1 / 100

翻译文章存档

FreeBSD 网络文章集锦

警告
本项目目前翻译错漏百出，不适合用于生产。但译者已经尽力修正。
本项目目前处于低维护状态，主要维护者因精力所限仅处理 PR。欢迎社区通过 PR 贡献力量。

年份仅代表翻译时间，不代表真实的文章发表时间。但是一般来说，不会不符合所在年份，也是可用的。

2025 年

Leah Budzicka EuroBSDcon 2025 旅行报告

原文：
发布时间：2025 年 11 月 12 日
作者：Leah Budzicka

作为计算机科学三年级学生，同时也是我所在大学操作系统学生俱乐部 The :wheel Group 的 BOFH（Bastard Operator From Hell, 地狱来的混蛋操作员），我一直关注着 BSD，但始终未曾真正腾出时间去深入探索。

Robert Clausecker EuroBSDcon 2025 旅行报告

原文：EuroBSDcon 2025 Trip Report – Robert Clausecker
发布日期：2025 年 11 月 12 日
作者：Robert Clausecker

今年的 EuroBSDcon 在克罗地亚萨格勒布大学电气工程与计算学院举办。这是我第二次参加 EuroBSDcon，此前我曾在 2024 年的都柏林 EuroBSDcon 上就我在 [SIMD 增强 libc 字符串函数] 的工作作过报告，我对今年的会议非常期待。我非常感谢 FreeBSD 基金会对我前往会议的旅程资助，否则对我来说很难负担得起。

我与 Jan Bramkamp 一起旅行，然后共享了一个房间，他在会议上做了一场关于基于 ZFS 的 jail 配置的精彩演讲。我们居住在德国柏林，因此利用机会乘坐德国高铁到慕尼黑，然后通过卧铺列车前往萨格勒布。这让我们能够精力充沛地到达会场，并有机会欣赏斯洛文尼亚乡村的美景。在会议期间，我们还与 Getz Mikalsen 和 Benni Stürz 会面，他们通过去年参加谷歌编程之夏项目而加入 FreeBSD 项目，还有另一位来自柏林的感兴趣的学生。

今年的 EuroBSDcon 首次延长至五天。前两天用于 FreeBSD 开发者峰会（Dev Summit），随后是 Eurobhyvecon，同时进行的还有教程。第四天和第五天举办了 EuroBSDcon 正式会议，提供了三条平行轨道的丰富演讲内容。

在 FreeBSD 开发者峰会的第一天，我最感兴趣的是关于 pkgbase 项目的进展（计划在 FreeBSD 15 中用正式打包系统取代我们自制的 freebsd-update(8)）以及 CHERI 工作的上游合并情况。我也花了很多时间在走廊轨道上，与许多参加会议的其他项目成员交流。一场意外吸引我注意的演讲是 Alfonso Siciliano 关于 FreeBSD 可访问性的讲解，这个话题平时很少听到。

第二天让我对核心团队的运作以及成员们面临的各种问题有了一些有趣的了解，同时也对 libzfs 有一些认识。第三天比较轻松；我没有参加 Eurobhyvecon，后来加入了其他开发者前往距离不远的 Nikola Tesla 技术博物馆的小旅行。

第四天和第五天的演讲都非常密集，有时很难选择参加哪一条轨道。在同事 Jan Bramkamp 关于基于 ZFS 的 FreeBSD jail 配置的演讲之后，我在 Harald Eilertsen 关于将 OpenJDK 移植到 FreeBSD 的演讲中学到了许多困难；作为 ports 的常规贡献者，处理此类问题对我尤为重要。接下来的演讲介绍了用于并行构建工具（如 make(1)）的轻量级作业服务器协议，为以工具无关的方式解决此类问题提供了新思路。在 pkgbase 的演讲之后，Björn Zeeb 详细讲解了在 FreeBSD 上使 WLAN 驱动正常工作的进展——这是提升笔记本支持的重要问题。虽然我的笔记本 Qualcomm QCNFA765 网卡目前仍不受支持，但显然已经取得了重要进展，完全支持只是个时间问题。当天的演讲以 Moin Rahman 关于 FreeBSD ports 的讲解结束，我们在社交活动中继续了讨论。

在最后一天，我遗憾地错过了主题演讲，但参加了 Kirk McKusick 关于 UNIX 守护进程历史的报告（去年我错过了第一版）。午餐后，我在 Charlie Li 的 MIDI 演讲和 John Baldwin 的链接器演讲之间艰难选择，最终参加了后者。随后还有关于去中心化互联网服务的演讲，以及一场关于 Type-C 内部工作机制的非常有启发性的讲解。在闭幕前，我还参加了关于如何使用 FreeBSD 改善 UNIX 教学的讲座。这对我尤其有意义，因为我们在柏林自由大学每年都会开设关于 UNIX 系统管理的课程，涵盖 FreeBSD、AIX 和 Solaris，并一直在寻找改进教材的方法。

除了会议议程之外，我也非常感激能有机会与许多其他 FreeBSD 开发者交流，讨论各种问题和项目想法。我希望明年在比利时布鲁塞尔举办的会议能够和今年一样精彩！

再次衷心感谢 FreeBSD 基金会资助此次旅程。

FreeBSD 在 OCI 运行时规范 v1.3 中获得正式支持

原文：
发布日期：2025 年 11 月 4 日

FreeBSD 已被纳入的 1.3 版本中，成为官方支持的平台。该版本于 2025 年 11 月 4 日发布。这一里程碑标志着 FreeBSD 的重大成就，体现了社区志愿者多年来为将云原生容器技术引入该平台所做的不懈努力。

FreeBSD 已实现可重复构建及无 root 权限构建

2025 年 10 月 27 日

FreeBSD 基金会很高兴地宣布，FreeBSD 现已完成无需 root 权限即可进行构建的工作。我们已经为所有源代码的发布构建实现了无 root 基础设施支持，彻底消除了在 FreeBSD 发布流水线中使用 root 权限的需求。此项工作是的一部分。

上述更改目前已在 FreeBSD 开发分支中实现，并将在可能的情况下合并到 FreeBSD 15.0 的发布（RELEASE）分支中。

现在，在构建 FreeBSD 发布产物时，无需 root 权限即可创建设备文件、设置正确的文件所有权及挂载文件系统。这一改进提升了安全性，并简化了自动化构建过程。

Chuck Tuffli 的 BSDCan 2025 旅行报告

原文：BSDCan 2025 Trip Report – Chuck Tuffli
2025 年 7 月 11 日
作者：Chuck Tuffli

FreeBSD 基金会善意地赞助了我前往渥太华参加 BSDCan 2025 大会和 FreeBSD 开发者峰会的行程。此次活动为期四天，前两天为开发者峰会，后两天为大会，地点依旧是在渥太华大学。

我及时抵达渥太华参加了 Father and Sons（译者注：一家酒吧）的 Goat BoF（译者注：非正式聚会）。除了能与 Groff the BSD（译者注：一头山羊）亲密接触外，这也是一次难得的机会，与一年一次才能见面的老朋友叙旧，并结识一些新朋友。长途旅行结束后，我回到 U90 的房间，为开发者峰会第一天的活动休息调整。

开发者峰会的第一天以 FreeBSD 基金会的演讲开场，内容涵盖社区调查、透明度工作以及软件开发项目，特别是他们在改善笔记本电脑支持方面的工作。看到团队在让 FreeBSD 更适合作为日常操作系统方面投入如此专注的努力，令人振奋。

随后，核心团队进行了汇报，强调了若干长期工作，包括审查章程以应对近期挑战、重新设想 DocEng（文档工程）团队的角色，以及制定技术路线图。该路线图将服务于多重目的，例如指导新贡献者回答“我能帮什么？”的问题，并协调社区与 FreeBSD 基金会等组织的工作。

项目的 AI 政策引发了与会者和核心团队之间的广泛争议。拟议的政策禁止使用 AI 或 LLM 生成的材料（Phabricator 审查 D50650 供好奇者参考）（译者注：即 ），以防潜在的开源许可证违规。讨论达成的共识是不应全面禁止 AI，例如，应允许用 AI 校对提交信息，Ports 中也可以包含 AI 工具。

午餐后，srcmg（源代码管理）团队介绍了他们的使命：减少新开发者的障碍，并提高所有开发者的生产力。他们详述了当前活动，如自动 MFC 提交、漏洞处理会议，以及一个宏愿，即整合项目工具（Phabricator、Bugzilla 和 GitHub）。

当天还包括两场行业演讲：Verisign 介绍了操作系统多样性要求如何促使他们在基础设施中部署 FreeBSD，而 NVIDIA 则讨论了向 FreeBSD 的 mlx5 驱动添加 IPSec 卸载。

开发者峰会第二天，由 Alpha-Omega Project 做了关于软件供应链安全的演讲。该项目自 2021 年起由 Microsoft、Google 和 Amazon 资助，旨在改善开源软件安全性。演讲提供了许多关于改善安全工作中有效与无效做法的深刻见解。

不同于典型的“have, need, want”环节以生成下一版 FreeBSD 所需功能，这次会议集中讨论了 15.0 版本的收尾事项。15.0 的主要变化是将操作系统分发为一套庞大的软件包（即“pkg-base”），而非传统的几个大型分发文件。这一变更备受期待，但讨论显示仍有不少细节需要落实。其他议题包括升级基本系统中的 OpenSSL 版本至新的 LTS 版本，以及部分 32 位架构的弃用。

本届开发者峰会新增了交替对话环节，形式为两名开发者互相对话讨论任意主题，每五分钟由另一名开发者替换其中一人。此环节趣味十足，希望明年还能举办。

在晚间的黑客沙龙中，我有机会回顾几年前未完成的项目。我曾指导一名谷歌编程之夏学生尝试向内核添加 SquashFS 驱动。尽管学生完成了很棒的工作，但未能提交代码。FreeBSD 开发者 Kyle Evans 认为该工作有潜力，他花时间将代码接近可提交状态。我将 Kyle 的修改 rebase 到当前 FreeBSD 内核，编写了 kyua 的集成测试，并与 Alex Ziaee 合作为驱动添加了手册页。

本届 BSDCan 大会的讲座丰富多样，日程安排多次迫使我在同一时段的两个讲座中做选择。其中几场给我留下深刻印象的包括：

Stefano Marinelli 的“Why (and how) we’re migrating Linux servers to the BSDs”（我们为何，以及如何将 Linux 服务器迁移到 BSD），讲述了他为客户使用开源软件解决问题的经历。BSD 的稳定性和可靠性，加上务实的“解决问题”思路，使客户的疑问从“还有 Linux 以外的选择？”转变为“更多 jail，请”。演讲充满热情与感染力，让我重燃了 FreeBSD 的动力。
Hans-Jörg Höxer 讨论了 OpenBSD 对 AMD 硬件支持的“Confidential Computing”（机密计算），目标是在不受信任环境下保护虚拟机中的敏感数据。演讲回顾了 AMD Secure Encrypted Virtualization（SEV，AMD 安全加密虚拟化）的先前工作，并介绍了 SEV-ES 的新进展。我对将这些工作移植到 FreeBSD 的 vmm 和 bhyve 感到兴奋。
Xe Iaso 的 lightning talk“I fight bots in my free time”（我在闲时对抗机器人），介绍了他们开发的 Anubis 软件——一款网页 AI 防火墙工具。聆听开发者为解决自身问题而快速发现他人也面临同样困扰的故事，令人着迷。

在大会的“走廊交流”中，我与另一位 FreeBSD 开发者 Allan Jude 交流了将 bhyve 与 NVMe-oF 存储阵列连接的想法。正是这种偶遇交流理念并可能孕育新项目，使得参加会议非常有价值。

大会闭幕环节包括由 Dan Langille 主持的慈善拍卖，为 Ottawa Mission（译者注：一家加拿大渥太华的社会服务组织）筹款。亮点包括：

一名与会者以 110 美元竞拍回自己的外套
Dan 拍卖一个 Trader Joe’s 的纸袋（译者注：即精美的购物袋），但需划掉附带收据上的信用卡信息

感谢 FreeBSD 基金会赞助我参加本次大会。

Mark Johnston 的 BSDCan 2025 旅行报告

原文：
2025 年 7 月 11 日
作者：Mark Johnston

FreeBSD 基金会赞助我前往渥太华参加 BSDCan 2025 会议及 FreeBSD 开发者峰会。如往常一样，开发者峰会在 6 月 11 日和 12 日举行，为期两天，随后在 13 日和 14 日举办正式会议。按照惯例，我从多伦多乘火车前往渥太华参加 BSDCan，这次带来了我的 ARM Morello 台式机，以便在 Brooks Davis 关于 CHERI 的演讲中使用，并演示将其支持回溯到 FreeBSD。Ed Maste 善意地帮我运送了设备，这让我的行程轻松许多；回程时，我不得不将其放在超大行李箱中随火车携带。我以前从未尝试过这样运输台式机，当我回家后发现它仍然可以正常启动时，我感到相当安心。

FreeBSD 基金会欢迎董事会新成员：John Baldwin

原文：
2025 年 6 月 27 日

长期参加 FreeBSD 社区的成员 John Baldwin 于 2025 年 6 月 10 日的年度会议上当选为 FreeBSD 基金会董事会成员。我们与 John 进行了交流，了解他与 FreeBSD 的渊源，以及他在任期内最期待完成的事情。

请介绍一下你自己，以及你是如何参与到 FreeBSD 的？

FreeBSD 开发者正在决定是否为 FreeBSD 15 的 WiFi 采取稳定版策略

原文：
作者：Michael Larabel
2025 年 6 月 5 日

FreeBSD 的开发者近几个月来一直在大力改进其无线/WiFi 驱动的支持，这是他们更普遍地提升 FreeBSD 对笔记本电脑支持计划的一部分。虽然在支持更现代的 WiFi 技术以及启用新款 WiFi 芯片组方面已有不少进展，但整体工作尚未完成，这也让 FreeBSD 15 面临着一个棘手的抉择。FreeBSD 15 计划在今年晚些时候发布，开发者很可能会将其无线支持声明为“不稳定”，以便为后续可能引入的不兼容性变更留出空间。

FreeBSD 爱好者团结起来支持新兴项目 zVault——社区分支继 TrueNAS CORE 之后继续发展

原文：
作者：iconLiam Proven
2025 年 5 月 12 日

TrueNAS 依然活跃健康，但 iXsystems 已将重点转向基于 Linux 的 SCALE 版本。对于仍然坚持使用 CORE 的 FreeBSD 忠实用户来说，新的竞争者正在崛起：zVault。

从 PlayStation 到路由器，你很可能一直在使用 FreeBSD 而不自知

原文：
作者：iconLiam Proven
2025 年 4 月 28 日

先有操作系统，后建基金会——那么基金会到底在做什么？

FreeBSD 上的 ZFS 日志压缩

原文：
2025-4-16

系统日志是关于系统运行时发生事件的重要信息来源。FreeBSD 默认的日志系统是 syslog，它会根据主题将日志写入 /var/log/ 下的不同文件。最常见的事件和那些不属于任何其他类别的事件，会被写入 /var/log/messages。

为 FreeBSD 发声：FOSDEM 2025 参会报告

原文：Advocating for FreeBSD: A FOSDEM 2025 Trip Report
作者：Tom Jones
2025 年 4 月 8 日

在过去十年里，我一直在从事开源软件开发并参加各种会议，但直到上个周末，我还从未像这次那样被问到这么多有关 FreeBSD 的问题。

2025 年 2 月的第一个周末，我从北海彼岸飞跃而过，第三次造访布鲁塞尔，以一种全新的方式体验了。

FOSDEM 可以说是全球规模最大的开源会议。每年 1 月底的一个周末，布鲁塞尔自由大学校园对外开放，约有近一万名开发者、用户、推广者和好奇者齐聚大学校园。

为了让这么多人尽兴，FOSDEM 2025 安排了 78 条不同的议程轨道，主议程使用了一个可以容纳 3000 人的巨大讲堂，此外还有许多 Devroom（开发者房间），为较小的社区提供了分享最新想法和进展的平台。今年，BSD Devroom 重新回归，共安排了 8 场讲座，涵盖了所有主流 BSD 项目的贡献。

除了我抽空去做了一场名为“Writing About FreeBSD”（撰写 FreeBSD 相关内容）的演讲，其余时间我没有去参加其他 1000 场讲座，而是整整一个周末都在 FreeBSD 展台值班。

除了 Devroom 里的讲座和议程外，FOSDEM 还为一些精选的开源项目提供了展台空间。这让各个项目可以进行宣传，成为用户与开发者交流的接触点，也为项目推广新版本、展示优势，甚至分发贴纸提供了平台。

在 FOSDEM 2025，我同意协助组织 FreeBSD 项目的展台。在数位项目成员的协助下，我们几乎不间断地向与会者介绍使用 FreeBSD 的理由。我们送出了我带去的 750 张官方贴纸，以及一位社区成员带来的几千张贴纸。

我们迎来了许多 FreeBSD 的新老用户，他们对我们表示赞赏，我们也有机会向许多不太了解或完全不了解这个项目的人“推销”FreeBSD。

Rodrigo（rodrigo@，他也协助组织 BSD Devroom）带来了更多贴纸，其中包括

FreeBSD 项目早期的经典 logo（在“Orb”标志出现之前的版本），以及 Paduka Jorat 打印的 jail 速查表（这些很快就被一扫而空），还有一些马克杯。Rodrigo 打印了一批马克杯，上面印有 Michael W. Lucas 所著《TLS Mastery》中的插画——BSD 小恶魔以《呐喊》的姿态现身。他的妻子起初怀疑这些杯子会滞销，但到周六正式开始前，10 个杯子已经全部售罄。

除了向所有靠近我们桌子的人发贴纸，我们也回答了许多问题。这些问题种类繁多，非常有启发性。我们回答完“什么是 FreeBSD”后，接下来的一连串问题就让我们意识到，有许多方面我们可以在现场活动和线上平台上做得更好。

以下是一些典型问题：

FreeBSD 支持什么桌面环境？
FreeBSD 可以做什么？
我能拿个贴纸吗？
谁在用 FreeBSD？

我觉得“FreeBSD 能运行什么”和“我能用 FreeBSD 做什么”这类问题非常有趣。这说明我们正被与一些更具专业定位的 Linux 发行版进行比较。在这样的背景下，我们作为一个通用操作系统确实显得很特别。

在我被问到的问题中确实存在某种共性。作为操作系统开发领域的一员，我们往往会误以为大家都知道我们知道的事情（而实际上我每天都在为自己知识的边界感到敬畏）。能向别人解释我们不仅拥有完整的操作系统，而且几乎可以运行你能想到的所有软件，而且运行得很好，这是非常有意义的。虽然我们有时会被忽略，但在大多数使用场景中，我认为我们不只是具备竞争力。

FOSDEM 2025 对我来说是一次极好的经历。见到新老朋友令人耳目一新。我也首次有机会见到 FreeBSD 基金会的其他工程师，整个周末都在谈论 FreeBSD 有多棒。

来自社区的提问以及大家对贴纸（和马克杯！）的热情给了我很多启发，让我思考今后我们可以如何更好地呈现这个项目。人与人之间的互动无疑是向新用户传达项目价值的最佳方式，但演示也是极具吸引力的开场手段，有助于开启对话。

我希望明年还能再次参加 FOSDEM。如果我真的去了，届时一定会为所有来 FreeBSD 展台的朋友们准备一些真正特别的东西，无论是体验，还是可以带回家的纪念品。

浏览 FreeBSD 新的季度和两年一次发布计划

原文链接：Navigating FreeBSD’s New Quarterly and Biennial Release Schedule
发布时间：2024 年 7 月 16 日

FreeBSD 用户，准备好迎接更流畅、更可预测的系统管理体验吧！我们很高兴地宣布 FreeBSD 发布计划和支持周期的变化。这些更新将改善你的整体体验，增强系统安全性，并简化维护工作。

主要变化

可预测且更频繁的发布计划： 预计每季度都会发布一个新的点（.）版本。这意味着更新更频繁，改进持续不断。
缩短的支持周期： 从 FreeBSD 15.x 开始，STABLE 分支将会在 .0 版本发布后有四年支持，而不是以前的五年。

为什么 FreeBSD 项目会改变发布和支持周期？

这些调整基于对我们发布流程的全面审查。目标是提高效率、改善用户体验，并更好地与 FreeBSD 社区不断变化的需求对接。我们计划通过以下方式实现这一目标：

简化发布流程： 更集中的发布流程意味着更新和 bug 修复的交付更快，从而加速问题解决并提供更稳定的系统。
定期更新： 更频繁的发布确保你可以获得最新的功能、性能提升和安全补丁。
改进的规划： 可预测的发布计划帮助你更有效地规划系统升级和维护。

新发布计划： 为了帮助你更好地规划系统管理，以下是新发布计划的详细内容：

季度次要版本发布： 新的次要版本将在大约 每三个月发布一次。 (注意：尽管每三个月会发布一次次要版本，但所有特定的主要版本每六到九个月才会有新的次要版本发布。)
每两年发布一次主要版本： 主要的 .0 版本将 每两年发布一次，带来重要的更新和新特性。

示例：

2024 年： （13.x 有五年支持周期，2026 年 4 月结束，13.5 是最后一个版本）
- （14.x 有五年支持周期，2028 年 11 月结束，14.6 是最后一个版本）
- 9 月：13.4

新的 FreeBSD 发布计划和支持周期标志着朝着提供更安全、更稳定、更易管理的系统迈出了重要一步。我们致力于提供最佳的 FreeBSD 使用体验，而这些变化正是我们承诺的体现。

欲了解更多信息并保持更新，请访问网站或。

2024 年 11 月

Quantum Leap Research 和 FreeBSD 基金会将投资 75 万美元以改善笔记本电脑支持和用户体验

原文地址：Quantum Leap Research and FreeBSD Foundation to Invest $750,000 to Improve Laptop Support and Usability

2024 年 9 月 24 日

（2024 年 9 月 20 日，科罗拉多州博尔德市）FreeBSD 基金会宣布与 Quantum Leap Research（量子跃迁研究）建立战略合作伙伴关系，共同投资总额达 75 万美元，用于增强对 FreeBSD 在笔记本电脑和通用平台的支持。Quantum Leap Research 是一家专注于为国家安全威胁提供解决方案的公司，承诺捐赠 25 万美元，而 FreeBSD 基金会将投资 50 万美元。

整个计划的预算估计为 100 万美元，基金会欢迎其他组织提供资金支持，以填补资金缺口 25 万美元。

该计划将专注于笔记本电脑和通用计算的关键可用性功能，包括现代 WiFi、完整音频支持、现代化的待机和恢复功能、改进显卡性能、蓝牙以及其他已确定的功能。

“FreeBSD 是一款高性能、安全的操作系统，可支持 Dell ThinOS 等笔记本电脑以及多种流行桌面设备。我们最近的 FreeBSD 社区调查显示，43% 的受访者将 FreeBSD 用作日常使用的系统。Quantum Leap Research 和 FreeBSD 基金会的投资将明显丰富 FreeBSD 平台的支持范围，使其成为那些重视稳定性、安全性、简洁性和性能的用户的绝佳选择。”——FreeBSD 基金会高级技术总监 Ed Maste 表示。

FreeBSD 基金会执行董事 Deb Goodkin 补充道：“这一举措是 FreeBSD 的重大进步，尤其是对于依赖笔记本电脑完成日常计算任务的用户而言。通过增加硬件支持和改进可用性功能，我们正在使 FreeBSD 对更宽泛的受众更加友好。此项投资不仅强化了 FreeBSD 生态系统，也符合我们推广 FreeBSD 作为稳健、安全和多功能操作系统的使命。”

增强 FreeBSD 在笔记本电脑上的支持和可访问性将有助于实现基金会的战略目标，即加速开发者和企业的采用。确保 FreeBSD 在多种个人计算设备上“开箱即用”表现良好，不仅会吸引开发者使用、测试和为 FreeBSD 项目做出贡献，还将扩大企业的应用范围。

“Quantum Leap Research 认为，FreeBSD 是新一代安全计算计划的绝佳基础，得益于其在安全性和稳定性方面的悠久历史。”Quantum Leap Research 总裁 Jim Miller 表示。Quantum Leap 计划在现代笔记本电脑上运行 FreeBSD，作为一种类似虚拟机管理程序的解决方案，利用 Bhyve 来虚拟化其他操作系统，如 Linux 和 Windows。

关于 Quantum Leap Research

Quantum Leap Research, LLC 为美国政府开发符合未来需求的技术，专注于解决国防部和美国情报界面临的一些最复杂的问题。更多信息请访问。

关于 FreeBSD 基金会

FreeBSD 基金会是一家 501(c)(3) 非营利组织，致力于支持 FreeBSD 项目及其社区。基金会接受来自个人和企业的捐赠，用于开发新功能、雇佣软件工程师、改进构建和测试基础设施、通过线下和在线活动宣传 FreeBSD，以及提供培训和教育材料。基金会还代表 FreeBSD 项目处理法律事务，是合同、许可和其他法律安排的公认实体，完全依赖捐赠支持。了解更多信息，请访问。

主权科技基金将投资 68.64 万欧元用于 FreeBSD 基础设施现代化

原文地址：

2024 年 8 月 26 日

投资将加速零信任构建、软件物料清单（SBOM）、安全工具和开发者体验的提升

2024 年 8 月 26 日，科罗拉多州博尔德市 致力于推动开源 FreeBSD 操作系统发展及支持社区的 FreeBSD 基金会宣布，德国主权科技基金（Sovereign Tech Fund，STF）已同意向 FreeBSD 项目投资 68.64 万欧元，以推动改进基础设施、安全性、合规性及开发者体验。

由 FreeBSD 基金会组织和管理的这一工作将于 2024 年 8 月开始，并持续到 2025 年，主要涉及以下五个关键项目：

2024 年 7 月

BSD 老将：Michael J. Karels 逝世，享年 68 岁

原文地址：https://www.heise.de/news/BSD-Urgestein-Michael-J-Karels-mit-68-Jahren-gestorben-9751528.html
作者：Michael Plura
发布时间：2024 年 6 月 7 日上午 10:07

他在 BSD-Unix 开源项目中发挥了重要作用，BSD 许可证正是由他一手创建，他一直致力于 FreeBSD 的发展。让我们一起追忆永远离开我们的 Michael J. Karels 先生。

(图片：FreeBSD 基金会)

Michael J. Karels 曾在加利福尼亚大学伯克利分校（University of California, Berkeley）攻读分子生物学学位，那是他首次接触到伯克利软件发行版计划（Berkeley Software Distribution，BSD）。他所在的实验室涉足了两个领域：研究细菌基因的遗传学，他曾说那里的高科技设备是由牙签和培养皿构成的。另一个领域是分析细菌基因的子部分，该部分提供了某种特定酶的建模说明。实验室有许多专业设备，其中就包含了一台用于数据收集和数据分析的 PDP 11/40。

Unix V6/V7: 从 0 开始

这台机器上运行着第六版 Unix（V6 Unix），附带了一些来自 2.8BSD、2.9BSD 的增强功能。PDP11/40 引起了他的兴趣，为了科学评估，他编写了个 Fortran 程序。在系统发生错误后，一位员工将 V6 Unix 替换为第 7 版 Unix（V7）——他就是于 2022 年 3 月去世的 Bill Jolitz。Bill 和他的妻子在 386BSD 的开发中发挥了重要作用。Unix V7 并不能完美运行在 PDP11/40 上，技术仪器的设备也无法正常驱动。在对计算机几乎一无所知的情况下，Michael J. Karels 开始研究这个问题，并在 Bill Jolitz 的帮助下适配了 V7 Unix 的软件和驱动。

计算机系统研究小组（CSRG）

1974 年，加州大学伯克利分校的 Bob Fabry 教授从 AT&T 获得了 UNIX 源代码许可证。他与同事开始修改 UNIX，并将修改成果以伯克利软件发行版（BSD）的名义进行销售。1980 年 4 月，为了满足 ARPAnet（美国国防部高级研究计划局）的特殊需求，Fabry 与 DARPA 签订合同，以继续开发 UNIX。在此资助下，Fabry 成立了计算机系统研究小组（CSRG）。

Michael J. Karels 也早早加入了 CSRG，成为负责 BSD TCP 堆栈开发的一员。BSD4.2 中并没有版权声明，但许多美国公司在略微修改后却加入了自己的版权信息，Karels 对此感到不满。因此，他与律师合作，创造了如今在每个源代码文件中都存在的版权声明，该声明随 4.3BSD 分发。随着时间的推移，FreeBSD、NetBSD、OpenBSD、DragonFly BSD 和 Sun Solaris 等系统因此而诞生。

转职为 BSDi 的首席系统架构师

1992 年 2 月，Karels 转职到 BSDi（伯克利软件设计公司），参与 BSD/OS 的开发。BSD/OS 曾是多年唯一在英特尔平台上提供的商业化类 BSD Unix 操作系统。BSDi 的所有软件资产于 2001 年 4 月被凤河收购，Karels 随后成为风河的首席技术专家，负责 BSD/OS 平台。

2003 年，Karels 转职成为 Secure Computing Corporation 的高级首席工程师，该公司以 BSD/OS 作为 SecureOS 的基石。在这，他主要开发的产品是 Sidewinder 防火墙，后来被称为 McAfee Firewall Enterprise（即臭名昭著的迈克菲防火墙企业版）。由于 BSD/OS 的开发逐渐停滞，Karels 提议将 SecureOS 从 BSD/OS 迁移到 FreeBSD。多年来，该项目中的许多重要成果都回馈给了 FreeBSD。Karels 在 2017 年被正式任命为 FreeBSD 的提交者。退休后，他继续在业余时间为 FreeBSD 做贡献。

奖项、书籍和演讲

1993 年，USENIX 协会为加利福尼亚大学伯克利分校计算机系统研究小组授予终身成就奖，以表彰包括 Karels 在内的 180 位人士，他们为 CSRG 发布 4.4BSD-Lite 做出了贡献。

Michael J. Karels 与 Marshall Kirk McKusick 合著了多本关于《4.3BSD UNIX 操作系统设计与实现》的书籍。去年五月，Karels 在渥太华举行的 FreeBSD 开发者峰会 2023 上谈到了他在 BSD 生态系统内的职业生涯。

讣告——Michael "Mike" John Karels

可以观看弥撒的录制视频。

原文位于（网上扫墓）

Michael "Mike" John Karels（1956 年 8 月 2 日 - 2024 年 6 月 2 日），享年 67 岁，来自伊甸草原。

Michael 于加拿大渥太华因突发心脏病猝然离世。仅余他挚爱的妻子 Theresa“Teri”（娘家姓 Spartz）仍在人世间；女儿 Sarah 及其男友 Ivan Munkres、姐妹 Colleen (Stuart) Lind、Mary Beth (Brad) Schleif 和 Katherine Karels、兄弟 Eugene (Ann) Karels 以及许多家人和朋友，包括他的父母 Patricia 和 Charles Karels 都在他之前去世了。

Michael 毕业于圣母大学（即诺特丹大学），取得微生物学学士学位，并在加州大学伯克利分校完成了研究生学业。在攻读博士学位期间，他接触到了计算机，使他的兴趣发生转向。他最终成为了一名软件工程师，并在 BSD UNIX 历史上扮演了重要角色，这是现代计算史上一个重要的里程碑。通过在伯克利大学的工作，他为早期互联网的实现做出了贡献，为现代网络奠定了基础。他是《4.4 BSD 操作系统的设计与实现》的作者之一，这是该领域的重要著作。”

2023 年 12 月

FreeBSD 新手？来参与社区吧

原文链接：https://freebsdfoundation.org/blog/new-to-freebsd-heres-where-to-connect-with-the-community/
译者：Canvis-Me & ChatGPT

2023 年 10 月 4 日

FreeBSD 项目始终对新用户和贡献者充满期待！参与其中的最简单方式是通过社区本身：邮件列表、社交媒体和本地聚会。这里充满了热衷于帮助新用户的 FreeBSD 用户、开发者和爱好者。它们是讨论 FreeBSD、认识社区成员以及询问有关操作系统的问题的绝佳场所。

想要回馈社区吗？新的贡献者可以帮助校对现有文档、提供全新的详细文档、推荐错误修复，并将新软件移植到 FreeBSD。无论你的专业知识如何，都有一个适合每个人的地方！

通过建立联系！

是与更广泛的 FreeBSD 社区建立联系的绝佳起点，同时可能找到在使用 FreeBSD 时遇到的任何问题的答案。
包含大量关于使用 FreeBSD Current 的讨论。

在社交媒体上找到 FreeBSD 社区！

加入。
在上参与讨论。
在上提问并讨论。

找到本地用户组和活动！

查找你最近的。
在你所在地区查找即将举行的。

介绍来 FreeBSD 的学生

原文链接：https://freebsdfoundation.org/blog/introducing-students-to-freebsd/
作者：Deb Goodkin
译者：Canvis-Me & ChatGPT

2023 年 10 月 4 日

基金会在 2023-2024 年的目标之一是提高 FreeBSD 的使用率和知名度。这是一个相当广泛而宏伟的目标，因此我们将其分解为一些我们计划针对的关键市场/受众群体。我们确定的一个群体是大学生。在他们教育生涯的早期介绍 FreeBSD 将有助于为他们在系统编程方面的工作做准备，并为未来的许多机会提供有市场价值的技能。此外，通过有更多人为 FreeBSD 做贡献，项目也会受益。

以下是我们正在制定的 FreeBSD 大学计划的简要概述，尽管它目前还在规划阶段。然而，我们有一位最近的实习生愿意与我们合作，并在本学期在他的大学介绍 FreeBSD。

首先，我们将确定 2-3 所大学，与其合作开发这个试点项目。我们已经确定了两所我们正在合作开展项目的大学，同时也在关注其他可能性。

项目的一些目标包括：

在几所大学内培养 FreeBSD 大使，以促进 FreeBSD 的意识和采用。
将 FreeBSD 纳入操作系统课程，确保学生了解这个可行的选择。
制定教育/培训材料，帮助学生学习如何使用 FreeBSD 并过渡为开发人员和贡献者。

我们很高兴开始推动这个计划，并将随时向大家通报最新进展。如果你有兴趣在你的大学介绍 FreeBSD，请通过与我联系，并告诉我你希望在该计划的初始阶段参与的方式。

EuroBSDCon 2023 旅行报告——Bojan Novković

原文链接：https://freebsdfoundation.org/blog/eurobsdcon-2023-trip-report-bojan-novkovic/
作者：Bojan Novković
译者：Canvis-Me & ChatGPT

2023 年 10 月 20 日

今年，我有幸获得了 FreeBSD 基金会的差旅津贴，参加了在葡萄牙科英布拉举行的 EuroBSDcon。

我于 9 月 13 日抵达科英布拉，并在第二天参加了 FreeBSD 开发者峰会。峰会的第一天日程安排得很紧凑。在参加开幕会议并了解 FreeBSD 基金会团队的最新消息后，我与 Mark Johnston 会面，审查并提交了今年谷歌编程之夏项目中剩下的一些补丁。在附近的学生餐厅短暂用过午餐后，我参加了 Sergio 关于新的 FreeBSD.org 网站设计的演讲。

随后，Greg Wallace 介绍了 SWOT 分析的概念，并组织了一个互动环节。我们分成小组，集思广益，讨论了项目的优势、劣势等方面。这一天的最后一个环节是 Jordan Hubbard 关于 FreeBSD 项目早期历史的演讲，其中融入了他与该项目的个人历史。不幸的是，我的演讲被推迟到了第二天，因此在最后一场演讲后，我与 Li-Wen Hsu 讨论了我打算在 FreeBSD 的 CI 循环中用于性能回归测试的工作。

开发者峰会的第二天以一场关于我正在进行的旨在测试内核补丁的性能基准框架的演讲开始。这个想法得到了很好的响应，与其他开发人员的讨论也很有见地。之后，我参加了 Ruslan 关于 hwt 的演讲，这是一个用于 FreeBSD 的硬件性能跟踪框架。演讲后，我与 Ruslan 碰面，讨论了向 hwt 添加 Intel 性能跟踪支持的步骤。这标志着闪电演讲的结束，午餐休息后，我与 Christos Margiolis 结对进行了一个一直持续到下午的黑客会话。

接下来的一天以 Paula Alexandra Silva 的主题演讲开始。在主题演讲后，我参加了 Walter Belgers 的演讲，听取了关于 BSD 早期历史的各种故事和轶事。接下来是 Otto Moerbeek 关于 OpenBSD 的 malloc 的演讲。能够参加由安全堆内存分配器的先驱提供的讲座是一种荣幸，演讲充满了关于堆分配器在运行时防止对普通 C 内存管理错误的恶意滥用的机制的细节和见解。在会场外拍摄了全家福照片并短暂休息用午餐后，我参加了 Hiroki Sato 关于 USB 调试能力的演讲。演讲很棒，我对有一种新的调试实时机器的方式感到兴奋，因为在现代硬件上使用串口已经不再可能。演讲后，我与 Christos 进行了短暂的黑客会话。然后，我参加了 Toshaan 关于在 POWER 架构上运行 FreeBSD 的演讲。这一天在附近的场地结束了一场很棒的社交活动。

