2.8. Comptes utilisateurs, fuseau horaire, services et renforcement de la sécurité

2.8.1. Définir le mot de passe de root

Tout d'abord, le mot de passe de l'utilisateur root doit être défini. Notez que lors de la saisie du mot de passe, les caractères tapés ne sont pas affichés sur l'écran. Après sa saisie, le mot de passe devra être entré une deuxième fois. Cela permet d'éviter les erreurs de frappe.

Figure 2.34. Saisie du mot de passe root
Saisie du mot de passe root

2.8.2. Réglage du fuseau horaire

La série de menus suivante permet de déterminer l'heure locale correcte en choisissant la région du monde, le pays et le fuseau horaire. Régler le fuseau horaire permet au système de corriger automatiquement l'heure lors des modifications régionales comme l'heure d'été ou d'hiver, et d'effectuer correctement toute autre modification relative au fuseau horaire.

L'exemple présenté ici concerne une machine située dans le fuseau horaire du centre de l'Espagne en Europe. Les choix pourront varier en fonction de la zone géographique.

Figure 2.35. Sélectionner une région
Sélectionner une région

La région appropriée est choisie en utilisant les touches flèches puis en appuyant sur Entrée.

Figure 2.36. Sélection d'un pays
Sélection d'un pays

Sélectionner le pays approprié en utilisant les touches flèches et appuyer sur Entrée.

Figure 2.37. Sélection d'un fuseau horaire
Sélection d'un fuseau horaire

Le fuseau horaire approprié est choisi en utilisant les touches flèches, puis en appuyant sur Entrée.

Figure 2.38. Confirmation du fuseau horaire
Confirmation du fuseau horaire

Confirmez que l'abréviation pour le fuseau horaire est correcte.

Figure 2.39. Sélection de la date
Sélection de la date

La date correcte est sélectionnée en utilisant les touches flèches puis en appuyant sur [ Set Date ]. Sinon, la sélection de la date peut être passée en appuyant sur [ Skip ].

Figure 2.40. Configuration de l'heure
Configuration de l'heure

L'heure correcte est sélectionnée en utilisant les touches flèches puis en appuyant sur [ Set Time ]. Sinon, cette configuration peut être passée en appuyant sur [ Skip ].

2.8.3. Activation des services

Le menu suivant est destiné à choisir quels services système seront lancés au démarrage. Tous ces services sont optionnels. Ne lancez que les services nécessaires au fonctionnement du système.

Figure 2.41. Sélection de services supplémentaires à activer
Sélection de services supplémentaires à activer

Voici un résumé des services pouvant être activés dans ce menu:

  • local_unbound - Active le résolveur DNS local. Il est important de garder à l'esprit que c'est le résolveur du système de base qui n'est destiné à être utilisé uniquement qu'en tant que résolveur cache local. Si l'objectif est de mettre en place un résolveur pour tout le réseau, installer dns/unbound.

  • sshd - Le daemon Secure Shell (SSH) est utilisé pour l'accès à un système à distance via une connexion chiffrée. Activez ce service que si le système doit être accessible pour l'ouverture de session à distance.

  • moused - Activez ce service si la souris sera utilisée à partir de la console système en ligne de commande.

  • ntpdate - Active la mise à l'heure automatique de l'horloge au démarrage. La fonction de ce programme est désormais disponible dans le daemon ntpd(8). Après une certaine période d'adaptation, l'utilitaire ntpdate(8) sera supprimé.

  • ntpd - Le daemon du protocole de temps réseau (Network Time Protocol) (NTP) pour la synchronisation automatique de l'horloge. Activez ce service s'il y a un serveur Windows®, Kerberos, ou LDAP sur le réseau.

  • powerd - Utilitaire de contrôle de la gestion de l'énergie du système pour le contrôle de la consommation en énergie.

  • dumpdev - Activer les crash dumps peut s'avérer très utile pour déboguer les problèmes du système, aussi les utilisateurs sont encouragés à activer les crashs dumps.

2.8.4. Activer les options de renforcement de la sécurité

Le menu suivant est utilisé pour sélectionner quelles options de sécurité seront activées. Toutes ces options sont facultatives. Mais leur utilisation est encouragée.

Figure 2.42. Sélection des options de renforcement de la sécurité
Sélection des options de renforcement de la sécurité

Voici un résumé des options qui peuvent être activées dans ce menu:

  • hide_uids - Cache les processus en cours d'exécution sous des utilisateurs différents pour éviter que des utilisateurs non autorisés puissent voir les processus en cours d'exécution exécutés par d'autres utilisateurs (UID) évitant ainsi la fuite d'information.

  • hide_gids - Cache les processus en cours d'exécution sous des groupes différents pour éviter que des utilisateurs non autorisés puissent voir les processus en cours d'exécution exécutés par d'autres groupes (GID) évitant ainsi la fuite d'information.

  • hide_jail - Cache les processus en cours d'exécution dans des jails pour éviter que des utilisateurs non autorisés puissent voir les processus en cours d'exécution dans les jails.

