1. atkbdc0 controls both the keyboard and the PS/2 mouse

device atkbdc # AT keyboard controller device atkbd # AT keyboard

  1. device psm # PS/2 mouse

device kbdmux # keyboard multiplexer

device vga # VGA video card driver

  1. device splash # Splash screen and screen saver support
  1. syscons is the default console driver, resembling an SCO console

device sc

device agp # support several AGP chipsets

  1. PCCARD (PCMCIA) support
  2. PCMCIA and cardbus bridge support
  3. device cbb # cardbus (yenta) bridge
  4. device pccard # PC Card (16-bit) bus
  5. device cardbus # CardBus (32-bit) bus
  1. Serial (COM) ports
  2. device uart # Generic UART driver
  1. Parallel port

device ppc device ppbus # Parallel port bus (required)

  1. device lpt # Printer
  2. device plip # TCP/IP over parallel

device ppi # Parallel port interface device

  1. device vpo # Requires scbus and da
  1. If you've got a "dumb" serial or parallel PCI card that is
  2. supported by the puc(4) glue driver, uncomment the following
  3. line to enable it (connects to sio, uart and/or ppc drivers):
  4. device puc
  1. PCI Ethernet NICs.
  2. device de # DEC/Intel DC21x4x (``Tulip)
  3. device em # Intel PRO/1000 Gigabit Ethernet Family
  4. device igb # Intel PRO/1000 PCIE Server Gigabit Family
  5. device ixgbe # Intel PRO/10GbE PCIE Ethernet Family
  6. device le # AMD Am7900 LANCE and Am79C9xx PCnet
  7. device ti # Alteon Networks Tigon I/II gigabit Ethernet
  8. device txp # 3Com 3cR990 (``Typhoon)
  9. device vx # 3Com 3c590, 3c595 (``Vortex)
  1. PCI Ethernet NICs that use the common MII bus controller code.
  2. NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!

device miibus # MII bus support

  1. device ae # Attansic/Atheros L2 FastEthernet
  2. device age # Attansic/Atheros L1 Gigabit Ethernet
  3. device alc # Atheros AR8131/AR8132 Ethernet
  4. device ale # Atheros AR8121/AR8113/AR8114 Ethernet
  5. device bce # Broadcom BCM5706/BCM5708 Gigabit Ethernet
  6. device bfe # Broadcom BCM440x 10/100 Ethernet

device bge # Broadcom BCM570xx Gigabit Ethernet

  1. device dc # DEC/Intel 21143 and various workalikes
  2. device et # Agere ET1310 10/100/Gigabit Ethernet
  3. device fxp # Intel EtherExpress PRO/100B (82557, 82558)
  4. device jme # JMicron JMC250 Gigabit/JMC260 Fast Ethernet
  5. device lge # Level 1 LXT1001 gigabit Ethernet
  6. device msk # Marvell/SysKonnect Yukon II Gigabit Ethernet
  7. device nfe # nVidia nForce MCP on-board Ethernet
  8. device nge # NatSemi DP83820 gigabit Ethernet
  9. device nve # nVidia nForce MCP on-board Ethernet Networking
  10. device pcn # AMD Am79C97x PCI 10/100 (precedence over 'le')
  11. device re # RealTek 8139C+/8169/8169S/8110S
  12. device rl # RealTek 8129/8139
  13. device sf # Adaptec AIC-6915 (``Starfire)
  14. device sge # Silicon Integrated Systems SiS190/191
  15. device sis # Silicon Integrated Systems SiS 900/SiS 7016
  16. device sk # SysKonnect SK-984x & SK-982x gigabit Ethernet
  17. device ste # Sundance ST201 (D-Link DFE-550TX)
  18. device stge # Sundance/Tamarack TC9021 gigabit Ethernet
  19. device tl # Texas Instruments ThunderLAN
  20. device tx # SMC EtherPower II (83c170 ``EPIC)
  21. device vge # VIA VT612x gigabit Ethernet
  22. device vr # VIA Rhine, Rhine II
  23. device wb # Winbond W89C840F
  24. device xl # 3Com 3c90x (``Boomerang, ``Cyclone)
  1. ISA Ethernet NICs. pccard NICs included.
  2. device cs # Crystal Semiconductor CS89x0 NIC
  3. 'device ed' requires 'device miibus'
  4. device ed # NE[12]000, SMC Ultra, 3c503, DS8390 cards
  5. device ex # Intel EtherExpress Pro/10 and Pro/10+
  6. device ep # Etherlink III based cards
  7. device fe # Fujitsu MB8696x based cards
  8. device sn # SMC's 9000 series of Ethernet chips
  9. device xe # Xircom pccard Ethernet
  1. Wireless NIC cards
  2. device wlan # 802.11 support
  3. options IEEE80211_DEBUG # enable debug msgs
  1. options IEEE80211_AMPDU_AGE # age frames in AMPDU reorder q's
  2. options IEEE80211_SUPPORT_MESH # enable 802.11s draft support
  3. device wlan_wep # 802.11 WEP support
  4. device wlan_ccmp # 802.11 CCMP support
  5. device wlan_tkip # 802.11 TKIP support
  6. device wlan_amrr # AMRR transmit rate control algorithm
  7. device an # Aironet 4500/4800 802.11 wireless NICs.
  8. device ath # Atheros pci/cardbus NIC's
  9. device ath_hal # pci/cardbus chip support
  10. options AH_SUPPORT_AR5416 # enable AR5416 tx/rx descriptors
  11. device ath_rate_sample # SampleRate tx rate control for ath
  12. device ral # Ralink Technology RT2500 wireless NICs.
  13. device wi # WaveLAN/Intersil/Symbol 802.11 wireless NICs.
  1. Pseudo devices.