第二天以 Phillip Bueller 关于 EuroBSDcon 历史的精彩演讲开始。之后，我参加了 Eirik Øverby 的演讲，了解了 Modirum 的最新探索。接下来是 Christos 关于 kinst 的演讲，这是一个允许跟踪任意指令的新 DTrace provider 程序。他说了他的方法的一般架构和一些常见用例，并在与观众进行有趣而深入的技术讨论时引发了兴趣。在此之后，我参加了 Kirk 关于 gunion 的演讲。演讲非常有趣，它提供了对 GEOM 的良好概述以及 gunion 的几个有用的应用程序。我参加的下一个环节是 Yan Ka Chiu 关于他正在进行的 OCI 兼容 FreeBSD 容器运行时的演讲。演讲中充满了展示该运行时功能的出色短片。

我非常感谢 FreeBSD 基金会让我能够参加这次会议。这是一次极好的经历，让我能够与 FreeBSD 社区的其他成员建立联系，并讨论未来的工作。

什么是开发播客？FreeBSD 项目的演变

原文链接：
译者：Canvis-Me & ChatGPT

基金会执行董事 Deb Goodkin 在中和《SD Times》的主编 David Rubinstein 一起谈论了 FreeBSD 的 30 周年纪念，以及这些年它是如何成长和变化的。

EuroBSDCon 2023 旅行报告——Mark Johnston

原文链接：
作者：Mark Johnston
译者：Canvis-Me & ChatGPT

TalkDev：探索开源的未来

原文链接：
译者：Canvis-Me & ChatGPT

2023 年 10 月 27 日

基金会执行董事 Deb Goodkin 与上就 FreeBSD 的现状进行了深入探讨，消除了人们对开源软件的常见误解，讨论了 FreeBSD 在日益重要的安全领域中所扮演的角色，并展望了开源生态系统的未来。

为什么选择 FreeBSD？Metify 展示迁移到 FreeBSD 如何对两个新产品进行增强

原文链接：
译者：Canvis-Me & ChatGPT

2023 年 11 月 2 日

FreeBSD 厂商峰会始终是一个绝佳的机会，让人更深入地了解公司是如何以及为何使用 FreeBSD。Metify，这家背后是屡获殊荣的 Mojo 平台的公司，将在今年的峰会上展示两款创新产品，为大家提供这样的机会。

FreeBSD 基金会宣布通过 SSDF 认证

原文链接：
作者：Boulder, CO & San Jose, CA
译者：Canvis-Me & ChatGPT

2023 年全球开放大会报告

原文链接：https://freebsdfoundation.org/blog/all-things-open-2023-conference-report/
作者：Drew Gurkowski
译者：Canvis-Me & ChatGPT

2023 年 11 月 14 日

在上个月，我前往北卡罗来纳州的罗利参加了 2023 年的 All Things Open 大会。虽然基金会过去曾在展台设有工作人员，但这是我第一次亲自参加这个会议。我在会议前一天飞到了罗利，并在设置基金会展台之前有时间参观了这个城市。我结束了这一天，尝试了我的第一顿北卡罗来纳烤肉，真是让人满意！

会议的第一天早早开始，基金会的合作与研究总监 Greg Wallace 带着一台由捐赠的 Ampere 2U 服务器亲自到场。不幸的是，我们在安装过程中遇到了问题，但即便如此，这台服务器还是吸引了许多与会者，讨论 Ampere 上的 FreeBSD 是一个很好的话题。

FreeBSD 展台最终吸引了相当多的参与者，我很兴奋能够与来自北卡罗来纳地区的 FreeBSD 社区成员以及许多当地渴望了解该项目的学生们见面。我在类似 ATO 这样的大会上最喜欢的部分是它们培养了一个非常多元化的开源社区。这使我们有机会与经验丰富的 FreeBSD 用户互动，他们乐于分享与 FreeBSD 历史相关的故事，以及寻求首次安装 FreeBSD 的新开发人员和用户。我们分发了大量的 FreeBSD 周边产品，我终于能够亲自见到一些我之前只在虚拟空间中互动过的社区成员的真实面孔。

第二天，我有更多的时间参观其他展台。由于有超过 4300 名注册参与者，会议场面热烈，所有人都聚集在一起庆祝和倡导开源。虽然没有专门的 BSD 行动方针，Greg Wallace 参与了开源倡议组织的开源与公共政策小组讨论，。这次讨论引发了一些关于更大范围的开源软件社区如何合作以影响公共政策的精彩对话。当我们拆卸我们的展台时，和与会者的一次即兴对话涉及到 BSD 许可证的好处和开源的未来，并持续到了会议结束后。

我非常享受我的第一次 All Things Open，很高兴有机会与 FreeBSD 用户和更广泛的开源社区讨论有关 FreeBSD 的话题。我期待着 All Things Open 2024！

FreeBSD v14：恪守类 Unix 操作系统传统，提升安全性与性能

原文链接：
作者：Sean Michael Kerner
时间：2023 年 11 月 22 日 7:04

2023 年 9 月

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Soobin Rho

原链接：Meet the 2023 FreeBSD Google Summer Of Code Students: Soobin Rho
发布日期：2023-8-24
译者：ykla & ChatGPT

自从 2005 年谷歌编程之夏项目创立以来，FreeBSD 项目很自豪地参与其中。随着 2023 年季节即将结束，基金会请几位我们的学生分享更多关于他们自己以及他们与该项目合作经验的信息。

问：请简单介绍一下你自己，以及你在教育旅程中的进展。

我是 Soobin Rho，这是我在南达科他州的奥古斯塔纳大学的第三个学年，预计于 2025 年毕业。我主修哲学、数学和计算机科学。

我出生于韩国，在迪拜长大，几年前来到美国上大学。我的目标是白天在一家有使命感的优秀公司工作，然后在空闲时间做我真正关心的事情，比如为环境和可持续性开展开源项目。

问：你以前有参与过谷歌编程之夏项目吗？

没有，2023 谷歌编程之夏是我第一次参与。我是在 Hacker News 上第一次听说谷歌编程之夏的。其中一条评论提到 FreeBSD 是参与的开源项目之一。所以，我就申请了。我从 FreeBSD 维基的谷歌编程之夏项目创意列表中选择了我的项目。

问：你为什么想与 FreeBSD 合作？

我尝试过很多操作系统（虽然我不会逐一列举）也尝试过很多桌面环境。然而最终，至少目前来说，我决定我最喜欢的编码环境是没有桌面环境，只有终端的 FreeBSD 加上 vim 和 tmux。

当然，每当我需要使用图形界面时，我会不时地回到其他操作系统。尽管如此，它就是感觉对了。我所有的开发工作都是通过 FreeBSD 进行的。加入 2023 谷歌编程之夏是我第一次为 FreeBSD 做贡献，但我也打算继续作为贡献者，并继续维护 mfsBSD 集成。

问：请简要介绍一下你的谷歌编程之夏项目。

说到 mfsBSD，这是由 Matuska 于 2007 年创建的，mfs 代表内存文件系统。基本上，一旦你在系统中安装了 mfsBSD 并引导到它，整个操作系统现在都在内存文件系统下运行。这意味着你现在可以做很多事情，比如恢复操作和系统诊断。特别是，我对 mfsBSD 的最喜欢用途之一是用于我的一台只有一块硬盘的笔记本电脑。我可以在硬盘中引导 mfsBSD，然后在我安装了 mfsBSD 的特定的硬盘上安装 FreeBSD。由于 mfsBSD 中的每个文件都被移动并加载到内存文件系统中，甚至可以删除原始磁盘，并使用 mfsBSD 中的 bsdinstall 完全覆盖为全新的 FreeBSD 实例。

我的项目将 mfsBSD 集成到 FreeBSD 发布工具集中，这样 mfsBSD 镜像（.img 用于光盘，.iso 用于光盘）现在将在 FreeBSD 主页上提供。【注 1】

问：到目前为止，你从这个经验中学到了什么？

在接手这个项目之前，我对 MAKE(1) 一无所知。阅读 /usr/src/Makefile 和 /usr/src/release/Makefile 对我帮助很大。此外，阅读 /usr/src/release/Makefile.vm 非常有价值，事实上，我很多的代码都是基于这些 make 文件的。

问：与 FreeBSD 项目合作的经历如何？

有趣而令人兴奋！每周与我的导师 Joseph Mingrone 和 Juraj Lutter 进行会议很有趣。看到我的代码生成了我自己可以使用的 mfsBSD 镜像，以及为所有需要的其他人生成的镜像，这让我感到兴奋。

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Aymeric Wibo

原文链接：Meet the 2023 FreeBSD Google Summer of CodeStudents: Aymeric Wibo
发布日期：2023-8-29
译者：ykla & ChatGPT

自从 2005 年谷歌编程之夏项目创立以来，FreeBSD 项目很自豪地参与其中。随着 2023 年季节即将结束，基金会请几位我们的谷歌编程之夏学生分享更多关于他们自己以及他们与该项目合作经验的信息。

问：请简单介绍一下你自己，以及你在教育旅程中的进展。

嗨！我叫 Aymeric Wibo，目前正在比利时鲁汶天主教大学攻读计算机科学学士学位。

问：你以前有参与过谷歌编程之夏项目吗？

没有！这是第一次。

问：你为什么想与 FreeBSD 合作？

我已经将 FreeBSD 作为我的主要操作系统使用了 2 年多，之前我已经提交过一些补丁，因此我认为下一步自然的进展就是为 FreeBSD 做一些更有实质性的工作，特别是在今年的 FOSDEM 上简要会见了项目的一些成员之后。

问：请简要介绍一下你的谷歌编程之夏项目。

我的项目是使 FreeBSD 支持 BATMAN mesh 网络。BATMAN 是由 Freifunk 开发的一种路由协议，用于基于网络中立原则构建城市规模的开放 Wi-Fi 网络。

具体来说，这包括将 Linux 中的 batman-adv 内核模块移植到 FreeBSD（作为 batman_adv）。这利用了 LinuxKPI，这是一个将 Linux 调用转换为 FreeBSD 代码的内核接口，以及 FreeBSD 中的新 Netlink 支持。

问：你从这次经验中学到了什么？

学到了很多！

更具体地说，我对 Linux 和 FreeBSD 网络堆栈的内部了解更多，现在更加熟悉浏览它们各自的源代码并跟踪与网络相关的问题。我还学会了如何使用 FreeBSD 提供的出色内核调试工具（kgdb，dtrace，以及最重要的 printf ;))。

总体而言，在短时间内作为开发者取得了很大的进步，并获得了很多可迁移的经验！

问：与 FreeBSD 项目合作的经历如何？

非常棒！在开源项目上工作总是一种乐趣。FreeBSD 社区的人们反应迅速，乐于助人，我非常感激有一位导师（嗨，mmokhi@！）在我遇到困难时指导我。

我期待未来继续在 FreeBSD 上工作！

认识 2023 年 FreeBSD 谷歌编程之夏的学生：Sudhanshu Mohan Kashyap

原文地址：Meet the 2023 FreeBSD Google Summer of Code Students: Sudhanshu Mohan Kashyap
发布日期：2023-8-29
译者：ykla & ChatGPT

自 2005 年以来，FreeBSD 项目一直以参与谷歌编程之夏计划为傲。随着 2023 季接近尾声，基金会要求我们的一些 GSoC 学生分享更多关于自己以及他们与项目合作的经验。

问：请简要介绍一下自己以及你的教育之旅的进展。

我叫 Sudhanshu Mohan Kashyap，我去年刚刚获得了在皮拉尼比尔拉科学技术学院果阿校区的电气与电子专业的学士学位。目前，我在摩根大通担任初级分析员（SE1）。我热爱 Linux 和 FreeBSD，并且把很多空闲时间都用来玩 VPS 服务器。我对像 FreeBSD 这样的开源项目做贡献感到兴奋，也希望进一步提升我的技能。

问：你以前参与过谷歌编程之夏项目吗？

没有，这是我第一次参加谷歌编程之夏项目。

问：为什么想要与 FreeBSD 合作？

我是通过一个亲近的朋友，他曾经通过贡献 FreeBSD 的 ports 来初次接触到 FreeBSD 的。我对创建网站和服务器管理产生了浓厚的兴趣，通过托管 Minetest 服务器，我积累了相当多的知识。由于我的电气与电子背景以及基础设施工程方面的经验，我认为 FreeBSD 是一个很好的平台，可以结合我的技能并为一项著名的开源项目做出贡献。

问：请简要介绍一下你的谷歌编程之夏项目。

我的项目提案是为 FreeBSD 的引导加载程序创建一个 CI 测试工具。目前的脚本 full-test.sh 在所有支持的体系结构和组合上缺乏全面的测试。我计划用 Lua 重新编写此脚本，以便测试多个体系结构组合并生成关于损坏的组合和预期功能的报告。如果时间允许，我将把该脚本与现有的构建基础设施（如 Jenkins 或 Github Actions）集成，以提供全面的测试结果。

问：迄今为止，你从这次经历中学到了什么？

在 Warner Losh 的指导下，通过这次经历，我获得了宝贵的技术技能，包括部署服务器、Lua 编程和模块化脚本编写。我学会了在协作编码环境中进行详细项目规划的重要性，有效沟通的重要性，以及系统测试的重要性。在 Warner 的指导下，我成功配置了服务器，解决了设计问题，并通过深入测试提高了代码质量。这个过程不仅扩展了我的技术专长，还提高了我的问题解决能力和注重细节的能力，使我成为了一名更加熟练和适应性强的软件开发人员。

问：与 FreeBSD 项目合作的经验如何？

与 FreeBSD 项目合作是一次启发性的经验。来自 Warner Losh 等导师的反馈和指导对于完善我的项目提案非常重要。这个项目与我的兴趣和技能很好地契合，我很高兴能为这样一个著名的开源社区做出贡献。

认识 2023 年夏季滑铁卢大学合作学生：Naman Sood

原文链接：Meet The Summer 2023 University of Waterloo Co-Op Student: Naman Sood
发布日期：2023.9.7
译者：ykla & ChatGPT

FreeBSD 基金会继续与滑铁卢大学合作项目成功合作。自 2017 年以来，我们已经招募了 15 名实习生，其中一些人已经回来做过多次实习。我们还有两名实习生成为了正式的贡献者，许多人继续为项目做出贡献。今年夏季合作学生生是 Naman Sood，我们坐下来与他聊了聊，了解他以及他选择为 FreeBSD 工作的原因。

姓名： Naman Sood

问：请简要介绍一下自己以及你的教育经历。

我来自印度，2019 年来到加拿大就读滑铁卢大学，主修计算机科学。目前我已经读到了第四年的一半，计划于 2024 年春季毕业。

问：你已经参加了多少次合作实习？

FreeBSD 是我第五次的合作实习。

问：为什么你想要在 FreeBSD 基金会工作？

我一直喜欢编写与计算机硬件的内部机制有关且为其他程序提供良好接口的底层代码。FreeBSD 基金会为我提供了一个特殊的机会，可以实际参与到全世界的人们使用的实际系统的开发中，而这种工作正是我所热衷的。此外，在开源生态系统中工作的经历对我来说是一个难得的学习机会，使我更加自如地为我每天使用的软件做出贡献。

问：你希望从这个实习中学到什么？

我最想从这个实习中获得的经验是在一个真正的、可用于生产的操作系统内核上进行一些“hack”活动的经验。我所在大学的操作系统课程非常出色，但更多地是对整体概念的引导。它没有涉及到我认为使在底层级别工作变得有趣的许多复杂细节，而 FreeBSD 则为我提供了在这种环境下工作的实践和经验。

问：你目前在做什么工作？

我目前正在尝试将 FreeBSD 的 VPS 子系统（）从 FreeBSD 10 移植到 14，具体来说，我正在考虑将 TCP 检查点和跨进程故障转移进行移植。例如，如果你有一个多进程的 Web 服务器，其中一个进程崩溃，它可以将其 TCP 连接移交给另一个进程。从客户端的角度来看，即使面对此故障，也可以继续正常运行。

问：到目前为止，你对 FreeBSD 的经验如何？

非常好！在这个大型的、由志愿者推动的开源软件项目中，自然会出现技术和社交方面的挑战。但这些挑战正是我来这里应对的，我在我的工作中得到了非常有益和愉快的经验。

FreeBSD 基金会 2023 年暑期实习生：Jake Freeland

原标题：Meet FreeBSD Foundation 2023 Summer Intern: Jake Freeland
最后发布于 2023 年 9 月 8 日
译者：ykla & ChatGPT

向学生们介绍 FreeBSD 仍然是 FreeBSD 基金会的重要任务。今年，除了参与谷歌编程之夏和滑铁卢大学合作计划外，基金会还聘请了 Jake Freeland，一位之前的谷歌编程之夏学生，来进行暑期实习。我们坐下来与 Jake 了解了他以及他一直在为支持 FreeBSD 所做的工作。

姓名： Jake Freeland

问：请简要介绍一下你自己以及你的教育经经历。

我自记事起就对计算机硬件感兴趣。这一特点自然而然地将我引向了操作系统，这是最接近硬件的软件。我现在是明尼苏达大学双城分校的学生，计划于 2023 年 12 月取得计算机科学学士学位。

问：你做过多少个实习？

我曾在 2022 年代表谷歌编程之夏计划与 FreeBSD 基金会合作过一次。

问：为什么你想要为 FreeBSD 基金会工作？

当我开始寻找实习机会时，FreeBSD 就立刻出现在我的脑海中。我之前有作为系统管理员的经验，而 FreeBSD 是我最喜欢的操作系统之一。我知道他们的社区非常专业，我认为为该项目做贡献将是迈向内核开发的绝佳途径。

问：你希望从这个实习中学到什么？

我的 FreeBSD 经验教会了我如何处理大型代码库。我对遍历他们的 src 源码感到自如，也习惯将我的代码更改格式化为可审查的提交/补丁。与 Capsicum 安全沙盒一起工作也教会了我以安全为重进行思考。我觉得我已经积累了足够的直觉来检测和审计可能存在重大安全问题的代码。

问：你目前正在做什么？

我开始时的实习任务是扩展 FreeBSD 的 ktrace 工具中的能力违规跟踪功能。通过我的更改，开发人员可以在程序不在能力模式下时跟踪和收集详细的能力违规诊断信息。

接下来，我将 FreeBSD 的系统日志实用程序 syslogd 隔离到了一个 Capsicum 安全沙盒中。syslogd 守护程序以 root 权限运行，因此是安全攻击的高风险目标。将 syslogd 放入沙盒环境中应该可以在出现 syslogd 安全漏洞的情况下防止有害影响。通过这一经验，我创建了一个关于使用 Capsicum 沙盒化程序的操作指南：。

问：到目前为止，你在 FreeBSD 的体验如何？

我很享受与 FreeBSD 基金会一起工作（的过程），并计划继续为该项目做出贡献。我很高兴看到基金会认识到她需要更多年轻的开发者；我将与他们合作推出一个新的项目，以向大学生介绍 FreeBSD。

2023 年 9 月以前

苹果的开源基石：macOS 和 iOS 背后的 BSD 传统

原文地址：Apple’s Open Source Roots: The BSD Heritage Behind macOS and iOS
原作者：Jason Perlow
原文发布时间：2024 年 7 月 8 日凌晨 5:00

认识到 BSD 在苹果成功中的重要性，有助于我们更好地理解开源贡献在塑造我们日常使用的技术中之价值。

想一想：苹果时尚且易用的设备，如强大的 MacBook 和无处不在的 iPhone，它们的可靠性和性能，在很大程度上得益于开源操作系统。那么，苹果究竟使用的是哪款开源操作系统呢？尽管常有人说，苹果的 macOS、iOS、iPadOS、watchOS、visionOS 和 tvOS 直接源自 FreeBSD，但其实这是一种误解。

这些操作系统的真正基石在于苹果较早期的操作系统技术与 NeXTSTEP 的结合，而 NeXTSTEP 本身是 Mach 和 BSD 的混合体——早于 FreeBSD。尽管多年来，FreeBSD 的一些用户空间元素被整合进上述操作系统，但苹果的内核（XNU）并不直接来源于 FreeBSD。然而，它们确实共享一脉共同的 BSD 传统。

理解 BSD 各版本

要了解苹果操作系统的发展，理解不同版本的 BSD（伯克利软件发行版）及其影响至关重要：

伯克利的原始 BSD

BSD 起源于 1970 年代末的加州大学伯克利分校。作为对 AT&T 原始 UNIX 操作系统的增强，BSD 引入了许多成为现代操作系统标准的创新。第一个版本 1BSD 发布于 1977 年，随后是 1978 年的 2BSD。重要版本包括 4.1BSD（1981 年）和 4.2BSD（1983 年），它们引入了快速文件系统（FFS）、TCP/IP 网络和套接字 API，这些基础要素至今仍在使用。

FreeBSD

FreeBSD 是从原始 BSD 衍生而来的，以其出色的性能、先进的网络功能和广泛的硬件支持而著称。它源自 1993 年的 386BSD 项目，至今广泛应用于服务器、桌面和嵌入式系统。FreeBSD 强大的性能和可靠性使其成为高可用性应用和互联网基础设施的首选。

NetBSD

NetBSD 以其在多种硬件平台上的可移植性而闻名。其座右铭“Of course it runs NetBSD”（它当然可以运行 NetBSD）体现了它在各种硬件架构上运行的能力，从服务器和桌面到嵌入式设备和大型机。自 1993 年成立以来，NetBSD 一直是 BSD 系列中可移植性和简洁设计的典范。

OpenBSD

OpenBSD 是于 1995 年，从 NetBSD 复刻出来的，重点关注安全性、正确性和代码简洁性。它以严格的安全实践而闻名，并且是许多安全技术的先驱，如 OpenSSH、PF（包过滤器）和安全内存管理技术。OpenBSD 对安全性的承诺使其成为那些安全至关重要的应用程序的首选。

其他衍生 BSD

出现了几款衍生的 BSD，每款变种都有其独特的重点和增强功能。例如，DragonFly BSD 注重性能和可扩展性，而 Darwin 则是苹果 macOS 和 iOS 的内核。

Darwin 和 XNU：苹果操作系统的内核

macOS 的核心是 XNU 内核，这是一款混合内核，结合了 Mach 微内核、BSD 组件和 I/O Kit（设备驱动的面向对象 API）。这种集成确保了 macOS 受益于 BSD 类 Unix 的强大稳定性，同时利用了 Mach 微内核的灵活性。

Darwin 是苹果操作系统（macOS、iOS、watchOS、tvOS 和 iPadOS）的开源基石，它包括了 XNU 内核、各种 BSD 组件和其他开源项目。Darwin 的起源可以追溯到 NeXT，这是一家由史蒂夫·乔布斯在 1985 年创办的公司，他离开苹果后创办了这家公司。NeXT 开发了 NeXTSTEP，这是一种基于 Mach 微内核和 BSD 的操作系统。它发展成为 OpenStep，并最终在史蒂夫·乔布斯回归苹果时演变成 Darwin，带回了 NeXT 的技术。

2000 年，苹果发布了 Mac OS X 的一些核心组件（现在的 macOS）作为开源项目，采用 Apple 公共源代码许可证（APSL），允许更广泛的社区受益并为其开发做出贡献。这些组件包括 launchd、Grand Central Dispatch 和 Core Foundation，其中一些后来在更宽松的 Apache 许可证下重新授权，以促进更广泛的应用。然而，高级组件如 Cocoa 和 Carbon 框架仍然是专有的，以保持苹果的竞争优势。GPL 和 BSD 许可的组件未重新授权，保持了其原有的。

详细时间线

1969 年：AT&T 贝尔实验室开发了 UNIX 操作系统。
1977 年：加州大学伯克利分校发布了 BSD 的首个版本（1BSD），作为对 AT&T 原始 UNIX 操作系统的增强。
1978 年：2BSD 发布，继续在 1BSD 的基础上进行改进和工具开发。

BSD 组件在 macOS 中的演变与整合

苹果的 macOS 是一款混合化的操作系统，集成了来自不同 BSD 变种的各种组件，形成了一个强大且多功能的平台。macOS 的内核是 XNU，它是一款混合内核，结合了来自 Mach、NeXTSTEP 和 OpenStep 的元素，并且加入了来自 BSD 的其他组件。这一基础架构利用了每个系统的优势，提供了一款可靠且高性能的操作系统。

网络栈：macOS 的网络栈源自 FreeBSD 和其他 BSD 变种，集成了它们可靠和高效的网络功能。早期的网络元素，如 TCP/IP 栈，受 FreeBSD 设计的影响，因其性能和可靠性而闻名。包括最初为 FreeBSD 开发的 kqueue 事件通知接口，也增强了 macOS 处理 I/O 事件的能力。苹果的实现结合了来自 BSD 和 FreeBSD 的代码，但也包含了像网络内核扩展（NKE）、面向对象的设备驱动系统（IOKit）以及磁盘仲裁层等独特机制。这些组件与传统 BSD 实现有所不同。

虚拟文件系统：macOS 的虚拟文件系统组件来自 FreeBSD 和其他 BSD 系统，确保了稳定和安全的文件管理系统。

内存管理：macOS 的内存管理系统主要来源于 Mach，并受 NetBSD 的影响，特别是在共享/合并缓冲区缓存方面。

进程模型：macOS 的进程模型基于 Mach，使用 Mach 系统线程作为进程子系统的基础层。

Mach IPC 和安全性：Mach IPC 广泛应用于 macOS 和 iOS 的内核及用户空间，引入了进一步的差异。例如，Mach Security Trailers 是受信任的 IPC 的基础部分。应用程序沙箱中使用的强制访问控制（MAC）机制也与 *BSD 系统中的机制大相径庭。

随着时间的推移发生的分歧：由于 FreeBSD 不愿意整合 UNIX03 兼容性更改，导致了分歧，尽管有一些混合的努力，像 libc 和 libm 这样的库还是出现了复刻。此外，像 NeXTBSD 项目这样的倡议，旨在将像 launchd、Mach IPC 和 Grand Central Dispatch 等苹果的技术带到 FreeBSD，但这些努力未能得到普遍支持。结果，代码库继续出现分歧，尤其是在苹果推进定制芯片支持和优化时，进一步拉大了它们之间的差距。

已知的集成和贡献：macOS 在很大程度上受益于 FreeBSD，尤其是在网络概念上。尽管 macOS 并未完全采用 FreeBSD 的网络栈，但它集成了几款 FreeBSD 衍生的组件，经过调整以满足其独特的需求。macOS 中的早期网络元素，如 TCP/IP 栈，受 FreeBSD 设计的影响，以其性能和可靠性而著称。此外，像最初为 FreeBSD 开发的 kqueue 事件通知接口也被集成到 macOS 中，增强了它处理 I/O 事件的能力。

对苹果产品的影响

苹果对 BSD 代码的采用遍及其整个产品线。macOS 驱动着 Mac 台式机和笔记本，iOS 运行在 iPhone 上，iPadOS 运行在 iPad 上，watchOS 运行在 Apple Watch 上，visionOS 运行在 AR/VR 设备上，tvOS 运行在 Apple TV 上。每款操作系统都包含了 BSD 组件，突显了 BSD 在苹果生态系统中的广泛影响。

BSD 的稳健性、安全性和性能特点在塑造苹果操作系统的稳定性和效率方面发挥了重要作用。集成 BSD 衍生的网络概念和组件，使得 macOS 能够提供高性能的网络功能，使其成为消费者和企业应用的可靠选择。BSD 的先进内存管理和进程调度也对 macOS 的响应能力和多任务处理能力作出了贡献。

通过将 BSD 的强大特性与其专有技术相结合，苹果创造了一系列稳定、高效、创新且功能强大的操作系统。这种共生关系凸显了开源贡献在苹果软件生态系统持续演变中的重要性。

苹果对开源的贡献与利用

苹果公司在高度依赖 BSD 的同时，也积极参与着开源社区。公司通过其和发布了多项 Darwin OS 组件，包括 XNU 内核、各种用户空间工具和库。这些贡献确保了开源社区能够从苹果的创新和改进中受益。

苹果会定期更新其开源项目，发布 Darwin OS 组件的新版本。这些更新通常与新的 macOS 和 iOS 版本发布同步，体现了苹果对开源社区的持续承诺。通过共享其改进和增强功能，苹果推动了，为开发者和用户带来益处。

Darwin OS 的现状

Darwin OS 是苹果操作系统的开源核心，目前已不再作为完整的、可安装的系统发布。苹果将 Darwin 的各个组件分开发布，例如 XNU 内核仓库在 GitHub 上，用户空间工具则发布在苹果的开源网站上。这种分散的发布策略使得从苹果的官方渠道组装完整的 Darwin OS 变得困难。

通过 OpenDarwin 项目，苹果曾使这些组件能够单独安装并作为独立系统存在。然而，由于开发的兴趣有限和分歧逐渐加大，OpenDarwin 于 2006 年停止发布。苹果当时的目标值得称赞，但随着复刻过多，最终无法维持该项目，导致了当前的碎片化分发方式。

尽管从苹果处获得完整的 Darwin OS 存在挑战，开源社区仍尝试将这些组件整合为可安装的操作系统，取得了一定的成功。像（以及之前的 OpenDarwin）这样的社区驱动项目，旨在通过整合苹果发布的各种开源组件，提供可用的 Darwin OS 版本。这些项目展现了开源开发的合作精神，并证明了 Darwin OS 作为独立操作系统的潜力。

苹果与 BSD 的现有关系

苹果与 BSD 代码的关系仍然相当神秘。尽管苹果在开源方面作出了重大贡献，但该公司在操作系统中 BSD 代码的具体使用程度仍然较为模糊。这种封闭的开发过程使得很难准确指出 macOS、iOS 及其他苹果系统中有多少部分仍依赖于 BSD 基石。的宽松性允许苹果使用并修改代码，而无需公开其使用方式和位置，这与的“传染性”要求有所不同，后者要求修改后的代码必须共享。

苹果的开源软件策略随着时间的推移发生了变化。公司将焦点从 CoreOS 的开源组件转向了其他领域，如编程语言和编译器技术。苹果投入大量时间和精力开发项目如、编译器和运行时。这些项目代表了苹果对开源社区的主要贡献，并展示了苹果与 BSD 之间的技术转移，尤其是在编译工具链方面。

此外，随着苹果对原始 BSD 组件的大量修改，传统 BSD 代码与现代改编之间的界限变得模糊。苹果在不断修改和扩展这些组件后，已经很难区分哪些部分是直接继承自 BSD 的，哪些是苹果的创新。这种不透明性限制了我们对 BSD 在苹果产品中全貌的理解，也突出了 BSD 的宽松许可证与 GPL 的传染性要求之间的差异。

有证据表明，苹果仍在其操作系统中使用着当前的 BSD 组件。最近，由 Klara 公司提交，该公司代表多个客户（如 NetApp）向 FreeBSD 项目提交代码，这表明 FreeBSD 代码的持续集成和使用，证明了尽管苹果的开发过程封闭，BSD 代码（尤其是 FreeBSD）仍然是其操作系统的重要组成部分。

市场影响与采用

苹果在其产品中使用 BSD 对消费电子行业和创意内容行业产生了重大影响。BSD 的稳健性、安全性和性能使得苹果设备对消费者和专业人士极具吸引力。电影、音乐制作、图形设计等创意领域的行业尤其青睐苹果产品，因为它们可靠且功能强大。

BSD 的先进内存管理、进程调度和高性能网络能力确保了苹果的桌面和笔记本电脑为高要求的应用提供所需的性能。这使得 macOS 成为视频编辑、音乐制作和图形设计的优秀选择，在这些领域，稳定性和性能至关重要。

其他行业利用 BSD

虽然苹果集成 BSD 对其成功起到了关键作用，但 BSD 的特性也使其成为其他各行各业供应商的首选。例如，NetApp、Netflix、Juniper（均为 FreeBSD 用户）等公司，利用 BSD 的先进功能应用于不同的领域：

安全性： BSD 强大的网络功能和安全措施使其在安全通信和数据保护领域尤为适用。
互联网流量管理： BSD 可靠的 TCP/IP 栈确保了高数据量的有效处理，使其在互联网流量管理中大有作为。
嵌入式系统： BSD 的先进内存管理和进程调度提高了嵌入式系统的效率和可靠性。

通过认识到 BSD 的广泛应用，我们可以更好地理解 BSD 对苹果产品以及广泛行业的影响，彰显了这一开源操作系统的多样性和稳健性。

产品数量与市场覆盖

苹果发布了多款运行 macOS、iOS、iPadOS、watchOS、tvOS 和 visionOS 的产品。因此，全球许多设备中都包含 BSD 代码。这些设备的出货量和运行数量，包括嵌入式设备、桌面/笔记本电脑，甚至苹果公司数据中心内的服务器计算机，可能与运行 Linux 的设备和系统数量相当，甚至更多。这强有力地证明了 BSD 在苹果生态系统中的广泛采用与影响。

苹果的设备遍布各行各业，满足不同消费者群体的需求。这种广泛的市场覆盖展示了 BSD 对苹果操作系统成功和可靠性的贡献。来自 BSD 的无缝用户体验、强大性能和安全性使得苹果产品成为全球数百万用户的首选。

展望

苹果在开发其操作系统（包括 macOS、iOS、iPadOS、watchOS、visionOS 和 tvOS）时，极度依赖 BSD 代码。通过集成 BSD 组件，苹果为创新、稳定性和性能奠定了坚实的基础。尽管苹果系统中 BSD 代码的具体使用程度不透明，但显然，BSD 在苹果产品的设计和功能中起到了重要作用。

展望未来，苹果可能会继续利用 BSD 的优势，并为开源社区作出贡献。BSD 和苹果操作系统的不断演进，暗示了开源合作在技术进步中的重要性。认识到 BSD 在苹果成功中的重要性，有助于我们更好地理解开源贡献在塑造我们日常使用技术中之价值。

参考文献与进一步阅读：

Jason Perlow 是一位技术专家，拥有二十余年的经验，曾在财富 500 强公司中整合大型异构多供应商计算环境。他曾担任 Linux 基金会的前编辑总监。目前，他在佛罗里达州科勒尔斯普林斯经营着自己的技术媒体咨询公司——Argonaut Media Communications LLC。

伯克利 Unix 二十年——从 AT&T 掌控到自由分发

作者：Marshall Kirk McKusick
注：本文属于《开源软件文集》中的一节。中国电力出版社，ISBN: 9787508301983

早期历史

Ken Thompson 和 Dennis Ritchie 于 1973 年 11 月在普渡大学操作系统原理研讨会上首次发表了 Unix 论文。加州大学伯克利分校的 Bob Fabry 教授出席并立即对获取系统副本以在伯克利实验产生兴趣。

当时伯克利只有大型批处理主机，首要任务是购买一台适合运行当时 Unix 第 4 版的 PDP-11/45。伯克利的计算机科学系、数学系和统计系联合购买了该机器。1974 年 1 月，Unix 第 4 版磁带交付，研究生 Keith Standiford 完成安装。

Ken Thompson 没有亲自参与安装，但因多次系统崩溃进行了远程调试。他通过 300 波特的声耦合调制解调器远程协助解决问题，发现多起崩溃因磁盘控制器无法正确执行重叠寻道操作。

Thompson 的远程调试开启了伯克利与贝尔实验室的合作，贝尔实验室研究者积极分享成果，促进伯克利软件快速迭代。

尽管 Unix 运行稳定，但计算机科学、数学和统计系在系统使用时间上存在矛盾，最终达成轮班使用协议，Unix 和 DEC 的 RSTS 系统交替运行。操作系统课程学生更喜欢在 Unix 上完成项目。

教授 Eugene Wong 和 Michael Stonebraker 的 INGRES 数据库项目最早从批处理环境转向 Unix 交互环境。1974 年春，他们购买了运行 Unix 第 5 版的 11/40。1974 年秋首次发布 INGRES，成为计算机科学系首个对外发布软件的项目。

即使 INGRES 离开 11/45，学生仍面临机时不足。Stonebraker 和 Fabry 教授于 1974 年 6 月开始为计算机科学系争取两台教学用 11/45，1975 年资金到位时 DEC 发布了更优的 11/70。用买两台 11/45 的钱购买了一台 11/70，1975 年秋到货。

Ken Thompson 在 1975 年秋作为访问教授回到伯克利，和 Jeff Schriebman、Bob Kridle 一起在 11/70 上运行 Unix 第 6 版。

1975 年秋，两位研究生 Bill Joy 和 Chuck Haley 对新系统产生兴趣，扩展了 Ken Thompson 早期开发的 Pascal 系统，因其优秀的错误恢复和快速编译执行，成为学生首选。

Model 33 电传打字机被 ADM-3 屏幕终端替代后，Joy 和 Haley 基于从 George Coulouris 教授处获得的 em 编辑器，开发了行模式编辑器 ex。

Ken Thompson 于 1976 年夏末离开后，Joy 和 Haley 在 Schriebman 监督下开始探索 Unix 内核，安装了贝尔实验室提供的“50 个变更”补丁，并提出多项内核性能改进建议。

早期发行版

与此同时，Pascal 编译器中的错误恢复工作引起了大家的关注，纷纷请求获得系统副本。1977 年初，Bill Joy 组建了“伯克利软件发行版”（Berkeley Software Distribution，简称 BSD）。首次发行包含了 Pascal 系统，以及 Pascal 源代码中一个不起眼的子目录里的编辑器 ex。在接下来的一年中，Joy 作为发行负责人，免费发送了大约三十份系统副本。

