Direkt zum Inhalt springen

FreeBSD Remote Installation

Markus Kohlmeyer arbeitet als System-Administrator in Hamburg (Germany). Er beschäftigt sich mit diversen Themen der IT, insbesondere der Administration und Security von Servern, pflegt mehrere HowTos zu FreeBSD und Linux und betreibt neben dem unter Anderem auch die , wo er unter seinem Pseudonym Joe User aktiv ist.

Verfasser: Markus Kohlmeyer

Beitragender: Jesco Freund

Beitragender: Eckhard Doll

Letzte Aktualisierung:

Veröffentlicht:

Lizenz: Attribution-NonCommercial-ShareAlike 4.0 International (CC BY-NC-SA 4.0)


Artikel empfehlen: Flattr Google+ XING LinkedIn


Einleitung

In diesem HowTo beschreibe ich step-by-step die Remote Installation von FreeBSD 64Bit mittels mfsBSD auf einem dedizierten Server, auch RootServer genannt. Um eine weitere Republikation der offiziellen FreeBSD Dokumentation zu vermeiden, werde ich in diesem HowTo nicht alle Punkte bis ins Detail erläutern.

Vielen Dank für Dein Vertändnis.


Folgende Punkte sind in diesem HowTo zu beachten.

  • Alle Dienste werden mit einem möglichst minimalen und bewährten Funktionsumfang installiert.
  • Alle Dienste werden mit einer möglichst sicheren und dennoch flexiblen Konfiguration versehen.
  • Alle Konfigurationen sind selbstständig auf notwendige individuelle Anpassungen zu kontrollieren.
  • Alle Passworte werden als @PASSWORD@ dargestellt und sind selbstständig durch sichere Passworte zu ersetzen.
  • Die Domain des Servers lautet example.org und ist selbstständig durch die eigene Domain zu ersetzen.
  • Der Hostname des Servers lautet srv und ist selbstständig durch den eigenen Hostnamen zu ersetzen (FQDN=srv.example.org).
  • Es wird der FQDN srv.example.org verwendet und ist selbstständig im DNS zu registrieren.

Das Referenzsystem

Als Referenzsystem für dieses HowTo habe ich mich für eine virtuelle Maschine auf Basis von Oracle VM VirtualBox unter Microsoft Windows 7 SP1 Professional 64Bit entschieden. So lässt sich ohne grösseren Aufwand ein handelsüblicher dedizierter Server, auch RootServer genannt, simulieren und anschliessend kann diese virtuelle Maschine als kostengünstiges lokales Testsystem weiter genutzt werden.

Trotzdem habe ich dieses HowTo so ausgelegt, dass es sich nahezu unverändert auf dedizierter Server übertragen lässt und dieses auch auf mehreren RootServern getestet.

Leider bringt Microsoft Windows keinen eigenen SSH-Client mit, so dass ich auf das sehr empfehlenswerte PuTTY zurückgreife. Zur Simulation des bei nahezu allen Anbietern dedizierter Server (RootServer) vorhandene Rettungssystem, nachfolgend RescueSystem genannt, wird in diesem HowTo die auf Gentoo Linux basierende SystemRescueCD eingesetzt.

VirtualBox und PuTTY werden jeweils mit den jeweiligen Standardoptionen installiert und (sofern noch nicht geschehen) deren Installationspfade der Umgebungvariablen PATH des aktuelle angemeldeten Windows-Users hinzugefügt. Dazu öffnen wir die Eingabeaufforderung und setzen folgende drei Kommandozeilen-Befehle ab.

SET OLDPATH=%PATH%
SETX PATH "%OLDPATH%;%ProgramFiles(x86)%\PuTTY;%VBOX_INSTALL_PATH%"
SET OLDPATH=

Da neue beziehungsweise geänderte Umgebungvariablen in der jeweils aktuellen Eingabeaufforderung noch nicht gültig sind, wird die Eingabeaufforderung nun wieder geschlossen.

Die Virtuelle Maschine

Als Erstes öffnen wir eine neue Eingabeaufforderung und legen manuell eine neue virtuelle Maschine an. Diese virtuelle Maschine bekommt den Namen FreeBSD und wird mit 2048MB RAM, zwei 32GB SATA-Festplatten, einem DVD-Player, sowie einer Intel-Netzwerkkarte ausgestattet. Zudem setzen wir die RTC (Real-Time Clock) der virtuellen Maschine auf UTC (Coordinated Universal Time) und legen die Bootreihenfolge fest.

VBoxManage createvm --name "FreeBSD" --ostype FreeBSD_64 --register

cd "%USERPROFILE%\VirtualBox VMs\FreeBSD"

VBoxManage createhd --filename "FreeBSD1.vdi" --size 32768
VBoxManage createhd --filename "FreeBSD2.vdi" --size 32768
VBoxManage modifyvm "FreeBSD" --memory 2048 --rtcuseutc on --boot1 dvd --boot2 disk --boot3 none --boot4 none
VBoxManage storagectl "FreeBSD" --name "IDE Controller" --add ide --controller ICH6 --portcount 2
VBoxManage storagectl "FreeBSD" --name "SATA Controller" --add sata --controller IntelAHCI --portcount 4
VBoxManage storageattach "FreeBSD" --storagectl "SATA Controller" --port 0 --device 0 --type hdd --medium "FreeBSD1.vdi"
VBoxManage storageattach "FreeBSD" --storagectl "SATA Controller" --port 1 --device 0 --type hdd --medium "FreeBSD2.vdi"

Die virtuelle Maschine, genauer die virtuelle Netzwerkkarte, kann dank NAT zwar problemlos mit der Aussenwelt, aber leider nicht direkt mit dem Hostsystem kommunizieren. Aus diesem Grund richten wir nun für den SSH-Zugang noch ein Portforwarding ein, welches den Port 2222 des Hostsystems auf den Port 22 der virtuellen Maschine weiterleitet.

VBoxManage modifyvm "FreeBSD" --natpf1 SSH,tcp,,2222,,22

Nachdem die virtuelle Maschine nun konfiguriert ist, wird es Zeit diese zu booten.

RescueSystem booten

Um unser mfsBSD Image installieren zu können, müssen wir unsere virtuelle Maschine mit einem RescueSystem booten. Hierfür eignet sich die auf Gentoo Linux basierende SystemRescueCD am Besten, welche wir mittels des mit Windows mitgelieferten FTP-Client herunterladen und unserer virtuellen Maschine als Bootmedium zuweisen.

cd "%USERPROFILE%\VirtualBox VMs\FreeBSD"

ftp -A ftp.heanet.ie
cd mirrors/download.sourceforge.net/pub/sourceforge/s/sy/systemrescuecd/sysresccd-x86/4.3.0
binary
get systemrescuecd-x86-4.3.0.iso
quit

VBoxManage storageattach "FreeBSD" --storagectl "IDE Controller" --port 0 --device 0 --type dvddrive --medium "systemrescuecd-x86-4.3.0.iso"

Wir können das RescueSystem jetzt booten.

VBoxManage startvm "FreeBSD"

Im Bootmenü wählen wir die erste Option "boot with default options" aus.

Wer mit dem amerikanischen Tastaturlayout nicht zurechtkommt, sollte während des Bootens die Frage nach der Keymap mit de beantworten.

Ist der Bootvorgang abgeschlossen, wird als Erstes das root-Passwort für das RescueSystem gesetzt.

passwd root

Jetzt sollten wir uns mittels PuTTY als root in das RescueSystem einloggen und mit der Installation unseres mfsBSD Image fortfahren können.

putty -ssh -P 2222 root@127.0.0.1

mfsBSD installieren

Um unsere umfangreichen Vorbereitungen nun abzuschliessen, müssen wir nur noch unser mfsBSD Image installieren und booten.

