Product SiteDocumentation Site

Альт Рабочая станция K 10.0

Документация

Руководство пользователя

Редакция апрель, 2022

Аннотация

Добро пожаловать в документацию дистрибутива Альт Рабочая станция K. Данное руководство предназначено как для начинающих, так и для опытных пользователей. Руководство описывает подготовку системы для установки, процесс установки дистрибутива, а также процедуру настройки и использования системы.
Названия компаний и продуктов, встречающихся в руководстве, могут являться торговыми знаками соответствующих компаний.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения. Актуальная версия руководства в формате HTML со всеми текущими изменениями и дополнениями размещена на сайте с документацией компании BaseALT http://docs.altlinux.org/.
I. Что такое Альт Рабочая станция K?
1. Что такое Альт Рабочая станция K
1.1. Альт Рабочая станция K LiveCD
2. Что такое Linux
2.1. Свободные программы
2.2. Разработка Linux
2.3. Защищённость
2.4. Дистрибутивы Linux
2.5. Новичку
3. Что такое системы Альт
3.1. ALT Linux Team
3.2. Сизиф
3.3. Что такое десятая платформа
3.3.1. Основные новшества в десятой платформе
II. Установка дистрибутива
4. Запись установочного образа на USB Flash
4.1. В операционной системе Windows
4.2. В операционной системе Linux
4.3. В операционной системе OS X
4.4. Проверка целостности записанного образа
5. Альтернативные способы установки
5.1. Источники установки
6. Сохранение данных и меры предосторожности
7. Начало установки: загрузка системы
7.1. Способы первоначальной загрузки
7.2. Загрузка системы
8. Последовательность установки
9. Язык
10. Лицензионный договор
11. Дата и время
12. Подготовка диска
12.1. Выбор профиля разбиения диска
12.2. Автоматические профили разбиения диска
12.3. Ручной профиль разбиения диска
12.4. Дополнительные возможности разбиения диска
12.4.1. Создание программного RAID-массива
12.4.2. Создание LVM-томов
12.4.3. Создание шифрованных разделов
13. Установка системы
13.1. Дополнительные приложения
13.2. Установка пакетов
14. Сохранение настроек
15. Установка загрузчика
16. Настройка сети
17. Администратор системы
18. Системный пользователь
19. Установка пароля на шифрованные разделы
20. Завершение установки
21. Особенности установки в UEFI-режиме
21.1. Начальный загрузчик EFI
21.2. Подготовка диска
21.3. Установка загрузчика
22. Установка OEM-версии ОС Альт Рабочая станция K
23. Обновление системы до актуального состояния
24. Первая помощь
24.1. Проблемы при установке системы
24.2. Проблемы с загрузкой системы
III. Начало использования Альт Рабочая станция K
25. Загрузка системы
26. Получение доступа к зашифрованным разделам
27. Вход в систему
27.1. Вход и работа в системе в графическом режиме
27.2. Вход и работа в консольном режиме
27.3. Виртуальная консоль
28. Блокирование сеанса доступа
28.1. Блокирование сеанса доступа после установленного времени бездействия пользователя или по его запросу
28.2. Блокировка виртуальных текстовых консолей
29. Завершение сеанса пользователя
29.1. Графический режим
29.2. Консольный режим
30. Выключение/перезагрузка компьютера
30.1. Графический режим
30.2. Консольный режим
IV. Графический интерфейс
31. Традиционный рабочий стол
31.1. Панель KDE
31.2. Новые возможности интерфейса
32. Запуск приложений
33. Настройка параметров KDE
34. Справка к приложениям
V. Обзор приложений
35. Веб-навигация
35.1. Chromium GOST
36. Электронная почта
36.1. Thunderbird
36.1.1. Первоначальная настройка Thunderbird
36.1.2. Использование почтового клиента
37. Обмен мгновенными сообщениями
37.1. Psi+
38. Офисные приложения
38.1. LibreOffice
39. Диспетчеры файлов
39.1. Диспетчер файлов Dolphin
39.1.1. Домашняя папка
39.1.2. Быстрый доступ к нужным файлам
39.1.3. Строка адреса
39.1.4. Окно Свойства объекта
39.1.5. Копирование и перемещение файлов
39.1.6. Удаление файлов
39.1.7. Открытие файлов
39.1.8. Поиск файлов
39.1.9. Создание ресурсов общего доступа
39.1.10. Подсчёт контрольных сумм файлов
39.1.11. Защитное преобразование файлов и каталогов по ГОСТ Р 34.12–2015
40. Графика
40.1. Графические приложения KDE
40.2. Krita
40.3. Векторный редактор Inkscape
40.4. Blender 3D
40.5. Программа сканирования и распознавания gImageReader
40.6. Xsane
41. Мультимедиа
41.1. Мультимедиа KDE
41.2. SimpleScreenRecorder
42. Прочие приложения
42.1. Менеджер архивов Ark
42.1.1. Использование файлового менеджера для работы с архивом
42.2. Поиск файлов (KFind)
42.3. Центр программ Discover
42.4. Просмотр электронных документов Okular
42.5. Запись дисков: K3b
42.6. Системный монитор
42.6.1. Запуск приложения
42.6.2. Применение приложения
VI. Настройка системы
43. Центр управления системой
43.1. Описание
43.2. Применение центра управления системой
43.3. Запуск Центра управления системой в графической среде
43.4. Использование веб-ориентированного центра управления системой
44. Информация о системе
44.1. KInfoCenter
45. Управление графическими сессиями
45.1. Работа с удаленными графическими сессиями
45.2. Работа с вложенными графическими сессиями (Alt-App-Starter)
45.3. Работа с отдельными графическими сессиями (sddm)
46. Выбор программ, запускаемых автоматически при входе в систему
46.1. Автозапуск программ
46.2. Управление сеансами
47. Настройка загрузчика GRUB2
47.1. Модуль настройки загрузчика GRUB2
48. Запуск тяжёлых приложений в ограниченном окружении
48.1. Модуль Ограничение ресурсов
49. Настройка сети
49.1. NetworkManager
49.2. Настройка в ЦУС
50. Установка принтера в Альт Рабочая станция K
50.1. Установка принтера в веб-интерфейсе CUPS
50.2. Инструмент для управления заданиями печати и принтерами
51. Настройка сканера подключенного к USB-порту
51.1. Конфигурация SANE
51.2. Интерфейсы для сканирования (frontend)
52. Samba 4 в роли контроллера домена Active Directory
52.1. Установка
52.2. Создание нового домена
52.2.1. Восстановление к начальному состоянию Samba
52.2.2. Выбор имени домена
52.2.3. Создание домена одной командой
52.2.4. Интерактивное создание домена
52.3. Запуск службы samba
52.4. Настройка Kerberos
52.5. Проверка работоспособности
52.6. Управление пользователями
52.7. Настройка файловых ресурсов на контроллере доменов
53. Ввод рабочей станции в домен Active Directory
53.1. Подготовка
53.2. Ввод в домен
53.3. Проверка работы
53.4. Отображение глобальных групп на локальные
53.5. Подключение файловых ресурсов
54. Групповые политики
54.1. Развертывание групповых политик
54.2. Пример создания групповой политики
55. FreeIPA
55.1. Установка сервера FreeIPA
55.2. Добавление новых пользователей домена
56. Ввод рабочей станции в домен FreeIPA
56.1. Установка FreeIPA клиента
56.2. Подключение к серверу в ЦУС
56.3. Подключение к серверу в консоли
56.4. Вход пользователя
VII. Средства удаленного администрирования
57. Вход в систему
58. Обслуживание компьютера под управлением Альт Рабочая станция K
58.1. Мониторинг состояния системы
58.2. Системные службы
58.3. Системные ограничения
58.4. Обновление системы
58.5. Обновление систем, не имеющих выхода в Интернет
58.5.1. Настройка веб-сервера
58.5.2. Настройка FTP-сервера
58.6. Локальные учётные записи
58.7. Администратор системы
58.8. Дата и время
58.9. Ограничение использования диска
58.10. Выключение и перезагрузка компьютера
59. Конфигурирование сетевых интерфейсов
60. Сетевая установка операционной системы на рабочие места
60.1. Подготовка сервера
60.2. Подготовка рабочих станций
61. Соединение удалённых офисов (OpenVPN-сервер)
61.1. Настройка OpenVPN-сервера
61.2. Настройка клиентов
62. Доступ к службам из сети Интернет
62.1. Внешние сети
62.2. Список блокируемых хостов
63. Прочие возможности ЦУС
64. Права доступа к модулям
VIII. Функционал операционной системы
65. ГОСТ в OpenSSL
65.1. Поддержка шифрования по ГОСТ в OpenSSL
65.2. Создание ключей
66. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012
66.1. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в ЦУС
66.2. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в консоли
67. Подпись и проверка ЭЦП ГОСТ
67.1. Запуск
67.2. Создание электронной подписи
67.2.1. Отсоединённая подпись
67.2.2. Присоединённая подпись
67.3. Проверка электронной подписи
67.3.1. Отсоединённая подпись
67.3.2. Присоединённая подпись
67.4. Проверка электронной подписи в PDF-файле
68. Управление шифрованными разделами
69. Резервное копирование (timeshift)
69.1. Настройка резервного копирования
69.1.1. Режим RSYNC
69.1.2. Режим BTRFS
69.2. Создание снимков
69.3. Восстановление системы
70. Создание ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
70.1. Настройка сервера ssh
70.2. Настройка клиента ssh
70.3. Пример подключения к серверу ssh
71. Создание защищенных VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
71.1. Настройка в ЦУС
71.2. Настройка в командной строке
71.2.1. Создание ключей для OpenVPN туннеля средствами утилиты openssl
71.2.2. Настройка сервера OpenVPN
71.2.3. Настройка VPN-подключения по протоколу OpenVPN в Network Manager
72. Поддержка файловых систем
73. Поддержка сетевых протоколов
73.1. SMB
73.1.1. Создание ресурсов общего доступа от имени обычного пользователя
73.1.2. Автоподключение сетевых ресурсов Samba
73.2. Использование NFS
73.3. FTP
73.3.1. Настройка сервера FTP
73.3.2. Подключение рабочей станции
73.4. NTP
73.4.1. Настройка сервера NTP
73.4.2. Настройка рабочей станции
73.5. HTTP(S)
73.5.1. Настройка сервера HTTP
73.5.2. Настройка рабочей станции
IX. Ограничение действий пользователя
74. Ограничение полномочий пользователей
74.1. Ограничение полномочий пользователей по использованию консолей
74.1.1. Настройка ограничения в ЦУС
74.1.2. Настройка ограничения в консоли
74.2. Ограничения ресурсов системы для пользователя
74.2.1. Настройка ограничения в ЦУС
74.2.2. Настройка ограничения в консоли
75. Блокировка макросов в приложениях
76. Модуль AltHa
76.1. Запрет бита исполнения (SUID)
76.1.1. Отключение влияния бита SUID на привилегии порождаемого процесса в ЦУС
76.1.2. Отключение влияния бита SUID на привилегии порождаемого процесса в консоли
76.2. Блокировка интерпретаторов (запрет запуска скриптов)
76.2.1. Блокировка интерпретаторов (запрет запуска скриптов) в ЦУС
76.2.2. Блокировка интерпретаторов (запрет запуска скриптов) в консоли
77. Режим киоск по ограничению запуска программ
77.1. Настройка ограничения в ЦУС
77.2. Управление режимом киоск в консоли
X. Установка дополнительного программного обеспечения
78. Установка дополнительного ПО
78.1. Введение
78.2. Программа управления пакетами Synaptic
79. Добавление репозиториев
79.1. Программа управления пакетами Synaptic
80. Обновление всех установленных пакетов
80.1. Программа управления пакетами Synaptic
80.2. Обновление ядра ОС
XI. Установка пакетов для опытных пользователей
Введение
81. Источники программ (репозитории)
81.1. Редактирование репозиториев
81.1.1. Утилита apt-repo для работы с репозиториями
81.1.2. Добавление репозитория на CD/DVD-носителе
81.1.3. Добавление репозиториев вручную
82. Поиск пакетов
83. Установка или обновление пакета
84. Удаление установленного пакета
85. Обновление системы
85.1. Обновление всех установленных пакетов
85.2. Обновление ядра
86. Единая команда управления пакетами (epm)
XII. Основы администрирования Linux
87. Что происходит в системе
88. Общие принципы работы ОС
88.1. Процессы и файлы
88.1.1. Процессы функционирования ОС
88.1.2. Файловая система ОС
88.1.3. Структура каталогов
88.1.4. Организация файловой структуры
88.1.5. Имена дисков и разделов
88.1.6. Разделы, необходимые для работы ОС
88.2. Работа с наиболее часто используемыми компонентами
88.2.1. Виртуальная консоль
88.2.2. Командные оболочки (интерпретаторы)
88.2.3. Командная оболочка Bash
88.2.4. Команда
88.2.5. Команда и параметры
88.2.6. Команда и ключи
88.2.7. Обзор основных команд системы
88.3. Стыкование команд в системе Linux
88.3.1. Стандартный ввод и стандартный вывод
88.3.2. Перенаправление ввода и вывода
88.3.3. Использование состыкованных команд
88.3.4. Недеструктивное перенаправление вывода
89. Режим суперпользователя
89.1. Какие бывают пользователи?
89.2. Для чего может понадобиться режим суперпользователя?
89.3. Как получить права суперпользователя?
89.4. Как перейти в режим суперпользователя?
90. Управление пользователями
90.1. Общая информация
90.2. Команда passwd
90.3. Добавления нового пользователя
90.4. Модификация пользовательских записей
90.5. Удаление пользователей
91. Документация
91.1. Экранная документация
91.1.1. man
91.1.2. info
91.2. Документация по пакетам
91.3. Документация к программам, имеющим графический интерфейс
XIII. Техническая поддержка продуктов «Базальт СПО»
92. Покупателям нашей продукции
93. Пользователям нашей продукции

Часть I. Что такое Альт Рабочая станция K?

Глава 1. Что такое Альт Рабочая станция K

Альт Рабочая станция K (ALT Workstation K) — дистрибутив Linux производства компании «Базальт СПО», предназначенный для использования на рабочих местах. В качестве графической оболочки используется KDE5.
Основные преимущества:
  • Графическая рабочая среда KDE5 — мощное и универсальное решение для начинающих и искушенных пользователей.
  • Широкий выбор различных программ для профессиональной и домашней работы в сети Интернет, с документами, со сложной графикой и анимацией, для обработки звука и видео и образования.
  • Подключение к инфраструктуре и различным сервисам сети подразделения и предприятия.
  • Включает приложения для отдыха и развлечений: вы можете поиграть сами и с детьми, посмотреть фильмы и послушать музыку, пообщаться с друзьями в социальных сетях, форумах и чатах.
  • Привычное оформление «из коробки», готовое к использованию сразу после установки.
Дистрибутив создан при активном содействии команды ALT Linux Team (https://www.altlinux.org/ALT_Linux_Team)

1.1. Альт Рабочая станция K LiveCD

Важной особенностью Альт Рабочая станция K является то, что у вас есть возможность загрузиться с диска Альт Рабочая станция K в режиме LiveCD. Таким образом, вы загружаете операционную систему, не требующую для своего функционирования установки на жёсткий диск.

Важно

Установить систему, загрузившись в режиме LiveCD, нельзя.
Если вы выбрали загрузку системы Альт Рабочая станция K в режиме LiveCD, то работа осуществляется непосредственно с установочного диска, не затрагивая установленную на жёстком диске ОС. Режим LiveCD позволяет быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память.
В режиме LiveCD можно пользоваться Интернетом и электронной почтой, просматривать изображения и даже редактировать их, создавать и редактировать документы с помощью приложений, входящих в состав Альт Рабочая станция K.

Предупреждение

Для того чтобы не потерять выполненную работу во время сеанса работы в режиме LiveCD при необходимости выключения или перезапуска компьютера, сохраните её на жёстком диске или flash-накопителе.
Доступ к файлам на жёстком диске компьютера во время сеанса работы в режиме LiveCD можно получить с помощью файлового менеджера.

Глава 2. Что такое Linux

2.1. Свободные программы

Операционная система (далее — ОС) Linux — ядро, основные компоненты системы и большинство её пользовательских приложений — свободные программы. Свободные программы можно:
  • запускать на любом количестве компьютеров;
  • распространять бесплатно или за деньги без каких-либо ограничений;
  • получать исходные тексты этих программ и вносить в них любые изменения.
Свобода программ обеспечила их широкое использование и интерес к ним со стороны тысяч разработчиков. Основные программы для Linux выходят под лицензией GNU General Public License (далее — GPL). Лицензия GNU не только гарантирует свободу, но и защищает её. Она допускает дальнейшее распространение программ только под той же лицензией, поэтому исходный код ядра Linux, компиляторов, библиотеки glibc, пользовательских графических оболочек не может быть использован для создания приложений с закрытым кодом. В этом принципиальное отличие Linux от свободных ОС семейства BSD (FreeBSD, NetBSD, OpenBSD), фрагменты которых вошли в Microsoft Windows и даже стали основой OS X. Linux включает в себя многие разработки BSD, но его компиляторы и системные библиотеки разработаны в рамках проекта GNU (https://www.gnu.org/home.ru.html).

2.2. Разработка Linux

В отличие от распространённых несвободных ОС, Linux не имеет географического центра разработки. Нет фирмы, которая владела бы этой ОС, нет и единого координационного центра. Программы для Linux — результат работы тысяч проектов. Большинство из них объединяет программистов из разных стран, связанных друг с другом только перепиской. Лишь некоторые проекты централизованы и сосредоточены в фирмах. Создать свой проект или присоединиться к уже существующему может любой программист, и, в случае успеха, результаты этой работы станут известны миллионам пользователей. Пользователи принимают участие в тестировании свободных программ, общаются с разработчиками напрямую. Это позволяет за короткий срок добавлять в программное обеспечение новые возможности, оперативно находить ошибки и исправлять их.
Именно гибкая и динамичная система разработки, невозможная для проектов с закрытым кодом, определяет исключительную экономическую эффективность Linux. Низкая стоимость свободных разработок, отлаженные механизмы тестирования и распространения, привлечение независимых специалистов, обладающих индивидуальным, самостоятельным видением проблем, защита исходного текста программ лицензией GPL — всё это стало причиной успеха свободных программ.
Такая высокая эффективность разработки не могла не заинтересовать крупные фирмы. Они стали создавать свои свободные проекты, основывающиеся на тех же принципах. Так появились Mozilla, LibreOffice, свободный клон Interbase, SAP DB. IBM способствовала переносу Linux на свои мейнфреймы.
Открытый код программ значительно снизил себестоимость разработки закрытых систем для Linux и позволил снизить цену решения для пользователя. Вот почему Linux стала платформой, часто рекомендуемой для таких продуктов, как Oracle, DB2, Informix, Sybase, SAP ERP, Lotus Domino.

2.3. Защищённость

ОС Linux унаследовала от UNIX надёжность и отличную систему защиты. Система разграничения доступа к файлам позволяет не бояться вирусов. Но всё же, программ без ошибок не бывает, и Linux не исключение. Благодаря открытости исходного кода программ, аудит системы может осуществить любой специалист без подписок о неразглашении и без необходимости работы в стенах нанявшей его компании. Сообщества разработчиков и пользователей свободных программ создали множество механизмов оповещения об ошибках и их исправления. Сообщить об ошибке и принять участие в её исправлении независимому программисту или пользователю так же просто, как специалисту фирмы-разработчика или автору проекта. Благодаря этому ошибки защиты эффективно выявляются и быстро исправляются.

2.4. Дистрибутивы Linux

Большинство пользователей для установки Linux используют дистрибутивы. Дистрибутив — это не просто набор программ, а готовое решение для выполнения различных задач пользователя, обладающее идентичностью установки, управления, обновления, а также едиными системами настройки и поддержки.

2.5. Новичку

Linux — самостоятельная операционная система. Все операционные системы разные: Linux — не Windows, не OS X и не FreeBSD. В Linux свои правила, их необходимо изучить и к ним необходимо привыкнуть. Терпение и настойчивость в изучении Linux обернётся значительным повышением эффективности и безопасности вашей работы. То, что сегодня кажется странным и непривычным, завтра понравится и станет нормой.
Не стесняйтесь задавать вопросы, ведь самый простой способ найти ответ — совет опытного специалиста. Взаимопомощь и общение — традиция в мире Linux. Всегда можно обратиться за помощью к сообществу пользователей и разработчиков Linux. Большинство вопросов повторяются, поэтому для начала стоит поискать ответ на свой вопрос в документации, затем в сети Интернет. Если вы не нашли ответа в перечисленных источниках, не стесняйтесь, пишите на форум или в списки рассылки так, как писали бы своим друзьям, и вам обязательно помогут.

Глава 3. Что такое системы Альт

3.1. ALT Linux Team

Команда ALT Linux (https://www.altlinux.org/ALT_Linux_Team) — это интернациональное сообщество, насчитывающее более 200 разработчиков свободного программного обеспечения.

3.2. Сизиф

Sisyphus (https://packages.altlinux.org) — наш ежедневно обновляемый банк программ (часто называемый репозиторий). На его основе создаются все дистрибутивы ALT. Поддерживаемая ALT Linux Team целостность Sisyphus, оригинальная технология сборки программ, утилита apt-get и её графическая оболочка synaptic позволяют пользователям легко обновлять свои системы и быть в курсе актуальных новостей мира свободных программ.
Ежедневно изменяющийся репозиторий содержит самое новое программное обеспечение со всеми его преимуществами и недостатками (иногда ещё неизвестными). Поэтому, перед обновлением вашей системы из Sisyphus, мы советуем взвесить преимущества новых возможностей, реализованных в последних версиях программ, и вероятность возникновения неожиданностей в работе с ними (https://www.altlinux.org/Sisyphus_changes).
Разработка Sisyphus полностью доступна. У нас нет секретных изменений кода и закрытого тестирования с подписками о неразглашении. То, что мы сделали сегодня, завтра вы найдёте в сети. По сравнению с другими аналогичными банками программ (Debian unstable, Mandriva Cooker, PLD, Fedora), в Sisyphus есть немало самобытного. Особое внимание уделяется защите системы, локализации на русский язык, полноте и корректности зависимостей.
Название Sisyphus (Сизиф) заимствовано из греческой мифологии. С кропотливым Сизифом, непрерывно закатывающим в гору камни, команду ALT Linux Team объединяет постоянная работа над усовершенствованием технологий, заложенных в репозиторий.
Sisyphus, в первую очередь, — открытая лаборатория решений. Если вам это интересно, если вы хотите дополнить Sisyphus новыми решениями, если вы считаете, что можете собрать какую-то программу лучше — присоединяйтесь к проекту ALT Linux Team (https://www.altlinux.org/Join).

3.3. Что такое десятая платформа

Как уже говорилось ранее, Sisyphus является часто обновляемым репозиторием, скорее предназначенным для разработчиков. Решением для тех пользователей, которым стабильность и предсказуемость работы системы важнее расширенной функциональности (а это в первую очередь начинающие и корпоративные пользователи), являются стабильные дистрибутивы Альт. Такие стабильные дистрибутивы базируются на стабильном срезе репозитория Sisyphus. Эти срезы называются платформами.
Десятая платформа (p10) была создана в июле 2021 года и её поддержка продлится до июля 2024.

3.3.1. Основные новшества в десятой платформе

  • Синхронная сборка p10 производится для пяти основных архитектур:
    • 64-битных x86_64, aarch64 и ppc64le;
    • 32-битных i586 и armh (armv7hf);
  • Ядра реального времени — для архитектуры x86_64 собраны два realtime-ядра: Xenomai и Real Time Linux (PREEMPT_RT);
  • Расширение набора групповых политик — групповые политики поддерживают параметры gsettings для управления рабочими средами MATE и Xfce;
  • Центр администрирования Active Directory (admc) — графическое приложение для управления пользователями, группами и групповыми политиками домена Active Directory;
  • Платформа Deploy — предназначена для развёртывания системных служб на локальном компьютере с помощью Ansible. Поддерживаемые роли: Apache, MariaDB, MediaWiki, Nextcloud, PostgreSQL и Moodle;
  • Модуль настройки многотерминального режима alterator-multiseat.

Часть II. Установка дистрибутива

В этой части рассматривается процесс установки дистрибутива.

Содержание

4. Запись установочного образа на USB Flash
4.1. В операционной системе Windows
4.2. В операционной системе Linux
4.3. В операционной системе OS X
4.4. Проверка целостности записанного образа
5. Альтернативные способы установки
5.1. Источники установки
6. Сохранение данных и меры предосторожности
7. Начало установки: загрузка системы
7.1. Способы первоначальной загрузки
7.2. Загрузка системы
8. Последовательность установки
9. Язык
10. Лицензионный договор
11. Дата и время
12. Подготовка диска
12.1. Выбор профиля разбиения диска
12.2. Автоматические профили разбиения диска
12.3. Ручной профиль разбиения диска
12.4. Дополнительные возможности разбиения диска
12.4.1. Создание программного RAID-массива
12.4.2. Создание LVM-томов
12.4.3. Создание шифрованных разделов
13. Установка системы
13.1. Дополнительные приложения
13.2. Установка пакетов
14. Сохранение настроек
15. Установка загрузчика
16. Настройка сети
17. Администратор системы
18. Системный пользователь
19. Установка пароля на шифрованные разделы
20. Завершение установки
21. Особенности установки в UEFI-режиме
21.1. Начальный загрузчик EFI
21.2. Подготовка диска
21.3. Установка загрузчика
22. Установка OEM-версии ОС Альт Рабочая станция K
23. Обновление системы до актуального состояния
24. Первая помощь
24.1. Проблемы при установке системы
24.2. Проблемы с загрузкой системы

Глава 4. Запись установочного образа на USB Flash

Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик. Таким носителем может быть flash-накопитель, который можно сделать загрузочным.
Для создания загрузочного flash-диска понадобится файл ISO-образа установочного диска с дистрибутивом. Файл ISO-образа диска — это файл специального формата, подготовленный для записи на диск. Установочные ISO-образы являются гибридными (Hybrid ISO/IMG), что позволяет производить установку, записав такой образ на flash-накопитель. О записи установочного образа на USB Flash рассказано в этой главе.

Предупреждение

Запись образа дистрибутива на flash-диск приведёт к изменению таблицы разделов на носителе, таким образом, если flash-диск выполнил функцию загрузочного\установочного устройства и требуется вернуть ей функцию переносного накопителя данных, то необходимо удалить все имеющиеся разделы на flash-диске и создать нужное их количество заново.
Для восстановления совместимости flash-диска с операционными системами семейства Windows может понадобиться также пересоздание таблицы разделов (например, при помощи parted). Нужно удалить таблицу GPT и создать таблицу типа msdos. Кроме того, должен быть только один раздел с FAT или NTFS.

4.1. В операционной системе Windows

Для создания загрузочного flash-диска под операционной системой MS Windows используйте специальные программы: ALT Media Writer, Win32 Disk Imager и другие.
ALT Media Writer — это инструмент, который помогает записывать образы ALT на портативные накопители, такие как flash-диски. Он может автоматически загружать образы из интернета и записывать их. Для записи образа на flash-диск необходимо:
  • скачать и установить ALT Media Writer;
  • вставить flash-диск в USB-разъем;
  • запустить ALT Media Writer;
  • выбрать дистрибутив и нажать кнопку Создать Live USB…:
    ALT Media Writer (altmediawriter)
    начнётся загрузка образа из интернета;
  • выбрать устройство (flash-диск);
  • после окончания загрузки нажать кнопку Записать на диск (если был отмечен пункт Записать образ после загрузки, запись образа начнётся автоматически).
Инструкция для записи образа в программе Win32 Disk Imager:
  • скачать и установить программу Win32 Disk Imager;
  • скачать образ дистрибутива;
  • вставить flash-диск в USB-разъем (размер flash-диска должен быть не меньше размера скачанного образа диска);
  • запустить Win32 Disk Imager;
  • в появившимся окне выбрать ISO-образ дистрибутива, выбрать устройство (flash-диск):
    Win32 Disk Imager
  • нажать кнопку Write для записи образа на flash-диск.
Для записи образа на flash-диск подойдёт и утилита HDD Raw Copy Tool. На первом шаге нужно выбрать файл с образом диска:
Выбор файла с образом диска
На втором шаге нужно выбрать flash-диск, на который будет записан образ:
Выбор flash-диска

Предупреждение

Будьте внимательны при указании имени usb-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
И, наконец, после проверки правильности выбранных параметров и нажатия кнопки Continue можно приступать к записи, нажав следом кнопку START. По успешному завершению записи окно с индикацией процесса записи закроется, после чего можно закрыть и окно самой программы.

4.2. В операционной системе Linux

Для записи образа на flash-диск можно воспользоваться любой из трёх программ с графическим интерфейсом:
  • ALT Media Writer (altmediawriter):
    ALT Media Writer (altmediawriter)
    ALT Media Writer может автоматически загружать образы из интернета и записывать их, при необходимости извлекая сжатые образы (img.xz).
  • SUSE Studio Imagewriter (imagewriter):
    SUSE Studio Imagewriter (imagewriter)
Для записи установочного образа можно воспользоваться утилитой командной строки dd:
dd oflag=direct if=<файл-образа.iso> of=/dev/sdX bs=1M
sync
где <файл-образа.iso> — образ диска ISO, а /dev/diskX — устройство, соответствующее flash-диску.
Для удобства показа прогресса записи можно установить пакет pv и использовать команду:
pv <файл-образа.iso> | dd oflag=direct of=/dev/sdX bs=1M;sync
где <файл-образа.iso> — образ диска ISO, а /dev/diskX — устройство, соответствующее flash-диску.
Просмотреть список доступных устройств можно командой lsblk или (если такой команды нет): blkid.
Например, так можно определить имя flash-диска:
$ lsblk | grep disk
sda      8:0    0 931,5G  0 disk
sdb      8:16   0 931,5G  0 disk
sdc      8:32   1   7,4G  0 disk
flash-диск имеет имя устройства sdc.
Затем записать:
# pv /iso/alt-kworkstation-10.0-install-x86_64.iso | dd oflag=direct of=/dev/sdc bs=1M;sync
dd: warning: partial read (524288 bytes); suggest iflag=fullblock
3GiB 0:10:28 [4,61MiB/s] [===================================>  ] 72% ETA 0:04:07

Предупреждение

Будьте внимательны при указании имени usb-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!

Предупреждение

Не добавляйте номер раздела, образ пишется на флэшку с самого начала!

Предупреждение

Не извлекайте flash-диск, пока образ не запишется до конца! Определить финал процесса можно по прекращению моргания индикатора flash-диска либо посредством виджета «Безопасное извлечение съемных устройств». В консоли можно подать команду
eject /dev/sdX
и дождаться ее успешного завершения.

4.3. В операционной системе OS X

В операционной системе OS X для создания загрузочного flash-диска можно использовать команду:
sudo dd if=alt-kworkstation-10.0-install-x86_64.iso of=/dev/diskX bs=1M
sync
где alt-kworkstation-10.0-install-x86_64.iso — образ диска ISO, а /dev/diskX — flash-диск. Просмотреть список доступных устройств можно командой:
diskutil list

Предупреждение

Будьте внимательны при указании имени usb-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!

4.4. Проверка целостности записанного образа

Предупреждение

Внимание! Если речь идёт о записи на flash-диск образа LiveCD, проверка должна быть выполнена сразу же после записи на USB Flash, без запуска с него. Причина в том, что остаток flash-диска, при первом запуске LiveCD, форматируется, как r/w раздел, при этом меняется и таблица разделов.
Для проверки целостности записанного образа необходимо выполнить следующие шаги:
  • определить длину образа в байтах:
    $ du -b alt-kworkstation-10.0-install-x86_64.iso | cut -f1 
    4686667776
    
  • посчитать контрольную сумму образа (или просмотреть контрольную сумму образа из файла MD5SUM на сервере FTP):
    $ md5sum alt-kworkstation-10.0-install-x86_64.iso
    d5f8c16b2698716c0f9b5ba287bb22d2  alt-kworkstation-10.0-install-x86_64.iso
    
  • подсчитать контрольную сумму записанного образа на DVD или USB Flash (выполняется под правами пользователя root):
    # head -c 4686667776 /dev/sdd | md5sum 
    d5f8c16b2698716c0f9b5ba287bb22d2
    
    где размер после -c — вывод в п.1, а /dev/sdd — устройство DVD или USB Flash, на которое производилась запись.

Глава 5. Альтернативные способы установки

Обычно для установки дистрибутива используется установочный загрузочный USB flash-накопитель. Если вы производите установку именно таким образом, можете пропустить этот раздел и сразу перейти к разделу Последовательность установки.
Установка с загрузочного диска — это один из возможных способов установки системы. Он является самым распространённым способом установки системы, но не работает, например, в случае отсутствия на компьютере CD/DVD-привода. Для таких случаев поддерживаются альтернативные методы установки.
Необходимо понимать, что для начала процесса установки необходимо присутствие двух составляющих: возможности загрузить компьютер и доступа к установочным файлам. В случае загрузки с установочного диска эти две возможности предоставляются самим диском: он является загрузочным и содержит все необходимые для установки файлы. Однако, вполне допустим и такой вариант: первоначальная загрузка происходит со специально подготовленного USB flash-накопителя, а установочные файлы берутся с FTP-сервера сети.
Таким образом, для альтернативной установки дистрибутива необходимо:

5.1. Источники установки

После первоначальной загрузки с одного из поддерживаемых носителей можно выбрать Источник установки — место, откуда программа установки будет брать все необходимые при установке данные (прежде всего устанавливаемое ПО). Так как установка системы возможна не только с лазерного диска, то можно выбрать один из поддерживаемых альтернативных источников установки. Выбрать сетевой источник установки можно, выбрав пункт Bootlading over network  или нажав клавишу F4:
Выбор источника загрузки
Сетевые источники установки:
  • FTP-сервер;
  • HTTP-сервер;
  • NFS-сервер;
  • SAMBA-сервер.
Условием для всех способов установки является доступность дерева файлов, аналогичного содержимому установочного диска.

5.1.1. Запуск сетевой установки

Для установки системы после нажатия кнопки F4 следует выбрать пункт Install over network:
Выбор сетевого источника загрузки
Затем необходимо выбрать источник сетевой установки: FTP, HTTP, NFS или SAMBA-сервер:
Выбор сетевого источника загрузки
Нужно указать имя или IP-адрес сервера и каталог (начиная с /), в котором размещён дистрибутив. В случае установки по протоколу FTP может понадобиться также ввести имя и пароль пользователя.
Пример установки:
  • имя сервера: 192.168.0.1
  • каталог: /pub/netinstall/
    • в данном каталоге на сервере должны находиться:
      • файл altinst;
      • каталог Metadata;
      • каталог ALTLinux с подкаталогами RPMS.секция, содержащими rpm-пакеты.
Для того чтобы получить подобное дерево каталогов, на стороне сервера достаточно скопировать содержимое установочного лазерного диска в один из подкаталогов FTP-сервера (либо HTTP, NFS или SAMBA-сервера). В описанном примере это каталог /pub/netinstall.
При сетевой установке со стороны клиента (компьютера, на который производится установка) может понадобиться определить параметры соединения с сервером. В этом случае на экране будут появляться диалоги, например, с предложением выбрать сетевую карту (если их несколько) или указать тип IP-адреса: статический (потребуется вписать его самостоятельно) или динамический (DHCP).
После успешного соединения с сервером в память компьютера будет загружен образ установочного диска. После этого начнётся установка системы подобно установке с лазерного диска.

Глава 6. Сохранение данных и меры предосторожности

Если вы хотите установить ОС Альт Рабочая станция K и при этом сохранить уже установленную на вашем компьютере операционную систему (например, другую версию GNU/Linux или Microsoft Windows), вам нужно обязательно позаботиться о подготовке компьютера к установке второй системы и о сохранении ценных для вас данных.
Если у вас нет загрузочного диска для уже установленной системы, создайте его. В случае прерванной установки ОС Альт Рабочая станция K или неправильной настройки загрузчика, вы можете потерять возможность загрузиться в вашу предыдущую ОС.
Если на диске, выбранном для установки ОС Альт Рабочая станция K, не осталось свободного раздела, то программа установки должна будет изменить размер существующего раздела. От этой операции могут пострадать ваши данные, поэтому предварительно надо сделать следующие действия:
  • Выполнить проверку раздела, который вы собираетесь уменьшать. Для этого воспользуйтесь соответствующим программным обеспечением (далее — ПО), входящим в состав уже установленной ОС. Программа установки Альт Рабочая станция K может обнаружить некоторые очевидные ошибки при изменении размера раздела, но специализированное ПО предустановленной ОС справится с этой задачей лучше.
  • Выполнить дефрагментацию уменьшаемого раздела в целях повышения уровня безопасности данных. Это действие не является обязательным, но мы настоятельно рекомендуем его произвести: изменение размера раздела пройдёт легче и быстрее.

Предупреждение

Полной гарантией от проблем, связанных с потерей данных, является резервное копирование!

Глава 7. Начало установки: загрузка системы

7.1. Способы первоначальной загрузки

Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик.
Простейший способ запустить программу установки — загрузить компьютер с помощью загрузочного носителя, находящегося на установочном DVD с дистрибутивом (при условии, что система поддерживает загрузку с устройства для чтения DVD).
Также программу установки можно запустить с другого загрузочного носителя. Например, в качестве загрузочного носителя может использоваться загрузочный USB-flash-накопитель.

7.2. Загрузка системы

Для того чтобы начать установку ОС Альт Рабочая станция K, достаточно загрузиться с носителя, на котором записан дистрибутив.

Примечание

Предварительно следует включить в BIOS опцию загрузки с оптического привода или с USB-устройства.
В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.
Загрузка
Загрузка с установочного диска или специально подготовленного USB-flash-накопителя начинается с меню, в котором перечислено несколько вариантов загрузки:
  • Загрузка с жёсткого диска — запуск уже установленной на жёстком диске операционной системы.
  • Установить ALT 10.0 Workstation K — установка операционной системы.
  • LiveCD (жёсткий диск не нужен) — в этом режиме работа ОС Альт Рабочая станция K осуществляется непосредственно с установочного диска, не затрагивая установленную на жестком диске ОС. Режим LiveCD позволяет быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память.

    Важно

    Установить систему, загрузившись в режиме LiveCD, нельзя.
  • Изменить язык — позволяет выбрать язык интерфейса загрузчика и программы установки (нажатие клавиши F2 вызывает такое же действие).
  • Bootlading over network — позволяет выбрать сетевой источник установки (нажатие клавиши F4 вызывает такое же действие). Подробнее рассказано в разделе Источники установки.
  • Тест памяти — проверка целостности оперативной памяти. Процесс диагностики заключается в проведении нескольких этапов тестирования каждого отдельного модуля ОЗУ (данный процесс будет выполняться бесконечно, пока его не остановят, необходимо дождаться окончания хотя бы одного цикла проверки).

Примечание

Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.
Сочетание клавиш Ctrl+Alt+F1 — выдает технические сведения о выполнении процесса установки ОС Альт Рабочая станция K.
Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз, выбрать пункт меню Установить ALT 10.0 Workstation K, и нажать Enter. Начальный этап установки не требует вмешательства пользователя: происходит автоматическое определение оборудования и запуск компонентов программы установки. Сообщения о происходящем на данном этапе можно просмотреть, нажав клавишу ESC.

Примечание

В начальном загрузчике установлено небольшое время ожидания: если в этот момент не предпринимать никаких действий, то будет загружена та система, которая уже установлена на жестком диске. Если вы пропустили нужный момент, перезагрузите компьютер и вовремя выберите пункт Установить ALT 10.0 Workstation K.

Глава 8. Последовательность установки

До того, как будет произведена установка базовой системы на жёсткий диск, программа установки работает с образом системы загруженным в оперативную память компьютера.
Если инициализация оборудования завершилась успешно, будет запущен графический интерфейс программы-установщика. Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно. Переход к следующему шагу происходит по нажатию кнопки Далее. При помощи кнопки Назад, при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.
Если по каким-то причинам возникла необходимость прекратить установку, необходимо нажать кнопку <Reset> на корпусе системного блока компьютера.

Примечание

Совершенно безопасно выполнить отмену установки только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», существует вероятность, что после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем (если такие имеются).
Технические сведения о ходе установки можно посмотреть, нажав Ctrl+Alt+F1, вернуться к программе установки — Ctrl+Alt+F7. По нажатию Ctrl+Alt+F2 откроется отладочная виртуальная консоль.
Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку Справка или нажав клавишу F1.

Глава 9. Язык

Язык
Установка Альт Рабочая станция K начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы. В списке, помимо доступных языков региона (выбранного на этапе начальной загрузки), указан и английский язык.
На этом же этапе выбирается вариант переключения раскладки клавиатуры. Раскладка клавиатуры — это привязка букв, цифр и специальных символов к клавишам на клавиатуре. Помимо ввода символов на основном языке, в любой системе Linux необходимо иметь возможность вводить латинские символы (имена команд, файлов и т.п.). Для этого обычно используется стандартная английская раскладка клавиатуры. Переключение между раскладками осуществляется при помощи специально зарезервированных для этого клавиш. Для русского языка доступны следующие варианты переключения раскладки:
  • клавиши Alt и Shift одновременно;
  • клавиша CapsLock;
  • клавиши Control и Shift одновременно;
  • клавиша Control;
  • клавиша Alt.
Если выбранный основной язык имеет всего одну раскладку (например, при выборе английского языка в качестве основного), эта единственная раскладка будет принята автоматически.