  • read_msgbuf - Désactive la lecture du tampon des messages du noyau pour les utilisateurs non autorisés en empêchant l'utilisation de dmesg(8) pour lire les messages du tampon de trace du noyau.

  • proc_debug - La désactivation des fonctionnalités de débogage des processus pour les utilisateurs non autorisés désactive une variété de services de débogage inter-processus non-privilégiés, cela comprend certaines fonctionnalités procfs, ptrace(), et and ktrace(). Veuillez noter que cela empêche également le fonctionnement d'outils de débogage pour les utilisateurs non autorisés comme lldb(1), truss(1), procstat(1), ainsi que certaines fonctionnalités de débogage intégrées dans certains langages comme PHP, etc.

  • random_pid - Rend aléatoire le choix de la valeur du PID de chaque nouveau processus.

  • clear_tmp - Nettoie le répertoire /tmp au démarrage du système.

  • disable_syslogd - Désactive l'ouverture d'un socket réseau syslogd. Par défaut, FreeBSD exécute syslogd de manière sécurisée avec le paramètre -s. Cela évite que le daemon écoute sur le port 514 les requêtes UDP entrantes. Avec cette option activée syslogd sera exécuté avec les paramètres -ss ce qui empêche l'ouverture de ports par syslogd. Pour des informations supplémentaires, consultez la page de manuel syslogd(8).

  • disable_sendmail - Désactive l'agent de transfert de courrier Sendmail.

  • secure_console - Quand cette option est activée, l'invite réclame le mot de passe root lors de l'entrée en mode utilisateur unique.

  • disable_ddtrace - DTrace peut fonctionner dans un mode qui affectera le noyau en exécution. Des actions destructives ne pourront pas être utilisées sauf si elles ont été explicitement autorisées. Pour activer cette option lors de l'utilisation de DTrace utilisez le paramètre -w. Pour des informations supplémentaires, consultez la page de manuel dtrace(1).

2.8.5. Ajouter des utilisateurs

Le menu suivant demande de créer au moins un compte utilisateur. Il est recommandé d'utiliser un compte utilisateur pour l'ouverture de session sur le système plutôt que d'employer le compte root. Quand on utilise une session root, il n'existe aucune limite ou protection quant à ce qui peut être fait. Ouvrir une session en tant qu'utilisateur normal est plus sûr et plus sécurisé.

Sélectionner [ Yes ] pour ajouter de nouveaux utilisateurs.

Figure 2.43. Ajout de comptes utilisateur
Ajout de comptes utilisateur

Suivez les instructions et saisissez les informations demandées pour le compte utilisateur à ajouter. L'exemple donné dans Figure 2.44, « Entrée des informations utilisateur » créé le compte utilisateur asample.

Figure 2.44. Entrée des informations utilisateur
Entrée des informations utilisateur

Voici un résumé des informations à saisir:

  • Username - Le nom d'utilisateur ou identifiant que l'utilisateur entrera pour ouvrir une session. Une convention courante est d'utiliser la première lettre du prénom associé au nom, tant que chaque nom d'utilisateur reste unique sur le système. Le nom d'utilisateur est sensible à la casse et ne devrait pas contenir d'espace.

  • Full name - Le nom complet de l'utilisateur. Il peut contenir des espaces et est utilisé comme description du compte utilisateur.

  • Uid - L'identifiant numérique pour cet utilisateur. En général, ce champ est laissé vide de façon à ce que le système assigne par lui-même une valeur.

  • Login group - Le groupe de l'utilisateur. Généralement il est laissé vide pour accepter le choix par défaut.

  • Invite user into other groups? - Groupes supplémentaires pour lesquels l'utilisateur sera également ajouté comme membre. Si l'utilisateur a besoin d'un accès administrateur, tapez wheel ici.

  • Login class - Généralement laissé vide pour accepter la valeur par défaut.

  • Shell - Tapez un des noms listés pour choisir l'interpréteur de commande de l'utilisateur. Consulter Section 3.9, « Interpréteurs de commandes - “Shells” » pour plus d'information sur les interpréteurs de commande.

  • Home directory - Le répertoire de l'utilisateur. La valeur par défaut est, en général, correcte.

  • Home directory permissions - Les permissions sur le répertoire utilisateur. La valeur par défaut est, en général, correcte.

  • Use password-based authentication? - En général yes de manière à ce que l'utilisateur soit invité à entrer son mot de passe à l'ouverture de session.

  • Use an empty password? - En général no car c'est un problème de sécurité d'avoir un mot de passe vide.

  • Use a random password? - En général no de manière à ce que l'utilisateur puisse entrer son propre mot de passe à l'invite suivante.

  • Enter password - Le mot de passe pour cet utilisateur. Les caractères tapés n'apparaîtront pas sur l'écran.

  • Enter password again - Le mot de passe doit à nouveau être saisi pour vérification.

  • Lock out the account after creation? - En général no de manière à ce que l'utilisateur puisse ouvrir une session.

Après avoir tout saisi, un résumé est affiché pour vérification. Si une erreur a été faite, entrez no et recommencez. Si tout est correct, entrez yes pour créer ce nouvel utilisateur.