随着带有屏幕可寻址光标的 ADM-3a 终端的到来，Joy 终于能编写出 vi，将基于屏幕的编辑带到了伯克利。他很快遇到一个难题：由于经费紧张，学校的老设备无法一次性全部替换。为了避免为多种终端编写不同的优化更新代码，他决定通过一个小型解释器来统一屏幕管理。该解释器根据终端特性描述驱动，这项工作最终发展成了 termcap。

到了 1978 年中，软件发行显然需要更新。Pascal 系统因用户反馈变得更稳健，并分成两个阶段以便能在 PDP-11/34 上运行。更新后的版本被称为“第二版伯克利软件发行版”，简称 2BSD。除了改进的 Pascal 系统，还包含了适用于多种终端的 vi 和 termcap。同样由 Bill Joy 一人负责组装发行版、接听用户电话并将反馈融入系统。接下来一年中，寄出了近七十五份磁带。虽然 Joy 随后转向其他项目，2BSD 发行版仍持续扩展。其最终版本 2.11BSD 是一套完整系统，至今仍在世界各地数百台 PDP-11 上运行。

VAX Unix

1978 年初，Richard Fateman 教授开始寻找一台更大地址空间的机器，以继续他在 Macsyma 项目上的工作（最初在 PDP-10 上启动）。新发布的 VAX-11/780 满足要求且在预算内。Fateman 和其他十三位教师联合申请了 NSF 资金，并结合部门经费购买了这台 VAX。

最初，VAX 运行 DEC 的 VMS 操作系统，但部门已习惯 Unix 环境并希望继续使用。VAX 到达后不久，Fateman 获得了 Bell Labs 的 John Reiser 和 Tom London 提供的 Unix 32/V 移植版。

虽然 32/V 在 VAX 上提供了第 7 版 Unix 环境，但未利用 VAX 硬件的虚拟内存功能。它仍是基于交换的系统，Macsyma 团队因此受限于物理内存大小（初始为 1MB），限制了进程地址空间。

为解决这一问题，Fateman 找到系统系教授 Domenico Ferrari，探讨让其团队为 Unix 编写虚拟内存系统的可能性。Ferrari 的学生 Ozalp Babaoglu 开始研究如何在无引用位的 VAX 上实现工作集分页系统。

Babaoglu 接近第一个版本时，向 Bill Joy 求助了解 Unix 内核细节。Joy 被其方法吸引，加入集成代码和调试工作。

不幸的是，伯克利只有一台 VAX 供系统开发和生产使用。圣诞节期间，用户轮流登录 32/V 和“虚拟 VAX/Unix”，系统常常突然中断，随后出现 32/V 登录提示。1979 年 1 月，大多数 Bug 被修复，32/V 被淘汰。

Joy 预见 32 位 VAX 会取代 16 位 PDP-11，开始将 2BSD 软件移植到 VAX。Peter Kessler 和我负责移植 Pascal，Joy 移植编辑器 ex、vi、C shell 及其他 2BSD 程序。1979 年底，完整发行版成型，包含虚拟内核、标准 32/V 工具和 2BSD 增补。1979 年 12 月，Joy 发送了近百份首个伯克利 VAX 发行版 3BSD。

贝尔实验室的最后一个发行是 32/V，此后 AT&T 的 Unix 发行（起初是 System III，后来是 System V）由另一家专注于稳定商用版本的团队管理。随着 Unix 商业化，贝尔实验室研究人员无法继续作为 Unix 研究的集散地。研究社区持续修改 Unix，迫切需要一家能发布研究版的组织。凭借早期参与 Unix 和发布相关工具的经验，伯克利迅速承担了贝尔实验室原先的角色。

美国国防高级研究计划局（DARPA）的支持

与此同时，美国国防高级研究计划局（DARPA）的策划部门正在进行一场讨论，这场讨论对伯克利的工作产生了重大影响。DARPA 早期的一项成功是建立了一个覆盖全国的计算机网络，将其所有主要研究中心连接起来。当时，他们发现许多研究中心的计算机即将服役期满，必须更换。更换的最大成本在于将研究软件移植到新机器上。此外，由于硬件和操作系统的多样性，许多站点无法共享软件。

由于各研究组的计算需求差异巨大，且依赖单一硬件供应商并不理想，选择单一供应商不可行。于是，DARPA 的策划者们决定在操作系统层面统一。经过多次讨论，Unix 因其经验证的可移植性被选为标准。

1979 年秋，Bob Fabry 针对 DARPA 采用 Unix 的意向，提出一项建议，建议伯克利为 DARPA 社区开发增强版 3BSD。Fabry 在一次 DARPA 图像处理和 VLSI 承包商会议上携带此提案，会议还有 ARPAnet 开发者 Bolt、Beranek 和 Newman 的代表参加。虽然有人对伯克利能否产出可用系统存疑，但 1979 年 12 月发布的 3BSD 几乎消除了所有疑虑。

借助 3BSD 发布带来的良好声誉，Bob Fabry 于 1980 年 4 月获得 DARPA 一份为期 18 个月的合同，用于添加 DARPA 承包商所需功能。在此合同支持下，Fabry 成立了名为计算机系统研究小组（Computer Systems Research Group，简称 CSRG）的组织。他立即聘请 Laura Tong 负责项目管理。Fabry 开始寻找项目负责人管理软件开发。他原以为刚通过博士资格考试的 Bill Joy 会优先完成学业而拒绝此职，但 Joy 另有打算。三月初的某晚，Joy 致电 Fabry 表示有意接手 Unix 的进一步开发。Fabry 虽感意外，但很快同意了。

项目迅速启动。Tong 建立了一款比 Joy 之前发行更能处理大量订单的分发系统。Fabry 协调 AT&T 的 Bob Guffy 与加州大学律师，正式以各方都接受的条款发布 Unix。Joy 集成了 Jim Kulp 的作业控制，增加了自动重启、1K 块文件系统以及对最新 VAX 机器 VAX-11/750 的支持。1980 年 10 月，包含 Pascal 编译器、Franz Lisp 系统和增强邮件处理系统的 4BSD 发行版问世。其九个月内发出近 150 份，授权按机构而非机器计数，约覆盖 500 台机器。

随着伯克利 Unix 的广泛分发和知名度提升，批评者开始出现。斯坦福研究院的 David Kashtan 撰文对比了 VMS 和伯克利 Unix 在 VAX 上的基准测试，结果显示 Unix 性能存在严重问题。Joy 暂时搁置个人计划，系统性优化内核。数周内，他写出了反驳文章，证明 Kashtan 的基准测试经调优后，Unix 性能可媲美 VMS。

Joy 没有继续发布 4BSD，而是在调优系统基础上，加入 Robert Elz 的自动配置代码，于 1981 年 6 月发布 4.1BSD。在两年时间里发出约 400 份。原本计划称为 5BSD，但 AT&T 反对，担心其商用 Unix 版本 System V 与 5BSD 名称引起混淆。为解决该问题，伯克利同意未来发行版继续使用 4BSD 编号，仅递增次版本号。

4.2BSD

随着 4.1BSD 的发布，关于性能的激烈争论逐渐平息。DARPA 对首个合同成果非常满意，遂向伯克利授予一份新的两年合同，资金几乎是原合同的五倍。资金中一半投入 Unix 项目，其余分配给计算机科学系的其他研究人员。合同要求对系统进行重大改进，以便 DARPA 研究社区更好地开展工作。

基于 DARPA 社区的需求，确定了目标并开始定义系统修改内容。特别是，新系统预计包含更快的文件系统，使吞吐率达到当时磁盘技术的速度，支持多千兆字节地址空间的进程，提供灵活的进程间通信设施以便研究人员开展分布式系统研究，并集成网络支持，使运行新系统的机器能够轻松加入 ARPAnet。

为协助定义新系统，伯克利的 DARPA 合同监督员 Duane Adams 组建了一个名为“指导委员会”的团队，指导设计工作，确保满足研究社区需求。该委员会从 1981 年 4 月到 1983 年 6 月每年召开两次会议，成员包括加州大学伯克利分校的 Bob Fabry、Bill Joy 和 Sam Leffler；Bolt, Beranek 和 Newman 的 Alan Nemeth 和 Rob Gurwitz；贝尔实验室的 Dennis Ritchie；斯坦福大学的 Keith Lantz；卡内基梅隆大学的 Rick Rashid；麻省理工学院的 Bert Halstead；信息科学研究所的 Dan Lynch；DARPA 的 Duane Adams 和 Bob Baker；以及加州大学洛杉矶分校的 Jerry Popek。自 1984 年起，该会议被扩大规模的工作坊取代，参与人数大增。

1981 年 7 月，一份建议新系统所应包含功能的初稿发给指导委员会及伯克利外部人员，引发长时间讨论。1981 年夏，我加入了 CSRG，承担新文件系统的实现。夏季，Joy 主要实现进程间通信设施的原型。1981 年秋，Sam Leffler 作为全职成员加入 CSRG，与 Bill Joy 一同工作。

当 Rob Gurwitz 向伯克利发布 TCP/IP 协议早期实现后，Joy 将其集成入系统并调优性能。在此过程中，Joy 和 Leffler 意识到新系统必须支持除 DARPA 标准网络协议外的更多协议。因此，他们重新设计了软件的内部结构，完善接口，使多个网络协议能同时使用。

内部结构重组完成，TCP/IP 协议与进程间通信原型集成后，开发出几个简单应用程序为本地用户提供远程资源访问，包括 rcp、rsh、rlogin 和 rwho。这些程序原为临时工具，最终将被更合理的设施取代（因此使用“r”前缀）。该系统称为 4.1a，于 1982 年 4 月首次发布供本地使用，虽不打算广泛分发，但因各地急于等待 4.2 发布，盗版系统大量流传。

4.1a 系统在完成前已显过时，但用户反馈提供了宝贵信息，用于制定名为《4.2BSD 系统手册》的修订提案。该文档于 1982 年 2 月发布，简洁描述了 4.2BSD 将实现的用户接口。

与 4.1a 开发并行，我完成了新文件系统的实现，并于 1982 年 6 月将其完全集成入 4.1a 内核。新系统命名为 4.1b，仅运行于伯克利少数开发机器。Joy 认为系统将面临重大变更，且 4.1b 需对所有机器文件系统进行完整备份与恢复才能从 4.1a 转换，故避免本地分发。文件系统稳定后，Leffler 开始添加新文件系统相关系统调用，Joy 则着手修订进程间通信设施。

1982 年春末，Joy 宣布加盟 Sun Microsystems。夏季，他在 Sun 与伯克利之间分配时间，主要完善进程间通信设施和重组 Unix 内核源代码以隔离机器相关依赖。Joy 离开后，Leffler 接手完成项目。鉴于既定期限及承诺 1983 年春向 DARPA 发布，团队评估剩余工作并设定优先级。虚拟内存增强和进程间通信设计的最复杂部分被降为低优先级（后被搁置）。随着实现时间超过一年、Unix 社区期望升高，决定发布中间版本以缓解等待压力。该版本命名为 4.1c，于 1983 年 4 月发布，许多厂商利用此版本准备将 4.2 移植到自家硬件。Pauline Schwartz 自 4.1c 起负责发行工作。

1983 年 6 月，Bob Fabry 将 CSRG 管理权移交给 Domenico Ferrari 和 Susan Graham 教授，开始休假，摆脱此前四年高强度工作节奏。Leffler 继续完善系统，实施新的信号设施，增强网络支持，重做独立 I/O 系统简化安装流程，整合 Robert Elz 的磁盘配额功能，更新所有文档，并跟踪 4.1c 版本的缺陷。1983 年 8 月，系统作为 4.2BSD 发布。

Leffler 完成 4.2 后前往 Lucasfilm，继任者为 Mike Karels。Karels 曾参与 2.9BSD PDP-11 软件分发，经验丰富，适合新职位。1984 年 12 月我博士毕业，随后全职加入 CSRG 与 Karels 共事。

4.2BSD 的流行程度令人印象深刻；十八个月内发行超过 1000 份许可。4.2BSD 发行量超过之前所有伯克利软件发行总和。多数 Unix 厂商更愿意发布 4.2BSD 而非 AT&T 商业版 System V，原因是 System V 缺乏网络功能和伯克利快速文件系统。BSD 版本的 Unix 在商用领域占据主导仅数年，随后逐步回归其根源。随着网络功能和其他 4.2BSD 改进被整合进 System V，厂商们通常转回 System V。但后来 BSD 的发展依然持续被纳入 System V。

4.3BSD

与 4.1BSD 发布时一样，4.3BSD 也很快遭到批评。大多数抱怨是系统运行过慢。问题并不意外，主要是因为新功能尚未调优，许多内核数据结构不适合它们的新用途。Karels 和我在项目上的第一年都花在调优和完善系统上。

经过两年的调试和改进网络代码，我们在 1985 年 6 月的 Usenix 会议上宣布预计将在当年夏天晚些时候发布 4.3BSD。然而，BBN 公司的人打断了我们的发布计划。他们指出我们从未将他们网络代码的最终版本更新到 4.2BSD 中，实际上我们还在使用多年前他们交给我们的经过大量修改的最初原型。他们向 DARPA 投诉称，伯克利负责实现接口，BBN 负责实现协议，因此伯克利应该用 BBN 实现替换 4.3BSD 中的 TCP/IP 代码。

Mike Karels 获得了 BBN 代码并评估了自最初原型移交伯克利以来的工作。他决定最佳方案是将 BBN 代码中的好点子融入伯克利代码库，但不完全替换伯克利代码库。保留伯克利代码库的原因是它经过 4.2BSD 广泛分发，得到了大量测试和改进。作为妥协，他提出在 4.3BSD 中同时包含两套实现，允许用户在内核中选择使用哪一套。

DARPA 审查了 Mike Karels 的决定后认为，发布两套代码库会导致不必要的互操作性问题，应仅发布一个实现。为决定使用哪套代码库，DARPA 将两者交给弹道研究实验室的 Mike Muuse，他被伯克利和 BBN 视为独立第三方。经过一个月评估，报告称伯克利代码效率更高，但 BBN 代码对拥塞处理更好。决定性的因素是伯克利代码在所有测试中表现无误，而 BBN 代码在部分压力测试下会崩溃。DARPA 最终决定 4.3BSD 保留伯克利代码库。

精心打磨的 4.3BSD 系统最终于 1986 年 6 月发布。正如预期，它消除了许多性能上的抱怨，就像 4.1BSD 消除了对 4BSD 的抱怨一样。尽管多数厂商已开始转回 System V，但 4.3BSD 的许多部分，尤其是网络子系统，依然被纳入他们的系统。

1986 年 10 月，Keith Bostic 加入 CSRG。他被雇佣的条件之一是允许完成之前工作的收尾，即将 4.3BSD 移植到 PDP-11。尽管 Karels 和我都认为一个在 VAX 上编译需 250 KB 的系统不可能装入 PDP-11 的 64 KB 地址空间，但同意 Bostic 继续尝试。令我们惊讶的是，他成功完成了移植，利用了 PDP-11 上复杂的覆盖技术和辅助处理器状态。最终发布了由 Casey Leedom 和 Bostic 完成的 2.11BSD 版本，该版本截至 1998 年仍在少数 PDP-11 机器上使用。

与此同时，VAX 架构逐渐走向生命周期末期，开始考虑在其他机器上运行 BSD。一款当时颇有前景的新架构来自 Computer Consoles, Incorporated，名为 Power 6/32。不幸的是，该架构因公司战略转向而中止。然而，他们向 CSRG 提供了几台机器，使我们得以完成由 Bill Joy 启动的将 BSD 内核拆分为机器相关与无关部分的工作。该成果以 4.3BSD-Tahoe 形式于 1988 年 6 月发布。Tahoe 名称源自 Computer Consoles, Incorporated 给 Power 6/32 机器使用的开发代号。尽管 Power 6/32 的支持寿命较短，但这次内核拆分工作对 BSD 移植到众多其他架构极为宝贵。

Networking, Release 1

直到 4.3BSD-Tahoe 发布之前，所有 BSD 的使用者都必须先获得 AT&T 的源代码许可。这是因为伯克利从未以仅二进制形式发布 BSD 系统；发行版始终包含系统每个部分的完整源代码。Unix 系统，尤其是 BSD 系统的历史表明，向用户开放源代码具有巨大力量。用户不仅被动使用系统，还积极修复漏洞、提升性能和功能，甚至添加全新特性。

随着 AT&T 源代码许可费用的不断增加，想要基于 BSD 代码为 PC 市场构建独立的 TCP/IP 网络产品的厂商发现按二进制收费成本过高。因此，他们请求伯克利将网络代码和工具拆分出来，并以不需 AT&T 源代码许可的授权条款提供。TCP/IP 网络代码显然不存在于 32/V 系统中，完全是由伯克利及其贡献者开发的。伯克利于 1989 年 6 月发布了 BSD 起源的网络代码及支持工具，称为 Networking Release 1，这是伯克利首次发布的自由再分发代码。

授权条款十分宽松。被授权者可以修改或不修改代码，以源代码或二进制形式发布，无需向伯克利报告或支付版权费。唯一要求是保留源文件中的版权声明，并且在产品文档中注明产品包含加州大学及其贡献者的代码。虽然伯克利收取了 1000 美元的磁带费用，但任何人都可以自由从已获得许可的任何人那里复制代码。实际上，发布不久后，多个大型站点就通过匿名 ftp 提供下载。鉴于代码如此容易获取，CSRG 对数百个组织购买副本以支持进一步开发表示满意。

4.3BSD-Reno

与此同时，基础系统的开发持续进行。其接口最早在 4.2BSD 架构文档中描述的虚拟内存系统终于实现。CSRG 一贯倾向于整合现有代码，而非从头开发。因此，我们没有设计新的虚拟内存系统，而是寻找现有替代方案。首选是 Sun Microsystems 的 SunOS 中的虚拟内存系统。尽管曾讨论过 Sun 向伯克利贡献该代码，但最终未果。于是我们选用了第二方案，即整合卡内基梅隆大学开发的 MACH 操作系统的虚拟内存系统。犹他大学的 Mike Hibler 将 MACH 的核心技术与 4.2BSD 架构手册描述的用户接口（SunOS 也使用此接口）合并。

当时系统的另一个重要新增是兼容 Sun 的网络文件系统（NFS）。同样，CSRG 避免自行编写 NFS 代码，而是采用加拿大圭尔夫大学 Rick Macklem 的实现。

虽然 4.4BSD 的完整功能尚未准备好发布，CSRG 决定做一次中间版本发布，以获得对这两个重大新增功能的更多反馈和经验。这个有授权的中间版本称为 4.3BSD-Reno，于 1990 年初发布。此版本以内华达州赌城雷诺命名，含蓄提醒使用者此中间版本存在一定风险。

Networking, Release 2

在 CSRG 每周小组会议中，Keith Bostic 提出了免费再分发网络发布版的流行度问题，并询问是否有可能推出一个包含更多 BSD 代码的扩展版本。Mike Karels 和我告诉 Bostic，发布系统的大部分代码是一项庞大工程，但我们同意如果他能解决重写数百个工具和庞大 C 库的问题，我们愿意接手内核部分。私下里，Karels 和我都觉得这话题也许就此结束。

然而，Bostic 毫不气馁，开创了基于网络的大规模协作开发模式。他号召大家根据已发布的工具描述，从零开始重写 Unix 工具。参与者唯一的报酬是他们的名字会被列在伯克利贡献者名单中，与所重写工具的名字并列。起初贡献缓慢，大多是些简单工具。但随着完成工具清单的增长，Bostic 在诸如 Usenix 等公共场合持续呼吁贡献，贡献速度加快。不久，工具清单突破一百个，18 个月内几乎所有重要工具和库都被重写完成。

Bostic 怀着自豪感拿着清单来到 Mike Karels 和我办公室，问我们内核进展如何。我们心知任务艰巨，随后数月里，Karels、Bostic 和我逐文件审查整个发行版，剔除所有源自 32/V 版本的代码。最终发现仅剩 6 个内核文件受污染，且无法轻易重写。我们曾考虑重写这 6 个文件以发布完整系统，但最终决定先发布现有成果。发布前，我们向大学管理层高层申请许可，经过内部长时间争论及对专有代码识别方法的核实后，获得了发布许可。

起初我们想为第二个免费再分发版本起一个全新名字，但鉴于大学律师起草和审批新许可协议会浪费资源且延迟发布，决定沿用 Networking Release 1 的许可协议，仅做修订。因此，第二个大幅扩展的免费再分发版本于 1991 年 6 月开始发行。授权条款和费用与第一次网络发布相同，数百个人和组织支付 1000 美元费用从伯克利获取发行版。

从 Networking Release 2 到一个功能完整的系统进展迅速。发行六个月内，Bill Jolitz 编写了那 6 个缺失文件的替代品，迅速发布了基于 386 架构 PC 的完整编译和可启动系统，称为 386/BSD。Jolitz 几乎完全通过网络发布 386/BSD，他将其放在匿名 FTP 上，任何人均可免费下载，数周内获得大量追随者。

不幸的是，Jolitz 因需全职工作，无法投入足够时间维护不断涌入的修复和改进。386/BSD 发布数月后，一群热衷用户成立了 NetBSD 组织，共同维护和改进系统。NetBSD 发行版以网络分发为主，强调支持尽可能多的平台，并延续 CSRG 的研究式开发模式。直至 1998 年，NetBSD 仍仅通过网络分发，无实体介质。该组织主要面向技术深度用户。更多信息可见 *

FreeBSD 团队在 NetBSD 组建数月后成立，专注于 PC 架构，目标用户群较大且技术门槛较低，类似 Linux 的路线。他们开发了复杂的安装脚本，并通过低成本 CD-ROM 发行系统。安装便捷性结合在网络和 Comdex 等大型展会的广泛宣传，使其用户快速增长。目前 FreeBSD 拥有所有基于 Release 2 衍生系统中最大的装机基数。

FreeBSD 还借助 Linux 流行热潮，添加了 Linux 模拟模式，使 Linux 二进制文件能在 FreeBSD 上运行。此功能让用户既能使用日益丰富的 Linux 应用，又能享受 FreeBSD 系统的稳定、可靠和高性能。FreeBSD 团队最近建立了 FreeBSD Mall（*

1990 年代中期，OpenBSD 从 NetBSD 分离出来，专注提升系统安全性，市场策略则是提高易用性和广泛普及。他们开始销售 CD-ROM，借鉴了 FreeBSD 的简易安装理念。更多信息可见

诉讼案

除了那些围绕 Networking Release 2 发行版组建的自由再分发组织外，还有一家公司，Berkeley Software Design, Incorporated（BSDI），成立以开发和发行商业支持版本的代码。（更多关于 BSDI 的信息可见和其他组织一样，他们从 Bill Jolitz 为其 386/BSD 发行版编写的六个缺失文件开始。BSDI 于 1992 年 1 月开始出售包含源码和二进制文件的系统，售价为 995 美元。他们开始投放广告，宣传其价格比 System V 源码加二进制系统低 99%。有兴趣的人被告知拨打电话 1-800-ITS-Unix。

BSDI 开展销售活动不久后，Unix System Laboratories（USL，Unix 系统实验室；AT&T 的主要子公司，负责开发和销售 Unix）寄来一封信，要求他们停止将产品宣传为 Unix，尤其是停止使用误导性的电话号码。尽管 BSDI 立即取消了该电话号并修改广告声明该产品非 Unix，但 USL 仍不满意，并提起诉讼，要求禁止 BSDI 销售其产品。诉讼称 BSDI 产品含有 USL 的专有代码和商业机密。USL 寻求禁令，阻止 BSDI 销售，声称如果发行继续，将导致其商业机密不可弥补的损失。

在禁令的初步听证会上，BSDI 辩称他们仅使用了加州大学免费分发的源码加上六个额外文件，愿意讨论六个文件的内容，但不认为自己应对加州大学发布的文件负责。法官支持 BSDI 的观点，告知 USL 必须仅针对这六个文件重述诉状，否则将驳回。意识到仅凭六个文件难以立案，USL 决定对 BSDI 和加州大学共同提起诉讼，并请求禁止加州大学继续发放 Networking Release 2 及禁止 BSDI 产品发售。

距离禁令听证仅几周，双方紧锣密鼓准备。CSRG 全体成员及几乎所有 BSDI 员工均被传讯作证。律师们来回交换诉状、反诉状及回应。Keith Bostic 和我个人撰写了数百页材料，纳入各类诉状中。

1992 年 12 月，新泽西联邦地区法官 Dickinson R. Debevoise 审理禁令请求。通常法官会立即裁决，但他决定先行评议。六周后的某个周五，他发布了 40 页意见书，驳回禁令请求，撤销除了两项投诉外的全部诉状。剩余两项投诉聚焦于近期版权和商业机密流失的可能性。他建议该案应先在州法院审理，再转至联邦法院。

加州大学接受暗示，于次周一迅速向加州州法院提起反诉，地点的选择确立了后续州法院诉讼的管辖权。宪法法律要求所有州诉讼必须在单一州进行，防止财力雄厚的诉讼方在全美五十州重复起诉对手导致拖垮对方。结果是，如果 USL 要在州法院对大学采取行动，只能在加州，而非其新泽西本州。

大学的诉讼称 USL 未能履行与大学签订的许可协议中关于 BSD 代码在 System V 中使用应给予适当归属的义务。若此指控成立，大学请求 USL 重新印制所有文档，加注适当归属，通知所有许可用户此疏忽，并在《华尔街日报》和《财富》等主要刊物刊登整版广告，告知商界此疏忽。

州法院诉讼提起不久，AT&T 将 USL 出售给了 Novell。Novell CEO Ray Noorda 公开表示更愿意在市场竞争而非法庭竞争。1993 年夏季，和解谈判开始。双方立场僵硬，谈判缓慢。在 Noorda 的推动下，多数难题被克服，1994 年 1 月达成和解。结果是，从组成 Networking Release 2 的 18000 个文件中移除三份文件，并对其他文件做了若干细微修改。此外，大学同意在约 70 个文件中增加 USL 版权声明，但这些文件继续自由再分发。

4.4BSD

新发布的版本被命名为 4.4BSD-Lite，于 1994 年 6 月发布，其许可条款与之前的 Networking 发行版完全相同。具体来说，该条款允许源码和二进制形式的自由再分发，但必须保证加州大学版权完好无损，并且当他人使用代码时必须给予加州大学适当的署名。与此同时，完整系统作为 4.4BSD-Encumbered 同步发布，该版本仍要求接收方持有 USL 源代码许可。

诉讼和解还规定 USL 不得对任何以 4.4BSD-Lite 为基础开发系统的组织提起诉讼。因此，当时所有发行 BSD 系统的组织——BSDI、NetBSD 和 FreeBSD——都必须以 4.4BSD-Lite 的源码为基础重新开始代码开发，并在其基础上合并自己的增强和改进。虽然这种重新整合导致各 BSD 系统开发短期内有所延迟，但这也是因祸得福，因为它强制所有分散的组织与自 Networking Release 2 发布后 CSRG 三年间的开发成果重新同步。

4.4BSD-Lite，第二版

来自 4.4BSD-Encumbered 和 4.4BSD-Lite 发行版的收入被用来资助一个兼职团队，负责整合漏洞修复和功能增强。该工作持续了两年，直到漏洞报告和功能增强的数量逐渐减少。最终的一批改动于 1995 年 6 月以 4.4BSD-Lite，第二版形式发布。这些改动大多数最终也被合并进其他 BSD 系统的源码库。

4.4BSD-Lite 第二版发布后，CSRG 宣告解散。在近二十年领导 BSD 项目的历程后，我们觉得是时候让拥有新思想和无限热情的其他人接手了。虽然集中管理系统开发似乎最理想，但多个组织承担不同任务的方式确保了多种方法得以尝试。由于系统以源码形式发布，最佳方案能被其他组织轻松采纳。如果某个组织表现特别出色，最终可能成为主导的系统。

如今，开源软件运动获得了越来越多关注和尊重。虽然 Linux 系统最为知名，但其捆绑的大约一半实用工具来自 BSD 发行版。Linux 发行版也高度依赖由自由软件基金会编写的编译器、调试器及其他开发工具。总体来看，CSRG、自由软件基金会和 Linux 内核开发者共同打造了开源软件运动的基础平台。我为能参与开源软件运动的开创感到自豪，并期待这一天的到来——开源成为用户和企业开发与购买软件的首选方式。

zfs 速查手册

原文链接：OpenZFS Cheat Sheet
作者：Benedict Reuschling ([email protected])
原发布时间：2025 年 3 月

存储池配置

单个磁盘 无冗余，挂载为 /mypool，无需在 /etc/fstab 中添加条目。

条带（RAID-0） 无冗余，任意一块磁盘损坏都会导致数据全部丢失。性能高，可用容量为所有磁盘总和。

镜像（RAID-1） 可承受一块磁盘损坏，VDEV 在 zpool status 输出中显示为 mirror-0，可并行读取所有磁盘，写入速度较慢，总容量低于 RAID-0。

单奇偶校验（RAID-Z1） 至少需要 3 块磁盘，可承受 1 块磁盘损坏，奇偶校验信息分布在所有磁盘上，读写速度较快，性能相当，容量约为 66%。在 zpool status 输出中显示为 raidz1-0 VDEV。

双奇偶校验（RAID-Z2） 每个 VDEV 可承受 2 块磁盘损坏，比 RAID-Z1 慢，至少需要 4 块磁盘，可用容量约为 50%。

RAID10 至少需要 4 块磁盘，每个 VDEV 可承受 1 块磁盘损坏，读速快，写速为单个磁盘的一半，容量为 50%。是冗余性、容量和性能的良好折中方案。

三奇偶校验（RAID-Z3） 比 RAID-Z2 稍慢，每个 VDEV 可承受 3 块磁盘损坏，至少需要 5 块磁盘，可用容量约为 40%。

显示存储池状态

显示存储池状态【包括磁盘配置、错误信息、适用的更新、上次 scrub 时间（若有）】

显示存储池容量、已用空间和可用空间

显示存储池 I/O 统计信息

选项：

-v 显示各个设备
-w 显示 I/O 延迟
-r 显示请求大小直方图

显示存储池的管理命令历史

选项：

-l 详细格式
-i 仅显示事务组等事件

获取存储池属性及其值，并可使用 zpool set 修改默认值

特殊 VDEV

二级 ARC（L2ARC）

当数据不再适合存储在 ZFS 主内存缓存（ARC：自适应替换缓存）时，L2ARC 充当快速读取缓存。读取请求将由 L2ARC 处理，需使用高速存储设备（如闪存）才能获得显著效果。使用 cache 关键字将设备添加到存储池。

ZFS 意图日志（ZFS intent log, ZIL）

将同步写入转换为异步写入（不影响读取），使应用程序能更快确认数据已写入，类似于数据库事务日志。当写入完成并存储到底层存储介质后，ZIL 将被清除。ZIL 需要快速存储设备，但无需大容量。使用关键字 log 将设备添加到存储池。

备用盘（Spare）

备用盘在替换故障磁盘之前不会参与 I/O 操作，可以由手动操作或外部故障管理软件触发替换。使用关键字 spare 添加备用盘。

存储池扩展

将单磁盘存储池转换为 RAID1

为单磁盘存储池设备 /dev/nda0 添加镜像磁盘 /dev/nda1：

替换故障磁盘

将存储池中的故障磁盘 /dev/nda2 替换为设备 /dev/nda3：

存储池导入/导出

导出存储池

完成 I/O 操作后，从文件系统层次结构中卸载存储池。可在其他系统上导入以恢复存储池状态。

导入存储池

将存储池导入当前系统。

扫描 ZFS 存储池标识
通过 ID 或名称导入存储池
重命名存储池

ZFS 数据集

数据集位于存储池之上，并占用其空间。访问方式如下：mypool/data。每个存储池创建时，都会默认生成一个与其同名的顶级数据集。例如，执行以下命令：

将创建一个名为 test 的存储池和数据集，顶级数据集将挂载为 /test，并可包含子数据集。

创建数据集

创建一个名为 ds 的新数据集，大部分属性继承自父数据集：

创建多个数据集：

显示数据集信息

列出已用空间、可用空间和挂载点

按 ZFS 路径显示数据集

列出数据集及其子数据集

限制显示数据集的层级深度

仅显示数据集名称

移除输出头部

修改显示顺序

按列排序

倒序排列

显示存储池可用空间

列出每个数据集及其子数据集的可用空间和已用空间，包括快照和任何预留空间：

推荐：使用该命令代替 df -h。

重命名数据集

重命名数据集或在存储池层次结构内移动数据集，类似于 Unix mv 命令：

销毁数据集

模拟销毁（不会执行实际删除）：

输出：

执行销毁并显示结果：

输出：

递归销毁数据集及其子数据集：

属性管理

数据集通过继承父数据集的大部分属性来提高灵活性。子数据集可根据需要覆盖这些属性。仅可更改 SOURCE 列中的默认属性，存储池的属性规则相同。

显示属性

多种方式可以查看存储池和数据集的属性：

查看存储池的属性
查看数据集的属性
查看单个属性（容量）

修改属性

禁用访问时间更新（可提高性能）：
更改挂载点：

自定义属性

可为数据集定义自定义属性（key=value），数据集会继承这些属性，但可更改其值。

创建自定义属性：
列出自定义属性：
重置属性值（继承父级值）：

数据完整性检查（Scrub）

ZFS 在数据存储时会计算并存储校验和，覆盖整个数据集层次结构。I/O 错误、驱动故障、内存损坏、损坏的电缆等因素可能导致校验和不匹配。

如果存储池具有足够的冗余（如镜像或 RAID-Z），ZFS 可以检测到这些错误并自动修复（自我修复）。

建议 每月运行一次 Scrub，重新计算校验和。如果发现数据损坏，ZFS 会从冗余 VDEV 获取正确的数据并修正错误。

启动 Scrub：

查看 Scrub 进度和错误信息：

ZFS 无需 fsck，因为 ZFS 自带数据完整性检查机制。

卷（Volumes）

ZFS 卷使用连续的存储池空间，并可通过 iSCSI 在网络上导出。当使用非 ZFS 文件系统格式化卷时，该文件系统仍可自动利用 ZFS 的底层功能。

创建卷

创建一个 10GB 的 ZFS 卷：

创建稀疏卷（Sparse Volume）

稀疏卷是 超分配 的卷，不会立即占用预留空间，而是随着数据的增长逐步填充。

创建一个 1PB（1 PB）稀疏卷：

配额（Quota）

每个数据集默认可以使用整个存储池的空间。配额用于限制数据集的最大存储量。ZFS 严格执行配额限制，任何超出配额的写入都会被阻止。

定义配额

ZFS 默认无配额。可使用 zfs set 命令为特定数据集设置配额：

该配额适用于该数据集及其子数据集（包括未来创建的子数据集）。这些数据集共享配额总量。

如果仅想限制 父数据集本身，不影响子数据集，则使用 refquota：

用户和组配额

限制特定用户的存储空间：
限制某个用户组的存储空间：

显示配额信息

查询数据集的配额：
查询 refquota：
查询用户配额：

移除配额

将数据集的配额取消（refquota 也同样适用）：

预留空间（Reservation）

预留（Reservation）确保存储池中一定量的空间始终可用，不受其他数据集占用。这减少了存储池的可用空间，但可以防止单个数据集占满整个池，有助于容量规划。

定义预留空间

使用 reservation 属性设置数据集的预留空间：

预留空间 会被子数据集继承。如果只想对该数据集本身生效，而不影响子数据集，则使用 refreservation：

显示预留空间

查看数据集的预留空间：
查看 USEDREFRESERV 列中的预留空间：

移除预留空间

将 reservation 或 refreservation 设为 none：

快照（Snapshots）

快照提供了一种 快速保存数据集只读状态 的方法，可用于恢复数据集到特定时间点的状态。无需回滚整个快照，也可以单独恢复其中的文件。

ZFS 通过 .zfs 目录提供只读访问，可从快照中读取文件。

创建快照

创建快照：
简写命令：
递归创建快照（包含所有子数据集）：

显示快照

列出所有快照：
列出数据集及其所有子数据集的快照：

显示自上次快照以来的写入数据量

written 属性显示自上次快照以来写入的数据量。
配合 used 和 referenced 属性可以直观查看存储池空间使用情况：

比较快照

使用 zfs diff 比较当前数据集与某个快照之间的更改：

输出说明：

符号

说明

对比 两个快照 之间的更改：

快照回滚（Snapshot Rollback）

回滚操作会 丢弃当前数据集的状态，恢复到指定快照的状态。所有在该快照之后创建的数据 都会被删除。

如果要回滚到更早的快照，必须先使用选项 -r 删除所有中间快照：

挂载快照（Snapshot Mounting）

可将快照 以只读方式 挂载到文件系统：

删除快照（Snapshot Deletion）

模拟删除（Dry Run）

建议先执行 模拟删除（选项 -n）查看即将删除的内容，配合 -v 显示详细信息：

如果确认无误，去掉 -n 选项执行删除：

递归删除快照

删除指定快照及其所有子快照：

删除快照范围（Delete Range）

假设快照列表如下：

删除快照 @b 至 @d（含 @d）：
删除 @b 及其后所有快照：

快照保护（ZFS Holds）

ZFS 能为快照创建 保护标记（tag），被标记的快照不能删除。可以对一个快照添加多个保护标记，只有 所有标记都被移除 后，快照才可以删除。

创建快照保护（Hold）

递归列出快照的所有 Holds

解除快照保护（Release Hold）

克隆（Clones）

克隆是 可写的快照副本，创建的克隆数据集 包含原快照的所有数据。

创建克隆

克隆数据集的 origin 属性指向其 来源快照：

解除克隆对原快照的依赖（Promote Clone）

ZFS 不允许删除 有依赖克隆的快照。要删除原快照，必须 先提升克隆为独立数据集（promote）：

此时：

origin 属性消失
该快照成为克隆的新基础
原快照可安全删除

删除克隆（Clone Removal）

可像删除普通数据集一样删除克隆：

加密（Encryption）

ZFS 支持数据集加密，每个数据集可以有独立的密钥。一些元数据仍然保持未加密状态，以便执行 scrub 等操作。

创建加密数据集（Create Encrypted Dataset）

设置数据集的加密密码：

查看加密状态（Load Status）

获取密钥状态：

加载密钥（Load Key）

解锁数据集：

权限委派（Delegation）

ZFS 允许将 ZFS 命令的权限 委派给非 root 用户。

授权用户（Delegate Permission to User）

授予用户 joe 对 atime 属性的修改权限：

查看现有权限（Display Delegations）

撤销用户权限（Remove Delegation）

移除 joe 的 compression 权限：

授权给用户组（Delegate Permission to Group）

授予 mygroup 组 atime 属性权限：

允许用户委派权限（Delegate Permission to Delegate）

授予 jill 允许其他用户管理数据集权限的权限：

创建权限集合（Create a Set of Permissions）

创建权限集合 @myset，包含 mount、snapshot、rollback 和 destroy 权限：

应用权限集合（Use Permission Set for Delegations）

将 @myset 赋予用户 jill：

快照发送与接收（Sending and Receiving Snapshots）

ZFS 能以字节流的方式 本地和通过网络传输快照，可用于备份。

将快照写入文件（Write Snapshot to a File）

要恢复快照，可使用 zfs receive，并通过 -v 选项显示详细信息：

从快照创建数据集（Create Dataset from Snapshot）

显示传输详细信息：

不使用中间文件进行复制（Replication Without Intermediary File）

直接通过管道传输快照数据：

通过 SSH 复制（Replication via SSH）

使用 SSH 传输快照到另一台主机的 ZFS 池：

权限管理（Send and Receive Permissions）

发送权限（Send Permissions）

允许 sender 用户发送数据集：

接收权限（Receive Permissions）

接收方 receiver 需要额外的权限：

利用 FreeBSD Capsicum 框架实现程序沙箱化

原文：Sandbox Your Program Using FreeBSD's Capsicum
作者：Jake Freeland
发布日期：2023 年 9 月 1 日