Глава 10. Лицензионный договор

Лицензионный договор
Перед продолжением установки следует внимательно прочитать условия лицензии. В лицензии говорится о ваших правах. В частности, за вами закрепляются права на:
  • эксплуатацию программ на любом количестве компьютеров и в любых целях;
  • распространение программ (сопровождая их копией авторского договора);
  • получение исходных текстов программ.
Если вы приобрели дистрибутив, то данное лицензионное соглашение прилагается в печатном виде к вашей копии дистрибутива. Лицензия относится ко всему дистрибутиву Альт Рабочая станция K. Если вы согласны с условиями лицензии, отметьте пункт Да, я согласен с условиями и нажмите Далее.

Глава 11. Дата и время

На данном этапе выполняется выбор страны и города, по которым будет определен часовой пояс и установлены системные часы.
Дата и время (выбор часового пояса)
Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.
На этом шаге следует выбрать часовой пояс, по которому нужно установить часы. Для этого в соответствующих списках выберите страну, а затем регион. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Пункт Хранить время в BIOS по Гринвичу выставляет настройки даты и времени в соответствии с часовыми поясами, установленными по Гринвичу, и добавляет к местному времени часовую поправку для выбранного региона.
После выбора часового пояса будут предложены системные дата и время по умолчанию.
Для ручной установки текущих даты и времени нужно нажать кнопку Изменить…. Откроется окно ручной настройки системных параметров даты и времени.
Дата и время
Для синхронизации системных часов (NTP) с удаленным сервером по локальной сети или по сети Интернет нужно отметить пункт Получать точное время с NTP-сервера и указать предпочитаемый NTP-сервер. В большинстве случаев можно указать сервер pool.ntp.org.
Если выбрана опция Получать точное время с NTP-сервера, то компьютер может и сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами локальной сети. Для активации этой возможности необходимо отметить пункт Работать как NTP-сервер.
Для сохранения настроек и продолжения установки системы в окне ручной установки даты и времени необходимо нажать кнопку ОК и затем в окне Дата и время нажать кнопку Далее.

Примечание

В случае если ОС Альт Рабочая станция K устанавливается как вторая ОС, необходимо снять отметку с пункта Хранить время в BIOS по Гринвичу, иначе время в уже установленной ОС может отображаться некорректно.

Глава 12. Подготовка диска

На этом этапе подготавливается площадка для установки Альт Рабочая станция K, в первую очередь — выделяется свободное место на диске.
Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и т.п.

12.1. Выбор профиля разбиения диска

После завершения первичной конфигурации загрузочного носителя откроется окно Подготовка диска. В списке разделов перечислены уже существующие на жёстких дисках разделы (в том числе здесь могут оказаться съёмные flash-диски, подключённые к компьютеру в момент установки).
Подготовка диска
В списке Выберите метод установки перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:
  • установка рабочей станции;
  • установка рабочей станции (без LVM);
  • вручную.
Первые два профиля предполагают автоматическое разбиение диска.

12.2. Автоматические профили разбиения диска

Примечание

Если при применении одного из профилей автоматического разбиения диска доступного места на диске окажется недостаточно, то на монитор будет выведено сообщение об ошибке: Невозможно применить профиль, недостаточно места на диске.
Невозможно применить профиль, недостаточно места на диске
Для решения этой проблемы можно полностью очистить место на диске, отметив пункт Очистить выбранные диски перед применением профиля и применить профиль повторно.
Если сообщение о недостатке места на диске появляется и при отмеченном пункте Очистить выбранные диски перед применением профиля, то это связано с недостаточным для использования автоматических методов разметки объёмом всего диска. В этом случае вы можете воспользоваться методом ручной разметки: профиль Вручную.

Предупреждение

При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.
При разбиении диска будут выделены отдельные разделы для подкачки и для корневой файловой системы.
Подготовка диска
Для продолжения установки следует нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.
Подготовка диска

12.3. Ручной профиль разбиения диска

При необходимости освободить часть дискового пространства следует воспользоваться профилем разбиения вручную. Вы сможете удалить некоторые из существующих разделов или содержащиеся в них файловые системы. После этого можно создать необходимые разделы самостоятельно или вернуться к шагу выбора профиля и применить один из автоматических профилей. Выбор этой возможности требует знаний об устройстве диска и технологиях его разметки.
По нажатию Далее будет произведена запись новой таблицы разделов на диск и форматирование разделов. Только что созданные на диске программой установки разделы пока не содержат данных и поэтому форматируются без предупреждения. Уже существовавшие, но изменённые разделы, которые будут отформатированы, помечаются специальным значком в колонке Файловая система слева от названия. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки Далее.
Не следует форматировать разделы с теми данными, которые вы хотите сохранить, например, со старыми пользовательскими данными (/home) или с другими операционными системами. Отформатировать можно любые разделы, которые вы хотите «очистить» (т.е. удалить все данные).

Предупреждение

Не уменьшайте NTFS-раздел с установленной Microsoft Windows Vista/Windows 7 средствами программы установки. В противном случае вы не сможете загрузить Microsoft Windows Vista/Windows 7 после установки Альт Рабочая станция K. Для выделения места под установку Альт Рабочая станция K воспользуйтесь средствами, предоставляемыми самой Microsoft Windows Vista/Windows 7: Управление дискамиСжать.

12.4. Дополнительные возможности разбиения диска

Ручной профиль разбиения диска позволяет установить ОС на программный RAID-массив, разместить разделы в томах LVM и использовать шифрование на разделах. Данные возможности требуют от пользователя понимания принципов функционирования указанных технологий.

12.4.1. Создание программного RAID-массива

Избыточный массив независимых дисков RAID (redundant array of independent disks) — технология виртуализации данных, которая объединяет несколько НЖМД в логический элемент для избыточности и повышения производительности.

Примечание

Обратите внимание, что для создания программного RAID-массива потребуется минимум два жёстких диска.
Программа установки поддерживает создание программных RAID-массивов следующих типов:
  • RAID 1;
  • RAID 0;
  • RAID 4/5/6;
  • RAID 10.
Процесс подготовки к установке на RAID условно можно разбить на следующие шаги:
  • создание разделов на жёстких дисках;
  • создание RAID-массивов на разделах жёсткого диска;
  • создание файловых систем на RAID-массиве.
Для настройки параметров нового раздела из состава RAID-массива необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Подготовить разделы вручную и нажать кнопку Создать раздел.
При создании разделов на жёстких дисках для последующего включения их в RAID-массивы следует указать Тип раздела для них равным Linux RAID:
Создание разделов для RAID-массива
В этом окне необходимо настроить следующие параметры:
  • Размер — в поле необходимо указать размер будущего раздела в Мбайт;
  • Смещение — в поле необходимо указать смещение начала данных на диске в Мбайт;
  • Основной раздел — необходимо отметить этот пункт, если раздел является основным для установки ОС;
  • Тип раздела — в выпадающем поле нужно выбрать значение Linux RAID для последующего включения раздела в RAID-массив.

Примечание

При создании разделов следует учесть, что объём результирующего массива может зависеть от размера, включённых в него разделов жёсткого диска. Например, при создании RAID 1, результирующий размер массива будет равен размеру минимального участника.
После создания разделов на дисках можно переходить к организации самих RAID- массивов. Для этого в списке следует выбрать пункт RAID, после чего нажать кнопку Создать RAID:
Организация RAID-массива
Далее мастер предложит выбрать тип массива:
Выбор типа RAID-массива
И указать участников RAID-массива:
Выбор участников RAID-массива
После создания RAID-массивов их можно использовать как обычные разделы на жёстких дисках, то есть, на них можно создавать файловые системы или же, например, включать их в LVM-тома.

12.4.2. Создание LVM-томов

Менеджер логических дисков LVM (Logical Volume Manager) — средство гибкого управления дисковым пространством, которое позволяет создавать поверх физических разделов (либо неразбитых дисков) логические тома, которые в самой системе будут видны как обычные блочные устройства с данными (обычные разделы).
Процесс подготовки к установке на LVM условно можно разбить на следующие шаги:
  • создание разделов на жёстких дисках;
  • создание группы томов LVM;
  • создание томов LVM;
  • создание файловых систем на томах LVM.

Важно

Для создания группы томов LVM может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Подготовить разделы вручную и нажать кнопку Создать раздел. При создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным Linux LVM:
Создание раздела Linux LVM
После создания разделов на дисках можно переходить к созданию группы томов LVM. Для этого в списке следует выбрать пункт LVM, после чего нажать кнопку Создать группу томов:
Создание LVM-томов
В открывшемся окне необходимо выбрать разделы, которые будут входить в группу томов, указать название группы томов и выбрать размер экстента:
Создание группы томов LVM

Примечание

Размер экстента представляет собой наименьший объем пространства, который может быть выделен тому. Размер экстента по умолчанию 65536 (65536*512 байт = 32 Мб, где 512 байт — размер сектора).
После создания группы томов LVM её можно использовать как обычный жёсткий диск, то есть внутри группы томов можно создавать тома (аналог раздела на физическом жёстком диске) и файловые системы внутри томов.
Создание тома

12.4.3. Создание шифрованных разделов

Программа установки позволяет создавать шифрованные разделы.
Создание шифрованного раздела
Процесс создания шифрованного раздела ничем не отличается от процесса создания обычного раздела и инициируется нажатием на кнопку Создать шифруемый раздел.
После создания шифрованного раздела мастер, как и при создании обычного раздела, предложит создать на нём файловую систему и при необходимости потребует указать точку монтирования.

Предупреждение

Установка загрузчика на шифрованный раздел не поддерживается.
Для сохранения всех внесенных настроек и продолжения установки в окне Подготовка диска нужно нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.

Глава 13. Установка системы

На данном этапе происходит распаковка ядра и установка набора программ, необходимых для работы ОС Альт Рабочая станция K.

13.1. Дополнительные приложения

Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС Альт Рабочая станция K и установлены вместе с ней на диск.
Выбор групп приложений
В любом дистрибутиве Альт Рабочая станция K доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.
В ОС Альт Рабочая станция K все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.
В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку. Тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому, в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов, объединяющих пакеты, необходимые для решения наиболее распространённых задач.
Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.
Опция Показать состав группы выводит список программных пакетов, входящих в состав той или иной группы пакетов:
Список программных пакетов, входящих в группу пакетов
Выбрав необходимые группы, следует нажать Далее, после чего начнётся установка пакетов.

13.2. Установка пакетов

На этом этапе происходит установка набора программ, необходимых для работы системы.
Установка системы
Установка происходит автоматически в два этапа:
  • получение пакетов;
  • установка пакетов.
Получение пакетов осуществляется из источника, выбранного на этапе начальной загрузки. При сетевой установке (по протоколу FTP или HTTP) время выполнения этого шага будет зависеть от скорости соединения и может быть значительно большим в сравнении с установкой с лазерного диска.

Глава 14. Сохранение настроек

Начиная с данного этапа, программа установки работает с файлами только что установленной базовой системы. Все последующие изменения можно будет совершить после завершения установки посредством редактирования соответствующих конфигурационных файлов или при помощи модулей управления, включенных в дистрибутив.
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Сохранение настроек
На этом шаге производится перенос настроек, выполненных на первых шагах установки, в только что установленную базовую систему. Также производится запись информации о соответствии разделов жесткого диска смонтированным на них файловым системам (заполняется конфигурационный файл /etc/fstab).
После сохранения настроек осуществляется автоматический переход к следующему шагу.

Глава 15. Установка загрузчика

Загрузчик ОС — это программа, которая позволяет загружать Альт Рабочая станция K другие ОС, если они установлены на данной машине.
Установка загрузчика
Программа установки автоматически определяет, в каком разделе НЖМД следует располагать загрузчик для возможности корректного запуска ОС Альт Рабочая станция K. Положение загрузчика, в случае необходимости, можно изменить в выпадающем списке Устройство, выбрав другой раздел.
Если же вы планируете использовать и другие ОС, уже установленные на этом компьютере, тогда имеет значение на каком жёстком диске или в каком разделе будет расположен загрузчик.
Для ограничения доступа к опциям загрузки можно установить пароль на загрузчик. Для этого необходимо отметить пункт Установить или сбросить пароль и, в появившихся полях для ввода, задать пароль.
Установка пароля на загрузчик

Примечание

При необходимости изменения опций загрузки при старте компьютера потребуется ввести имя пользователя «boot» и заданный на этом шаге пароль.

Важно

При установке на EFI выберите в качестве устройства для установки «EFI». Рекомендуется выбрать автоматическое разбиение на этапе разметки диска для создания необходимых разделов для загрузки с EFI.
Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.

Глава 16. Настройка сети

На этом этапе необходимо задать параметры работы сетевой карты и настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.
Настройка сети

Примечание

Для совместимости с именем компьютера в сетях Windows (netbios name), имя компьютера не должно превышать 15 символов.
Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.

Глава 17. Администратор системы

На данном этапе загрузчик создает учетную запись администратора. В открывшемся окне необходимо ввести пароль учетной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учетной записи вводится дважды.
Администратор системы

Примечание

Чтобы увидеть пароль, который будет сохранен, нажмите на значок стрелки в поле ввода:
Просмотр пароля
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.
Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.

Важно

Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки Альт Рабочая станция K. Более подробную информацию о режиме суперпользователя вы можете прочитать в главе Режим суперпользователя.
Подтверждение введенного (или сгенерированного) пароля учетной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.

Глава 18. Системный пользователь

На данном этапе программа установки создает учетную запись системного пользователя (пользователя) ОС Альт Рабочая станция K.
Системный пользователь
Помимо администратора (root) в систему необходимо добавить, по меньшей мере, одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.
При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).
Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя. Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.
Подтверждение введенного (или сгенерированного) пароля учетной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.

Глава 19. Установка пароля на шифрованные разделы

Примечание

Если вы не создавали шифруемые разделы, то этот шаг пропускается автоматически. В этом случае сразу переходите к главе Завершение установки.
На этом этапе требуется ввести пароль для шифруемых разделов. Этот пароль потребуется вводить для того, чтобы получать доступ к информации на данных разделах.
Установка пароля на LUKS-разделы
Например, если вы зашифровали /home, то во время загрузки системы будет необходимо ввести пароль для этого раздела, иначе вы не сможете получить доступ в систему под своим именем пользователя.

Важно

Внимание! Запомните этот пароль (набранный вручную или сгенерированный автоматически), так как, без знания пароля, доступ к зашифрованным разделам будет невозможен.

Примечание

Впоследствии пароль для шифруемых разделов нельзя будет сменить в Центре управления системой. Для управления шифрованными разделами можно будет воспользоваться командой cryptsetup (см. Управление шифрованными разделами).

Глава 20. Завершение установки

На экране последнего шага установки отображается информация о завершении установки Альт Рабочая станция K.
Завершение установки
После нажатия кнопки Завершить автоматически начнется перезагрузка системы.
Не забудьте извлечь установочный DVD (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.

Глава 21. Особенности установки в UEFI-режиме

21.1. Начальный загрузчик EFI

После загрузки компьютера с установочного диска выводится меню, в котором можно выбрать варианты загрузки системы:
  • Установить ALT 10.0 Workstation K — установка операционной системы.
  • LiveCD (жёсткий диск не нужен) — в этом режиме работа ОС Альт Рабочая станция K осуществляется непосредственно с DVD/flash-диска, не затрагивая установленную на жёстком диске ОС.

    Важно

    Установить систему, загрузившись в режиме LiveCD, нельзя.
  • Изменить язык — позволяет выбрать язык интерфейса загрузчика и программы установки (нажатие клавиши F2 вызывает такое же действие).
  • Bootlading over network — позволяет выбрать сетевой источник установки (нажатие клавиши F4 вызывает такое же действие).
  • UEFI Firmware Settings — позволяет получить доступ к настройкам UEFI.
Загрузка

Примечание

Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.
Для перемещения курсора необходимо использовать клавиши со стрелками. Нажатие клавиши Enter приводит к активированию выбранного пункта меню.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.

21.2. Подготовка диска

Особенности разбиения диска:
  • для того чтобы система правильно работала (в частности могла загрузиться) с UEFI, при ручном разбиении диска, надо обязательно сделать точку монтирования /boot/efi, в которую нужно смонтировать vfat раздел с загрузочными записями. Если такого раздела нет, то его надо создать вручную. При разбивке жёсткого диска в автоматическом режиме такой раздел создаёт сам установщик;
  • требуется создать новый или подключить существующий FAT32-раздел с GPT-типом ESP (efi system partition) размером ~100—500 Мб (будет смонтирован в /boot/efi);
  • может понадобиться раздел типа bios boot partition минимального размера, никуда не подключенный и предназначенный для встраивания grub2-efi;
  • остальные разделы — и файловая система, и swap — имеют GPT-тип basic data; актуальный тип раздела задаётся отдельно.
Ручной профиль разбиения диска позволяет установить ОС на программный RAID-массив, разместить разделы в томах LVM и использовать шифрование на разделах.

Примечание

Для создания программного массива на GPT-разделах, следует сначала создать разделы типа basic data и не создавать на них том (снять отметку с пункта Создать том):
Создание программного массива на GPT-разделах
Затем можно переходить к организации самих RAID-массивов, для этого в списке необходимо выбрать пункт RAID, после чего нажать кнопку Создать RAID.

21.3. Установка загрузчика

Установка загрузчика при установке в режиме EFI
Программа установки автоматически определяет, в каком разделе следует располагать загрузчик. Модуль установки загрузчика предложит вариант установить загрузчик в специальный раздел EFI.
Варианты установки загрузчика при установке в режиме EFI
Варианты установки загрузчика при установке в режиме UEFI:
  • EFI (рекомендуемый) — при установке загрузчика, в NVRAM будет добавлена запись, без которой большинство компьютеров не смогут загрузиться во вновь установленную ОС;
  • EFI (сначала очистить NVRAM) — перед добавлением записи в NVRAM, её содержимое будет сохранено в /root/.install-log, после чего из неё будут удалены все загрузочные записи, что приведёт к восстановлению полностью заполненной NVRAM и гарантирует загрузку вновь установленной ОС;
  • EFI (запретить запись в NVRAM) — этот вариант следует выбрать только, если инсталлятор не может создать запись в NVRAM или если заведомо известно, что запись в NVRAM может вывести компьютер из строя (вероятно, запись в NVRAM придётся создать после установки ОС средствами BIOS Setup);
  • EFI (для съёмных устройств) — этот вариант следует выбрать только, если ОС устанавливается на съёмный накопитель. Также этот вариант можно использовать вместо варианта EFI (запретить запись в NVRAM) при условии, что это будет единственная ОС на данном накопителе. Создавать запись в NVRAM не потребуется.

Примечание

Выбор варианта установки загрузчика, зависит от вашего оборудования. Если не работает один вариант, попробуйте другие.

Глава 22. Установка OEM-версии ОС Альт Рабочая станция K

При установке ОС Альт Рабочая станция K в режиме OEM операционная система устанавливается с учётной записью временного пользователя и подготавливается для будущего пользователя. В этом режиме можно выполнить всю аппаратную настройку и выбрать пакеты программ, а пользователю будет предоставлена возможность сделать все персональные настройки (выбор имени пользователя, настройка языка и т.д.).
Для того чтобы выполнить OEM-установку, необходимо при установке дистрибутива на этапе Установка системы выбрать дополнительно пункт OEM-установка:
Выбор группы OEM-установка
После установки системы можно передать компьютер конечному пользователю.
После первой загрузки ОС, пользователь попадет в мастер настройки системы, который состоит из следующих шагов:
  1. Выбор основного языка системы:
    Выбор основного языка
  2. Сообщение с напоминанием о том, что производится первоначальная настройка системы, а не установка:
    Сообщение приветствия
  3. Лицензионный договор:
    Лицензионный договор
  4. Настройка параметров работы сетевой карты и настройки сети:
    Настройка сети
  5. Выбор часового пояса, по которому будут установлены часы:
    Дата и время (выбор часового пояса)
  6. Установка пароля учетной записи администратора (root):
    Администратор системы
  7. Возможность удалить, ранее созданные учётные записи системных пользователей:
    Удаление пользователей
  8. Создание новой учётной записи системного пользователя:
    Системный пользователь
  9. Завершение установки:
    Завершение установки

Глава 23. Обновление системы до актуального состояния

После установки системы, её лучше сразу обновить до актуального состояния. Можно не обновлять систему и сразу приступать к работе только в том случае, если вы не планируете подключаться к сети или Интернету, не собираетесь устанавливать дополнительных программ.
Для обновления системы необходимо выполнить команды (с правами администратора):
# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

Примечание

Получить права администратора можно, выполнив в терминале команду:
$ su -
или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root. Про режим суперпользователя можно почитать в главе Режим суперпользователя.

Примечание

Подробнее про обновление пакетов можно прочитать в главах Обновление всех установленных пакетов, Обновление всех установленных пакетов и Обновление ядра.

Глава 24. Первая помощь

Важно

В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности и утраты ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть, и оно обязательно найдётся!

24.1. Проблемы при установке системы

Если в системе не произошла настройка какого-либо компонента после стадии установки пакетов, не отчаивайтесь, доведите установку до конца, загрузитесь в систему и попытайтесь в спокойной обстановке повторить настройку.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. В открывшемся редакторе следует найти строку, начинающуюся с linux$linux_suffix /boot/vmlinuz, в её конец дописать требуемые параметры, отделив пробелом и нажать F10.
Редактор параметров пункта загрузки
В случае возникновения проблем с установкой, вы можете вручную задать необходимые параметры:
  • xdriver — графический установщик предпринимает попытку автоматического подбора драйвера видеокарты, но иногда это ему не удаётся. Данным параметром можно отключить «искусственный интеллект» и явно указать нужный вариант драйвера;
  • instdebug — если будет присутствовать этот параметр, то перед запуском и после завершения работы графического установщика будет запущена оболочка shell. Это очень полезное средство для выявления причин отсутствия запуска графической части программы установки. Последовательность работы внутренних сценариев следующая: install2xinitalterator-install2alterator-wizard. При необходимости можно вручную загрузить Xorg (команда xinit) и в открывшемся окне терминала запустить alterator-install2 (или alterator-wizard) вручную.
Если вы вообще не смогли установить систему (не произошла или не завершилась стадия установки пакетов), то сначала попробуйте повторить попытку в безопасном режиме. В безопасном режиме отключаются все параметры ядра, (apm=off acpi=off mce=off barrier=off vga=normal) которые могут вызвать проблемы при загрузке. В этом режиме установка будет произведена без поддержки APIC. Возможно, у вас какое-то новое или нестандартное оборудование, но может оказаться, что оно отлично настраивается со старыми драйверами.

24.2. Проблемы с загрузкой системы

Если не загружается ни одна из установленных операционных систем, то значит, есть проблема в начальном загрузчике. Такие проблемы могут возникнуть после установки системы, в случае если загрузчик все-таки не установлен или установлен с ошибкой. При установке или переустановке Windows на вашем компьютере загрузчик Linux будет перезаписан в принудительном порядке, и станет невозможно запускать Linux.
Повреждение или перезапись загрузчика никак не затрагивает остальные данные на жёстком диске, поэтому в такой ситуации очень легко вернуть работоспособность: для этого достаточно восстановить загрузчик.
Если у вас исчез загрузчик другой операционной системы или другого производителя, то внимательно почитайте соответствующее официальное руководство на предмет его восстановления. Но в большинстве случаев вам это не потребуется, так как загрузчик, входящий в состав Альт Рабочая станция K, поддерживает загрузку большинства известных операционных систем.
Для восстановления загрузчика достаточно любым доступным способом загрузить Linux и получить доступ к тому жёсткому диску, на котором находится повреждённый загрузчик. Для этого проще всего воспользоваться режимом LiveCD, который предусмотрен на установочном диске дистрибутива: пункт LiveCD (жёсткий диск не нужен).
В большинстве случаев для восстановления загрузчика можно просто воспользоваться командой fixmbr без параметров. Программа попытается переустановить загрузчик в автоматическом режиме.

Часть III. Начало использования Альт Рабочая станция K

Глава 25. Загрузка системы

Запуск Альт Рабочая станция K выполняется автоматически после запуска компьютера и отработки набора программ BIOS.
На экране появляется меню, в котором перечислены возможные варианты загрузки операционной системы:
Загрузка системы

Важно

При первом старте, в условиях установки нескольких ОС на один компьютер, возможно отсутствие в загрузочном меню пункта/пунктов с другой/другими операционными системами, они будут добавлены в список при последующей перезагрузке. Все перечисленные в меню после перезагрузки варианты могут быть загружены загрузчиком Linux.
Стрелками клавиатуры Вверх и Вниз выберите нужную операционную систему. Дополнительно к основным вариантам запуска ОС из этого меню можно загрузить Linux в безопасном режиме или запустить проверку памяти.
Загрузка операционной системы по умолчанию (первая в списке) начинается автоматически после небольшого времени ожидания (обычно несколько секунд). Нажав клавишу Enter, можно начать загрузку немедленно.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.
Загрузка операционной системы может занять некоторое время, в зависимости от производительности компьютера. Основные этапы загрузки операционной системы — загрузка ядра, подключение (монтирование) файловых систем, запуск системных служб — периодически могут дополняться проверкой файловых систем на наличие ошибок. В этом случае время ожидания может занять больше времени, чем обычно. Подробную информацию о шагах загрузки можно получить, нажав клавишу Esc.

Глава 26. Получение доступа к зашифрованным разделам

В случае если был создан шифрованный раздел, потребуется вводить пароль при обращении к этому разделу.
Например, если был зашифрован домашний раздел /home, то для того, чтобы войти в систему, потребуется ввести пароль этого раздела и затем нажать Enter.
Запрос пароля для зашифрованного раздела

Важно

Если не ввести пароль за отведенный промежуток времени, то загрузка системы завершится ошибкой. В этом случае следует перезагрузить систему, нажав для этого Ctrl+Alt+Delete.

Глава 27. Вход в систему

27.1. Вход и работа в системе в графическом режиме

Стандартная установка Альт Рабочая станция K включает графическую оболочку KDE. Графическая оболочка состоит из набора различных программ и технологий, используемых для управления ОС и предоставляющих пользователю удобный графический интерфейс для работы в виде графических оболочек и оконных менеджеров.
При загрузке в графическом режиме работа загрузчика ОС заканчивается переходом к окну входа в систему:
Регистрация в системе
Для регистрации в системе необходимо выбрать имя пользователя из списка или ввести его в поле. Далее необходимо ввести пароль, затем нажать Enter или щелкнуть на кнопке Войти. После непродолжительного времени ожидания запустится графическая оболочка операционной системы.
Добавлять новых пользователей или удалять существующих можно после загрузки системы с помощью стандартных средств управления пользователями.
Если систему устанавливали не вы, то имя системного пользователя и его пароль вам должен сообщить системный администратор, отвечающий за настройку данного компьютера.

Важно

Поскольку работа в системе с использованием учётной записи администратора системы небезопасна, вход в систему в графическом режиме для суперпользователя root запрещён. Попытка зарегистрироваться в системе будет прервана сообщением об ошибке.
При нажатии на кнопку Виртуальная клавиатура на экране появится виртуальная клавиатура, её можно использовать для ввода имени пользователя и пароля:
Регистрация в системе — виртуальная клавиатура

27.2. Вход и работа в консольном режиме

Стандартная установка Альт Рабочая станция K включает базовую систему, работающую в консольном режиме.
При загрузке в консольном режиме работа загрузчика Альт Рабочая станция K завершается запросом на ввод логина и пароля учетной записи. В случае необходимости на другую консоль можно перейти, нажав Ctrl+Alt+F2.
Запрос на ввод логина
Для дальнейшего входа в систему необходимо ввести логин и пароль учетной записи пользователя.
В случае успешного прохождения процедуры аутентификации и идентификации будет выполнен вход в систему. ОС Альт Рабочая станция K перейдет к штатному режиму работы и предоставит дальнейший доступ к консоли.
Приглашение для ввода команд

27.3. Виртуальная консоль

В процессе работы ОС Альт Рабочая станция K активно несколько виртуальных консолей. Каждая виртуальная консоль доступна по одновременному нажатию клавиш Ctrl, Alt и функциональной клавиши с номером этой консоли от F1 до F6.
При установке системы в профиле по умолчанию на первой виртуальной консоли (Ctrl+Alt+F1) пользователь может зарегистрироваться и работать в графическом режиме. При нажатии Ctrl+Alt+F1 осуществляется переход на первую виртуальную консоль в графический режим. Двенадцатая виртуальная консоль (Ctrl+Alt+F12) выполняет функцию системной консоли — на нее выводятся сообщения о происходящих в системе событиях.

Глава 28. Блокирование сеанса доступа

28.1. Блокирование сеанса доступа после установленного времени бездействия пользователя или по его запросу

После авторизации и загрузки графической рабочей среды KDE, пользователю предоставляется рабочий стол для работы с графическими приложениями.
Если вы оставляете свой компьютер на короткое время, вы должны заблокировать свой экран, чтобы другие пользователи не могли получить доступ к вашим файлам или работающим приложениям.
Заблокировать сеанс доступа можно по запросу пользователя: Меню запуска приложенийЗавершение работыЗаблокировать (Ctrl+Alt+L):
Блокирование сеанса доступа
Для разблокировки требуется ввести пароль пользователя и нажать Enter или кнопку Разблокировать:
Разблокирование сеанса доступа
При заблокированном экране другие пользователи могут входить в систему под своими учётными записями, нажав на экране ввода пароля кнопку Переключить пользователя.
Также при работе в графическом режиме блокирование сеанса доступа может происходить после установленного времени бездействия (по умолчанию 5 минут) посредством срабатывания программы — хранителя экрана (screensaver).
Время бездействия системы устанавливается в диалоговом окне Блокировка экрана в Параметры системы KDE5.
При разблокировке экрана в левом нижнем углу отображается кнопка открытия виртуальной клавиатуры. Виртуальную клавиатуру можно использовать для ввода пароля:
Блокирование сеанса доступа — виртуальная клавиатура

28.2. Блокировка виртуальных текстовых консолей

Программа vlock позволяет заблокировать сеанс при работе в консоли.

Примечание

Должен быть установлен пакет vlock:
# apt-get install vlock
Выполнение команды vlock без дополнительных параметров заблокирует текущий сеанс виртуальной консоли, без прерывания доступа других пользователей:
$ vlock
Блокировка tty2 установлена user.
Используйте Alt-функциональные клавиши для перехода в другие виртуальные консоли.
Пароль:
Чтобы предотвратить доступ ко всем виртуальным консолям машины, следует выполнить команду:
$ vlock -a
Теперь вывод на консоль полностью заблокирован user.
Пароль:
В этом случае vlock блокирует текущую активную консоль, а параметр -a предотвращает переключение в другие виртуальные консоли.

Глава 29. Завершение сеанса пользователя

29.1. Графический режим

Для завершения сеанса пользователя в графическом режиме в Меню запуска приложений выбрать пункт Завершение работыЗавершить сеанс:
Завершение сеанса пользователя
Далее откроется окно, в котором предоставляется выбор дальнейших действий:
  • Ждущий режим — компьютер переводится в режим экономии энергии;
  • Спящий режим — компьютер переводится в режим энергосбережения, позволяющий отключить питание компьютера, сохранив при этом текущее состояние операционной системы;
  • Перезагрузить — выполняется перезапуск ОС;
  • Выключить — выполняется выключение компьютера.
  • Завершить сеанс — выполняется завершение сеанса пользователя.
Окно выхода из системы
Если не производить никаких действий, то сеанс будет автоматически завершен через 30 секунд.

29.2. Консольный режим

Завершить сеанс пользователя в консольном режиме можно, выполнив команду exit:
$ exit
host-15 login:

Глава 30. Выключение/перезагрузка компьютера

30.1. Графический режим

Для выключения/перезагрузки компьютера следует в Меню запуска приложений выбрать пункт Завершение работыВыключить:
Выключение компьютера
Далее откроется окно, в котором предоставляется выбор дальнейших действий:
  • Ждущий режим — компьютер переводится в режим экономии энергии;
  • Спящий режим — компьютер переводится в режим энергосбережения, позволяющий отключить питание компьютера, сохранив при этом текущее состояние операционной системы;
  • Перезагрузить — выполняется перезапуск ОС;
  • Выключить — выполняется выключение компьютера.
  • Завершить сеанс — выполняется завершение сеанса пользователя.
Окно выключения компьютера
Если не производить никаких действий, то компьютер будет автоматически выключен через 30 секунд.

30.2. Консольный режим

Перезагрузить систему в консольном режиме можно, выполнив команду:
$ systemctl reboot
Завершить работу и выключить компьютер (с отключением питания):
$ systemctl poweroff
Перевести систему в ждущий режим:
$ systemctl suspend

Часть IV. Графический интерфейс

В качестве графической оболочки операционной системы Альт Рабочая станция K используется графическая среда KDE5.

Глава 31. Традиционный рабочий стол

При первом входе в систему рабочий стол запускается в традиционном режиме отображения содержимого папки рабочего стола. На рабочем столе при помощи контекстного меню, вызываемого правой кнопкой мыши, можно создавать, копировать и перемещать файлы и каталоги, упорядочивать и создавать значки запуска программ, а также изменять внешний вид и другие параметры рабочего стола.
Рабочий стол KDE
Типичный рабочий стол KDE состоит из нескольких частей:
  • Панель в нижней части экрана, которая используется для запуска приложений и переключения между рабочими столами. Среди прочего, на ней находится кнопка для запуска приложений — Меню запуска приложений, при нажатии на которую вызывается меню запуска приложений.
  • Рабочий стол, на который можно поместить часто используемые файлы и папки. В KDE можно использовать одновременно несколько рабочих столов, на каждом из которых будут расположены собственные окна.

31.1. Панель KDE

Панель KDE
Большинство элементов интерфейса расположены на панели KDE внизу рабочего стола. Эти элементы называются виджеты. Обычно на панели присутствуют:
Кнопка Меню запуска приложений
Является средством доступа к программам, точкам входа в файловую систему и инструментам настройки.
Точки входа
Является средством доступа к точкам входа в файловую систему.
Область списка задач
Отображает запущенные приложения и используется для управления окнами, открытыми на одном или нескольких рабочих столах. Щелчок левой кнопкой мыши на значке разворачивает окно или выводит его на передний план. Перемещать, сворачивать или разворачивать окно, а также изменять его размеры можно при помощи контекстного меню.
Системный лоток
Область панели, на которой размещаются значки некоторых запущенных программ, по умолчанию это:
  • значок программы оповещения о наличии обновлений (APT-Indicator);
  • значок управления буфером обмена Klipper;
  • индикатор раскладки клавиатуры;
  • индикатор микшера KMix;
  • апплет Управление сетью;
  • кнопка доступа к подключаемым устройствам (например, flash-накопителям).
Цифровые часы
Отображают текущее время, щелчок на часах открывает календарь.
Показать рабочий стол
Позволяет свернуть/развернуть все окна.
Панель KDE может содержать дополнительные виджеты, делающие работу с ней более удобной. Для самостоятельного добавления виджетов на панель щёлкните правой кнопкой мыши на панели и в контекстном меню выберите Добавить виджеты:
Контекстное меню панели KDE
Желаемые виджеты появятся на панели при двойном щелчке по ним левой кнопкой мыши.
Таким способом вы можете добавлять любые другие понравившиеся вам виджеты.
Кнопка Режим редактирования в контекстном меню панели KDE служит и для доступа к другим настройкам параметров панели, таким как размер, положение и т.п.

31.2. Новые возможности интерфейса

По традиции, элементы управления сосредоточены на панели KDE, но вы можете располагать их и на рабочем столе. Добавление виджетов на рабочий стол предлагает более эффективную организацию рабочего пространства. Распределение виджетов по всей поверхности рабочего стола удобнее размещения их на панелях, поскольку их в большем количестве можно свободнее располагать на экране.
Виджеты на рабочем столе KDE
Для добавления виджета на рабочий стол, нужно в контекстном меню рабочего стола выбрать пункт Добавить виджеты:
Контекстном меню рабочего стола
Выбрав в списке нужный виджет, его можно добавить на рабочий стол просто перетащив из списка на область рабочего стола:
Выбор виджетов
Если текущий набор виджетов кажется вам недостаточным или вы не нашли в списке нужного вам мини-приложения, можно загрузить дополнительные виджеты из Интернета, выбрав один из пунктов выпадающего меню Пополнить список виджетов.
Виджеты можно настраивать, перемещать, вращать, изменять их размер и удалять с рабочего стола. Все эти действия выполняются при помощи панели управления, которая появляется если в контекстном меню виджета или рабочего стола выбрать пункт Режим редактирования.
Помимо виджетов на рабочий стол можно добавлять и значки приложений. Это делается из меню запуска приложений (щелчок правой кнопкой мыши по выбранному приложению → пункт Добавить значок на рабочий стол).
В графической среде KDE вы найдёте массу других полезных возможностей по организации рабочего пространства. Как будет выглядеть ваш рабочий стол, зависит от выполняемых на компьютере задач. Поэкспериментировав с расположением виджетов, можно совсем отказаться от традиционных элементов управления, например, удалив с рабочего стола панель KDE. В любом случае, вы имеете возможность наиболее удобно организовать своё рабочее пространство.

Глава 32. Запуск приложений

В левой части панели рабочего стола KDE находится меню запуска приложений. Из Меню запуска приложений осуществляется запуск всех приложений, установленных на ваш компьютер.
Меню запуска приложений
Меню запуска приложений состоит из нескольких разделов:
Последние приложения
Эта часть меню запуска приложений состоит из пунктов, которые обеспечивают быстрый доступ к недавним приложениям и документам.
Графика
Здесь находятся ссылки на графические редакторы.
Инструменты
Здесь находятся ссылки на вспомогательные программы: форматирование дискет, создание снимков экрана, калькулятор.
Мультимедиа
Здесь находятся ссылки на приложения, предназначенные для работы с мультимедиа: запись дисков, камера, видеоредактор и т.д.
Настройки
Эта часть меню запуска приложений состоит из пунктов, которые позволяют настраивать параметры системы, устанавливать пакеты.
Наука
Доступ к инструментальным преподавательским ресурсам, средствам разработки, обучающим программам.
Офис
Доступ к офисным программам: текстовый процессор, органайзер, учет финансов, электронные таблицы и т.д).
Сеть
Здесь находятся приложения для работы по сети: веб-браузеры, почтовые клиенты, клиенты мессенджеров.
Система
Здесь находятся точки входа в систему. Пункты позволяющие выполнять команды.
Завершение работы
Эта часть меню запуска приложений состоит из пунктов, которые позволяют управлять сеансами, перезагрузкой и выключением компьютера.

Глава 33. Настройка параметров KDE

Самые широкие возможности по настройке графической среды KDE предлагает диалог Параметры системы KDE5. Он открывается из меню запуска приложений (кнопка или пункт Меню запуска приложенийНастройкиПараметры системы KDE5). Здесь можно изменять фон рабочего стола, тему значков, цветовую схему, шрифты, внешний вид и поведение окон, а также настраивать различные системные параметры. В KDE5 персонализация интерфейса ограничена лишь вашей фантазией.
Параметры KDE5

Глава 34. Справка к приложениям

Все приложения, входящие в состав KDE, сопровождаются руководством пользователя. Руководство описывает как предназначение и возможности программы, так и аспекты её использования. Обращайтесь к справке, когда вы хотите узнать подробности использования конкретного приложения.
Если вы просто желаете ознакомиться с руководствами к приложениям или получить общую информацию об использовании KDE, то «Центр справки KDE» можно запустить как любое другое приложение: Меню запуска приложенийИнструментыСправка (Центр справки). После запуска выберите интересующий вас раздел.
Центр справки
Кроме руководств к установленным приложениям «Центр справки KDE» позволяет просмотреть и стандартные страницы документации по UNIX (man и info-страницы).
«Центр справки KDE» можно открыть и из меню Справка запущенного приложения. В результате откроется руководство на интересующее вас приложение.

Часть V. Обзор приложений

Linux содержит огромное число приложений (программ) для выполнения всех повседневных задач. При этом важно понимать, что для выполнения одного и того же действия могут быть использованы разные приложения. Например, для написания простых текстов доступен целый ряд текстовых редакторов с разным набором возможностей. Со временем вы сами сможете выбрать наиболее удобные для вас приложения.
Набор программ с диска покрывает обычные потребности. Если же определённая программа отсутствует в системе, то вы можете доустановить её с диска или из огромного банка программного обеспечения ALT Linux Team.

Содержание

35. Веб-навигация
35.1. Chromium GOST
36. Электронная почта
36.1. Thunderbird
36.1.1. Первоначальная настройка Thunderbird
36.1.2. Использование почтового клиента
37. Обмен мгновенными сообщениями
37.1. Psi+
38. Офисные приложения
38.1. LibreOffice
39. Диспетчеры файлов
39.1. Диспетчер файлов Dolphin
39.1.1. Домашняя папка
39.1.2. Быстрый доступ к нужным файлам
39.1.3. Строка адреса
39.1.4. Окно Свойства объекта
39.1.5. Копирование и перемещение файлов
39.1.6. Удаление файлов
39.1.7. Открытие файлов
39.1.8. Поиск файлов
39.1.9. Создание ресурсов общего доступа
39.1.10. Подсчёт контрольных сумм файлов
39.1.11. Защитное преобразование файлов и каталогов по ГОСТ Р 34.12–2015
40. Графика
40.1. Графические приложения KDE
40.2. Krita
40.3. Векторный редактор Inkscape
40.4. Blender 3D
40.5. Программа сканирования и распознавания gImageReader
40.6. Xsane
41. Мультимедиа
41.1. Мультимедиа KDE
41.2. SimpleScreenRecorder
42. Прочие приложения
42.1. Менеджер архивов Ark
42.1.1. Использование файлового менеджера для работы с архивом
42.2. Поиск файлов (KFind)
42.3. Центр программ Discover
42.4. Просмотр электронных документов Okular
42.5. Запись дисков: K3b
42.6. Системный монитор
42.6.1. Запуск приложения
42.6.2. Применение приложения

Глава 35. Веб-навигация

Веб-браузеры — комплексные программы для обработки и отображения HTML-страниц по протоколу HTTP и HTTPS (открытие страниц сайтов, блогов и т.д.). Основное назначение веб-браузера — предоставление интерфейса между веб-сайтом и его посетителем. К базовым функциям современных веб-браузеров относятся:
  • навигация и просмотр веб-ресурсов;
  • показ оглавлений FTP-серверов и скачивание файлов;
  • поддержка скриптовых языков.
Основные принципы работы с веб-браузером неизменны. Программа предоставляет пользователю адресную строку, в которую вносится адрес необходимого вам сайта. Эта же строка может использоваться для ввода поискового запроса. Для более быстрого доступа адреса часто посещаемых сайтов добавляются в закладки. Для перехода к предыдущей/следующей просмотренной веб-странице, как правило, предусмотрены специальные кнопки на панели инструментов.
Возможно, по опыту работы в других операционных системах вы уже знакомы с определённым браузером. Определить, какой браузер лучше, практически невозможно. Эту задачу каждый пользователь решает сам, ориентируясь на свои личные предпочтения. В любом случае рассмотрите основные предложения и выберите наиболее удобный для вас веб-навигатор.

