2.8. Contas, Time Zone, Serviços e Hardening

2.8.1. Definindo a Senha de root

Primeiro, a senha do root deve ser definida. Ao digitar a senha, os caracteres digitados não são exibidos na tela. Depois que a senha for digitada, ela deve ser digitada novamente. Isso ajuda a evitar erros de digitação.

Figura 2.34. Definindo a Senha de root
Definindo a Senha de root

2.8.2. Defina o fuso horário

A próxima série de menus é usada para determinar a hora local correta, selecionando a região geográfica, o país e o fuso horário. Definir o fuso horário permite que o sistema corrija automaticamente as alterações de horário regionais, como horário de verão, e execute outras funções relacionadas ao fuso horário corretamente.

O exemplo mostrado aqui é para uma máquina localizada no fuso horário do continente da Espanha, Europa. As seleções variam de acordo com a localização geográfica.

Figura 2.35. Selecione uma região
Selecione uma região

A região apropriada é selecionada usando as teclas de seta e depois pressionando Enter.

Figura 2.36. Selecione um pais
Selecione um pais

Selecione o país apropriado usando as teclas de seta e pressione Enter.

Figura 2.37. Selecione um fuso horário
Selecione um fuso horário

O fuso horário apropriado é selecionado usando as teclas de seta e pressionando Enter.

Figura 2.38. Confirme o fuso horário
Confirme o fuso horário

Confirme se a abreviação do fuso horário está correta.

Figura 2.39. Selecionar Data
Selecionar Data

A data apropriada é selecionada usando as teclas de seta e pressionando [ Set Date ]. Caso contrário, a seleção de data pode ser pulada pressionando [ Skip ].

Figura 2.40. Selecionar Hora
Selecionar Hora

O horário apropriado é selecionado usando as teclas de seta e, em seguida, pressionando [ Set Time ]. Caso contrário, a seleção da hora pode ser pulada pressionando [ Skip ].

2.8.3. Ativando Serviços

O próximo menu é usado para configurar quais serviços do sistema serão iniciados sempre que o sistema for inicializado. Todos esses serviços são opcionais. Inicie apenas os serviços necessários para o funcionamento do sistema.

Figura 2.41. Selecionando Serviços Adicionais para Ativar
Selecionando Serviços Adicionais para Ativar

Aqui está um resumo dos serviços que podem ser ativados neste menu:

  • local_unbound -Ative o DNS local unbound. É necessário ter em mente que esse é o unbound do sistema base e deve ser usado apenas como um cache local de consultas DNS. Se o objetivo é configurar um resolvedor para toda a rede, instale dns/unbound.

  • sshd - O daemon Secure Shell (SSH) é usado para acessar remotamente um sistema através de uma conexão criptografada. Ative este serviço somente se o sistema estiver disponível para logins remotos.

  • moused - Ative este serviço se o mouse for usado a partir do console do sistema de linha de comando.

  • ntpdate - Ative a sincronização automática do relógio no momento do boot. A funcionalidade deste programa agora está disponível no daemon ntpd(8). Após um período considerável de luto, o utilitário ntpdate(8) será aposentado.

  • ntpd - O daemon do Network Time Protocol (NTP) para sincronização automática do relógio. Ative este serviço se houver um servidor Windows®, Kerberos ou LDAP na rede.

  • powerd - Utilitário de controle de energia do sistema para controle de energia e economia de energia.

  • dumpdev - A habilitação de despejos de memória é útil na depuração de problemas com o sistema; portanto, os usuários são incentivados a habilitar despejos de memória.

2.8.4. Ativando Opções de Segurança (Hardening)

O próximo menu é usado para configurar quais opções de segurança serão ativadas. Todas essas opções são opcionais. Mas seu uso é incentivado.

Figura 2.42. Selecionando Opções de Segurança (Hardening)
Selecionando Opções de Segurança (Hardening)

Aqui está um resumo das opções que podem ser ativadas neste menu:

  • hide_uids - Oculta processos em execução de outros usuários para impedir que usuários sem privilégios vejam processos em execução de outros usuários (UID), impedindo o vazamento de informações.

  • hide_gids - Oculta processos em execução de outros grupos para impedir que usuários sem privilégios vejam processos em execução de outros grupos (GID), impedindo o vazamento de informações.

  • hide_jail - Oculta processos em execução em jails para impedir que usuários sem privilégios vejam processos em execução dentro das jails.