Als Erstes kopieren wir mittels PuTTYs SCP-Client (pscp) das mfsBSD Image in das RescueSystem.

# FreeBSD 9.3-RELEASE
pscp -P 2222 "%USERPROFILE%\VirtualBox VMs\mfsBSD\mfsbsd-9.3-RELEASE-amd64.img" root@127.0.0.1:/tmp/mfsbsd-9.3-RELEASE-amd64.img

# FreeBSD 10.0-RELEASE
pscp -P 2222 "%USERPROFILE%\VirtualBox VMs\mfsBSD\mfsbsd-10.0-RELEASE-amd64.img" root@127.0.0.1:/tmp/mfsbsd-10.0-RELEASE-amd64.img

Jetzt können wir das mfsBSD Image mittels dd auf der ersten Festplatte (/dev/sda) unserer virtuellen Maschine installieren und uns anschliessend wieder aus dem RescueSystem ausloggen.

dd if=/dev/zero of=/dev/sda count=100 bs=1M

# FreeBSD 9.3-RELEASE
dd if=/tmp/mfsbsd-9.3-RELEASE-amd64.img of=/dev/sda bs=1M

# FreeBSD 10.0-RELEASE
dd if=/tmp/mfsbsd-10.0-RELEASE-amd64.img of=/dev/sda bs=1M

exit

Abschliessend stoppen wir die virtuelle Maschine vorübergehend und entfernen die SystemRescueCD aus dem virtuellen DVD-Laufwerk.

VBoxManage controlvm "FreeBSD" poweroff
VBoxManage storageattach "FreeBSD" --storagectl "IDE Controller" --port 0 --device 0 --type dvddrive --medium emptydrive

FreeBSD installieren

Nachdem nun alle Vorbereitungen abgeschlossen sind, können wir endlich mit der eigentlichen FreeBSD Remote Installation beginnen, indem wir die virtuelle Maschine wieder booten.

VBoxManage startvm "FreeBSD"

Jetzt sollten wir uns mittels PuTTY als root mit dem Passwort mfsroot in das mfsBSD Image einloggen und mit der Installation von FreeBSD beginnen können.

putty -ssh -P 2222 root@127.0.0.1

Partitionieren der Festplatte

Bevor wir anfangen, bereinigen wir die Festplatten von jeglichen Datenrückständen, indem wir sie mit Nullen überschreiben. Je nach Festplattengrösse kann dies einige Stunden bis Tage in Anspruch nehmen. Aus diesem Grund verlegen wir diese Jobs mittels nohup in den Hintergrund, so dass wir uns zwischenzeitlich ausloggen können ohne dass dabei die Jobs automatisch von der Shell abgebrochen werden. Ob die Jobs fertig sind, lässt dann mittels ps -auxfwww und top -atCP ermitteln.

nohup dd if=/dev/zero of=/dev/ada0 bs=512  &
nohup dd if=/dev/zero of=/dev/ada1 bs=512  &

Da jeder Administrator andere Präferenzen an sein Partitionslayout stellt und wir andernfalls mit diesem HowTo nicht weiterkommen, verwenden wir im Folgenden ein Standard-Partitionslayout. Fortgeschrittenere FreeBSD-Administratoren können dieses Partitionslayout selbstverständlich an ihre eigenen Bedürfnisse anpassen.

Partition Mountpunkt Filesystem Grösse
/dev/mirror/root / UFS2 16 GB
/dev/mirror/data /data UFS2 12 GB
/dev/mirror/swap none SWAP 2 GB

Als Erstes müssen wir die Festplatte partitionieren, was wir mittels gpart erledigen werden. Zuvor müssen wir dies aber dem Kernel mittels sysctl mitteilen, da er uns andernfalls dazwischenfunken würde.

Wir werden auf beiden Festplatten jeweils vier Partitionen anlegen, die Erste für den Bootcode, die Zweite als Systempartition, die Dritte für unsere Nutzdaten und die Vierte als SWAP. Dabei werden wir die Partitionen auch gleich für modernere Festplatten mit 4K-Sektoren optimieren und statt den veralteten "MBR Partition Tables" die aktuelleren "GUID Partition Tables (GPT)" verwenden.

sysctl kern.geom.debugflags=0x10

kldload geom_mirror

gpart create -s gpt ada0
gpart create -s gpt ada1

gpart add -t freebsd-boot -b 4096 -s 512 -a 4096 ada0
gpart add -t freebsd-ufs  -b 8192 -s 16G -a 4096 ada0
gpart add -t freebsd-ufs          -s 12G -a 4096 ada0
gpart add -t freebsd-swap         -s  2G -a 4096 ada0

gpart add -t freebsd-boot -b 4096 -s 512 -a 4096 ada1
gpart add -t freebsd-ufs  -b 8192 -s 16G -a 4096 ada1
gpart add -t freebsd-ufs          -s 12G -a 4096 ada1
gpart add -t freebsd-swap         -s  2G -a 4096 ada1

Für eine leicht erhöhte Datensicherheit legen wir mittels gmirror ein Software-RAID1 an.

gmirror label -b load root ada0p2 ada1p2
gmirror label -b load data ada0p3 ada1p3
gmirror label -b prefer -F swap ada0p4 ada1p4

Formatieren der Partitionen

Nun müssen wir noch die Systempartition und die Partition für die Nutzdaten mit "UFS2" und einer 4K-Blockgrösse formatieren und aktivieren auch gleich die "journaled soft-updates".

newfs -O2 -U -f 4096 /dev/mirror/root
newfs -O2 -U -f 4096 /dev/mirror/data

tunefs -j enable /dev/mirror/root
tunefs -j enable /dev/mirror/data

Mounten der Partitionen

Die Partitionen mounten wir unterhalb von /mnt.

mount -t ufs /dev/mirror/root /mnt
mkdir -p /mnt/data
mount -t ufs /dev/mirror/data /mnt/data

Installation der Chroot-Umgebung

Auf die gemounteten Partitionen entpacken wir ein FreeBSD Basesystem mit dem wir problemlos weiterarbeiten können. Je nach Auslastung des FreeBSD FTP-Servers kann dies ein wenig dauern, bitte nicht ungeduldig werden.

# FreeBSD 9.3-RELEASE
fetch -4 -q -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/9.3-RELEASE/base.txz   | tar Jxpvf - -C /mnt/
fetch -4 -q -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/9.3-RELEASE/kernel.txz | tar Jxpvf - -C /mnt/
fetch -4 -q -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/9.3-RELEASE/lib32.txz  | tar Jxpvf - -C /mnt/

# FreeBSD 10.0-RELEASE
fetch -4 -q -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/10.0-RELEASE/base.txz   | tar Jxpvf - -C /mnt/
fetch -4 -q -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/10.0-RELEASE/kernel.txz | tar Jxpvf - -C /mnt/
fetch -4 -q -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/10.0-RELEASE/lib32.txz  | tar Jxpvf - -C /mnt/

Unser System soll natürlich auch von den Festplatten booten können, weshalb wir jetzt den Bootcode und Bootloader in den Bootpartitionen installieren.

gpart bootcode -b /mnt/boot/pmbr -p /mnt/boot/gptboot -i 1 ada0
gpart bootcode -b /mnt/boot/pmbr -p /mnt/boot/gptboot -i 1 ada1

gpart set -a bootme -i 2 ada0
gpart set -a bootme -i 2 ada1

Vorbereiten der Chroot-Umgebung

Vor dem Wechsel in die Chroot-Umgebung müssen wir noch die resolv.conf in die Chroot-Umgebung kopieren und das Device-Filesysteme dorthin mounten.

cp -L /etc/resolv.conf /mnt/etc/resolv.conf

mount -t devfs devfs /mnt/dev

Betreten der Chroot-Umgebung

Das neu installierte System selbstverständlich noch konfiguriert werden, bevor wir es nutzen können. Dazu werden wir jetzt in das neue System chrooten und eine minimale Grundkonfiguration vornehmen.