35.1. Chromium GOST

Веб-браузер Chromium GOST — веб-браузер с открытым исходным кодом на основе Chromium с поддержкой криптографических алгоритмов ГОСТ. Chromium GOST предназначен для предоставления пользователям быстрого, безопасного и надёжного доступа в Интернет, а также удобной платформы для веб-приложений.
Веб-браузер Chromium GOST

Глава 36. Электронная почта

Для работы с электронной почтой применяются специализированные программы — почтовые клиенты, предоставляющие пользователю гибкие и эффективные возможности работы с электронной корреспонденцией: различные средства сортировки сообщений, выбор шаблонов из готового набора, проверку орфографии по мере набора текста и другие полезные функции.

Примечание

Современные пользователи предпочитают работать с электронной почтой через веб-интерфейс, используя браузер. Подручных средств, предоставляемых популярными почтовыми сервисами, для повседневных почтовых нужд пользователя практически достаточно, но использование специально предназначенных программ даёт некоторые преимущества:
  • возможность одновременной работы с несколькими учётными записями;
  • гибкие правила сортировки почты;
  • обеспечение ограниченного доступа к отдельным папкам или учётным записям;
  • наличие антиспам-систем и систем фильтрации рекламы;
  • экономия входящего трафика.
Для Linux создано большое количество почтовых клиентов. Все они обладают своими особенностями и, как правило, имеют всё необходимое для успешной работы с электронной почтой: сортировку и фильтрацию сообщений, поддержку различных кодировок сообщений, возможность работы со списками рассылки и т.п.
Выбор почтового клиента зависит от ваших личных предпочтений. Для первоначальной настройки любого из них вам потребуются следующие данные:
  • адрес электронной почты;
  • пароль для доступа к ящику электронной почты;
  • имена серверов входящей и исходящей почты;
  • тип сервера входящей почты (IMAP или POP3).
Адрес и порт для доступа к SMTP и POP3 серверам необходимо выяснить у провайдера электронной почты или у администратора вашей сети (в случае использования почтового сервера локальной сети).

36.1. Thunderbird

Mozilla Thunderbird — мощный почтовый клиент, позволяющий максимально эффективно работать с электронной почтой. Mozilla Thunderbird позволяет работать с электронной корреспонденцией через протоколы POP, SMTP и IMAP, участвовать в конференциях Usenet, а также осуществлять подписку на новостные ленты RSS.
Функции Thunderbird:
  • настройка интерфейса (изменение расположения окон, наличие и отсутствие кнопок на панели инструментов, изменение их размера и т.д.);
  • отображение любого форматирования HTML, обеспечивающее кроссплатформенную совместимость;
  • выбор режимов показа и компоновки учётных записей и почтовых папок;
  • поддержка смены тем и установки расширений.
Почтовый клиент Mozilla Thunderbird

36.1.1. Первоначальная настройка Thunderbird

При первом запуске почтового клиента Thunderbird будет автоматически запущен мастер Настройка учётной записи почты.
Mozilla Thunderbird настройка учётной записи
Мастер создания учётной записи запросит:
  • ваше имя;
  • адрес электронной почты;
  • пароль.
Далее, на основании введённой информации, мастер определяет протокол доступа (IMAP или POP3) и адреса серверов входящих и исходящих сообщений. Вы можете принять предложенные настройки, если они верны, нажав на кнопку Готово, или указать правильные настройки, воспользовавшись кнопкой Настроить вручную…. Добавить дополнительную учётную запись можно выбрав в левой части окна программы одну из существующих учётных записей, и затем нажав кнопку Электронная почта.
Если ваш почтовый ящик расположен на сервисе Gmail или Яндекс.Почта, то вся настройка происходит автоматически — вам необходимо ввести только имя учётной записи и пароль.
В случае наличия нескольких учётных записей вы можете выбирать метод их компоновки на панели почтовых папок.

36.1.2. Использование почтового клиента

Для составления письма нажмите Создать. В открывшемся окне Создание сообщения введите адрес получателя, тему и текст письма. Для проверки ошибок в тексте выберите кнопку Орфография.
Создание сообщения в Mozilla Thunderbird
В виде вложения к письму можно пересылать электронные документы, изображения, архивы и т.п. Для того чтобы добавить вложение, нажмите Вложить и выберите нужный файл в открывшемся окне. Закончив составление письма, нажмите Отправить.
Более подробную информацию об использовании и настройке Thunderbird смотрите СправкаПомощь по Thunderbird или при помощи клавиши F1.

Глава 37. Обмен мгновенными сообщениями

Для обмена сообщениями в режиме реального времени через Интернет необходима специализированная клиентская программа, передающая текстовые сообщения, а также файлы различных типов. Система мгновенного обмена сообщениями является одним из самых доступных и востребованных средств общения в Интернете. Преимущества инструментов мгновенного обмена информацией:
  • Скорость — мгновенные сообщения позволяют собеседникам общаться со скоростью нажатия на кнопку, без необходимости открывать письма и ждать ответа.
  • Удобство — программы обмена мгновенными сообщениями включают широкий набор коммуникативных и производственных функций.
Большинство современных программ мгновенного обмена сообщениями позволяют видеть, подключены ли в данный момент абоненты, занесённые в список контактов. Сообщения появляются на мониторе собеседника только после окончания редактирования и отправки. В список основных функций служб мгновенных сообщений входят:
  • чат (видеочат, текстовый и голосовой);
  • VoIP сервисы: звонки на компьютер, звонки на стационарные и мобильные телефоны;
  • возможность отправки SMS;
  • передача файлов;
  • инструменты для совместной работы в режиме реального времени;
  • возможность общаться в чате непосредственно на веб-странице;
  • напоминания и оповещения;
  • хранение истории общения по каждому контакту;
  • индикация о сетевом статусе занесённых в список контактов пользователей (в сети, нет на месте и т.д.).
Существуют клиентские программы, позволяющие подключаться одновременно к нескольким сетям. Они поддерживают наиболее популярные протоколы, что избавляет вас от необходимости устанавливать отдельный IM-клиент для каждой сети.

37.1. Psi+

Psi+ — программа для мгновенного обмена сообщениями посредством сети Интернет по протоколу Jabber.
Окно программы Psi+
Возможности Psi+:
  • стандартные и расширенные статусы (прослушиваемая мелодия, активность, настроение);
  • автосмена статуса;
  • всплывающие уведомления;
  • управление закладками;
  • поддержка работы с несколькими учетными записями одновременно;
  • шифрование;
  • администрирование конференций;
  • поддержка наборов иконок.
Функционал Psi+ значительно расширяется за счёт использования специальных плагинов.
При первом запуске приложение предложит настроить учётную запись:
Настройка аккаунта
В дальнейшем можно добавить новую учётную запись или изменить существующую, выбрав в окне настроек пункт Accounts.

Глава 38. Офисные приложения

Офисными приложениями традиционно называют пакет программ для работы с текстами, таблицами и презентациями.

38.1. LibreOffice

LibreOffice
LibreOffice — пакет программ для работы с офисными документами. Кроме стандартных для LibreOffice форматов хранения данных, вы можете успешно открывать и сохранять документы, созданные в других популярных офисных пакетах.
Текстовый процессор
Текстовый процессор (LibreOffice Writer) позволяет проектировать и создавать текстовые документы, содержащие изображения, таблицы или графики. Вы можете сохранять документы в различных форматах, включая стандартизированный формат OpenDocument format (ODF), формат Microsoft Word (DOC, DOCX) или HTML. Кроме того, вы можете без труда экспортировать ваш документ в формате переносимого документа (PDF). Текстовый процессор поддерживает и другие форматы.
Электронные таблицы
Электронная таблица (LibreOffice Calc) предназначена для работы с электронными таблицами. Инструментарий электронных таблиц включает мощные математические функции, позволяющие вести сложные статистические, финансовые и прочие расчёты.
Презентация
Презентация (LibreOffice Impress) позволяет создавать профессиональные слайд-шоу, которые могут включать диаграммы, рисованные объекты, текст, мультимедиа и множество других элементов. При необходимости можно даже импортировать и изменять презентации Microsoft PowerPoint. Для того чтобы сделать экранные презентации более эффектными, можно использовать такие средства, как анимация, мультимедиа и переходы между слайдами.
Редактор рисунков
Редактор рисунков (LibreOffice Draw) позволяет создавать рисунки различной сложности и экспортировать их с использованием нескольких общепринятых форматов изображений. Кроме того, можно вставлять в рисунки таблицы, диаграммы, формулы и другие элементы, созданные в программах LibreOffice.
Базы данных
Базы данных (LibreOffice Base) поддерживает некоторые обычные файловые форматы баз данных, например, BASE. Кроме того, можно использовать LibreOffice Base для подключения к внешним реляционным базам данных, например, к базам данных MySQL или Oracle. В базе LibreOffice Base невозможно изменить структуру базы данных или редактировать, вставлять и удалять записи для ниже перечисленных типов баз данных (они доступны только для чтения):
  • файлы электронной таблицы;
  • текстовые файлы;
  • данные адресной книги.

Глава 39. Диспетчеры файлов

Диспетчеры файлов (или файловые менеджеры) предоставляют интерфейс пользователя для работы с файловой системой и файлами. Диспетчеры файлов позволяют выполнять наиболее частые операции над файлами — создание, открытие/проигрывание/просмотр, редактирование, перемещение, переименование, копирование, удаление, изменение атрибутов и свойств, поиск файлов и назначение прав. Помимо основных функций, многие диспетчеры файлов включают ряд дополнительных возможностей, например, таких, как работа с сетью (через FTP, NFS и т.п.), резервное копирование, управление принтерами и прочее.

39.1. Диспетчер файлов Dolphin

Dolphin — это инструмент управления файлами в KDE, удобный и простой в использовании.
Домашняя папка
Dolphin является точкой доступа, как к файлам, так и к приложениям. Используя диспетчер файлов, можно:
  • создавать папки и документы;
  • просматривать файлы и папки;
  • управлять файлами и папками;
  • осуществлять поиск файлов по имени или содержимому;
  • настраивать и выполнять особые действия;
  • получать доступ к съёмным носителям.
Основное окно Dolphin состоит из следующих элементов:
  • панель инструментов — обеспечивает быстрый доступ к часто используемым функциям;
  • панель адреса — отображает путь к текущей открытой папке;
  • панель Точки входа — предоставляет быстрый доступ к важным и часто используемым папкам (домашний каталог, корневой каталог (/), корзина, внешние носители);
  • область отображения (рабочее пространство) — отображает содержимое текущей папки;
  • строка состояния — отображает тип и размер выделенного объекта, позволяет изменить размер значков, отображаемых в рабочем пространстве.
Dolphin, как и прочие приложения KDE, содержит руководство пользователя, вызываемое из раздела Справка основного меню или нажатием F1. Ниже описаны лишь некоторые возможности диспетчера файлов. За полным руководством обращайтесь к встроенному руководству пользователя Dolphin.

Примечание

По умолчанию основное меню скрыто. Отобразить его можно, нажав на панели инструментов кнопку Управление и выбрав в открывшемся меню пункт Показать меню (Ctrl+M).

39.1.1. Домашняя папка

Все файлы и папки пользователя хранятся в системе внутри домашней папки (каталог /home/имя_пользователя). Открыть её можно, щёлкнув на значке папки на рабочем столе.

Примечание

Домашняя папка есть у каждого пользователя системы, и по умолчанию содержащиеся в ней файлы недоступны для других пользователей (даже для чтения).
В домашней папке по умолчанию находятся несколько стандартных папок:
  • Документы — папка, предназначенная для хранения документов;
  • Загрузки — в данную папку по умолчанию загружаются файлы из Интернета;
  • Рабочий стол — содержит файлы, папки и значки, отображающиеся на рабочем столе;
  • Видео, Изображения, Музыка, Шаблоны — папки, предназначенные для хранения файлов различных типов.
Кроме того, в домашней папке и её подпапках можно создавать другие папки при помощи контекстного меню (Создать → Папку…).
Контекстное меню Dolphin

Примечание

Контекстное меню вызывается при помощи щелчка правой кнопкой мыши на объекте. Контекстное меню файла, папки и свободного пространства могут сильно отличаться друг от друга.

39.1.2. Быстрый доступ к нужным файлам

Для быстрого доступа к важным и часто используемым папкам, таким как домашняя папка, сетевые папки или корзина, можно воспользоваться панелью Точки входа, расположенной слева от окна просмотра содержимого папки:
Панель Точки входа
На панель Точки входа можно добавить и другие популярные папки. Это можно сделать различными способами. Например:
  • вызвать в свободной области панели Точки входа контекстное меню, выбрать в нём пункт Добавить запись… и заполнить предложенные поля открывшегося диалога;
  • вызвать контекстное меню на значке папки, которую вы хотите добавить на панель, и выбрать в нём пункт Добавить в «Точки входа».
Сменные устройства и носители определяются при их подключении автоматически. Для каждого из них Dolphin создает собственную точку входа, открывая доступ к хранящимся там файлам.
Все операции управления точками входа осуществляются через контекстное меню точек входа или всей панели в целом. Если точка не нужна её можно скрыть, выбрав в контекстном меню точки пункт Скрыть. Собственные точки входа можно аналогичным образом удалить.

39.1.3. Строка адреса

Ориентироваться в сложно организованной системе вложенных папок и быстро перемещаться по ней поможет путь в адресной строке. Каждая папка в этом пути представлена в виде ссылки. Нажав на ссылку, можно быстро открыть нужную папку.
Адресная строка
Строка адреса может быть также представлена в виде редактируемой строки. Чтобы переключить адресную строку из вида хлебных крошек к редактируемой версии и обратно можно нажать F6 или воспользоваться контекстным меню адресной строки:
Контекстное меню адресной строки
Редактируемая строка адреса:
Редактируемая строка адреса

39.1.4. Окно Свойства объекта

Чтобы просмотреть свойства файла (папки), необходимо выделить файл (папку) и выполнить одно из следующих действий:
  • в контекстном меню файла (папки) выбрать пункт Свойства;
  • нажать Alt+Enter;
Свойства файла
Окно Свойства объекта показывает подробную информацию о любом файле, папке или другом объекте в диспетчере файлов (какие именно сведения будут доступны, определяется типом объекта):
  • имя файла или папки — можно ввести новое имя, и файл или папка будут переименованы после нажатия кнопки Закрыть;
  • тип — тип объекта (например, файл или папка);
  • расположение — системный путь к объекту (указывает местонахождение объекта относительно корня системы);
  • размер файла;
  • дата изменения — дата и время последнего изменения объекта;
  • последний доступ — дата и время последнего просмотра объекта.
С помощью окна Свойства объекта можно выполнить следующие действия:
  • изменить значок объекта;
  • изменить файловые права на доступ к объекту;
  • выбрать, с помощью какого приложения следует открывать данный объект и другие объекты того же типа.

39.1.5. Копирование и перемещение файлов

Скопировать или переместить файл или папку можно различными способами:
  • «перетащить» папку или файл из одного открытого окна Dolphin в другое (где открыта целевая папка).
    Перетаскивание можно осуществлять и в двупанельном режиме. В этом случае не потребуется запускать два экземпляра Dolphin. Нажмите на кнопку Две панели (F3) и вы сможете перемещать и копировать файлы и папки, перетаскивая их между панелями.
    Панели Dolphin
  • копировать и перемещать папку или файл можно, используя основное стандартное меню Правка (либо контекстное меню):
    • необходимо выделить то, что вы желаете скопировать или переместить, наведя курсор на файл или папку и нажав появившийся знак +;
    • из основного меню Правка или из контекстного меню выберите Копировать (для копирования) или Вырезать (для перемещения);
    • открыть папку, в которую вы хотите скопировать или переместить объект;
    • вызвать в этой папке из основного меню Правка пункт Вставить (или из контекстного меню).

Примечание

Для выбора сразу нескольких файлов или папок можете отмечать их списком, удерживая при этом клавишу Ctrl.

39.1.6. Удаление файлов

По умолчанию фалы и папки удаляются в Корзину. Это позволяет восстановить объект при его ошибочном удалении.
Удалить выделенный объект можно из основного меню Файл (пункт Удалить в корзину). Можно использовать контекстное меню, перетаскивая объект, на значок Корзина в панели Точки входа или удалять объекты клавишей Del.
При ошибочном удалении можно восстановить объект из корзины. Для этого нужно открыть корзину, вызвать на удалённом файле или папке контекстное меню и в нём выбрать пункт Восстановить. Выбор в контекстном меню пункта Удалить может окончательно удалить ненужный файл или папку, без возможности её восстановления.
Для того чтобы безвозвратно удалить всё содержимое корзины, выберите в контекстном меню пункт Очистить корзину.
Для того чтобы не засорять жёсткий диск компьютера ненужными файлами и сразу удалять их, минуя корзину, можно воспользоваться основным меню ФайлУдалить (Shift+Del).

39.1.7. Открытие файлов

Открыть файл из Dolphin — значит запустить приложение, ассоциированное с этим типом файлов, в нём и откроется файл.

Примечание

Привязки файлов можно настраивать через Параметры KDE5. Выберите в Меню запуска приложенийПараметры системыПриложенияПриложения по умолчанию.
При щелчке на файл, являющийся изображением (например, .jpg файл) откроется программа просмотра изображений Gwenview, в которой откроется изображение. Таким образом, вы можете открывать интересующие вас файлы простым щелчком прямо из диспетчера файлов Dolphin.
Если на компьютере установлено несколько программ для работы с изображениями, то вы можете запустить нужную, выбрав её из контекстного меню (щелчок правой кнопкой мыши по файлу, далее Открыть с помощью…). Вы можете выбрать программу из предлагаемого списка или попробовать открыть файл в произвольном приложении на ваше усмотрение (Открыть с помощью…Другая программа…).

39.1.8. Поиск файлов

Используя Dolphin, можно легко выполнить поиск файлов в пространстве персональных данных пользователя (обычно это домашний каталог), индексированном при помощи Baloo.

Примечание

Для поиска файлов по содержимому Dolphin использует компонент KDE — baloo. Включить индексацию файлов можно в Параметрах системы: панель управления ПоискПоиск файлов (kcmshell5 baloofile):
Настройка индексации файлов — baloo
Панель поиска вызывается щелчком по значку лупы (Ctrl+F):
Вызов панели поиска
Открывшаяся панель поиска по умолчанию настроена на поиск файлов в текущем каталоге и всех подкаталогах:
Dolphin — Панель поиска
Для поиска в домашнем каталоге пользователя следует нажать кнопку В домашней папке.
Поиск начинается при вводе искомого контекста, результаты выводятся в окне ниже:
Поиск файлов в Dolphin
Поиск нечувствителен к регистру. При поиске файла по имени можно использовать маски, в которых звёздочка (*) заменяет любые символы, а вопросительный знак — любой одиночный символ.
Для сокращения результатов поиска дополнительно можно указать тип файлов (папки, документы, звуковые файлы, видеозаписи, изображения), период времени и рейтинг.
Сохранить результаты поиска для быстрого доступа к ним в будущем, можно щелчком по значку дискеты. В результате появится новый пункт на панели Точки входа:
Поиск файлов в Dolphin

39.1.9. Создание ресурсов общего доступа

Пользователи могут добавлять, изменять и удалять собственные ресурсы общего доступа. Эта возможность называется usershares и предоставляется службой Samba.

Примечание

Samba использует отдельную от системной базу данных пользователей. Для возможности доступа пользователя к папке (если запрещен гостевой доступ) необходимо внести его в базу данных Samba и установить пароль для доступа к общим ресурсам (он может совпадать с основным паролем пользователя). Следует учитывать, что в базу данных Samba можно добавлять пользователей, которые уже есть в системе.
Добавить пользователя в базу данных Samba можно, выполнив команду:
# smbpasswd -a <имя_пользователя>
Можно создать отдельного пользователя, которому разрешить только доступ к Samba-ресурсам и запретить полноценный вход в систему:
# useradd user_samba -d /dev/null -s /sbin/nologin
# smbpasswd -a user_samba
Текущего пользователя можно добавить в базу данных Samba, нажав на кнопку Создать пароль Samba на вкладке Публикация диалогового окна Свойства папки:
Установка пароля Samba для текущего пользователя
Для того чтобы предоставить общий доступ к папке, нужно в контекстном меню папки выбрать пункт Свойства, на вкладке Публикация отметить пункт Открыть общий доступ к этой папке для компьютеров в локальной сети, настроить параметры публикации и нажать кнопку ОК:
Поделиться папкой с другими компьютерами в локальной сети
Общие папки будут отображаться в разделе Сеть файлового менеджера. Также подключиться к общей папке можно указав в адресной строке файлового менеджера протокол и адрес компьютера (smb://<имя_компьютера>/ или smb://<IP_компьютера>/). Для этого следует нажать Ctrl+l, указать в адресной строке адрес и нажать клавишу Enter: Будут показаны ресурсы с общим доступом:
Ресурсы с общим доступом

Примечание

Домашняя папка пользователя по умолчанию не отображается в списке доступных общих ресурсов в сетевом окружении. Обращение к домашней папке выполняется по имени пользователя. Например, для получения доступа к домашней папке пользователя user на компьютере с IP-адресом 192.168.0.102, необходимо указать в адресной строке smb://192.168.0.102/user:
Обращение к домашней папке пользователя user по сети
Для возможности получения доступа к домашней папке по сети, необходимо добавить каждого локального пользователя в список пользователей Samba.
Для доступа к папке, к которой запрещен гостевой доступ, необходимо указать имя и пароль пользователя Samba, и нажать кнопку OK:
Параметры подключения к общей папке
Для добавления постоянной ссылки на сетевую папку следует в конекстном меню подключенной папки выбрать пункт Добавить в «Точки входа»:
Добавление закладки на сетевую папку
В результате на боковой панели в разделе В сети появится постоянная ссылка на сетевую папку.

39.1.10. Подсчёт контрольных сумм файлов

В Dolphin есть возможность расчета контрольных сумм файлов и их сравнения по алгоритмам ГОСТ Р 34.11-2012, MD5, SHA1 и SHA256. При этом имеется возможность копирования полученных значений в буфер обмена, а также сравнения.
Для подсчёта контрольной суммы, необходимо выполнить следующие действия:
  • в контекстном меню файла выбрать пункт Свойства:
    Контекстное меню файла
  • в открывшемся окне, перейти на вкладку Контрольные суммы:
    Вкладка «Контрольные суммы»
  • нажать кнопку Вычислить, напротив соответствующего пункта (для расчёта контрольной суммы по ГОСТ Р 34.11-2012, необходимо нажать кнопку расположенную рядом с заголовком Streebog256);
  • будет расчитана контрольная сумма файла, которую можно скопировать в буфер обмена, нажав кнопку Копировать:
    Контрольные сумма по ГОСТ Р 34.11-2012
Для сравнения контрольных сумм, достаточно ввести имеющуюся контрольную сумму в поле (или нажать кнопку Вставить, если контрольная сумма находится в буфере обмена) и будет выведено соответствующее сообщение. В случае совпадения контрольных сумм, алгоритм контрольной суммы будет определён автоматически и поле будет выделено зелёным цветом:
Контрольные суммы совпадают
Если контрольные суммы не совпадают, поле будет выделено красным цветом:
Контрольные суммы не совпадают

39.1.11. Защитное преобразование файлов и каталогов по ГОСТ Р 34.12–2015

Важно

Должен быть установлен пакет openssl-gost-engine:
# apt-get install openssl-gost-engine
и включена поддержка ГОСТ в OpenSSL:
# control openssl-gost enabled
Для того чтобы выполнить защитное преобразование файла/каталога в ГОСТ, необходимо выполнить следующие действия:
  • в контекстном меню файла/каталога выбрать пункт ДействияЗащитно преобразовать в ГОСТ:
    Контекстное меню файла
  • задать пароль:
    Установка пароля
  • указать имя файла назначения:
    Выбор файла назначения
  • сообщение о результате преобразования:
    Файлы успешно преобразованы
Для того чтобы выполнить защитное преобразование файла из ГОСТ, необходимо выполнить следующие действия:
  • в контекстном меню файла выбрать пункт ДействияЗащитно преобразовать из ГОСТ:
    Контекстное меню файла
  • ввести пароль:
    Ввод пароля
  • выбрать каталог, в который будут помещены преобразованные файлы:
    Выбор файла назначения
  • сообщение о результате преобразования:
    Файлы успешно преобразованы

Глава 40. Графика

Альт Рабочая станция K предлагает приложения для работы c растровой и векторной графикой. Ваш выбор зависит как от личных предпочтений, так и от задач, которые вы собираетесь решать, будь то простой просмотр графических файлов или, например, создание профессиональных макетов.

40.1. Графические приложения KDE

В состав KDE входит большое число приложений для работы с графикой. Все они находятся в меню приложений Графика.
Ниже приведены наиболее популярные приложения для работы c графическими изображениями.
Просмотрщик изображений (Gwenview)
Gwenview позволяет просматривать как отдельные изображения, так и группу изображений в режиме слайд-шоу. Кроме функций просмотра программа имеет дополнительный возможности: поворот изображения, изменение размера, удаление с фотографий эффекта красных глаз и пр. В руководстве пользователя, вызываемом из меню Справка, дано полное описание возможностей программы.
Просмотрщик изображений Gwenview
Графический редактор (KolourPaint)
KolourPaint позволяет создавать новые изображения и обрабатывать существующие. Программа предназначена для работы с растровой графикой и обладает стандартным набором инструментов: кисть, перо, распылитель и др. KolourPaint обладает базовым набором функций для работы с изображениями, их вполне достаточно для выполнения наиболее часто востребованных действий. В руководстве пользователя, вызываемом из меню Справка, дано полное описание возможностей программы.
Окно программы KolourPaint
Управление фотографиями (digiKam)
digiKam программа для работы с цифровыми фотографиями, каталогизатор и редактор. digiKam обладает функциями для быстрого просмотра, организации, редактирования и публикации фотографий. Данная программа поддерживает следующие возможности:
  • загрузка фотографий в компьютер с цифровых камер, сканеров и переносных накопителей — для этого используется gphoto2;
  • просмотр и редактирование фотографий;
  • сортировка фотографий — фотографии сортируются в альбомы, которые имеют иерархическую структуру;
  • использование меток — можно связать фотографии, находящиеся в разных альбомах, с помощью меток. В дальнейшем возможна сортировка и просмотр фотографий по меткам;
  • определение геопозиции на основе мета-данных из фотографий;
  • поиск элементов изображений, похожих на лица, для добавления описания.
Управление фотографиями digiKam
Редактор изображений (showFoto)
showFoto имеет все необходимые функции, позволяющие подготовить изображение для печати: изменение яркости, контрастности, обесцвечивание, настройка баланса белого, устранение эффекта красных глаз, кадрирование, коррекция цвета, смешение каналов цвета и изменение глубины цвета. В редакторе имеется большой набор различных фильтров: подавление шума, дождевые капли, масляная краска, тиснение, угольный карандаш, различные искажения и другие. Возможно добавление рамки, наложения текста и прочее.
Редактор изображений showFoto
Создание снимков экрана (Spectacle)
Spectacle может сохранять изображение всего экрана, отдельного окна или отдельной области экрана. Программу можно вызывать из меню или нажатием на клавиатуре кнопки PrtSc (print screen). В руководстве пользователя, вызываемом из меню Справка, дано полное описание возможностей программы.
Окно программы Spectacle

40.2. Krita

Krita — графический редактор, предназначенный для работы с растровой графикой. Широкая функциональность редактора позволяет использовать его как для обработки фотографий, так и для рисования.
Окно программы Krita
Интерфейс Krita состоит из панели инструментов (слева) и панели с настройками инструментов, профилями кистей, информацией по слоям (справа). Окна настройки и панели можно перемещать и настраивать для конкретного рабочего процесса.
Все созданные изображения отображаются во вкладках.
Особенности Krita:
  • широкий ассортимент кистей (с настройкой параметров), имитирующих инструменты художника, (в том числе смешивающие, фильтрующие, эффектные, спрей, кисти для заполнения объёмов):
    Krita. Кисти
  • специальный менеджер ресурсов позволяет использовать кисти, созданные другими пользователями программы;
  • управление слоями — редактор предлагает создание обычного, группового, фильтрующего, векторного и других слоев;
  • зеркальность — можно быстро отзеркалить изображение (по вертикали или горизонтали), также предусмотрена возможность зеркального вращения с помощью инструмента Мультикисть;
  • собственный набор фильтров;
  • полноценные инструменты для работы с покадровой анимацией;
  • режим обтекания — функция идеально подходит при создании бесшовных текстур для использования в 3D-моделях;
  • цифровое смешивание цвета — функция расширяет возможности выбора цветов, позволяя настраивать активный цвет, добавляя определённое количество других цветов или значений;
  • быстрое меню — по щелчку правой клавиши мыши можно получить набор кистей и доступ к быстрой цветовой палитре:
    Krita. Быстрое меню
  • маски и альфа-каналы — с их помощью можно гибко отображать только нужные участки изображения (маски) или нужный диапазон цвета (альфа-каналы), не подвергая изменениям само изображение;
  • выделение области изображения (прямоугольной, эллиптической или произвольной формы). Последовательно выделяемые области могут образовывать пересечения, объединения или вычитания. Можно дополнительно изменить выделение, растушевывая и инвертируя его;
  • помощник — инструмент используется для добавления специальных указателей, таких как различные типы линеек специальных направляющий и точек схождения. Особенно полезен для точного рисования в перспективе;
  • возможность работать с PSD.

40.3. Векторный редактор Inkscape

Inkscape — мощный и удобный инструмент для создания художественных и технических иллюстраций в формате векторной графики, полностью совместимый со стандартами XML, SVG и CSS. Редактор отличается широким набором инструментов для работы с цветами и стилями (выбор цвета, копирование цвета, копирование/вставка стиля, редактор градиента, маркеры контура).
Окно программы Inkscape
В Inkscape поддерживаются все основные возможности SVG: контуры, текст, маркеры, клоны, альфа-канал, трансформации, градиенты, текстуры и группировка. Также Inkscape поддерживает метаданные Creative Commons, правку узлов, слои, сложные операции с контурами, векторизацию растровой графики, редактирование текста прямо на изображении, заверстанный в фигуру текст.

40.4. Blender 3D

Blender свободный кроссплатформенный редактор трёхмерной графики с открытым кодом. Редактор обладает широчайшими возможностями для трёхмерного моделирования, анимации, визуализации, работы с физикой и рендеринга. В Blender есть собственный игровой движок Game Engine, заимствующий технологии Crystal Space и Bullet.
Рабочее пространство Blender считается одним из самых новаторских концепций графического интерфейса для графических инструментов.
Окно программы Blender
Отличительные особенности интерфейса пользователя:
  • режимы редактирования. Два основных режима Объектный режим (Object mode) и Режим редактирования (Edit mode), которые переключаются клавишей Tab. Объектный режим в основном используется для манипуляций с индивидуальными объектами, в то время как режим редактирования — для манипуляций с фактическими данными объекта. К примеру, для полигональной модели в объектном режиме можно перемещать, изменять размер и вращать модель целиком, а режим редактирования используется для манипуляции отдельных вершин конкретной модели. Также имеются несколько других режимов, таких как Vertex Paint и UV Face select;
  • широкое использование горячих клавиш. Большинство команд выполняется с клавиатуры;
  • управление рабочим пространством. Графический интерфейс Blender состоит из одного или нескольких экранов, каждый из которых может быть разделён на секции и подсекции, которые могут быть любой частью интерфейса Blender. Графические элементы каждой секции могут контролироваться теми же инструментами, что и для манипуляции в 3D пространстве, для примера можно уменьшать и увеличивать кнопки инструментов тем же путём, что и в 3D просмотре. Пользователь полностью контролирует расположение и организацию графического интерфейса, это делает возможным настройку интерфейса под конкретные задачи, такие, как редактирование видео, UV mapping и текстурирование, и сокрытие элементов интерфейса которые не нужны для данной задачи.

40.5. Программа сканирования и распознавания gImageReader

gImageReader программа для распознавания текста (GUI Tesseract).
Особенности gImageReader:
  • поддерживаемые форматы изображений: jpeg, png, tiff, gif, pnm, pcx, bmp;
  • поддержка формата электронных документов PDF. Возможность выбрать отдельные страницы и диапазон страниц для распознавания;
  • автоматическое обнаружение расположения страницы;
  • выделение области с текстом для распознавания;
  • получение изображения напрямую со сканера. Настройка разрешения, сохранение в формат png;
  • проверка орфографии.
gImageReader можно применять без подключённого сканера и распознавать текст из имеющегося снимка:
Окно программы gImageReader
gImageReader поддерживает автоматическое определение макета страницы, при этом пользователь может вручную определить и настроить регионы распознавания. Приложение позволяет импортировать изображения с диска, сканирующих устройств, буфера обмена и скриншотов. gImageReader также поддерживает многостраничные документы PDF.
Распознанный текст отображается непосредственно рядом с изображением. Базовое редактирование текста включает поиск/замену и удаление сломанных строк если это возможно. Также поддерживается проверка орфографии для выводимого текста если установлены соответствующие словари.
gImageReader имеет возможности прямого получения изображения со сканера, но при этом отсутствует операция предварительного сканирования.
Для работы со сканером следует перейти на вкладку Сканировать (Acquire) в боковой панели, выбрать сканер из списка подключенных устройств, указать имя и расположение файла получаемого изображения, выбрать цветовой режим и разрешение (для наилучших результатов разрешение при сканировании должно быть не меньше 300 DPI).
После нажатия на кнопку Отсканировать (Scan) начнется процесс сканирования изображения, и при его завершении новое изображение появится в области просмотра.
Окно программы gImageReader

40.6. Xsane

Программа Xsane является удобным средством как для сканирования отдельных изображений, так и для организации пакетного (многостраничного) сканирования.
При запуске программы сканирования изображений производится автоматический опрос доступных сканеров (устройств захвата изображений) и предлагается выбрать устройство для работы. Если к компьютеру не подключено ни одного сканера, то будет выдана соответствующая ошибка, затем программа будет закрыта.
Если программа нашла подключенный к системе сканер, будет открыт основной интерфейс приложения Xsane:
Интерфейс приложения Xsane
Предварительное сканирование выполняется в окне предварительного сканирования путём нажатия кнопки Предварительное сканирование.
Пунктирная линия в окне предварительного сканирования показывает на выбранную по умолчанию область сканирования. Определить область сканирования можно, выделив её при помощи мыши.
При сканировании в итоговое изображение попадёт лишь область, ограниченная настройками предварительного сканирования.
Для сканирования отдельного изображения в программе Xsane необходимо:
  • выбрать в основном окне имя и формат файла (если в поле Назначение выбрано значение Сохранение), режим сканирования и разрешение, а также выставить при необходимости гамму, яркость и контрастность;
  • в окне предварительного сканирования, нажать кнопку Предварительное сканирование;
  • после завершения процесса предварительного сканирования, выделить мышью область для сканирования;
  • в основном окне программы, нажать кнопку Сканировать;
  • после завершения процесса сканирования (если в поле Назначение было выбрано значение Средство просмотра), в окне просмотра можно воспользоваться инструментами преобразования изображений (поворот, отражение, масштабирование и т.п.) и затем сохранить скорректированную сканкопию.
Результат сканирования в окне просмотра
Xsane предоставляет возможность создать многостраничный документ, минуя промежуточный этап сохранения страниц в виде отдельных графических файлов и использования вспомогательных утилит. Возможно создание документа в формате pdf, tiff или PostScript.
Для сканирования в Xsane с созданием многостраничного документа необходимо:
  • в основном окне Xsane выбрать назначение сканирования Многостраничный:
    Настройки сканирования
  • в открывшемся окне Многостраничный проект, ввести имя создаваемого многостраничного файла и нажать кнопку Создать проект:
    Cоздание многостраничного документа
  • перейти в окно Предварительное сканирование и отметить область сканирования (если это необходимо);
  • в основном окне программы, нажать кнопку Сканировать (рекомендуется в поле Число страниц для сканирования оставить 1 и каждый раз нажимать Сканировать для сканирования следующей страницы);
  • после завершения сканирования всех страниц перейти в окно Многостраничный проект. В нем отражаются имена файлов, соответствующих отдельным страницам документа. Каждый из этих файлов можно просмотреть, отредактировать, переместить по отношению к другим страницам, или удалить:
    Создание многостраничного документа
  • далее следует выбрать Тип многостраничного документа (pdf, tiff или PostScript) и нажать кнопку Сохранить многостраничный файл.

Глава 41. Мультимедиа

Для работы с мультимедиа файлами (музыка, видео и т.п.) вы можете воспользоваться предназначенными для этого приложениями.

41.1. Мультимедиа KDE

QMMP — простой проигрыватель AudioCD. QMMP поддерживает множество аудиоформатов и имеет настраиваемый интерфейс пользователя.
Окно программы QMMP
Avidemux — видеоредактор, предоставляющий возможности для быстрого (и несложного) редактирования видеофайлов (удаления ненужных частей, наложения всевозможных фильтров и последующего кодирования). Поддерживается работа с различными типами видео (среди которых AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV), имеется богатый набор фильтров.

41.2. SimpleScreenRecorder

SimpleScreenRecorder — приложение для записи с экрана (записи действий на рабочем столе, снятия динамических скриншотов).
Возможности SimpleScreenRecorder:
  • создание профилей с предустановленными настройками;
  • выбор источника записи: весь экран, выделенная область, окно под курсором;
  • выбор частоты кадров;
  • настройка ширины и высоты видео;
  • включение/выключение записи курсора;
  • выбор с помощью чего будет идти запись звука;
  • выбор формата видео и аудио;
  • поддержка горячих клавиш;
  • интеграция с системным треем: остановка и возобновление записи.
В окне настроек SimpleScreenRecorder можно выбрать область для записи видео, источник записи звука:
Окно настроек SimpleScreenRecorder (input)
В следующем окне SimpleScreenRecorder выбирается формат файла, кодек, который будет использован для сжатия видеопотока и аудиопотока:
Окно настроек SimpleScreenRecorder (output)
В третьем окне SimpleScreenRecorder есть возможность проверить запись видео и звука (в окне предпросмотра), настроить горячие клавиши для старта записи видео:
Окно управления записью в SimpleScreenRecorder
SimpleScreenRecorder при запуске записи сворачивает основное окно в системный трей, возможна приостановка и возобновление прерванной записи в любое время (из значка в трее или горячими клавишами).

Глава 42. Прочие приложения

42.1. Менеджер архивов Ark

Менеджер архивов можно использовать для создания, просмотра, изменения и распаковки архивов. Архив — это файл, служащий контейнером для других файлов. Архив может содержать множество файлов, папок и подпапок, обычно в сжатом виде. Менеджер архивов Ark — менеджер архивов по умолчанию для среды рабочего стола KDE.
Менеджер архивов поддерживает разные форматы архивов, например tar, gzip, zip (должны быть установлены соответствующие утилиты командной строки):
Менеджер архивов Ark
Менеджер архивов автоматически определяет тип архива и отображает:
  • имя архива в заголовке окна;
  • содержимое архива в области отображения;
  • название файла (объекта) в текущем местоположении и его размер (в распакованном виде) на панели сведений.
Менеджер архивов Ark

42.1.1. Использование файлового менеджера для работы с архивом

Файловый менеджер можно использовать для добавления файлов в архив или для извлечения файлов из архива.
Для добавления файла/каталога в архив необходимо:
  • в контекстном меню файла/каталога, выбрать пункт УпаковатьУпаковать в архив…:
    Добавление файлов в архив
  • в открывшемся окне необходимо выбрать место для хранения архива, ввести имя архива, выбрать из выпадающего списка тип архива и нажать кнопку ОК:
    Создание архива
При создании нового архива можно указать дополнительные параметры (не все типы архивов поддерживают эти параметры):
  • Защита паролем — можно выбрать метод шифрования и указать пароль, который будет использоваться для шифрования архива. Если пароль не указан, архив не будет зашифрован;
  • Требовать пароль для просмотра списка файлов в архиве — пароль будет запрашиваться даже для просмотра списка файлов, содержащихся в архиве, в противном случае он будет использоваться только для извлечения файлов из архива;
  • Создать многотомный архив — позволяет разбить архив на несколько файлов указанного размера. Только 7-Zip архивы поддерживают эту функцию.
Дополнительные параметры
Для того чтобы извлечь файлы из архива, следует в контекстном меню архива выбрать пункт РаспаковатьРаспаковать в эту папку — файлы будут распакованы в текущий каталог, или РаспаковатьРаспаковать в… — можно указать каталог, куда будут извлечены файлы:
Распаковка файлов

42.2. Поиск файлов (KFind)

KFind — инструмент поиска файлов. KFind имеет простой пользовательский интерфейс и позволяет искать файлы по имени файла, содержимому и времени изменения.
Для запуска KFind следует выбрать пункт Меню запуска приложенийИнструментыKFind (Поиск файлов и папок).
KFind можно также запустить из файлового менеджера, нажав на панели поиска (вызывается щелчком по значку лупы) кнопку Другие инструменты поиска и выбрав KFind:
Запуск KFind
Для поиска файла по имени, необходимо указать имя файла в поле Имя файла, указать каталог для поиска в поле Искать в и нажать кнопку Поиск (Enter). Результаты поиска будут отображены в поле внизу окна.
Поиск файлов по имени
При поиске файла по имени можно использовать маски, в которых звёздочка * заменяет любые символы, а вопросительный знак — любой одиночный символ.
Для поиска файла по содержимому, необходимо на вкладке Содержимое ввести слово/фразу в поле Содержит текст:
Поиск файлов по содержимому
На вкладке Свойства можно задать дополнительные параметры поиска. Здесь можно определить даты, между которыми файлы были изменены, указать размер искомого файла:
Поиск файлов по времени создания/изменения

Примечание

При поиске учитываются настройки на всех вкладках.
Приложение интегрируется с файловым менеджером Dolphin. В контекстном меню найденного файла, можно выбрать дальнейшее действие:
Контекстное меню найденного файла

42.3. Центр программ Discover

Discover позволяет легко устанавливать и удалять приложения, полученные из разных источников: репозиториев Альт, совместимых с вашим дистрибутивом, магазина SNAP-приложений и репозиториев Flatpak. Discover позволяет выполнять поиск по названиям и описаниям среди доступных приложений.