当今时代，数据泄露的平均成本高达四百余万美元，令人惊讶的是，只有 51% 的公司计划增加安全投资^1^。这一数字很可能归因于实施健全安全解决方案所需的高昂成本。

许多安全框架都非常复杂。Capsicum 的独特之处在于其简洁性。开发者能相对容易地将 Capsicum 集成到程序中，从而在保护应用的同时降低高昂的实施成本。

本文展示了 Capsicum 的功能，并撰写了将该框架集成到新旧程序中的完整指南。

Capsicum

Capsicum 是款轻量级的安全框架，提供了用于限制程序能力的原语。更具体地说，Capsicum 能让开发者将其程序隔离到安全沙箱中。该框架基于最小特权原则设计，程序仅能访问其运行所需的资源。

能力沙箱

在支持 Capsicum 的系统上，程序能使用 cap_enter(2) 进入沙箱：

注意
为简洁起见，本文档中的代码片段省略了错误处理。实际使用时，应在适当位置加入错误处理。

不用链接额外的库；对 Capsicum 的支持已内置于标准 C 库（libc）。

Capsicum 能让开发者通过能力模式将程序沙箱化。在程序调用 cap_enter(2) 进入能力模式后，程序将无法自行获取新的资源。例如，使用 open(2) 打开文件会触发能力违规，造成函数调用失败，并将 errno 设置为 ECAPMODE（译者注：特定错误码）：这在能力模式下不被允许。

一种对程序进行 Capsicum 化的方法是在进入能力模式之前就打开好全部资源。程序事先拥有的资源能在沙箱中继续使用。

若程序需要访问某子目录域中数量未知的资源，则可以使用 openat(2)、mkdirat(2)、bindat(2) 等 *at() 系统调用。这些函数需要额外的描述符参数，用作相对引用点来打开新资源。

在这个例子中，dirfd 是在进入能力模式之前获取的。若程序进入能力模式，dirfd 就能作为相对参考点访问 home/jfree/foo。无法访问相对引用所提供子目录域之外的资源。

该 openat(2) 调用会失败，因为 ../beastie 路径指向的目录不在 dirfd 提供的目录层级之内。

进程间通信同样受到限制。进入能力模式的进程无法向其他进程发送信号，命名共享内存对象亦被禁止。某些系统接口完全不可用，如 reboot(2) 和 kldload(2)。不过，这些限制都有相应的解决方法。

沙箱化的分区

预先打开资源对那些资源需求可预测的程序非常有效，但有些程序需要按需访问资源。在这种情况下，开发者可选择仅对程序的特定部分进行沙箱化。

如果无法在沙箱中运行完整的程序，那么可以将其隔离分区（compartmentalization）。隔离分区的做法是把一款程序拆分成多个分区，每个分区承担自身的基本任务。通过隔离分区架构，开发者可以将受信任的代码保留在沙箱之外，而将不安全或危险的代码隔离到沙箱中的分区。如果危险代码中发现了安全漏洞，将被隔离。

Capsicum 为程序的特定部分提供了直观的沙箱接口。程序能在任意时刻派生一个新的子进程，并在能力模式下执行危险代码。诸如管道和套接字这样的进程间通信原语可用于数据交换，而不会触发能力违规。

父进程可在沙箱之外运行，而子进程在隔离环境中执行危险代码。若程序已经实现了隔离分区，开发者可以从沙箱化每个分区开始。大多数分区可能需要针对能力模式进行一些重构，但开发者可以自行选择哪些部分需要沙箱化。若正确实施，相较于对整个程序进行沙箱化，这种方式工作量更少，但安全性有大幅提升。

使用 libcasper(3) 请求资源

有些程序在设计时并未考虑隔离分区。开发者可以重新架构这些软件，但这通常需要大量时间和资源。幸运的是，库 libcasper(3) 为那些隔离分区无效的复杂程序提供了帮助。开发者可以利用 libcasper(3) 提供的接口在能力沙箱中获取新资源。

使用 Casper 服务

在程序进入能力模式之前，可以与某 casper 服务建立通信通道。Casper 服务是运行在能力沙箱之外的进程，与调用进程并行运行。建立的通信通道可用于向 casper 服务请求新资源。

注意
必须在进入能力模式之前就打开 libcasper(3) 通道，否则 casper 进程会继承父进程的沙箱。

库 cap_net(3) 利用 libcasper(3) 提供了支持能力模式的 libc 网络函数，否则这些函数会因 ECAPMODE 而失败。通过 libcasper(3) 接口的函数通常以 cap_ 前缀命名，以表明它们能在能力模式下成功执行。类似于 cap_net(3) 的其他 casper 服务库也存在，并提供以 cap_ 为前缀的 libc 函数。可在 libcasper(3) 手册页中找到完整列表。

如果程序支持在没有 libcasper(3) 的情况下构建，开发者依然可以使用 cap_ 函数，而无需用 #ifdef WITH_CASPER 包装。大多数 casper 服务将其 cap_ 函数定义为宏，当 WITH_CASPER 未定义时会替换为非 cap_ 的形式。

创建 Casper 服务

Casper 服务库很好地隐藏了接口 libcasper(3)，使程序开发者无需直接与其交互。但有时程序需要访问现有 casper 服务库未提供的资源，这种情况下开发者可以自行创建 libcasper(3) 服务。

所有 libcasper(3) 服务都基于 CREATE_SERVICE(3) 宏：

所有参数都很重要，其中 command_func 函数指针尤为值得关注，因为它是服务的主例程。当通过 cap_service_open(3) 打开服务时，服务会等待命令。待接收到命令，就会传递给 command_func 的 cmd 参数。

大多数 command_func 会将传入的 cmd 字符串与一组字面量比较，若匹配则调用对应函数。Casper 服务运行在能力沙箱之外，因此在 command_func 内调用的所有函数都会以环境权限（ambient authority）执行，这意味着它们可以随意获取新资源。

可以使用函数在程序和 casper 服务之间 cap_xfer_nvlist(3) 交换资源。命令字符串和相关资源必须先封装进 nvlist(9)，再传输给服务。Nvlist 可存储数字、字符串、二进制、描述符以及其他 nvlists。每个资源都必须配有一个标识名，用于检索。

cap_xfer_nvlist(3) 函数会将 nvl nvlist 发送到与 chan 绑定的 casper 服务。待 nvlist 到达 casper 服务，命令字符串会被提取并传入服务的 command_func。

回顾 net_command() 中的片段：

cap_bind() 发送了 "bind" 命令字符串，因此该 strcmp() 条件成立并调用 net_bind()。

当 bind(2) 成功时，套接字必须被传回能力沙箱。nvlist_move_descriptor(9) 函数会将套接字描述符移入 nvlout nvlist，并接管该描述符的所有权。

回顾 cap_bind() 中的片段：

cap_xfer_nvlist(9) 的返回值是 nvlout nvlist，它持有已绑定的套接字描述符。可以通过 nvlist_get_descriptor(nvl, "sockfd") 从返回的 nvlist 中获取该描述符。

限制 Casper 服务

Casper 服务提供的接口通常过于宽泛。在使用 cap_net(3) 时，你可能仅需要服务提供的部分函数。大多数服务库会定义自己的限制机制，使开发者可以禁用程序不需要的函数。

每个服务库都提供不同的限制机制。由于使用模式过多，建议开发者查阅各服务库的手册以获取详细信息和示例。

为 Casper 服务创建限制

开发者可以在 CREATE_SERVICE(3) 中指定 limit_func 函数指针以限制服务接口。当程序调用 cap_limit_set(3) 时，提供的 limits 会被重定向到 casper 服务的 limit_func 中，并相应应用。该机制的灵活性允许服务对其接口进行精细限制。

大多数服务库会为 cap_limit_set(3) 提供包装函数，并使用自定义的 _limit_t 类型。该类型由服务库定义，用于跟踪服务特定的限制。

随着限制的细化，实现可能很快变得复杂。像 cap_net(3) 这样的服务提供了对接口的广泛控制，因此其限制函数需要处理所有边界情况。快速查看 cap_net(3) 的限制函数可以发现，为不同的“限制模式”实现了单独的验证函数，以确保限制被正确应用和执行。

限制函数依赖于其所限制的服务，因此没有统一的编写模式。想要为 casper 服务创建限制的开发者应参考 FreeBSD 源码中 lib/libcasper/services 的系统服务库示例。

回顾：Casper 服务的组成部分

casper 服务由以下四个主要部分组成：

以 cap_ 为前缀的函数，通过 cap_xfer_nvlist(3) 向 casper 服务发送命令；
在沙箱外执行命令相关代码并返回新资源的 command_func；
限制服务用途的 limit_func

虽然在技术上可以创建返回任意命名资源的 casper 服务，但这会破坏将程序隔离到沙箱的目的。设计良好的 casper 服务接口应当有限且受约束，避免被利用。

检测违规

当程序进入能力模式时，它是否遵循沙箱规则并不总是显而易见。尝试打开受限资源的函数会触发能力违规，并返回 errno = ECAPMODE。即便有适当的错误检查，排查违规也可能耗时。好在 ktrace(2) 内核跟踪工具能帮助发现违规。

通常，程序必须进入能力模式才会报告违规，但 ktrace(2) 能在程序 未进入 能力模式前记录违规。这意味着开发者能在不修改程序的情况下运行违规跟踪，查看违规发生的位置。由于程序未真正进入能力模式，它依然会获取资源并正常执行。

在程序开头添加以下两行即可启用违规跟踪：

这段代码创建了 ktrace(2) 的输出文件，并指定 KTRFAC_CAPFAIL 跟踪点以记录能力失败。

注意
ktrace(2) 手册页对系统调用的使用有详细说明。启用其他跟踪点（如 KTRFAC_NAMEI 记录文件名查找）有助于定位文件系统违规的来源。

下面的 cap_violate 例程试图触发 ktrace(2) 可捕获的所有违规。无需理解其具体做了什么，只需知道它能触发违规就可以了。

若进程被跟踪，跟踪数据会一直记录，直到进程退出或清除跟踪点。此时可以使用 kdump(2) 将 ktrace(2) 的转储转换为可读格式。

cap_violate 程序中的每次违规都会在 kdump(1) 输出中生成一条 CAP 记录。开发者可利用这些输出定位并替换触发违规的代码。

大多数实际程序应尽量避免违规，而不是像 cap_violate 那样触发它们。下面的 kdump(1) 输出展示了在启用 KTRFAC_CAPFAIL 与 KTRFAC_NAMEI 跟踪点后，使用 unzip(1) 解压归档文件（未进行 Capsicum 化）时的结果。

这类输出更接近开发者在自己程序中会看到的情况。unzip(2) 正在重建 zip 文件中的目录结构。所有 open(2)、fstat(2) 和 mkdir(2) 调用都被 libc 隐式转换为带 AT_FDCWD 的 *at() 变体。由于 AT_FDCWD 在能力模式下不可用，因此触发违规。这类问题可通过在进入能力模式前打开一个当前目录描述符（等价于 AT_FDCWD），并将其传递给 openat(2)、fstatat(2) 和 mkdirat(2) 来规避。

注意
在能力模式下违规总会返回错误，但在跟踪过程中不会被当作错误，因此程序行为可能不同。

违规跟踪是开发者工具箱中的一项实用工具。只需几秒钟即可用 ktrace(2) 运行程序，其结果几乎总能作为使用 Capsicum 沙箱化程序的良好开始。

能力 (Capabilities)

尽管名称相似，能力模式 (capability mode) 和能力 (capabilities) 是不同的内核原语。

能力模式是 Capsicum 实现的安全沙箱。
能力是拥有权限的文件描述符。

如果用户想要对某项能力描述符执行 read(2)，则该描述符必须拥有 CAP_READ 权限。如果用户想要对某个套接字能力描述符执行 bind(2)，则该描述符必须拥有 CAP_BIND 权限。几乎所有描述符操作都有细粒度的权限；完整列表见手册页 rights(4)。

当使用 open(2)、socket(2) 等创建文件描述符时，它会被赋予完整的能力集。可以使用 cap_rights_limit(2) 函数限制描述符的能力。

能力的设计原则是最小化权限。只要描述符的权限被限制，它就不应执行超出权限的操作。描述符的权限始终可以被限制，但不能被提升。

在对程序进行沙箱化过于严格的情况下，开发者可以选择限制能力描述符。能力提供了对允许操作的精细控制，但使用这种保护的程序易受到人为疏忽的影响。如果开发者忘记限制某项能力，就可能引入恶意代码滥用的风险。

想要最大化安全性的开发者可以在能力模式下结合使用能力。能力提供了能力模式本身不具备的细粒度功能。例如，仅允许描述符进行 read(2) 操作，这是能力可以做到的，但能力模式不能。

使用 Capsicum 提升安全性

和的设计初衷都是为了让程序更安全。能力模式通过将程序与系统其余部分隔离提供了确定的安全性。能力则提供了一种更灵活但不如前者严格的方式来限制程序权限。只要正确集成其中任意一种原语，开发者就能确信，他们的程序比在引入 Capsicum 前更加安全。

参考资料

. IBM Corporation. 2023-07-24. Retrieved 2023-08-31.

选择 FreeBSD 而非 GNU/Linux 的技术性原因

原文：https://unixsheikh.com/articles/technical-reasons-to-choose-freebsd-over-linux.html
最后更新日期：2023-10-27

在我的主工作站和所有服务器上都将 FreeBSD 作为日常使用的操作系统，自 1999 年起我就一直在使用 FreeBSD，因为我认为它是“一款了不起的操作系统”。在本文中，我将讨论选择 FreeBSD 而非 GNU/Linux 发行版的若干技术原因。

完整的操作系统

在 FreeBSD 上，你会立刻注意到，你面对的是“完整的操作系统”。所有不同的组件都是统一开发的。这意味着，如果一款组件的变动会影响整个系统，开发者可以更容易地在实施变更前考虑整体情况，并进一步规划和开发受影响的组件。BSD 内核、init 系统、用户空间工具、Ports 和包管理器，所有这些都是由项目成员开发并集成到一款系统中。例如，FreeBSD 上的命令（参见 ZFS ARC Stats 部分）就整合了 ZFS （自适应替换缓存）的信息。

内核和基本系统与第三方应用完全分离。基本系统配置放在 /etc，而所有第三方配置放在 /usr/local/etc。你可以配置和调优的一切内容，都在 man 手册中有详细记录。

你拥有从 rc 工具（由调用以控制自动启动过程的命令脚本）、、内核管理工具，到所有不同的等功能，这一切都被很好地整合和文档记载。

因为 FreeBSD 是完整的操作系统，而不是像 Linux 发行版那样“拼凑”而成，一切设计得井井有条，基于多年的经验，并且当系统发生变化时，这些变化对整个社区都是有利的，同时参考了大量真实的使用案例和行业问题反馈。

作为对比，我最喜欢的 Linux 发行版之一 Debian GNU/Linux 有其特定的。Debian 方式代表了一套特定的配置管理工具和补丁，使第三方软件符合 Debian 的设置方式。虽然在某种程度上这可以统一 Debian 中的操作方法，但它不幸地破坏了上游配置，这可能会带来很大困扰。尤其是在某些功能无法正常工作，或者上游文档与 Debian 的实际设置不匹配时，这种问题尤其突出。另一个问题是，一些第三方软件，甚至 Debian 的核心组件，如 systemd，无法完全按照“Debian 方式”来处理。结果就是操作系统中有些部分运行“Debian 方式”，而有些部分则不是。Debian GNU/Linux 已经整合了 systemd，但同时默认网络部分仍是 Debian 特有的。有时你必须禁用并移除 Debian 特有的配置，才能让 systemd 的功能正常工作。这一切都源于由许多不同项目的不匹配组件拼凑而成的系统。

另一方面，我同样喜欢的 Linux 发行版 Arch Linux 希望第三方软件保持上游状态，除非绝对必要，否则不做修改。这很好，因为上游文档与软件保持一致。然而，这虽然有助于改善整体系统管理，但事实仍然是 Linux 内核、用户空间工具以及其他所有组件都是由不同实体开发的。完全不同项目之间的冲突，例如 Linux 内核与 systemd 开发者之间的冲突，可能会导致操作系统无法正常运行。而 FreeBSD 不会出现这种问题，因为它是完整的操作系统。

我从不喜欢的 Ubuntu Linux 发行版则更糟。由于它基于“Debian unstable”，运行了大量 Debian 工具和配置，但同时又有“Ubuntu 方式”，在 Debian 基础上做了修改。除此之外，还在其上增加了一层 GUI，也就是所谓的用户改进工具层，有时会导致 Ubuntu 出现难以理解的崩溃问题。

文档

有些人认为文档不是使用某项技术的技术理由之一，但文档应被视为其所述技术的组成部分。粗劣的文档、过时的文档以及缺失的文档都应被视为一种 Bug。

FreeBSD 的文档随系统一同分发，因此你不必去网上搜索。基本系统的 man 手册质量极高，专为 FreeBSD 编写，你大多数所需的信息都可以在系统中直接找到。

FreeBSD 还有，覆盖了从安装到日常使用的各个方面。安装时也可以将手册本地安装。手册偶尔会有一些过时的章节，因为它是众多个人持续工作的成果，但总体来说，手册是定期更新且编写良好的。

安全

通常被攻破的不是操作系统本身，而是运行在操作系统上的程序。在某些情况下，被攻破的程序可能与操作系统交互，从而影响操作系统的安全。保障操作系统安全意味着你要确保计算机资源仅被授权人员用于授权用途。

FreeBSD 默认配置是为了性能优化，而不像 OpenBSD 那样默认安全，但 FreeBSD 提供了许多工具和选项，帮助你保护系统免受攻击者侵害。

在本文中无法提供 FreeBSD 安全选项和可用功能的详尽列表，因为安全主题本身足以写成一本书。

不过，我可以提及几项关键内容。

安全性安装时选项

在安装 FreeBSD 时，安装程序提供了一组可启用或禁用的选项：

隐藏其他用户 ID（UID）的进程
隐藏其他组 ID（GID）的进程
隐藏 jail 内的进程

FreeBSD 其他大部分内核级安全设置都可通过 sysctl security.bsd 访问，而且每隔几个月还会增加新的选项。你可以运行命令 sysctl -d security.bsd 来显示你当前 FreeBSD 安装中可用的选项。

漏洞统计

下面是 FreeBSD 与 Linux 的漏洞统计列表。FreeBSD 漏洞数量通常较少，这并不一定意味着 FreeBSD 比 Linux 更安全（尽管我认为它确实更安全），也可能是因为 Linux 的用户和开发者更多、关注度更高。然而，大多数 Linux 发行版的攻击面通常比 FreeBSD 要大得多。

有关具体漏洞的详细信息，可以访问 CVE Details 网站查看和的数据。

稳定性

FreeBSD 拥有出色的工程与版本管理实践。FreeBSD 从创意产生到公开发布经历多个步骤：

当有人提出新想法并进行开发时，首先会经过同行技术审查。
然后进入“current”分支进行集成测试，根据复杂性或潜在影响，进入“stable”分支的迁移窗口会做相应调整。
接着进入“stable”分支，供更广泛的用户群测试，这通常也是 Beta 测试阶段，并有更广泛的社区参与。

会发布软件补丁以修复漏洞和缺陷。

这些步骤使 FreeBSD 成为非常可靠且稳健的操作系统。

Ports 数据集

是工程学上的一项惊人成就。NetBSD 的和 OpenBSD 的都起源于 FreeBSD 的 Ports 系统。

虽然 FreeBSD 也提供二进制包（就像 Debian Linux、Arch Linux 一样），由包管理器处理，但 FreeBSD 还可以从源码编译软件，并能让用户在编译时进行个性化配置。Arch Linux 的实际上在很大程度上受 FreeBSD Ports 系统启发。然而，在 FreeBSD Ports 系统中，你可以在 make 过程中选择最相关的编译选项，而在 Arch Linux 上，你通常需要手动编辑和修改包维护者提供的脚本（基本上默认设置是必须接受的）。

FreeBSD Ports 数据集使用来自动化软件的编译、安装和卸载过程，通过 make 命令实现。组成单个 port 的文件包含了自动下载、解压、打补丁、配置、编译和安装应用所需的所有信息，在执行如 make install 或 make install clean 之类的初始命令后，几乎无需用户干预。如果该 port 依赖其他应用或库，它们会在安装前自动处理。

大多数 port 配置了一套默认选项，这些选项被认为适合大多数用户。然而，Ports 系统的重大优势在于，你可以在安装前通过 make config 命令更改这些配置选项。该命令会弹出一个基于文本的界面，能让用户选择所需选项。

截至本文发布时，Ports 数据集中可用的 port 已 30,000 余款。

滚动更新的第三方包

关于第三方包，你可以选择两个不同的分支：一个叫“quarterly”，另一个叫“latest”。

Quarterly 是从版本系统的 HEAD 分支在每年季度初（1 月、4 月、7 月和 10 月）截取的 Ports 分支的名称，也是由这些分支生成的二进制包集的名称。

Quarterly 分支为用户提供了更可预测、更稳定的 port 和包的安装与升级体验。这主要是通过只允许上游的非功能性更新来实现的。Quarterly 分支旨在接收安全修复，但也可能包含版本更新，或者回移的提交、错误修复以及 Ports 兼容性或框架更改——这取决于上游的操作。

然而，如果你选择“latest”分支，FreeBSD 在第三方包方面将成为滚动更新发行（rolling release），类似于 Arch Linux，从而获得最前沿的软件。

Poudriere

Poudriere 是一个用于创建和测试 FreeBSD 包的工具。它利用系统来搭建隔离的编译环境。这些 jail 可用于为任何版本的 FreeBSD 构建二进制包。待包构建完成，它们的布局与官方镜像完全一致。这些包可被 FreeBSD 的 pkg 二进制包管理工具使用。

使用 Poudriere，你可以轻松地构建并设置自己的二进制包仓库，其中的包完全按照你的规格和需求进行构建。

Poudriere 可以处理整个 ports 树的批量构建、ports 树的特定子集，或者包括依赖的单个 port。它会自动构建包、生成构建日志文件、提供签名的 pkg 仓库，并支持在向 FreeBSD bug 跟踪系统提交补丁前测试 port 构建，还可以使用不同选项测试不同构建。Poudriere 在干净的 jail 环境中执行构建，可以使用 zfs 特定功能。这意味着不会污染宿主环境，不会留下文件，也不会意外删除或更改现有配置文件。

Poudriere 设置和使用都非常直接，因为它没有依赖，并且可以在任何受支持的 FreeBSD 版本上运行。

ZFS

与 Linux 不同，文件系统在 FreeBSD 上是一等公民。这不仅意味着可以将根文件系统安装在 ZFS 上，并且安装程序开箱即支持这一功能，还意味着许多基本系统工具已经紧密集成并支持 ZFS。在 FreeBSD 上运行 ZFS 与在 Linux 上运行 ZFS 非常不同。在 FreeBSD 上，你可以获得更多专门用于调查 ZFS 性能问题或其他相关问题的工具。

ZFS 的一些重要特性包括：

为长期数据存储而设计，可无限扩展的数据存储规模，保证零数据丢失，并具有高度可配置性。
对所有数据和元数据进行分层校验，确保整个存储系统在使用时可以被验证，确认数据正确存储，或在数据损坏时进行修复。校验和存储在块的父块中，而非存储在块本身中。这与许多文件系统形成对比，后者的校验和（如果存在）与数据存储在一起，如果数据丢失或损坏，校验和也可能丢失或不正确。
可以存储用户指定数量的数据或元数据副本，或选择性的数据类型，以提高从重要文件和结构的数据损坏中恢复的能力。

当然，在 Linux 上使用 ZFS 也能获得这些功能。然而，有一个很大的区别：没有任何 Linux 发行版能接近 FreeBSD 对 ZFS 的集成水平。

启动环境

由于与 ZFS 的紧密集成，FreeBSD 还支持启动环境（Boot Environments）。通过启动环境，你可以安装多个核心操作系统版本，并选择启动哪个。因此，启动环境就是工作系统的可启动克隆或快照。借助启动环境，你可以执行“无忧升级”或系统更改，无需担心破坏系统，因为你随时可以回滚并舍弃修改。

这也意味着你可以在新的 ZFS 启动环境中更新 FreeBSD 系统，而无需接触正在运行的系统。你还可以在 FreeBSD Jail 内进行升级并测试结果，甚至可以将 ZFS 启动环境复制或迁移到另一台机器上。

FreeBSD 提供了工具，使管理启动环境变得简单。

BSD init

FreeBSD 使用传统的 BSD 风格。在 BSD 风格 init 中，没有运行级别（run-levels），/etc/inittab 文件也不存在。相反，启动由脚本控制。

/etc/rc.d/ 中的脚本用于基本系统自带的应用程序，如 cron、sshd、syslog 等。/usr/local/etc/rc.d/ 中的脚本用于用户安装的第三方应用程序，如 NGINX 或 Postfix。

如前所述，由于 FreeBSD 是作为完整操作系统开发的，用户安装的第三方应用程序不属于基本系统。第三方应用程序通过包或 ports 安装。为了与基本系统保持分离，用户安装的应用程序会安装在 /usr/local/ 下。因此，用户安装的可执行文件位于 /usr/local/bin/，而配置文件位于 /usr/local/etc/。

在 BSD init 系统中，启用服务的方法是向 /etc/rc.conf 添加服务条目。默认设置位于 /etc/defaults/rc.conf，而 /etc/rc.conf 中的设置会覆盖默认值。

例如，以下条目在 /etc/rc.conf 中启用 sshd：

你可以手动添加该条目，也可以运行：

这将自动编辑 /etc/rc.conf 并添加该条目。

你也可以手动启动服务，方法是：

如果某个服务尚未启用，但你仍然想启动它，可以通过命令行使用以下命令启动：

你能在上阅读更多关于 init 系统的内容。

Jail

FreeBSD 的系统是另一项了不起的工程成就。

Jails 于 2000 年 3 月 14 日在 FreeBSD 4.0 版本中引入。

FreeBSD jail 是一种，它能让你在多个独立的迷你系统（称为 jail）中安装基于 FreeBSD 的系统。运行在 jail 中的系统共享相同的内核和系统资源，因此开销非常小。

FreeBSD jail 的需求来源于一个小型共享环境托管提供商（R&D Associates, Inc. 的所有者 Derrick T. Woolworth）希望在其自身服务和客户服务之间建立清晰的分离，主要是为了安全性和便于管理。解决方案由开发，它不是通过增加新的精细配置选项层，而是将系统（包括文件和资源）进行隔离，使只有正确的人才能访问正确的隔间。

通过 FreeBSD jail，可以创建各种虚拟机，每个虚拟机都有自己安装的工具集和配置。这提供了一种安全的方式来测试软件。例如，可以在不同的 jail 中运行不同版本或尝试不同配置的 Web 服务器包。由于 jail 的范围有限，即使 jail 内的超级用户配置错误或操作失误，也不会危及系统的其他部分的完整性。因为 jail 外部的内容没有被修改，所以可以通过删除 jail 中的目录树副本来丢弃更改。

然而，FreeBSD jail 并不实现真正的虚拟化；它无法让虚拟机运行与基本系统不同版本的内核。

FreeBSD jail 是提高服务器安全性的有效方式，因为它通过隔离 jail 环境与系统其他部分（其他 jail 和基本系统）来实现安全隔离。

Bastille

是一款开源系统，用于在 FreeBSD 上自动化部署和管理容器化应用程序。

Bastille 使用 FreeBSD jail 作为容器平台，并添加了模板自动化功能，以创建类似 Docker 的容器化软件集合。

模板负责安装、配置、启用和启动软件，提供了一种自动化构建容器化堆栈的方法。

Capsicum

Capsicum 是由开发的沙箱框架，由谷歌、FreeBSD 基金会和美国国防高级研究计划局提供资助支持。

Capsicum 扩展了 POSIX API，提供了多个新的操作系统原语，以在类 UNIX 系统上支持对象能力安全：

Capabilities —— 精细化的文件描述符，带有细粒度权限
Capability mode —— 进程沙箱，拒绝访问全局命名空间
Process descriptors —— 面向能力的进程 ID 替代

FreeBSD 上的 Capsicum 由 Robert Watson 和 Jonathan Anderson 开发，自 FreeBSD 10.0 起即开箱可用。FreeBSD 实现的 Capsicum 是参考实现，不仅作为 Capsicum API 和语义的参考，还为移植到其他平台的 ports（例如 Linux 和 DragonFlyBSD 的 Capsicum）提供了起点源码。

更多关于 FreeBSD 上 Capsicum 的信息，请参见：

（PDF）
（YouTube）

DTrace

是一款全面的动态追踪框架，移植自 Solaris。DTrace 提供了强大的基础设施，使管理员、开发人员和服务人员能够简明地回答关于操作系统和用户程序行为的任意问题。

DTrace 可以提供运行系统的全局概览，例如活跃进程使用的内存、CPU 时间、文件系统和网络资源。DTrace 还可以提供细粒度信息，例如某个函数调用时的参数日志，或者访问特定文件的进程列表。

更多 DTrace 使用信息请参见和。

bhyve

是 FreeBSD 原生的虚拟机管理程序（hypervisor），用于在虚拟机中运行客户操作系统。可以通过命令行参数指定虚拟 CPU 数量、客户机内存大小以及 I/O 连接等参数。

bhyve 支持多种客户操作系统的虚拟化，包括 FreeBSD 9 及以上版本、OpenBSD、NetBSD、Linux、illumos、DragonFly、Windows Vista 及更高版本，以及 Windows Server 2008 及更高版本。目前的开发工作旨在扩大对 x86-64 架构下其他操作系统的支持。

bhyve hypervisor 自 FreeBSD 10.0-RELEASE 起成为基本系统的一部分。

bhyve 需要处理器支持英特尔扩展页表（EPT）或 AMD 快速虚拟化索引（RVI）或嵌套页表（NPT）。托管 Linux 客户机或具有多个 vCPU 的 FreeBSD 客户机需要支持 VMX 无限制模式（UG）。较新的处理器，尤其是英特尔酷睿 i3/i5/i7 和英特尔至强 E3/E5/E7 系列，支持这些功能。UG 支持从 Intel 的 Westmere 微架构开始引入。

防火墙

FreeBSD 强调自由选择，因此基本系统内置了三种不同的防火墙：PF、IPFW 和 IPFILTER（也称为 IPF）。

自 FreeBSD 5.3 起，OpenBSD 的 PF 防火墙的移植版本已作为基本系统的集成部分分发。PF 是款功能完整的防火墙，支持可选的 ALTQ（Alternate Queuing）以实现服务质量（QoS）。PF 的过滤语法类似于 IPF，但经过一些修改以提高清晰度。网络地址转换（NAT）和服务质量（QoS）已集成到 PF 中，其中 QoS 通过导入 ALTQ 排队软件并与 PF 配置关联实现。PF 还扩展了诸如 pfsync 和 CARP（用于故障切换和冗余）、authpf（会话认证）以及 ftp-proxy（简化复杂的 FTP 防火墙设置）等功能。此外，PF 支持对称多处理（SMP）和状态跟踪选项（STO）。

PF 的日志功能也是其创新特性之一。PF 的日志可在 pf.conf 中按规则进行配置，由 PF 提供日志，再通过伪网络接口 pflog 传送，这是从内核模式获取数据给用户级程序的唯一方式。可以使用标准工具如 tcpdump 监控日志。

IPFW 是为 FreeBSD 编写的状态防火墙，支持 IPv4 和 IPv6。它由多个组件构成：内核防火墙规则处理器及其集成的包计数功能、日志功能、NAT、流量整形器、转发功能、桥接功能以及 ipstealth 功能。

FreeBSD 在 /etc/rc.firewall 中提供了示例规则集，为常见场景定义了几种防火墙类型，以帮助新手生成合适的规则集。IPFW 提供强大的语法，高级用户可以利用它构建满足特定环境安全需求的自定义规则集。

IPF 是款跨平台开源防火墙，已移植到了多个操作系统，如 FreeBSD、NetBSD、OpenBSD 和 Solaris。IPF 是内核防火墙和 NAT 机制，可由用户空间程序进行控制和监控。防火墙规则可以使用 ipf 设置或删除，NAT 规则可以使用 ipnat 设置或删除，IPF 内核部分的运行时统计可以通过 ipfstat 打印，ipmon 可将 IPF 的操作记录到系统日志文件中。

IPF 最初使用“最后匹配规则生效”的规则处理逻辑，并且仅使用无状态规则。此后，IPF 增强了选项 quick 和 keep state。

调优

FreeBSD 拥有五百多个系统变量，可通过工具读取和设置。这些系统变量可用于对正在运行的 FreeBSD 系统进行修改，包括 TCP/IP 栈和虚拟内存系统的许多高级选项，对于经验丰富的系统管理员来说，可以显著提升性能。

GEOM

FreeBSD 的是 FreeBSD 操作系统的主要存储框架。它提供了访问存储层的标准化方式。GEOM 采用模块化设计，能让 GEOM 模块连接到框架。例如，geom_mirror 模块为系统提供 RAID1 或镜像功能。已有许多模块可用，并且各种 FreeBSD 开发者始终在积极开发新的模块。

由于 GEOM 的模块化设计，模块可以堆叠形成 GEOM 层的链。例如，在 geom_mirror 模块之上可以添加加密模块，如 geom_eli，从而提供镜像且加密的卷。每个模块都有消费者和提供者。提供者是 GEOM 模块的来源，通常是物理硬盘，有时也可以是虚拟化的磁盘，如内存盘。GEOM 模块本身提供一个输出设备，其他 GEOM 模块（称为消费者）可以使用该提供者来创建相互连接的模块链。

Linux 二进制兼容层

FreeBSD 提供对 Linux 的二进制兼容层。这能让用户在 FreeBSD 系统上安装和运行许多 Linux 二进制文件，而无需先修改这些二进制文件。在某些特定情况下，Linux 二进制文件在 FreeBSD 上的性能甚至可能优于在 Linux 上的表现。

并非所有 Linux 特定的操作系统功能都在 FreeBSD 上受支持。例如，如果 Linux 二进制文件过度使用 i386 特定调用（如启用虚拟 8086 模式），则无法在 FreeBSD 上运行。