  • read_msgbuf - Desativando a leitura do buffer de mensagens do kernel para usuários sem privilégios, impede o uso do dmesg(8) para exibir mensagens do log do kernel em buffer.

  • proc_debug - Desativar os recursos de depuração de processo para usuários sem privilégios desativa uma variedade de serviços de depuração entre processos sem privilégios, incluindo algumas funcionalidades procfs, ptrace() e ktrace(). Observe que isso também irá bloquear ferramentas de depuração, como por exemplo, lldb(1), truss(1), procstat(1), bem como alguns recursos de depuração integrados em certas linguagens de script como PHP, etc., de funcionar para usuários sem privilégios.

  • random_pid - Randomize o PID dos processos recém-criados.

  • clear_tmp - Limpar o /tmp na inicialização do sistema.

  • disable_syslogd - Desative a criação de socket de rede do syslogd. Por padrão, o FreeBSD executa o syslogd de maneira segura com -s. Isso impede que o daemon atenda solicitações UDP recebidas na porta 514. Com esta opção ativada, o syslogd será executado com o sinalizador -ss, que impede o syslogd de abrir qualquer porta. Para obter mais informações, consulte syslogd(8).

  • disable_sendmail - Desative o agente de transporte de email sendmail.

  • secure_console - Quando esta opção está ativada, o prompt solicita a senha de root ao entrar em modo single-user.

  • disable_ddtrace - O DTrace pode ser executado em um modo que realmente afetará o kernel em execução. Ações destrutivas não podem ser usadas, a menos que tenham sido explicitamente ativadas. Para habilitar esta opção ao usar o DTrace, use -w. Para obter mais informações, consulte dtrace(1).

2.8.5. Adicione usuários

O próximo menu pede para criar pelo menos uma conta de usuário. Recomenda-se fazer login no sistema usando uma conta de usuário em vez de utilizar diretamente o root. Quando logado como root, essencialmente não há limites ou proteção sobre o que pode ser feito. Fazer o login como um usuário normal é mais seguro.

Selecione [Yes] para adicionar novos usuários.

Figura 2.43. Adicione contas de usuário
Adicione contas de usuário

Siga os prompts e insira as informações solicitadas para a conta do usuário. O exemplo mostrado em Figura 2.44, “Insira as informações do usuário” cria a conta de usuário asample.

Figura 2.44. Insira as informações do usuário
Insira as informações do usuário

Aqui está um resumo das informações para solicitadas:

  • Username - O nome que o usuário digitará para efetuar login. Uma convenção comum é usar a primeira letra do primeiro nome combinada com o sobrenome, desde que cada nome de usuário seja exclusivo para o sistema. O nome de usuário faz distinção entre maiúsculas e minúsculas e não deve conter espaços.

  • Username - O nome completo do usuário. Este campo pode conter espaços e é usado como uma descrição para a conta do usuário.

  • Uid - ID do Usuário. Normalmente, isso é deixado em branco para que o sistema atribua um valor.

  • Login group - O grupo do usuário. Normalmente, isso é deixado em branco para aceitar o padrão.

  • Invite user into other groups? - Grupos adicionais aos quais o usuário será adicionado como membro. Se o usuário precisar de acesso administrativo, digite wheel aqui.

  • Login class - normalmente deixado em branco para seguir com o padrão.

  • Shell - Digite um dos valores listados para definir o shell interativo para o usuário. Consulte Seção 3.9, “Shells” para maiores informações sobre shells.

  • Home directory - O diretório inicial do usuário. O padrão geralmente está correto.

  • Home directory permissions - Permissões no diretório inicial do usuário. O padrão geralmente está correto.

  • Use password-based authentication? A resposta deve ser Yes para que o usuário seja solicitado a inserir sua senha no login.

  • Use an empty password? - Normalmente a resposta será No, pois é inseguro ter uma senha em branco.

  • Use a random password? - Normalmente a resposta será No para que o usuário possa definir sua própria senha no próximo prompt.

  • Enter password - Escolha a senha para este usuário. Caracteres digitados não serão exibidos na tela.

  • Enter password again - A senha deve ser digitada novamente para verificação.

  • Lock out the account after creation? - A reposta normalmente será No para que o usuário possa fazer o login.