Примечание

Snap-пакет — приложение, которое помимо готовой сборки самого приложения, включает в себя все необходимые зависимости. Установленное Snap-приложение работает в своей «программной среде» и не влияет на другие приложения.

Примечание

Flatpak — система для создания, распространения и запуска изолированных настольных приложений в Linux. Приложения Flatpak устанавливаются из репозитория Flathub.
Для запуска Discover следует выбрать пункт Меню запуска приложенийСистемаDiscover (Центр программ).
Центр программ Discover
После открытия Discover можно воспользоваться поисковой строкой для поиска нужной программы или найти программу в нужной категории. Дерево категорий, отображаемое при нажатии кнопки Приложения:
Discover. Дерево категорий

Примечание

Поиск всегда выполняется в той категории, в которой вы находитесь (это указывается в тексте заполнителя поля поиска), поэтому обязательно перейдите к нужной категории прежде чем вводить искомое условие (или на верхний уровень, для поиска во всех категориях).
Чтобы установить какое-либо приложение, сначала нужно его найти, затем выбрать из списка и нажать на кнопку Установить:
Discover. Поиск программы через поисковую строку
В детальном просмотре, кроме кнопок установки/запуска/удаления, выводятся снимки экрана, полное описание, а также пользовательские комментарии:
Discover. Просмотр информации о приложении
При наличии обновлений установленных приложений, кнопка Обновления становится оранжевой (в скобках будет указано количество пакетов, требующих обновления):
Наличие обновлений
При нажатии на кнопку Обновления будет открыто окно, где будет показан объём данных, который будет скачан из сети:
Discover. Объём обновлений

Примечание

Чтобы просмотреть список обновляемых пакетов, следует нажать на строку Обновление системы.
При нажатии кнопки Обновить все начнётся загрузка обновлений пакетов. Обновления будут установлены во время следующего запуска системы.
Список подключенных репозиториев можно просмотреть, нажав на кнопку Настройка:
Список подключенных репозиториев

42.4. Просмотр электронных документов Okular

Okular — универсальное приложение для просмотра электронных документов различных форматов (PDF, DjVu, PostScript, TIFF, CHM и другие). Так же в Okular поддерживается открытие графических форматов (JPEG, PNG, GIF и ряд других растровых форматов).
Просмотрщик документов Okular запускается при открытии документа в формате PDF или файла PostScript. Кроме того, Okular можно запустить, выбрав в Меню запуска приложений пункт ГрафикаOkular (Просмотр документов).
Okular с открытым PDF-файлом
Okular поддерживает систему закладок, режим презентаций, поиск по тексту, выделение фрагментов текста и копирования его в буфер обмена.
Функция рецензирования Okular (СервисРецензирование, F6) позволяет добавлять комментарии в PDF-документы, подсвечивать текст и рисовать линии, геометрические фигуры, добавлять надписи и штампы:
Функция рецензирования в Okular
Заметки могут храниться отдельно от неизменённого PDF-файла либо могут быть сохранены в документ как стандартные PDF-заметки.
Okular позволяет отображать и проверять цифровые подписи в PDF-файлах (см. Проверка электронной подписи в PDF-файле).

42.5. Запись дисков: K3b

K3b — программа для записи CD и DVD-дисков, созданная для графической среды KDE.
K3b — программа для записи CD и DVD-дисков
K3b позволяет легко осуществлять распространённые операции записи CD/DVD: создание музыкальных дисков (Audio CD) из набора аудио файлов и создание точной копии диска. В то время как опытные пользователи могут настраивать практически любой аспект процесса записи, начинающие могут просто воспользоваться настройками, предложенными по умолчанию. Для записи дисков K3b использует утилиты командной строки: wodim, cdrdao, growisofs и другие.
Самый простой способ записать диск в K3b — воспользоваться списком наиболее востребованных функций, отображаемом после запуска программы в нижней части окна.
Полное описание возможностей программы и способов её использования содержится в руководстве пользователя, вызываемом из меню Справка.

42.6. Системный монитор

Приложение Системный монитор отображает список всех запущенных приложений, а также, сколько каждое из них занимает процессорного времени и оперативной памяти. Системный монитор имеет настраиваемый пользовательский интерфейс.

42.6.1. Запуск приложения

Для запуска приложения Системный монитор можно:
  • в Меню запуска приложений выбрать пункт меню СистемаСистемный монитор;
  • выполнить команду plasma-systemmonitor.

Примечание

Таблица процессов может быть вызвана в любой момент нажатием комбинации клавиш Ctrl+Esc

42.6.2. Применение приложения

Рабочее пространство Системного монитора организовано в виде страниц (вкладок). Состав каждой страницы можно редактировать.
Вкладка Обзор отображается по умолчанию. Здесь представлена основная информация о ресурсах:
Вкладка Обзор
На вкладке Приложения показан список запущенных приложений, с информацией об используемых ресурсах:
Вкладка Приложения
На вкладке История приводится статистика использования ресурсов за определённый период времени. Информация на этой вкладке представлена в виде графиков: Использование процессора, Использование памяти и Загрузка сети:
Вкладка История
На вкладке Процессы отображается список запущенных в данный момент процессов, с информацией об используемых ресурсах:
Вкладка Процессы
Список процессов может быть отсортирован по любому параметру, поддерживается древовидное отображение процессов, показывающее отношения между выполняющимися процессами.
Выбрав в списке процесс, можно выполнять над ними различные действия.
Список действий
Системный монитор позволяет добавить новые страницы на рабочую область. На страницу можно добавить один или нескольких датчиков.
Установка датчиков на новую страницу

Часть VI. Настройка системы

Содержание

43. Центр управления системой
43.1. Описание
43.2. Применение центра управления системой
43.3. Запуск Центра управления системой в графической среде
43.4. Использование веб-ориентированного центра управления системой
44. Информация о системе
44.1. KInfoCenter
45. Управление графическими сессиями
45.1. Работа с удаленными графическими сессиями
45.2. Работа с вложенными графическими сессиями (Alt-App-Starter)
45.3. Работа с отдельными графическими сессиями (sddm)
46. Выбор программ, запускаемых автоматически при входе в систему
46.1. Автозапуск программ
46.2. Управление сеансами
47. Настройка загрузчика GRUB2
47.1. Модуль настройки загрузчика GRUB2
48. Запуск тяжёлых приложений в ограниченном окружении
48.1. Модуль Ограничение ресурсов
49. Настройка сети
49.1. NetworkManager
49.2. Настройка в ЦУС
50. Установка принтера в Альт Рабочая станция K
50.1. Установка принтера в веб-интерфейсе CUPS
50.2. Инструмент для управления заданиями печати и принтерами
51. Настройка сканера подключенного к USB-порту
51.1. Конфигурация SANE
51.2. Интерфейсы для сканирования (frontend)
52. Samba 4 в роли контроллера домена Active Directory
52.1. Установка
52.2. Создание нового домена
52.2.1. Восстановление к начальному состоянию Samba
52.2.2. Выбор имени домена
52.2.3. Создание домена одной командой
52.2.4. Интерактивное создание домена
52.3. Запуск службы samba
52.4. Настройка Kerberos
52.5. Проверка работоспособности
52.6. Управление пользователями
52.7. Настройка файловых ресурсов на контроллере доменов
53. Ввод рабочей станции в домен Active Directory
53.1. Подготовка
53.2. Ввод в домен
53.3. Проверка работы
53.4. Отображение глобальных групп на локальные
53.5. Подключение файловых ресурсов
54. Групповые политики
54.1. Развертывание групповых политик
54.2. Пример создания групповой политики
55. FreeIPA
55.1. Установка сервера FreeIPA
55.2. Добавление новых пользователей домена
56. Ввод рабочей станции в домен FreeIPA
56.1. Установка FreeIPA клиента
56.2. Подключение к серверу в ЦУС
56.3. Подключение к серверу в консоли
56.4. Вход пользователя

Глава 43. Центр управления системой

43.1. Описание

Для управления настройками установленной системы вы можете воспользоваться Центром управления системой. Центр управления системой представляет собой удобный интерфейс для выполнения наиболее востребованных административных задач: добавление и удаление пользователей, настройка сетевых подключений, просмотр информации о состоянии системы и т.п.
Центр управления системой состоит из нескольких независимых диалогов-модулей. Каждый модуль отвечает за настройку определённой функции или свойства системы.

43.2. Применение центра управления системой

Вы можете использовать центр управления системой для разных целей, например (в скобках указаны имена соответствующих модулей):
  • Настройки Даты и времени (datetime);
  • Управления выключением и перезагрузкой компьютера (ahttpd-power, доступно только в веб-интерфейсе);
  • Управления Системными службами (services);
  • Просмотра Системных журналов (logs);
  • Настройки OpenVPN-подключений (openvpn-server и net-openvpn);
  • Конфигурирования Сетевых интерфейсов (net-eth);
  • Изменения пароля Администратора системы (root) (root);
  • Создания, удаления и редактирования учётных записей Пользователей (users);
  • Настройки ограничения Использования диска (квоты) (quota).
Вы всегда можете воспользоваться кнопкой Справка. Все модули ЦУС имеют справочную информацию.

43.3. Запуск Центра управления системой в графической среде

Центр управления системой можно запустить следующими способами:
  • в графической среде KDE: Меню запуска приложенийНастройкиЦентр управления системой;
  • из командной строки: командой acc.
При запуске необходимо ввести пароль администратора системы (root).
Запрос пароля администратора
После успешного входа можно приступать к настройке системы.
Центр управления системой
Кнопка Режим эксперта позволяет выбрать один из режимов:
  • основной режим (кнопка отжата);
  • режим эксперта (кнопка нажата).
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отображаются все модули, а в основном режиме только наиболее используемые.

43.4. Использование веб-ориентированного центра управления системой

Центр управления системой (ЦУС) имеет веб-ориентированный интерфейс, позволяющий управлять данным компьютером с любого другого компьютера сети.

Примечание

Для запуска веб-ориентированного интерфейса, должен быть установлен пакет alterator-fbi:
# apt-get install alterator-fbi
И запущен сервис ahttpd:
# systemctl enable --now ahttpd
Работа с центром управления системой происходит из любого веб-браузера. Для начала работы необходимо перейти по адресу https://ip-адрес:8080/.
Например, вы задали для сервера IP-адрес 192.168.0.16. В таком случае интерфейс управления доступен по адресу: https://192.168.0.16:8080/

Примечание

IP-адрес компьютера можно узнать, введя команду:
$ ip addr
IP-адрес будет указан после слова inet:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0:  <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:46:dd:91 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.16/24 brd 192.168.0.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe46:dd91/64 scope link
       valid_lft forever preferred_lft forever
Например, тут мы видим, что на интерфейсе eth0 задан IP-адрес 192.168.0.16.
При запуске центра управления системой необходимо ввести в соответствующие поля имя пользователя (root) и пароль пользователя:
Запрос пароля администратора для запуска веб-интерфейса ЦУС
После этого будут доступны все возможности ЦУС на той машине, к которой было произведено подключение через веб-интерфейс.
Окно веб-интерфейса ЦУС
Веб-интерфейс ЦУС можно настроить (кнопка Настройка), выбрав один из режимов:
  • основной режим;
  • режим эксперта.
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отображаются все модули, а в основном режиме только наиболее используемые.
Центр управления системой содержит справочную информацию по всем включённым в него модулям. Об использовании самого интерфейса системы управления можно прочитать, нажав на кнопку Справка на начальной странице центра управления системой.
Центр управления системой

Предупреждение

После работы с центром управления системой, в целях безопасности, не оставляйте открытым браузер. Обязательно выйдите, нажав на кнопку Выйти.

Примечание

Подробнее об использовании Центра управления системой можно узнать в главе Средства удаленного администрирования.

Глава 44. Информация о системе

44.1. KInfoCenter

KInfoCenter предоставляет информацию о системе. KInfoCenter имеет модульную структуру. Каждый модуль является отдельным приложением.
Информация о системе
Для запуска KInfoCenter выберите Меню запуска приложенийСистемаИнформация о системе, либо в Меню запуска приложений нажмите кнопку

Примечание

Вы можете запустить KInfoCenter через командную строку, для этого выполните команду:
$ kinfocenter
В модуле Сведения о системе (About this system) показывается краткая сводка о системе. Она состоит из сведений о программах (дистрибутив, версия KDE Plasma, версия ядра и архитектура) и оборудовании (процессоры и память). Информация на этой странице может понадобиться при обращении в службу технической поддержки.
В модуле Память показано текущее использование памяти.
Модуль Устройства предназначен для просмотра устройств. В нём показаны все устройства, присутствующие на ПК. Чтобы посмотреть сведения об устройстве, щёлкните левой кнопкой мыши по устройству в области просмотра: сведения будут показаны в панели сведений с правой стороны окна программы.
Модуль для просмотра устройств
Модуль Сетевые интерфейсы показывает информацию о сетевых интерфейсах, установленных на компьютере. Параметры на этой странице недоступны для изменения.
Модуль для просмотра сведений о сети

Глава 45. Управление графическими сессиями

45.1. Работа с удаленными графическими сессиями

KRDC (Remote Desktop Connection) — клиентское приложение, которое позволяет просматривать и управлять сеансом на другом компьютере, где выполняется совместимый vnc или rdp-сервер.
Для запуска KRDC выберите Меню запуска приложенийСетьKRDC (Удалённый доступ к рабочему столу).
KRDC имеет простой интерфейс:
Главное окно KRDC
KRDC — клиентское приложение, и его необходимо использовать с совместимыми серверами. Для подключения к серверу, достаточно выбрать в выпадающем списке протокол (vnc или rdp) и ввести имя сервера (или IP-адрес) в поле Подключиться к:
Подключение к серверу
При необходимости, можно также указать порт, например 192.168.0.105:5901.

Примечание

Перед подключением убедитесь, что целевой компьютер (сервер) доступен в сети и, при необходимости, его межсетевой экран правильно настроен или отключен.
Далее можно указать параметры подключения и нажать кнопку OK:
Подключение к серверу

Примечание

В зависимости от конфигурации сервера может потребоваться ввести пароль для аутентификации на сервере.
После подключения к удалённому рабочему столу можно использовать KRDC для наблюдения или управления удаленным рабочим столом:
Подключение к серверу
Подключившись к удаленному серверу, можно использовать клавиатуру и мышь для управления окнами и приложениями на этом удаленном компьютере.

45.2. Работа с вложенными графическими сессиями (Alt-App-Starter)

Alt-App-Starter — инструмент для быстрого запуска программ. Alt-App-Starter позволяет запустить приложение с правами другого пользователя, например с правами администратора.
Alt-App-Starter можно запустить, выбрав в Меню запуска приложений пункт СистемаAlt-App-Starter (Быстрый запуск программ).
Alt-App-Starter
Для того чтобы запустить команду от имени другого пользователя, необходимо ввести команду, отметить пункт Запустить от имени другого пользователя, выбрать в выпадающем списке Пользователь имя пользователя и ввести пароль пользователя, от имени которого нужно запустить программу:
Запуск gimp от имени другого пользователя
Для того чтобы запустить команду с другим приоритетом, необходимо отметить пункт Запустить команду с другим приоритетом и указать приоритет:
Запуск команды от пользователя test с пониженным приоритетом

Примечание

По умолчанию все процессы запускаются с базовым приоритетом, равным 0. Суперпользователь (root) имеет право установить для любого процесса любое значение приоритета.
Пользователь может понизить приоритет. При выборе пользователем более высокого приоритета, команда будет запущена с максимально возможным для данного пользователя приоритетом (ulimit -e).
Если команду необходимо выполнить в терминале, следует отметить пункт Выполнить в терминале:
Запуск команды от администратора в консоли
После нажатия кнопки Запустить программа запустится от имени указанного пользователя. Закончив работу с программой, просто закройте её.

Примечание

Запустить приложение с правами другого пользователя, можно, выбрав в контекстном меню главного меню пункт Запустить с правами другого пользователя:
Запуск Alt-App-Starter
Будет запущена программа Alt-App-Starter:
Запуск gimp от имени другого пользователя

45.3. Работа с отдельными графическими сессиями (sddm)

SDDM (Simple Desktop Display Manager) — это экранный менеджер для KDE.
Для того чтобы переключить пользователя в графическом режиме в Меню запуска приложений выбрать пункт Завершение работыПереключить пользователя:
Создание нового сеанса пользователя
Будет показано стандартное окно входа в систему, в котором необходимо выбрать имя пользователя из списка, ввести пароль, затем нажать Enter или щелкнуть на кнопке Войти. После непродолжительного времени ожидания запустится графическая оболочка операционной системы.
Переключаться между сеансами можно по одновременному нажатию клавиш Ctrl+Alt+F1, Ctrl+Alt+F2 и т.д.

Глава 46. Выбор программ, запускаемых автоматически при входе в систему

Для более удобной работы с системой можно выбрать определенные программы, которые будут запущены автоматически при входе пользователя в систему.

46.1. Автозапуск программ

В Параметрах системы панель управления Запуск и завершение содержит раздел Автозапуск. Здесь можно добавить программы или сценарии, которые будут автоматически запускаться во время запуска или завершения сеанса Plasma.
Приложения можно запускать только при запуске сеанса. Скрипты (сценарии) могут быть запущены при входе в систему или при выходе из неё:
Автоматически запускаемые программы
Для добавления новой автоматически запускаемой программы, следует выполнить следующие шаги:
  • нажать кнопку Добавить.... Выбрать пункт Добавить приложение.... Откроется окно Выбор приложения;
  • выбрать программу из списка:
    Автоматически запускаемые программы
  • нажать кнопку ОК.

46.2. Управление сеансами

Модуль Управление сеансами (Параметры системы, панель управления Запуск и завершение) служит для настройки параметров диспетчера сеансов. Менеджер сеанса может запомнить какие приложения были запущены при выходе из системы и автоматически запустить их при входе в систему.
Для того чтобы это происходило каждый раз при выходе из системы, следует в разделе При входе в систему отметить пункт Восстанавливать предыдущий сеанс:
Восстанавливать предыдущий сеанс
При выборе пункта Восстанавливать сеанс, сохранённый вручную при начале сессии будет восстановлено сохранённое вручную состояние, а не состояние при выходе из последнего сеанса. Если этот флажок установлен, в меню запуска приложений появится дополнительный пункт Завершение работыСохранить сеанс:
Сохранить сеанс

Глава 47. Настройка загрузчика GRUB2

47.1. Модуль настройки загрузчика GRUB2

Модуль настройки загрузчика GRUB2 позволяет в графическом режиме настраивать загрузчик ОС.
Модуль поддерживает множество параметров конфигурации GRUB2, в частности:
  • управление загружаемой конфигурацией по умолчанию;
  • управление временем ожидания загрузки;
  • управление загрузочными разрешениями;
  • управление цветами меню загрузки;
  • управление темой меню загрузки;
  • управление параметрами ядра;
  • выбор источника ввода данных при загрузке;
  • выбор терминала для вывода информации.
Чтобы запустить модуль настройки загрузчика GRUB2 в строке Поиск Меню запуска приложений введите Загрузчик GRUB2 и нажмите Enter.

Примечание

Можно запустить модуль настройки загрузчика GRUB2 из командной строки, выполнив команду:
$ kcmshell5 kcm_grub2
Для запуска модуля потребуется ввести пароль текущего пользователя:
Модуль настройки загрузчика GRUB2 — вкладка «Основное»
Для сохранения изменений также запрашивается авторизация.
На вкладке Основное настраивается конфигурация, загружаемая по умолчанию, и время ожидания выбора конфигурации.
Модуль настройки загрузчика GRUB2 — вкладка «Основное»
Меню GRUB2 можно «скрыть» так, что оно появится на экране только при нажатии клавиши Esc до истечения времени ожидания, для этого следует отметить пункт Скрывать меню в течение и указать время ожидания.
Для того чтобы настроить время ожидания загрузки после показа меню, следует отметить пункт Автоматически загружать запись по умолчанию после показа меню и указать время таймаута. Запись по умолчанию выбирается в соответствующем списке:
Выбор записи по умолчанию
В секции Генерируемые записи можно управлять включением/отключением пунктов меню:
  • Сгенерировать записи для восстановления системы — позволяет отключить отображения пунктов меню recovery;
  • Сгенерировать записи для проверки оперативной памяти — позволяет скрыть пункты меню, содержащие memtest;
  • Проверка наличия операционных систем — позволяет отключить проверку наличия ОС на других разделах дискового пространства.
На вкладке Внешний вид можно менять способы отображения GRUB и внешний вид меню:
Модуль настройки загрузчика GRUB2 — вкладка «Внешний вид»
В секции Разрешения экрана можно задать режим экрана для самого загрузчика, и отдельно режим, который будет использоваться ядром Linux при загрузке. Вместо жесткого указания конкретного режима, выбрать значение Авто, и в этом случае режим будет выбран автоматически, исходя из предпочтений BIOS видеокарты и предпочтительного режима монитора. Обычно Авто соответствует максимальному из штатных режимов монитора, но в некоторых случаях нужный режим приходится выставлять вручную.
В секции Цвета можно задать цвета меню: общие цвета текста/фона и цвета текста/фона выделенной строки.
В секции Фон можно изменить тему, отображаемую во время загрузки. Тема включает в себя файл описания theme.txt, и фоновое изображение.

Примечание

При выборе фонового изображения следует обратить внимание на параметры изображения, чтобы меню было контрастным и выделялось на фоне изображения, и было легко читаемым.
На вкладке Дополнительно в секции Параметры ядра Linux можно отредактировать параметры ядра, передаваемые непосредственно при загрузке ядра. В поле Обычные записи задаются параметры ядра Linux, добавляемые только в пункты меню, сгенерированные без «recovery». В поле Все записи задаются параметры ядра Linux, добавляемые во все пункты меню. Параметры можно задать, вписав их в соответствующее поле, или отметив пункт в выпадающем меню Предложения:
Модуль настройки загрузчика GRUB2 — вкладка «Дополнительно»
В секции Терминал устанавливаются, соответственно, значения параметров настройки последовательного терминала (как ввода, так и вывода), только терминала ввода и только терминала вывода.
В секции Другое можно задать команду настройки последовательного порта при использовании последовательной консоли, указать имя файла со звуковым сигналом, воспроизводимым при запуске.
Нажатие на кнопку Установить/восстановить загрузчик приводит к открытию окна, в котором можно установить раздел для установки/восстановления GRUB:
Модуль настройки загрузчика GRUB2 — установка/восстановление загрузчика

Глава 48. Запуск тяжёлых приложений в ограниченном окружении

48.1. Модуль Ограничение ресурсов

Модуль Ограничение ресурсов позволяет запускать приложения в специальном ограниченном по памяти окружении.
Ограничение ресурсов можно настраивать в диалоговом окне Параметры системы, выбрав ПриложенияОграничение ресурсов.
Модуль Ограничение ресурсов
Для того чтобы добавить приложение в список ограниченных, необходимо:
  1. Выбрать приложение, нажав кнопку Выбрать приложение (можно также указать полный путь к бинарному файлу в поле Приложение):
    Модуль Ограничение ресурсов — выбор приложения
  2. Указать размер ограничения в мегабайтах и нажать кнопку Добавить:
    Модуль Ограничение ресурсов — размер ограничения
  3. Нажать кнопку Применить для применения ограничений:
    Модуль Ограничение ресурсов

Примечание

Вывести дерево процессов пользователя можно, выполнив команду systemd-cgls. Ограниченный процесс будет находиться в поддереве с названием kreslimit-имя_процесса:
$ systemd-cgls
Control group /:
-.slice
├─user.slice
│ └─user-500.slice
│   ├─user@500.service
│   │ ├─kreslimit.slice
│   │ │ └─kreslimit-gimagereader.slice
│   │ │   └─kreslimit-gimagereader-qt5.slice
│   │ │     └─gimagereader-qt5-704331537.service
│   │ │       └─15739 /usr/bin/gimagereader-qt5

Глава 49. Настройка сети

49.1. NetworkManager

NetworkManager позволяет подключаться к различным типам сетей: проводные, беспроводные, мобильные, VPN и DSL, а также сохранять эти подключения для быстрого доступа к сети. Например, если вы подключались к сети в каком-либо интернет-кафе, то можно сохранить настройки этого подключения и в следующее посещение этого кафе подключиться автоматически.
Для управления настройками сети в Альт Рабочая станция K используется виджет Управление сетью.
Значок виджета Управление сетью располагается в системном лотке.
При нажатии левой кнопки мыши на значок Управление сетью, откроется меню, в котором показана информация о текущих соединениях. Здесь также можно выбрать одну из доступных Wi-Fi сетей и подключиться к ней, или отключить активное Wi-Fi соединение.
Виджет Управление сетью

Примечание

При подключении к беспроводной сети в первый раз может понадобиться указать некоторые сведения о защите сети (например, указать аутентификационные данные).
Для настройки соединений, следует нажать кнопку или кнопку Настроить сетевые соединения…, вызываемую при нажатии правой кнопки мыши на значке Управление сетью:
Кнопка Настроить сетевые соединения
В открывшемся окне будет показан, сгруппированный по типам, список соединений:
Настройка виджета Управление сетью

Примечание

NetworkManager под именем System eth0 показывает системное Ethernet-соединение, создаваемое Etcnet. Изменить его в диалоге Управление сетью невозможно. Это соединение можно изменить в ЦУС, там же можно выбрать, какой именно интерфейс, какой подсистемой обслуживается (подробнее о выборе сетевой подсистемы рассказано в разделе Конфигурирование сетевых интерфейсов).

49.2. Настройка в ЦУС

Настройку сети можно выполнить в Центре управления системой в разделе СетьEthernet интерфейсы. Здесь можно задать как глобальные параметры сети (адрес сервера DNS, имя компьютера), так и настройки конкретного сетевого интерфейса:
Настройка сети в ЦУС
Подробнее о настройке сетевых интерфейсов в ЦУС рассказано в разделе Конфигурирование сетевых интерфейсов.

Глава 50. Установка принтера в Альт Рабочая станция K

Перед началом установки необходимо убедиться в том, что в случае локального подключения принтер присоединён к соответствующему порту компьютера и включён, а в случае сетевого подключения принтер корректно сконфигурирован для работы в сети.

50.1. Установка принтера в веб-интерфейсе CUPS

Настраивать службу печати CUPS и отслеживать её состояние можно через веб-интерфейс, который доступен по адресу http://localhost:631. Веб-интерфейс можно использовать для выполнения любых задач управления принтером.

Примечание

Запустить веб-интерфейс CUPS, можно выбрав пункт Меню запуска приложенийСистемаНастройка печати (Настройка CUPS).
Веб-интерфейс CUPS

Примечание

Если вы получаете ошибку Ошибка соединения с узлом localhost: Отказано в соединении., то запустите терминал, и выполните команду
# systemctl restart cups
от имени системного администратора root.
Для запуска мастера установки принтера необходимо во вкладке Администрирование нажать кнопку Добавить принтер:
Веб-интерфейс CUPS. Вкладка Администрирование
В открывшемся окне будут перечислены найденные локальные и сетевые принтеры. Необходимо выбрать из списка требуемый принтер и нажать кнопку Продолжить:
Настройка печати. Список принтеров
На запрос авторизации следует ввести имя и пароль пользователя, входящего в группу wheel.
В следующем окне можно задать название принтера и его описание. Для того, чтобы принтер был доступен с других компьютеров в сети, необходимо отметить пункт «Разрешить совместный доступ к этому принтеру:
Веб-интерфейс CUPS. Описание принтера
В следующем окне необходимо выбрать драйвер для принтера и нажать кнопку Добавить принтер:
Веб-интерфейс CUPS. Выбор драйвера
На следующем шаге можно настроить параметры принтера:
Веб-интерфейс CUPS. Параметры принтера
Для изменения параметров существующих принтеров следует перейти на вкладку Принтеры и выбрать принтер для изменения.
Веб-интерфейс CUPS. Параметры принтера
На вкладке Задания можно просматривать список заданий и их статус (выводится название принтера с номером задания, название документа, имя пользователя, размер документа и количество страниц).

50.2. Инструмент для управления заданиями печати и принтерами

Принтеры также можно настроить в приложении Параметры системы: ОборудованиеПринтеры.

Примечание

Если вы получаете ошибку Служба печати недоступна, то запустите терминал, и выполните команду
# systemctl restart cups
от имени системного администратора root.
Для добавления принтера необходимо нажать кнопку Добавить принтер, или если еще не добавлено ни одного принтера, кнопку Нажмите для добавления нового принтера:
Настройка печати
В открывшемся окне выберите принтер, который необходимо подключить и нажмите кнопку Далее:
Выбор принтера
Утилита начнет поиск подходящего драйвера. Можно выбрать рекомендуемый, или выбрать драйвер из списка самостоятельно:
Выбор драйвера
В следующем окне можно задать описание принтера:
Описание принтера
После нажатия Готово принтер станет доступным для печати:
Настройка печати
Изменить настройки добавленного принтера вы можете в любой момент, выбрав в программе нужный принтер и нажав кнопку Настроить.
В окне настроек можно изменить описание принтера, настроить дополнительные параметры принтера: разрешение, размер используемой по умолчанию бумаги.
Параметры печати

Глава 51. Настройка сканера подключенного к USB-порту

В Альт Рабочая станция K доступ к сканерам обеспечивается программой SANE (Scanner Access Now Easy). Система SANE состоит из двух частей: аппаратной поддержки (backend, libsane) и программной поддержки (frontend). Первая часть обеспечивает собственно доступ к сканеру, вторая — графический интерфейс для сканирования (xsane).

51.1. Конфигурация SANE

Подключите сканер к компьютеру и проверьте доступность сканера:
$ lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 004: ID 03f0:012a HP, Inc HP LaserJet M1536dnf MFP
Bus 002 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 2.0 root hub
В примере сканер определен на шине USB 002 как устройство 004.
При помощи команды sane-find-scanner можно проверить поддержку сканера системой SANE:
$ sane-find-scanner -q
could not open USB device 0x1d6b/0x0002 at 001:001: Access denied (insufficient permissions)
found USB scanner (vendor=0x03f0 [Hewlett-Packard], product=0x012a [HP LaserJet M1536dnf MFP]) at libusb:002:004
could not open USB device 0x80ee/0x0021 at 002:002: Access denied (insufficient permissions)
could not open USB device 0x1d6b/0x0001 at 002:001: Access denied (insufficient permissions)
В выводе должны присутствовать интерфейс сканера и имя используемого устройства. В данном случае сканер был распознан на шине 002 как устройство 004.

Примечание

Если бы доступ к сканеру также был запрещен (как и доступ к другим USB-устройствам), необходимо рассмотреть разрешения на шину USB:
# ls -l /dev/bus/usb/002/
итого 0
crw-rw-r--  1 root root 189, 128 окт 28 12:00 001
crw-rw-r--  1 root root 189, 129 окт 28 12:00 002
crw-rw-r--+ 1 root lp   189, 130 окт 28 12:42 003
И добавить пользователя в нужную группу (в данном случае в группу lp):
# gpasswd -a user lp
Далее необходимо ОБЯЗАТЕЛЬНО перезапустить сеанс пользователя.
Теперь необходимо убедиться, что сканер опознан программой графического интерфейса. В состав системы SANE входит утилита scanimage, позволяющая работать со сканером из командной строки (опция -L используется для показа информации о сканере):
$ scanimage -L
device `hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C' is a Hewlett-Packard HP_LaserJet_M1536dnf_MFP all-in-one
В контексте локального USB-устройства, доступ к которому имеет обычный пользователь, положительный ответ указывает, что SANE поддерживает этот сканер.
Проверка работы сканера:
$ scanimage -T -d 'hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C'
scanimage: scanning image of size 637x876 pixels at 1 bits/pixel
scanimage: acquiring gray frame, 1 bits/sample
scanimage: reading one scanline, 80 bytes...    PASS
scanimage: reading one byte...          PASS
scanimage: stepped read, 2 bytes...     PASS
scanimage: stepped read, 4 bytes...     PASS
scanimage: stepped read, 8 bytes...     PASS
scanimage: stepped read, 16 bytes...    PASS
scanimage: stepped read, 32 bytes...    PASS
scanimage: stepped read, 64 bytes...    PASS
scanimage: stepped read, 128 bytes...   PASS
scanimage: stepped read, 127 bytes...   PASS
scanimage: stepped read, 63 bytes...    PASS
scanimage: stepped read, 31 bytes...    PASS
scanimage: stepped read, 15 bytes...    PASS
scanimage: stepped read, 7 bytes...     PASS
scanimage: stepped read, 3 bytes...     PASS
где 'hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C' — актуальное имя подключенного устройства, которое можно взять из вывода предыдущей команды.

Примечание

Для некоторых устройств Hewlett-Packard требуется установить актуальный плагин с сервера HP. Для установки плагина необходимо выполнить команду (должен быть установлен пакет hplip):
$ hp-plugin -i
…
Enter option (d=download*, p=specify path, q=quit) ? d
…
Do you accept the license terms for the plug-in (y=yes*, n=no, q=quit) ? y
Please enter the root/superuser password:
При установке плагина потребуется ввести пароль суперпользователя.

Примечание

Для работы со сканерами Epson необходимо установить пакеты epsonscan2, imagescan-sane, iscan-free, iscan-data и firmware-iscan из репозитория:
# apt-get install epsonscan2, imagescan-sane, iscan-free, iscan-data и firmware-iscan
Также для работы со сканерами Epson может потребоваться скачать и установить пакет epsonscan2-non-free-plugin с официального сайта Epson.

51.2. Интерфейсы для сканирования (frontend)

Интерфейс — это программа, которая взаимодействует с SANE для получения отсканированного вывода в желаемом формате. SANE был разработан для взаимодействия с любым SANE-совместимым интерфейсом, командной строкой или на основе графического интерфейса пользователя:
  • scanimage — интерфейс командной строки для управления сканированием;
  • Xsane — графический интерфейс для получения изображения со сканера. Может быть вызван через GIMP.

Глава 52. Samba 4 в роли контроллера домена Active Directory

Использование Samba 4 в роли контроллера домена Active Directory позволяет вводить Windows 7/8 в домен без манипуляций с реестром.
Поддерживаются следующие базовые возможности Active Directory:
  • аутентификация рабочих станций Windows и Linux и служб;
  • авторизация и предоставление ресурсов;
  • групповые политики (GPO);
  • перемещаемые профили (Roaming Profiles);
  • поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows;
  • поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования);
  • репликация с другими серверами (в том числе с Windows 2012).

Предупреждение

Samba AD DC конфликтует с OpenLDAP и MIT Kerberos, поскольку эти приложения запускают одни и те же службы на одних тех же, по умолчанию, портах для протоколов LDAP и Kerberos.

Предупреждение

Samba AD DC функционирует на уровне контроллера доменов Windows 2008 R2 . Можно ввести его в домен Windows 2012 как клиента, но не как контроллер домена.

52.1. Установка

Для установки Samba AD DC выполняются следующие шаги:
  • Установить пакет task-samba-dc, который установит все необходимое:
    # apt-get install task-samba-dc
    
  • Так как Samba в режиме контроллера домена (Domain Controller, DC) использует как свой LDAP, так и свой сервер Kerberos, несовместимый с MIT Kerberos, перед установкой необходимо остановить конфликтующие службы krb5kdc и slapd, а также bind:
    # for service in smb nmb krb5kdc slapd bind; do chkconfig $service off; service $service stop; done
    

52.2. Создание нового домена

52.2.1. Восстановление к начальному состоянию Samba

Необходимо очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён):
# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Предупреждение

Обязательно удаляйте /etc/samba/smb.conf перед созданием домена: rm -f /etc/samba/smb.conf

52.2.2. Выбор имени домена

Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов, разделённых точкой. При этом должно быть установлено правильное имя узла и домена для сервера:
  • HOSTNAME=dc.test.alt в /etc/sysconfig/network
  • # hostnamectl set-hostname dc.test.alt
    
  • # domainname test.alt
    

Предупреждение

При указании домена, имеющего суффикс .local, на сервере и подключаемых компьютерах под управлением Linux потребуется отключить службу avahi-daemon.

52.2.3. Создание домена одной командой

Создание контроллера домена test.alt:
# samba-tool domain provision --realm=test.alt --domain test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc
где
  • --realm — задает область Kerberos (LDAP), и DNS имя домена;
  • --domain — задает имя домена (имя рабочей группы);
  • --adminpass — пароль основного администратора домена;
  • --server-role — тип серверной роли.

Примечание

Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.

Примечание

Параметры --use-rfc2307 --use-xattrs=yes позволяют поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.

52.2.4. Интерактивное создание домена

Для интерактивного развертывания запустите samba-tool domain provision, это запустит утилиту развертывания, которая будет задавать различные вопросы о требованиях к установке. В примере показано создание домена test.alt:
# samba-tool domain provision
Realm [TEST.ALT]:
Domain [TEST]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]:
Administrator password:
Retype password:
Looking up IPv4 addresses
More than one IPv4 address found. Using 192.168.1.1
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=test,DC=alt
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=test,DC=alt
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              dc
NetBIOS Domain:        TEST
DNS Domain:            test.alt
DOMAIN SID:            S-1-5-21-80639820-2350372464-3293631772
При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).

Примечание

Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.

52.3. Запуск службы samba

Установите службу по умолчанию и запустите её:
# systemctl enable --now samba

52.4. Настройка Kerberos

Внести изменения в файл /etc/krb5.conf. Следует раскомментировать строку default_realm и содержимое разделов realms и domain_realm и указать название домена (обратите внимание на регистр символов):
includedir /etc/krb5.conf.d/

[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_kdc = true
 dns_lookup_realm = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = TEST.ALT
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
TEST.ALT = {
  default_domain = test.alt
}

[domain_realm]
dc = TEST.ALT

Примечание

В момент создания домена Samba конфигурирует шаблон файла krb5.conf для домена в каталоге /var/lib/samba/private/. Можно просто заменить этим файлом файл, находящийся в каталоге /etc/:
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

52.5. Проверка работоспособности

Просмотр общей информации о домене:
# samba-tool domain info 127.0.0.1
Forest           : test.alt
Domain           : test.alt
Netbios domain   : TEST
DC name          : dc.test.alt
DC netbios name  : DC
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name
Просмотр предоставляемых служб:
# smbclient -L localhost -Uadministrator
Enter TEST\administrator's password:

        Sharename       Type      Comment
        ---------       ----      -------
        sysvol          Disk
        netlogon        Disk
        IPC$            IPC       IPC Service (Samba 4.14.10)
SMB1 disabled -- no workgroup available
Общие ресурсы netlogon и sysvol создаваемые по умолчанию нужны для функционирования сервера AD и создаются в smb.conf в процессе развертывания/модернизации.
Проверка конфигурации DNS:
  • Убедитесь в наличии nameserver 127.0.0.1 в /etc/resolv.conf:
    # host test.alt
    test.alt has address 192.168.0.113
    test.alt has IPv6 address fd47:d11e:43c1:0:a00:27ff:fed9:6998
    
  • Проверьте имена хостов:
    # host -t SRV _kerberos._udp.test.alt.
    _kerberos._udp.test.alt has SRV record 0 100 88 dc.test.alt.
    # host -t SRV _ldap._tcp.test.alt.
    _ldap._tcp.test.alt has SRV record 0 100 389 dc.test.alt.
    # host -t A dc.test.alt.
    dc.test.alt has address 192.168.0.113
    
    Если имена не находятся, проверьте выключение службы named.
Проверка Kerberos (имя домена должно быть в верхнем регистре):
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
Warning: Your password will expire in 41 days on Вт 01 мар 2022 08:19:36
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
18.01.2022 08:19:36  18.01.2022 18:19:36  krbtgt/TEST.ALT@TEST.ALT
	renew until 19.01.2022 08:19:36

52.6. Управление пользователями

Создать пользователя с паролем:
# samba-tool user create имя пользователя
# samba-tool user setexpiry имя пользователя
Удалить пользователя:
# samba-tool user delete имя пользователя
Отключить пользователя:
# samba-tool user disable имя пользователя
Включить пользователя:
# samba-tool user enable имя пользователя
Изменить пароль пользователя:
# samba-tool user setpassword имя пользователя
Просмотреть доступных пользователей:
# samba-tool user list
Например, создать и разблокировать пользователя ivanov:
# samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@test.alt'
# samba-tool user setexpiry ivanov --noexpiry

Предупреждение

Не допускайте одинаковых имён для пользователя и компьютера, это может привести к коллизиям (например, такого пользователя нельзя добавить в группу). Если компьютер с таким именем заведён, удалить его можно командой: pdbedit -x -m имя

52.7. Настройка файловых ресурсов на контроллере доменов

Создать каталог и настроить права:
# mkdir /srv/share
# chmod 777 /srv/share
В конец файла /etc/samba/smb.conf добавить ресурс:
[share]
       path = /srv/share
       public = no
       writable = yes
       read only = no
       guest ok = no
       valid users = "@TEST\Domain Users" "@TEST\Domain Admins"
       create mask = 0666
       directory mask = 0777
       force create mode = 0666
       force directory mode = 0777
       inherit owner = yes
где TEST — имя домена, Domain Users и Domain Admins — группы пользователей, которым разрешен доступ к каталогу.
Перезапустить samba:
# systemctl restart samba

Глава 53. Ввод рабочей станции в домен Active Directory

Инструкция по вводу рабочей станции под управлением Альт Рабочая станция K в домен Active Directory (работающий под Windows или под Samba AD в режиме DC). Параметры домена:
  • TEST.ALT — имя домена;
  • TEST — рабочая группа;
  • HOST-15 — имя компьютера в Netbios;
  • Administrator — имя пользователя-администратора;
  • Pa$$word — пароль администратора.