安全事件审计

FreeBSD 支持安全事件审计。事件审计可以对各种与安全相关的系统事件（包括登录、配置更改以及文件和网络访问）进行可靠、细粒度且可配置的日志记录。这些日志记录对于实时系统监控、入侵检测和事后分析非常有价值。FreeBSD 实现了 Sun 发布的基本安全模块（BSM）应用编程接口（API）和文件格式，并且能够与 Solaris 和 Mac OS X 的审计实现互操作。

结语

本文并不是关于使用 FreeBSD 而非 GNU/Linux 的技术原因的详尽列表。还有许多其他原因我没有涉及。然而，这些是我认为最突出的几个特性。

我在第一台 PC 上运行过 Microsoft ，后来又使用了 Microsoft Windows 3.0。从那时起直到 Microsoft Windows XP，我在微软操作系统上做了很多 PC 和服务器相关的工作，但我非常讨厌这些系统。它们非常耗时，因为微软的操作系统既不安全、不稳定，又相当糟糕。

大约在 1997 年，我的一位朋友建议我尝试 Linux，我照做了。我运行的第一个 Linux 发行版是。通过我那台旧调制解调器下载它花了一个多星期，期间电话线几乎全天都在占用 :)

在运行 Red Hat Linux 并测试了其他 Linux 发行版几年后，我最终选择了 Debian，主要是因为它当时出色的包管理器以及其稳定性（稳定分支只接收安全和错误修复）。Debian 成为我最喜欢的 Linux 发行版，无论是个人还是工作站和服务器上，我都在使用它。

1998 年，，从 1999 年左右开始，我个人和工作上都开始使用 FreeBSD，涵盖工作站和服务器。从那时起，我尝试了许多其他操作系统，如今我还使用、、、和。

我按不同任务使用不同操作系统，并且在特定场景下偏好某些系统。

目前，我在桌面工作站和多台服务器上都以 FreeBSD 作为主要操作系统，除非你有非常特定的需求必须使用 Linux，否则你会发现 FreeBSD 更加贴近真正的 UNIX。如果你需要 ZFS，那么你绝对应该使用 FreeBSD。

无论如何，下次如果你计划尝鲜操作系统，不妨尝试。它也有优秀的社区，许多人乐于助人且友好。

FrankenPad T25 上的 FreeBSD 14.3

FreeBSD 14.3 on FrankenPad T25
发布时间：2025/06/26
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗

在我看过的许多电影中，我也很喜欢 No Country for Old Men（老无所依）（2007）——它与我对电脑/笔记本的偏好以及当时市场上可获得的设备产生了共鸣……以及现在可用的设备。我甚至还分享过我颇为消极的。不久前，我还在使用，那是 2011 年的笔记本——已有 14 年历史——但它运行 FreeBSD 完全没问题……不过当我因工作离开家时，一个新的机会出现了。

联想当时只生产了大约 5000 台笔记本——所有机器配置相同——搭载了一颗“性能较弱”的 Intel 双核 CPU。我至今仍然遗憾，当时在我所在的波兰中部城市的本地商店里，一台全新的售价约 $1100，我没能买到，但过去无法改变。

总体来说，ThinkPad T25 本质上是 ThinkPad T470，只是更换了若干部件——比如掌托和键盘。

在随意查看 EBAY 上 ThinkPad T25 的购买方案时，我找到了 FrankenPad T25 ——价格大约 $1200，再加上税费和运送到波兰的费用。我购买了它，并顺利收到了，没有任何意外。经过一番测试后，它运行良好——一切正常——只是我花了大约半年时间才真正从 ThinkPad W520 迁移过去。

对于不了解 FrankenPad 的人，我来解释一下——它是由各种 ThinkPad 型号混合改装而成的——有时需要 3D 打印部件，有时需要修改 BIOS，有时甚至需要焊接等。过去，你可以自己制作，也可以订购——例如这里：。

FrankenPad 最重要的部分当然是经典的 7 排键盘——其余的都只是附加组件。

白色虚线显示了尺寸差异。

独一无二

每次听到或看到 The One and Only（唯一） 这个词，我脑海中都会浮现 反恐精英 1.x 的玩家——看起来 HeatoN（本名 Emil Christensen）最近被收入了 反恐精英 的 ——值得称赞！……我真的很喜欢二十年前我们玩的那些 反恐精英 1.x 局域网派对……可惜那些都已经结束了，每个人都太忙，再也无法像以前那样聚会……不过，当我的一个朋友创建了一个名为 CS:GO 的 WhatsApp 群组，在线聚会玩游戏时，多少恢复了一点乐趣……我们见面过一次，半年过去了。

回到 FrankenPad——世界上可能至少有几台这样的机器——我的具有以下特征：

– 它本质上是搭载四核 Intel CPU 和 32 GB 内存的 ThinkPad T480 笔记本。 – 它拥有 ThinkPad (T25) 25 周年纪念版 的掌托/触控板和经典键盘。 – 它还配备了来自 ThinkPad T490 的低功耗 FullHD（1920×1080）屏幕。

因此可以说，我的 FrankenPad T25 是 ThinkPad T480/T25/T490 的混合体。

从缺点来看——它仍然搭载 Nvidia MX150，我已在 BIOS 中将其关闭。

你可以看到屏幕边框上仍有 T480 标识，而掌托和键盘来自 T25 型号。

…… 至于最不重要的消息——上面的截图展示了我大部分文章的写作方式 🙂。

我非常喜欢浏览器 Epiphany 的功能——每次保存文件时它都会刷新页面，所以我可以像有“实时”预览一样工作。

另外——上盖仍然来自 ThinkPad T480（黑白色），而掌托来自 ThinkPad T25（彩色）。

ThinkPad W520 的遗产

迁移后会怀念它吗？有些东西会。比如 ThinkPad W520 左侧有三个 USB-A 接口，而 FrankenPad T25 右侧只有两个 USB-A 接口（我需要使用 90 度角 USB 转接头和延长线，以免干扰鼠标板）。

FrankenPad T25 左侧还有两个 USB-C 接口……但一个被电源适配器占用，另一个在 FreeBSD 下无法直接使用，除非我接上一个廉价的 USB 集线器 🙂。

我在这里买了一个小型 USB 集线器 – – 在 AliExpress 上。

键盘方面——ThinkPad T25 的键盘略微柔软/细腻——打字手感更柔和——很好用——并不是说我不喜欢 ThinkPad W520 的键盘，只是我更喜欢 ThinkPad T25。

其他优点是——我终于可以使用任何 65W Type-C 线来为它充电——包括我的 ZMI QB826G 210W 25000mAh 移动电源 – ——在这里有介绍。

硬件

我拿到它后做的第一件事之一就是看看内部硬件。

内部大致就是普通 ThinkPad T480 的配置。

……但在拆卸底盖时，我把背部的一些塑料部件弄坏了。

这是剩下的零件。这种情况在我过去拆装 ThinkPad W520 / X220 / T520 / T420s 时从未发生过。

我还订购了一条 SATA 数据线——大约 $3——为了能够连接我的 Samsung 870 QVO 8TB SATA 2.5 SSD……

但后来我以便宜的价格买到了 Corsair MP600 PRO LPX 8TB M.2 NVMe SSD，所以最终选择了 NVMe 固态硬盘。

WiFi

我最初在 FrankenPad T25 上安装的是 FreeBSD 14.2-RELEASE ——但 WiFi 完全无法使用。

它原装安装的是 Intel AX210 网卡。

感谢 Michal Sapka 在他的文章中提供的解决方案，我购买了 Intel AC 9260 网卡，并将其安装到我的 FrankenPad 笔记本中。

上图显示了安装好的 Intel AC 9260 WiFi 网卡。

现在 —— 无论是 FreeBSD 14.2-RELEASE 还是 FreeBSD 14.3-RELEASE 都能顺利连接 WiFi 网络。

指点杆

有些人喜欢 ThinkPad 笔记本，因为它们配备 指点杆，但我不是其中之一——至少可以说它非常慢且不够精准。

不过我对此并不反感——虽然它对我不适用，但我相信有很多人依赖它——所以就留给他们吧。

FreeBSD 系统配置

我非常喜欢 FreeBSD UNIX 的一点是（更多内容见 – ），它几乎可以仅通过三个文件完成完整配置。这套配置已经包含了我在文章中描述的所有电源管理设置。

像往常一样，我以比较标准的方式安装了 FreeBSD，启用了 GELI 加密，并使用 ZFS 作为文件系统。如果有疑问，安装过程可参考文章。

主要的 FreeBSD 配置文件如下：

/etc/rc.conf – 系统服务配置
/etc/sysctl.conf – 运行时参数
/boot/loader.conf – 启动可配置参数

我还会包括以下文件，因为它们对配置也至关重要：

/etc/devfs.rules – 设备配置
/etc/fstab – 文件系统配置
/etc/ttys – 终端初始化配置

首先是主要的 /etc/rc.conf 配置文件。

接下来是运行时参数文件 /etc/sysctl.conf 。

接下来是启动参数 /boot/loader.conf 文件。

如上所示——我已禁用了 hwpstate_intel(4) 驱动，因为在保持系统响应性的同时，我无法找到性能、功耗与电池续航的最佳平衡。

现在来看前面提到的 /etc/devfs.rules 文件。

文件系统及 SWAP 配置。

终端配置位于 /etc/ttys 文件中。重要部分是 ttyv4 条目，它需要与 /etc/rc.conf 文件中的 xdm_tty=ttyv4 值相对应。

无线网络配置——作为不同网络类型的示例。如你所见，我没有在 /etc/rc.conf 文件中包含任何网络信息——这是因为我使用自己的 network.sh 方案来连接各种有线和无线网络——详细描述见。

automount(8) 配置。

doas(1) 配置文件。

我所属的用户组。

我也不依赖“默认”的风扇转速，而是根据 CPU 温度使用脚本自行设置风扇速度。

性能差异

为了测试 FrankenPad T25 的性能提升，我使用 unixbench(1) 测量 CPU 相关任务，并使用 blogbench(1) 测试磁盘读写性能。

图例说明如下：

ub1 – unixbench(1) 单线程（1 CPU 线程）得分
ub8 – unixbench(1) 多线程（8 CPU 线程）得分
bbR – blogbench(1) 读取性能

测试结果：

ub1

ub8

bbR

bbW

如你所见，基于 T480 的 FrankenPad T25 在计算和 I/O 相关任务上大约比 ThinkPad W520 快 2.0 倍……老实说，这在日常工作中是明显感觉得到的。

电池续航

虽然 FrankenPad T25（或为了清晰起见称为改装的 T480）配备了两块电池，但它们都能支持约 3 到 4 小时的工作——如下所示，使用我创建的 FreeBSD 电池相关脚本测试。

使用的脚本：

测试结果如下。

就像最初从 Chernobyl 核反应堆测得的每小时 3.6 兰氏剂量一样——不算好，也不算糟。

桌面环境

Openbox

至于我使用的“桌面环境”，是我自定义的 Openbox 设置，配合 Tint2 和 Dzen2 等工具——用于最基础的环境。下图截图来自 FreeBSD 11.1，但今天看起来完全一样。

我在整个系列文章中详细描述了该设置。

XFCE

我也尝试过 XFCE——我特别喜欢配合 Global Menu appmenu 插件的使用方式。你可以参考这篇的实用指南。

配件

对于 ThinkPad W520 笔记本，有一些非常实用的配件。我将在下文中说明它们。

更小的电源适配器

ThinkPad W520 需要大块电源砖——官方 ThinkPad 170W 电源 或 ThinkPad 135W 电源（最初随 ThinkPad W510 销售）。而对于 ThinkPad T480 或我的 FrankenPad T25，使用文章中 Small Powerful USB-C Chargers 部分所述的 140W 电源更加方便。

鼠标搭档

在参考了多款鼠标（详见文章）后，我最终选择了 罗技 Triathlon M720 鼠标。我将 联想 USB 接收器 插入侧边 USB 接口。使用 USB 接收器时可以使用该鼠标，你也可以通过蓝牙连接到其他电脑。这款鼠标有一个专用按钮，可在三台不同电脑间切换。可惜它们之间的复制粘贴功能无法使用 🙂。

总结

在使用 ThinkPad W520 这么长时间后，没有任何设备是完美的——但 FrankenPad T25 是我能迁移到的最“无痛”选择——老实说，使用几个月后，我终于再次有了家的感觉。唯一让我担心的事情是——如果 F25 出了问题怎么办？

在大部分时间使用 ThinkPad W520 时，我都有备用设备……而这次我没有任何“备份”。

为了对潜在问题保持一定准备，我仍然保留了 ThinkPad T14 GEN1，并且还将 ThinkPad T520 添加到我的“设备库”中……不过不是普通型号——而是搭载 4C/8T CPU 的型号。在我考虑 ThinkPad W520 最重要的部分时，发现是 4C/8T CPU 和 1920×1080 FullHD 屏幕……当然还有传奇的 7 排 ThinkPad 键盘——因此我又入手了一台 ThinkPad T520 作为备用笔记本，带 4C/8T CPU，价格约 $70——至少在波兰当时能买到。

我计划在下个月左右出售我这两台 ThinkPad W520……虽然充满了许多回忆……

谁在使用 FreeBSD（基金会官方版本）

本页面是对 FreeBSD End User Stories 的翻译。

参与 FreeBSD

无论你是担任导师、推广 FreeBSD，还是参与论坛和邮件列表，你的努力都推动着 FreeBSD 项目的创新与发展。通过加入我们活力四射的社区，帮助大家构建长期发展的开源生态系统，就在现在支持下 FreeBSD 项目吧！通过改善文档、处理错误报告提交代码和参与讨论来增强 FreeBSD。每份贡献，无论大小，都将有助于把 FreeBSD 发展成为一款更加稳定、安全和高效的开源操作系统。

FreeBSD 终端用户故事

从企业到个人，从关键任务服务器到笔记本电脑。了解用户如何利用 FreeBSD 强大的功能来实现安全性、性能和可扩展性。

受益于 FreeBSD 的组织

E-Card：使用 FreeBSD 扩展在线游戏和博彩

E-Card 位于保加利亚索非亚，是一家领先的在线游戏和博彩提供商。自 2000 年成立以来，E-Card 采用 FreeBSD 为其基础设施提供支持，确保其多样化的游戏和博彩服务具有强大的性能、可扩展性和可靠性。E-Card 主要运营着两个业务领域：为其他网站制作和托管消费者游戏，以及运营自己的在线赌场和博彩平台。他们的旗舰平台每天为数千名客户提供游戏和体育博彩服务。

性能与可扩展性

FreeBSD 的 ZFS 文件系统提供了数据完整性、压缩和高效的数据处理能力，可响应 E-Card 的大规模数据操作。在高峰时段，E-Card 的服务器可以容纳数千名在线玩家。其基础设施每秒可实现约 100,000 次查询和 20,000 次交易，确保用户流畅体验和即时响应。该公司使用聚合的 10G 网络接口和 Arista 交换机，确保高网络吞吐量和可靠性。

“自 2000 年以降，FreeBSD 始终是我们基础设施的支柱。它的稳定性、性能和简单的管理使我们能够扩展业务，满足在线游戏行业的严格要求。”——E-Card 首席技术官 Rumen Palov

根据保加利亚博彩行业的监管要求，像 E-Card 这样的大型服务器必须留存大量数据，最长须达 5 年，因此需要像 ZFS 这样强大高效的存储解决方案。

E-Card 对社区的贡献

E-Card 遇到并报告了多个错误，为满足其特定需求而为 FreeBSD 和 ZFS 定制了补丁。它是 FreeBSD 社区的活跃成员，并表示有兴趣撰写文章，分享他们的技术经验和见解。该公司的参与有助于完善 FreeBSD 生态系统，帮助其他希望采用 FreeBSD 技术的企业。

E-Card 成功采用 FreeBSD 的案例证明了该操作系统在处理高需求的大规模在线游戏和博彩应用中的能力。FreeBSD 的稳定性、性能和社区支持使其成为在线游戏行业运营企业的理想选择。

Antithesis：利用 FreeBSD 和 Bhyve 开创确定性虚拟机监控程序

Antithesis 正在攻克软件工程中最棘手的问题之一：改造软件测试和调试，使其更高效、更可靠。他们的解决方案是：基于一款构建于 FreeBSD 和其原生虚拟机监控程序 Bhyve 之上的确定性虚拟机监控程序。让我们研究一下 Antithesis 所应对的具体挑战、选择 FreeBSD 和 Bhyve 的原因，以及这一开创性技术的远大前景。

挑战

在软件工程中，错误的可复现性是一项重大挑战。许多错误极难以捕捉，在特定条件下常常不一致地出现，难以复制。这种不一致性阻碍了调试工作，导致开发周期延长和成本增加。传统的调试工具，例如记录重放机制（如 dtrace 等），面临着存储需求、操作系统依赖和可扩展性限制——尤其是在分布式系统中。

Antithesis 识别出需要一项强大的解决方案，以提供一致和可复现的测试环境，使开发人员能够全面探索、诊断和修复错误。这一需求促成了他们的确定性虚拟机监控程序项目的诞生。

Antithesis 选择 FreeBSD：Antithesis 需要一款稳定、灵活、能自由使用的操作系统来开发其确定性虚拟机监控程序。由于清晰的架构设计和完善的功能集，FreeBSD 完美匹配这些需求，为 Antithesis 创新和定制其虚拟机监控程序提供了必要的支持。

FreeBSD 宽松的许可模式对 Antithesis 有利，使其能够在不受更严格许可证限制的情况下构建专有解决方案。

宽松许可证是一种软件许可证，授予接收者广泛的修改、使用和分发软件的权利，通常限制较少。这些许可证通常允许将软件用于专有/闭源项目，无需要求这些项目发布其源代码。宽松许可证与强制性许可证形成对比，后者对软件的分发和修改施加了更为严格的要求。

技术优势： FreeBSD 以其干净且结构良好的代码库而闻名。这种简洁性和清晰性使其成为确定性虚拟机监控程序的理想基石，因为它需要进行大量的修改和扩展。

成熟与简洁： Bhyve 是 FreeBSD 原生的虚拟机监控程序，相较于 Xen 和 KVM 等其他虚拟机监控程序，提供了一个成熟且相对简单的代码库。其良好分层和干净的架构为 Antithesis 所需的大量修改提供了坚实的基点。

定制化： Antithesis 需要大幅简化和修改 Bhyve 以实现确定性。通过关注核心确定性行为并逐步构建功能，他们创建了一款可确保多个运行之间状态和行为一致的虚拟机监控程序。

在 FreeBSD 和 Bhyve 上实现 Determinator

Antithesis ，即“Determinator”，可提供一个受控和可复现的测试环境。Determinator 在一个由虚拟机监控程序管理的单一虚拟机内运行着多个容器。该设置确保整个系统状态一致且可复现，从而能深入探索和调试错误。Determinator 的功能包括：

确定化的可复现性： 确保每次软件测试运行产生相同的结果，甚至包括虚拟机内部状态的精确序列。

状态空间探索： 使全面探索不同执行路径成为可能，以识别潜在错误和问题。

时间旅行调试： 允许开发人员在执行历史中前后移动，以准确定位错误的发生时刻和原因。

快照能力： 其实现的一项关键特性是高级快照功能，能让整个虚拟机状态瞬间保存和恢复。这一能力对于创建可复现的测试环境和进行软件行为的详细分析至关重要。

可扩展性： 尽管运行在单个核心上，确定性虚拟机监控程序可通过运行多个虚拟机（每个虚拟机探索程序状态的不同部分）支持普遍的并行性。

未来方向

Antithesis 计划继续增强其确定性虚拟机监控程序并扩展其功能。他们的计划包括：

开源和社区参与： 尽管当前聚焦于产品开发，Antithesis 也有兴趣对部分工作开源，回馈社区促进合作。

新的测试场景： Antithesis 将为 API 测试、用户界面测试、金融交易系统测试和计算机游戏测试增加未来场景。

更广泛的平台支持： 扩展对更多操作系统和硬件配置的支持，使虚拟机监控程序更加多功能和广泛适用。

与 CI/CD 管道集成： 将确定性虚拟机监控程序纳入持续集成和交付管道，以自动化测试并确保高质量发布。

结论

Antithesis 创新性地利用 FreeBSD 和 Bhyve 创建了一款确定性虚拟机监控程序，这是一款解决软件开发中关键问题的工具：错误的可复现性。通过确保一致和可控的测试环境，它显著提升了软件调试和测试的效率与可靠性。通过持续致力于创新和社区参与，Antithesis 在软件工程领域的贡献前景广阔。

Cloudnium 采用 FreeBSD 提供先进的托管解决方案

Cloudnium 由 Earl Adams 在德克萨斯州沃斯堡创立，是一家专注于高密度机柜和人工智能及云计算托管解决方案的前沿服务提供商。Cloudnium 利用 FreeBSD 的稳定性、安全性和性能，满足客户不断变化的需求。

Earl Adams 在 IT 行业有着丰富的历史，曾拥有多家公司和数据中心。Cloudnium 是他最新的创业项目，提供定制化解决方案，满足那些像 AWS 和 Azure 等主要提供商无法轻易满足的特定和高强度计算需求的客户。Cloudnium 的服务包括机房托管、专用服务器以及为开发公司提供的后台支持。

挑战

Cloudnium 面临着高密度托管提供商所特有的多项挑战。确保其高密度服务器的持续稳定运行至关重要，因为任何停机时间都可能对客户的运营造成重大影响。鉴于客户工作负载的性质，保护敏感数据的强大安全协议也至关重要。此外，Cloudnium 还需要为其服务所需的高能耗提供具有竞争力的定价。可扩展性也是一个主要关注点，因为他们必须管理有效支持人工智能和云计算客户的基础设施。

解决方案：FreeBSD

Cloudnium 选择 FreeBSD 作为其核心操作系统，应对这些挑战。FreeBSD 因其强大的性能和可靠性而闻名；在配置完成后，仅需最少的干预即可确保平稳持续的运行。FreeBSD 的高级安全特性为保护客户数据提供了坚实的基础。FreeBSD 的高效网络堆栈和对高性能应用程序的支持，使其成为 Cloudnium 需求的理想选择。此外，FreeBSD 的灵活性使 Cloudnium 能够根据具体要求定制操作系统，进一步提高了整体性能。

实施

Cloudnium 已将 FreeBSD 集成到其运营的多个关键领域。他们在 FreeBSD 上运行核心服务和支持基础设施，确保稳定安全的基础。此外，Cloudnium 将在沃斯堡的互联网交换中心大量部署 FreeBSD，突显了 FreeBSD 系统的可靠性和性能。

采用 FreeBSD 为 Cloudnium 带来了众多好处。FreeBSD 的稳定性降低了停机时间和维护需求，为客户提供了更可靠的服务。加固的安全措施保护了 Cloudnium 及其客户免受潜在威胁，确保数据的完整性和安全性。FreeBSD 提供的高效资源利用导致显著的成本节省，使其服务更具竞争力。此外，其托管环境的高性能和可靠性提升了客户满意度。

未来计划

Cloudnium 计划在多个方面增加对 FreeBSD 的使用。他们正在开发基于 FreeBSD 的数据中心管理系统（DCM），增强其基础设施管理能力。此外，他们希望与 FreeBSD 社区更加紧密地合作，改善整体支持和工具，进一步增强系统能力。Cloudnium 还致力于通过建立免费的实验室和技术女性教育项目来支持技术领域的多样性。

Cloudnium 战略性地利用 FreeBSD，使其在提供高密度和专业计算需求的先进托管解决方案方面处于领先地位。FreeBSD 的稳定性、安全性和性能使 Cloudnium 能够有效满足客户需求，同时为未来的增长和创新做好了准备。

Metify 案例研究

通过从 Linux 切换到 FreeBSD 提升网络管理：Metify 的方法

Metify 在网络管理和基础设施优化领域脱颖而出，成为了创新的力量。该公司利用 FreeBSD 的能力推动其突破性的软解决方案。Metify 已将 FreeBSD 确立为其技术栈的基石，从而不再严格依赖 Linux。

这一战略选择源于 FreeBSD 在网络环境中的无与伦比的性能和稳定性，这些特性在现代网络的快节奏环境中至关重要。Metify 的旗舰网络管理软件 Mojo 和多功能网络设备 Photon 展现了该公司利用 FreeBSD 能力提供先进解决方案的决心。

切换的过程

Metify 的首席技术官 Ian Evans 最近解释了 FreeBSD 相较于其他操作系统的独特优势。他强调了 FreeBSD 与 ZFS 文件系统的紧密集成，确保了数据完整性和高效存储管理，简化了整体系统架构。

此外，他还强调了 FreeBSD 内核设计的优雅，创造了一个精简和可定制的环境，能够针对性能进行微调，这与 Linux 发行版中常见的复杂性形成鲜明对比。Ian 还指出，FreeBSD 文档的完整性在软件领域中较为罕见，强调了 FreeBSD 社区的活力与热情。

“总体来说，FreeBSD 在文档方面做得非常出色。你总能找到参考资料，社区似乎更活跃、更健全。如果我们需要联系，同某人交流，我们发现这种支持更强，深度也更明显。”——Ian Evans, Metify 首席技术官

Metify 对 FreeBSD 的决心不仅仅是使用它。他们正在通过在 Mojo 中集成精心设计的自动化安装流程，努力实现大规模部署 FreeBSD。Metify 的目标是使 FreeBSD 的使用更易于访问和用户友好——类似于 Linux。通过简化部署和配置过程，Metify 促进了 FreeBSD 在企业网络中的更广泛采用，利用其在性能和可靠性方面的内在优势。

回馈社区

Metify 的路线图列出了雄心勃勃的目标，包括进一步将 FreeBSD 整合到其生态系统中。该公司计划向上游贡献，增强对容器运行时的集成。通过促进 FreeBSD 的使用，鼓励开源社区的合作，Metify 不仅推动了产品的创新，还为网络技术的更广泛的发展做出了贡献。值得注意的是，BSD 许可证为 Metify 提供了灵活性，让他们可以立即实施 FreeBSD，且在适当时机回馈社区。

“FreeBSD 许可证在使用方面提供了更大的灵活性。我们正处于一个阶段，待我们的产品达到一定水平，我们计划进行更多的上游贡献。这种对代码使用和集成到我们的软件栈的灵活性至关重要。” -Ian Evans, Metify 首席技术官

Metify 战略性地将 FreeBSD 作为其网络管理解决方案的基础，代表了一个重要的关注点。通过利用 FreeBSD 的高性能网络能力和固有的可靠性，Metify 准备重新定义网络管理的卓越标准，为效率、可扩展性和创新设定新的基准。

RG Nets 案例研究

RG Nets 如何利用 FreeBSD 构建高性能边缘网络的未来

RG Nets, Inc. 于 2007 年由 Simon Lok 博士创立，已成为设计和部署软件定义网络网关技术的领先者。该公司专注于为各种环境提供高性能、可扩展、安全的网络解决方案，涵盖从小型企业到大规模服务提供商的广泛需求。
RG Nets 的 rXg 交钥匙网关设备是一种强大的解决方案，能够将多种网络功能整合到一个设备中。该设备可以从统一控制台轻松管理，这对于需要在多个远程位置管理和监控网络访问的大型组织尤其有用。这些功能对运营商、酒店、大型住宅物业以及大型公共场所（LPV）如体育场、交通枢纽和拥挤城市热点区域尤其有帮助。

RG Nets：利用 FreeBSD 应对现代网络挑战

如今，RG Nets 利用 FreeBSD 强大的能力，为复杂的边缘网络挑战提供了创新和有效的解决方案。该公司拥有坚实的基础，开发出满足小型企业和大型服务提供商多样化需求的先进网络解决方案。

RG Nets 使用 FreeBSD 的稳健和模块化架构，创造出满足现代网络在性能、安全性和可扩展性方面具体需求的定制解决方案。通过利用 FreeBSD 的灵活性，RG Nets 可以根据客户的规格优化网络功能，在不受商业网络解决方案限制和费用的情况下，显著提高性能。

应用的先进领域

软件定义网络 (SDN)： RG Nets 专注于使用 FreeBSD 进行软件定义网络 (SDN)，这项技术通过将控制平面与数据平面分离，从而实现高效的网络管理和操作。通过利用 FreeBSD 独特的能力作为覆盖集线器并管理基础的控制平面，RG Nets 成为理想的 SDN 前端，具备高性能和能力。RG Nets 在 FreeBSD 上的 SDN 解决方案提供无与伦比的灵活性和控制，支持自动网络管理、高效资源分配和适应性网络基础设施。

网络安全： 在当今的网络环境中，确保网络基础设施的安全至关重要，因为网络威胁不断演变。RG Nets 利用 FreeBSD 自带的安全环境来开发综合安全解决方案。这些解决方案包括先进的防火墙技术、微分段、入侵检测系统和安全网络网关，确保数据完整性，防止数据泄露。

高可用性和灾难恢复： FreeBSD 的稳定性和可靠性使其成为需要高可用性和强大灾难恢复能力解决方案的理想选择。RG Nets 实施基于 FreeBSD 的系统，可确保持续运行和最小停机时间，这对各行各业的关键任务应用至关重要。

网络功能虚拟化和应用虚拟化： RG Nets 可以利用 FreeBSD 的关键特性集 bhyve 虚拟机监控器和 jail 容器，为最具挑战性的行业应用和现代运营商网络构建高度竞争的开源网络解决方案。

成本效益创新： RG Nets 致力于降低客户网络基础设施的成本。通过使用 FreeBSD，该公司避免了专有软件相关的高许可费用，并将这些节约回馈给客户。这种方法不仅使先进的网络更易于访问，还促进了更具竞争力的市场。

社区贡献和未来技术：推动 RG Nets 的创新

该公司在其基于 FreeBSD 的网络边缘解决方案中处于技术集成的前沿，特别是在应用容器化和网络虚拟化方面。这种集成提高了可扩展性和效率，使 RG Nets 能够提供强大而灵活的解决方案，以满足未来数字通信需求，包括 5G 网络和物联网生态系统。

Simon Lok 博士和 RG Nets 积极参与 FreeBSD 社区，展示了他们在推动网络技术边界方面的努力。这种参与确保了 RG Nets 在创新前沿的地位，为 FreeBSD 生态系统的发展做出了重大贡献。

在过去，RG Nets 为 FreeBSD 集成的包过滤防火墙 pf、网络数据包调度器 altq 以及针对特定配置的英特尔网络接口卡性能提升做出了贡献。

RG Nets 当前贡献的一个明显例子是其对 Vector Packet Processor (VPP) 移植和数据平面开发工具包 (DPDK) 向 FreeBSD 的赞助。这些项目代表了网络数据处理的重大进展：

Vector Packet Processor (VPP)： VPP 最初由思科开发，具有高度可扩展性，能够以极高的速度进行数据包处理。到使操作系统能够更高效地处理大规模数据流，从而降低延迟并提高对高要求网络应用的吞吐量。
数据平面开发工具包 (DPDK)： DPDK 是一套库和驱动程序，旨在加速各种 CPU 架构上的数据包处理工作负载。通过对 DPDK 的移植，RG Nets 促进了 FreeBSD 上网络应用的性能提升，使数据包处理更快更可靠。

FreeBSD 对电信和网络行业的未来影响

RG Nets 将 VPP 和 DPDK 集成到 FreeBSD 中，在电信和网络领域取得了显著进展。这些技术使电信公司能够更高效地管理更高的数据负载，这对处理来自视频流、云计算和物联网设备的增加流量至关重要。

随着 VPP 的集成，该公司基于 FreeBSD 的网关将显著提升性能，尤其是在边缘网络部署中，这对于处理来自移动设备的 5G 和 Wi-Fi 流量至关重要，尤其是在大型公共场所和人口稠密的城市区域等挑战性环境中。VPP 使这些网关在减少 CPU 使用的同时实现更高性能，从而减少对计算能力的需求。这种效率对于管理像体育场这样在活动期间发生数千个同时连接的地方的 5G 网络的高数据吞吐量和低延迟需求尤为重要。

此外，RG Nets 的系统提供了更佳的性能，减少了对重大硬件投资的需求。这使得能够使用可根据用户需求增长的可扩展解决方案，而无需增加成本。这种可扩展性对于希望有效扩展基础设施的电信提供商极为重要，可同时推出新服务。在将来，它还为使用具有非常高网络吞吐量的低功耗解决方案（如基于 Arm 和 RISC-V 的解决方案与 VPP 和集成数据处理单元（DPU））提供了可能性。

RG Nets 与 FreeBSD 社区的未来

RG Nets 对 FreeBSD 的发展做出了重要贡献，使服务提供商能够提供新颖和创新的服务，满足消费者和企业不断变化的需求。这些服务包括增强的宽带服务、更强大的安全功能以及下一代移动服务，这对提供高质量、可靠且先进的网络服务至关重要。

RG Nets 参与 FreeBSD 的发展，在塑造电信未来方面至关重要。它还强调了开源解决方案在促进创新和推动行业标准方面的重要性。通过不断创新和利用开源技术，RG Nets 在电信行业中保持关键地位，为采用和开发尖端网络技术做出了贡献。

FreeBSD 案例研究：Sheridan Computers

十年不变的服务——FreeBSD 和 Asterisk 的故事

引言

十年前，电信的前景截然不同。基于云的解决方案刚刚开始悄然承诺无限的可扩展性和灵活性。然而，在这些初露端倪的云朵中，我们的一位客户决定将他们的电话需求牢牢固定在地面上，采用一种本地部署的 VoIP 解决方案。这个方案是 FreeBSD 与的和谐结合，不仅经受住了时间的考验，还蓬勃发展，为耐用性、成本效益和技术韧性提供了深刻的见解。

设置

在 2014 年这个辉煌的年份，我们与客户一起踏上了旅程，安装了一种本地部署的 VoIP 解决方案。以其强大和安全性著称的 FreeBSD 成为了被选中的操作系统，而 VoIP 解决方案的明星 Asterisk 则成为了中心舞台。这个动态组合旨在支持大约 30 位用户。

这个设置的魅力何在？它是以 12 个月的维护方案出售的。但转折在于——在一年后，客户觉得没有必要续费，因为系统表现出色。

十年的沉默

将近十年来，这个设置就像一个安静而强大的角色，效率高、可靠且完全不引人注目。然后，突然间，一封关于硬盘故障的电子邮件警报闪现。得益于安装了多块硬盘，并采用 RAID 配置，这次小故障不过是个小插曲。系统在继续毫不间断地勤奋工作。

在接到客户的电话后，我们迅速更换了硬盘。然而，这一事件突显了一个令人印象深刻的事实——这个十年的系统依然表现优异。

升级

考虑到系统正在运行的是 FreeBSD 9.3，算是“享受退休生活”，是时候进行升级了。我们将系统更新到 FreeBSD 13.3，并将 Asterisk 更新到当前版本。这一转变就像给系统喝了一口青春之泉——它焕然一新。

财务分析

让我们来谈谈数字。如果我们的客户选择了基于云的解决方案，设想每位用户每月支付 15 英镑，那么十年的费用……好吧，简单来说，这会让他们的会计大吃一惊。而他们在本地解决方案上的初始投资，加上通话费用（和一次硬盘更换），描绘出了一幕更可接受的财务画面。

无声的英雄

这个故事不仅仅关乎节省成本。它证明了 FreeBSD 和 Asterisk 的可靠性。从十年前的操作系统无缝升级到当前版本，在科技界是极为少见的。这充分体现了 FreeBSD 在前瞻性设计和兼容性方面的考虑。

结论

回顾过去十年，这个案例研究不仅关乎技术。这关乎在适当的时机做出正确的选择。这关乎像 FreeBSD 和 Asterisk 这样的无形英雄，它们使企业能够有效沟通，而不需占据风头。

至于我们的客户？也许在十年后我们会再听到他们的消息，可能是为了更换另一个硬盘。但在那之前，我们可以安然入眠，因为我们提供的解决方案不仅满足了现在，也为将来做好了准备。

在一个不断追逐下一个重大事物的世界里，有时候，真正的价值在于那些已经存在的东西——坚定、可靠且始终有效。祝愿未来的十年服务如初，干杯！

– 作者：

倍福案例研究

倍福通过从 Windows CE 切换到 FreeBSD 实现更小的占用空间

Beckhoff Automation（倍福自动化）是工业自动化领域的先锋，以其创新的解决方案和尖端技术而闻名。倍福成立于 1980 年，利用经过验证的基于 PC 的控制技术实施开放的自动化系统。他们的产品组合包括工业 PC、I/O 和现场总线组件、驱动技术、自动化软件、无控制柜自动化和机器视觉硬件。倍福不断扩展自动化的边界，推出了基于 PC 的控制系统、EtherCAT 现场总线技术和 TwinCAT 自动化软件。这些产品使全球各行业能够在其流程中实现更高的效率、灵活性和精确度。倍福对开放标准和模块化架构的投入促进了无缝集成和可扩展性，使得在制造、汽车、能源等各个领域为多种应用提供量身定制的解决方案。

变革的需求

在过去的 25 年里，倍福一直将 Windows 作为其工业 PC 产品的唯一操作系统。因此，Windows CE 成为了所有 Beckhoff 小型自动化设备的基础。在 2015 年，倍福的客户发现他们的 Windows 设备遭遇了勒索软件攻击。随着 Windows CE 即将结束支持，倍福开始寻找其他操作系统。