Depois de inserir tudo, um resumo será exibido para revisão. Se algum erro foi cometido, digite no e tente novamente. Se tudo estiver correto, digite yes para criar o novo usuário.

Figura 2.45. Saia do gerenciamento de usuários e grupos
Saia do gerenciamento de usuários e grupos

Se houver mais usuários para adicionar, responda a pergunta Add another user? com yes. Digite no para concluir a adição de usuários e continuar a instalação.

Para obter maiores informações sobre como adicionar usuários e sobre como gerenciá-los de usuários, consulte Seção 3.3, “Usuários e Gerenciamento Básico de Contas”.

2.8.6. Configuração final

Depois que tudo tiver sido instalado e configurado, você terá uma chance final para modificar as configurações.

Figura 2.46. Configuração final
Configuração final

Use este menu para fazer alterações ou fazer qualquer configuração adicional antes de concluir a instalação.

Depois que completar qualquer configuração final que tenha faltado, selecione Exit.

Figura 2.47. Configuração manual
Configuração manual

O bsdinstall perguntará se há alguma configuração adicional que precise ser feita antes de reinicializar o novo sistema. Selecione [Yes] para sair para um shell dentro do novo sistema ou [No] para prosseguir para a última etapa da instalação.

Figura 2.48. Conclua a instalação
Conclua a instalação

Se outras configurações ou configurações especiais forem necessárias, selecione [Live CD] para inicializar a mídia de instalação no modo Live CD.

Se a instalação estiver completa, selecione [Reboot] para reiniciar o computador e iniciar o novo sistema FreeBSD. Não se esqueça de remover a mídia de instalação do FreeBSD ou o computador poderá inicializar novamente a partir dela.

Quando o FreeBSD inicializa, mensagens informativas são exibidas. Depois que o sistema concluir a inicialização, um prompt de login será exibido. No login:, insira o nome de usuário adicionado durante a instalação. Evite efetuar login como root. Consulte Seção 3.3.1.3, “A conta de superusuário” para instruções sobre como se tornar o superusuário quando o acesso administrativo for necessário.

As mensagens que apareceram durante a inicialização podem ser revisadas pressionando Scroll-Lock para ativar o buffer de rolagem para trás. As teclas PgUp, PgDn e setas podem ser usadas para rolar pelas mensagens. Quando terminar, pressione Scroll-Lock novamente para desbloquear o visor e retornar ao console. Para revisar essas mensagens depois que o sistema estiver ativo por algum tempo, digite less /var/run/dmesg.boot em um prompt de comando. Pressione q para retornar à linha de comando após a visualização.

Se o sshd foi habilitado em Figura 2.41, “Selecionando Serviços Adicionais para Ativar”, a primeira inicialização pode ser um pouco mais lenta, pois o sistema gerará as chaves RSA e DSA. As inicializações subseqüentes serão mais rápidas. As impressões digitais das chaves serão exibidas, conforme mostrado neste exemplo:

Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 root@machine3.example.com
The key's randomart image is:
+--[RSA1 1024]----+
|    o..          |
|   o . .         |
|  .   o          |
|       o         |
|    o   S        |
|   + + o         |
|o . + *          |
|o+ ..+ .         |
|==o..o+E         |
+-----------------+
Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 root@machine3.example.com
The key's randomart image is:
+--[ DSA 1024]----+
|       ..     . .|
|      o  .   . + |
|     . ..   . E .|
|    . .  o o . . |
|     +  S = .    |
|    +  . = o     |
|     +  . * .    |
|    . .  o .     |
|      .o. .      |
+-----------------+
Starting sshd.

Consulte Seção 13.8, “OpenSSH” para maiores informações sobre fingerprints e o SSH.

O FreeBSD não instala um ambiente gráfico por padrão. Consulte Capítulo 5, O sistema X Window para maiores informações sobre como instalar e configurar um gerenciador gráfico de janelas.

O desligamento adequado de um computador FreeBSD ajuda a proteger os dados e o hardware contra danos. Não desligue a energia antes do sistema ter sido desligado corretamente! Se o usuário for membro do grupo wheel, torne-se o superusuário digitando su na linha de comando e inserindo a senha do usuário root. Em seguida, digite shutdown -p now e o sistema será desligado corretamente e, se o hardware suportar, irá se desliga-se.

All FreeBSD documents are available for download at https://download.freebsd.org/ftp/doc/

Questions that are not answered by the documentation may be sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.