53.1. Подготовка

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости (если он еще не установлен):
# apt-get install task-auth-ad-sssd
Синхронизация времени с контроллером домена производится автоматически.
Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.
Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли:
  • В Центре управления системой в разделе СетьEthernet интерфейсы задать имя компьютера, указать в поле DNS-серверы DNS-сервер домена и в поле Домены поиска — домен для поиска:
    Настройка сети
  • В консоли:
    • задать имя компьютера:
      # hostnamectl set-hostname host-15.test.alt
      
    • в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо создать файл /etc/net/ifaces/eth0/resolv.conf со следующим содержимым:
      nameserver 192.168.0.113
      
      где 192.168.0.113 — IP-адрес DNS-сервера домена.
    • указать службе resolvconf использовать DNS контроллера домена и домен для поиска. Для этого в файле /etc/resolvconf.conf добавить/отредактировать следующие параметры:
      interface_order='lo lo[0-9]* lo.* eth0'
      search_domains=test.alt
      
      где eth0 — интерфейс на котором доступен контроллер домена, test.alt — домен.
    • обновить DNS адреса:
      # resolvconf -u
      

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле /etc/resolv.conf должны появиться строки:
search test.alt
nameserver 192.168.0.113

53.2. Ввод в домен

Ввод в домен можно осуществить следующими способами:
  • В командной строке:
    # system-auth write ad test.alt host-15 test 'administrator' 'Pa$$word'
    Joined 'HOST-15' to dns domain 'test.alt'
    
  • В Центре управления системой:
    Для ввода рабочей станции в домен необходимо запустить Центр управления системой: Меню запуска приложенийНастройкиЦентр управления системой. В Центре управления системой перейти в раздел ПользователиАутентификация.
    В открывшемся окне следует выбрать пункт Домен Active Directory, заполнить поля и нажать кнопку Применить:
    Ввод в домен в Центре управления системой
    В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК:
    Пароль для учётной записи с правами подключения к домену
    При успешном подключении к домену, отобразится соответствующая информация:
    Подтверждение ввода в домен
Перезагрузить рабочую станцию. Авторизоваться с использованием созданной учетной записи домена.

53.3. Проверка работы

# getent passwd ivanov
ivanov:*:1594401103:1594400513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash

# net ads info
LDAP server: 192.168.0.113
LDAP server name: dc1.test.alt
Realm: TEST.ALT
Bind Path: dc=TEST,dc=ALT
LDAP port: 389
Server time: Вт, 18 янв 2022 08:33:53 EET
KDC server: 192.168.0.113
Server time offset: 28
Last machine account password change: Вт, 18 янв 2022 08:25:20 EET

# net ads testjoin
Join is OK

Примечание

Вы не увидите пользователей из AD с помощью команды:
# getent passwd
на клиентской машине. Этот функционал отключен по умолчанию, для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя:
# getent passwd <имя_пользователя>
Список пользователей можно посмотреть на сервере командой:
# samba-tool user list

53.4. Отображение глобальных групп на локальные

При вводе машины в домен создаются следующие локальные роли:
  • роль пользователей (users);
  • роль пользователей с расширенными правами (powerusers);
  • роль локальных администраторов (localadmins).
Локальные роли users и localadmins назначаются для глобальных групп в домене.
Список назначенных ролей и привилегий:
# rolelst
domain users:users
domain admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
vboxadd:vboxsf
# id ivanov
uid=906201103(ivanov) gid=906200513(domain users) группы=906200513(domain users),906201107(sales),
906201114(office),100(users),80(cdwriter),22(cdrom),81(audio),475(video),19(proc),
83(radio),444(camera),71(floppy),498(xgrp),499(scanner),14(uucp),462(vboxusers),464(fuse),488(vboxadd),487(vboxsf)
Если необходимо выдать права администраторов пользователям, которые не являются администраторами домена (Domain Admins), то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей. Затем на машине введённой в домен добавить роль для данной группы:
# roleadd 'PC Admins' localadmins
# rolelst
domain users:users
domain admins:localadmins
pc admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
vboxadd:vboxsf
После этого пользователь, входящий в группу PC Admins, сможет получать права администратора.

53.5. Подключение файловых ресурсов

Рассматриваемый способ позволяет подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).
Для настройки автоматического подключения сетевых файловых ресурсов Windows (Samba) при входе пользователя в систему необходимо:
  • Установить пакет kde5-autofs-shares:
    # apt-get install kde5-autofs-shares
  • Добавить в /etc/auto.master строку:
    /mnt/samba /etc/auto.smb -t 34567
    
    Здесь /mnt/samba — каталог в котором будут подключаться сетевые файловые системы, /etc/auto.smb — файл конфигурации или скрипт, 34567 — таймаут подключения при отсутствии обращения.
  • Включить и запустить сервис autofs:
    # systemctl enable --now autofs
  • В диспетчере файлов Dolphin по адресу smb://test.alt (СетьОбщие папки Samba) найти нужный ресурс Windows (Samba).
  • В контекстном меню подключаемого ресурса выбрать пункт Подключение:
    Контекстное меню подключаемого ресурса
Данный ресурс будет подключаться автоматически при входе в систему:
Автоматически подключенный ресурс

Примечание

Список ресурсов для подключения хранится в файле ~/.autofs.shares.

Важно

Способ работает только для ресурсов с гостевым доступом или ресурсов с авторизацией Kerberos.

Глава 54. Групповые политики

Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассмотрена реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик на данный момент предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba.
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
  • подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
  • сайты — группы компьютеров в заданной подсети в рамках одного и того же домена;
  • конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
  • установки домашней страницы браузера Firefox/Chromium (экспериментальная политика). Возможно установить при использовании ADMX-файлов Mozilla Firefox (пакет admx-firefox) и Google Chrome (пакет admx-chromium) соответственно;
  • установки запрета на подключение внешних носителей;
  • управления политиками control (реализован широкий набор настроек). Возможно установить при использовании ADMX-файлов ALT;
  • включения или выключения различных служб (сервисов systemd) Возможно установить при использовании ADMX-файлов ALT.
  • подключения сетевых дисков (экспериментальная политика);
  • генерирования (удаления/замены) ярлыков для запуска программ;
  • создания каталогов;
  • установки и удаления пакетов (экспериментальная политика).

Важно

Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX файлы ALT в разделе Групповые политики.

54.1. Развертывание групповых политик

Процесс развёртывание групповых политик:
  1. Развернуть сервер Samba AD DC (см. Samba 4 в роли контроллера домена Active Directory ).
  2. Установить административные шаблоны на сервере Samba AD DC. Для этого:
    • установить пакеты политик admx-basealt, admx-samba, admx-chromium, admx-firefox и утилиту admx-msi-setup:
      # apt-get install admx-basealt admx-samba admx-chromium admx-firefox admx-msi-setup
      
    • скачать и установить ADMX-файлы от Microsoft:
      # admx-msi-setup
      

      Примечание

      По умолчанию, admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров, можно указать другой источник:
      # admx-msi-setup -h
      admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
      Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
      Removing admx-msi-setup temporary files...
      
    • после установки, политики будут находиться в каталоге /usr/share/PolicyDefinitions. Скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):
      # samba-tool gpo admxload -U Administrator
      
  3. Ввести машину в домен Active Directory по инструкции (см. Ввод рабочей станции в домен Active Directory ).

    Примечание

    Должен быть установлен пакет alterator-gpupdate:
    # apt-get install alterator-gpupdate
    
    Для автоматического включения групповых политик, при вводе в домен, в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, отметить пункт Включить групповые политики:
    Пункт Включить групповые политики
    Политики будут включены сразу после ввода в домен (после перезагрузки системы).

    Примечание

    Если машина уже находится в домене, можно вручную включить групповые политики с помощью модуля ЦУС Групповые политики. Для этого в Центре управления системой в разделе СистемаГрупповые политики следует выбрать шаблон локальной политики (Сервер, Рабочая станция или Контроллер домена) и установить отметку в пункте Управление групповыми политиками:
    Модуль ЦУС «Групповые политики»
  4. На рабочей станции, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
    # apt-get install admc gpui admx-basealt
    
  5. Настроить, если это необходимо, RSAT на машине с ОС Windows:
    • ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
    • включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория http://git.altlinux.org/gears/a/admx-basealt.git (https://github.com/altlinux/admx-basealt) и разместить их в каталоге \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
    • корректно установленные административные шаблоны будут отображены на машине Windows в оснастке Редактор управления групповыми политиками в разделе Конфигурация компьютераПолитикиАдминистративные шаблоныСистема ALT:
      Политики настройки систем ALT в консоли gpme.msc

54.2. Пример создания групповой политики

В качестве примера, создадим политику, разрешающую запускать команду ping только суперпользователю (root).
В ADMC на рабочей станции, введённой в домен или в оснастке Active Directory — пользователи и компьютеры создать подразделение (OU) и переместить в него компьютеры и пользователей домена.
Для использования ADMC следует сначала получить билет Kerberos для администратора домена:
$ kinit administrator
Password for administrator@TEST.ALT:
Далее запустить ADMC из меню (Меню запуска приложенийСистемаADMC) или командой admc:
$ admc
Интерфейс ADMC
Добавление доменных устройств в группу членства GPO:
  1. Создать новое подразделение:
    • в контекстном меню домена выбрать пункт СоздатьПодразделение:
      ADMC. Создать новое подразделение
    • в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку ОК:
      ADMC. Новое подразделение
  2. Переместить компьютеры и пользователей домена в созданное подразделение:
    • в контекстном меню пользователя/компьютера выбрать пункт Переместить…;
    • в открывшемся диалоговом окне Выбор контейнера – ADMC выбрать контейнер, в который следует переместить учетную запись пользователя.
ADMC. Компьютеры и пользователи в подразделении OU
Cоздание политики для подразделения:
  1. В контекстном меню папки Объекты групповой политики выбрать пункт Создать политику:
    ADMC. Контекстное меню папки Объекты групповой политики
  2. В открывшемся окне ввести название политики и нажать кнопку ОК:
    ADMC. Создание объекта групповой политики
  3. В контекстном меню политики выбрать пункт Добавить связь…:
    ADMC. Создание ссылки на политику
  4. Выбрать объекты, которые необходимо связать с политикой и нажать кнопку ОК:
    ADMC. Создание ссылки на политику
Для редактирования настроек групповой политики, необходимо выполнить следующие действия:
  1. В контекстном меню созданной политики выбрать пункт Изменить…:
    ADMC. Контекстное меню объекта групповой политики
  2. Откроется окно редактирования групповых политик (GPUI):
    Модуль редактирования настроек клиентской конфигурации (GPUI)
  3. Перейти в КомпьютерСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  4. Дважды щелкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включено, в выпадающем списке Кому разрешено выбрать пункт Только root и нажать кнопку ОК:
    GPUI. Диалоговое окно настройки политики
  5. После обновления политики на клиенте, выполнять команду ping сможет только администратор:
    $ ping localhost
    bash: ping: команда не найдена
    $ /usr/bin/ping localhost
    bash: /usr/bin/ping: Отказано в доступе
    # control ping
    restricted
    

Примечание

В настоящее время GPUI позволяет управлять только политиками, предпочтения пока не реализованы. Для управления предпочтениями могут использоваться средства удаленного администрирования сервера для Windows (RSAT).
Пример создания групповой политики на машине с ОС Windows:
  1. На машине с установленным RSAT открыть оснастку Управление групповыми политиками (gpmc.msc).
  2. Создать новый объект групповой политики (GPO) и связать его с подразделением (OU), в который входят машины или учетные записи пользователей.
  3. В контекстном меню GPO, выбрать пункт Изменить…. Откроется редактор GPO.
  4. Перейти в Конфигурация компьютераПолитикиАдминистративные шаблоныСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  5. Дважды щелкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включить, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку Применить:
    Раздел Сетевые приложения

Важно

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду:
# gpoa --loglevel 0
В выводе команды будут фигурировать полученные групповые объекты. В частности, соответствующий уникальный код (GUID) объекта.

Глава 55. FreeIPA

FreeIPA — это комплексное решение по управлению безопасностью Linux-систем, 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag, состоит из веб-интерфейса и интерфейса командной строки.
FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.

55.1. Установка сервера FreeIPA

В качестве примера показана установка сервера FreeIPA со встроенным DNS сервером и доменом EXAMPLE.TEST в локальной сети 192.168.0.0/24.
Во избежание конфликтов с разворачиваемым tomcat необходимо отключить ahttpd, работающий на порту 8080, а также отключить HTTPS в Apache2:
# systemctl stop ahttpd
# a2dissite 000-default_https
# a2disport https
# systemctl condreload httpd2
Установить необходимые пакеты (если во время установки сервера не был выбран пункт сервер FreeIPA):
# apt-get install freeipa-server freeipa-server-dns
Задать имя сервера:
# hostnamectl set-hostname ipa.example.test
Запустить скрипт настройки сервера. В пакетном режиме:
# ipa-server-install -U --hostname=$(hostname) -r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 --setup-dns --no-forwarders --no-reverse

Примечание

Если в дальнейшем на данной машине будет настраиваться Fleet Commander Admin, необходимо устанавливать и настраивать FreeIPA сервер, с созданием домашнего каталога (опция --mkhomedir):
# ipa-server-install -U --hostname=$(hostname) -r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 --setup-dns --no-forwarders --no-reverse --mkhomedir
Или интерактивно:
# ipa-server-install

Предупреждение

Пароли должны быть не менее 8 символов
Обратите внимание на ответ на вопрос, не совпадающий с предложенным:
Do you want to configure integrated DNS (BIND)? [no]: yes
Остальные вопросы необходимо выбрать по умолчанию (можно просто нажать Enter). Так же при установке необходимо ввести пароль администратора системы и пароль администратора каталогов.
Для возможности управлять FreeIPA сервером из командной строки необходимо получить билет Kerberos:
# kinit admin
Добавить в DNS запись о сервере времени:
# ipa dnsrecord-add example.test _ntp._udp --srv-priority=0 --srv-weight=100 --srv-port=123 --srv-target=ipa.example.test.
Веб-интерфейс доступен по адресу https://ipa.example.test/ipa/ui/.

55.2. Добавление новых пользователей домена

Для добавления новых пользователей можно воспользоваться веб-интерфейсом FreeIPA. Для этого необходимо открыть в веб-браузере адрес https://ipa.example.test/ipa/ui и ввести данные администратора для входа в систему:
Веб-интерфейс FreeIPA

Примечание

Язык интерфейса выбирается автоматически по настройкам веб-браузера.
После успешной авторизации можно создать нового пользователя домена. Для этого в окне Активные пользователи необходимо нажать кнопку Добавить.
Окно Пользователи домена
В открывшемся окне необходимо ввести данные пользователя и нажать кнопку Добавить:
Окно добавления нового пользователя домена
Созданный пользователь появится в списке пользователей:
Список пользователей домена

Глава 56. Ввод рабочей станции в домен FreeIPA

Инструкция по вводу рабочей станции под управлением Альт Рабочая станция K в домен FreeIPA.

56.1. Установка FreeIPA клиента

Установить необходимые пакеты:
# apt-get install freeipa-client libsss_sudo krb5-kinit bind-utils libbind zip task-auth-freeipa

Примечание

Очистить конфигурацию freeipa-client невозможно. В случае если это необходимо (например, для удаления, переустановки freeipa-client) следует переустановить систему.
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом.
В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить как в графическом интерфейсе, так и в консоли:
  • В Центре управления системой в разделе СетьEthernet интерфейсы задать имя компьютера, указать в поле DNS-серверы IP-адрес FreeIPA сервера и в поле Домены поиска — домен для поиска:
    Настройка на использование DNS-сервера FreeIPA
  • В консоли:
    • задать имя компьютера:
      # hostnamectl set-hostname comp01.example.test
      
    • добавить DNS сервер, для этого необходимо создать файл /etc/net/ifaces/eth0/resolv.conf со следующим содержимым:
      nameserver 192.168.0.105
      
      где 192.168.0.105 — IP-адрес FreeIPA сервера;
    • указать службе resolvconf использовать DNS FreeIPA и домен для поиска. Для этого в файле /etc/resolvconf.conf добавить/отредактировать следующие параметры:
      interface_order='lo lo[0-9]* lo.* eth0'
      search_domains=example.test
      
      где eth0 — интерфейс на котором доступен FreeIPA сервер, example.test — домен;
    • обновить DNS адреса:
      # resolvconf -u
      
В результате выполненных действий в файле /etc/resolv.conf должны появиться строки:
search example.test
nameserver 192.168.0.105

56.2. Подключение к серверу в ЦУС

Для ввода рабочей станции в домен FreeIPA, необходимо в Центре управления системой перейти в раздел ПользователиАутентификация.
В открывшемся окне следует выбрать пункт Домен FreeIPA, заполнить поля Домен и Имя компьютера, затем нажать кнопку Применить.
Ввод в домен FreeIPA в Центре управления системой
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК.
Пароль для учётной записи с правами подключения к домену
В случае успешного подключения, будет выведено соответствующее сообщение.
Подключение к серверу FreeIPA
Перезагрузить рабочую станцию.

56.3. Подключение к серверу в консоли

Запустить скрипт настройки клиента в пакетном режиме:
# ipa-client-install -U -p admin -w 12345678
или интерактивно:
# ipa-client-install
Если все настроено, верно, скрипт должен выдать такое сообщение:
'''Discovery was successful!'''
Client hostname: comp01.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test
Continue to configure the system with these values? [no]:
Необходимо ответить yes, ввести имя пользователя, имеющего право вводить машины в домен, и его пароль.

Предупреждение

Если при входе в домен возникает такая ошибка:
Hostname (comp01.example.test) does not have A/AAAA record.
Failed to update DNS records.
Необходимо проверить IP-адрес доменного DNS сервера в файле /etc/resolv.conf.
В случае возникновения ошибки, необходимо перед повторной установкой запустить процедуру удаления:
# ipa-client-install -U --uninstall
Для работы sudo-политик для доменных пользователей на клиентской машине необходимо разрешить доступ к sudo:
# control sudo public

56.4. Вход пользователя

При первом входе пользователя будет запрошен текущий (установленный администратором) пароль:
Запрос текущего пароля при первом подключении к серверу FreeIPA
Затем у пользователя запрашивается новый пароль и его подтверждение:
Запрос нового пароля

Часть VII. Средства удаленного администрирования

Дальнейшие разделы описывают некоторые возможности использования Альт Рабочая станция K, настраиваемые в ЦУС.

Важно

Эта и последующие главы рекомендуются к прочтению опытным пользователям и системным администраторам.

Глава 57. Вход в систему

Вы можете начать работу по настройке системы сразу после её установки, используя для настройки Центр управления системой — веб-ориентированный интерфейс, позволяющий управлять сервером с любого компьютера сети (Использование веб-ориентированного центра управления системой).

Глава 58. Обслуживание компьютера под управлением Альт Рабочая станция K

58.1. Мониторинг состояния системы

Для обеспечения бесперебойной работы ОС крайне важно производить постоянный мониторинг его состояния. Все события, происходящие с ОС, записываются в журналы, анализ которых помогает избежать сбоев в работе ОС и предоставляет возможность разобраться в причинах некорректной работы ОС.
Для просмотра журналов предназначен модуль ЦУС Системные журналы из раздела Система (пакет alterator-logs). Интерфейс позволяет просмотреть различные типы журналов с возможностью перехода к более старым или более новым записям.
Веб-интерфейс модуля Системные журналы
Каждый журнал может содержать довольно большое количество сообщений. Уменьшить либо увеличить количество выводимых строк можно, выбрав нужное значение в списке Показывать.

58.2. Системные службы

Для изменения состояния служб можно использовать модуль ЦУС Системные службы (пакет alterator-services) из раздела Система. Интерфейс позволяет изменять текущее состояние службы и, если необходимо, применить опцию запуска службы при загрузке системы.
Веб-интерфейс модуля Системные службы
После выбора названия службы из списка отображается описание данной службы, а также текущее состояние: Работает/Остановлена/Неизвестно.

58.3. Системные ограничения

Средствами модуля Системные ограничения (пакет alterator-control) из раздела Система определяются несколько заранее заданных режимов доступа к тому или иному файлу. Администратор системы может установить один из этих режимов — он будет гарантированно сохранён при обновлении системы.
Также модуль может использоваться как простой конфигуратор, позволяющий переключать многие системные службы между заранее определёнными состояниями.
Политики для команды fusermount:
Модуль «Системные ограничения»
Для переключения состояния следует выбрать режим и нажать кнопку Сохранить.

58.4. Обновление системы

После установки системы крайне важно следить за обновлениями ПО. Обновления для Альт Рабочая станция K могут содержать как исправления, связанные с безопасностью, так и новый функционал или просто улучшение и ускорение алгоритмов. В любом случае настоятельно рекомендуется регулярно обновлять систему для повышения надёжности работы сервера.
Для автоматизации процесса установки обновлений предусмотрен модуль ЦУС Обновление системы (пакет alterator-updates) из раздела Система. Здесь можно включить автоматическое обновление через Интернет с одного из предлагаемых серверов или задать собственные настройки.
Модуль Обновление системы
Источник обновлений указывается явно (при выбранном режиме Обновлять систему автоматически из сети Интернет) или вычисляется автоматически (при выбранном режиме Обновление системы управляемое сервером и наличии в локальной сети настроенного сервера обновлений).
Процесс обновления системы будет запускаться автоматически согласно заданному расписанию.

58.5. Обновление систем, не имеющих выхода в Интернет

Для систем, не имеющих прямого выхода в Интернет, рекомендуется установка отдельного сервера обновлений на базе ОС Альт Сервер, находящегося вне защищенного контура и организация ограниченного доступа к этому серверу.
Модуль ЦУС Сервер обновлений (пакет alterator-mirror) из раздела Серверы предназначен для зеркалирования репозиториев и публикации их для обновлений рабочих станций и серверов.
Сервер обновлений — технология, позволяющая настроить автоматическое обновление программного обеспечения, установленного на клиентских машинах (рабочих местах), работающих под управлением Альт Рабочая станция.
Настройка сервера обновлений
На странице модуля можно выбрать, как часто выполнять закачку пакетов, можно выставить время, когда начинать зеркалирование.
Здесь также можно выбрать репозитории, локальные срезы которых необходимы. При нажатии на название репозитория, появляются настройки этого репозитория. Необходимо выбрать источник (сайт, откуда будет скачиваться репозиторий), архитектуру процессора (если их несколько, то стоит выбрать соответствующие).

Примечание

При выборе любой архитектуры также будет добавлен источник с noarch.
Настройки репозитория
Сервер обновлений предоставляет возможность автоматически настроить обновление клиентских машин в нужном режиме:
  • Локальное зеркало репозитория
    В этом режиме на сервере создаётся копия удалённого репозитория. Загрузка ПО клиентскими машинами может производится с локального сервера по протоколам HTTP, HTTPS, FTP, rsync (для каждого протокола нужно настроить соответствующие службы, ниже приведён пример настройки HTTP- и FTP-сервера). Наличие на локальном сервере зеркала репозитория при большом количестве машин в сети позволяет существенно сэкономить трафик.

    Важно

    Зеркалирование потребует наличия большого количества места на диске.
    Уменьшить размер скачиваемых файлов и занимаемое репозиторием место на диске можно, указав имена каталогов и файлов, которые будут исключены из синхронизации. Например, не скачивать пакеты с исходным кодом и пакеты с отладочной информацией:
    SRPMS
    *-debuginfo-*
    
    Шаблоны указываются по одному в отдельной строке. Символ «*» используется для подстановки любого количества символов.
  • Публикация репозитория
    В этом случае публикуется или URL внешнего сервера, содержащего репозиторий или, если включено локальное зеркало репозитория, адрес этого сервера. Такая публикация позволяет клиентским машинам автоматически настроить свои менеджеры пакетов на использование внешнего или локального репозитория.
    Со стороны клиентских машин, в этом случае, необходимо настроить модуль Обновление системы, отметив в нём Обновление системы управляемое сервером.
Настройка локального репозитория заканчивается нажатием на кнопку Применить.

Примечание

По умолчанию локальное зеркало репозитория находится в /srv/public/mirror. Для того чтобы зеркалирование происходило в другую папку, необходимо эту папку примонтировать в папку /srv/public/mirror. Для этого в файл /etc/fstab следует вписать строку:
/media/disk/localrepo /srv/public/mirror none rw,bind,auto 0 0
где /media/disk/localrepo — папка-хранилище локального репозитория.

58.5.1. Настройка веб-сервера

Установить веб-сервер nginx:
# apt-get install nginx
Создать файл конфигурации сервера в /etc/nginx/sites-available.d/repo.conf:
server {
  listen 80;
  server_name localhost .local <ваш ip>;

  access_log /var/log/nginx/repo-access.log;
  error_log /var/log/nginx/repo-error.log;

  location /mirror {
    root /srv/public;
    autoindex on;
   }
}
Сделать ссылку в /etc/nginx/sites-enabled.d/:
# ln -s /etc/nginx/sites-available.d/repo.conf /etc/nginx/sites-enabled.d/repo.conf
Запустить nginx и добавить его в автозагрузку:
# systemctl enable --now nginx
На клиентских машинах необходимо настроить репозитории. Сделать это можно в программе управления пакетами Synaptic (ПараметрыРепозитории) или в командной строке:
# apt-repo rm all
# apt-repo add http://<ip сервера>/mirror/p10/branch
Проверить правильность настройки репозиториев:
# apt-repo
rpm http://192.168.0.185/mirror p10/branch/x86_64 classic
rpm http://192.168.0.185/mirror p10/branch/noarch classic

58.5.2. Настройка FTP-сервера

Установить, настроить и запустить сервер FTP.
Создать каталог /var/ftp/mirror:
# mkdir -p /var/ftp/mirror
Примонтировать каталог /srv/public/mirror в /var/ftp/mirror с опцией --bind:
# mount --bind /srv/public/mirror /var/ftp/mirror

Примечание

Для автоматического монтирования каталога /srv/public/mirror при загрузке системы необходимо добавить следующую строку в файл /etc/fstab:
/srv/public/mirror /var/ftp/mirror none defaults,bind 0 0
На клиентских машинах необходимо настроить репозитории:
# apt-repo rm all
# apt-repo add ftp://<ip сервера>/mirror/p10/branch
# apt-repo
rpm ftp://192.168.0.185/mirror p10/branch/x86_64 classic
rpm ftp://192.168.0.185/mirror p10/branch/noarch classic

58.6. Локальные учётные записи

Модуль Локальные учётные записи (пакет alterator-users) из раздела Пользователи предназначен для администрирования системных пользователей.
Веб-интерфейс модуля alterator-users
Для создания новой учётной записи необходимо ввести имя новой учётной записи и нажать кнопку Создать, после чего имя отобразится в списке слева.
Для дополнительных настроек необходимо выделить добавленное имя, либо, если необходимо изменить существующую учётную запись, выбрать её из списка.
В модуле ЦУС «Локальные учетные записи» (только GUI) можно задать профиль киоска для пользователя. Режим «киоск» служит для ограничения прав пользователей в системе.
Настройка режима «киоск» для пользователя kiosk
Профиль киоска — файл .desktop (обычно из /usr/share/applications), размещаемый в каталог /etc/kiosk.
Для создания профиля можно просто скопировать файл .desktop (например, chromium-gost.desktop) из /usr/share/applications, в каталог /etc/kiosk, но лучше создать свой desktop-файл и скрипт, содержащий требуемое ПО.
Пример настройки режима «киоск»:
  1. Создать каталог /etc/kiosk (если он еще не создан).
  2. Создать файл /etc/kiosk/webkiosk.desktop со следующим содержимым:
    #!/usr/bin/env xdg-open
    [Desktop Entry]
    Version=1.0
    Type=Application
    Terminal=false
    Exec=/usr/local/bin/webkiosk
    Name=WEB-kiosk
    Icon=start
    
  3. Создать файл /usr/local/bin/webkiosk со следующим содержимым:
    #!/bin/bash
    marco --replace &
    chromium-gost --kiosk --incognito https://ya.ru
    
  4. Сделать файл /usr/local/bin/webkiosk исполняемым:
    # chmod +x /usr/local/bin/webkiosk
    
  5. В модуле Локальные учётные записи, выбрать учетную запись пользователя, затем в выпадающем списке Режим киоска выбрать пункт WEB-kiosk (webkiosk.desktop) и нажать кнопку Применить.
  6. Завершить сеанс текущего пользователя и войти в систему используя учетную запись пользователя, для которого настроен режим «киоск».
    Пользователю будет доступен только веб-браузер chromium-gost, по умолчанию будет загружена страница, адрес которой указан в файле /usr/local/bin/webkiosk.

58.7. Администратор системы

В модуле Администратор системы (пакет alterator-root) из раздела Пользователи можно изменить пароль суперпользователя (root), заданный при начальной настройке системы.
В данном модуле (только в веб-интерфейсе) можно добавить публичную часть ключа RSA или DSA для доступа к серверу по протоколу SSH.
Веб-интерфейс модуля Администратор системы

58.8. Дата и время

В модуле Дата и время (пакет alterator-datetime) из раздела Система можно изменить дату и время на сервере, сменить часовой пояс, а также настроить автоматическую синхронизацию часов на самом сервере по протоколу NTP и предоставление точного времени по этому протоколу для рабочих станций локальной сети.
Веб-интерфейс модуля Дата и время
Системное время зависит от следующих факторов:
  • часы в BIOS — часы, встроенные в компьютер. Они работают, даже если он выключен;
  • системное время — часы в ядре операционной системы. Во время работы системы все процессы пользуются именно этими часами;
  • часовые пояса — регионы Земли, в каждом из которых принято единое местное время.
При запуске системы происходит активация системных часов и их синхронизация с аппаратными, кроме того, в определённых случаях учитывается значение часового пояса. При завершении работы системы происходит обратный процесс.
Если настроена синхронизация времени с NTP-сервером, то сервер сможет сам работать как сервер точного времени. Для этого достаточно отметить соответствующий пункт Работать как NTP-сервер.

58.9. Ограничение использования диска

Модуль Использование диска (пакет alterator-quota) в разделе Пользователи позволяет ограничить использование дискового пространства пользователями, заведёнными на сервере в модуле Пользователи.
Веб-интерфейс модуля Использование диска
Модуль позволяет задать ограничения (квоты) для пользователя при использовании определённого раздела диска. Ограничить можно как суммарное количество килобайт, занятых файлами пользователя, так и количество этих файлов.
Для управления квотами файловая система должна быть подключена с параметрами usrquota, grpquota. Для этого следует выбрать нужный раздел в списке Файловая система и установить отметку в поле Включено:
Задание ограничений для пользователя user на раздел /home
Для того чтобы задать ограничения для пользователя, необходимо выбрать пользователя в списке Пользователь, установить ограничения и нажать кнопку Применить.
При задании ограничений различают жёсткие и мягкие ограничения:
  • Мягкое ограничение: нижняя граница ограничения, которая может быть временно превышена. Временное ограничение — одна неделя.
  • Жёсткое ограничение: использование диска, которое не может быть превышено ни при каких условиях.
Значение 0 при задании ограничений означает отсутствие ограничений.

58.10. Выключение и перезагрузка компьютера

Иногда, в целях обслуживания или по организационным причинам необходимо корректно выключить или перезагрузить сервер. Для этого можно воспользоваться модулем ЦУС Выключение компьютера в разделе Система.
Веб-интерфейс модуля Выключение компьютера
Модуль Выключение компьютера позволяет:
  • выключить компьютер;
  • перезагрузить компьютер;
  • приостановить работу компьютера;
  • погрузить компьютер в сон.
Возможна настройка ежедневного применения данных действий в заданное время.
Так как выключение и перезагрузка — критичные для функционирования компьютера операции, то по умолчанию настройка выставлена в значение Продолжить работу. Для выключения, перезагрузки или перехода в энергосберегающие режимы нужно отметить соответствующий пункт и нажать Применить.
Для ежедневного автоматического выключения компьютера, перезагрузки, а также перехода в энергосберегающие режимы необходимо отметить соответствующий пункт и задать желаемое время. Например, для выключения компьютера следует отметить пункт Выключать компьютер каждый день в, задать время выключения в поле ввода слева от этого флажка и нажать кнопку Применить.

Примечание

Для возможности настройки оповещений на e-mail, должен быть установлен пакет state-change-notify-postfix:
# apt-get install state-change-notify-postfix
Для настройки оповещений необходимо отметить пункт При изменении состояния системы отправлять электронное письмо по адресу, ввести e-mail адрес и нажать кнопку Применить:
Веб-интерфейс модуля Выключение компьютера. Настройка оповещений
По указанному адресу, при изменении состоянии системы будут приходить электронные письма. Например, при включении компьютера, содержание письма будет следующее:
Tue Jun 16 11:46:59 EET 2020: The comp01.example.test is about to start.
При выключении:
Tue Jun 16 12:27:02 EET 2020: The comp01.example.test is about to shutdown.
Кнопка Сбросить возвращает сделанный выбор к безопасному значению по умолчанию: Продолжить работу, перечитывает расписания и выставляет отметки для ежедневного автоматического действия в соответствие с прочитанным.

Глава 59. Конфигурирование сетевых интерфейсов

Альт Рабочая станция K поддерживает самые разные способы подключения к сети Интернет:
  • Ethernet;
  • PPTP;
  • PPPoЕ;
  • и т.д.
Для настройки подключения воспользуйтесь одним из разделов ЦУС Сеть.
Доступные разделы:
Конфигурирование сетевых интерфейсов осуществляется в модуле ЦУС Ethernet-интерфейсы (пакет alterator-net-eth) из раздела Сеть:
Настройка Ethernet-интерфейсов
В модуле Ethernet-интерфейсы можно заполнить следующие поля:
  • Имя компьютера — указать сетевое имя ПЭВМ в поле для ввода имени компьютера (это общий сетевой параметр, не привязанный, к какому-либо конкретному интерфейсу). Имя компьютера, в отличие от традиционного имени хоста в Unix (hostname), не содержит названия сетевого домена;
  • Интерфейсы — выбрать доступный сетевой интерфейс, для которого будут выполняться настройки;
  • Версия протокола IP — указать в выпадающем списке версию используемого протокола IP (IPv4, IPv6) и убедиться, что пункт Включить, обеспечивающий поддержку работы протокола, отмечен;
  • Конфигурация — выбрать способ назначения IP-адресов (службы DHCP, Zeroconf, вручную);
  • IP-адреса — пул назначенных IP-адресов из поля IP, выбранные адреса можно удалить нажатием кнопки Удалить;
  • IP — ввести IP-адрес вручную и выбрать в выпадающем поле предпочтительную маску сети, затем нажать кнопку Добавить для переноса адреса в пул поля IP-адреса:;
  • Шлюз по умолчанию — в поле для ввода необходимо ввести адрес шлюза, который будет использоваться сетью по умолчанию;
  • DNS-серверы — в поле для ввода необходимо ввести список предпочтительных DNS-серверов, которые будут получать информацию о доменах, выполнять маршрутизацию почты и управлять обслуживающими узлами для протоколов в домене;
  • Домены поиска — в поле для ввода необходимо ввести список предпочтительных доменов, по которым будет выполняться поиск. Если в поле Домены поиска перечислить наиболее часто используемые домены (например, domain), то можно пользоваться неполными именами машин (computer вместо computer.domain).
IP-адрес и Маска сети — обязательные параметры каждого узла IP-сети. Первый параметр – уникальный идентификатор машины, от второго напрямую зависит, к каким машинам локальной сети данная машина будет иметь доступ. Если требуется выход во внешнюю сеть, то необходимо указать параметр Шлюз по умолчанию.
В случае наличия DHCP-сервера можно все вышеперечисленные параметры получить автоматически – выбрав в списке Конфигурация пункт Использовать DHCP:
Автоматическое получение настроек от DHCP сервера
Если в компьютере имеется несколько сетевых карт, то возможна ситуация, когда при очередной загрузке ядро присвоит имена интерфейсов (eth1, eth2) в другом порядке. В результате интерфейсы получат не свои настройки. Чтобы этого не происходило, можно привязать интерфейс к имени по его аппаратному адресу (MAC) или по местоположению на системной шине.
Дополнительно для каждого интерфейса можно настроить сетевую подсистему, а также должен ли запускаться данный интерфейс при загрузке системы:
Выбор сетевой подсистемы
В списке Сетевая подсистема можно выбрать следующие режимы:
Etcnet
В этом режиме настройки берутся исключительно из файлов находящихся в каталоге настраиваемого интерфейса /etc/net/ifaces/<интерфейс>. Настройки сети могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование файлов /etc/net/ifaces/<интерфейс>.
NetworkManager (etcnet)
В этом режиме NetworkManager сам инициирует сеть, используя в качестве параметров — настройки из файлов Etcnet. Настройки сети могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование файлов /etc/net/ifaces/<интерфейс>. В этом режиме можно просмотреть настройки сети, например полученный по DHCP IP-адрес, через графический интерфейс NetworkManager.
NetworkManager (native)
В данном режиме управление настройками интерфейса передаётся NetworkManager и не зависит от файлов Etcnet. Управлять настройками можно через графический интерфейс NetworkManager. Файлы с настройками находятся в директории /etc/NetworkManager/system-connections. Этот режим особенно актуален для задач настройки сети на клиенте, когда IP-адрес необходимо получать динамически с помощью DHCP, а DNS-сервер указать явно. Через ЦУС так настроить невозможно, так как при включении DHCP отключаются настройки, которые можно задавать вручную.
Не контролируется
В этом режиме интерфейс находится в состоянии DOWN (выключен).

Глава 60. Сетевая установка операционной системы на рабочие места

Одной из удобных возможностей Альт Рабочая станция K при разворачивании инфраструктуры является сетевая установка. При помощи сетевой установки можно производить установку Альт Рабочая станция K не с DVD-диска, а загрузив инсталлятор по сети.

60.1. Подготовка сервера

Перед началом установки рабочих станций следует произвести предварительную настройку сервера: задать имя сервера (модуль Ethernet-интерфейсы в ЦУС), включить DHCP-сервер, задать имя домена.

Примечание

При сетевой установке с сервера будут переняты настройки домена, и включена централизованная аутентификация. Если вы устанавливаете Альт Рабочая станция K с DVD-диска, то настройку домена и аутентификации надо будет производить отдельно на каждой рабочей стации.
Перед активацией сетевой установки потребуется импортировать установочный DVD-диск Альт Рабочая станция K, предварительно вставив его в DVD-привод сервера, либо используя образ диска, расположенный на файловой системе на сервере. Можно также использовать URL вида http://ftp.altlinux.org/pub/distributions/ALTLinux/p9/images/kworkstation/alt-kworkstation-9.1.1-install-x86_64.iso.

Примечание

Локальный файл должен быть доступен для nobody и должен находиться на сервере, где запущен alterator-netinst.
В разделе Сервер сетевых установок (пакет alterator-netinst), укажите откуда импортировать новый образ и нажмите кнопку Добавить.
Импорт установочного образа
Процесс добавления образа занимает какое-то время. Пожалуйста, дождитесь окончания этого процесса.
Процесс добавления установочного образа
После добавления образа он появится в списке Доступные образы дисков. Необходимо выбрать из списка один из образов и нажать кнопку Выбрать.
Выбор образа диска из списка доступных
На этом подготовка сервера к сетевой установке рабочих станций завершена.
Далее следует выбрать направление соединения. Удалённый доступ к компьютеру может быть двух видов:
  • Со стороны клиента. Во время установки администратор может с помощью VNC-клиента подключиться к компьютеру, на которой производится установка, зная его IP-адрес и заданный пароль.
  • Со стороны сервера. Во время установки с каждого компьютера инициируется подключение к запущенному на заданном компьютере VNC-клиенту. Компьютер-приёмник соединений задаётся IP-адресом или именем.
Настройка удалённого доступа
В случае, когда работа с аппаратной подсистемой ввода-вывода невозможна (например, если клавиатура, мышь или монитор отсутствуют), можно использовать вариант Только по VNC.
Если необходимо управлять установкой удалённо, отметьте пункт Включить установку по VNC и пункт Подключение со стороны VNC сервера раздела Направление соединения, и там укажите адрес компьютера, с которого будет происходить управление. Для приёма подключения можно запустить, например, vncviewer -listen.

Предупреждение

Не забудьте отключить сетевую установку по окончании процесса установки ОС на рабочих станциях. Это можно сделать, выбрав в списке Доступные образы дисков пункт Нет образа и подтвердив действие нажатием кнопки Выбрать.
За дополнительной информацией по настройке обращайтесь к встроенной справке соответствующих модулей Центра управления системой.