Beim Betreten der Chroot-Umgebung setzen wir mittels /usr/bin/env -i erstmal alle Environment-Variablen zurück. Andererseits benötigen wir aber die Environment-Variablen HOME und TERM, welche wir manuell auf sinnvolle Defaults setzen.

chroot /mnt /usr/bin/env -i HOME=/root TERM=$TERM /bin/tcsh

Zeitzone und NTP-Synchronisierung einrichten

Zunächst setzen wir die Systemzeit (CMOS clock) mittels tzsetup auf "UTC", die "Region" auf Europe, das "Country" auf Germany und "CET" beziehungsweise "CEST" trifft ebenfalls zu.

/usr/sbin/tzsetup

Die NTP-Synchronisierung kann mit einem einfachen Eintrag in der Crontab bewerkstelligt werden.

cat >> /etc/crontab << "EOF"
59      2       *       *       *       root    /usr/sbin/ntpdate -4 -b -s ptbtime2.ptb.de
"EOF"

Locale einrichten

Auf Servern sollte für Systemuser eine amerikanisch-englische Locale mit Unicode (UTF-8) verwendet werden. Wir bearbeiten hierzu mit dem Editor ee (ee /etc/login.conf) in der Datei /etc/login.conf die Login-Klasse default, indem wir vor der letzten Zeile folgende Zeilen hinzufügen.

        :charset=UTF-8:\
        :lang=en_US.UTF-8:\

Anschliessend muss die Datei in eine Systemdatenbank umgewandelt werden.

cap_mkdb /etc/login.conf

Nach dem nächsten Login sollte der Befehl locale die folgende Ausgabe liefern.

LANG=en_US.UTF-8
LC_CTYPE="en_US.UTF-8"
LC_COLLATE="en_US.UTF-8"
LC_TIME="en_US.UTF-8"
LC_NUMERIC="en_US.UTF-8"
LC_MONETARY="en_US.UTF-8"
LC_MESSAGES="en_US.UTF-8"
LC_ALL=

Shell einrichten

Unter FreeBSD ist die Tenex C Shell (TCSH) die Standard-Shell. Für Bash-gewohnte Linux-User ist diese Shell etwas gewöhnungsbedürftig, und natürlich kann man sie später auch gegen eine andere Shell austauschen (im Basis-System ist neben der TCSH auch eine ASH enthalten). Skripte würde ich persönlich für die TCSH eher nicht schreiben, aber für die tägliche Administrationsarbeit ist die TCSH ein sehr brauchbares Werkzeug – wenn man sie erst mal etwas umkonfiguriert hat. Dies tun wir jetzt.

cat >> /etc/csh.cshrc << "EOF"
setenv LSCOLORS "Dxfxcxdxbxegedabagacad"
alias ls        ls -GF
alias l         ls -lhaGF
"EOF"

cat > /root/.cshrc << "EOF"
# $FreeBSD: stable/10/etc/root/dot.cshrc 243893 2012-12-05 13:56:39Z eadler $
#
# .cshrc - csh resource script, read at beginning of execution by each shell
#
# see also csh(1), environ(7).
# more examples available at /usr/share/examples/csh/
#

alias h         history 25
alias j         jobs -l
alias la        ls -aF
alias lf        ls -FA
alias ll        ls -lAF

# A righteous umask
umask 22

set path = (/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin $HOME/bin)

setenv  EDITOR  ee
setenv  PAGER   less
setenv  BLOCKSIZE       K

if ($?prompt) then
        # An interactive shell -- set some stuff up
        set prompt = "[%B%n%b@%B%m%b:%B%~%b] %# "
        set promptchars = "%#"

        set filec
        set history = 1000
        set savehist = (1000 merge)
        set autolist = ambiguous
        # Use history to aid expansion
        set autoexpand
        set autorehash
        set mail = (/var/mail/$USER)
        if ( $?tcsh ) then
                bindkey "^W" backward-delete-word
                bindkey -k up history-search-backward
                bindkey -k down history-search-forward
                bindkey ^[[3~ delete-char
        endif

endif
"EOF"

chsh -s /bin/tcsh root

Systemsicherheit verstärken

Die hier vorgestellten Massnahmen sind äusserst simple Basics, die aus Hygienegründen auf jedem FreeBSD System selbstverständlich sein sollten. Um ein FreeBSD System richtig zu härten (Hardened), kommt man jedoch nicht an komplexeren Methoden wie Security Event Auditing und Mandatory Access Control vorbei. Diese Themen werden im FreeBSD Handbuch recht ausführlich besprochen; für den Einstieg empfehle ich hier die Lektüre von Kapitel 14 (Security), für die weiterführenden Themen die Kapitel 16 (Mandatory Access Control) und Kapitel 17 (Security Event Auditing).

OpenSSH konfigurieren

Da wir gerade ein Produktiv-System aufsetzen, werden wir den SSH-Dienst recht restriktiv konfigurieren, indem wir den Login per Passwort verbieten und nur per SSH-Key zulassen.

sed -e 's/^#UsePAM yes/UsePAM no/' -i '' /etc/ssh/sshd_config
sed -e 's/^#PermitRootLogin no/PermitRootLogin no/' -i '' /etc/ssh/sshd_config
sed -e 's/^#PasswordAuthentication no/PasswordAuthentication no/' -i '' /etc/ssh/sshd_config
sed -e 's/^#ChallengeResponseAuthentication yes/ChallengeResponseAuthentication no/' -i '' /etc/ssh/sshd_config

# FreeBSD 9.3-RELEASE
# FreeBSD 10.0-RELEASE
cat >> /etc/ssh/sshd_config << "EOF"
Ciphers aes256-gcm@openssh.com,aes256-cbc,aes256-ctr
Macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1
"EOF"

# FreeBSD 10-STABLE / OpenSSH 6.5+
cat >> /etc/ssh/sshd_config << "EOF"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-cbc,aes256-ctr
Macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1
"EOF"

/etc/sysctl.conf anpassen

In der sysctl.conf können die meisten Kernel-Parameter verändert werden. Wir wollen dies nutzen, um unser System etwas robuster und sicherer zu machen.

cat >> /etc/sysctl.conf << "EOF"
security.bsd.hardlink_check_gid=1
security.bsd.hardlink_check_uid=1
security.bsd.see_other_uids=0
security.bsd.see_other_gids=0
security.bsd.stack_guard_page=1
security.bsd.unprivileged_proc_debug=0
security.bsd.unprivileged_read_msgbuf=0
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.randompid=1000
kern.ipc.shmall=32768
kern.ipc.shmmax=134217728
kern.ipc.shm_use_phys=1
net.inet.ip.random_id=1
net.inet.ip.redirect=0
net.inet.icmp.drop_redirect=1
net.inet.tcp.blackhole=2
net.inet.tcp.syncookies=1
net.inet.tcp.syncookies_only=1
net.inet.udp.blackhole=1
"EOF"

Stärkere Passwort-Hashes verwenden

Um Bruteforce-Attacken erheblich auszubremsen setzen wir für die Passworte der Systemuser eine Mindestlänge (minpasswordlen) von 12 Zeichen in einem Mix aus Gross- und Kleinschreibung (mixpasswordcase) fest. Desweiteren lassen wir User nach 30 Minuten Inaktivität automatisch ausloggen (idletime). Wir bearbeiten hierzu mit dem Editor ee (ee /etc/login.conf) in der Datei /etc/login.conf die Login-Klasse default, indem wir vor der letzten Zeile folgende Zeilen hinzufügen.