倍福需要一款经过验证且可靠的操作系统，能够支持其产品线的全系列硬件，从 ARM 到 Intel Xeon。由于更倾向于开放标准，倍福首先打算使用 Linux 作为 Windows CE 的替代方案，但由于 GNU 通用公共许可证会给倍福的客户带来额外的法律问题，并迫使倍福共享其专有的实时 TwinCAT（该软件在内核模式下运行），因此感到受挫。因此，倍福决定寻找一款具有宽松许可证的开源操作系统，以便能够调整内核以支持 TwinCAT 实时功能，而无需贡献 TwinCAT 的源代码。

宽松许可证是一种软件许可证，授予接收者广泛的权利，可以修改、使用和分发软件，通常限制较少。这些许可证通常允许软件在专有/闭源项目中使用，而无需要求这些项目发布其源代码。宽松许可证与“反向版权”许可证形成对比，后者对软件的分发和修改施加了更严格的要求。

识别并构建解决方案

倍福转向 FreeBSD，因为其在工业领域的验证和可靠声誉以及宽松的许可结构，这使得倍福能够将 TwinCAT 添加到内核中。FreeBSD 拥有一个健康活跃的开发者社区，该社区推动了超过 30 年的创新，并持续进行。此外，FreeBSD 支持着一些全球最知名的品牌，如 NetApp、Netflix、Netgate、Juniper 等。

借助 FreeBSD 的宽松许可结构，倍福将其专有的 TwinCAT 实时功能与 FreeBSD 结合，创建了 TwinCAT/BSD，这是一款基于软件包的操作系统，成为了 Windows 的替代方案。

TwinCAT/BSD 支持所有 TwinCAT 3 运行时功能，为倍福提供了一种低成本和小占用的解决方案，适合倍福的最小设备。倍福的高级产品经理 Heiko Wilke 指出，在使用 Windows 时，仅安装的 Windows，倍福的设备就使用了 1.5GB 的内存。而相比之下，倍福的最小设备仅有 2GB 的 RAM。

由于 FreeBSD 可不包含不需要的进程，倍福能够将内存使用减少到约 200MB，Heiko Wilke 表示，这为其操作系统上额外的程序留出了更多空间。此外，倍福还将 TwinCAT/BSD 作为基于软件包的系统进行部署，以便于更新，允许删除更多不必要的程序。由于其基于软件包的方法，Beckhoff 的 TwinCAT/BSD 占用空间约为标准 FreeBSD 安装的二分之一。

开始使用 FreeBSD

倍福给所有希望实施 FreeBSD 的组织的忠告是，尽早且频繁地咨询 FreeBSD 基金会。FreeBSD 基金会不仅可以帮助解决技术和实施问题，还可以帮助建立网络，联系社区成员。如果你的组织考虑开始使用 FreeBSD，请通过他们网站的页面向 FreeBSD 基金会发送电子邮件，或以便今天就开始。

TwinCAT®、TwinCAT/BSD® 和 EtherCAT® 是 Beckhoff Automation GmbH 的注册商标。

NetApp 案例研究

FreeBSD 为 NetApp 的 ONTAP 数据管理系统提供灵活性和性能

NetApp 是一家智能数据基础设施公司，为企业客户提供统一数据存储、集成数据服务和云计算运营解决方案。作为技术领导者，NetApp 以其业界领先的产品帮助企业在内部部署和混合云环境中管理数据和应用程序。FreeBSD 是 NetApp 成功故事中不可或缺的一部分，也是其产品的固定组件。FreeBSD 是 NetApp 成功故事中不可或缺的一部分，也是其产品的稳定组件。

历史的进程……

NetApp 与伯克利软件发行版（BSD）有着悠久的历史。在 2004 年，NetApp 的领导层决定将 NetApp ONTAP（其所有产品系列的数据管理软件）基于更注重性能的系统——FreeBSD。做出这一决定的一个重要因素是 BSD 许可证模型，从 2004 年的 6.0 版本到今天的 14.0 版本，FreeBSD 始终是 NetApp 中一项稳定和最新的组成部分。

NetApp 需要的许可证模型：能在其新的数据管理系统中整合其专有技术，而不必担心潜在的软件许可证问题。NetApp 考虑了其他 BSD 分行版本，但最终选择了 FreeBSD，因为它在性能和安全性之间取得了良好的平衡。NetApp 与 FreeBSD 的成功经验使他们在多年来不断增加其使用，最近还改变了 ONTAP 中 FreeBSD 的实现。

由于 FreeBSD 在实施中的灵活性和行业领先的稳定性，它在 NetApp ONTAP 中一直是一个可靠的组件。在过去，NetApp 使用的是较旧版本的 FreeBSD，但现在它更接近 CURRENT 发行版本（在 FreeBSD 社区中称为“”）。

在不同组织和多种应用中，FreeBSD 有多种实现方式。有些组织可能像 NetApp 那样选择跟踪接近 head 版本，或者像 Netflix 那样选择跟踪 head 版本，而有些组织则决定保持在几个版本之前。FreeBSD 为组织提供了稳定性、灵活性和升级的便利，使他们可以选择最适合其特定用例的实施风格，无论是滞后几个版本还是跟踪 FreeBSD 的最新发行版本。

NetApp 与 FreeBSD 社区

FreeBSD 项目由一组核心的 FreeBSD 提交者管理，还有许多具有直接 Git 访问权限的贡献者，能够访问 FreeBSD 的主代码库。负责推动项目的运营。FreeBSD 核心团队由 FreeBSD 项目内的活跃开发人员选举产生。这种开放和民主的治理政策以及社区专注的政策使 NetApp 对 FreeBSD 的未来感到更为安心，从而帮助他们更自信地跟踪 FreeBSD 的最新发行版本。

FreeBSD 充满活力和支持的开发者和用户社区也是解决问题和学习的极佳资源。实际上，NetApp 得到了另一家商业 FreeBSD 用户的个人指导，这激励他们更靠近于 FreeBSD 的最新版本。NetApp 还参加了 FreeBSD 会议和活动，如 BSDCan 和 Vendor Summit，这些活动为 NetApp 开发人员与 FreeBSD 社区交流提供了极好的机会。

NetApp 以多种方式为 FreeBSD 做出贡献，包括定期主办 FreeBSD 基金会活动、进行常规的错误修复和增强以及向 FreeBSD 基金会提供财政支持。值得注意的是，NetApp 有一个有趣的上游策略。NetApp 与合作，获得商业支持并通过 Klara 进行上游开发。NetApp 还拥有一个全面的持续集成测试套件，在其代码库上每日运行，包括 FreeBSD。当测试遇到 FreeBSD 问题时，NetApp 会通过 Klara 报告，并由 Klara 进行上游更改。NetApp 的工程师过去还曾向 FreeBSD 上游提交新技术，如，这是个 BSD 许可证的虚拟机管理程序。近年来，NetApp 为上游提交了近 300 项更改。

开始使用 FreeBSD

NetApp 建议其他希望寻找高性能操作系统的组织考虑 FreeBSD，原因在于其宽松的软件许可证、充满活力和支持的社区，以及对可扩展性、稳定性和安全性的强烈关注。

在实施方面，NetApp 提供了一些建议：

从小开始，并随着对 FreeBSD 的深入使用逐渐积累经验。
定期升级 FreeBSD，尽量保持接近最新版本。
理解 FreeBSD 哲学和愿景。
选择 FreeBSD 支持的合适硬件平台。

案例研究：在 FreeBSD 上维护全球最快的内容分发网络

Netflix 是一家全球娱乐公司，其流媒体服务彻底改变了人们消费电视节目和电影的方式。Netflix 总部位于加利福尼亚州洛斯加托斯，已发展成为全球领先的流媒体平台之一，在 190 多个国家拥有数百万用户。Netflix 以其广泛的电影、电视剧和纪录片目录而闻名，包括备受好评的原创作品，通过投资创新内容和技术，Netflix 继续塑造着娱乐行业。

互联网上最快、流量最高的网络，全部运行 FreeBSD

Gleb Smirnoff 是一位熟练的软件工程师和经验丰富的 FreeBSD 提交者，他在 Netflix 工作，负责管理用于 Open Connect 的定制和性能优化的 FreeBSD 基础固件，这是该公司的内容分发网络（CDN）。

在他 2023 年 11 月在 FreeBSD 供应商峰会上的演讲中，Smirnoff 强调了 Netflix 运营的庞大规模。

“我们是互联网上最大的流量来源之一——每秒发送数太比特，所有服务器和设备均运行着 FreeBSD。”

正如 Smirnoff 所指出的，Netflix 的 Open Connect 最初是在标准的 FreeBSD 平台上运行，随后逐渐进行了性能改进。2012 年，一项基于 vanilla FreeBSD 9.0-RELEASE 和 nginx 的 CDN 概念验证项目启动，该项目部署在搭载单个 10 Gbit/s 接口的服务器上。

随着时间的推移，显而易见，要实现快速增长，需要超越操作系统当前能力的限制。Netflix 的内容分发网络（CDN）的预期规模如此之大，以至于值得在 FreeBSD 的持续开源开发上投资。

Netflix 意识到，在全球范围内部署 CDN 时，即使是性能提升一个百分点也能节省数十万美元。Netflix 定制的 FreeBSD 版本实现了更深的集成和更精确的内核级优化，从而带来了显著的性能提升。

在 Netflix 上跟踪 FreeBSD-CURRENT

Netflix 在平衡自定义修改与保持与 FreeBSD 项目核心代码库一致性间进行了谨慎的管理。这确保了他们的自定义增强功能在不触发与 FreeBSD 原始源代码不再可持续性偏离的情况下，提升系统能力。这种微妙的平衡使 Netflix 能够利用 FreeBSD 的优势，同时创造出满足其特定高性能需求的定制解决方案。

另一位 Open Connect 团队成员 Drew Gallatin 在 2023 年 11 月的 OpenFest 保加利亚会议上详细介绍了 Netflix 如何对 FreeBSD 进行定制。

拥有超过 25 年为 FreeBSD 贡献的经验，Gallatin 分享了他在优化 FreeBSD 以服务于 Netflix 的 Open Connect 中的经历和挑战，并强调了跟踪 FreeBSD-CURRENT 背后的战略决策过程：

“我们觉得我们以往所做的是愚蠢的，因为我们应该做的是跟踪 FreeBSD-CURRENT。这听起来疯狂，因为这是大家推送所有内容的地方，但对我们来说，这实际上是世界上最好的选择。”

在他的演讲中，他还分享了有关“神奇的神秘合并”的轶事，说明了运行 CURRENT 分支的重要性。Gallatin 反映了 Netflix 在维护系统性能和稳定性方面的主动做法：

“当我们运行 FreeBSD-CURRENT 时，我们能够非常快速地捕捉到问题。如果有某些回归，我们会立刻发现。在某人提交某个东西与我们发现它有问题之间，不会存在两到三年的延迟。”

Gallatin 还进一步阐述了子树集成的好处，强调了 Netflix 与 FreeBSD-CURRENT 战略性一致性所带来的简化开发和维护流程：

“我们的树几乎与上游 FreeBSD 树完全相同……这大大减少了我们通过保持自己的补丁而积累的技术债务。”

FreeBSD 的战略集成与性能优化

Netflix 精心管理内部 FreeBSD 实现与更广泛的 FreeBSD 社区之间的代码流。严格的测试框架、持续集成和单元测试构成了 Netflix 的开发策略基础。定期合并包括上游更改，并特别关注在正式纳入 FreeBSD 之前集成性能提升补丁。每次合并都会进行 A/B 测试，以保持/提升系统性能和稳定性。

Netflix 的 FreeBSD 实现的演变涉及对内核的精细调整，以缓解性能瓶颈并处理不断增加的数据流量，这包括 RACK（Recent ACKnowledgment），这是一个由 Randall Stewart 开发的 TCP 栈，旨在改善数据传输的性能和可靠性。Netflix 对 FreeBSD 的其他显著增强包括异步 sendfile 操作，便于非阻塞数据传输，以及先进的 VM 页缓存技术，提升数据处理效率和网络吞吐量。

Netflix CDN 团队还与 FreeBSD 社区合作，以增强使用内核 TLS（KTLS）进行数据传输的安全性和效率。

KTLS

KTLS 是一种将 TLS（传输层安全性）处理从用户应用程序转移到操作系统内核的技术。通过在内核中加密数据，提高了使用 sendfile(9) 的文件和网络服务器的性能，避免了将数据复制进出用户空间进行加密。KTLS 对于需要安全数据传输的高吞吐量应用（如网络服务器）非常有帮助。它实现了高效的数据处理，并使 Netflix 能够在其 CDN 服务器上实现 400 Gb/s 的吞吐量。Gallatin 解释说：

“我们拥有世界上第一台 100 千兆每秒的生产 CDN 服务器……这要归功于内核 TLS。”

“内核 TLS 是什么？我们将批量加密处理移到了内核中（从 nginx），以保留 sendfile 流水线。”

“通过 sendfile 和内核 TLS，我们可以消除许多内存带宽瓶颈，现在许多事情变得更可行。通过考虑带宽和 CPU 利用率，我们在 FreeBSD 上大约可以达到 375 Gb/s，CPU 使用率约为 53%。”

在 FreeBSD 中，内核 TLS 是一个大型项目，通过社区的合作经历了显著的发展。在 Netflix 工作期间，Scott Long 首次提出将 TLS 集成到内核中。他与 Randall Stewart 共同开发了基础的软件 TLS 传输机制。Drew Gallatin 对该项目贡献巨大，引入了外部页面 mbufs 和 M_NOTREADY mbufs，这对在内核中处理加密数据至关重要。他还开发了一个可插拔接口，以支持各种软件 TLS 后端。

后来的 KTLS 版本对系统进行了显著增强。例如，对于 FreeBSD 13，增加了通过网络接口卡（NIC）卸载进行传输层安全性（TLS）的功能。Drew Gallatin 首次与 Chelsio 合作实现了这一功能，Chelsio 与 Netflix 共同赞助了该项目，针对 Chelsio T6 适配器。随后，扩展了这一功能，支持 Mellanox ConnectX-6 Dx 适配器，从而支持更广泛的硬件加速。

这一持续的发展得到了 Netflix、Chelsio 和 Mellanox 的支持，突显了增强 FreeBSD 网络安全和性能能力的强大社区驱动努力。

回馈社区

Netflix 在管理其 FreeBSD 实施 Open Connect 的策略反映了对更广泛 FreeBSD 社区的深切决心。Smirnoff 强调了与 FreeBSD 开发紧密跟踪的重要性：

“减少操作系统与 FreeBSD 之间的差异至关重要，这意味着你需要将更改提交到上游。”

他还阐述了这一策略的实际好处，解释说：

“跟踪 FreeBSD-CURRENT…让我们能够与上游开发人员合作，并快速将更改纳入 FreeBSD。”

这种方法最小化了技术债务，促进了最新功能和改进的快速整合，使 Netflix 始终处于流媒体技术创新的前沿。

经验教训与最佳实践

成功管理大型 FreeBSD 实施（如 Netflix 的案例）提供了关于社区参与和开源协作重要性的宝贵经验教训。

及早与社区互动，积极参与项目对于充分发挥 FreeBSD 的潜力至关重要。这些实践确保系统的任何调整都能与更广泛生态系统中的持续发展保持良好平衡。
随着时间的推移，通过优先考虑社区参与、定期测试和战略性上游贡献，精炼管理组织 FreeBSD 实施的策略可以带来显著的好处。
采用新的 FreeBSD 功能并进行彻底的测试，以便在开发早期识别潜在的系统退化是至关重要的。这种主动的方法有助于厘清组织的定制分支与主要 FreeBSD 项目之间的差异，确保改进提升系统能力而不引发不可持续性的偏离。

通过采用这些实践，组织可以有效管理其基于 FreeBSD 的系统，确保它们满足特定的操作需求，同时保持在技术进步的前沿。

未来方向

Netflix 致力于利用 FreeBSD 的灵活性和性能能力，并将继续与社区合作，专注于增长和创新。Netflix 在行业内树立了成功维护定制 FreeBSD 实施的先例，依靠战略远见、严格测试和积极的社区参与。

“除了技术优势外，FreeBSD 还拥有出色的开发者、供应商和用户生态系统，他们开放地分享专业知识、人才和技术改进。Netflix 接纳了这个社区，并致力于回馈其错误修复和增强功能，从而完成了社区协作的循环。”
——David Fullagar
内容交付架构总监

用户也喜欢 FreeBSD

我们询问了用户对 FreeBSD 的喜爱之处。我们没想到会得到如此热切的回应！

Tara Stella

Tara 拥有多台笔记本电脑，其中一多半运行着 FreeBSD，秉持 KISS 原则：“保持简单和安全。”

Robin Heywood

Robin 在两台系统上运行着 FreeBSD，作为文件服务器和网关。为什么？因为它“非常稳定”，而且是开源的！

Daniel Arves

Daniel 在他的笔记本电脑上运行着 FreeBSD，他把脚踩在桌子上。他想要一款可定制且简单的系统。

我们的粉丝

在 20 余年的时间里，FreeBSD 积累了相当多的粉丝！看看他们怎么说！

“NetApp 自豪地将 FreeBSD 作为我们 ONTAP 存储操作系统的核心组件。借助 FreeBSD，我们能够提供高性能的产品，满足客户对可靠性、安全性和可支持性的期望。”
Matt Hambrick
ONTAP 工程部主任

“Netflix 选择 FreeBSD 9，因为它是一款高性能、低维护且可靠的操作系统，得到了主流硬件厂商的支持。FreeBSD 提供了一种简单而强大的解决方案，能够通过多个 10Gbit 光纤链接同时服务数万条视频流。”
David Fullagar
内容交付架构总监

“Modirum 为全球的银行、商户、支付服务提供商和卡公司提供了软件和托管服务。我们在所有托管服务中使用 FreeBSD，从路由器和防火墙到应用服务器和数据库。”
Eirik Øverby
首席运营官

“Mellanox Technologies 一直是 FreeBSD 社区的长期开发者和贡献者，将 Mellanox 的前沿 RDMA 以及其他先进的卸载技术集成到了通用的 FreeBSD 操作系统中。”
Yaron Gepstein
软件副总裁

“对于我们来说，继续支持 FreeBSD 是个毋庸置疑的选择。NeoSmart 每年都很自豪地赞助 FreeBSD。在被问及我们推荐的快速、经过实战考验且可靠的平台时，都毫不犹豫地推荐 FreeBSD。”
Mahmoud Al-Qudsi
创始人

“FreeBSD 出色的安全性和更新、网络性能以及卓越的输入/输出和内存管理，使得运行 SimPRO 的大型、高流量和关键任务应用变得更加轻松。该操作系统承担了大部分繁重的工作，这意味着我的工程师可以专注于产品的发展，而非服务器的维护。”
Jonathan Eastgate
首席技术官

“MSI/FUNTORO 利用 FreeBSD 提供高性能的按需音视频流服务，服务对象包括公交车、火车、体育场和酒店。选择 FreeBSD 是因为它的稳定性和可靠性、升级和维护的便利性、安全更新的可靠性，以及软件包的整体出色质量。”
Scott Chen
常务董事

“cleverbridge 在我们的开发、测试和生产环境中使用 FreeBSD。FreeBSD 为我们提供了独特的安全特性、可靠性、行业领先的技术和卓越的性能。从我们的 Web 服务器、邮件服务器到存储服务器，FreeBSD 促进了我们的全球电子商务解决方案。”
Paul Herman
IT 主管 – 技术

“如果没有 FreeBSD 社区及其成员和赞助者的贡献，Netgate 的 pfSense 项目就无法像今天这样蓬勃发展。”
Jim Thompson
首席技术官

“Hobnob 选择 FreeBSD，因为它是唯一真正支撑我们使命的操作系统：为我们的客户提供快速可靠的网络服务。”
Aron Hall
首席执行官

“自从切换到 FreeBSD 以来，我们很高兴看到它达到了我们的预期。FreeBSD 开发社区的努力工作使互联网变得更安全、更可靠。Verisign 自豪地参与 FreeBSD 开发社区，并拥有为 FreeBSD 回馈工作的员工。”
Glen Wiley
首席工程师

“Stormshield 利用 FreeBSD 提供高性能的统一威胁管理 (UTM) 和下一代防火墙技术。我们通过技术贡献和赞助不断支持 FreeBSD；作为一家公司，我们完全致力于这个伟大社区的持续成功。”
Fabien Thomas
首席创新官

“我们的许多大型客户选择了 FreeBSD，基于我们提供的高质量支持和对 FreeBSD 的投入，我们发现选择 FreeBSD 的客户往往会选择 Chelsio。Chelsio 团队很高兴能够与社区共同贡献、学习和成长。”
Mehdi Mohtashemi
工程副总裁

“FreeBSD 是 NGINX 项目的主要开发平台。我们的主要开发平台是 FreeBSD。我们继续将 FreeBSD 作为 NGINX 和 NGINX Plus 开发与测试的参考平台。我们非常欣赏它的成熟性、稳定性和出色的性能。”
Maxim Konovalov
工程副总裁兼联合创始人

“ScaleEngine 的小型开发和系统管理团队管理着分布在 11 个国家的 38 个数据中心中的 100 多台服务器。能够在如此小的团队中实现这种规模，仅仅依靠于 FreeBSD 提供的丰富文档、可观察性、监控和自动化工具。
Allan Jude
运营副总裁

“FreeBSD 在我们的旗舰产品——远程业务加速器中扮演着重要角色。尽管 Acceleration Systems 的大多数团队成员都有 Linux 的背景，但我们选择 FreeBSD 是因为它的轻量级特点、丰富的 Port 以及在这个极其稳定的操作系统上支持的运营级应用程序。”
Jack McKinney
工程副总裁

“在 Hyper-V 上成功运行 FreeBSD 的动力几乎完全基于许多主要设备（网络、存储、安全等）将 FreeBSD 作为其基础操作系统来构建产品。确保这些基于 FreeBSD 的虚拟设备在 Hyper-V 上顺利运行，并最终在 Azure 上运行，是微软具有战略意义的一项重要投资。”
Jason M. Anderson
首席项目经理

“当 Xinuos 寻求一款成熟且稳定的操作系统，以现代功能集作为其现有客户的替代方案时，FreeBSD 显然是最明智的选择。我们的经销商尤为欣赏 BSD 许可证所提供的自由，这为创建定制解决方案堆栈提供了业内最佳的灵活性。”
Sean Synder
总裁兼首席运营官

“我们需要最稳定、高效、受支持且文档完善的网络栈，可以随心所欲地进行修改。正是 FreeBSD 为 XipLink 提供了这一切。它使我们第一次实现空间通信协议标准变得更加容易，因为其内核代码的友好 BSD 许可证模型以及可用的丰富文档。”
Karim Fodil-Lemelin
工程副总裁

“我们大多数本地和远程承包商在过渡到 FreeBSD 的语法和更新其开发 Jail 的程序时没有遇到任何问题，他们在一个拥有完全控制权的“真实” UNIX 环境中工作，正如我们的客户一样。这种灵活性，加上项目对稳定性、安全性和可扩展性的持续努力，使 FreeBSD 成为 Tera Bear 大多数 Web 开发项目的正确选择。”
Jon Lybrook
Tera Bear Consulting 创始人

“在 WhatsApp，我们利用 FreeBSD 和 Erlang 来提供行业领先的正常运行时间。能够在普通硬件上实现线性扩展，使 WhatsApp 能够保持低廉的服务成本。如今，我们在一台 FreeBSD 服务器上运行的并发 TCP 连接数量通常在 200 到 300 万之间。”
Jan Koum
首席执行官，高级社交媒体经理

“我们坚信，对 FreeBSD 有利就是对我们的客户有利，而对我们的客户有利就是对 iXsystems 有利。BSD 许可证使我们能够自由使用和贡献代码，也使我们的客户和 FreeBSD 的用户能够这样做。FreeBSD 得益于多年的开放共享与协作，从而发展成为一款稳定、成熟、高性能的操作系统。”
Josh Paetzel
信息技术总监

“FreeBSD 在塑造许多当今互联网技术方面发挥了重要作用，这些技术惠及全球所有互联网用户。随着互联网的发展，FreeBSD 作为一种灵活的工具，不断适应变化的环境。在这个过程中，FreeBSD 始终是稳定性、秩序和管理互联网最宝贵资源之一——Free BSD 操作系统的典范。”
Marty Puranik
Atlantic.Net 创始人兼首席执行官

“FreeBSD 发布系统为 Juniper 提供了功能的路线图和代码的稳定基础，同时其实用的许可协议使 Juniper 能够开发知识产权，以推动高性能网络的发展。Juniper 拥有许多活跃的 FreeBSD 开发人员，他们不断为 FreeBSD 项目做出贡献，以进一步推动其作为领先操作系统的发展。”
Naren Prabhu
基础技术部副总裁

“Pair Networks 一直以来依赖 FreeBSD 作为提供世界级网络托管服务的重要工具。FreeBSD 的可靠性和稳定性使我们能够为客户提供超过 99.9% 的服务器正常运行时间。我们的客户依赖 FreeBSD 的 proven security 来确保他们的网站正常运行和数据安全。作为一款开源系统，FreeBSD 在出现安全威胁时易于更新新保护措施。FreeBSD 的稳定性和健壮性使我们能够轻松兑现这一承诺。”
Kevin Martin
首席执行官

“NYI 是一家数据中心提供商，使用 FreeBSD 作为其所有内部和面向客户的解决方案，包括托管和专用服务器、云计算以及托管服务。我们最初选择的技术包括与专有硬件相绑定的商业 Unix 系统。然而，FreeBSD 的成本和可移植性是我们在公司初期更换平台的重要因素。”
Phillip Koblence
运营副总裁

“使用 Experts Exchange 对我们的网站、几种不同版本的 Linux 和 UNIX（包括 FreeBSD）进行了大量的性能测试。FreeBSD 在页面加载时间指标和 Lucene 搜索索引性能测试中超越了所有其他测试的操作系统。自那时起，我们已将我们的开发、测试和生产服务器迁移到 FreeBSD。我们还使用 FreeBSD Jail 来托管我们的开发测试服务器，并且我们已经在本地办公室数据中心和我们的托管数据中心架构中依赖 FreeBSD。”
Andrew Alsup
网站总监

“我们的立场提供了关于 FreeBSD 在纽约大都会地区使用的多角度视野，从首次探索 FreeBSD 的终端用户到依赖 FreeBSD 的企业基础设施。虽然 NYC*BUG 树立了标志并保持了稳定的 *BSD 存在，我们受益于对 FreeBSD 作为稳定、理智的操作系统日益增长的兴趣和依赖。”
NYC*BUG（New York City BSD User Group，纽约 BSD 用户组）管理小组

不为人知的 pkg(8) 功能

原文：Less Known pkg(8) Features
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
2019/01

我多次被要求撰写一篇关于 pkg(8) 的文章——这是 FreeBSD 现代软件包管理器，有时也称为 PKGng。

在本篇文章中，我将尝试介绍一些不太为人所知的 pkg(8) 功能。

大约在 8 年前——当时 pkg(8) 还未问世——我写过一篇帖子：。后来该文章甚至刊载于 BSD Magazine 2012/01 期（Issue 30）。

回到 2011 年，软件包更新比现在稍微复杂一些。那时，你不得不使用 FreeBSD 的 STABLE 分支，因为 RELEASE 分支的软件包几乎不更新——类似于当前 OpenBSD 的情况。FreeBSD STABLE 分支上的软件包每两周构建一次，当时已经足够使用。

当然，你也可以使用 portmaster 从 FreeBSD Ports 编译所有软件包，但这会浪费大量时间。当时 pkg_add/pkg_delete/pkg_info 是 FreeBSD 上的主要软件包工具，而 bsdadminscripts 包中的 pkg_upgrade 脚本在升级过程中非常有用。它会从 STABLE 分支的 FTP 服务器获取最新的软件包并更新已安装的软件包。要检查软件包的安全问题，则需要另一款第三方工具 portaudit。

现在，我们有了功能完善的 pkg(8)，能使用 pkg upgrade 来更新安装的软件包。得益于 pkg audit，已不再需要第三方工具 portaudit 了。我们甚至还有 pkg autoremove 来自动移除不再需要的依赖。

我会尽量不重复已经非常优秀的中章节中已有的信息。

较旧的 FreeBSD 版本

在 FreeBSD 10 之前，如果要使用新的 pkg(8) 工具，非旧的 pkg_* 工具，则需要在 /etc/make.conf 文件中加入 WITH_PKGNG=yes。

目前受支持的 FreeBSD RELEASE 版本只有最近发布的 12.0 以及更加稳定和完善的 11.2，因此无需在 /etc/make.conf 文件中加入某些内容来使用 pkg(8) 框架。

数据库

pkg(8) 数据库（实际上是 SQLite 数据库）保存在目录 /var/db/pkg。

下面是 pkg(8) 引导过程之后目录 /var/db/pkg。

最重要的文件是 /var/db/pkg/local.sqlite，因为它是已安装包及其文件的数据库。在输入 pkg shell 后，你实际上可以通过 SQLite 解释器连接到这个 SQLite 数据库。

若由于某种原因你发现 pkg(8) 工具无法工作或已经损坏，你可以使用 sqlite3 包中的 sqlite3 命令连接到它。不要使用软件包 sqlite，因为它是 SQLite 的 2.x 版本，而这与 pkg(8) 使用的 3.x 版本不向前兼容。

锁定/解锁

使用 pkg(8)，现在可以用 pkg lock 命令锁定指定的包。这意味着 pkg upgrade、pkg delete（甚至 pkg autoremove）操作都不会影响它们。你可以使用选项 -l 列出已锁定的包，如下所示。

如你所见，无法 pkg delete 已锁定的包 exfat-utils。你必须先用 pkg unlock 命令将其解锁。你可以交互式地进行，也可以使用选项 -y 非交互式完成，如下所示。

为什么要锁定某些软件包？

根据我的经验，以下是需要锁定特定软件包的潜在原因：

你将 Ports 和软件包结合使用。
某个 Port 并不存在对应的软件包。
官方软件包的默认编译选项与你自己的不同。
你确实想使用旧版本的软件包。

实际上，我使用 lock/unlock 机制，是因为上述所有情况对我都成立。

我会同时使用 Ports 和软件包（在 FreeBSD 世界中这通常不被推荐），因为我使用的一些软件由于授权问题无法提供为软件包。例如所有和 Microsoft exFAT 文件系统相关的东西（exfat-utils/fusefs-exfat）以及 MP3（lame）。更令我惊讶的是，OpenBSD 多年来一直提供 lame 软件包，而 FreeBSD 团队仍然害怕专利问题。

我还需要构建自定义版本的 ffmpeg 软件包——只是为了加入 lame 支持，但仍然是自定义的。最后一个我保持锁定的是 Conky。它在 1.9 版本时很好用，但开发者在 1.10 版本（现在甚至已有 1.11）把它彻底搞坏了。比如，你无法在桌面上右键点击得到 Openbox 菜单——换句话说，Conky 不再把鼠标事件传递给负责桌面的 Window Manager。

于是我使用了 Ports 的另一个工具 portdowngrade，把 1.9 版本的文件提取到 Ports，然后编译出 1.9 的 conky 软件包并永久锁定。

你可能已经知道，我更喜欢使用 dzen2 来显示界面信息，但我仍然会在需要时用 conky 做“FreeBSD Dashboard”，然后按下 [Scroll Lock] 键临时启用它。

提供项

如果你同时也是 RHEL/Fedora（或一般 yum/rpm）的用户，你可能会在 FreeBSD 的 pkg(8) 包管理器中怀念“provides”这个功能。为什么它如此有用？因为有了“provides”数据库，你可以直接通过指定软件包中某个二进制或文件的确切名称来安装软件包。例如你可以输入 yum install /sbin/ifconfig 来安装 net-tools 包，因为“provides”数据库中含有该信息。

如果我告诉你使用 pkg(8) 也能实现类似的功能呢？

插件能让你直接使用 pkg(8) 查询哪个软件包提供了某个特定的文件。

它甚至已经作为软件包 pkg-provides 提供。下面我将展示如何安装配置。首先安装软件包 pkg-provides。

然后配置文件 /usr/local/etc/pkg.conf。

现在你就有了新命令 pkg provides，如下所示。

你可以使用选项 -u 来更新 ‘provides’ 数据库。

pkg provides 插件示例用法

虽然例如无法通过输入 pkg install /compat/linux/usr/bin/pldd 命令来安装包 linux_base-c7，但可以检查哪个包包含该文件。

下次你执行命令 pkg upgrade 时，也会看到 provides 数据库的刷新。

pkg provides 数据库在目录 /var/db/pkg 中会占用相当量的空间。

如果你使用像 LZ4 这样的 ZFS 压缩，那么它占用的空间就不会太大，如下所示。

……但是如果你使用 UFS，那么这个将近 600 MB 的数据库可能会让你有点吃惊 :🙂:

Which

虽然 pkg provides 可以提供尚未安装的软件包中文件的相关信息，pkg which 命令则是经典 UNIX which 命令在 pkg(8) 中的对应。它显示某个文件属于哪个软件包（或者根本不属于任何软件包）。

双管齐下，乐趣加倍

有时同时使用两个 which 命令会更快地得到所需的答案。

periodic 定期任务

有时你可能会看到如下情况。

…但是你并没有启动任何其他 pkg(8) 实例，这到底是怎么回事呢？我们来看一下 ps(1) 的输出。

FreeBSD 的 periodic 脚本正在执行它们的工作。

要查看具体是哪些脚本，可以查看这里。

如果你认为这些活动中某些是不必要的，可以在 /etc/periodic.conf 文件中使用这些值将它们禁用。

例如，如果你想禁用 /usr/local/etc/periodic/daily/490.status-pkg-changes 的执行，你需要在 /etc/periodic.conf 文件中添加 daily_status_pkgng_changes_enable=no。

接下来再检查一次 ps(1) 输出。

periodic 任务已经完成。你现在可以像平常一样安装你的包了。

统计信息

虽然 pkg stats 命令可以提供已安装包的一些统计信息，但它对于查找哪个包占用空间最多并不是很有用。

还有 pkg size 命令，它只会显示包占用的空间，但不会显示包名……没多大用处。

此外，pkg size 的手册页并不存在。

你可以使用 pkg info -as 命令，但它不仅不会对输出进行任何排序，还会以 KiB/MiB/GiB 等不同单位显示空间使用情况，这并不方便……幸运的是，sort 命令的选项 -h 能帮上忙。

使用以下别名可以按空间使用量对包进行排序。我将输出限制为最大 20 个包，但你可以根据需要修改。

缩写

pkg(8) 工具同样支持缩写参数。例如，你不必输入完整的 pkg autoremove，只需输入 pkg autor 即可执行该命令。

下面是简短名称示例。

元数据

许多 pkg(8) 的问题都是由旧的元数据数据库引起的。如果你遇到任何 pkg(8) 问题，首先应如下面所示强制刷新其数据库。

为了记录——在这个过程中，“provides” 数据库也会被刷新。

修复损坏的依赖

曾经有段时间，缺失的软件包 www/libxul19 依赖问题折磨了我一阵子。

我甚至绝望地准备用 portmaster 重新编译所有东西。

我从命令 portmaster --check-depends 开始，但在系统询问是否修复时选择了“n”，因为这会不必要地降级大量软件包。

让我们看看 pkg(8) 显示我们已经安装了哪些软件包。

问题在于我们安装了 www/libxul 而不是 www/libxul19，这就是为什么 portmaster（不仅仅是它）会报错的原因。

在 pkg(8) 被引入之前，只需使用 grep -r 搜索整个 /var/db/pkg 目录及其“文件数据库”就很容易，但现在情况复杂得多，因为软件包数据库保存在 SQLite 数据库中。使用 pkg shell 命令，你可以连接到该数据库。让我们看看能找到什么。

所以现在我们知道，“deps” 表可能就是我们要找的 ;)。

由于 pkg shell 在浏览 SQLite 时功能相当有限，我将直接使用命令 sqlite3。所谓有限是指，你不能直接输入 pkg shell "select * from deps;" 这样的查询，而是需要先启动 pkg shell，然后才能输入查询语句。

第二列是 name，所以我们可以尝试使用它。

现在我们已经找到了“有问题”的依赖条目，可以稍微修改它，使其与实际已安装的包状态一致。

当然，你也可以使用“官方”方法，通过 pkg shell 命令来操作。

现在 portmaster 感到满意，不会再命令依赖缺失了。

太棒了！问题解决了 :😉:

……但 pkg(8) 已经自带一个工具可以做到这一点 :🙂:

它叫 pkg set，在 man pkg-set 中最有用的两个选项是。

在我们的例子中，我们会使用 pkg set -o www/libxul19:www/libxul 命令。

不确定它是否能以同样方式解决问题，因为我在数据库中也更新了版本。

更新（UPDATING）

如果在执行 pkg upgrade 命令时遇到任何问题，那么你也应该查看最新版本的 /usr/ports/UPDATING 文件——例如可以在使用 portsnap fetch update 命令更新 Ports 后获取。