60.2. Подготовка рабочих станций

Для сетевой установки следует обеспечить возможность загрузки по сети рабочих станций, на которых будет производиться установка ОС.
Большинство современных материнских плат имеют возможность загрузки по сети, однако она по умолчанию может быть отключена в BIOS. Различные производители материнских плат дают разные названия данной возможности, например: "Boot Option ROM" или "Boot From Onboard LAN".

Примечание

Некоторые материнские платы позволяют выбрать источник загрузки во время включения компьютера. Эта возможность может называться, например, "Select boot device" или "Boot menu".
Последовательность установки при установке с DVD-диска и при сетевой установке не отличаются друг от друга. Обратитесь к разделу руководства Последовательность установки.

Глава 61. Соединение удалённых офисов (OpenVPN-сервер)

Альт Рабочая станция K предоставляет возможность безопасного соединения удалённых офисов используя технологию VPN (англ. Virtual Private Network — виртуальная частная сеть), которая позволяет организовать безопасные шифрованные соединения через публичные сети (например, Интернет) между удалёнными офисами или локальной сетью и удалёнными пользователями. Таким образом, вы можете связать два офиса организации, что, делает работу с документами, расположенными в сети удалённого офиса, более удобной.
Помимо соединения целых офисов, также существует возможность организовать доступ в офисную сеть для работы в ней извне. Это означает, например, что сотрудник может работать в своём привычном окружении, даже находясь в командировке или просто из дома.

61.1. Настройка OpenVPN-сервера

Для организации VPN соединения на стороне сервера предусмотрен модуль ЦУС OpenVPN-сервер (пакет alterator-openvpn-server) из раздела Серверы.
Настройка OpenVPN-сервера
Используя модуль OpenVPN-сервер можно:
  • включить/отключить OpenVPN-сервер;
  • настроить параметры сервера: тип, сети сервера, использование сжатия и т.д.;
  • управлять сертификатами сервера;
  • настроить сети клиентов.
Особое внимание при планировании и настройке подключений следует обратить на используемые сети. Они не должны пересекаться.
Для создания соединения необходимо установить флажок Включить службу OpenVPN, выбрать тип подключения: маршрутизируемое (используется TUN) или через мост (используется TAP), и проверить открываемую по соединению сеть (обычно это локальная сеть в виде IP-адреса и маски подсети).
Обратите внимание, что на стороне клиента, должен быть выбран тот же тип виртуального устройства, что и на стороне сервера. Для большинства случаев подходит маршрутизируемое подключение.
Помимо этого нужно подписать ключ openvpn в модуле Удостоверяющий Центр (пакет alterator-ca) из раздела Система.
Для настройки сертификата и ключа ssl необходимо нажать на кнопку Сертификат и ключ ssl... Откроется окно модуля Управление ключами SSL (пакет alterator-sslkey):
Модуль Управление ключами SSL
Здесь нужно заполнить поле Общее имя (CN) и поле Страна (С) (прописными буквами), отметить пункт (Пере)создать ключ и запрос на подпись и нажать кнопку Подтвердить. После чего станет активной кнопка Забрать запрос на подпись:
Забрать запрос на подпись
Если нажать на кнопку Забрать запрос на подпись, появится диалоговое окно с предложением сохранить файл openvpn-server.csr. Необходимо сохранить этот файл на диске.
В модуле Управление ключами SSL появился новый ключ openvpn-server (Нет сертификата):
Ключ openvpn-server
Чтобы подписать сертификат, необходимо перейти в модуль Удостоверяющий ЦентрУправление сертификатами, нажать кнопку Обзор, указать путь до полученного файла openvpn-server.csr и загрузить запрос:
Запрос на подпись сертификата
В результате на экране появится две группы цифр и кнопка Подписать. Необходимо нажать на кнопку Подписать и сохранить файл output.pem (подписанный сертификат).
Запрос на подпись сертификата
Далее в разделе Управление ключами SSL, необходимо выделить ключ openvpn-server (Нет сертификата) и нажать кнопку Изменить. В появившемся окне, в пункте Положить сертификат, подписанный УЦ нужно нажать кнопку Обзор, указать путь до файла output.pem и нажать кнопку Положить:
Сертификат, подписанный УЦ
В модуле Управление ключами SSL, видно, что изменился ключ openvpn-server (истекает_и_дата). Ключ создан и подписан.
Для того чтобы положить сертификат УЦ, необходимо найти его в модуле Удостоверяющий Центр, нажать на ссылку Управление УЦ и забрать сертификат, нажав на ссылку Сертификат: ca-root.pem:
Сертификат УЦ
В модуле OpenVPN-сервер, в графе Положить сертификат УЦ: при помощи кнопки Обзор указать путь к файлу ca-root.pem и нажать кнопку Положить:
Выбор сертификата УЦ в модуле OpenVPN-сервер
Появится сообщение: «Сертификат УЦ успешно загружен».
Для включения OpenVPN необходимо отметить пункт Включить службу OpenVPN и нажать кнопку Применить.
Если необходимо организовать защищённое соединение между двумя локальными сетями, воспользуйтесь модулем OpenVPN-соединения (раздел Сеть).

61.2. Настройка клиентов

Со стороны клиента соединение настраивается в модуле ЦУС OpenVPN-соединения (раздел Сеть). Доступ к настроенной приватной сети могут получить пользователи, подписавшие свои ключи и получившие сертификат в удостоверяющем центре на том же сервере.
Для создания нового соединения необходимо отметить пункт Сетевой туннель (TUN) или Виртуальное Ethernet устройство (TAP) и нажать кнопку Создать соединение. Должен быть выбран тот же тип, что и на стороне сервера.
Создание нового OpenVPN-соединения
В результате станут доступны настройки соединения. На клиенте в модуле OpenVPN-соединение необходимо указать:
  • Состояние — «запустить»;
  • Сервер — IP адрес сервера или домен;
  • Порт — 1194;
  • Ключ — выбрать подписанный на сервере ключ.
Для применения настроек, нажать кнопку Применить. Состояние с Выключено должно поменяться на Включено.
Настройки OpenVPN-соединения
Проверить, появилось ли соединение с сервером можно командой
ip addr
должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
   link/[none]
   inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0

Глава 62. Доступ к службам из сети Интернет

62.1. Внешние сети

ОС предоставляет возможность организовать доступ к своим службам извне. Например, можно предоставить доступ к корпоративному веб-сайту из сети Интернет. Для обеспечения такой возможности необходимо разрешить входящие соединения на внешних интерфейсах. По умолчанию такие соединения блокируются.
Для разрешения внешних и внутренних входящих соединений предусмотрен раздел ЦУС Брандмауэр. В списке Разрешить входящие соединения на внешних интерфейсах модуля Внешние сети (пакет alterator-net-iptables) перечислены наиболее часто используемые службы, отметив которые, вы делаете их доступными для соединений на внешних сетевых интерфейсах. Если вы хотите предоставить доступ к службе, отсутствующей в списке, задайте используемые этой службой порты в соответствующих полях.
Настройки модуля Внешние сети
Можно выбрать один из двух режимов работы:
  • Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
  • Шлюз (NAT). В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен, по крайней мере, один внешний и один внутренний интерфейс.

Примечание

В любом режиме включено только перенаправление пакетов с внутренних интерфейсов. Перенаправление пакетов с внешних интерфейсов всегда выключено.

Примечание

Все внутренние интерфейсы открыты для любых входящих соединений.
За дополнительной информацией по настройке обращайтесь к встроенной справке модуля ЦУС.

62.2. Список блокируемых хостов

Модуль ЦУС Список блокируемых хостов (пакет alterator-net-iptables) предназначен для блокирования любого трафика с указанными узлами. Данный модуль позволяет блокировать любой сетевой трафик с указанными в списке узлов (входящий, исходящий и пересылаемый).
Блокирование трафика с указанных в списке узлов начинается после установки флажка Использовать чёрный список.
Список блокируемых хостов
Для добавления блокируемого узла необходимо ввести IP-адрес в поле Добавить IP адрес сети или хоста и нажать кнопку Добавить.
Для удаления узла из списка выберите его и нажмите кнопку Удалить.

Глава 63. Прочие возможности ЦУС

Возможности ЦУС Альт Рабочая станция K не ограничиваются только теми, что были описаны выше. Вы всегда можете поискать другие модули, предоставляющие прочие возможности для настройки системы в веб-интерфейсе.
Установленные пакеты, которые относятся к ЦУС, можно посмотреть, выполнив команду:
rpm -qa | grep alterator*
Прочие пакеты для ЦУС можно найти, выполнив команду:
apt-cache search alterator*
Модули можно дополнительно загружать и удалять как обычные программы:
# apt-get install alterator-net-openvpn
# apt-get remove alterator-net-openvpn

Глава 64. Права доступа к модулям

Администратор системы (root) имеет доступ ко всем модулям, установленным в системе, и может назначать права доступа для пользователей к определенным модулям.
Для разрешения доступа пользователю к конкретному модулю, администратору в веб-интерфейсе ЦУС необходимо выбрать нужный модуль и нажать ссылку Параметры доступа к модулю, расположенную в нижней части окна модуля:
Ссылка Параметры доступа к модулю
В открывшемся окне, в списке Новый пользователь необходимо выбрать пользователя, который получит доступ к данному модулю, и нажать кнопку Добавить.
Параметры доступа к модулю
Для сохранения настроек необходимо перезапустить HTTP-сервер, для этого достаточно нажать кнопку Перезапустить HTTP-сервер.
Для удаления доступа пользователя к определенному модулю, администратору, в окне этого модуля необходимо нажать ссылку Параметры доступа к модулю, в открывшемся окне в списке пользователей которым разрешен доступ, должен выбрать пользователя, нажать кнопку Удалить и перезапустить HTTP-сервер.
Системный пользователь, пройдя процедуру аутентификации, может просматривать и вызывать модули, к которым он имеет доступ.

Часть VIII. Функционал операционной системы

Содержание

65. ГОСТ в OpenSSL
65.1. Поддержка шифрования по ГОСТ в OpenSSL
65.2. Создание ключей
66. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012
66.1. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в ЦУС
66.2. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в консоли
67. Подпись и проверка ЭЦП ГОСТ
67.1. Запуск
67.2. Создание электронной подписи
67.2.1. Отсоединённая подпись
67.2.2. Присоединённая подпись
67.3. Проверка электронной подписи
67.3.1. Отсоединённая подпись
67.3.2. Присоединённая подпись
67.4. Проверка электронной подписи в PDF-файле
68. Управление шифрованными разделами
69. Резервное копирование (timeshift)
69.1. Настройка резервного копирования
69.1.1. Режим RSYNC
69.1.2. Режим BTRFS
69.2. Создание снимков
69.3. Восстановление системы
70. Создание ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
70.1. Настройка сервера ssh
70.2. Настройка клиента ssh
70.3. Пример подключения к серверу ssh
71. Создание защищенных VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
71.1. Настройка в ЦУС
71.2. Настройка в командной строке
71.2.1. Создание ключей для OpenVPN туннеля средствами утилиты openssl
71.2.2. Настройка сервера OpenVPN
71.2.3. Настройка VPN-подключения по протоколу OpenVPN в Network Manager
72. Поддержка файловых систем
73. Поддержка сетевых протоколов
73.1. SMB
73.1.1. Создание ресурсов общего доступа от имени обычного пользователя
73.1.2. Автоподключение сетевых ресурсов Samba
73.2. Использование NFS
73.3. FTP
73.3.1. Настройка сервера FTP
73.3.2. Подключение рабочей станции
73.4. NTP
73.4.1. Настройка сервера NTP
73.4.2. Настройка рабочей станции
73.5. HTTP(S)
73.5.1. Настройка сервера HTTP
73.5.2. Настройка рабочей станции

Глава 65. ГОСТ в OpenSSL

65.1. Поддержка шифрования по ГОСТ в OpenSSL

Для включения поддержки шифрования ГОСТ в OpenSSL необходимо выполнить следующие действия:
  1. Установить пакет openssl-gost-engine:
    # apt-get install openssl-gost-engine
    
  2. Изменить конфигурационный файл OpenSSL, выполнив команду:
    # control openssl-gost enabled
    
  3. Проверить, доступны ли шифры ГОСТ для OpenSSL:
    $ openssl ciphers|tr ':' '\n'|grep GOST
    GOST2012-GOST8912-GOST8912
    GOST2001-GOST89-GOST89
    

65.2. Создание ключей

Пример генерации закрытого ключа с алгоритмом ГОСТ-2012:
$ openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:TCA -out ca.key
Пример создания сертификата на 365 дней (ca.cer):
$ openssl req -new -x509 -md_gost12_256 -days 365 -key ca.key -out ca.cer \
  -subj "/C=RU/ST=Russia/L=Moscow/O=SuperPlat/OU=SuperPlat CA/CN=SuperPlat CA Root"
Проверка сертификата (ca.cer):
$ openssl x509 -in ca.cer -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            70:66:39:34:7b:4b:55:52:89:64:83:66:1c:63:ff:fb:90:2e:2e:3b
        Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
        Issuer: C = RU, ST = Russia, L = Moscow, O = SuperPlat, OU = SuperPlat CA, CN = SuperPlat CA Root
        Validity
            Not Before: Jun 15 10:08:24 2020 GMT
            Not After : Jun 15 10:08:24 2021 GMT
        Subject: C = RU, ST = Russia, L = Moscow, O = SuperPlat, OU = SuperPlat CA, CN = SuperPlat CA Root
        Subject Public Key Info:
            Public Key Algorithm: GOST R 34.10-2012 with 256 bit modulus
                Public key:
                   X:24529B83573322D0F2B5A75DD20D31DCD3B84AA7E69AF5035E228AC46705798A
                   Y:3E4F9142B640EBCAA8C76A6EE13B431E452337ADC10E52D3E4D3E8C9745AAE16
                Parameter set: GOST R 34.10-2012 (256 bit) ParamSet A
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                BD:E6:E8:74:62:82:EE:F1:9F:FE:C1:48:73:A1:F3:0B:E0:4C:D2:0F
            X509v3 Authority Key Identifier:
                keyid:BD:E6:E8:74:62:82:EE:F1:9F:FE:C1:48:73:A1:F3:0B:E0:4C:D2:0F

            X509v3 Basic Constraints:
                CA:TRUE
    Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
         2d:6c:71:78:da:fe:9c:70:75:81:82:c5:4e:1e:10:19:8a:bb:
         9f:12:6a:02:6c:d5:12:43:20:3e:01:4f:b1:a2:13:ba:44:11:
         b5:e6:9d:82:49:98:f5:24:49:c4:fb:ff:a2:ea:18:0a:72:57:
         d7:7b:cc:6a:66:0b:d8:7e:2a:10

Глава 66. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012

В ОС Альт Рабочая станция K реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012.

66.1. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в ЦУС

Для измения типа хеша по умолчанию на ГОСТ Р 34.11-2012 необходимо в Центре управления системой перейти в раздел СистемаНастройки безопасности.
В открывшемся окне следует отметить пункт Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012 и нажать кнопку Применить:
Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012
Проверить настройку можно, установить пароль пользователю и выполнив команду:
# passwd <имя пользователя>
# passwd -S <имя пользователя>
Password set, gost-yescrypt encryption.

66.2. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в консоли

Просмотреть тип хеша пароля пользователя:
# passwd -S <имя>
Пример ожидаемого результата:
# passwd -S root
Password set, yescrypt encryption.
Изменить типа хеша по умолчанию на gost-yescrypt:
# control tcb-hash-prefix gost_yescrypt
Установить пароль пользователю:
# passwd <имя пользователя>
Проверка:
# passwd -S <имя пользователя>
Password set, gost-yescrypt encryption.
Список возможных хэш-функций можно вывести, выполнив команду:
# control tcb-hash-prefix help
bcrypt_2b: prefix=$2b$ count=8 (4 - 31 limit)
bcrypt_2y: prefix=$2y$ count=8 (4 - 31 limit)
bcrypt_2a: prefix=$2a$ count=8 (4 - 31 limit)
yescrypt: prefix=$y$ count=8 (0 - 11 limit)
scrypt: prefix=$7$ count=8 (0 - 11 limit)
gost_yescrypt: prefix=$gy$ count=8 (0 - 11 limit)
sha256: prefix=$5$ count=10000 (1000 - 100000 limit)
sha512: prefix=$6$ count=10000 (1000 - 100000 limit)
default: hash prefix managed by libcrypt
Текущее значение хэш-функции:
# control tcb-hash-prefix
gost_yescrypt
Изменить типа хеша на установленный по умолчанию:
# control tcb-hash-prefix default

Глава 67. Подпись и проверка ЭЦП ГОСТ

Для создания и проверки электронной подписи в Альт Рабочая станция K можно использовать программу ALT CSP КриптоПро (Подпись и проверка ЭЦП ГОСТ). Возможности ALT CSP КриптоПро:
  • создание электронной подписи (отсоединённой и присоединённой);
  • создание электронной подписи в zip-контейнере;
  • проверка электронной подписи;
  • просмотр содержимого zip-контейнера с документом и электронной подписью.

Примечание

Для работы ALT CSP КриптоПро должно быть установлено программное обеспечение КриптоПро.
Также у вас должен существовать контейнер с сертификатом (в локальном считывателе или на токене).

67.1. Запуск

Запустить ALT CSP КриптоПро можно:
  • из меню рабочей среды: Меню запуска приложенийСистемаALT CSP КриптоПро (Подпись и проверка ЭЦП ГОСТ);
  • из контекстного меню файла в файловом менеджере Dolphin (ДействияПодписать документ):
    Контекстное меню файла в файловом менеджере Dolphin
  • из меню LibreOffice (ФайлЭлектронная подпись):
    Запуск ALT CSP КриптоПро из меню «Файл» LibreOffice
  • из командной строки:
    $ alt-csp-cryptopro
    

67.2. Создание электронной подписи

67.2.1. Отсоединённая подпись

Особенности отсоединённой электронной подписи:
  • файл подписи создается отдельно от подписываемого файла (подписываемый документ остается неизменным);
  • для проверки подписи нужно передавать два файла — исходный документ и файл подписи;
  • нет ограничения по формату подписываемых документов.
Для создания отсоединённой подписи следует на вкладке Подпись, в разделе Документ нажать кнопку Выбрать и выбрать электронный документ. Нажав кнопку Просмотреть, можно просмотреть содержимое электронного документа.
Выбор документа для создания электронной подписи

Примечание

Документ будет выбран автоматически, если программа была запущена из контекстного меню файла.
Далее следует выбрать сертификат, которым будет подписан документ.
В выпадающем списке Кодировка можно выбрать кодировку подписи: base64 (по умолчанию) или DER. В выпадающем списке Расширение можно задать расширение файла цифровой подписи: p7b (по умолчанию), sig или .sign.
Название файла цифровой подписи по умолчанию будет сформировано путём добавления к имени файла информации о текущей дате и времени: гг-мм-дд_чч-мм-сс_<ИМЯ_ФАЙЛА>.p7b. При необходимости это имя можно откорректировать вручную или вернуть к виду по умолчанию, нажав кнопку Создать имя.
Для генерации электронной подписи следует нажать кнопку Подписать.
В открывшемся окне необходимо ввести пароль на контейнер, если он был установлен, и нажать кнопку ОК.
В результате успешного создания электронной подписи в поле Результат появится сообщение Ошибок не обнаружено. Сформированный файл подписи по умолчанию будет сохранен в тот же каталог, в котором находится файл с исходными данными.
ALT CSP КриптоПро позволяет объединить электронный документ и соответствующую ему электронную подпись в zip-архив (<ИМЯ_ФАЙЛА>.signed.zip). Для создания zip-архива необходимо при создании электронной подписи нажать кнопку Подписать и сжать. В результате создания электронной подписи, будет сформирован zip-архив, в который будут перемещены файл электронного документа и файл электронной подписи.

67.2.2. Присоединённая подпись

Присоединённая подпись — разновидность электронной подписи, при создании которой формируется файл, содержащий как саму электронную подпись, так и исходный документ. Отправлять для проверки подписи нужно будет только этот файл. Для проверки и прочтения такого документа должно быть установлено ПО, поддерживающее работу с прикрепленной подписью.
Для создания присоединённой подписи необходимо при создании электронной подписи в разделе Подпись установить отметку в поле Присоединённая подпись. В том же каталоге, в котором хранился исходный документ, появится файл, содержащий как саму электронную подпись, так и исходный документ (в данном примере 21-10-25_19-39-06_test.pdf.p7b).
Создание присоединённой подписи

Примечание

Пример извлечения файла с данными из файла электронной подписи:
$ cryptcp -verify 21-10-25_19-39-06_test.pdf.p7b test_new.pdf
В файл test_new.pdf будут извлечены данные.

67.3. Проверка электронной подписи

Проверка электронной подписи выполняется во вкладке Проверка.

67.3.1. Отсоединённая подпись

Для проверки отсоединённой электронной подписи нужны оба файла: файл подписи и файл исходного документа. Для проверки подписи необходимо нажать кнопку Выбрать и выбрать электронный документ. Далее следует выбрать подпись, нажав кнопку Выбрать в секции Подпись и выбрать файл электронной подписи. После появления имени подписи в секции Подпись необходимо нажать кнопку Проверить:
Проверка электронной подписи

Примечание

Если программа ALT CSP КриптоПро была запущена из контекстного меню файла, документ будет выбран автоматически. Если программа была запущена из контекстного меню файла электронной подписи, подпись и документ будут выбраны автоматически.
Для проверки электронной подписи в контейнере достаточно выбрать zip-архив (документ и подпись будут выбраны автоматически) и нажать кнопку Проверить.
Проверка электронной подписи в zip-архиве

67.3.2. Присоединённая подпись

Для проверки присоединённой электронной подписи необходимо выбрать электронный документ и нажать кнопку Проверить.
Проверка присоединённой электронной подписи

67.4. Проверка электронной подписи в PDF-файле

Для проверки электронной подписи необходимо открыть PDF-файл, содержащий подпись, в Okular.
PDF-файл, содержащий ЭП в Okular
Если текущий документ имеет подписи, после открытия документа над просмотром страницы появится панель с информацией об этом, а также с кнопкой Показать панель подписей. На панели Подписи можно проверить подпись документа:
Панель подписей в Okular
Если документ содержит штамп ЭП, то для его проверки необходимо включить отображение форм (ВидПоказывать формы или кнопка Показать формы на панели с информацией) и затем щелкнуть левой кнопкой мыши на штампе. Появится окно Свойства подписи:
Свойства подписи

Примечание

Это же окно можно вызвать из контекстного меню подписи на панели подписей (пункт Свойства).

Важно

Если при проверке не удаётся проверить некоторые из подписей, необходимо проверить правильность цепочки сертификатов и установить недостающие.
Не удалось проверить некоторые из подписей

Глава 68. Управление шифрованными разделами

Примечание

Зашифрованный раздел может быть создан, например, при установке системы см. «Создание шифрованных разделов»
В LUKS для одного зашифрованного раздела используются восемь слотов, в каждом из которых может храниться отдельный пароль (ключ). Любой из восьми ключей может быть использован для расшифровки раздела. Любой пароль может быть изменён или удалён необратимо.
Для управления шифрованными разделами можно воспользоваться командой cryptsetup. Ниже описаны лишь некоторые возможности утилиты cryptsetup. Для получения более подробной информации используйте команду man cryptsetup.
Просмотреть текущее состояние всех слотов:
# cryptsetup luksDump /dev/sdb1 | grep Slot
Key Slot 0: DISABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
где /dev/sdb1 — шифрованный раздел.

Примечание

Определить является ли устройство LUKS-разделом:
# cryptsetup isLuks -v /dev/sdb1
Команда выполнена успешно.
Определить какой раздел является шифруемым:
# lsblk
NAME                                          MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0   18G  0 disk
├─sda1                                          8:1    0 1023M  0 part  [SWAP]
└─sda2                                          8:2    0   17G  0 part  /
sdb                                             8:16   0   18G  0 disk
└─sdb1                                          8:17   0   18G  0 part
  └─luks-7853363d-e7e2-1a42-b5b9-0af119e19920 253:0    0   18G  0 crypt /home
sr0                                            11:0    1 1024M  0 rom
Добавить новый пароль на зашифрованный раздел (требуется предоставить уже имеющийся пароль интерактивно или посредством опции --key-file):
# cryptsetup luksAddKey /dev/sdb1
Введите любую существующую парольную фразу:
Введите новую парольную фразу для слота ключа:
Парольная фраза повторно:
Пароль будет назначен в первый свободный слот:
# cryptsetup luksDump /dev/sdb1 | grep Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Можно указать номер определенного слота с помощью опции --key-slot, например:
# cryptsetup luksAddKey /dev/sdb1 --key-slot 5
Заменить один из паролей на другой (старый пароль нужно ввести интерактивно или задать опцией --key-file):
# cryptsetup luksChangeKey /dev/sdb1
Введите изменяемую парольную фразу:
Введите новую парольную фразу:
Парольная фраза повторно:
Если задан номер слота (опцией --key-slot), нужно ввести старый пароль именно для заданного слота, и замена пароля произойдёт тоже в этом слоте. Если номер слота не задан и есть свободный слот, то сначала новый пароль будет записан в свободный слот, а потом будет затёрт слот, содержащий старый пароль. Если свободных слотов не окажется, то новый пароль будет записан прямо в слот, ранее содержащий старый пароль.
Удалить заданный пароль (затирает слот):
# cryptsetup luksRemoveKey /dev/sdb1
Введите удаляемую парольную фразу:

Важно

В пакетном режиме (-q) удаление даже последнего пароля будет выполнено без каких-либо предупреждений. Если ни одного пароля не останется (то есть все слоты ключей будут пусты), дешифровать LUKS-раздел станет невозможно.
Сброс забытого пароля на зашифрованный раздел:
  1. Получить зашифрованные пароли всех разделов:
    # dmsetup table --showkey
    luks-7853363d-e7e2-1a42-b5b9-0af119e19920: 0 37730304 crypt aes-cbc-essiv:sha256 b15c22e8d60a37bcd27fb438637a8221fbec66c83be46d33a8331a4002cf3144 0 8:17 4096
    
    Часть поля после «aes-cbc-essiv:sha256» является зашифрованным паролем.
    Сохранить зашифрованный пароль в текстовый файл:
    # echo "b15c22e8d60a37bcd27fb438637a8221fbec66c83be46d33a8331a4002cf3144" > lukskey.txt
    
  2. Преобразовать существующий пароль из текстового файла в двоичный файл:
    # xxd -r -p lukskey.txt lukskey.bin
    luks-7853363d-e7e2-1a42-b5b9-0af119e19920: 0 37730304 crypt aes-cbc-essiv:sha256 b15c22e8d60a37bcd27fb438637a8221fbec66c83be46d33a8331a4002cf3144 0 8:17 4096
    
  3. Добавить новый пароль, используя существующий пароль, извлеченный в бинарный файл:
    # cryptsetup luksAddKey /dev/sdb1 --master-key-file <(cat lukskey.bin)
    Введите новую парольную фразу для слота ключа:
    Парольная фраза повторно:
    

Важно

Сбросить пароль на зашифрованный раздел можно, только если данный раздел уже примонтирован.

Глава 69. Резервное копирование (timeshift)

Timeshift — программа для автоматического периодического создания копий системы (снимков/snapshots).
Timeshift предназначен прежде всего для создания снимков системных файлов и настроек. Пользовательские данные по умолчанию не архивируются поэтому в случае сбоя системы, восстанавливаются системные файлы, а данные пользователей остаются в актуальном состоянии (конечно, если они не были повреждены).
Резервные копии не могут быть восстановлены на уровне отдельных файлов, восстановление всегда происходит в полном объеме настроек Timeshift.
Должен быть установлен пакет timeshift:
# apt-get install timeshift
Запустить Timeshift можно из Меню запуска приложенийСистемаTimeshift (Программа для восстановления системы) или из командной строки:
$ timeshift-launcher

Примечание

Потребуется ввести пароль пользователя, входящего в группу wheel.
При первом запуске будет запущен мастер установки. Запустить мастер установки или открыть окно настроек резервного копирования также можно, нажав соответствующую кнопку на панели инструментов в окне программы Timeshift:
Интерфейс Timeshift

69.1. Настройка резервного копирования

69.1.1. Режим RSYNC

Особенности режима RSYNC:
  • снимки создаются путём копирования системных файлов при помощи rsync и создания жёстких ссылок на неизмененные файлы из предыдущего снимка;
  • все файлы копируются при создании первого снимка. Последующие снимки являются инкрементальными. Неизменные файлы будут связаны с предыдущим снимком, если он доступен;
  • создание первого снимка может занять до 10 минут;
  • системный раздел может быть отформатирован в любой файловой системе. Резервный раздел может быть отформатирован в любой файловой системе Linux, поддерживающей жеские сслыки. Сохранение снимков на несистемный или внешний диск позволяет восстановить систему, даже если системный диск повреждён;
  • можно задать исключения для файлов и каталогов для экономии дискового пространства;
  • систему необходимо перезагрузить после восстановления снимка.
Тип снимков RSYNC можно выбрать на вкладке Тип окна настроек Timeshift (или на первом шаге работы мастера установки):
Выбор режима RSYNC
RSYNC cнимки имеют большой размер, поэтому желательно хранить их на другом диске или разделе. По умолчанию снимки сохраняются в системном (корневом) разделе в каталоге /timeshift.
Выбрать место, где будут храниться снимки, можно на вкладке Место:
Выбор места хранения снимков RSYNC
На вкладке Расписание следует выбрать уровни создания снимков (ежемесячно, еженедельно, ежедневно, ежечасно, при загрузке) и указать количество сохраняемых снимков для каждого уровня:
Расписание для снимков RSYNC

Примечание

Снимки уровня Загрузка создаются при каждом запуске системы (с задержкой в 10 минут). Они выполняются в фоне и не влияют на скорость загрузки системы.
На вкладке Фильтры можно выборочно указать, какие файлы/каталоги включать/исключать из резервного копирования (динамические каталоги исключаются по умолчанию: /dev, /proc, …):
Timeshift. Вкладка Фильтры
В данном примере из резервной копии будут исключены все файлы mp3, все системные журналы, кроме журналов веб-сервера Apache. Просмотреть итоговый список исключений можно, нажав кнопку Кратко.
Отредактировать шаблон можно дважды щелкнув левой кнопкой мыши по строке шаблона.

69.1.2. Режим BTRFS

Особенности режима BTRFS:
  • снимки создаются с использованием встроенных средств файловой системы BTRFS;
  • снимки создаются и восстанавливаются мгновенно (создание снимков — это атомарная транзакция на уровне файловой системы);
  • снимки восстанавливаются путём замены системных подразделов. Поскольку файлы никогда не копируются, не удаляются и не перезаписываются, риск потери данных отсутствует. Существующая система сохраняется как новый снимок после восстановления;
  • снимки сохраняются на том же диске, с которого они созданы (системном диске). Хранение на других дисках не поддерживается. Если системный диск выйдет из строя, снимки, хранящиеся на нём, будут потеряны вместе с системой;
  • нет возможности исключать файлы и каталоги;
  • размер снимков BTRFS изначально равен нулю. При изменении системных файлов, данные записываются в новые блоки данных, которые занимают дисковое пространство (копирование при записи). Файлы в снимке продолжают указывать на исходные блоки данных;
  • ОС должна быть установлена на раздел BTRFS с разбивкой на подразделы @ и @home. Другие виды разделов не поддерживаются;
  • снимки можно восстановить без немедленной перезагрузки запущенной системы.
Тип снимков BTRFS можно выбрать на вкладке Тип окна настроек Timeshift (или на первом шаге работы мастера установки):
Выбор режима BTRFS
Снимки BTRFS сохраняются в системном разделе. Другие разделы не поддерживается:
Выбор места хранения снимков BTRFS
На вкладке Расписание следует выбрать уровни создания снимков (ежемесячно, еженедельно, ежедневно, ежечасно, при загрузке) и указать количество сохраняемых снимков для каждого уровня:
Расписание для снимков BTRFS
По умолчанию домашние каталоги пользователей не включаются в резервную копию. На вкладке Пользователи можно изменить это поведение и включить подраздел @home в создаваемые снимки:
Включить подраздел @home в создаваемые снимки

69.2. Создание снимков

Снимки будут создаваться автоматически согласно настроенному расписанию.
Для создания снимка в ручном режиме следует нажать кнопку Создать на панели инструментов. Пример создание снимка в режиме RSYNC:
Создание снимка в режиме RSYNC

69.3. Восстановление системы

Снимки можно восстановить как из работающей системы (оперативное восстановление), так и из другой системы, на которой установлен Timeshift (автономное восстановление).
Для восстановления снимка следует выбрать снимок в главном окне и нажать кнопку Восстановить.
При восстановлении снимка в режиме RSYNC после нажатия кнопки Восстановить можно выбрать устройство, куда будут восстановлены файлы, указать нужно ли переустанавливать GRUB (кнопка Параметры загрузчика):
Восстановление снимка в режиме RSYNC
На следующем шаге будут показаны файлы, которые будут созданы/восстановлены/удалены в процессе восстановления снимка (только в режиме RSYNC):
Восстановление снимка в режиме RSYNC

Примечание

Если основная система не загружается, можно загрузиться с установочного диска в режиме LiveCD, установить Timeshift, на вкладке Место указать расположение снимков и восстановить снимок в основной системе:
Восстановление снимка в LiveCD

Глава 70. Создание ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015

70.1. Настройка сервера ssh

Примечание

Установить пакеты openssh-gostcrypto, openssh-clients-gostcrypto, openssh-server-gostcrypto, openssh-server-control-gostcrypto, openssh-common-gostcrypto, openssh-askpass-common-gostcrypto:
# apt-get install openssh-gostcrypto openssh-clients-gostcrypto openssh-server-gostcrypto openssh-server-control-gostcrypto openssh-common-gostcrypto openssh-askpass-common-gostcrypto
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
  NetworkManager-ssh kde5-network-manager-4-nm openssh
  openssh-askpass-common openssh-clients openssh-common openssh-server
  openssh-server-control plasma5-nm-connect-ssh plasma5-nm-maxi
Следующие НОВЫЕ пакеты будут установлены:
  openssh-askpass-common-gostcrypto openssh-clients-gostcrypto
  openssh-common-gostcrypto openssh-gostcrypto
  openssh-server-control-gostcrypto openssh-server-gostcrypto
ВНИМАНИЕ: Будут удалены важные для работы системы пакеты
Обычно этого делать не следует. Вы должны точно понимать возможные последствия!
  openssh-server openssh-server-control (по причине
  openssh-server)
0 будет обновлено, 6 новых установлено, 10 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 1190kB архивов.
После распаковки будет освобождено 154kB дискового пространства.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.
 Yes, do as I say!
Список поддерживаемых алгоритмов защитного преобразования:
$ ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
grasshopper-cbc@altlinux.org
grasshopper-ctr@altlinux.org
magma-cbc@altlinux.org
magma-ctr@altlinux.org
Список поддерживаемых алгоритмов выработки имитовставки:
$ ssh -Q mac
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
umac-64@openssh.com
umac-128@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
grasshopper-mac@altlinux.org
hmac-gostr3411-2012-256@altlinux.org
hmac-streebog-256@altlinux.org
hmac-gostr3411-2012-512@altlinux.org
hmac-streebog-512@altlinux.org
hmac-gostr3411-2012-256-etm@altlinux.org
hmac-streebog-256-etm@altlinux.org
hmac-gostr3411-2012-512-etm@altlinux.org
hmac-streebog-512-etm@altlinux.org
Настройки сервера ssh находятся в файле /etc/openssh/sshd_config.
Добавить в файл /etc/openssh/sshd_config строки (набор допустимых алгоритмов, в порядке убывания приоритета):
Ciphers grasshopper-ctr@altlinux.org
MACs grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Перезапустить службу sshd:
# service sshd restart

70.2. Настройка клиента ssh

Примечание

Установить пакеты openssh-gostcrypto, openssh-clients-gostcrypto, openssh-server-gostcrypto, openssh-server-control-gostcrypto, openssh-common-gostcrypto, openssh-askpass-common-gostcrypto:
# apt-get install openssh-gostcrypto openssh-clients-gostcrypto openssh-server-gostcrypto openssh-server-control-gostcrypto openssh-common-gostcrypto openssh-askpass-common-gostcrypto
Настройки клиентской части ssh делятся на глобальные и пользовательские. Глобальные клиентские настройки находятся в файле /etc/openssh/ssh_config и применяются ко всем пользователям. Пользовательские настройки находятся в домашнем каталоге пользователя, в ~/.ssh/config и применяются к одному пользователю.
Добавить в конец файла /etc/openssh/ssh_config строки:
Ciphers grasshopper-ctr@altlinux.org
MACs grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Выполнить подключение к серверу:
$ ssh <пользователь@сервер>

Примечание

Если при выполнении подключения использовать опцию -v для вывода отладочной информации, то используемый для подключения метод защитного преобразования будет отображен в выводе:
$ ssh -v <пользователь@сервер>
...
debug1: kex: server->client cipher: grasshopper-ctr@altlinux.org MAC: grasshopper-mac@altlinux.org compression: none
debug1: kex: client->server cipher: grasshopper-ctr@altlinux.org MAC: grasshopper-mac@altlinux.org compression: none
...

70.3. Пример подключения к серверу ssh

Примечание

Порядок применения пользовательских настроек ssh: высший приоритет имеют ключи командной строки, затем следуют настройки пользователя, а после них используются глобальные настройки клиентской части.
Зайти на сервер по ssh:
$ ssh <пользователь@сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Пробросить порт с сервера на локальную машину (для демонстрации туннеля):
$ ssh <пользователь@сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org -L 127.0.0.1:2222:127.0.0.1:22
Зайти на тот же сервер через туннель (в другом окне терминала):
$ ssh <пользователь>@127.0.0.1 -p 2222 -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org

Глава 71. Создание защищенных VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015

Примечание

Для возможности использования ГОСТ алгоритмов шифрования и хэширования должна быть включена Поддержка шифрования по ГОСТ в OpenSSL.

71.1. Настройка в ЦУС

Выполнить настройку сервера OpenVPN-сервера (см. Соединение удалённых офисов (OpenVPN-сервер)).
Выбрать алгоритмы шифрования и алгоритм хэширования. По умолчанию OpenVPN автоматически подбирает алгоритм шифрования, не учитывая алгоритм, заданный в поле Алгоритм шифрования, поэтому необходимо отметить пункт Отключить согласование алгоритмов шифрования (NCP):
Настройка OpenVPN-сервера
На стороне клиента, необходимо указать алгоритмы шифрования, такие же как и на стороне сервера:
Создание нового OpenVPN-соединения
Проверка подключения на стороне сервера:
# journalctl -f| grep openvpn
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 TLS: Initial packet from [AF_INET]192.168.0.40:55060, sid=e4838b57 7b21a97c
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 VERIFY OK: depth=1, C=RU, O=MyOrg, OU=MyOrg Certification Authority, CN=MyOrg Root Certification Authority
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 VERIFY OK: depth=0, CN=comp01.example.test
...
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 Outgoing Data Channel: Cipher 'grasshopper-cbc' initialized with 256 bit key
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 Outgoing Data Channel: Using 128 bit message hash 'grasshopper-mac' for MAC authentication
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 Incoming Data Channel: Cipher 'grasshopper-cbc' initialized with 256 bit key
июн 15 11:22:05 dc.test.alt openvpn[36553]: 192.168.0.40:55060 Incoming Data Channel: Using 128 bit message hash 'grasshopper-mac' for MAC authentication

71.2. Настройка в командной строке

71.2.1. Создание ключей для OpenVPN туннеля средствами утилиты openssl

Для генерации всех необходимых ключей и сертификатов необходимо выполнить следующие действия:
  1. Изменить значение параметра policy в файле /var/lib/ssl/openssl.cnf для возможности подписывать любые сертификаты:
    policy = policy_anything
    
  2. Создать каталоги:
    # mkdir -p /root/CA/demoCA
    # cd /root/CA
    # mkdir -p ./demoCA/newcerts
    
    Создать файл базы с действующими и отозванными сертификатами:
    # touch ./demoCA/index.txt
    
    Создать файл индекса для базы ключей и сертификатов:
    # echo '01' > ./demoCA/serial
    
    Создать файл индекса для базы отозванных сертификатов:
    # echo '01' > ./demoCA/crlnumber
    
  3. Создать «самоподписанный» сертификат my-ca.crt и закрытый ключ my-ca.pem, которыми будут заверяться/подписываться ключи и сертификаты клиентов, желающих подключиться к серверу, с помощью следующей команды:
    # openssl req -new -x509 -keyout my-ca.pem -out my-ca.crt
    
    Ввести пароль для закрытого ключа и ответить на запросы о владельце ключа.
  4. Создать пару «ключ-сертификат» для сервера и каждого клиента, желающего подключиться к серверу. Для этого, сгенерировать ключ и запрос на сертификат для сервера:
    # openssl req -new -nodes -keyout server.pem -out server.crs
    
    Подписать запрос на сертификат своим «самоподписанным» my-ca.crt сертификатом и ключом my-ca.pem с помощью следующей команды:
    # openssl ca -cert my-ca.crt -keyfile my-ca.pem -days 3650 -in server.crs -out server.crt
    
    Сгенерировать ключ и запрос на сертификат для клиента:
    # openssl req -new -nodes -keyout client.pem -out client.crs
    
    Подписать запрос на сертификат своим my-ca.crt сертификатом и ключом my-ca.pem:
    # openssl ca -cert my-ca.crt -keyfile my-ca.pem -days 365 -in client.crs -out client.crt
    
  5. Задать параметры Диффи-Хеллмана для сервера:
    # openssl dhparam -out server.dh 2048
    
  6. Разместить ключи и сертификаты в каталогах сервера и клиента следующим образом:
    • my-ca.pem — только для подписи сертификатов (лучше хранить на отдельном от OpenVPN сервера компьютере);
    • my-ca.crt, server.crt, server.dh, server.pem — для сервера OpenVPN;
    • my-ca.crt, client.crt, client.pem — для клиента OpenVPN.
  7. Для новых клиентов создать новые ключи и отдать комплектом my-ca.crt, новый_сертификат.crt, новый_ключ.pem.
Для создания списка отзыва сертификатов необходимо выполнить следующие действия:
  1. Выполнить следующую команду:
    # openssl ca -cert my-ca.crt -keyfile my-ca.pem -gencrl -out crl.pem
    
  2. Отозвать сертификат user_1.crt:
    # openssl ca -cert my-ca.crt -keyfile my-ca.pem -revoke user_1.crt -out crl.pem
    
  3. Обновить список (обязательно после каждого отзыва сертификата):
    # openssl ca -cert my-ca.crt -keyfile my-ca.pem -gencrl -out crl.pem
    
  4. Просмотреть crl.pem:
    # openssl crl -noout -text -in crl.pem
    
  5. Поместить файл crl.pem в каталог /var/lib/openvpn.