        :mixpasswordcase=true:\
        :minpasswordlen=12:\
        :idletime=30:\

Anschliessend muss die Datei in eine Systemdatenbank umgewandelt werden.

cap_mkdb /etc/login.conf

Die neuen Einstellungen werden erst wirksam, wenn das Passwort eines Benutzers geändert wird. Deshalb müssen wir jetzt die Passwörter für root und alle anderen bisher von uns angelegten User ändern.

passwd root

OpenSSL konfigurieren

Folgende Optionen müssen mit dem Editor ee (ee /etc/ssl/openssl.cnf) in der /etc/ssl/openssl.cnf im Abschnitt [ req_distinguished_name ] angepasst beziehungsweise ergänzt werden.

countryName_default             = DE
stateOrProvinceName_default     = State
localityName_default            = Locality
0.organizationName_default      = Example Corporation
organizationalUnitName_default  = Certification Authority
emailAddress_default            = admin@example.org

Folgende Optionen müssen im Abschnitt [ CA_default ] angepasst werden.

default_days            = 730
default_md              = sha256

Folgende Optionen müssen im Abschnitt [ req ] angepasst werden.

default_bits            = 4096
string_mask             = utf8only

DH Param Files erzeugen

# FreeBSD 9.x / OpenSSL 0.9.8
openssl dhparam -out /etc/ssl/dh_params.pem 4096
openssl ecparam -out /etc/ssl/ec_params.pem -name secp384r1

# FreeBSD 10.x / OpenSSL 1.0.1
openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:4096 -out /etc/ssl/dh_params.pem
openssl genpkey -genparam -algorithm EC -pkeyopt ec_paramgen_curve:secp384r1 -out /etc/ssl/ec_params.pem

Terminals absichern

Um zu verhindern, dass das System im Single User Mode ohne jeglichen Schutz benutzbar ist, ändern wir in der Datei /etc/ttys die Zeile console none... wie folgt ab.

console none                            unknown off insecure

Dadurch wird die Eingabe des root-Kennworts erforderlich, um das System im Single User Mode booten zu können.

Ausserdem können wir in derselben Datei alle auf Servern nicht benötigten Terminals deaktivieren. Dazu setzen wir die Terminals ttyv1 bis ttyv8 auf off. ttyv0 sowie den Rest sollten wir hingegen unverändert lassen.

Zusätzlich können wir veranlassen, dass die Konsole bei jedem Logout gelöscht wird, so dass nicht versehentlich vertrauliche Informationen auf dem Bildschirm sichtbar bleiben. Dazu ändern wir in der Datei /etc/gettytab den Eintrag P|Pc|Pc console wie folgt ab.

P|Pc|Pc console:\
        :ht:np:sp#115200:\
        :cl=\E[H\E[2J:

System konfigurieren

Die aliases-Datenbank für FreeBSDs Sendmail müssen wir mittels make anlegen, auch wenn wir später Sendmail gar nicht verwenden möchten.

cd /etc/mail ; make aliases ; cd

Um Probleme an unserem Software-RAID1 möglichst rechtzeitig mitzubekommen, lassen wir uns täglich eine Mail mit dem Status des Software-RAID1 schicken.

echo 'daily_status_gmirror_enable="YES"' >> /etc/periodic.conf

Die /etc/fstab legen wir entsprechend unserem Partitionslayout an.

cat > /etc/fstab << "EOF"
# Device                       Mountpoint              FStype  Options         Dump    Pass
/dev/mirror/root               /                       ufs     rw              1       1
dev                            /dev                    devfs   rw              0       0
fdesc                          /dev/fd                 fdescfs rw              0       0
proc                           /proc                   procfs  rw              0       0
/dev/mirror/swap               none                    swap    sw              0       0
/dev/mirror/data               /data                   ufs     rw              2       2
"EOF"

In der /etc/rc.conf werden diverse Grundeinstellungen für das System und die installierten Dienste vorgenommen.

cat > /etc/rc.conf << "EOF"
##############################################################
###  Important initial Boot-time options  ####################
##############################################################
#kern_securelevel_enable="YES"
#kern_securelevel="1"
fsck_y_enable="YES"
dumpdev="AUTO"

##############################################################
###  Network configuration sub-section  ######################
##############################################################
hostname="srv.example.org"

##### IPv4
### comment next 2 lines if you need the more complex config
defaultrouter="GATEWAY4"
ifconfig_IFACE4="inet IPADDR4 netmask NETMASK4"
### the next 4 options may be needed on some isp-networks
### uncomment next 4 lines if you need the complex config
#static_routes="gateway4 default4"
#route_gateway4="-host -inet GATEWAY4 -interface IFACE4"
#route_default4="default GATEWAY4"
#ifconfig_IFACE4="inet IPADDR4 netmask NETMASK4"

##### IPv6
### comment next 3 lines if you need the more complex config
#static_ndp_pairs="GATEWAY6 GWMAC6"
#ipv6_defaultrouter="GATEWAY6"
#ifconfig_IFACE6_ipv6="inet6 IPADDR6 prefixlen PREFLEN6"
### the next 5 options may be needed on some isp-networks
### uncomment next 5 lines if you need the complex config
#static_ndp_pairs="GATEWAY6 GWMAC6"
#ipv6_static_routes="gateway6 default6"
#ipv6_route_gateway6="-host -inet6 GATEWAY6 -interface IFACE6"
#ipv6_route_default6="default GATEWAY6"
#ifconfig_IFACE6_ipv6="inet6 IPADDR6 prefixlen PREFLEN6"

##############################################################
###  System console options  #################################
##############################################################
keymap="german.iso.kbd"
font8x16="iso-8x16.fnt"
font8x14="iso-8x14.fnt"
font8x8="iso-8x8.fnt"

##############################################################
###  Mail Transfer Agent (MTA) options  ######################
##############################################################
sendmail_enable="NO"
sendmail_cert_create="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

##############################################################
###  Miscellaneous administrative options  ###################
##############################################################
syslogd_flags="-ss"
clear_tmp_enable="YES"
cron_flags="$cron_flags -j 0 -J 0"

##############################################################
### Jail Configuration #######################################
##############################################################

##############################################################
###  System services options  ################################
##############################################################
sshd_enable="YES"
"EOF"

Es folgt ein wenig Voodoo, um die Netzwerkkonfiguration in der /etc/rc.conf zu vervollständigen.