该文件描述了 Ports 中的重要变更（以及由于包是由 Ports 构建而来的，因此也涵盖了包的变更）。

pkg(8) 框架也提供了相应工具，即 pkg updating 命令。具体细节可查看 man pkg-updating 页面。最常见的用法是使用参数 -d 并指定日期，如下所示。

你也可以在在线查看 UPDATING 文件。

使用 ZFS 启动环境进行稳健升级

为了绝对确保无论 pkg upgrade 命令出现何种问题，你的系统都能正常工作，可以使用 ZFS 启动环境。我不久前曾在和介绍过其功能。仍可在链接下载最新的 PDF 演示文稿。

使用 beadm 命令的操作流程如下。

现在，即使出现任何问题，你依然拥有名为 safepoint 的完整可用系统启动环境。

只需重启并选择该环境（在 FreeBSD loader 中选择），你就能恢复到正常工作的系统，就像使用时间机器回到过去一样。

查询

你也可以使用命令 pkg query 来查找所需的信息。

例如，要“模拟” pkg info -r pkg-name 参数（显示依赖 pkg-name 的软件包列表），可以使用如下方式的 pkg query 命令。

如果你想知道每个包的初次安装时间，可以使用下面这个方法。

你也可以显示那些不会被命令 pkg autoremove 移除的包，因为它们是你直接安装的。

罗塞塔石碑

页面也提供了一些表格，但信息不完整。

因此我复制了表格并补充了缺失的数据。

下面是旧 pkg_* 工具与当前 pkg(8) 框架的对照表（更新版）：

如果你知道其他有用的 pkg(8) 命令，也可以告诉我 🙂

服务之力：FreeBSD 电源管理

原文：The Power to Serve – FreeBSD Power Management
2018/11
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗

这是 FreeBSD 操作系统的格言 —— “The Power to Serve（服务之力）” —— 也非常契合本文的主题。十年前（是的，光阴荏苒）我甚至还制作了一张带有这个格言的壁纸 —— 仍可在 DeviatArt 页面上获取。

是时候写一篇关于 FreeBSD 电源管理特性的文章了。它也适用于 FreeBSD 桌面 系列，但不限于此。流行的观点似乎是 FreeBSD 如此偏向服务器，以至于没有任何电源管理机制。事实完全不是这样。虽然在桌面上不那么重要（但仍能减少你的电费）或服务器上不那么关键，但在笔记本电脑上正确配置电源管理是非常必要的，这样它们会拥有更长的电池寿命，并运行得更安静。

我写这篇文章，是因为 FreeBSD 手册 在章节中并未涉及全部这些信息。FreeBSD on Laptops 文章的部分来自 FreeBSD 10.1-RELEASE 的远古时代。FreeBSD Wiki 页面上也有一些信息，但部分已过时。

FreeBSD 在电源管理领域有许多机制：

关闭没有附加驱动的设备
调整 CPU 频率和功耗
支持 CPU 睡眠状态（C1 / C1E / C2 / C3 / …）
启用/禁用大多数 CPU 可用的睿频

关于 FreeBSD 系统中不同设置文件的一句话说明：

/etc/rc.conf —— 无需重启，只需重新加载守护进程
/etc/sysctl.conf —— 无需重启 —— 可在运行时设置
/boot/loader.conf —— 这些设置 需要重启

信息

让我们先从如何获取所需信息开始，例如当前 CPU 速度、已使用的 C 状态、USB 设备当前的电源管理模式、电池容量和剩余时间等。

电池

要获取电池信息，你可以使用工具 acpiconf(8)。以下是 acpiconf(8) 在我的主电池（ThinkPad T420s 笔记本）接通电源源时的输出。

……在接入电源适配器后：

现在，当从笔记本电脑上拔掉电源时，Remaining time: 字段会显示该单块电池的剩余时间估计，这里显示为 2:31（两小时三十一分钟）。

下面是我的第二块电池的 acpiconf(8) 输出（位于 ThinkPad T420s 的 ultrabay，替代了 DVD 驱动器）。

……在接入电源适配器后：

在拔掉电源的情况下，它会将第二块电池的 Remaining time: 显示为 1:36。

因此，总电池续航时间估计为 4:07。同样的时间，以分钟表示（247），会显示在名为 sysctl(8) 值 hw.acpi.battery.time 中，如下所示。

你还可以通过 sysctl(8) hw.acpi.battery，获取更“完整”的电池信息。

如果连接了电源，hw.acpi.battery.time 将显示为 -1。

电池损耗

随着时间的推移，电池会失去其“设计”容量。经过一到两年，这类电池的实际效率可能只剩下原来的 70% 或更低。

检查这些信息所需的全部数据，都可以通过 acpiconf(8) 命令中的 Design capacity: 和 Last full capacity: 获取。我写了个 battery-capacity.sh 脚本，可以告诉你当前电池的效率。下面是该脚本运行时的效果示例。

下面是 battery-capacity.sh 脚本。

CPU

要获取当前 CPU 的信息，你需要使用 dev.cpu，或者使用 dev.cpu.0 来获取第一个物理 CPU 核心的信息。

如果你使用 kldload(8) 命令加载内核模块 coretemp(4)，就能获得额外的温度信息。

下面是加载内核模块 coretemp(4) 后，相同的 sysctl(8) dev.cpu.0 输出。

让我说下最有用的值。

CPU 核心温度。

dev.cpu.0.temperature: 49.0C

CPU 支持的 C 状态（此 CPU 支持 C1 和 C2）。

dev.cpu.0.cx_supported: C1/1/1 C2/3/104

CPU C -states 使用统计（仅使用了 C1 状态）。

dev.cpu.0.cx_usage_counters: 16549 0 dev.cpu.0.cx_usage: 100.00% 0.00% last 1489us

CPU 启用的最最深的 C 状态。

dev.cpu.0.cx_lowest: C1

CPU 支持的频率级别及其功耗（‘/’后面的数字表示功耗）。例如 2500/35000 可理解为 2.5 GHz 频率，功耗 35 W，而 2501 表示 Turbo 模式。最低频率为 800 MHz，功耗约 9 W。

dev.cpu.0.freq_levels: 2501/35000 2500/35000 2200/29755 2000/26426 1800/23233 1600/20164 1400/17226 1200/14408 1000/11713 800/9140

CPU 当前频率（使用守护进程 powerd(8) 或 powerdxx(8) 时会变化）。

dev.cpu.0.freq: 800

hw.acpi.thermal.tz0.temperature 也会显示当前热区温度。

要检查你有多少颗 CPU 核心，可以使用以下命令。

如果我的说明不够直观，你还能用 sysctl(8) 命令的参数 -d，如下所示。

lscpu(1)

还有个第三方工具 lscpu(8)，可以显示你的 CPU 特性和型号。你需要从软件包中安装它。

要使 lscpu(8) 正常工作，需要加载内核模块 cpuctl(4)。

下面是我的双核 CPU 使用 lscpu(8) 的显示效果。

dmesg(8)

此外，dmesg(8) 命令（或长时间运行后查看 /var/run/dmesg.boot 文件）也可以显示你的 CPU 型号和特性信息。

CPU 调频

对于 CPU 调频功能，你可以使用 FreeBSD 基本系统提供的守护进程 powerd(8) ，或者使用来自 FreeBSD Ports 或软件包的 powerdxx(8)。守护进程 powerdxx(8) 旨在更好地调频多核系统，在系统负载适中时不会将所有核心都调到高状态，但有些人可能更喜欢那种方法，以便在执行所有操作时都拥有全部性能，而在闲置时节省功耗。因此，powerd(8) 并不比 powerdxx(8) 更好，反之亦然。它们只是不同的实现，为你的需求提供了更多选择。

无论选择何者，都必须在文件 /etc/rc.conf 中进行配置。

powerd(8)

以下是守护进程 powerd(8) 的选项。

-n 选项用于未知状态——当 powerd(8) 无法确定当前是使用电源还是电池供电时使用。-a 用于电源，-b 用于电池供电。adaptive 设置较“温和”，更有利于延长电池续航时间。hiadaptive 设置更激进，适合在电源供电时使用。-m 选项设置最低 CPU 频率，-M 设置最大 CPU 频率，单位均为 MHz。更多细节请参见 powerd(8) 手册页。

powerdxx(8)

首先，你需要安装它。

然后，它的选项与守护进程 powerd(8) 的选项完全相同。

请查看上文 powerdxx(8) 部分获取标志/参数说明。

十年前，FreeBSD 上的 CPU 调频不像现在这么“简单”，你可以看看我 2008 年的老文章。

C 状态

可以在 /etc/rc.conf 文件中用以下选项配置 C 状态。

performance_cx_lowest
economy_cx_lowest

economy_cx_lowest 参数用于电池供电时，performance_cx_lowest 参数用于电源供电时。两者都通过 rc(8) 子系统使用的 /etc/rc.d/power_profile 脚本进行设置。该脚本会设置 hw.acpi.cpu.cx_lowest 参数，从而控制所有 dev.cpu.*.cx_lowest 的值。当你连接或断开电源时，也可以在 /var/log/messages 文件中跟踪这些变化。

通常我只是使用这些值。

上述设置对于大多数系统来说通常已经足够。要检查你的 CPU 支持哪些 C 状态，请看看 dev.cpu.0.cx_supported 的值。

我的 CPU 仅支持 C1 和 C2，但你的 CPU 可能支持更多。我记得曾经使用一台老旧的 Core 2 Duo 笔记本时，从 C1（运行）状态返回到 C2（休眠）状态会有相当“明显”的延迟，因此需要如下设置。此时不使用参数 performance_cx_lowest 和 economy_cx_lowest。你可以将第一个核心设置为 C1，其他所有核心设置为 C2。这样即使在电池供电时，你的系统也能完全响应，而其他核心则可以休眠以节省能源。

例如，如果你有 4 个核心，并且最深支持的 C 状态为 C3，那么你可以将如下内容添加到 /etc/sysctl.conf 文件中。

CPU 睿频

启用睿频模式有两种方式。一种是通过设置守护进程 powerd(8) 或 powerdxx(8)，将最大频率设置高于 CPU 标称速度。例如，如果你的 CPU 描述为双核 2.3 GHz，则可以使用参数 -M 将最大速度设置为 4000（即 4 GHz）。如果你不使用 CPU 调频守护进程，则可以使用参数 dev.cpu.0.freq，将其设置为 dev.cpu.0.freq_levels 中的最高（第一个）值。

下面是我系统上支持的 CPU 频率级别。

最高值（左侧）为 2501/35000，因此我需要将 dev.cpu.0.freq 参数设置为该值以启用睿频模式。你只需要使用“频率”部分的值，因为如果连同功耗描述一起设置，会导致失败。

如下所示为正确的使用方法。

USB 设备

要列出已连接的 USB 设备，请使用工具 usbconfig(8) 。

你会看到 pwr 参数（即 power，电源的缩写）显示当前电源设置，可以为：

ON
OFF
SAVE

要为 ugen1.1 设备设置新的 USB 电源选项，也可以使用 usbconfig(8) 工具，并使用参数 power_save，方法如下。

FreeBSD 的 USB 电源管理没有专用的配置文件，因此我们将设置放入通用的 /etc/rc.local 文件中，该文件在 rc(8) 子系统管理的启动过程结束时运行。下面是添加的内容，唯一的例外是我的无线鼠标“Lenovo USB Receiver 联想 USB 接收器”。

对于鼠标和触控设备，不保存电源是个好主意，因为每次使用时都需要等待约一秒钟，这会很烦人。我使用一个 for 循环为除无线 USB 鼠标（识别为“Lenovo USB Receiver”设备）之外的所有 USB 设备设置节能模式。

SATA/AHCI 电源管理

FreeBSD 通过 acpich(4) 驱动提供 AHCI 通道电源管理。这些电源管理设置可以在启动时通过 /boot/loader.conf 文件中的 hint.ahcich.*.pm_level 参数进行配置。我为多达 8 个通道进行了配置，尽管我实际上只有三个通道。

这是因为对不存在的设备进行设置是无害的，不会显示任何错误信息，而且你也不必为不同系统使用不同设置，从而节省时间。下面是 ahci(4) 手册页中关于 hint.ahcich.*.pm_level 的说明。

可能的电源管理选项如下：

0 – 禁用接口电源管理（默认）
1 – 允许设备主动发起 PM 状态改变，主机被动
2 – 每次端口空闲时，主机发起 PARTIAL PM 状态转换

下面是我在 /boot/loader.conf 文件中的设置。

无驱动的设备

FreeBSD 提供了对未附加驱动的设备不供电的节能选项。该选项称为 hw.pci.do_power_nodriver，可以在 /boot/loader.conf 文件中设置。下面是 pci(4) 手册页中的说明。

它可以设置为以下值之一：

0 – 所有设备保持完全供电（默认）。
1 – 类似于‘2’，但存储控制器仍保持供电。
2 – 关闭大多数设备电源（显示器/内存/外设不关闭）。

下面是我在 /boot/loader.conf 文件中的设置。

pciconf(8) 工具可以显示系统中的设备以及附加到它们的驱动程序。如果设备没有附加驱动，你会看到 *none@**，例如下面的 none0@。你还可以查看大多数驱动的手册页，例如 em(4) 查看 em0 设备，或 xhci(4) 查看 xhci0 设备。

你也可以使用参数 -v 获取更详细的信息。

Nvidia Optimus

如果由于某种原因你的 BIOS/UEFI 固件无法禁用 Nvidia 独显，你可以使用此脚本将其禁用，从而避免消耗系统电源。该操作需要内核模块 acpi_call(4)，该模块由软件包 acpi_call 提供。

你可以在 /etc/rc.local 文件中，将其添加到 USB 节能选项之后，使用如下条目。

它会将有效的 ACPI 调用存储在 /root/.gpu_method 文件中，并在每次启动时执行。

挂起与恢复

挂起/恢复机制的最大敌人是硬件 BIOS/UEFI 固件中的错误。例如，有时禁用蓝牙会有所帮助——这是 ThinkPad T420s 中的一个方案。要检查系统支持哪些挂起模式，请查看 sysctl(8) 中的 hw.acpi.supported_sleep_state。

要进入 ACPI S3 睡眠状态（挂起），你可以使用 acpiconf(8) 工具或 zzz(8) 工具。

……或者使用 acpiconf(8) 工具。

这与手册页 zzz(8) 中的说明完全相同。

你还可以设置 sysctl(8) 值，使每次关闭笔记本盖时系统进入睡眠状态。为此，将 hw.acpi.lid_switch_state=S3 添加到 /etc/sysctl.conf 文件中。无论是通过命令还是关闭盖子让硬件进入睡眠状态，打开盖子后笔记本都会恢复。当然，如果在执行 zzz(8) 命令后没有关闭盖子，你需要关闭并重新打开盖子，或按下电源按钮以恢复。当然，你也可以对桌面或甚至备份服务器执行挂起/恢复操作，这并不仅限于笔记本。

此外，不同厂商的 ACPI 子系统还有专用内核模块，如下：

/boot/kernel/acpi_asus_wmi.ko
/boot/kernel/acpi_asus.ko
/boot/kernel/acpi_dock.ko

例如，如果你使用的是 IBM/联想 ThinkPad，则需使用内核模块 acpi_ibm.ko。

加载所需模块后，你会得到新的 sysctl(8) 值供使用，例如与风扇速度、键盘背光或屏幕亮度相关的值。下面是在加载 acpi_ibm(4) 内核模块后，sysctl(8) 中新增的 dev.acpi_ibm 部分。

这里是一些更有趣的项的说明。

控制麦克风静音按钮上的 LED 灯。

dev.acpi_ibm.0.mic_led

选择是否管理 CPU 风扇（0）或使用厂商默认设置（1）。

dev.acpi_ibm.0.fan

如果启用 CPU 风扇，设置其转速。

dev.acpi_ibm.0.fan_level

显示 CPU 风扇转速（单位 RPM）。

dev.acpi_ibm.0.fan_speed

启用/禁用 WiFi（前提是在 BIOS 中启用）。

dev.acpi_ibm.0.wlan

启用/禁用蓝牙（前提是在 BIOS 中启用）。

dev.acpi_ibm.0.bluetooth

启用/禁用 ThinkLight。

dev.acpi_ibm.0.thinklight

静音/取消静音扬声器。

dev.acpi_ibm.0.mute

扬声器音量。

dev.acpi_ibm.0.volume

屏幕亮度。

dev.acpi_ibm.0.lcd_brightness

在大多数情况下，你可能无需直接使用这些参数，因为通常会使用厂商定义的键盘快捷键（可能需要 Fn 键）或厂商特定的专用按键。但有时你可能希望创建或使用自己的设置，或者需要自定义快捷键，或者想根据 CPU 温度以不同于厂商预设的方式控制风扇转速。这时，这些专用的 ACPI 内核模块就非常有用。

例如，我最近觉得我的 CPU 风扇声音似乎有些大，所以创建了基于 cron(8) 的自定义 acpi-thinkpad-fan.sh 脚本，在 CPU 温度足够低时使用较低或更安静的风扇转速。简单来说，它的工作逻辑是：CPU 温度低于 50°C 时关闭风扇，温度在 50°C 到 60°C 之间时设置为级别‘1’，温度超过 60°C 时设置为级别‘3’。

……下面是它在 crontab(5) 中的条目：

网卡

如果驱动支持节能功能，ifconfig(8) 也要相应选项，称为 powersave，用法如下：

我在自己的 network.sh 网络管理脚本中使用了它，脚本在文章中有详细介绍。

厂商工具

FreeBSD 上也有一些厂商提供的工具，例如 powermon(8)。请注意，它需要内核模块 cpuctl(4) 才能工作。

DTrace

动态追踪框架（像 ZFS 一样由 Solaris/Illumos 引入 FreeBSD）在延长电池使用时间方面也可能是款有用的工具。

首先安装软件包 dtrace-toolkit：

系统停止节能或唤醒 CPU，通常是因为有任务需要执行。你大多数情况下会使用 ps(1) 或 top(1) 来查看运行情况，但这些工具无法显示具体启动了哪些命令或命令的执行频率。这时 DTrace 就派上用场了。

我们将使用软件包 dtrace-toolkit 中的 /usr/share/dtrace/toolkit/execsnoop 脚本。它会打印系统中执行的每一个命令及其所有参数。当没有命令执行时，它将保持静默，请注意。

下面是我在更新 dzen2 工具栏时的示例输出。

屏幕顶部的信息更新会启动许多进程。这就是为什么我只每 5 分钟刷新一次 dzen2 信息，如果我想获得当前时刻的精确信息和系统状态，我只需点击 dzen2 工具栏，它就会执行所有这些命令并刷新自己。

通过这种方式使用 DTrace，你可以知道是否有不必要的进程消耗了宝贵的电池时间。你可以在我的文章中找到相关 dzen2 配置。

其他

ZFS

默认情况下，ZFS 每 5 秒提交一次事务组，这对于 vfs.zfs.txg.timeout 参数是一个良好的默认设置。如果需要，你可以稍微增加该值，例如设为 10。我之所以提到这个参数，是因为很多指南出于性能原因建议将其设置为 1，但请记住，将其设置为 1 会阻止你的磁盘（和 CPU）进入休眠，从而消耗更多电池寿命。

如果你想调整 vfs.zfs.txg.timeout 值，可以在 /boot/loader.conf 文件中设置。

应用程序

延长电池使用时间时，所使用的应用程序也至关重要。例如，Thunar 比 Caja 或 Nautilus 占用更少的 CPU 时间。Geany 文本编辑器比 Scite 或 Gedit 占用更少的 CPU 资源和内存，即便是 GVim 也会占用更多资源。更不用说基于自定义 Openbox/Fluxbox/${YOUR_FAVORITE_WM} 的窗口管理器设置，其 CPU 占用远低于整个 Gnome 或 Mate 环境。

硬件

有时可以通过硬件本身获得更多电池时间。例如，当你为笔记本购买新的固态硬盘时，可以选择速度不是最快但最节能的型号。你可能感受不到性能差异，但会明显获得更长的电池使用时间。

大多数内存模块的电压为 1.5V，但你的笔记本可能支持 LPDDR 模块（1.35V），从而延长电池续航。此外，每根内存条大约消耗 0.5–1.0W 功率，因此使用单根 8 GB 内存条比使用两根 4 GB 内存条能拥有更多电池时间。当然这也有性能上的缺点，因为单条内存无法使用双通道技术，会限制内存速度。一些笔记本甚至有四条内存槽（例如 ThinkPad W520），因此为了更长的电池寿命，可以选择使用两根 8 GB 内存条而不是四根 4 GB 内存条，而不会损失性能。

有时你可以将 DVD 光驱替换为内部辅助电池。例如 Dell Latitude D630、ThinkPad T420s 或 ThinkPad T500/W500。有些厂商提供整块贴合笔记本底部的扩展电池，例如 ThinkPad X220、T420/T520/W520 或第一代 ThinkPad X1 笔记本的扩展电池。

希望这些信息能帮助你在 FreeBSD 上延长一些电池使用时间（或至少节省一些电量） :🙂:

更新 1 – 显卡节能

如果你安装了 graphics/drm-kmod 包，你可能使用的是最新的内核模块 i915kms.ko 。

要为 Intel 核显设置最大化电源管理，请将以下内容添加到 /boot/loader.conf 文件中：

过去使用的旧设置如下，但现在已不再使用：

更新 2 – AMD CPU 温度

对于 Intel CPU 使用 coretemp(4) 内核模块，而 amdtemp(4) 内核模块可提供 AMD CPU 的额外温度信息。

更新 3 – Suspend/Resume 提示

Suspend/resume 子系统最大的敌人是 BIOS/UEFI 固件中的 BUG。有时禁用 Bluetooth 有助于解决问题——例如 Lenovo ThinkPad T420s 的做法。在 Lenovo ThinkPad X240 上，需要禁用 TPM（Trusted Platform Module）。

更新 4 – Intel Speed Shift

我在较老的 2011 年 ThinkPad W520 上运行 FreeBSD，因此这个选项对我来说仍然是个谜——但对于运行更新系统的用户可能会有帮助。

随着 Intel Skylake（第六代）CPU 的引入，FreeBSD 能够利用 Intel Speed Shift 技术。你可以在手册页中了解更多信息。要启用该功能，请在 /boot/loader.conf 文件中添加以下行：

然后在 /etc/sysctl.conf 文件中，你需要为每个 CPU 线程（而非核心）都添加一行，使用你期望的设置：

这里的 N 代表线程编号。对于双核四线程 CPU，你将有 4 行这样的设置；对于八核 CPU，你将有 8 行。

Y 的取值含义如下：

0 – 最大性能
50 – 平衡（默认）
100 – 最大节能

若希望获得最大化节能，可以为所有线程使用 100，如下所示：

当然，你也可以为单个线程使用全性能，将一个线程设置为平衡，其余线程节能，如下所示：

… 当你接入电源而非使用电池时，你可能希望全部线程都使用无限制性能，将所有值设为 0。

以下是具体设置示例。

理想情况下，当使用电源时，你会使用 performance（性能）设置，而在使用电池时则运行 power save（节能）模式。你可以通过下面这个简单脚本实现，并让它在 cron(8) 守护进程中运行。

… 下面是 crontab(5) 的条目。我这里假设你已经具备所需的 doas(1) 权限。如果你使用 sudo(8)，请相应修改脚本。

遗憾的是，我目前没有搭载 Intel Speed Shift CPU 的笔记本，所以不确定为前两个线程分别设置 0 和 50 是否最佳。也许将所有线程都设为 100 以节省更多电力会更好。当我将来拥有这样的笔记本时，会再做更新 🙂

为什么是 FreeBSD？

原文：Quare FreeBSD?
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
2020/09/07

我本来真的想把这篇文章写得不那么长……但我彻底失败了。但我至少尽力把它组织得井井有条，这样读者在略读之后可以回过头来复习，因为它并不是一堂速成课。我本想将它命名为 Why FreeBSD?，但当你在自己喜欢的搜索引擎 duck.com中输入这个标题时，会出现很多类似的文章。我希望它有个独特且与众不同的名字，于是我使用了拉丁语中的“为什么”——quare。

FreeBSD 能为你提供哪些在其他操作系统无法提供的东西？在我使用过的所有操作系统中，我发现 FreeBSD 的缺点最少。这篇文章并不是为了说服你使用和尝试 FreeBSD——这需要你自己去体验。本文将展示 FreeBSD 的价值所在，以及为何它是其他操作系统的更好替代方案，并且 FreeBSD 绝对没有走向大败局。

基本系统

当你安装 Linux 系统时，它只是一些 RPM 或 DEB 软件包的集合。例如，如果你安装 CentOS 7.8 的 Minimal 版本，最终会安装几百个 RPM 软件包。经过一周乃至一个月，其中许多软件包会收到更新，有时会导致这个 CentOS 系统无法使用，甚至无法启动（例如最近的 GRUB Boothole 问题）。而 FreeBSD 提供了 基本系统 的概念。这意味着当你安装 FreeBSD 时，你安装的是完整的最小系统。没有需要单独更新的软件包或子系统。只是完整的 基本系统。这意味着 /boot /bin /sbin /usr /etc /lib /libexec /rescue 目录不受其他软件包影响。当你决定安装软件包（或使用 FreeBSD Ports 构建它们）时，它们都会安装在路径 /usr/local 下。这意味着配置文件位于 /usr/local/etc，可执行文件位于 /usr/local/bin 和 /usr/local/sbin，库文件位于 /usr/local/lib 和 /usr/local/libexec，依此类推。FreeBSD 基本系统 的内核模块与内核一起存放在目录 /boot/kernel。为了保持整洁，由软件包提供的所有内核模块都会放在 /boot/modules 目录中。所有内容都有其位置并且互不干扰。

这就是 基本系统 二进制文件（位于 /bin /sbin /usr/bin /usr/sbin 目录）与由 pkg(8) 维护的第三方软件包（位于 /usr/local/bin 和 /usr/local/sbin 目录）之间的分离。我们都知道 bin（普通用户）与 sbin（root）二进制文件的区别，但在 FreeBSD 中还有另一种与 UFS 相关的分离。当 FreeBSD 世界中只有 UFS 文件系统时，/bin 和 /sbin 二进制文件在根文件系统（/）挂载后、/usr 文件系统挂载前即可使用——这是个历史性的（在 UFS 配置中仍然有用）区分，可追溯到早期 UNIX 时代。在 ZFS 配置中，这不再重要，因为所有文件都在 ZFS 池中。

下面是 基本系统 的 / 目录示意图，以及可选的第三方应用程序目录 /usr/local。

FreeBSD 基本系统 的分离还有另一个好处——如果某个软件包产生“伟大”的想法，去安装新的 cc 编译器并覆盖默认系统编译器，或者以某种方式添加库和头文件，使得系统恢复工作变得非常困难，你也不必担心。如果某个随机的 FreeBSD 软件包将 libc.so 添加到 /usr/local/lib 目录，你仍然可以正常运行程序，因为 FreeBSD 系统二进制文件是链接到 /usr/lib 下的内容。这也是 UNIX 系统（包括 FreeBSD）中存在 PATH 变量的原因，用于设置首先搜索哪些目录的二进制文件。在 FreeBSD 中，默认设置是先搜索 基本系统 的二进制文件目录，然后再搜索第三方软件包目录。

你可以使用命令 freebsd-update(8) 在 RELEASE 系统下单独更新（或不更新）基本系统，或者在 STABLE/CURRENT 系统下通过 make buildworld 和 make installworld 命令重新编译更新。而软件包可以通过 pkg(8) 工具更新，或者在 /usr/ports 目录下使用 portmaster 从 FreeBSD Ports 树构建更新。这意味着软件包的更新不会影响你的 FreeBSD 基本系统。例如，当你搞砸了已编译的 ports 和软件包（我在 FreeBSD 初期就这样做过），如果你想重新开始，你只需要删除 /usr/local、/boot/modules 和 /var/db/pkg 目录。就这样，你就回到了 基本系统，可以重新开始。这在 Linux 系统中是无法做到的。即使是很多概念基于 FreeBSD 的 Gentoo，也没有 基本系统 的特性。

基本系统 还有个额外的优点。由于它与软件包分离，没有人阻止你在 2012 年的 FreeBSD 9.0 上运行最新的 Firefox 80 或 LibreOffice 7.0。而你却无法在 2012 年的 Ubuntu 上安装最新的 Firefox……

有人可能担心，这样独立于安装软件包的 基本系统 会占用更多空间，但事实完全相反。Fresh 安装的 FreeBSD 12.1 系统占用不到 1 GB 磁盘空间，运行 sshd(8) 时使用不到 75 MB 内存。相比之下，Fresh 安装的 CentOS 7.8（选择 Minimal 集）占用 1.1 GB 磁盘空间，运行 sshd(8) 时使用超过 100 MB 内存。这样的 CentOS 系统非常精简，实际使用还需要安装更多软件包，而 FreeBSD 依靠 基本系统 本身就更强大且功能丰富，例如自带最新版本的 LLVM/CLANG 编译器套件。

从 FreeBSD 15.0 开始，可以使用 PKGBASE 特性安装 FreeBSD，而不是传统的发行版集合——这允许 pkg(8) 命令管理 FreeBSD 基本系统 的软件包集。这与 Linux 系统不同，因为在 Linux 上所有内容都在一个平面仓库中。而 FreeBSD 使用 PKGBASE 仍然保留软件包集、核心软件包，并为 基本系统 提供独立仓库。如果 FreeBSD 与 Linux 相同，所有软件包——包括 基本系统 和第三方软件包——都在一个仓库中，没有 PKGBASE 软件包集，也没有 基本系统 核心软件包。而你仍然可以将 FreeBSD 基本系统 软件包与第三方软件包分开升级，只需向 pkg(8) 命令指定 -r REPOSITORY 参数即可。

关于 基本系统 主题的更多资料：

ZFS 启动环境

我已经多次谈到过这一点，可能次数还不够，因为 Linux 世界仍然忽视这一“福音”。拥有 ZFS 启动环境 是一个彻底改变游戏规则的特性，一旦你发觉它的强大，你就再也不想使用不支持 ZFS 的系统。其核心思想是，你能在系统运行的任意时刻创建快照，如果出现问题，可重启回到该时刻（或快照）。这是升级或系统变更的完美解决方案。FreeBSD 系统本身已经很好地“防护”了更新软件包后可能产生的问题，但 ZFS 启动环境 将这种保护提升到了一个全新的水平。

就像电影中的情节一样，借助 ZFS 启动环境，你将拥有无限次机会来把事情处理好。即使 基本系统 的更新和变更，也受其保护。你甚至可以使用 zfs send 和 zfs recv 命令将该 启动环境 传输到其他系统，或者在多个系统间分发它。你可以基于它创建 Jails 容器……或者在新的 启动环境 中安装 FreeBSD 新版本并重启进入，同时保留旧的“生产”系统不受影响。

关于 ZFS 启动环境 的更多资料：

救援

当你把系统搞得一团糟，甚至 基本系统 概念或 ZFS 启动环境 功能都无法阻止你破坏 FreeBSD 安装时，还有一个更高级别的救援手段——rescue 救援 子系统。

你可以使用大约 150 个静态链接的二进制文件来执行 FreeBSD 安装的救援任务。你可能会想，这么多二进制文件是不是占用了大量空间……事实完全相反。它实际上是一个静态二进制文件，通过硬链接实现，并且只占用 11 MB 的磁盘空间。

救援子系统甚至包含一些二进制文件，例如用于 ZFS 启动环境 管理的 bectl(8)，以及用于 ZFS 文件系统的 zfs(8) 和 zpool(8) 命令。以下是这些二进制文件的完整列表。

关于 rescue 救援 主题的更多资料：

音频

许多人可能不会期望 FreeBSD 在音频方面表现突出，但它在这方面已经表现卓越，并且这种优势不是最近才有，而是持续了数十年。记得 Linux 摒弃了旧的 OSS 子系统（单声道）并提出“伟大”的 ALSA 思路吗？我记得，因为那时我用 Linux。用“灾难”来形容当时的 Linux 音频栈都算礼貌……后来 PulseAudio 出现，整个 Linux 音频系统变得更烂。当时，由于只有 OSS 单通道而 ALSA 有许多通道，这意味着只有一个使用 OSS 后端的应用程序（例如 WINE）可以输出声音。如果另一个应用想用 OSS 发声，而 WINE 已经占用了唯一 OSS 通道，就会没有声音。而当时 ALSA 的实现非常糟糕，以至于 KDE 或 GNOME 各自创建了用户空间的声音守护进程来混合音频，这些守护进程之间又不兼容。这意味着如果你同时使用 KDE 和 GNOME 应用，可能 GNOME 应用有声音，而 KDE 应用没有，反之亦然。那真是 Linux 上的音频地狱。

回到 FreeBSD 音频，FreeBSD 提供了什么？惊人的 256 个 OSS 通道在内核中实时混音，实现低延迟。所有音频功能开箱即用——至今依然如此。你可以让 WINE 或 KDE/GNOME 的声音后端绑定到它们的 OSS 通道，同时 ALSA 应用也能正常使用声音设备。即使你插入一个 5.1 环绕音响系统，FreeBSD 也能开箱即用，应用程序能够立即使用。FreeBSD 的音频优势至今依然存在，而 Linux 中 PulseAudio 在用户空间混音虽然能用，但相比内核中的低延迟 FreeBSD 混音，会有较大延迟。

同事提到，FreeBSD 也是唯一拥有 virtual_oss 的操作系统，它能在用户空间进行混音/重采样/压缩，并能把蓝牙耳机和 USB 麦克风表示为单一声卡。

关于音频的更多资料：

Jail

FreeBSD Jail 是最早的实现之一，可追溯到 1999 年。即便是 Solaris 的 Zones/Containers，也要到 2004 年才问世，比 Jail 晚了五年。

在 Linux 引入 Docker 之后，操作系统级虚拟化 这一术语逐渐被容器（Containers）取代，现在 FreeBSD Jail 与 Solaris Zones/Containers 被称为初代容器。但这种命名上的变化并没有降低 FreeBSD Jail 的强大功能。它们使用起来也非常简单。你只需要一个目录——例如 /jail/nextcloud——将所需版本的 FreeBSD 基本系统 解压到该目录，例如从 12.1-RELEASE 获取，并在 /etc/jail.conf 文件中创建 Jail 配置，如下所示。

现在你可以立即启动你的 Jail。

瞧！你的 FreeBSD Jail 已经跑起来了。

当然，如果需要，你可以在 Jail 中使用精简版的 FreeBSD 基本系统。ZFS 文件系统在这里也非常有用，因为使用 zfs clone 时，只有你的“基础” Jail 会占用空间，而从它创建的 Jails 只会记录你的修改。借助 FreeBSD 的另一个子系统——Linux 二进制兼容层，你还可以创建 Linux Jail，例如运行 Devuan 或 Ubuntu Jail。

FreeBSD Jail 也非常轻量。在单台 4 GB 内存的 FreeBSD 系统上，你可以启动并使用约 1000 个 FreeBSD Jail。

与纯 Docker 相比，它们也更容易调试和排错——更别提 Kubernetes，需要整支高技能团队来维护。

可以仅通过 基本系统 工具管理 FreeBSD Jail，如 jls(8)/jexec(8)，当然你也可以选择许多第三方 Jail 管理框架。在所有可用选项中，我会推荐，因为其现代化的方法和大量可用模板覆盖各种使用场景。

如果你想了解 Jail 的所有功能，可以参考文章。

更多关于 Jail 的资料：

Bhyve

FreeBSD——和 Linux 或其他受人尊敬的操作系统一样——自带其自研的虚拟化 hypervisor。在 FreeBSD 世界中，这个原生解决方案被称为 Bhyve（拼写为 bee hive）。

在功能方面，它类似于 KVM/XEN/VMware/VirtualBox。

它唯一缺少的是 Live Migration 热迁移 功能。这个功能正在开发中，因为 Save/Resume 功能正在测试中，很快将被合并。

除此之外——它的性能与前述竞争产品不相上下或相似。归根结底——它们都使用相同的 AMD/Intel CPU 功能，这些功能支持 x86 平台的虚拟化。

如果你想全面了解 Bhyve hypervisor 的全部特性——可以查看文章。

另外，如果 Bhyve 不适合你的需求，FreeBSD 也支持 XEN（作为 dom0）和 VirtualBox hypervisor。

更多关于 Bhyve 的信息：

FreeBSD Ports 基础设施

这又是一个例子，说明为什么 FreeBSD 如此出色。当你安装某个版本的 Ubuntu 或 CentOS 时，很可能得到的不是最新版本的包，而是该发行版发布时比较新的版本。这一点在 CentOS 世界（以及其上游企业源系统 Red Hat）中尤其明显——在 .0（点零）版本发布时，包几乎都是最新的，但当该版本的 .8 或 .9 版本可用时，包已经严重过时。更不用提像 Firefox 这样每个月都有新版本发布的情况了……

正如我之前在说明 FreeBSD 基础系统 时所说，FreeBSD Ports（以及通过 pkg(8) 命令可用的由其构建的包）是独立的。这意味着来自 FreeBSD Ports 的第三方软件几乎总是最新的（或非常接近最新）。你甚至可以在网站上查看详细信息。下面是本文撰写时统计的“快照”。在线表格非常长，这里仅复制了与本文相关的系统部分。