device loop # Network loopback device random # Entropy device device ether # Ethernet support device vlan # 802.1Q VLAN support device tun # Packet tunnel. device pty # BSD-style compatibility pseudo ttys device md # Memory "disks"

  1. device gif # IPv6 and IPv4 tunneling
  2. device faith # IPv6-to-IPv4 relaying (translation)

device firmware # firmware assist module

  1. The `bpf' device enables the Berkeley Packet Filter.
  2. Be aware of the administrative consequences of enabling this!
  3. Note that 'bpf' is required for DHCP.

device bpf # Berkeley packet filter

  1. USB support
  2. options USB_DEBUG # enable debug msgs
  3. device uhci # UHCI PCI->USB interface
  4. device ohci # OHCI PCI->USB interface
  5. device ehci # EHCI PCI->USB interface (USB 2.0)
  6. device usb # USB Bus (required)
  7. device udbp # USB Double Bulk Pipe devices
  8. device uhid # "Human Interface Devices"
  1. device ukbd # Keyboard
  2. device ulpt # Printer
  3. device umass # Disks/Mass storage - Requires scbus and da
  4. device ums # Mouse
  5. device urio # Diamond Rio 500 MP3 player
  6. USB Serial devices
  7. device uark # Technologies ARK3116 based serial adapters
  8. device ubsa # Belkin F5U103 and compatible serial adapters
  9. device uftdi # For FTDI usb serial adapters
  10. device uipaq # Some WinCE based devices
  11. device uplcom # Prolific PL-2303 serial adapters
  12. device uslcom # SI Labs CP2101/CP2102 serial adapters
  13. device uvisor # Visor and Palm devices
  14. device uvscom # USB serial support for DDI pocket's PHS
  15. USB Ethernet, requires miibus
  16. device aue # ADMtek USB Ethernet
  17. device axe # ASIX Electronics USB Ethernet
  18. device cdce # Generic USB over Ethernet
  19. device cue # CATC USB Ethernet
  20. device kue # Kawasaki LSI USB Ethernet
  21. device rue # RealTek RTL8150 USB Ethernet
  22. device udav # Davicom DM9601E USB
  23. USB Wireless
  24. device rum # Ralink Technology RT2501USB wireless NICs
  25. device uath # Atheros AR5523 wireless NICs
  26. device ural # Ralink Technology RT2500USB wireless NICs
  27. device zyd # ZyDAS zb1211/zb1211b wireless NICs
  1. FireWire support
  2. device firewire # FireWire bus code
  3. device sbp # SCSI over FireWire (Requires scbus and da)
  4. device fwe # Ethernet over FireWire (non-standard!)
  5. device fwip # IP over FireWire (RFC 2734,3146)
  6. device dcons # Dumb console driver
  7. device dcons_crom # Configuration ROM for dcons