# IPv4
route -n get -inet 0.0.0.0 | awk '/interface/ {print $2}' | xargs -I % sed -e 's/IFACE4/%/g' -i "" /etc/rc.conf
route -n get -inet 0.0.0.0 | awk '/gateway/ {print $2}' | xargs -I % sed -e 's/GATEWAY4/%/g' -i "" /etc/rc.conf
ifconfig -u | awk '/inet / {print $0 | "egrep -v \" 127\"" }' | head -n 1 | awk '{print $2}' | xargs -I % sed -e 's/IPADDR4/%/g' -i "" /etc/rc.conf
ifconfig -u | awk '/inet / {print $0 | "egrep -v \" 127\"" }' | head -n 1 | awk '{print $4}' | xargs -I % sed -e 's/NETMASK4/%/g' -i "" /etc/rc.conf

# IPv6
route -n get -inet6 :: | awk '/interface/ {print $2}' | xargs -I % sed -e 's/IFACE6/%/g' -i "" /etc/rc.conf
route -n get -inet6 :: | awk '/gateway/ {print $2}' | xargs -I % sed -e 's/GATEWAY6/%/g' -i "" /etc/rc.conf
ifconfig -u | awk '/inet6 / {print $0 | "egrep -v \" (fe80|::1)\"" }' | head -n 1 | awk '{print $2}' | xargs -I % sed -e 's/IPADDR6/%/g' -i "" /etc/rc.conf
ifconfig -u | awk '/inet6 / {print $0 | "egrep -v \" (fe80|::1)\"" }' | head -n 1 | awk '{print $4}' | xargs -I % sed -e 's/PREFLEN6/%/g' -i "" /etc/rc.conf
ndp -na | grep `route -n get -inet6 :: | awk '/gateway/ {print $2}'` | awk '{print $2}' | xargs -I % sed -e 's/GWMAC6/%/g' -i "" /etc/rc.conf

Um nicht ständig mit dem root-User arbeiten zu müssen, legen wir uns einen Administrations-User an, den wir praktischerweise "admin" nennen. Diesem User verpassen wir eine eigene Standard-Gruppe "admin" und nehmen ihn zusätzlich in die Gruppe "wheel" auf, damit dieser User später per su zum root-User wechseln kann. Das Home-Verzeichnis des admin-Users lassen wir ebenfalls restriktiv anlegen und setzen seine Standard-Shell auf /bin/tcsh. Ein sicheres Passwort bekommt er selbstverständlich auch noch.

pw groupadd -n admin -g 1000
pw useradd -n admin -u 1000 -g admin -G wheel -c Administrator -m -M 700 -s /bin/tcsh
passwd admin

Wir richten unserem admin noch die Shell und die zum zukünftigen Einloggen zwingend nötigten SSH-Keys ein.

su - admin

cat > .cshrc << "EOF"
# $FreeBSD: stable/10/share/skel/dot.cshrc 243893 2012-12-05 13:56:39Z eadler $
#
# .cshrc - csh resource script, read at beginning of execution by each shell
#
# see also csh(1), environ(7).
# more examples available at /usr/share/examples/csh/
#

alias h         history 25
alias j         jobs -l
alias la        ls -aF
alias lf        ls -FA
alias ll        ls -lAF

# A righteous umask
umask 22

set path = (/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin $HOME/bin)

setenv  EDITOR  ee
setenv  PAGER   less
setenv  BLOCKSIZE       K

if ($?prompt) then
        # An interactive shell -- set some stuff up
        if ($uid == 0) then
                set user = root
        endif
        set prompt = "[%B%n%b@%B%m%b:%B%~%b] %# "
        set promptchars = "%#"

        set filec
        set history = 1000
        set savehist = (1000 merge)
        set autolist = ambiguous
        # Use history to aid expansion
        set autoexpand
        set autorehash
        set mail = (/var/mail/$USER)
        if ( $?tcsh ) then
                bindkey "^W" backward-delete-word
                bindkey -k up history-search-backward
                bindkey -k down history-search-forward
                bindkey ^[[3~ delete-char
        endif

endif
"EOF"


# FreeBSD 9.3-RELEASE
# FreeBSD 10.0-RELEASE
ssh-keygen -t ecdsa -b 384 -O clear -O permit-pty
cat .ssh/id_ecdsa.pub >> .ssh/authorized_keys
ssh-keygen -t rsa -b 4096 -O clear -O permit-pty
cat .ssh/id_rsa.pub >> .ssh/authorized_keys


# FreeBSD 10-STABLE / OpenSSH 6.5+
ssh-keygen -t ed25519 -O clear -O permit-pty
cat .ssh/id_ed25519.pub >> .ssh/authorized_keys
ssh-keygen -t ecdsa -b 384 -O clear -O permit-pty
cat .ssh/id_ecdsa.pub >> .ssh/authorized_keys
ssh-keygen -t rsa -b 4096 -O clear -O permit-pty
cat .ssh/id_rsa.pub >> .ssh/authorized_keys


exit

Buildsystem konfigurieren

# FreeBSD 9.3-RELEASE
cat > /etc/make.conf << "EOF"
KERNCONF?=GENERIC
SVN_UPDATE=yes
SVN=/usr/local/bin/svnlite
NO_DOCUPDATE=yes
NO_PORTSUPDATE=yes
NO_WWWUPDATE=yes
PRINTERDEVICE=ascii
WITH_PKGNG=yes
WITH_SSP_PORTS=yes
WITH_OPENSSL_PORT=yes
WITH_BDB_VER=5
OPTIONS_SET= INET6 IPV6 NLS THREADS
OPTIONS_UNSET= DEBUG X11 DOCS EXAMPLES
DEFAULT_VERSIONS+=perl5=5.20
DEFAULT_VERSIONS+=python=2.7
DEFAULT_VERSIONS+=python2=2.7
DEFAULT_VERSIONS+=python3=3.4
DEFAULT_VERSIONS+=ruby=2.1
DEFAULT_VERSIONS+=tcltk=8.6
DEFAULT_VERSIONS+=lua=5.2
"EOF"

# FreeBSD 10.0-RELEASE
cat > /etc/make.conf << "EOF"
KERNCONF?=GENERIC
SVN_UPDATE=yes
SVN=/usr/bin/svnlite
NO_DOCUPDATE=yes
NO_PORTSUPDATE=yes
NO_WWWUPDATE=yes
PRINTERDEVICE=ascii
WITH_PKGNG=yes
WITH_SSP_PORTS=yes
WITH_OPENSSL_PORT=yes
WITH_BDB_VER=5
OPTIONS_SET= INET6 IPV6 NLS THREADS
OPTIONS_UNSET= DEBUG X11 DOCS EXAMPLES
DEFAULT_VERSIONS+=perl5=5.20
DEFAULT_VERSIONS+=python=2.7
DEFAULT_VERSIONS+=python2=2.7
DEFAULT_VERSIONS+=python3=3.4
DEFAULT_VERSIONS+=ruby=2.1
DEFAULT_VERSIONS+=tcltk=8.6
DEFAULT_VERSIONS+=lua=5.2
"EOF"

cat > /etc/src.conf << "EOF"
WITHOUT_AMD=YES
WITHOUT_APM=YES
WITHOUT_ATF=YES
WITHOUT_ATM=YES
WITHOUT_BLUETOOTH=YES
WITHOUT_BSNMP=YES
WITHOUT_CALENDAR=YES
WITHOUT_CTM=YES
WITHOUT_FLOPPY=YES
WITHOUT_GAMES=YES
WITHOUT_GPIB=YES
WITHOUT_GPIO=YES
WITHOUT_HTML=YES
WITHOUT_I4B=YES
WITHOUT_IPX=YES
WITHOUT_KERBEROS=YES
WITHOUT_LIB32=YES
WITHOUT_LPR=YES
WITHOUT_NCP=YES
WITHOUT_NDIS=YES
WITHOUT_NIS=YES
WITHOUT_PPP=YES
WITHOUT_PROFILE=YES
WITHOUT_RCMDS=YES
WITHOUT_RCS=YES
WITHOUT_SENDMAIL=YES
WITHOUT_SHAREDOCS=YES
WITHOUT_SYSINSTALL=YES
WITHOUT_WIRELESS=YES
"EOF"

Kernel konfigurieren

cat >> /boot/loader.conf << "EOF"
# Kernel parameters
kern.geom.label.disk_ident.enable=0
kern.geom.label.gptid.enable=0
kern.ipc.semmni=256
kern.ipc.semmns=512
kern.ipc.semmnu=256
# Kernel modules
geom_mirror_load="YES"
"EOF"

Abschluss der Installation

Um uns künftig mit unserem Arbeitsuser einloggen zu können, müssen wir uns dessen SSH-Key (id_rsa) auf unser lokales System kopieren und ihn dann mit Hilfe der PuTTYgen Dokumentation in einen für PuTTY lesbaren Key umwandeln.

pscp -P 2222 -r root@127.0.0.1:/mnt/usr/home/admin/.ssh "%USERPROFILE%\ssh"

Nun ist es endlich soweit: Wir verlassen das Chroot, unmounten die Partitionen und rebooten zum ersten Mal in unser neues FreeBSD Basis-System.

exit

umount /mnt/dev
umount /mnt/data
umount /mnt

shutdown -r now

System aktualisieren

Nach dem Reboot aktualisieren und entschlacken wir das System.