FreeBSD Ports 的另一个优势是，它提供了极其庞大的软件量——本文撰写时已有 40354 个 port，并且数量仍在增加。可直接安装的包数量略少，32000 余个可用包。

我曾在 2009 年短暂迁移到 OpenSolaris，在我的 Dell Latitude D630 笔记本上，因为我非常喜欢 Solaris 的所有功能（包括当时 FreeBSD 上尚不可用的 ZFS 和 ZFS Boot Environments），OpenSolaris 基于 GNOME 的桌面也相当不错，即使在 Nautilus 文件管理器中提供 ZFS 快照的 Time Slider 功能。当时我成功连接了 WiFi，声音正常，总体而言笔记本上的一切都得到支持并正常运行……但软件很少。当然，“大”项目如 GIMP 或 OpenOffice 在默认 pkg(8) 仓库中可用，但其他不多。当时 OpenSolaris 的可用包不到 4000 个，而 FreeBSD 的包大约有 25000 个，如果我没记错的话。

你也可以通过网页轻松浏览可用的 FreeBSD Ports（及其选项），使用页面。

FreeBSD Ports 的数量是一方面，功能则是另一方面。无论你使用哪种 Linux 发行版，总会遇到某些软件在编译和发布时没有加上你急需的标志。如果在 FreeBSD 上遇到类似情况，“痛苦”只会持续片刻，因为你可以非常轻松地使用所需选项重新编译该软件，并用自己的版本替换掉“默认”包。例如，FreeBSD 项目因为现有的 MP3 专利而不敢提供 Lame 包（译注：在 2020 年该限制及下述限制），所以 multimedia/ffmpeg 包默认是没有 MP3 支持的（使用 --disable-libmp3lame 标志）。这就是为什么我有自己的 audio/lame 和 multimedia/ffmpeg 包，都是按照我的 configure 选项构建的，而且实现非常简单。你只需进入 /usr/ports/multimedia/ffmpeg 目录，输入 make config，在 ncurses 对话框中选择 [x] LAME。你选择的选项会保存到普通文件 /var/db/ports/multimedia_ffmpeg/options。如果删除该文件（或输入 make rmconfig），这些自定义选项将重置为默认值。然后输入 make build deinstall install clean，你的 port 就会以新选项构建并安装为包，无需其他操作。你甚至可以使用 pkg(8) 的 pkg lock -y ffmpeg 命令锁定该包，防止之后被窜改，但更好的做法是每次执行 pkg upgrade 时重新构建此类包，以应对库版本升级和变化。虽然使用这些命令创建脚本实现自动化非常容易快捷，你也可以使用 FreeBSD Ports 基础设施的其他部分——比如 Poudriere（或 Synth）——在下一部分会详细介绍。

你也不必每个 port 都这样配置（对于大量 port 来说会很麻烦），可以只在 /etc/make.conf 文件中全局指定所需的 (OPTIONS_SET) 或不需要的 (OPTIONS_UNSET) 参数。你还可以指定软件的默认版本，例如使用 Apache 2.2 而不是 2.4，使用 PHP 7.0 而不是 7.2。所有默认版本信息可以在 /usr/ports/Mk/bsd.default-versions.mk 文件中找到。只要设置好这些选项，你可以使用 portmaster(8) 工具从 FreeBSD Ports 构建/重建或更新包。类似 Gentoo Linux 的 USE 标志，但这才是原版。Gentoo 的大部分思想都是从 FreeBSD 系统及其 Ports 基础设施中借鉴的。

Poudriere 是一款构建框架，它使用 FreeBSD Ports 和 FreeBSD Jails 以干净、可复现的方式构建所需包。你可以为 pkg(8) 命令创建全新的二进制包仓库。我提到 Synth，是因为 Poudriere 通常用于生成整个包仓库，而 Synth 通常仅用于重建几个不符合你需求的包。

关于 FreeBSD Ports，有一点常被新手误解。Ports 和通过 pkg(8) 工具获取并安装的包有什么区别？很简单：软件包只是预构建并安装的 port，仅此而已。当你使用 pkg(8) 命令安装二进制包时，你使用的是某个人（在 FreeBSD 的情况下就是 FreeBSD 项目）在某个时间点从 FreeBSD Ports 构建的包。虽然 FreeBSD 努力保持构建包尽可能更新，但 FreeBSD Ports 的本质是总比构建好的包更新。这就是为什么你可以自己使用 FreeBSD Ports 构建并安装所需包的新版本。考虑安全漏洞时，这种使用方式尤其有意义。当某些本地执行的命令（如 file(1)）存在安全漏洞时，可能不必急于更新，因为漏洞对你可能无害；但当 Firefox 的新版本修复了重要安全漏洞时，最好尽快从 FreeBSD Ports 更新，因为等待两天构建包（与其他包一起）可能太长。

更多关于 FreeBSD Ports 的信息：

从源码更新/构建

虽然 FreeBSD Ports 基础设施是为第三方软件设计的，FreeBSD 基本系统（或其部分）也可以轻松方便地从源码构建。FreeBSD 内核配置也非常小巧且简单。相比之下，Linux 内核配置包含数千个选项——例如在默认 CentOS 8.2 安装中有 4432 个选项，而 FreeBSD 的 GENERIC 配置的选项数量约只有前者的二十分之一——只有 260 个选项。但这还未触及主题的核心。你可以从最小化的 FreeBSD 内核配置开始，其仅指定 75 个选项。

……而且这不仅仅是选项数量更少的问题。你能说说重建 CentOS 或 Ubuntu（例如去掉蓝牙支持）需要多少步骤（以及哪些步骤是必须的）吗？

相反，在 FreeBSD 上操作非常简单（且快速）。虽然 /etc/make.conf 文件用于启用/禁用 Ports 选项，但 /etc/src.conf 文件用于在从源码构建 FreeBSD 基本系统 时启用/禁用选项。要构建不含 Bluetooth 支持的 FreeBSD，只需在 /etc/src.conf 文件中添加 WITHOUT_BLUETOOTH=yes，然后输入以下命令进行构建：

瞧！现在你拥有了不含蓝牙支持的 FreeBSD……而且如果任何步骤失败，或者由于你的经验/专业知识不足导致 FreeBSD 系统无法启动或损坏，你可以使用 /rescue 中的工具尝试修复（或至少找出问题所在）；如果你不想处理这些问题，只需在 FreeBSD loader(8) 中选择 safe ZFS Boot Environment，即可启动到你开始构建修改版 FreeBSD 之前的系统。是的，这里你几乎“刀枪不入”。在拥有 294 个 WITHOUT_X 选项和 125 个 WITH_X 选项的情况下，你真的可以将 FreeBSD 基本系统 调整到完全符合你的需求。

通过源码更新 FreeBSD 的一大缺点是，你无法使用 freebsd-update 工具……但这并不妨碍你创建自己的 FreeBSD 更新服务器，这样你就可以通过使用 CURRENT 或 STABLE 系统（而不是 RELEASE）添加更新来使用 freebsd-update。这一过程在官方 FreeBSD 文档的文章中有详细描述。

更多关于 FreeBSD 源码更新/构建 的信息：

存储

存储是 FreeBSD 真正出彩的部分之一。很多人因为 FreeBSD 对 ZFS 文件系统的良好集成而喜爱它，这确实不假。FreeBSD 中的 ZFS 一直是一级公民。最近，OpenZFS 2.0 也已从 FreeBSD 与 Linux 的联合上游仓库集成。越来越多的 FreeBSD 功能和解决方案正在利用 ZFS 的特性。

大多数喜欢 FreeBSD 集成 ZFS 的人并不了解 FreeBSD 的 GEOM 模块化磁盘转换框架，它提供了各种存储相关功能和工具，例如软件 RAID0/RAID1/RAID10/RAID3/RAID5 配置，或使用 GELI/GDBE 对底层设备进行透明加密（类似 Linux 上的 LUKS）。它还能为任何文件系统提供透明的文件系统日志功能（GJOURNAL，甚至适用于 FAT32 或 exFAT），或通过 GEOM GATE 设备将块设备导出到网络上（类似块设备的 NFS）。

FreeBSD 还拥有自己的 FUSE 实现，使所有基于 FUSE 的文件系统能够在 FreeBSD 上原生工作。虽然很多 Linux 用户了解 DRBD，但很少有人知道 FreeBSD 自带类似 DRBD 的解决方案 HAST——其功能完全相同。尽管 ZFS 功能丰富，FreeBSD 仍然维护并开发快速且内存占用小的 UFS 文件系统，该文件系统今天根据使用场景可使用 Soft Updates (SU) 或 Journaled Soft Updates (SUJ)。例如，在 UFS 文件系统上使用 Journaled Soft Updates (SUJ) 管理 10 TB 数据，fsck(8) 检查大约只需 1 分钟。这些存储解决方案仅依赖 FreeBSD 基本系统 即可实现。FreeBSD Ports 提供更多功能，包括分布式文件系统解决方案，如 CEPH、LeoFS、LizardFS 或兼容 Amazon S3 的 Minio 存储。

更多关于存储的信息：

Init 系统

FreeBSD 提供了非常简单但功能强大的 init 系统。它在 /etc/rc.conf 文件中有系统级配置，你可以通过条目 service_enable=YES 和 service_enable=NO 启用/禁用所需服务。你甚至不需要打开 vi(1) 来手动添加，只需输入 sysrc service_enable=YES，条目就会被添加到 /etc/rc.conf 文件中。系统还提供了默认值和默认启用的服务，你可以在 /etc/defaults/rc.conf 文件中找到它们，以及大量注释。每个 FreeBSD 服务文件都有 PROVIDE/REQUIRE 条目，用于自动确定服务启动顺序。可以并行运行的服务会同时启动以节省时间。例如，没有网络启动 sshd(8) 守护进程是毫无意义的。要启动或停止服务，只需输入 service sshd start 或 service sshd stop 命令。但当某个服务未在 /etc/rc.conf 文件中启用时，需要使用 onestart 和 onestop。基本系统 的分离在这里仍然保持：FreeBSD 基本系统 服务位于 /etc/rc.d 目录，而来自 ports/packages 的第三方应用位于 /usr/local 前缀下，即 /usr/local/etc/rc.d 目录。

使用 systemd(1) 时，你无法预测服务启动顺序，每次可能都不同，完全没有确定性。而在 FreeBSD 上，你可以精确知道哪些服务会启动，因为它们总是根据 PROVIDE/REQUIRE 条目以相同顺序排列。FreeBSD 还提供了工具 rcorder(8)，可用于查看所有服务、基本系统 服务或第三方服务的精确启动顺序。同时，service -r 命令可以显示启动时的实际顺序。

在 FreeBSD 中添加新服务也非常简单，因为新服务的模板非常小巧且易于理解。

如果你觉得还不够简单，FreeBSD 官方有一篇关于如何编写服务的文章——。

更多关于 Init 系统 的信息：

Linux 二进制兼容层

虽然 Linux 不能成为 FreeBSD，但 FreeBSD 可以运行 Linux——而且这并非低速模拟，而是通过对 Linux 系统调用的实现来完成的。过去企业常使用 FreeBSD 的 Linux 二进制兼容层 来运行仅适用于 Linux 的应用（当时 FreeBSD 上不可用），因为这样比在 Linux 上原生运行更快——，这是官方 FreeBSD 新闻稿，介绍 FreeBSD 曾用于为经典影片生成视觉特效。

如今，LINUX_COMPAT 同样原生高效，能运行 Linux 应用——甚至可以在 X11 下硬件加速运行 Linux 游戏。可以将其理解为针对 Linux 应用的 WINE，它位于 /compat/linux 目录下。它甚至实现了 Linux 的 /proc 虚拟文件系统，可挂载在 /compat/linux/proc，但并非强制要求。对于任何没有源码、仅能在 Linux 上运行的软件，Linux 二进制兼容层 都能派上用场。例如项目。在了解 Redshift 之前，我曾使用 LINUX_COMPAT 运行 f.lux Linux 二进制版本，在 FreeBSD 屏幕上抑制蓝光。Linux 二进制兼容层 子系统还可以用于运行基于 Linux 的 FreeBSD Jails，例如 Devuan。

更多关于 Linux 二进制兼容层 的信息：

简洁性

FreeBSD 很简单，但并不粗糙或难以驾驭。例如，和 Linux 一样，FreeBSD 系统也支持虚拟文件系统 /proc，但在 FreeBSD 上它是可选的，默认不启用，而 Linux 则离不开它。然而，Linux 在强制使用 /proc 的同时，还拥有另一个位于 /sys 的虚拟文件系统……但为什么 Linux 需要两个目的类似的虚拟文件系统？为什么不能把所有内容都放在已经存在的 /proc 下呢？这对我的理智来说简直是个谜。

而 /sys 并不是这场混乱的终点，它仅仅是开始。

那么这些呢？

securityfs
devpts
cgroup

看看 FreeBSD 在默认 ZFS 安装后的 mount(8) 输出，就能体会不同的简洁设计。

几个 ZFS 数据集，以及一个用于 /dev 目录的虚拟 devfs 文件系统。如果安装在 UFS 上，则类似，只是会挂载几个 UFS 分区来替代 ZFS 数据集。

再看看 CentOS 8.2 的安装情况——只有一个物理根（/）XFS 文件系统。

天哪。那里甚至很难找到任何真正的文件系统……幸运的是，我们可以请求仅显示 XFS 文件系统。

现在我们来谈谈网络。假设你想在一台物理服务器上建立标准企业级网络配置，将两个网卡聚合成一个高可用接口 bond0（在 FreeBSD 上为 lagg0），然后在该 VLAN 上配置 VLAN 标签和 IP 地址。CentOS 7.x/8.x 的安装程序（Anaconda）在面对这种情况时会让你应接不暇。

说明一下——我选择了“STATIC”（静态）IPv4 地址，但安装程序却让这些接口同时使用 DHCP 和那个 STATIC 地址。这可能是一个 bug，不过我们直接说重点。

经过手动使用 vi(1) 修正（花费大约一小时）后，它应该是这样的。

更好了……但仍然占用大量空间，需要多个文件来完成这个相对简单的配置。更不用说其复杂度高、容易出错的特点。而在 FreeBSD 上，同样的配置只需在单个 /etc/rc.conf 文件中写 7 行即可，如下所示。

但这还不是所有的复杂之处。过去，你可以使用简单的 service network restart 命令重启 RHEL/CentOS/Rocky/... 的网络配置……现在不行了。你需要输入两个命令：先 nmcli networking off，再 nmcli networking on。为了确保第二条命令能够执行，并且在执行前不会丢失网络连接，你必须在 screen(1) 或 tmux(1) 终端复用器中一个接一个地输入它们。简直方便得不得了 🙂。

启动过程呢？FreeBSD 可以直接从 ZFS 根分区启动，只需一个小的 512 KB 不可挂载分区。无需单独的 /boot 设备。而 Linux 总是需要单独的 /boot 分区，并且里面充满了 GRUB 模块。不管是 ZFS 还是 LVM，这都是必须的。这也是为什么在 Linux 上实现 ZFS Boot Environments 非常复杂——即使你在 Linux 系统上使用 ZFS 根分区，仍然存在未受保护的 /boot 文件系统，无法用 ZFS 快照，只能用传统方式保护，这几乎摧毁了 ZFS Boot Environments 的理念。

FreeBSD 真的是一个简单且设计周到的操作系统，同时也是被严重低估的系统。

改革而非革命

有多少 Linux 工具或子系统被废弃或被新工具取代？为什么没有为 ifconfig(8) 增补新选项，而是引入了全新的 ip(8) 命令？同样，netstat(8) 被 ss(8) 替代，arp(8)/iwconfig/route(8) 等也如此。整个 init 系统呢？Linux 世界已经被 systemd(1) 占领，无论你喜欢与否。即便像 Ubuntu 这样拥有成熟 init 系统（Upstart）的发行版，也完全转向 systemd(1)。如今，未采纳 systemd 的发行版非常少，被视为小众。

而在 FreeBSD 世界中，仅在无法通过其他方式实现新功能时才会进行重大变更。这是 FreeBSD 最不希望发生的情况。FreeBSD 的发展注重稳定性和向后兼容性。用户空间工具会随着新选项逐步更新，而不是反复重写。更不用说，将一个工具换成另一个工具会带来多少新的 bug。

更多关于 改革而非革命 的信息：

文档

拥有一款几乎能做任何事情的系统，但不知道如何操作，这样的系统几乎没用（或者至少使用起来非常麻烦）。FreeBSD 提供了无与伦比的文档，这些文档都是持续维护和更新的。除了其传奇的和，FreeBSD 项目还提供官方，涵盖各种 FreeBSD 主题。也非常详细，并包含大量示例。还有页面，用于记录正在进行的文档和与 FreeBSD 开发相关的想法。如果你在使用 FreeBSD 时遇到问题或有疑问，也可以访问官方和老派的。

以上仅是官方项目的知识来源，此外还有大量 FreeBSD 书籍。你也可以参考我专门的文章，深入了解可用的 FreeBSD 书籍。以下是最佳且最新的书籍：

Absolute FreeBSD – Complete Guide to FreeBSD – 第三版（2019）
Beginning Modern Unix（2018）
Book of PF – 第三版（2015）

还有两本专门面向 BSD 和 FreeBSD 系统的杂志，均免费，涵盖大量 FreeBSD 有趣话题：

拥有如此丰富的知识和支持，要在 FreeBSD 系统上实现所需功能几乎没有难度。

社区

最后但同样重要，我认为社区甚至比优秀的文档更重要（FreeBSD 的文档非常棒）。使用 FreeBSD 的人通常是有意识选择的，并且往往在 FreeBSD 领域以及其他 UNIX 系统相关领域都有经验。他们往往经历了从 Linux 系统开始使用的漫长过程，最终选择 FreeBSD，或者在日常仍然从事 Linux 管理工作，但在休息时使用更合理、理智的 FreeBSD 解决方案。我总是觉得 FreeBSD 社区非常乐于助人且友好，尤其对新人非常耐心。即便你试图在不公或有争议的讨论中“逼迫” FreeBSD 用户“争辩”，他们也会以尊严和技术论据回应，而不是对你大喊大叫。

FreeBSD 项目甚至专门为 Linux 新手（有时被称为 systemd(1) 难民）制作了若干文章和 Handbook 章节：

结语

我尽力避免将其写成对 Linux 的抱怨，但有些人可能会有这种感觉——如果是这样，请记住，这并非我的本意。FreeBSD 和 Linux 以及任何其他操作系统一样，都有其优缺点。希望我向你展示了 FreeBSD 中最有趣的部分。将来我可能会在这里无预警地增加新章节 🙂。

外部讨论

来自“外部”来源的讨论和评论可在以下链接查看：

FreeBSD 企业级 1 PB 存储

FreeBSD Enterprise 1 PB Storage
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
2019/06

今天 FreeBSD 操作系统迎来了 26 周岁生日。6 月 19 日是 国际 FreeBSD 日。所以今天我准备了一些特别的内容 🙂。如何在真实硬件上使用 FreeBSD 构建企业级存储解决方案？这正是 FreeBSD 发挥其所有存储特性（包括 ZFS）优势的地方。

今天我将展示我如何基于 FreeBSD 系统构建所谓的企业级存储，同时提供逾 1 PB（拍字节）的原始存储容量。

我曾基于 FreeBSD 构建过各种存储相关系统：

这个项目有所不同。一台 4U 服务器最多能提供多少存储空间？事实证明，非常多！绝对大于 1 PB（1024 TB）的原始存储空间。

硬件

这些是 4U 服务器，带有 90-100 个 3.5 寸硬盘位，可以安装 1260-1400 TB 数据（使用 14 TB 硬盘）。此类系统示例有：

（100 个硬盘位）
（90 个硬盘位）

我会选择第一款 —— 简称 TYAN FA100。

虽然之前的 GlusterFS 和 Minio 集群是在虚拟硬件（甚至 FreeBSD Jail 容器）上搭建的，但这个项目使用了真实物理硬件。

该系统的规格如下：

整套系统价格约为 $65,000（含硬盘）。外观如下：

你需要长达 1200 mm 的机架机柜来放置这台巨兽 :🙂:

管理界面

所谓的 Lights Out 管理界面非常优秀。界面简洁、组织良好、响应迅速。可以创建多个独立用户账户，也可以连接外部用户服务，如 LDAP/AD/RADIUS。

登录后，简洁的 Dashboard 在欢迎我们。

可以获取各种 传感器 信息，包括系统组件温度。

还可以查看 系统库存 信息，了解已安装硬件。

有独立的设置菜单，用于各种配置选项。

虽然是 2019 年，但只需 HTML5 的 远程控制（远程控制台），无需任何第三方插件如 Java/Silverlight/Flash 等，非常方便，也运行良好。

当然可以远程开关机或循环重启主机。

维护菜单用于 BIOS 更新。

BIOS/UEFI

进入 BIOS/UEFI 后，可以选择从哪些硬盘启动。截图中显示为两块固态系统盘。

BIOS/UEFI 界面显示两个 Enclosures，实际上是两块 Broadcom SAS3008 控制器。一些硬盘连接到第一个 SAS 控制器，其余连接到第二个，他们称之为 Enclosures 而非控制器，原因不明。

FreeBSD 系统

我选择了最新的 FreeBSD 12.0-RELEASE 来进行安装。安装过程多“默认”，系统盘使用两块 SSD 做 ZFS 镜像，没有特别配置。

该安装当然支持功能，可实现安全升级和系统变更。

硬盘准备

在所有 90 块 12 TB 硬盘的可能方案中，我选择使用 RAID60 —— 当然这是 ZFS 的等效方案。每个 RAID6（raidz2）组使用 12 块硬盘，总共会有 7 个这样的组 —— 这样 ZFS 池将使用 84 块硬盘，剩下 6 块作为备用（SPARE）硬盘 —— 对我来说非常合适。硬盘分布大致如下。

下面是 FreeBSD 系统通过命令 camcontrol(8) 看到的这些硬盘情况。按连接的 SAS 控制器 —— scbus(4) 排序。

有人可能会问，当硬盘出现故障时如何识别是哪一块……这时 FreeBSD 的 <sesutil(8)> 命令就非常有用了。

第一条 sesutil(8) 命令关闭机箱中所有硬盘的位置指示灯。第二条命令则点亮了 da64 硬盘的识别灯。

我还会确保不会使用每块硬盘的全部容量。这个想法看似无意义，但设想以下情况：五块 12 TB 硬盘在三年后同时损坏，你无法获得相同型号的硬盘，只能用其他 12 TB 硬盘替代，甚至可能来自不同厂商。

单块 12 TB 硬盘共有 23437770752 个 512 字节的扇区，总原始容量为 12000138625024 字节。

现在假设这些来自其他厂商的 12 TB 硬盘每块比原来的少 4 字节 —— ZFS 将不允许使用它们，因为容量不足。

因此我会将每块硬盘的容量设置为 11175 GB，大约比其总容量 11176 GB 少 1 GB。

下面是可以对所有 90 块硬盘执行此操作的命令。

配置 ZFS 池

接下来，我们需要创建 ZFS 池，这可能是我执行过的最长的 zpool 命令了 :🙂:

由于东芝 12 TB 硬盘使用 4k 扇区，我们需要将 vfs.zfs.min_auto_ashift 设置为 12 来强制使用该扇区大小。

ZFS 设置

由于该存储的主要用途是存放文件，我将使用 recordsize 的最大值之一 —— 1 MB —— 以获得更好的压缩比。

…但它也将作为 iSCSI 目标使用，在 iSCSI 中我们会使用原生的 4k 块，因此 iSCSI 设置为 4096 字节。

另外说明一下参数 redundant_metadata ，因为它不是很直观。引用 zfs(8) 手册中的说明。

从上面的文字可以看出，它主要在单设备池中有用，因为当我们基于 RAIDZ2（RAID6 等价）提供冗余时，就不需要保留额外的元数据副本。

这样做能提升写入性能。

为了记录——iSCSI 的 ZFS zvol 是通过如下命令创建的——作为稀疏文件，也称为 薄配置（Thin Provisioning） 模式。

由于我们有备用（SPARE）磁盘，我们还需要通过在 /etc/rc.conf 文件中添加 zfsd_enable=YES 来启用 zfsd(8) 守护进程。

我们还需要为池启用 autoreplace 属性，因为默认情况下它是 off。

其他 ZFS 设置位于 /boot/loader.conf 文件中。由于该系统有 128 GB 内存，我们将允许 ZFS 使用其中的 50% 到 75% 作为 ARC。

配置网络

这正是我非常喜欢 FreeBSD 的地方。要设置 LACP 链路聚合，你只需在 /etc/rc.conf 文件中写 5 行。在 RHEL 上，你可能需要多个文件，每个文件还要写很多行。

Intel X710 DA-2 10GE 网卡在 FreeBSD 下由 ixl(4) 驱动完美支持。

配置 Cisco Nexus

这是启用 LACP 聚合所需的 Cisco Nexus 配置。

首先是端口设置。

… 现在进行聚合配置。

… 在第二台 Cisco Nexus NEXUS-2 交换机上也进行相同/类似配置。

FreeBSD 配置

这些是在 FreeBSD 系统上最重要的三个配置文件。

现在我将发布我在这台存储系统上使用的所有设置。

/etc/rc.conf 文件。

/boot/loader.conf 文件。

/etc/sysctl.conf 文件

目的

为什么要构建这种设备？因为它比购买“品牌”设备便宜得多。以 Dell EMC Data Domain 为例——而且不是“普通”的 Data Domain，而是几乎最高端的型号——至少是 Data Domain DD9300。它的价格至少要高十倍……容量更小，而且占用机架空间不是 4U，而是接近 14U，需要三个 DS60 扩展器。

但你实际上可以让这个 FreeBSD 企业存储 的行为类似于 Dell EMC Data Domain……或者比如他们的 Dell EMC Elastic Cloud Storage。

Dell EMC CloudBoost 可以部署在你的 VMware 环境中，以提供 DDBoost 去重功能。然后你还需要 OpenStack Swift，因为它是支持的后端设备之一。

FreeBSD 上的 OpenStack Swift 包大约落后现实 4-5 年（版本 2.2.2）（译注：目前版本已经更新了），所以这里你需要使用 Bhyve。

在这台 FreeBSD 企业存储 上可以创建 Bhyve 虚拟机，例如安装 CentOS 7.6 系统，然后在其中设置 Swift，这样完全可行。利用 20 个物理核心和 128 GB 内存，你几乎感觉不到虚拟机的存在。

这样，你可以使用 Dell EMC Networker，而存储成本却降低到了原来的十分之一还多。

以前我也写过关于的文章，这种 FreeBSD 企业存储对它也非常有利。我实际上也将这个基于 FreeBSD 的存储用作 IBM Spectrum Protect (TSM) 容器池目录的空间。通过 iSCSI 导出效果非常好。

你还可以将这个 FreeBSD 企业存储 与其他存储设备进行比较，比如 iXsystems TrueNAS 或 EXAGRID。

性能

你肯定想知道这个 FreeBSD 企业存储 的性能水平 :🙂:

我会分享我收集到的所有性能数据。

网络性能

首先是网络性能。

我使用 iperf3 作为基准测试工具。

我在 FreeBSD 端启动服务器：

然后在 Windows Server 2016 机器上启动客户端：

这是在 MTU 1500 下的结果——不使用 Jumbo 帧 :😦:

不幸的是，这套系统只有一个物理 10GE 接口，但我也做了其他测试。使用两台单 10GE 接口的服务器，可以很好地饱和 FreeBSD 端的双 10GE LACP。

我还将 NFS 和 iSCSI 导出到 RHEL 系统。单个 10GE 接口下网络性能约为 500-600 MB/s。在 LACP 聚合下可以达到 1000-1200 MB/s。

磁盘子系统性能

现在是磁盘子系统。

先用一些简单的测试，使用 FreeBSD 自带工具 diskinfo(8)。

现在我们已经知道单块磁盘的速度了。

接下来，让我们在 ZFS zvol 设备上重复同样的测试。

接近 3 GB/s —— 不错。

接下来进行更传统的测试 —— 不朽的 dd(8) 命令。

这是在 compression=off 设置下进行的测试。

单进程运行。

四个并发进程运行。

八个并发进程运行。

总结这些数据。

所以磁盘子系统在顺序写入时能够达到约 3.5 GB/s 的持续速度。这意味着如果想要完全饱和网络，需要再添加两个 10GE 接口。

磁盘的压力测试仅达到约 55%，这可以通过 FreeBSD 的另一个实用工具 gstat(8) 命令看到。

接下来进行更“智能”的测试——blogbench 测试。

首先禁用压缩进行测试。

接下来设置压缩为 LZ4 进行第二轮测试。

压缩效果不大，但确实有一定帮助。

为了对比，我们将在系统 ZFS 池上运行相同的测试——两个 Intel SSD DC S3500 240 GB 镜像驱动，其性能如下：

Intel SSD DC S3500 240 GB 驱动特性：

顺序读取（最大）500 MB/s
顺序写入（最大）260 MB/s
随机读取（100% 范围）75000 IOPS

现在进行 randomio 测试。这是一个多线程磁盘 I/O 微基准测试。

使用方法如下：

使用 4k 块 进行的 随机 I/O 测试。

… 使用 512 字节扇区 进行测试。

两个 随机 I/O 测试都是在启用 LZ4 压缩的情况下运行的。

接下来是 bonnie++ 基准测试。同样是在启用 LZ4 压缩的情况下运行的。

最后但同样重要的是 fio 基准测试。同样启用了 LZ4 压缩。

不知道你怎么看，我对性能是非常满意的 :🙂:

FreeNAS

最初我确实想在这些服务器上使用 FreeNAS，甚至还安装了 FreeNAS。它运行得不错，但…… FreeNAS 的安全部分并不是最佳。

这是 pkg audit 命令的输出，非常吓人。

我甚至试图了解为什么 FreeNAS 在其最新版本中会包含如此过时且不安全的包————这是我在他们论坛上发起的讨论贴。

不幸的是，这反映了他们的政策，可以总结为“只要能用，就不要动/更改版本”——至少我得出了这个印象。

因为这些安全漏洞，我无法推荐使用 FreeNAS，于是我转向了原生的 FreeBSD 系统。

另一个有趣的情况是，在我安装 FreeBSD 后，我想导入 FreeNAS 创建的 ZFS pool。这是我执行 zpool import 命令后的结果。

看起来 FreeNAS 对 ZFS 的处理方式略有不同，他们为每个 RAIDZ2 目标创建了单独的 pool，并配置了专用的备用盘。有趣……

更新 1 – BSD Now 305

文章出现在节目中。

感谢提及！

更新 2 – 数据中心实景照片

有些读者希望看到这台“怪兽”的实景照片。下面是数据中心拍摄的几张图片。

机箱正面及布线。

机箱正面另一角度。

机箱背面及布线。

带硬盘的顶部视角。

顶部另一视角。

硬盘位特写。

固态硬盘与机械硬盘。

翻译文章存档

FreeBSD 网络文章集锦

目录

2025 年

Leah Budzicka EuroBSDcon 2025 旅行报告

Robert Clausecker EuroBSDcon 2025 旅行报告

FreeBSD 在 OCI 运行时规范 v1.3 中获得正式支持

FreeBSD 已实现可重复构建及无 root 权限构建

Chuck Tuffli 的 BSDCan 2025 旅行报告

Mark Johnston 的 BSDCan 2025 旅行报告

FreeBSD 基金会欢迎董事会新成员：John Baldwin

FreeBSD 开发者正在决定是否为 FreeBSD 15 的 WiFi 采取稳定版策略

FreeBSD 爱好者团结起来支持新兴项目 zVault——社区分支继 TrueNAS CORE 之后继续发展

从 PlayStation 到路由器，你很可能一直在使用 FreeBSD 而不自知

FreeBSD 上的 ZFS 日志压缩

为 FreeBSD 发声：FOSDEM 2025 参会报告

浏览 FreeBSD 新的季度和两年一次发布计划

hashtag主要变化

hashtag为什么 FreeBSD 项目会改变发布和支持周期？

2024 年 11 月

Quantum Leap Research 和 FreeBSD 基金会将投资 75 万美元以改善笔记本电脑支持和用户体验

hashtag关于 Quantum Leap Research

hashtag关于 FreeBSD 基金会

主权科技基金将投资 68.64 万欧元用于 FreeBSD 基础设施现代化

2024 年 7 月

BSD 老将：Michael J. Karels 逝世，享年 68 岁

hashtagUnix V6/V7: 从 0 开始

hashtag计算机系统研究小组（CSRG）

hashtag转职为 BSDi 的首席系统架构师

hashtag奖项、书籍和演讲

讣告——Michael "Mike" John Karels

2023 年 12 月

FreeBSD 新手？来参与社区吧

介绍来 FreeBSD 的学生

EuroBSDCon 2023 旅行报告——Bojan Novković

什么是开发播客？FreeBSD 项目的演变

EuroBSDCon 2023 旅行报告——Mark Johnston

TalkDev：探索开源的未来

为什么选择 FreeBSD？Metify 展示迁移到 FreeBSD 如何对两个新产品进行增强

FreeBSD 基金会宣布通过 SSDF 认证

2023 年全球开放大会报告

FreeBSD v14：恪守类 Unix 操作系统传统，提升安全性与性能

2023 年 9 月

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Soobin Rho

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Aymeric Wibo

认识 2023 年 FreeBSD 谷歌编程之夏的学生：Sudhanshu Mohan Kashyap

认识 2023 年夏季滑铁卢大学合作学生：Naman Sood

FreeBSD 基金会 2023 年暑期实习生：Jake Freeland

2023 年 9 月以前

FreeBSD 网络文章集锦

TalkDev：探索开源的未来

Robert Clausecker EuroBSDcon 2025 旅行报告

目录

Mark Johnston 的 BSDCan 2025 旅行报告

Leah Budzicka EuroBSDcon 2025 旅行报告

FreeBSD 爱好者团结起来支持新兴项目 zVault——社区分支继 TrueNAS CORE 之后继续发展

FreeBSD 基金会欢迎董事会新成员：John Baldwin

FreeBSD 在 OCI 运行时规范 v1.3 中获得正式支持

FreeBSD 已实现可重复构建及无 root 权限构建

主权科技基金将投资 68.64 万欧元用于 FreeBSD 基础设施现代化

讣告——Michael "Mike" John Karels

FreeBSD 开发者正在决定是否为 FreeBSD 15 的 WiFi 采取稳定版策略

FreeBSD 基金会宣布通过 SSDF 认证

为什么选择 FreeBSD？Metify 展示迁移到 FreeBSD 如何对两个新产品进行增强

什么是开发播客？FreeBSD 项目的演变

hashtag基于 FreeBSD 虚拟化传统的扩展

hashtag凝聚多年努力的社区成果

hashtag展望将来

hashtag可重复构建

hashtag关于主权科技基金（STF）

hashtag关于 FreeBSD 基金会

认识 2023 年 FreeBSD 谷歌编程之夏的学生：Sudhanshu Mohan Kashyap

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Aymeric Wibo

EuroBSDCon 2023 旅行报告——Bojan Novković

hashtag2025 年

hashtag2024 年 11 月

hashtag2024 年 7 月

hashtag2023 年 12 月

hashtag2023 年 9 月

hashtag2023 年 9 月以前

主要变化

为什么 FreeBSD 项目会改变发布和支持周期？

关于 Quantum Leap Research

关于 FreeBSD 基金会

Unix V6/V7: 从 0 开始

计算机系统研究小组（CSRG）

转职为 BSDi 的首席系统架构师

奖项、书籍和演讲

基于 FreeBSD 虚拟化传统的扩展

凝聚多年努力的社区成果

展望将来

可重复构建

关于主权科技基金（STF）

关于 FreeBSD 基金会

2025 年

2024 年 11 月

2024 年 7 月

2023 年 12 月

2023 年 9 月

2023 年 9 月以前

2000-2023

关于 Quantum Leap Research

关于 FreeBSD 基金会

Unix V6/V7: 从 0 开始

计算机系统研究小组（CSRG）

转职为 BSDi 的首席系统架构师

奖项、书籍和演讲

主要变化

为什么 FreeBSD 项目会改变发布和支持周期？

BSD（前 FreeBSD）

集体领导模式

现代远程开发

对硬件的审慎选择

出色的沟通、文档、支持和文化

宝贵的 Ports

最后但同样重要的是开源许可证

展望未来的 30 年

ZFS 数据压缩

配置 `newsyslog`

修改 syslog 的轮转命名方案

应用更改

在 FreeBSD 14 中，ZFS 文件系统获得了大幅提升

FreeBSD 14 增强了安全性和可扩展性

为什么 FreeBSD 仍然重要——尤其是对于网络而言

安装与设置

测试一些有用的东西

我能得到什么？

快速又简单

periodic 脚本的位置

添加自定义 periodic 脚本

总结

对 BSD 许可证的深厚承诺

FreeBSD：坚持统一的开发模式

安全的构建环境

上游贡献对 FreeBSD 的广泛影响

结论

一点背景

要求

FreeBSD 基础设置

安装 Galene

为 Galene 创建 ZFS 数据集

包安装

Galene 配置文件

添加有效的 SSL 证书

Galene 启动配置

测试 Galene