71.2.2. Настройка сервера OpenVPN

Файл конфигурации должен быть размещен в /etc/openvpn/, все ключи – в /etc/openvpn/keys, файлы настроек клиентов – в /etc/openvpn/ccd/ или /var/lib/openvpn/etc/openvpn/ccd/.
Ранее созданные ключи и сертификаты необходимо перенести в каталог /etc/openvpn/keys/.
Важно правильно указать права доступа. Ключи должны быть доступны только администратору, конфигурации клиентов должны быть доступны на чтение пользователю openvpn.
Каждый файл конфигурации по маске /etc/openvpn/*.conf является конфигурацией отдельного экземпляра демона openvpn.

Примечание

Для настройки OpenVPN сервера можно использовать образец файла конфигурации OpenVPN, для этого следует скопировать файл /usr/share/doc/openvpn-gostcrypto-2.4.9/server.conf в каталог /etc/openvpn/ (номер версии в названии каталога может быть другим).
В файле конфигурации должны быть указаны:
  • ifconfig-pool-persist и status — без полного пути либо с путем /cache/;
  • ca, dh, cert, key — с путем /etc/openvpn/keys/;
  • client-config-dir /etc/openvpn/ccd;
  • ncp-disable — для возможности использования шифра отличного от AES-256-GCM.
Пример конфигурации:
# cat /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/my-ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.pem
dh /etc/openvpn/keys/server.dh
comp-lzo
server 10.8.0.0 255.255.255.0
tls-server
cipher grasshopper-cbc
tls-cipher GOST2012-GOST8912-GOST8912
ncp-disable
verb 3
mute 10
keepalive 10 60
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
ifconfig-pool-persist server_ipp.txt
verb 3
client-to-client
management localhost 1194
push "route 192.168.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.0.122"
;client-config-dir /etc/openvpn/ccd
Ключи и сертификаты необходимо перенести в каталог /etc/openvpn/keys/.
Запустить сервер OpenVPN:
# openvpn /etc/openvpn/server.conf

71.2.3. Настройка VPN-подключения по протоколу OpenVPN в Network Manager

Для настройки VPN-подключения по протоколу OpenVPN в Network Manager, следует выполнить следующие действия:
  1. Открыть окно настроек Управление сетью, нажав кнопку Настроить сетевые соединения в области уведомлений.
  2. Добавить новое сетевое соединение (кнопка Добавить новое соединение):
    кнопка Добавить новое соединение
  3. В списке выбора типа соединения выбрать пункт OpenVPN и нажать кнопку Создать:
    Добавить новое соединение OpenVPN

    Примечание

    Если имеется файл конфигурации клиента, в списке выбора типа соединения можно выбрать пункт Импортировать VPN соединение и указать этот файл, параметры соединения будут настроены согласно этому файлу.
  4. Указать IP-адрес OpenVPN сервера, сертификат УЦ, приватный ключ и сертификат пользователя:
    Сгенерированные ключи и сертификаты
  5. Нажать кнопку Дополнительно чтобы указать параметры подключения. Настройки соединения находятся на разных вкладках, например на вкладке Защита можно указать алгоритм шифрования:
    Параметры подключения
  6. Сохранить сделанные изменения, нажав кнопку ОК и затем Применить.
  7. Выполнить подключение:
    Подключение к сети VPN
Выполнить настройку OpenVPN клиента можно также в командной строке. Для этого:
  • скопируйте файл /usr/share/doc/openvpn-gostcrypto-2.4.9/client.conf в каталог /etc/openvpn/;
  • скопируйте ранее сгенерированные ключи и сертификаты в каталог /etc/openvpn/keys/ и укажите их в /etc/openvpn/client.conf;
  • в файле /etc/openvpn/client.conf в поле remote укажите IP-адрес OpenVPN сервера, другие параметры приведите в соответствие с настройками сервера, например:
    remote 192.168.0.102 1194
    ca /etc/openvpn/keys/my-ca.crt
    cert /etc/openvpn/keys/client.crt
    key /etc/openvpn/keys/client.pem
    #remote-cert-tls server
    cipher grasshopper-cbc
    tls-cipher GOST2012-GOST8912-GOST8912
    
  • запустите клиент OpenVPN:
    # openvpn /etc/openvpn/client.conf
    

Глава 72. Поддержка файловых систем

Файловая система представляет из себя набор правил, определяющих то, как хранятся и извлекаются документы, хранящиеся на устройстве
Проверка поддержки файловых систем ext2, ext3, ext4, iso9660, fat16, fat32, ntfs:
  1. Создать раздел объемом менее 4 Гбайт на flash-накопителе (например, /dev/vdс1).
  2. Для создания iso файла установить пакет genisoimage:
    # apt-get install genisoimage
    
  3. Создать директорию /mnt/filesystem, в которую будет монтироваться раздел:
    # mkdir /mnt/filesystem
    
  4. Отформатировать раздел в проверяемую файловую систему:
    • для ext2:
      # mkfs.ext2 /dev/vdc1
      
    • для ext3:
      # mkfs.ext3 /dev/vdc1
      
    • для ext4:
      # mkfs.ext4 /dev/vdc1
      
    • для fat16:
      # mkfs.fat -F 16 /dev/vdc1
      
    • для fat32:
      # mkfs.fat -F 32 /dev/vdc1
      
    • для ntfs:
      # mkfs.ntfs /dev/vdc1
      
    • для iso9660 — создать iso-файл из каталога /etc:
      # mkisofs -r -jcharset koi8-r -o /root/cd.iso /etc
      
  5. Для проверки поддержки файловых систем ext2, ext3, ext4, fat16, fat32, ntfs:
    • примонтировать раздел с файловой системой в каталог /mnt/filesystem:
      # mount /dev/vdc1 /mnt/filesystem
      
    • проверить возможность записи файла на текущую файловую систему:
      # echo test_content > /mnt/filesystem/test.fs
      
      проверить командой:
      # ls -l /mnt/filesystem/test.fs
      -rw-r--r--. 1 root root 13 май 23 20:10 /mnt/filesystem/test.fs
      
    • проверить возможность чтения файла с текущей файловой системой:
      # cat /mnt/filesystem/test.fs
      
  6. Для проверки поддержки файловой системы iso9660 смонтировать созданный iso файл в каталог /mnt/filesystem/ (файл образа диска будет примонтирован в режиме «только для чтения»):
    # mount -o loop,ro /root/cd.iso /mnt/filesystem/
    

Глава 73. Поддержка сетевых протоколов

73.1. SMB

Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части.

73.1.1. Создание ресурсов общего доступа от имени обычного пользователя

Создание ресурсов общего доступа от имени обычного пользователя и подключение к ним рассмотрено в разделе Создание ресурсов общего доступа.

73.1.2. Автоподключение сетевых ресурсов Samba

Подключение рассмотрено в разделе Подключение файловых ресурсов.

73.2. Использование NFS

Подключение к NFS-серверу можно производить как вручную, так и настроив автоматическое подключение при загрузке.
Для ручного монтирования необходимо:
  • создать точку монтирования:
    # mkdir /mnt/nfs
    
  • примонтировать файловую систему:
    # mount -t nfs 192.168.0.218:/home /mnt/nfs
    
    где 192.168.0.218 — IP адрес сервера NFS; /mnt/nfs — локальный каталог куда монтируется удалённый каталог;
  • проверить наличие файлов в /mnt/nfs:
    # ls –al /mnt/nfs
    
    Должен отобразиться список файлов каталога /home расположенного на сервере NFS.
Для автоматического монтирования к NFS-серверу при загрузке необходимо добавить следующую строку в файл /etc/fstab:
192.168.0.218:/home  /mnt/nfs   nfs   intr,soft,nolock,_netdev,x-systemd.automount    0 0

Примечание

Прежде чем изменять /etc/fstab, попробуйте смонтировать вручную и убедитесь, что всё работает.

73.3. FTP

73.3.1. Настройка сервера FTP

Установить пакеты vsftpd и anonftp:
# apt-get install vsftpd anonftp
Изменить настройку прав доступа в файле /etc/vsftpd.conf:
local_enable=YES
chroot_local_user=YES
local_root=/var/ftp/
Запустить vsftpd:
# systemctl start vsftpd.socket
Убедиться в нормальной работе FTP-сервера
# netstat -ant | grep 21 
tcp        0      0 :::21                       :::*                        LISTEN
FTP-сервер запущен и принимает соединения на 21 порту.
Создать файл в каталоге /var/ftp/:
# echo "vsftpd test file" > /var/ftp/test.txt

73.3.2. Подключение рабочей станции

Создать подключение по протоколу FTP в графической среде KDE можно в файловом менеджере. Для этого следует нажать Ctrl+l, указать в адресной строке протокол и адрес сервера (ftp://<имя_сервера>) и нажать клавишу Enter:
Создание подключения по протоколу FTP
Должен отобразиться список файлов каталога /var/ftp/, расположенного на сервере FTP:
Файл на FTP сервере

73.4. NTP

73.4.1. Настройка сервера NTP

В качестве NTP сервера/клиента используется сервер времени chrony:
  • chronyd — демон, работающий в фоновом режиме. Он получает информацию о разнице системных часов и часов внешнего сервера времени и корректирует локальное время. Демон реализует протокол NTP и может выступать в качестве клиента или сервера.
  • chronyc — утилита командной строки для контроля и мониторинга программы. Утилита используется для тонкой настройки различных параметров демона, например позволяет добавлять или удалять серверы времени.
Выполнить настройку NTP-сервера можно следующими способами:
  • В ЦУС настроить модуль Дата и время на получение точного времени с NTP сервера и работу в качестве NTP-сервера и нажать кнопку Применить:
    Настройка модуля Дата и время
  • Указать серверы NTP в директиве server или pool в файле конфигурации NTP /etc/chrony.conf:
    allow all #Разрешить NTP-клиенту доступ из локальной сети
    pool pool.ntp.org iburst #параметр iburst используется для ускорения начальной синхронизации
    
    и перезапустить сервис командой:
    # systemctl restart chronyd
    
Убедиться в нормальной работе NTP-сервера, выполнив команду:
# systemctl status chronyd.service

73.4.2. Настройка рабочей станции

Настроить модуль Дата и время на получение точного времени с NTP-сервера (в качестве NTP-сервера указать IP-адрес сервера NTP) и нажать кнопку Применить:
Настройка модуля Дата и время на рабочей станции
Проверить текущие источники времени:
$ chronyc sources
210 Number of sources = 1
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^? 192.168.0.106                3   8     0   23m   +396us[ -803us] +/-   55ms

Проверить статус источников NTP:
$ chronyc activity
200 OK
1 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address

73.5. HTTP(S)

73.5.1. Настройка сервера HTTP

Установить пакет apache2-base:
# apt-get install apache2-base
Запустить httpd2:
# systemctl start httpd2
Убедиться, что служба httpd2 запущена:
# systemctl status httpd2
Создать стартовую страницу для веб-сервера:
# echo "Hello, World" >/var/www/html/index.html

73.5.2. Настройка рабочей станции

Запустить браузер, перейти по адресу http://<ip-сервера>:
Обращение к серверу и получение данных по протоколу http
Также можно выполнить команду:
$ curl http://192.168.0.105
Hello, World
Происходит обращение к серверу и получение данных по протоколу http.

Часть IX. Ограничение действий пользователя

Содержание

74. Ограничение полномочий пользователей
74.1. Ограничение полномочий пользователей по использованию консолей
74.1.1. Настройка ограничения в ЦУС
74.1.2. Настройка ограничения в консоли
74.2. Ограничения ресурсов системы для пользователя
74.2.1. Настройка ограничения в ЦУС
74.2.2. Настройка ограничения в консоли
75. Блокировка макросов в приложениях
76. Модуль AltHa
76.1. Запрет бита исполнения (SUID)
76.1.1. Отключение влияния бита SUID на привилегии порождаемого процесса в ЦУС
76.1.2. Отключение влияния бита SUID на привилегии порождаемого процесса в консоли
76.2. Блокировка интерпретаторов (запрет запуска скриптов)
76.2.1. Блокировка интерпретаторов (запрет запуска скриптов) в ЦУС
76.2.2. Блокировка интерпретаторов (запрет запуска скриптов) в консоли
77. Режим киоск по ограничению запуска программ
77.1. Настройка ограничения в ЦУС
77.2. Управление режимом киоск в консоли

Глава 74. Ограничение полномочий пользователей

74.1. Ограничение полномочий пользователей по использованию консолей

74.1.1. Настройка ограничения в ЦУС

Модуль Центра управления системой Блокировка терминала позволяет ограничить определенным пользователям возможность использования определенных TTY. Модуль является интерфейсом для файла конфигурации /etc/security/access.conf.
Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне Список TTY необходимо отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно Заблокированные TTY и нажать кнопку Применить:
Ограничение полномочий пользователей по использованию консолей

74.1.2. Настройка ограничения в консоли

Чтобы ограничить консольный доступ для пользователей/групп с помощью модуля pam_access.so необходимо внести изменения в файл /etc/security/access.conf.

Примечание

Формат файла /etc/security/access.conf:
permission:users:origins
где
  • permission — знак «+» (плюс) — предоставление доступа, или знак «-» (минус) — отказ в доступе;
  • users — список пользователей или групп пользователей или ключевое слово ALL;
  • origins — список TTY (для локального доступа), имен хостов, доменных имен, IP-адресов, ключевое слово ALL или LOCAL.
Чтобы ограничить доступ для всех пользователей, кроме пользователя root, следует внести следующие изменения:
# vim /etc/security/access.conf
-:ALL EXCEPT root: tty2 tty3 tty4 tty5 tty6
Доступ может быть ограничен для конкретного пользователя:
# vim /etc/security/access.conf
-:user: tty2 tty3 tty4 tty5 tty6
Доступ может быть ограничен для группы, содержащей несколько пользователей:
# vim /etc/security/access.conf
-:group: LOCAL
Далее необходимо сконфигурировать стек PAM для использования модуля pam_access.so для ограничения доступа на основе ограничений, определенных в файле /etc/security/access.conf. Для этого дописать в файл /etc/pam.d/system-auth-local-only строку account required pam_access.so после строки account required pam_tcb.so:
auth            required        pam_tcb.so shadow fork nullok
account         required        pam_tcb.so shadow fork
account         required        pam_access.so
password        required        pam_passwdqc.so config=/etc/passwdqc.conf
password        required        pam_tcb.so use_authtok shadow fork nullok write_to=tcb
session         required        pam_tcb.so

74.2. Ограничения ресурсов системы для пользователя

В файле /etc/security/limits.conf определяются ограничения ресурсов системы для пользователя или группы пользователей. Формат файла:
<domain> <type> <item> <value>
Первое поле (domain) может содержать:
  • имя пользователя;
  • имя группы. Перед именем группы нужно указать символ «@»;
  • символ «*». Данное ограничение будет ограничением по умолчанию.
Второе поле — это тип ограничения: мягкое (soft) или жесткое (hard). Мягкое ограничение определяет число системных ресурсов, которое пользователь все еще может превысить, жесткое ограничение превысить невозможно. При попытке сделать это, пользователь получит сообщение об ошибке.
Элементом ограничения (item) может быть:
  • core — ограничение размера файла core (Кбайт);
  • data — максимальный размер данных (Кбайт);
  • fsize — максимальный размер файла (Кбайт);
  • memlock — максимальное заблокированное адресное пространство (Кбайт);
  • nofile — максимальное число открытых файлов;
  • stack — максимальный размер стека (Кбайт);
  • cpu — максимальное время процессора (минуты);
  • nproc — максимальное число процессов;
  • as — ограничение адресного пространства;
  • maxlogins — максимальное число одновременных регистраций в системе;
  • locks — максимальное число файлов блокировки.

74.2.1. Настройка ограничения в ЦУС

Модуль Центра управления системой Настройки ограничений позволяет задать задать ограничения ресурсов, доступных пользователю или группе пользователей. Модуль является интерфейсом для файла конфигурации /etc/security/limits.conf.
Установка ограничений ресурсов, доступных пользователю
Для задания ограничений для пользователя необходимо указать имя пользователя в поле Домен, выбрать тип ограничения в поле Тип, выбрать ограничение в поле Элемент, задать значение в поле Ограничение и нажать кнопку Добавить. После того как все ограничения добавлены следует нажать кнопку Применить.

74.2.2. Настройка ограничения в консоли

Чтобы установить максимальное число процессов для пользователя user, в файл /etc/security/limits.conf нужно добавить записи:
user soft nproc 50
user hard nproc 60
Первая строка определяет мягкое ограничение (равное 50), а вторая — жесткое.
Следующие строки обеспечат одновременную работу не более 15 пользователей из каждой группы пользователей (group1 и group2):
@group1 - maxlogins 14
@group2 - maxlogins 14
В первом и втором случае из каждой группы пользователей одновременно работать смогут не более 15. При регистрации шестнадцатый пользователь увидит сообщение:
There were too many logins for ' group1'.
Следующая запись ограничит число параллельных сеансов доступа для каждой учетной записи пользователей:
* - maxlogins 5

Глава 75. Блокировка макросов в приложениях

Для того чтобы включить блокировку макросов в приложениях необходимо в Центре управления системой перейти в раздел СистемаНастройки безопасности.
В открывшемся окне следует отметить пункт Блокировать макросы приложений и нажать кнопку Применить:
Блокировка макросов в приложениях
Макросы будут заблокированы.

Глава 76. Модуль AltHa

AltHa — это модуль безопасности Linux, который в настоящее время имеет три варианта защиты пользовательского пространства:
  • игнорировать биты SUID в двоичных файлах (возможны исключения);
  • запретить запуск выбранных интерпретаторов в интерактивном режиме;
  • отключить возможность удаления открытых файлов в выбранных каталогах.

Примечание

Для включения модуля AltHa необходимо передать ядру параметр altha=1.
Для этого в файле /etc/sysconfig/grub2 в строке GRUB_CMDLINE_LINUX_DEFAULT следует добавить опцию: altha=1. Например:
# vim /etc/sysconfig/grub2
...
GRUB_CMDLINE_LINUX_DEFAULT='vga=0x314  quiet resume=/dev/disk/by-uuid/187504b7-7f78-486d-b383-1b638370d3eb panic=30 splash altha=1'
Обновить загрузчик, выполнив команду:
# update-grub
Перезагрузить систему.
Данную настройку можно также выполнить в модуле Настройка загрузчика GRUB2.

76.1. Запрет бита исполнения (SUID)

При включенном подмодуле altha.nosuid, биты SUID во всех двоичных файлах, кроме явно перечисленных, игнорируются в масштабе всей системы.

76.1.1. Отключение влияния бита SUID на привилегии порождаемого процесса в ЦУС

Для включения запрета бита исполнения необходимо в Центре управления системой перейти в раздел СистемаНастройки безопасности.
В открывшемся окне следует отметить пункт Отключить влияние suid бита на привилегии порождаемого процесса и нажать кнопку Применить:
Отключить влияние suid бита на привилегии порождаемого процесса
Исключения это список включенных двоичных файлов SUID, разделённых двоеточиями.

76.1.2. Отключение влияния бита SUID на привилегии порождаемого процесса в консоли

Для включения запрета бита исполнения следует установить значение переменной kernel.altha.nosuid.enabled равным 1:
# sysctl -w kernel.altha.nosuid.enabled=1
И добавить, если это необходимо, исключения (список включенных двоичных файлов SUID, разделенных двоеточиями), например:
# sysctl -w kernel.altha.nosuid.exceptions="/bin/su:/usr/libexec/hasher-priv/hasher-priv"
Проверка состояния режима запрета бита исполнения выполняется командой:
# sysctl -n kernel.altha.nosuid.enabled
1
Результат выполнения команды:
  • 1 — режим включен;
  • 0 — режим выключен.

76.2. Блокировка интерпретаторов (запрет запуска скриптов)

При включении блокировки интерпретаторов блокируется несанкционированное использование интерпретатора для выполнения кода напрямую из командной строки.

76.2.1. Блокировка интерпретаторов (запрет запуска скриптов) в ЦУС

Для включения режима блокировки интерпретаторов необходимо в Центре управления системой перейти в раздел СистемаНастройки безопасности.
В открывшемся окне следует отметить пункт Ограничить запуск интерпретаторов языков программирования в интерактивном режиме и нажать кнопку Применить. Поле Интерпретаторы должно содержать разделённый запятыми список ограниченных интерпретаторов:
Блокировка интерпретаторов

76.2.2. Блокировка интерпретаторов (запрет запуска скриптов) в консоли

Для включения режима блокировки интерпретаторов следует установить значение переменной kernel.altha.rstrscript.enabled равным 1:
# sysctl -w kernel.altha.rstrscript.enabled=1
Переменная kernel.altha.rstrscript.interpreters должна содержать разделенный двоеточиями список ограниченных интерпретаторов. Для изменения значения переменной kernel.altha.rstrscript.interpreters выполнить команду:
# sysctl -w kernel.altha.rstrscript.interpreters="/usr/bin/python:/usr/bin/python3:/usr/bin/perl:/usr/bin/tclsh"

Примечание

В этой конфигурации все скрипты, начинающиеся с #!/usr/bin/env python, будут заблокированы.
Проверка состояния режима блокировки интерпретаторов выполняется командой:
# sysctl -n kernel.altha.rstrscript.enabled
1
Результат выполнения команды:
  • 1 — режим включен;
  • 0 — режим выключен.
Список заблокированных интерпретаторов:
# sysctl -n kernel.altha.rstrscript.interpreters
/usr/bin/python:/usr/bin/python3:/usr/bin/perl:/usr/bin/tclsh

Глава 77. Режим киоск по ограничению запуска программ

В режиме киоск пользователь имеет право запускать программы только явно разрешенные администратором.

77.1. Настройка ограничения в ЦУС

Примечание

Для работы киоска должны быть установлены пакеты alterator-kiosk и kiosk, а также должно быть загружено ядро с поддержкой kiosk.
Для включения режима киоск необходимо в Центре управления системой перейти в раздел СистемаНастройка киоск.
Для разрешения запуска определенных приложений, необходимо включить соответствующий профиль из списка Профили и установить отметку в поле Включён:
Режим киоск по ограничению запуска программ
Список приложений, из которых состоит профиль, можно увидеть в окне Содержимое профиля (профиль выделяется щелчком любой кнопки мыши):
Список приложений, из которых состоит профиль

Примечание

Для создания нового профиля необходимо создать новый файл в /etc/alterator/kiosk/profiles/ и вписать в него разрешённые к запуску программы. Например, создать профиль chromium-gost, можно так:
# vim /etc/alterator/kiosk/profiles/chromium-gost
U /usr/bin/chromium-gost
U /usr/bin/getconf
U /usr/lib64/chromium-gost/chromium-gost

77.2. Управление режимом киоск в консоли

Для управления режимом киоск, можно воспользоваться командой kiosk. Все команды выполняются с правами администратора.
Просмотреть пути в белом списке:
# kiosk --user-list
/usr/bin/chromium-gost
/usr/lib64/chromium-gost/chromium-gost
Добавить указанный путь в белый список:
# kiosk --user-list-append /путь
Удалить указанный путь из белого списка:
# kiosk --user-list-remove /путь
Установить режим киоск:
# kiosk --set-mode 1
Отключить режим киоск:
# kiosk --set-mode 0
Просмотреть состояние режима:
# kiosk --get-mode

Часть X. Установка дополнительного программного обеспечения

После установки Альт Рабочая станция K при первом запуске вам доступен тот или иной набор программного обеспечения. Количество предустановленных программ зависит от набора программ конкретного дистрибутива или от выбора, сделанного вами при установке системы. Если вы не обнаружили в своей системе интересующие вас программы, то вы имеете возможность доустановить их из разных источников.
Дополнительное программное обеспечение может находиться на установочном диске и/или в специальных банках программ (репозиториях), расположенных в сети Интернет и/или в локальной сети. Программы, размещённые в указанных источниках, имеют вид подготовленных для установки пакетов.

Глава 78. Установка дополнительного ПО

78.1. Введение

Для установки дополнительного ПО вы можете использовать программу управления пакетами Synaptic.

Предупреждение

Не используйте одновременно два менеджера пакетов, так как это может привести к их некорректной работе.

78.2. Программа управления пакетами Synaptic

Программа управления пакетами Synaptic находится в Меню запуска приложенийНастройкиSynaptic (Менеджер пакетов).
При запуске необходимо ввести пароль администратора системы (root).
Synaptic. Запрос пароля администратора
Окно программы управления пакетами Synaptic:
Программа управления пакетами Synaptic
Для облегчения поиска доступные для установки программы разделены на группы, выводимые в левой части окна программы. Справа расположен список самих программ с указанием их текущего состояния:
  • зелёная метка — пакет уже установлен;
  • белая метка — пакет не установлен.
При выборе пакета из списка в нижней части отображаются сведения о нем и его описание.
Перед тем как устанавливать или обновлять пакет, необходимо нажать на кнопку Получить сведения (Ctrl+R), для того чтобы скачать список самых последних версий ПО.
Для начала установки двойным щелчком мыши отметьте неустановленный пакет в правой половине окна и нажмите Применить.

Глава 79. Добавление репозиториев

Эта информация может пригодиться вам для установки дополнительного программного обеспечения из внешних репозиториев.

79.1. Программа управления пакетами Synaptic

Программа Synaptic может использоваться для выбора репозитория, совместимого с вашим дистрибутивом. Для указания конкретного репозитория в меню ПараметрыРепозитории отметьте один из предлагаемых вариантов и нажмите кнопку OK. Если вы сомневаетесь, то выбирайте строки, содержащие ftp://ftp.altlinux.org/. К предложенному списку вы можете самостоятельно добавить любые репозитории, нажав на кнопку Создать и введя необходимые данные.
Выбор репозитория в Synaptic
После добавления репозиториев обновите информацию о них: программа управления пакетами Synaptic: ПравкаПолучить сведения о пакетах.

Важно

После выбора и добавления репозиториев необходимо получить сведения о находящихся в них пакетах. В противном случае, список доступных для установки программ будет не актуален.
Непосредственная установка пакетов из добавленных репозиториев ничем не отличается от описанной выше в главе «Установка дополнительного ПО».

Примечание

Есть и другие способы работы с репозиториями и пакетами. Некоторые из них описаны «Установка пакетов для опытных пользователей»

Глава 80. Обновление всех установленных пакетов

80.1. Программа управления пакетами Synaptic

Synaptic поддерживает два варианта обновления системы:
Интеллектуальное обновление (рекомендуется)
Интеллектуальное обновление попытается разрешить конфликты пакетов перед обновлением системы. Действие интеллектуального обновления аналогично действию команды apt-get dist-upgrade.
Стандартное обновление
Стандартное обновление обновит только те пакеты, которые не требуют установки дополнительных зависимостей.
По умолчанию Synaptic использует интеллектуальное обновление. Для того чтобы изменить метод обновления системы, откройте диалоговое окно Параметры (ПараметрыПараметры) и на вкладке Основные в списке Обновить систему выберите требуемый способ.
Для обновления системы необходимо:
  1. Нажать кнопку Получить сведения (Ctrl+R), для того чтобы скачать список самых последних версий ПО.
  2. Нажать кнопку Отметить для обновления (Ctrl+G) для того, чтобы Synaptic отметил для обновления все пакеты.
  3. Нажать кнопку Применить:
    Обновление всех установленных пакетов в Synaptic
  4. Будет показан список изменений, который произойдет при обновлении пакетов. Тут следует обратить внимание на объём данных, который будет скачан из сети.
    После подтверждения Synaptic начнёт загружать файлы, затем начнётся непосредственно установка.

80.2. Обновление ядра ОС

Центр управления системой содержит модуль Обновление ядра (СистемаОбновление ядра), который реализует функционал утилиты update-kernel.
В главном окне модуля отображается ядро, загруженное по умолчанию, и список установленных модулей ядра.
Для того чтобы обновить ядро, следует нажать кнопку Обновить ядро…:
Интерфейс модуля Обновление ядра

Примечание

При нажатии кнопки Обновить ядро… локальная база данных пакетов будет синхронизирована с удалённым репозиторием, это может занять некоторое время.
Если в системе уже установлено последнее ядро, сообщение об этом появится в открывшемся окне.
Иначе в этом окне будет показано доступное к установке ядро. В этом случае, чтобы обновить ядро, необходимо нажать кнопку Обновить ядро. Далее следует подтвердить желание обновить ядро нажатием кнопки Да.
Ядро, доступное к установке ядро
Новое ядро загрузится только после перезагрузки системы.
Если с новым ядром что-то пойдёт не так, вы сможете вернуться к предыдущему варианту, выбрав его в начальном меню загрузчика.

Часть XI. Установка пакетов для опытных пользователей

Введение

В современных системах на базе Linux существует огромное число общих ресурсов: разделяемых библиотек, содержащих стандартные функции, исполняемые файлы, сценарии и стандартные утилиты и т.д. Этими общими ресурсами пользуются сразу несколько программ. Удаление или изменение версии одного из составляющих систему компонентов может повлечь неработоспособность других, связанных с ним компонентов, или может привести к выводу из строя всей системы. В контексте системного администрирования проблемы такого рода называют нарушением целостности системы. Задача администратора — обеспечить наличие в системе согласованных версий всех необходимых программных компонентов (обеспечение целостности системы).
Для установки, удаления и обновления программ, а также поддержания целостности системы в Linux в первую очередь стали использоваться программы менеджеры пакетов (например, такие, как rpm). С точки зрения менеджера пакетов программное обеспечение представляет собой набор компонентов — программных пакетов. Пакеты содержат в себе набор исполняемых программ и вспомогательных файлов, необходимых для корректной работы программного обеспечения. Менеджеры пакетов облегчают установку программ: они позволяют проверить наличие необходимого для работы устанавливаемой программы компонента подходящей версии непосредственно в момент установки. Менеджеры пакетов производят необходимые процедуры для регистрации программы во всех операционных средах пользователя: сразу после установки программа становится доступна пользователю из командной строки и появляется, если это было предусмотрено, в меню приложений всех графических оболочек.
Часто компоненты, используемые различными программами, выделяют в отдельные пакеты и помечают, что для работы ПО, предоставляемого пакетом A, необходимо установить пакет B. В таком случае говорят, что пакет A зависит от пакета B или между пакетами A и B существует зависимость.
Отслеживание зависимостей между такими пакетами представляет собой важную задачу для любого дистрибутива. Некоторые компоненты пакетов могут быть взаимозаменяемыми, т.е. может обнаружиться несколько пакетов, предлагающих затребованный ресурс.
Ещё более сложной является задача контроля целостности и непротиворечивости установленного в системе ПО. Представим, что некие программы A и B требуют наличия в системе компонентов C версии 1.0. Обновление версии пакета A, требующее обновления компонентов C до новой версии (например, до версии 2.0, использующей новый интерфейс доступа), влечёт за собой обязательное обновление и программы B.
На практике менеджеры пакетов оказались неспособны эффективно устранить нарушения целостности системы и предотвратить все коллизии при установке или удалении программ. Особенно остро этот недостаток сказался на обновлении систем из централизованного репозитория, в котором пакеты непрерывно обновляются, дробятся на более мелкие и т.п. Именно этот недостаток стимулировал создание систем управления программными пакетами и поддержания целостности ОС.
Для автоматизации и контроля описанных выше процессов стала применяться Усовершенствованная система управления программными пакетами APT (от англ. Advanced Packaging Tool). Автоматизация и контроль достигаются путём создания одного или нескольких внешних репозиториев. В них хранятся доступные для установки пакеты программ.
В распоряжении APT находятся две базы данных: одна описывает установленные в системе пакеты, вторая — внешний репозиторий. APT отслеживает целостность установленной системы и, в случае обнаружения противоречий в зависимостях пакетов, разрешает конфликты, находит пути их корректного устранения, руководствуясь сведениями из внешних репозиториев.
Система APT состоит из нескольких утилит. Чаще всего используется утилита управления пакетами apt-get. Она автоматически определяет зависимости между пакетами и строго следит за её соблюдением при выполнении любой из следующих операций: установка, удаление или обновление пакетов.

Глава 81. Источники программ (репозитории)

Отличие репозиториев, с которыми работает APT, от простого набора пакетов — наличие метаинформации. В ней содержится индекс находящихся в репозитории пакетов и сведения о них. Поэтому, чтобы получить всю информацию о репозитории, APT достаточно получить его индексы.
APT может пользоваться любым количеством репозиториев одновременно, формируя единую информационную базу обо всех содержащихся в них пакетах. При установке пакетов APT обращает внимание только на название пакета, его версию и зависимости. Для APT не имеет значения расположение пакета в том или ином репозитории.

Важно

Для одновременного подключения нескольких репозиториев необходимо отслеживать их совместимость друг с другом, т.е. их пакетная база должна отражать один определённый этап разработки. Совместное использование репозиториев, относящихся к разным дистрибутивам, или смешивание стабильного репозитория с нестабильной веткой разработки (Sisyphus) может привести к различными неожиданностям и трудностям при обновлении пакетов.
APT осуществляет взаимодействие с репозиториями при помощи различных протоколов доступа. Наиболее популярные — HTTP и FTP.
Для того чтобы APT мог использовать тот или иной репозиторий, информацию о нём необходимо поместить в файл /etc/apt/sources.list, либо в любой файл .list (например, mysources.list) в каталоге /etc/apt/sources.list.d/. Описания репозиториев заносятся в эти файлы в следующем виде:
rpm [подпись] метод:путь база название
rpm-src [подпись] метод:путь база название
Здесь:
  • rpm или rpm-src — тип репозитория (скомпилированные программы или исходные тексты);
  • [подпись] — необязательная строка-указатель на электронную подпись разработчиков. Наличие этого поля подразумевает, что каждый пакет из данного репозитория должен быть подписан соответствующей электронной подписью. Подписи описываются в файле /etc/apt/vendor.list;
  • метод — способ доступа к репозиторию: ftp, http, file, rsh, ssh, cdrom, copy;
  • путь — путь к репозиторию в терминах выбранного метода;
  • база — относительный путь к базе данных репозитория;
  • название — название репозитория.
Непосредственно после установки дистрибутива Альт Рабочая станция K в файлах /etc/apt/sources.list.d/*.list обычно указывается интернет-репозиторий, совместимый с установленным дистрибутивом.
После редактирования списка репозиториев в sources.list, необходимо обновить локальную базу данных APT о доступных пакетах. Это делается командой apt-get update.
Если в sources.list присутствует репозиторий, содержимое которого может изменяться (например, постоянно разрабатываемый репозиторий или репозиторий обновлений по безопасности), то прежде чем работать с APT, необходимо синхронизировать локальную базу данных с удалённым сервером командой apt-get update. Локальная база данных создаётся заново при каждом изменении в репозитории: добавлении, удалении или переименовании пакета.
При установке определённого пакета APT производит поиск самой новой версии этого пакета во всех известных ему репозиториях вне зависимости от способа доступа к ним. Так, если в репозитории, доступном в сети Интернет, обнаружена более новая в сравнении с компакт-диском версия программы, то APT начнёт загружать соответствующий пакет из сети Интернет. Поэтому, если подключение к сети Интернет отсутствует или ограничено низкой пропускной способностью канала или высокой стоимостью, то следует закомментировать строчки (добавить в начало строки символ #) в /etc/apt/sources.list, относящиеся к ресурсам в сети Интернет.

81.1. Редактирование репозиториев

Примечание

О добавлении или удалении репозиториев с использованием графических приложений вы можете почитать в Добавление репозиториев.

81.1.1. Утилита apt-repo для работы с репозиториями

Для редактирования репозиториев можно воспользоваться утилитой apt-repo:
  • просмотреть список активных репозиториев:
    apt-repo
    
  • добавить репозиторий в список активных репозиториев:
    apt-repo add репозиторий
    
  • удалить или выключить репозиторий:
    apt-repo rm репозиторий
    
  • обновить информацию о репозиториях:
    apt-repo update
    
  • справка о команде apt-repo:
    man apt-repo
    
    или
    apt-repo --help
    

Примечание

Для выполнения большинства команд необходимы права администратора.
Типичный пример использования: удалить все источники и добавить стандартный репозиторий P10 (архитектура выбирается автоматически):
# apt-repo rm all
# apt-repo add p10
Или то же самое одной командой:
# apt-repo set p10

81.1.2. Добавление репозитория на CD/DVD-носителе

Для добавления в sources.list репозитория на компакт-диске в APT предусмотрена специальная утилита — apt-cdrom. Чтобы добавить запись о репозитории на компакт-диске, достаточно вставить диск в привод и выполнить команду apt-cdrom add. После этого в sources.list появится запись о подключённом диске.

Важно

Если при выполнении команды apt-cdrom add, вы получаете ошибку:
Не найдена точка монтирования /media/ALTLinux/ диска
Необходимо:
  • в файл /etc/fstab добавить строку:
    /dev/sr0 /media/ALTLinux udf,iso9660     ro,noauto,user,utf8,nofail,comment=x-gvfs-show  0 0
    
  • создать каталог для монтирования:
    # mkdir /media/ALTLinux
    
  • затем использовать команду добавления носителя:
    # apt-cdrom add
    

81.1.3. Добавление репозиториев вручную

Для изменения списка репозиториев можно отредактировать в любом текстовом редакторе файлы из каталога /etc/apt/sources.list.d/.

Примечание

Для изменения этих файлов необходимы права администратора.
В файле alt.list может содержаться такая информация:
# ftp.altlinux.org (ALT Linux, Moscow)

# ALT Platform 10
#rpm [p10] ftp://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64 classic
#rpm [p10] ftp://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64-i586 classic
#rpm [p10] ftp://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/noarch classic

rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64 classic
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64-i586 classic
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/noarch classic
По сути, каждая строчка соответствует некому репозиторию. Не активные репозитории — строки, начинающиеся со знака #. Для добавления нового репозитория, достаточно дописать его в этот или другой файл.
После обновления списка репозиториев следует обновить информацию о них (выполнить команду apt-get update или apt-repo update).

Глава 82. Поиск пакетов

Если точное название пакета неизвестно, то для его поиска можно воспользоваться утилитой apt-cache. Данная утилита позволяет искать пакет не только по имени, но и по его описанию.
Команда apt-cache search подстрока позволяет найти все пакеты, в именах или описании которых присутствует указанная подстрока. Например:
$ apt-cache search dictionary
stardict-wn - GCIDE - The Collaborative International Dictionary of English
firefox-ru - Russian (RU) Language Pack for Firefox
gnome-dictionary-applet - GNOME panel applet for gnome-dictionary
gnome-utils - Utilities for the GNOME 2.0 desktop
libgdict - GNOME Dictionary Library.
stardict-mueller7 - V.K. Mueller English-Russian Dictionary, 7 Edition: stardict format
stardict-slovnyk_be-en - Dictionary: Slovnyk Belarusian-English
stardict-slovnyk_be-ru - Dictionary: Slovnyk Belarusian-Russian
stardict-slovnyk_be-uk - Dictionary: Slovnyk Belarusian-Ukrainian
stardict-slovnyk_cs-ru - Dictionary: Slovnyk Czech-Russian
stardict-slovnyk_en-be - Dictionary: Slovnyk English-Belarusian
stardict-slovnyk_en-ru - Dictionary: Slovnyk English-Russian
stardict-slovnyk_en-uk - Dictionary: Slovnyk English-Ukrainian
stardict-slovnyk_es-ru - Dictionary: Slovnyk Spanish-Russian
stardict-slovnyk_ru-be - Dictionary: Slovnyk Russian-Belarusian
stardict-slovnyk_ru-cs - Dictionary: Slovnyk Russian-Czech
stardict-slovnyk_ru-en - Dictionary: Slovnyk Russian-English
stardict-slovnyk_ru-es - Dictionary: Slovnyk Russian-Spanish
stardict-slovnyk_ru-uk - Dictionary: Slovnyk Russian-Ukrainian
stardict-slovnyk_uk-be - Dictionary: Slovnyk Ukrainian-Belarusian
stardict-slovnyk_uk-en - Dictionary: Slovnyk Ukrainian-English
stardict-slovnyk_uk-ru - Dictionary: Slovnyk Ukrainian-Russian
words - A dictionary of English words for the /usr/share/dict directory
Для того чтобы подробнее узнать информацию о найденном пакете и получить его подробное описание, воспользуйтесь командой apt-cache show:
$ apt-cache show stardict-mueller7
Package: stardict-mueller7
Section: Text tools
Installed Size: 3095255
Maintainer: Anton V. Boyarshinov <boyarsh@altlinux.org>
Version: 1.0-alt7
Pre-Depends: rpmlib(PayloadIsLzma)
Depends: stardict (>= 2.4.2)
Provides: stardict-mueller7 (= 1.0-alt7)
Architecture: noarch
Size: 3135276
MD5Sum: ea95c67ca323350b454fbc26533c3548
Filename: stardict-mueller7-1.0-alt7.noarch.rpm
Description: V.K. Mueller English-Russian Dictionary, 7 Edition: stardict format
 Electronic version of V.K. Mueller English-Russian Dictionary, 7 Edition
 in stardict format. You can use it with stardict client.
При поиске с помощью apt-cache можно использовать русскую подстроку. В этом случае будут найдены пакеты, имеющие описание на русском языке. К сожалению, описание на русском языке в настоящее время есть не у всех пакетов, но наиболее актуальные описания переведены.