Source Tree auschecken

Am Besten funktioniert bei FreeBSD immer noch die Aktualisierung über die System-Sourcen. Auf diesem Wege kann man ein System über viele Release-Generationen hinweg aktuell halten, ohne eine Neuinstallation durchzuführen. Das Verfahren ist zwar etwas zeitaufwändig, aber erprobt und führt bei richtiger Anwendung zu einem sauberen, aktuellen System.

Zunächst wird hierzu das aktuelle Quellenverzeichnis von FreeBSD benötigt, weshalb wir es mittels svnlite, einem im Funktionsumfang reduziertem SVN-Client von FreeBSD, auschecken.

Da svnlite erst ab FreeBSD 10 zum Basesystem gehört, entscheiden wir aufgrund der installierten FreeBSD Version, ob wir svnlite zuerst aus den Ports installieren müssen und welchen Zweig wir letztendlich genau auschecken müssen.

# svnlite-Port nur für FreeBSD 9.x installieren
/bin/test "9" == `/bin/freebsd-version -u | awk -F'.' '{print $1}'` && pkg_add -r svnlite && rehash


# Quellenverzeichnis anlegen (checkout)
cd /usr/src && svnlite checkout svn://svn.freebsd.org/base/releng/`/bin/freebsd-version -u | awk -F'-' '{print $1}'`


# Vorhandenes Quellenverzeichnis aktualisieren (update)
cd /usr/src && svnlite update svn://svn.freebsd.org/base/releng/`/bin/freebsd-version -u | awk -F'-' '{print $1}'`


# Vorhandenes Quellenverzeichnis zu FreeBSD 9.3-RELENG wechseln (switch)
cd /usr/src && svnlite switch svn://svn.freebsd.org/base/releng/9.3

# Vorhandenes Quellenverzeichnis zu FreeBSD 10.0-RELENG wechseln (switch)
cd /usr/src && svnlite switch svn://svn.freebsd.org/base/releng/10.0

Konfiguration anpassen

In den Abschnitten Buildsystem konfigurieren und Kernel konfigurieren haben wir uns bereits eine geeignete make.conf und gegebenenfalls auch eine individuelle Kernel-Konfiguration erstellt. Dennoch sei an dieser Stelle nochmals auf das FreeBSD Handbuch verwiesen. Insbesondere Kapitel 8 (Kernel selbst erstellen) und Kapitel 24.6 (Basissystem komplett aktualisieren) seien Jedem FreeBSD Administratoren ans Herz gelegt.

Ausserdem empfiehlt es sich vor einem Update des Basissystems die Datei /usr/src/UPDATING zu lesen. Alle Angaben und Hinweise in dieser Datei sind aktueller und zutreffender als das Handbuch und sollten unbedingt befolgt werden.

Vorbereitende Arbeiten

OPTIONAL: Für die spätere Installation des neu kompilierten Basissystems darf /tmp nicht mit der Option noexec gemounted sein. Da zwischendrin noch mal ein Reboot erfolgt, können wir bei Bedarf bereits jetzt die entsprechende Zeile in der fstab anpassen.

#/dev/mirror/temp               /tmp                    ufs     rw,noexec,nosuid  2     2
/dev/mirror/temp               /tmp                    ufs     rw              2       2

Zunächst müssen eventuell vorhandene Object-Dateien im Verzeichnis /usr/obj gelöscht werden, damit make später wirklich das gesamte System neu erstellt.

chflags -R noschg /usr/obj/*
rm -rf /usr/obj/*

Ausserdem sollte mergemaster im Pre-Build-Mode angeworfen werden, damit es während der Aktualisierung nicht zu Fehlern kommt, weil z. B. bestimmte User oder Gruppen noch nicht vorhanden sind.

cd /usr/src/usr.sbin/mergemaster
./mergemaster.sh -p

Basissystem rekompilieren

Das Kompilieren des Basissystems kann durchaus eine Stunde oder länger dauern.

cd /usr/src
make -j2 buildworld

Kernel rekompilieren und installieren

Wenn die eigene Kernel-Konfiguration wie bei uns bereits in der /etc/make.conf eingetragen ist, wird sie automatisch verwendet, andernfalls wird die Konfiguration des generischen FreeBSD-Kernels verwendet. Das Kompilieren des Kernels kann durchaus eine Stunde oder länger dauern.

cd /usr/src
make -j2 buildkernel
make installkernel

Normalerweise wäre nun ein Reboot in den Single User Mode an der Reihe. Da sich ein Remote-System in diesem Modus ohne KVM-Lösung aber nicht bedienen lässt, begnügen wir uns damit, das System regulär neu zu starten.

shutdown -r now

Wenn wir unser System zu einem späteren Zeitpunkt nochmals aktualisieren, sollten wir zuden zuvor alle Dienste ausser OpenSSH, sowie sämtliche Jails in der Datei /etc/rc.conf deaktivieren.

Basissystem installieren

Wir installieren das neue Basissystem.

cd /usr/src
make installworld

Als letzten Schritt müssen nun noch die Neuerungen in den Konfigurationsdateien gemerged werden. Dabei unterstützt uns das Tool mergemaster.

/usr/sbin/mergemaster -i -F

Wir entsorgen nun noch eventuell vorhandene veraltete und überflüssige Dateien.

cd /usr/src
make delete-old -DBATCH_DELETE_OLD_FILES
make delete-old-libs -DBATCH_DELETE_OLD_FILES


# WARNUNG: Nachfolgenden Bugfix bitte nur bei Neuinstallationen
#          anwenden, andernfalls könnte das System beschädigt werden.
#
# BUGFIX: Leider wurden nicht alle überflüssigen Dateien entfernt,
#         weshalb wir manuell nacharbeiten, um spätere Fehlverhalten
#         des Systems oder der Pakete zu vermeiden:

chflags -R noschg /usr/lib32/*
rm -r /usr/lib32
find /usr/{bin,sbin,lib*,share}/ -type f -mtime +2w -delete

Anschliessend müssen wir noch die für die Installation gegebenenfalls vorgenommenen Änderungen in der fstab sowie rc.conf rückgängig machen und das System nochmals durchstarten.

shutdown -r now

Portstree einrichten

Um unser Basissystem um sinnvolle Programme erweitern zu können, fehlt uns noch der sogenannte Portstree. Diesen laden wir uns nun mittels portsnap herunter (kann durchaus eine Stunde oder länger dauern).

portsnap fetch extract

Damit ist der Portstree einsatzbereit. Um den Tree künftig zu aktualisieren genügt der folgende Befehl.

portsnap fetch update

Dieser Cronjob prüft täglich um 7:00 Uhr ob es Updates für die installierten Pakete gibt und ob darin gegebenenfalls wichtige Sicherheitsupdates enthalten sind. Das Ergebnis wird automatisch per Mail an root (siehe /etc/mail/aliases) gesendet.

cat >> /etc/crontab << "EOF"
0       7       *       *       *       root    /usr/sbin/portsnap -I cron update && /usr/sbin/pkg version -vIL= && /usr/sbin/pkg audit -F
"EOF"

Wichtige Informationen zu neuen Paketversionen finden sich in /usr/ports/UPDATING und sollten dringend beachtet werden.

less /usr/ports/UPDATING

Software installieren

So ganz ohne komfortable Tools ist das Basis-System etwas mühselig zu administrieren. Deshalb werden aus den Ports nun ein paar etwas häufiger benötigte Anwendungen installiert.