options IPDIVERT options DUMMYNET options IPFIREWALL options IPFIREWALL_NAT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=1000000 options IPFIREWALL_FORWARD options IPFIREWALL_DEFAULT_TO_ACCEPT options LIBALIAS

options NETGRAPH options NETGRAPH_ETHER options NETGRAPH_EIFACE options NETGRAPH_IPFW options NETGRAPH_IFACE options NETGRAPH_KSOCKET options NETGRAPH_NETFLOW options NETGRAPH_NAT options NETGRAPH_SOCKET options NETGRAPH_SPLIT

device gre device lagg

options SC_DISABLE_REBOOT options SC_PIXEL_MODE [/cc]

Теперь построчно я опишу те изменения, которые я внёс и почему: 22 - я меняю ident ядра на свой, примерно как имя. 33 - отключение режима отладки. В этом режиме ядро генерирует много логов, различной информации для разработчиков. Как итог - работать такое ядро будет медленнее и с повышенной нагрузкой. 38, 39 - отключаю поддержку IPv6. 42 - отключаю UFS acl. Я никогда не использовал эти списки контроля доступа, поэтому и сейчас мне они не нужны. 46-49 - отключаю поддержку NFS по той же причине, не использую. 94, 101 - флоппи-дисковод у меня отсутствует. 102 - запись на магнитную ленту тоже. 163 - мышку не использую на сервере. 169 - хранитель экрана тоже. 178-180 - данные типы карт отсутствуют в моём компьютере. 183 - в COM порт у меня ничего не подключено, и не будет. 188, 189 - принтера на сервере не будет, передачи IP по данному порту тоже. 199-206 - выключаю неиспользуемые сетевые карты. 210, 217 - оставляю, т.к. у меня как раз bge сетевая карта, а 210 нужна для все сетевых карт ниже, остальные же сетевые карты я выключаю. 244-269 - выключаю ISA и беспроводные карты. 279, 280 - продолжаю вырезать IPv6. 289-331 - отключаю поддержку USB и FireWire. 333-341 - включаю фаервол с опциями NAT и FWD. 343-352 - включаю поддержку NETGRAPH. 354 - для создания GRE-туннелей. 355 - для создания специального виртуального интерфейса (подробнее man lagg). 357 - выключение перезагрузки по Ctrl+Alt+Delete. 358 - поддержка расширенного графического режима для консоли.

Сохраняем изменения и компилируем наше ядро:

[cc lang="text" line_numbers="false" theme="blackboard"] tower# config TOWER tower# cd ../compile/TOWER tower# make depend tower# make tower# make install [/cc]

Если на каком-то из этапов у вас команда прервалась с ошибкой, то дальнейшие команды выполнять нельзя, иначе вы  установите нерабочее ядро. Как видите, всё очень просто. Даже если ошиблись, вернуть всё назад или начать с нуля не так сложно. Для того, чтобы система  приняла ядро требуется перезагрузка. После перезагрузки вы увидите в motd изменения версии ядра.

Настройка программного обеспечения.

Первым дело я хочу расстаться с безликой и чёрной консолью, хотя бы чуть-чуть. Для этого мы установим Midnight Commander - оболочка, которая очень похожа на FAR Manager, Norton Commander и им подобные. 

# cd /usr/ports/misc/mc
# make install
От автора.

В целом, система после установки уже готова к работе и Вы с большей доли вероятности можете пропустить всю 2 и 3 главу данной статьи и приступить к настройке необходимых Вам вещей. Я описал те разделы, которые могут помочь и оптимизировать работу операционной системы и её окружения, а так же повышающие её безопасность и отказоустойчивость. Некоторые операции, такие как настройка ядра, можно заменить динамической загрузкой модулей и/или настройкой переменных через команду sysctl.


Не забывайте так же, что любое повышение безопасности обычно сказывается на удобстве. Ищите для себя золотые середины и свои подходы в настройке. Изучайте систему :)

Источник — https://wiki.gwtools.ru/index.php?title=Базовая_настройка_FreeBSD&oldid=258