Figure 2.45. Quitter la gestion des utilisateurs et des groupes
Quitter la gestion des utilisateurs et des groupes

S'il y a d'autres utilisateurs à ajouter, répondez yes à la question Add another user?. Entrez no pour terminer l'ajout d'utilisateurs et continuer l'installation.

Pour plus d'information sur l'ajout d'utilisateurs et leur gestion, consultez Section 13.1, « Synopsis ».

2.8.6. Configuration finale

Après avoir tout installé et configuré, une dernière chance de modifier les réglages est proposée.

Figure 2.46. Configuration finale
Configuration finale

Utilisez ce menu pour effectuer des changements ou toute configuration supplémentaire avant de terminer l'installation.

Une fois la configuration finale achevée, sélectionnez Exit.

Figure 2.47. Configuration manuelle
Configuration manuelle

bsdinstall demandera s'il y a des éléments supplémentaires à configurer avant le redémarrage sur le nouveau système. Sélectionner [ Yes ] pour quitter vers un interpréteur de commande, ou [ No ] pour passer à la dernière étape d'installation.

Figure 2.48. Achever l'installation
Achever l'installation

Si d'autre configuration ou une configuration spécifique est nécessaire, choisissez [ Live CD ] pour démarrer dans le mode du CD Live.

Si l'installation est achevée, sélectionnez [ Reboot ] pour redémarrer l'ordinateur et démarrer le nouveau système FreeBSD. N'oubliez pas de retirer le support d'installation de FreeBSD ou l'ordinateur risque de redémarrer dessus à nouveau.

Lors du démarrage de FreeBSD, des messages d'information sont affichés. Une fois que le système a achevé son démarrage, une invite de session est affichée. A l'invite login:, saisissez le nom d'utilisateur ajouté lors de l'installation. Evitez d'ouvrir des sessions en tant que root. Consultez Section 13.3, « Le compte super-utilisateur » pour des instructions sur comment devenir super-utilisateur quand un accès administrateur est nécessaire.

Les messages qui ont défilé lors du démarrage peuvent être à nouveau visualisés en appuyant sur Scroll-Lock (ou Arrêt défil) pour activer le défilement arrière du tampon des messages. Les touches PgUp, PgDn, et les touches fléchées pourront être utilisées pour remonter dans les messages. Une fois terminé, appuyez à nouveau sur Scroll-Lock pour déverrouiller l'écran et fera revenir à l'affichage normal de la console. Pour revoir ces messages quand le système en fonctionnement depuis un certain temps, tapez less /var/run/dmesg.boot à partir de l'invite. Appuyez sur q pour retourner à l'invite de commande après la visualisation.

Si sshd a été activé dans Figure 2.41, « Sélection de services supplémentaires à activer », le premier démarage pourra être un peu plus lent en raison de la génération des clés RSA et DSA. Les démarrages suivants seront plus rapides. Les empreintes des clés seront affichées, comme montré dans cet exemple:

Generating public/private rsa1 key pair.
Your identification has been saved in /etc/ssh/ssh_host_key.
Your public key has been saved in /etc/ssh/ssh_host_key.pub.
The key fingerprint is:
10:a0:f5:af:93:ae:a3:1a:b2:bb:3c:35:d9:5a:b3:f3 root@machine3.example.com
The key's randomart image is:
+--[RSA1 1024]----+
|    o..          |
|   o . .         |
|  .   o          |
|       o         |
|    o   S        |
|   + + o         |
|o . + *          |
|o+ ..+ .         |
|==o..o+E         |
+-----------------+
Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
The key fingerprint is:
7e:1c:ce:dc:8a:3a:18:13:5b:34:b5:cf:d9:d1:47:b2 root@machine3.example.com
The key's randomart image is:
+--[ DSA 1024]----+
|       ..     . .|
|      o  .   . + |
|     . ..   . E .|
|    . .  o o . . |
|     +  S = .    |
|    +  . = o     |
|     +  . * .    |
|    . .  o .     |
|      .o. .      |
+-----------------+
Starting sshd.

Consulter Section 14.11, « OpenSSH » pour plus d'information au sujet des empreintes et de SSH.

FreeBSD n'installe pas d'environnement graphique par défaut, mais de nombreux sont disponibles. Consultez Chapitre 5, Le système X Window pour plus d'information au sujet de l'installation et la configuration d'un gestionnaire de fenêtres graphique.

Arrêter proprement un ordinateur sous FreeBSD aide à protéger les données et même le matériel de tout dommage. Ne coupez pas l'alimentation tant que le système n'est pas correctement arrêté! Si l'utilisateur est membre du groupe wheel, passez en super-utilisateur en tapant su sur la ligne de commande et en entrant le mot de passe de root. Ensuite, utilisez la commande shutdown -p now et le système se fermera proprement, et si le matériel le support, s'éteindra lui-même.

Ce document, ainsi que d'autres peut être téléchargé sur ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

Pour toutes questions à propos de FreeBSD, lisez la documentation avant de contacter <questions@FreeBSD.org>.

Pour les questions sur cette documentation, contactez <doc@FreeBSD.org>.