Die von uns jeweils gewünschten Default-Optionen der Ports legen wir dabei mittels der options-Files des neuen Portkonfigurationsframeworks OptionsNG fest.

Wir installieren ports-mgmt/pkg und dessen Abhängigkeiten.

cd /usr/ports/ports-mgmt/pkg
make config-recursive all install clean-depends clean && rehash
pkg2ng
pkg update -f
pkg check -Ba

Wir installieren lang/perl5.20 und dessen Abhängigkeiten.

mkdir -p /var/db/ports/security_openssl
cat > /var/db/ports/security_openssl/options << "EOF"
_OPTIONS_READ=openssl-1.0.1
_FILE_COMPLETE_OPTIONS_LIST=SHARED THREADS I386 SSE2 ASM PADLOCK ZLIB SCTP SSL2 SSL3 MD2 RC5 RFC3779 GMP DOCS EC
OPTIONS_FILE_SET+=SHARED
OPTIONS_FILE_SET+=THREADS
OPTIONS_FILE_UNSET+=I386
OPTIONS_FILE_SET+=SSE2
OPTIONS_FILE_SET+=ASM
OPTIONS_FILE_UNSET+=PADLOCK
OPTIONS_FILE_SET+=ZLIB
OPTIONS_FILE_SET+=SCTP
OPTIONS_FILE_SET+=SSL2
OPTIONS_FILE_SET+=SSL3
OPTIONS_FILE_SET+=MD2
OPTIONS_FILE_UNSET+=RC5
OPTIONS_FILE_SET+=RFC3779
OPTIONS_FILE_UNSET+=GMP
OPTIONS_FILE_UNSET+=DOCS
OPTIONS_FILE_SET+=EC
"EOF"

mkdir -p /var/db/ports/security_ca_root_nss
cat > /var/db/ports/security_ca_root_nss/options << "EOF"
_OPTIONS_READ=ca_root_nss-3.16.3
_FILE_COMPLETE_OPTIONS_LIST=ETCSYMLINK
OPTIONS_FILE_SET+=ETCSYMLINK
"EOF"

mkdir -p /var/db/ports/databases_db5
cat > /var/db/ports/databases_db5/options << "EOF"
_OPTIONS_READ=db5-5.3.28
_FILE_COMPLETE_OPTIONS_LIST=CRYPTO JAVA L10N SQL
OPTIONS_FILE_SET+=CRYPTO
OPTIONS_FILE_UNSET+=JAVA
OPTIONS_FILE_UNSET+=L10N
OPTIONS_FILE_UNSET+=SQL
"EOF"

mkdir -p /var/db/ports/databases_gdbm
cat > /var/db/ports/databases_gdbm/options << "EOF"
_OPTIONS_READ=gdbm-1.11
_FILE_COMPLETE_OPTIONS_LIST=COMPAT NLS
OPTIONS_FILE_UNSET+=COMPAT
OPTIONS_FILE_SET+=NLS
"EOF"

mkdir -p /var/db/ports/devel_gettext
cat > /var/db/ports/devel_gettext/options << "EOF"
_OPTIONS_READ=gettext-0.18.3.1
_FILE_COMPLETE_OPTIONS_LIST=DOCS
OPTIONS_FILE_UNSET+=DOCS
"EOF"

mkdir -p /var/db/ports/devel_gmake
cat > /var/db/ports/devel_gmake/options << "EOF"
_OPTIONS_READ=gmake-3.82
_FILE_COMPLETE_OPTIONS_LIST=NLS
OPTIONS_FILE_SET+=NLS
"EOF"

mkdir -p /var/db/ports/devel_m4
cat > /var/db/ports/devel_m4/options << "EOF"
_OPTIONS_READ=m4-1.4.17
_FILE_COMPLETE_OPTIONS_LIST=LIBSIGSEGV
OPTIONS_FILE_SET+=LIBSIGSEGV
"EOF"

mkdir -p /var/db/ports/lang_perl5.20
cat > /var/db/ports/lang_perl5.20/options << "EOF"
_OPTIONS_READ=perl5-5.20.0
_FILE_COMPLETE_OPTIONS_LIST=DEBUG GDBM MULTIPLICITY PERL_64BITINT PTHREAD SITECUSTOMIZE THREADS PERL_MALLOC
OPTIONS_FILE_UNSET+=DEBUG
OPTIONS_FILE_SET+=GDBM
OPTIONS_FILE_UNSET+=MULTIPLICITY
OPTIONS_FILE_SET+=PERL_64BITINT
OPTIONS_FILE_SET+=PTHREAD
OPTIONS_FILE_UNSET+=SITECUSTOMIZE
OPTIONS_FILE_SET+=THREADS
OPTIONS_FILE_UNSET+=PERL_MALLOC
"EOF"

cd /usr/ports/lang/perl5.20
make config-recursive all install clean-depends clean && rehash

Wir installieren lang/python27 und dessen Abhängigkeiten.

mkdir -p /var/db/ports/lang_python27
cat > /var/db/ports/lang_python27/options << "EOF"
_OPTIONS_READ=python27-2.7.8
_FILE_COMPLETE_OPTIONS_LIST=EXAMPLES FPECTL IPV6 NLS PTH PYMALLOC SEM THREADS UCS2 UCS4
OPTIONS_FILE_UNSET+=EXAMPLES
OPTIONS_FILE_UNSET+=FPECTL
OPTIONS_FILE_SET+=IPV6
OPTIONS_FILE_SET+=NLS
OPTIONS_FILE_UNSET+=PTH
OPTIONS_FILE_SET+=PYMALLOC
OPTIONS_FILE_SET+=SEM
OPTIONS_FILE_SET+=THREADS
OPTIONS_FILE_UNSET+=UCS2
OPTIONS_FILE_SET+=UCS4
"EOF"

mkdir -p /var/db/ports/lang_python34
cat > /var/db/ports/lang_python34/options << "EOF"
_OPTIONS_READ=python34-3.4.1
_FILE_COMPLETE_OPTIONS_LIST=DEBUG IPV6 NLS PYMALLOC THREADS TSC FNV SIPHASH
OPTIONS_FILE_UNSET+=DEBUG
OPTIONS_FILE_SET+=IPV6
OPTIONS_FILE_SET+=NLS
OPTIONS_FILE_SET+=PYMALLOC
OPTIONS_FILE_SET+=THREADS
OPTIONS_FILE_UNSET+=TSC
OPTIONS_FILE_UNSET+=FNV
OPTIONS_FILE_UNSET+=SIPHASH
"EOF"

cd /usr/ports/lang/python27
make config-recursive all install clean-depends clean && rehash

Wir installieren lang/ruby21 und dessen Abhängigkeiten.

mkdir -p /var/db/ports/devel_libffi
cat > /var/db/ports/devel_libffi/options << "EOF"
_OPTIONS_READ=libffi-3.0.13
_FILE_COMPLETE_OPTIONS_LIST=TESTS
OPTIONS_FILE_UNSET+=TESTS
"EOF"

mkdir -p /var/db/ports/misc_help2man
cat > /var/db/ports/misc_help2man/options << "EOF"
_OPTIONS_READ=help2man-1.43.3
_FILE_COMPLETE_OPTIONS_LIST=NLS
OPTIONS_FILE_SET+=NLS
"EOF"

mkdir -p /var/db/ports/lang_ruby21
cat > /var/db/ports/lang_ruby21/options << "EOF"
_OPTIONS_READ=ruby-2.1.2
_FILE_COMPLETE_OPTIONS_LIST=DEBUG RDOC LIBEDIT READLINE
OPTIONS_FILE_UNSET+=DEBUG
OPTIONS_FILE_UNSET+=RDOC
OPTIONS_FILE_SET+=LIBEDIT
OPTIONS_FILE_UNSET+=READLINE
"EOF"

cd /usr/ports/lang/ruby21
make config-recursive all install clean-depends clean && rehash

Wir installieren lang/tcl86 und dessen Abhängigkeiten.

mkdir -p /var/db/ports/lang_tcl86
cat > /var/db/ports/lang_tcl86/options << "EOF"
_OPTIONS_READ=tcl86-8.6.2
_FILE_COMPLETE_OPTIONS_LIST=MODULES TCLMAN THREADS TZDATA
OPTIONS_FILE_SET+=MODULES
OPTIONS_FILE_UNSET+=TCLMAN
OPTIONS_FILE_SET+=THREADS
OPTIONS_FILE_UNSET+=TZDATA
"EOF"

cd /usr/ports/lang/tcl86
make config-recursive all install clean-depends clean && rehash

Wir installieren ports-mgmt/portupgrade und dessen Abhängigkeiten.

mkdir -p /var/db/ports/ports-mgmt_portupgrade
cat > /var/db/ports/ports-mgmt_portupgrade/options << "EOF"
_OPTIONS_READ=portupgrade-2.4.12
_FILE_COMPLETE_OPTIONS_LIST=DOCS
OPTIONS_FILE_UNSET+=DOCS
"EOF"

cd /usr/ports/ports-mgmt/portupgrade
make config-recursive all install clean-depends clean && rehash

cat > /usr/local/etc/pkgtools.conf << "EOF"
# -*- ruby -*-
#
# pkgtools.conf - the configuration file for the pkgtools suite
#
module PkgConfig
  ENV['PORTSDIR'] ||= '/usr/ports'
  ENV['PACKAGES'] ||= ENV['PORTSDIR'] + '/packages'
  ENV['PKG_PATH'] ||= ENV['PACKAGES'] + '/All'
  ENV['PKG_BACKUP_DIR'] ||= ENV['PKG_PATH']
  SANITY_CHECK = true
  IGNORE_CATEGORIES = [
    'arabic',
    'chinese',
    'french',
    'german',
    'hebrew',
    'hungarian',
    'japanese',
    'korean',
    'polish',
    'portuguese',
    'russian',
    'ukrainian',
    'vietnamese',
  ]
  EXTRA_CATEGORIES = [
  ]
  ALT_INDEX = [
  ]
  ALT_MOVED = [
  ]
  HOLD_PKGS = [
  ]
  IGNORE_MOVED = [
  ]
  USE_PKGS = [
  ]
  USE_PKGS_ONLY = [
  ]
  USE_PORTS_ONLY = [
  ]
  ALT_PKGDEP = {
    'editors/emacs' => 'editors/emacs-nox11',
    'emulators/open-vm-tools' => 'emulators/open-vm-tools-nox11',
    'games/freeciv' => 'games/freeciv-nox11',
    'games/nethack33' => 'games/nethack33-nox11',
    'games/nethack34' => 'games/nethack34-nox11',
    'graphics/ImageMagick' => 'graphics/ImageMagick-nox11',
    'graphics/libwmf' => 'graphics/libwmf-nox11',
    'lang/ocaml' => 'lang/ocaml-nox11',
    'math/ploticus' => 'math/ploticus-nox11',
    'net-p2p/qbittorrent' => 'net-p2p/qbittorrent-nox11',
    'net/mtr' => 'net/mtr-nox11',
    'net/unison' => 'net/unison-nox11',
    'print/ghostscript7' => 'print/ghostscript7-nox11',
    'print/ghostscript8' => 'print/ghostscript8-nox11',
    'print/ghostscript9' => 'print/ghostscript9-nox11',
    'print/ghostscript9-agpl' => 'print/ghostscript9-agpl-nox11',
  }
  MAKE_ARGS = {
    'py27-*' => 'PYTHON_VERSION=python2.7',
    'py28-*' => 'PYTHON_VERSION=python2.8',
    'py32-*' => 'PYTHON_VERSION=python3.2',
    'py33-*' => 'PYTHON_VERSION=python3.3',
    'py34-*' => 'PYTHON_VERSION=python3.4',
    'py35-*' => 'PYTHON_VERSION=python3.5',
  }
  MAKE_ENV = {
  }
  BEFOREBUILD = {
  }
  BEFOREDEINSTALL = {
  }
  AFTERINSTALL = {
  }
  PKG_SITES = [
    pkg_site_mirror(),
  ]
  PORTUPGRADE_ARGS = ENV['PORTUPGRADE'] || '-v -D -u -c -l /var/tmp/portupgrade.results -L /var/tmp/portupgrade-%s::%s.log'
end
"EOF"

Wir installieren ports-mgmt/portmaster und dessen Abhängigkeiten.

mkdir -p /var/db/ports/ports-mgmt_portmaster
cat > /var/db/ports/ports-mgmt_portmaster/options << "EOF"
_OPTIONS_READ=portmaster-3.17.7
_FILE_COMPLETE_OPTIONS_LIST=BASH ZSH
OPTIONS_FILE_UNSET+=BASH
OPTIONS_FILE_UNSET+=ZSH
"EOF"

cd /usr/ports/ports-mgmt/portmaster
make config-recursive all install clean-depends clean && rehash

Wir installieren sysutils/smartmontools und dessen Abhängigkeiten.

mkdir -p /var/db/ports/sysutils_smartmontools
cat > /var/db/ports/sysutils_smartmontools/options << "EOF"
_OPTIONS_READ=smartmontools-6.3
_FILE_COMPLETE_OPTIONS_LIST=DOCS
OPTIONS_FILE_UNSET+=DOCS
"EOF"

cd /usr/ports/sysutils/smartmontools
make config-recursive all install clean-depends clean && rehash


sed 's/^DEVICESCAN/#DEVICESCAN/' /usr/local/etc/smartd.conf.sample > /usr/local/etc/smartd.conf
echo '/dev/ada0 -a -o on -S on -s (S/../.././02|L/../../6/03)' >> /usr/local/etc/smartd.conf
echo '/dev/ada1 -a -o on -S on -s (S/../.././02|L/../../6/03)' >> /usr/local/etc/smartd.conf
echo 'daily_status_smart_devices="/dev/ada0 /dev/ada1"' >> /etc/periodic.conf
echo 'smartd_enable="YES"' >> /etc/rc.conf

Wir installieren editors/nano und dessen Abhängigkeiten.

mkdir -p /var/db/ports/editors_nano
cat > /var/db/ports/editors_nano/options << "EOF"
_OPTIONS_READ=nano-2.2.6
_FILE_COMPLETE_OPTIONS_LIST=DOCS NLS
OPTIONS_FILE_UNSET+=DOCS
OPTIONS_FILE_SET+=NLS
"EOF"

cd /usr/ports/editors/nano
make config-recursive all install clean-depends clean && rehash

Wenn wir ein Programm nicht kennen, dann finden wir zu jedem Port eine Datei pkg-descr, die eine kurze Beschreibung sowie (meistens) einen Link zur Projekt-Homepage der Software enthält. Für smartmontools zum Beispiel würden wir die Beschreibung unter /usr/ports/sysutils/smartmontools/pkg-descr finden.

Wie geht es weiter?

Natürlich mit der Certificate Authority.

Viel Spass mit dem neuen FreeBSD Basissystem.