Глава 83. Установка или обновление пакета

Важно

Для установки пакетов требуются привилегии администратора.
Установка пакета с помощью APT выполняется командой
 # apt-get install <имя_пакета> 

Важно

Перед установкой и обновлением пакетов необходимо выполнить команду обновления индексов пакетов:
# apt-get update
apt-get позволяет устанавливать в систему пакеты, требующие для работы наличие других, пока ещё не установленных пакетов. В этом случае он определяет, какие пакеты необходимо установить. apt-get устанавливает их, пользуясь всеми доступными репозиториями.
Установка пакета stardict-mueller7 командой apt-get install stardict-mueller7 приведёт к следующему диалогу с APT (если пакет еще не установлен):
# apt-get install stardict-mueller7
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие НОВЫЕ пакеты будут установлены:
  stardict-mueller7
0 будет обновлено, 1 новых установлено, 0 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 0B/3135kB архивов.
После распаковки потребуется дополнительно 3095kB дискового пространства.
Совершаем изменения...
Preparing...                 ####################### [100%]
1: stardict-mueller7         ####################### [100%]
Running /usr/lib/rpm/posttrans-filetriggers
Завершено.
Команда
 apt-get install имя_пакета 
используется также и для обновления уже установленного пакета или группы пакетов. В этом случае apt-get дополнительно проверяет, есть ли обновлённая, в сравнении с установленной в системе, версия пакета в репозитории.
Если пакет stardict-mueller7 установлен и в репозитории нет обновлённой версии этого пакета, то вывод команды apt-get install stardict-mueller7 будет таким:
# apt-get install stardict-mueller7
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Последняя версия stardict-mueller7 уже установлена.
0 будет обновлено, 0 новых установлено, 0 пакетов будет удалено и 2262 не будет обновлено.
При помощи APT можно установить и отдельный rpm- пакет, не входящий в состав репозиториев (например, полученный из сети Интернет). Для этого достаточно выполнить команду
 apt-get install /путь/к/файлу.rpm  
При этом APT проведёт стандартную процедуру проверки зависимостей и конфликтов с уже установленными пакетами.
Иногда в результате операций с пакетами без использования APT целостность системы нарушается, и apt-get отказывается выполнять операции установки, удаления или обновления. В этом случае необходимо повторить операцию, задав опцию -f, заставляющую apt-get исправить нарушенные зависимости, удалить или заменить конфликтующие пакеты. В этом случае необходимо внимательно следить за сообщениями, выводимыми apt-get. Любые действия в этом режиме обязательно требуют подтверждения со стороны пользователя.

Глава 84. Удаление установленного пакета

Для удаления пакета используется команда apt-get remove имя_пакета. Для того чтобы не нарушать целостность системы, будут удалены и все пакеты, зависящие от удаляемого. В случае удаления пакета, который относится к базовым компонентам системы, apt-get потребует дополнительное подтверждение с целью предотвращения возможной случайной ошибки.

Важно

Для удаления пакетов требуются привилегии администратора.
При попытке с помощью apt-get удалить базовый компонент системы, вы увидите следующий запрос на подтверждение операции:
# apt-get remove filesystem
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
  ...
ВНИМАНИЕ: Будут удалены важные для работы системы пакеты
Обычно этого делать не следует. Вы должны точно понимать возможные последствия!
  ...
0 будет обновлено, 0 новых установлено, 2648 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 0B архивов.
После распаковки будет освобождено 8994MB дискового пространства.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.

Предупреждение

Каждую ситуацию, в которой APT выдаёт такой запрос, необходимо рассматривать отдельно. Вероятность того, что после выполнения этой команды система окажется неработоспособной, очень велика.

Глава 85. Обновление системы

85.1. Обновление всех установленных пакетов

Для обновления всех установленных пакетов необходимо выполнить команды:
# apt-get update
# apt-get dist-upgrade
Первая команда (apt-get update) обновит индексы пакетов. Вторая команда (apt-get dist-upgrade) позволяет обновить только те установленные пакеты, для которых в репозиториях, перечисленных в /etc/apt/sources.list, имеются новые версии.
В случае обновления всего дистрибутива APT проведёт сравнение системы с репозиторием и удалит устаревшие пакеты, установит новые версии присутствующих в системе пакетов, отследит ситуации с переименованиями пакетов или изменения зависимостей между старыми и новыми версиями программ. Всё, что потребуется поставить (или удалить) дополнительно к уже имеющемуся в системе, будет указано в отчёте apt-get, которым APT предварит само обновление.

Примечание

Команда apt-get dist-upgrade обновит систему, но ядро ОС не будет обновлено.

85.2. Обновление ядра

Для обновления ядра ОС необходимо выполнить команду:
# update-kernel

Примечание

Если индексы сегодня еще не обновлялись перед выполнением команды update-kernel необходимо выполнить команду apt-get update.
Команда update-kernel обновляет и модули ядра, если в репозитории обновилось что-то из модулей без обновления ядра.
Новое ядро загрузится только после перезагрузки системы.
Если с новым ядром что-то пойдёт не так, вы сможете вернуться к предыдущему варианту, выбрав его в начальном меню загрузчика.
После успешной загрузки на обновленном ядре можно удалить старое, выполнив команду:
# remove-old-kernels

Глава 86. Единая команда управления пакетами (epm)

Основное назначение единой команды управления пакетами — унифицировать управление пакетами в дистрибутивах с разными пакетными менеджерами. Утилита epm упрощает процедуру управления пакетами, может использоваться в скриптах и установщиках, сервисных программах, в повседневном администрировании различных систем. В epm добавлены типовые операции, которые в случае использования apt, потребовали бы ввода более одной команды.
Единая команда управления пакетами включает в себя следующую функциональность:
  • управление пакетами (установка/удаление/поиск);
  • управление репозиториями (добавление/удаление/обновление/список);
  • управление системными сервисами (включение/выключение/список).
Список поддерживаемых пакетных менеджеров: rpm, deb, tgz, tbz, tbz2, apk, pkg.gz.

Примечание

Установка утилиты epm, если она еще не установлена, выполняется командой:
# apt-get install eepm
Подробную информацию об утилите epm и её опциях можно получить, выполнив команду:
$ epm --help
Ниже описаны лишь некоторые возможности утилиты epm.
Установка пакета из репозитория или из локального файла в систему:
epm install <имя_пакета>

Важно

Если пакет создан сторонним поставщиком, то при его установке командой epm install не будут выполнены установочные скрипты из пакета. Это предохраняет систему от повреждения, но может привести к тому, что пакет не заработает. Вернуть стандартное поведение можно добавлением --scripts:
epm install --scripts <имя_пакета>
Установить сторонние программы безопасным и простым способом:
epm play <имя_программы>
Список программ, которые можно установить данной командой, можно просмотреть, выполнив команду:
$ epm play
Run with a name of a play script to run:
  anydesk              - Install AnyDesk from the official site
  assistant            - Install Assistant (Ассистент) from the official site
  …
  yandex-browser       - Install Yandex browser from the official site
  yandex-disk          - Install Yandex Disk from the official site
  zoom                 - Install Zoom client from the official site
Команда epm play требует наличия доступа в сеть Интернет.

Примечание

Для некоторых сторонних rpm-пакетов, написаны дополнительные правила для перепаковки (при перепаковке пакета создаётся пакет, учитывающий, что нужно для работы исходного пакета). Установить такие пакеты можно, выполнив команду:
epm install --repack <имя_пакета>
Для deb-пакетов ключ --repack применяется автоматически.
Удаление пакета из системы:
epm remove <имя_пакета>
Поиск пакета в репозитории:
epm search <текст>
Получить список установленных пакетов:
$ epm list
Удалить пакеты, от которых не зависят какие-либо другие пакеты, установленные в системе:
# epm autoremove
Обновить все установленные пакеты и ядро ОС:
# epm full-upgrade

Примечание

Утилита yum (должен быть установлен пакет eepm-yum), позволяет имитировать работу менеджера пакетов yum, например:
$ yum search docs-alt-kworkstation
 $ apt-cache search -- docs-alt-kworkstation | egrep -i --color -- "(docs-alt-kworkstation)"
docs-alt-kworkstation - ALT KWorkstation documentation

Часть XII. Основы администрирования Linux

Содержание

87. Что происходит в системе
88. Общие принципы работы ОС
88.1. Процессы и файлы
88.1.1. Процессы функционирования ОС
88.1.2. Файловая система ОС
88.1.3. Структура каталогов
88.1.4. Организация файловой структуры
88.1.5. Имена дисков и разделов
88.1.6. Разделы, необходимые для работы ОС
88.2. Работа с наиболее часто используемыми компонентами
88.2.1. Виртуальная консоль
88.2.2. Командные оболочки (интерпретаторы)
88.2.3. Командная оболочка Bash
88.2.4. Команда
88.2.5. Команда и параметры
88.2.6. Команда и ключи
88.2.7. Обзор основных команд системы
88.3. Стыкование команд в системе Linux
88.3.1. Стандартный ввод и стандартный вывод
88.3.2. Перенаправление ввода и вывода
88.3.3. Использование состыкованных команд
88.3.4. Недеструктивное перенаправление вывода
89. Режим суперпользователя
89.1. Какие бывают пользователи?
89.2. Для чего может понадобиться режим суперпользователя?
89.3. Как получить права суперпользователя?
89.4. Как перейти в режим суперпользователя?
90. Управление пользователями
90.1. Общая информация
90.2. Команда passwd
90.3. Добавления нового пользователя
90.4. Модификация пользовательских записей
90.5. Удаление пользователей
91. Документация
91.1. Экранная документация
91.1.1. man
91.1.2. info
91.2. Документация по пакетам
91.3. Документация к программам, имеющим графический интерфейс

Глава 87. Что происходит в системе

Человеку, отвечающему за работоспособность системы, очень важно всегда отчётливо представлять происходящие в ней события. Теоретически, никакое происшествие не должно ускользнуть от его внимания. Однако компьютерные системы настолько сложны, что отслеживать все события в них — выше человеческих возможностей. Для того чтобы довести поток служебной информации до разумного объёма, её надо просеять (выкинуть незначащие данные), классифицировать (разделить на несколько групп сообразно тематике) и журнализировать (сохранить в доступном виде для дальнейшего анализа).
В ОС Альт Рабочая станция K функция записи информации о системных событиях и событиях безопасности обеспечивается с помощью системной службы systemd-journald. Она создает и поддерживает структурированные, индексированные журналы, на основе регистрируемой информации, полученной от ядра, от пользовательских процессов через вызов Libc syslog, от потоков STDOUT/STDERR системных служб через собственный API. Журналы данного инструмента хранятся в бинарном виде в /var/log/journal, что исключает возможность просмотра содержимого данных файлов стандартными утилитами обработки текстовых данных. Для просмотра логов используется утилита journalctl.
Можно запускать journalctl с разными ключами:
  • journalctl -b — покажет сообщения только с текущей загрузки;
  • journalctl -f — покажет только последние сообщения и продолжит печатать новые записи, при добавлении их в журнал.
Так же можно посмотреть сообщения определенного процесса:
  • journalctl _PID=1 — покажет сообщения первого процесса (init).
Для ознакомления с прочими возможностями, читайте руководство по journalctl. Для этого используйте команду man journalctl.
Стоит заметить, что некоторые службы (например, веб-сервер apache) самостоятельно ведут журнализацию своих событий, поэтому информацию о количестве и местоположении их журналов можно почерпнуть из их файлов настроек (обычно, журналы хранятся в /var/log/).
Файл настройки journald находится в /etc/systemd/journald.conf. Справку по этому файлу можно получить выполнив команду man journald.conf.
Новые рапорты, поступающие в системный журнал, наиболее актуальны, а предыдущие, по мере их устаревания, эту актуальность утрачивают. Если самые старые данные в журнале не удалять, файловая система рано или поздно окажется переполненной. Узнать объем имеющихся на текущий момент логов можно с помощью команды:
journalctl --disk-usage
Ротация журналов:
  • для удаления старых файлов журналов с помощью указания размера (опция --vacuum-size), необходимо установить предельно допустимый размер для хранимых на диске журналов, как только объем журналов превысит указанную цифру, лишние файлы будут автоматические удалены:
    journalctl --vacuum-size=200M
    
  • для удаления старых записей по времени (опция --vacuum-time), необходимо установить для журналов срок хранения, по истечении которого они будут автоматически удалены:
    journalctl --vacuum-time=1months
    
Настройки ротации файлов журнала можно также прописать в конфигурационном файле /еtc/systemd/journald.conf.
Некоторые файлы в /var/log/ — не текстовые, они являются неполноценными журналами и представляют собой «свалку событий» для служб авторизации и учёта. Текстовую информацию о входе пользователей в систему и выходе оттуда можно получить по команде last, а узнать о тех, кто в данный момент пользуется системой, помогут команды w и who.
Множество важной информации может дать анализ загруженности системы — сведения о процессорном времени и потреблении оперативной памяти (ps, top, vmstat), сведения об использовании дискового пространства (du, df, fuser) и сведения о работе сетевых устройств (netstat).

Глава 88. Общие принципы работы ОС

88.1. Процессы и файлы

ОС Альт Рабочая станция K является многопользовательской интегрированной системой. Это значит, что она разработана в расчете на одновременную работу нескольких пользователей.
Пользователь может либо сам работать в системе, выполняя некоторую последовательность команд, либо от его имени могут выполняться прикладные процессы.
Пользователь взаимодействует с системой через командный интерпретатор. Командный интерпретатор представляет собой прикладную программу, которая принимает от пользователя команды или набор команд и транслирует их в системные вызовы к ядру системы. Интерпретатор позволяет пользователю просматривать файлы, передвигаться по дереву файловой системы, запускать прикладные процессы. Все командные интерпретаторы UNIX имеют развитый командный язык и позволяют писать достаточно сложные программы, упрощающие процесс администрирования системы и работы с ней.

88.1.1. Процессы функционирования ОС

Все программы, которые выполняются в текущий момент времени, называются процессами. Процессы можно разделить на два основных класса: системные процессы и пользовательские процессы.
Системные процессы — программы, решающие внутренние задачи ОС, например, организацию виртуальной памяти на диске или предоставляющие пользователям те или иные сервисы (процессы-службы).
Пользовательские процессы — процессы, запускаемые пользователем из командного интерпретатора для решения задач пользователя или управления системными процессами. Linux изначально разрабатывался как многозадачная система. Он использует технологии, опробованные и отработанные другими реализациями UNIX, которые существовали ранее.
Фоновый режим работы процесса — режим, когда программа может работать без взаимодействия с пользователем. В случае необходимости интерактивной работы с пользователем (в общем случае) процесс будет «остановлен» ядром, и работа его продолжается только после переведения его в «нормальный» режим работы.

88.1.2. Файловая система ОС

В ОС использована файловая система Linux, которая, в отличие от файловых систем DOS и Windows(™), является единым деревом. Корень этого дерева — каталог, называемый root (рут) и обозначаемый /.
Части дерева файловой системы могут физически располагаться в разных разделах разных дисков или вообще на других компьютерах — для пользователя это прозрачно. Процесс присоединения файловой системы раздела к дереву называется монтированием, удаление — размонтированием. Например, файловая система CD-ROM в дистрибутиве монтируется по умолчанию в каталог /media/cdrom (путь в дистрибутиве обозначается с использованием /, а не \, как в DOS/Windows).
Текущий каталог обозначается ./.

88.1.3. Структура каталогов

Корневой каталог /:
  • /bin — командные оболочки (shell), основные утилиты;
  • /boot — содержит ядро системы;
  • /dev — псевдофайлы устройств, позволяющие работать с устройствами напрямую. Файлы в /dev создаются сервисом udev
  • /etc — общесистемные конфигурационные файлы для большинства программ в системе;
  • /etc/rc?.d, /etc/init.d, /etc/rc.boot, /etc/rc.d — каталоги, где расположены командные файлы, выполняемые при запуске системы или при смене её режима работы;
  • /etc/passwd — база данных пользователей, в которой содержится информация об имени пользователя, его настоящем имени, личном каталоге, его зашифрованный пароль и другие данные;
  • /etc/shadow — теневая база данных пользователей. При этом информация из файла /etc/passwd перемещается в /etc/shadow, который недоступен для чтения всем, кроме пользователя root. В случае использования альтернативной схемы управления теневыми паролями (TCB), все теневые пароли для каждого пользователя располагаются в каталоге /etc/tcb/имя пользователя/shadow;
  • /home — домашние каталоги пользователей;
  • /lib — содержит файлы динамических библиотек, необходимых для работы большей части приложений, и подгружаемые модули ядра;
  • /lost+found — восстановленные файлы;
  • /media — подключаемые носители (каталоги для монтирования файловых систем сменных устройств);
  • /mnt — точки временного монтирования;
  • /opt — вспомогательные пакеты;
  • /proc — виртуальная файловая система, хранящаяся в памяти компьютера при загруженной ОС. В данном каталоге расположены самые свежие сведения обо всех процессах, запущенных на компьютере.
  • /root — домашний каталог администратора системы;
  • /run — файлы состояния приложений;
  • /sbin — набор программ для административной работы с системой (системные утилиты);
  • /selinux — виртуальная файловая система SELinux;
  • /srv — виртуальные данные сервисных служб;
  • /sys — файловая система, содержащая информацию о текущем состоянии системы;
  • /tmp — временные файлы.
  • /usr — пользовательские двоичные файлы и данные, используемые только для чтения (программы и библиотеки);
  • /var — файлы для хранения изменяющихся данных (рабочие файлы программ, очереди, журналы).
Каталог /usr:
  • /usr/bin — дополнительные программы для всех учетных записей;
  • /usr/sbin — команды, используемые при администрировании системы и не предназначенные для размещения в файловой системе root;
  • /usr/local — место, где рекомендуется размещать файлы, установленные без использования пакетных менеджеров, внутренняя организация каталогов практически такая же, как и корневого каталога;
  • /usr/man — каталог, где хранятся файлы справочного руководства man;
  • /usr/share — каталог для размещения общедоступных файлов большей части приложений.
Каталог /var:
  • /var/log — место, где хранятся файлы аудита работы системы и приложений;
  • /var/spool — каталог для хранения файлов, находящихся в очереди на обработку для того или иного процесса (очереди печати, непрочитанные или не отправленные письма, задачи cron т.д.).

88.1.4. Организация файловой структуры

Система домашних каталогов пользователей помогает организовывать безопасную работу пользователей в многопользовательской системе. Вне своего домашнего каталога пользователь обладает минимальными правами (обычно чтение и выполнение файлов) и не может нанести ущерб системе, например, удалив или изменив файл.
Кроме файлов, созданных пользователем, в его домашнем каталоге обычно содержатся персональные конфигурационные файлы некоторых программ.
Маршрут (путь) — это последовательность имён каталогов, представляющая собой путь в файловой системе к данному файлу, где каждое следующее имя отделяется от предыдущего наклонной чертой (слешем). Если название маршрута начинается со слеша, то путь в искомый файл начинается от корневого каталога всего дерева системы. В обратном случае, если название маршрута начинается непосредственно с имени файла, то путь к искомому файлу должен начаться от текущего каталога (рабочего каталога).
Имя файла может содержать любые символы за исключением косой черты (/). Однако следует избегать применения в именах файлов большинства знаков препинания и непечатаемых символов. При выборе имен файлов рекомендуется ограничиться следующими символами:
  • строчные и ПРОПИСНЫЕ буквы. Следует обратить внимание на то, что регистр всегда имеет значение;
  • символ подчеркивания (_);
  • точка (.).
Для удобства работы точку можно использовать для отделения имени файла от расширения файла. Данная возможность может быть необходима пользователям или некоторым программам, но не имеет значение для shell.

88.1.5. Имена дисков и разделов

Все физические устройства вашего компьютера отображаются в каталог /dev файловой системы дистрибутива (об этом — ниже). Диски (в том числе IDE/SATA/SCSI/SAS жёсткие диски, USB-диски) имеют имена:
  • /dev/sda — первый диск;
  • /dev/sdb — второй диск;
  • и т.д.
Диски обозначаются /dev/sdX, где X — a, b, c, d, e, … в зависимости от порядкового номера диска на шине.
Раздел диска обозначается числом после его имени. Например, /dev/sdb4 — четвертый раздел второго диска.

88.1.6. Разделы, необходимые для работы ОС

Для работы ОС на жестком диске (дисках) должны быть созданы, по крайней мере, два раздела: корневой (то есть тот, который будет содержать каталог /) и раздел подкачки (swap). Размер последнего, как правило, составляет от однократной до двукратной величины оперативной памяти компьютера. Если на диске много свободного места, то можно создать отдельные разделы для каталогов /usr, /home, /var.

88.2. Работа с наиболее часто используемыми компонентами

88.2.1. Виртуальная консоль

Система Альт Рабочая станция K предоставляет доступ к виртуальным консолям, с которых можно осуществлять одновременно несколько сеансов работы в системе (login session).
Только что установленная система Альт Рабочая станция K, возможно, предоставляет доступ только к первым шести виртуальным консолям, к которым можно обращаться, нажимая комбинации клавиш Alt+F1Alt+F6 (Ctrl+Alt+F1Ctrl+Alt+F6).

88.2.2. Командные оболочки (интерпретаторы)

Для управления ОС используются командные интерпретаторы (shell).
Зайдя в систему, Вы увидите приглашение — строку, содержащую символ «$» (далее этот символ будет обозначать командную строку). Программа ожидает ваших команд. Роль командного интерпретатора — передавать ваши команды операционной системе. По своим функциям он соответствует command.com в DOS, но несравненно мощнее. При помощи командных интерпретаторов можно писать небольшие программы — сценарии (скрипты). В Linux доступны следующие командные оболочки:
  • bash — самая распространенная оболочка под linux. Она ведет историю команд и предоставляет возможность их редактирования;
  • pdksh — клон korn shell, хорошо известной оболочки в UNIX™ системах.
Проверить, какая оболочка используется в данный момент можно, выполнив команду:
$ echo $SHELL
Оболочкой по умолчанию является Bash (Bourne Again Shell) — самая распространённая оболочка под Linux, которая ведет историю команд и предоставляет возможность их редактирования. В дальнейшем описании работы с Альт Рабочая станция K будут использоваться примеры с использованием этой оболочки.

88.2.3. Командная оболочка Bash

В Bash имеется несколько приемов для работы со строкой команд. Например, можно использовать следующие сочетания:
  • Ctrl+A — перейти на начало строки;
  • Ctrl+U — вырезать/удалить все символы слева от курсора до начала строки в буфер обмена;
  • Ctrl+C — остановить текущую задачу.
Для ввода нескольких команд одной строкой можно использовать разделитель «;». По истории команд можно перемещаться с помощью клавиш («вверх») и («вниз»).
Чтобы найти конкретную команду в списке набранных, не пролистывая всю историю, можно нажать Ctrl+R и начать вводить символы ранее введенной команды.
Для просмотра истории команд можно воспользоваться командой history. Команды, присутствующие в истории, отображаются в списке пронумерованными. Чтобы запустить конкретную команду необходимо набрать:
!номер команды
Если ввести:
!!
запустится последняя из набранных команд.
В Bash имеется возможность самостоятельного завершения имен команд из общего списка команд, что облегчает работу при вводе команд, в случае, если имена программ и команд слишком длинны. При нажатии клавиши Tab Bash завершает имя команды, программы или каталога, если не существует нескольких альтернативных вариантов. Например, чтобы использовать программу декомпрессии gunzip, можно набрать следующую команду:
gu
Затем нажать клавишу Tab. Так как в данном случае существует несколько возможных вариантов завершения команды, то необходимо повторно нажать клавишу Tab, чтобы получить список имен, начинающихся с gu.
В предложенном примере можно получить следующий список:
$ gu
guile gunzip gupnp-binding-tool
Если набрать: n (gunzip — это единственное имя, третьей буквой которого является «n»), а затем нажать клавишу Tab, то оболочка самостоятельно дополнит имя. Чтобы запустить команду нужно нажать Enter.
Программы, вызываемые из командной строки, Bash ищет в каталогах, определяемых в системной переменной $PATH. По умолчанию в этот перечень каталогов не входит текущий каталог, обозначаемый ./ (точка слеш) (если только не выбран один из двух самых слабых уровней защиты). Поэтому, для запуска программы из текущего каталога, необходимо использовать команду (в примере запускается команда prog):
./prog

88.2.4. Команда

Простейшая команда состоит из одного «слова», например, команда cal, выводящая календарь на текущий месяц.
$ cal
     Май 2021
Пн Вт Ср Чт Пт Сб Вс
                1  2
 3  4  5  6  7  8  9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

88.2.5. Команда и параметры

$ cal 1 2022
     Январь 2022
Пн Вт Ср Чт Пт Сб Вс
                1  2
 3  4  5  6  7  8  9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
Команда cal 1 2022 состоит из двух частей — собственно команды cal и «остального». То, что следует за командой называется параметрами (или аргументами) и они вводятся для изменения поведения команды. В большинстве случаев, первое слово считается именем команды, а остальные — её параметрами.

88.2.6. Команда и ключи

Для решения разных задач одни и те же действия необходимо выполнять по-разному. Например, для синхронизации работ в разных точках земного шара лучше использовать единое для всех время (по Гринвичу), а для организации собственного рабочего дня — местное время (с учётом сдвига по часовому поясу и разницы зимнего и летнего времени). И то, и другое время показывает команда date, только для работы по Гринвичу ей нужен дополнительный параметр -u (он же --universal).
$ date
Ср мая 5 11:57:57 EET 2021
$ date -u
Ср мая 5 09:58:04 UTC 2021
Такого рода параметры называются ключами или модификаторами выполнения. Ключ принадлежит данной конкретной команде и сам по себе смысла не имеет. Этим он отличается от других параметров (например, имён файлов, чисел), имеющих собственный смысл, не зависящий ни от какой команды. Каждая команда может распознавать некоторый набор ключей и соответственно изменять своё поведение. Один и тот же ключ может определять для разных команд совершенно разные значения.
Для формата ключей нет жёсткого стандарта, однако существуют договорённости:
  • Если ключ начинается на -, то это однобуквенный ключ. За -, как правило, следует один символ, чаще всего буква, обозначающая действие или свойство, которое этот ключ придаёт команде. Так проще отличать ключи от других параметров.
  • Если ключ начинается на --, то он называется полнословным ключом. Полнословный формат ключа начинается на два знака --, за которыми следует полное имя обозначаемого этим ключом содержания.
Некоторые ключи имеют и однобуквенный, и полнословный формат, а некоторые — только полнословный.
Информацию о ресурсах каждой команды можно получить, используя ключ --help. К примеру, получить подсказку о том, что делает команда rm, можно, набрав в терминале rm --help.

88.2.7. Обзор основных команд системы

Все команды, приведенные ниже, могут быть запущены в режиме консоли. Для получения более подробной информации используйте команду man. Пример:
$ man ls

Примечание

Параметры команд обычно начинаются с символа «-», и обычно после одного символа «-» можно указать сразу несколько опций. Например, вместо команды ls -l -F можно ввести команду ls -lF

Учетные записи пользователей

Команда su
Команда su позволяет изменить «владельца» текущего сеанса (сессии) без необходимости завершать сеанс и открывать новый.
Синтаксис:
su [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
Команду можно применять для замены текущего пользователя на любого другого, но чаще всего она используется для получения пользователем прав суперпользователя (root).
При вводе команды su -, будет запрошен пароль суперпользователя (root), и, в случае ввода корректного пароля, пользователь получит права администратора. Чтобы вернуться к правам пользователя, необходимо ввести команду:
exit
Более подробную информацию о режиме суперпользователя вы можете прочитать в главе Режим суперпользователя
Команда id
Команда id выводит информацию о пользователе и группах, в которых он состоит для заданного пользователя или о текущем пользователе (если ничего не указано).
Синтаксис:
id [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
Команда passwd
Команда passwd меняет (или устанавливает) пароль, связанный с входным_именем пользователя.
Обычный пользователь может менять только пароль, связанный с его собственным входным_именем.
Команда запрашивает у обычных пользователей старый пароль (если он был), а затем дважды запрашивает новый. Новый пароль должен соответствовать техническим требованиям к паролям, заданным администратором системы.

Основные операции с файлами и каталогами

Команда ls
Команда ls (list) печатает в стандартный вывод содержимое каталогов.
Синтаксис:
ls [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
  • -a — просмотр всех файлов, включая скрытые;
  • -l — отображение более подробной информации;
  • -R — выводить рекурсивно информацию о подкаталогах.
Команда cd
Команда cd предназначена для смены каталога. Команда работает как с абсолютными, так и с относительными путями. Если каталог не указан, используется значение переменной окружения $HOME (домашний каталог пользователя). Если каталог задан полным маршрутным именем, он становится текущим. По отношению к новому каталогу нужно иметь право на выполнение, которое в данном случае трактуется как разрешение на поиск.
Синтаксис:
cd [-L|-P] [КАТАЛОГ]
Если в качестве аргумента задано «-», то это эквивалентно $OLDPWD. Если переход был осуществлен по переменной окружения $CDPATH или в качестве аргумента был задан «-» и смена каталога была успешной, то абсолютный путь нового рабочего каталога будет выведен на стандартный вывод.
Пример. Находясь в домашнем каталоге перейти в его подкаталог Документы/ (относительный путь):
cd Документы/
Сделать текущим каталог /usr/bin (абсолютный путь):
cd /usr/bin/
Сделать текущим родительский каталог:
cd ..
Вернуться в предыдущий каталог:
cd -
Сделать текущим домашний каталог:
cd
Команда pwd
Команда pwd выводит абсолютный путь текущего (рабочего) каталога.
Синтаксис:
pwd [-L|-P]
Опции:
  • -P — не выводить символические ссылки;
  • -L — выводить символические ссылки.
Команда rm
Команда rm служит для удаления записей о файлах. Если заданное имя было последней ссылкой на файл, то файл уничтожается.

Предупреждение

Удалив файл, вы не сможете его восстановить!
Синтаксис:
rm [ОПЦИИ...] <ФАЙЛ>
Основные опции:
  • -f —  никогда не запрашивать подтверждения;
  • -i —  всегда запрашивать подтверждение;
  • -r, -R — рекурсивно удалять содержимое указанных каталогов.
Пример. Удалить все файлы html в каталоге ~/html:
rm -i ~/html/*.html
Команда mkdir
mkdir — команда для создания новых каталогов.
Синтаксис:
mkdir [-p] [-m права] <КАТАЛОГ...>
Команда rmdir
Команда rmdir удаляет каталоги из файловой системы. Каталог должен быть пуст перед удалением.
Синтаксис:
rmdir [ОПЦИИ] <КАТАЛОГ...>
Основные опции:
  • -p — удалить каталог и его потомки.
Команда rmdir часто заменяется командой rm -rf, которая позволяет удалять каталоги, даже если они не пусты.
Команда cp
Команда cp предназначена для копирования файлов из одного в другие каталоги.
Синтаксис:
cp [-fip] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
cp [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
cp [-R] [[-H] | [-L] | [-P]] [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
Основные опции:
  • -p — сохранять по возможности времена изменения и доступа к файлу, владельца и группу, права доступа;
  • -i — запрашивать подтверждение перед копированием в существующие файлы;
  • -r, -R — рекурсивно копировать содержимое каталогов.
Команда mv
Команда mv предназначена для перемещения файлов.
Синтаксис:
mv [-fi] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
mv [-fi] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
В первой синтаксической форме, характеризующейся тем, что последний операнд не является ни каталогом, ни символической ссылкой на каталог, mv перемещает исх_файл в цел_файл (происходит переименование файла).
Во второй синтаксической форме mv перемещает исходные файлы в указанный каталог под именами, совпадающими с краткими именами исходных файлов.
Основные опции:
  • -f — не запрашивать подтверждения перезаписи существующих файлов;
  • -i — запрашивать подтверждение перезаписи существующих файлов.
Команда cat
Команда cat последовательно выводит содержимое файлов.
Синтаксис:
cat [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • -n, --number — нумеровать все строки при выводе;
  • -E, --show-ends — показывать $ в конце каждой строки.
Если файл не указан, читается стандартный ввод. Если в списке файлов присутствует имя «-», вместо этого файла читается стандартный ввод.
Команда head
Команда head выводит первые 10 строк каждого файла на стандартный вывод.
Синтаксис:
head [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • -n, --lines=[-]K — вывести первые К строк каждого файла, а не первые 10;
  • -q, --quiet — не печатать заголовки с именами файлов.
Команда less
Команда less позволяет постранично просматривать текст (для выхода необходимо нажать q).
Синтаксис:
less ФАЙЛ
Команда grep
Команда grep имеет много опций и предоставляет возможности поиска символьной строки в файле.
Синтаксис:
grep [шаблон_поиска] ФАЙЛ
Команда chmod
Команда chmod предназначена для изменения прав доступа файлов и каталогов.
Синтаксис:
chmod [ОПЦИИ] РЕЖИМ[,РЕЖИМ]... <ФАЙЛ>
chmod [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Основные опции:
  • -R — рекурсивно изменять режим доступа к файлам, расположенным в указанных каталогах;
  • --reference=ИФАЙЛ — использовать режим файла ИФАЙЛ.
chmod изменяет права доступа каждого указанного файла в соответствии с правами доступа, указанными в параметре режим, который может быть представлен как в символьном виде, так и в виде восьмеричного, представляющего битовую маску новых прав доступа.
Формат символьного режима следующий:
[ugoa...][[+-=][разрешения...]...]
Здесь разрешения — это ноль или более букв из набора «rwxXst» или одна из букв из набора «ugo».
Каждый аргумент — это список символьных команд изменения прав доступа, разделены запятыми. Каждая такая команда начинается с нуля или более букв «ugoa», комбинация которых указывает, чьи права доступа к файлу будут изменены: пользователя, владеющего файлом (u), пользователей, входящих в группу, к которой принадлежит файл (g), остальных пользователей (o) или всех пользователей (a). Если не задана ни одна буква, то автоматически будет использована буква «a», но биты, установленные в umask, не будут затронуты.
Оператор «+» добавляет выбранные права доступа к уже имеющимся у каждого файла, «-» удаляет эти права. «=» присваивает только эти права каждому указанному файлу.
Буквы «rwxXst» задают биты доступа для пользователей: «r» — чтение, «w» — запись, «x» — выполнение (или поиск для каталогов), «X» — выполнение/поиск только если это каталог или же файл с уже установленным битом выполнения, «s» — задать ID пользователя и группы при выполнении, «t» — запрет удаления.
Примеры. Позволить всем выполнять файл f2:
chmod +x f2
Запретить удаление файла f3:
chmod +t f3
Команда chown
Команда chown изменяет владельца и/или группу для каждого заданного файла.
Синтаксис:
chown [КЛЮЧ]…[ВЛАДЕЛЕЦ][:[ГРУППА]] <ФАЙЛ>
Изменить владельца может только владелец файла или суперпользователь. Владелец не изменяется, если он не задан в аргументе. Группа также не изменяется, если не задана, но если после символьного ВЛАДЕЛЬЦА стоит символ «:», подразумевается изменение группы на основную группу текущего пользователя. Поля ВЛАДЕЛЕЦ и ГРУППА могут быть как числовыми, так и символьными.
Примеры. Поменять владельца каталога /u на пользователя test:
chown test /u
Поменять владельца и группу каталога /u:
chown test:staff /u
Поменять владельца каталога /u и вложенных файлов на test:
chown -hR test /u

Поиск файлов

Команда find
Команда find предназначена для поиска всех файлов, начиная с корневого каталога. Поиск может осуществляться по имени, типу или владельцу файла.
Синтаксис:
find [-H] [-L] [-P] [-Oуровень] [-D help|tree|search|stat|rates|opt|exec] [ПУТЬ…] [ВЫРАЖЕНИЕ]
Ключи для поиска:
  • -name — поиск по имени файла;
  • -type — поиск по типу f=файл, d=каталог, l=ссылка(lnk);
  • -user — поиск по владельцу (имя или UID).
Когда выполняется команда find, можно выполнять различные действия над найденными файлами. Основные действия:
  • -exec команда \; — выполнить команду. Запись команды должна заканчиваться экранированной точкой с запятой. Строка «{}» заменяется текущим маршрутным именем файла;
  • execdir команда \; — то же самое что и -exec, но команда вызывается из подкаталога, содержащего текущий файл;
  • -ok команда — эквивалентно -exec за исключением того, что перед выполнением команды запрашивается подтверждение (в виде сгенерированной командной строки со знаком вопроса в конце) и она выполняется только при ответе: y;
  • -print — вывод имени файла на экран.
Путем по умолчанию является текущий подкаталог. Выражение по умолчанию -print.
Примеры. Найти в текущем каталоге обычные файлы (не каталоги), имя которых начинается с символа «~»:
find . -type f -name "~*" -print
Найти в текущем каталоге файлы, измененные позже, чем файл file.bak:
find . -newer file.bak -type f -print
Удалить все файлы с именами a.out или *.o, доступ к которым не производился в течение недели:
find / \( -name a.out -o -name '*.o' \) \ -atime +7 -exec rm {} \;
Удалить из текущего каталога и его подкаталогов все файлы нулевого размера, запрашивая подтверждение:
find . -size 0c -ok rm {} \;
Команда whereis
whereis сообщает путь к исполняемому файлу программы, ее исходным файлам (если есть) и соответствующим страницам справочного руководства.
Синтаксис:
whereis [ОПЦИИ] <ИМЯ>
Опции:
  • -b — вывод информации только об исполняемых файлах;
  • -m — вывод информации только о страницах справочного руководства;
  • -s — вывод информации только об исходных файлах.

Мониторинг и управление процессами

Команда ps
Команда ps отображает список текущих процессов.
Синтаксис:
ps [ОПЦИИ]
По умолчанию выводится информация о процессах с теми же действующим UID и управляющим терминалом, что и у подающего команду пользователя.
Основные опции:
  • -a — вывести информацию о процессах, ассоциированных с терминалами;
  • -f — вывести «полный» список;
  • -l — вывести «длинный» список;
  • -p список  — вывести информацию о процессах с перечисленными в списке PID;
  • -u список — вывести информацию о процессах с перечисленными идентификаторами или именами пользователей.
Команда kill
Команда kill позволяет прекратить исполнение процесса или передать ему сигнал.
Синтаксис:
kill [-s] [сигнал] [идентификатор] [...]
kill [-l] [статус_завершения]
kill [-номер_сигнала] [идентификатор] [...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Основные опции:
  • -l — вывести список поддерживаемых сигналов;
  • -s сигнал, -сигнал — послать сигнал с указанным именем.
Если обычная команда kill не дает желательного эффекта, необходимо использовать команду kill с параметром -9 (kill -9 PID_номер).
Команда df
Команда df показывает количество доступного дискового пространства в файловой системе, в которой содержится файл, переданный как аргумент. Если ни один файл не указан, показывается доступное место на всех смонтированных файловых системах. Размеры по умолчанию указаны в блоках по 1КБ.
Синтаксис:
df [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • --total — подсчитать общий объем в конце;
  • -h, --human-readable — печатать размеры в удобочитаемом формате (например, 1K, 234M, 2G).
Команда du
Команда du подсчитывает использование диска каждым файлом, для каталогов подсчет происходит рекурсивно.
Синтаксис:
du [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • -a, --all — выводить общую сумму для каждого заданного файла, а не только для каталогов;
  • -c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
  • -d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
  • -S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
  • -s, --summarize — отобразить только сумму для каждого аргумента.
Команда which
Команда which отображает полный путь к указанным командам или сценариям.
Синтаксис:
which [ОПЦИИ] <ФАЙЛ...>
Основные опции:
  • -a, --all — выводит все совпавшие исполняемые файлы по содержимому в переменной окружения $PATH, а не только первый из них;
  • -c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
  • -d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
  • -S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
  • --skip-dot — пропускает все каталоги из переменной окружения $PATH, которые начинаются с точки.

Использование многозадачности

Альт Рабочая станция K — это многозадачная система.
Для того чтобы запустить программу в фоновом режиме, необходимо набрать «&» после имени программы. После этого оболочка даст возможность запускать другие приложения.
Так как некоторые программы интерактивны — их запуск в фоновом режиме бессмысленен. Подобные программы просто остановятся, если их запустить в фоновом режиме.
Можно также запускать нескольких независимых сеансов. Для этого в консоли необходимо набрать Alt и одну из клавиш, находящихся в интервале от F1 до F6. На экране появится новое приглашение системы, и можно открыть новый сеанс. Этот метод также позволяет вам работать на другой консоли, если консоль, которую вы использовали до этого, не отвечает или вам необходимо остановить зависшую программу.
Команда bg
Команда bg позволяет перевести задание на задний план.
Синтаксис:
bg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Команда fg
Команда fg позволяет перевести задание на передний план.
Синтаксис:
fg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».

Сжатие и упаковка файлов

Команда tar
Сжатие и упаковка файлов выполняется с помощью команды tar, которая преобразует файл или группу файлов в архив без сжатия (tarfile).
Упаковка файлов в архив чаще всего выполняется следующей командой:
tar -cf [имя создаваемого файла архива] [упаковываемые файлы и/или каталоги]
Пример использования команды упаковки архива:
tar -cf moi_dokumenti.tar Docs project.tex
Распаковка содержимого архива в текущий каталог выполняется командой:
tar -xf [имя файла архива]
Для сжатия файлов используются специальные программы сжатия: gzip, bzip2 и 7z.

88.3. Стыкование команд в системе Linux

88.3.1. Стандартный ввод и стандартный вывод

Многие команды системы имеют так называемые стандартный ввод (standard input) и стандартный вывод (standard output), часто сокращаемые до stdin и stdout. Ввод и вывод здесь — это входная и выходная информация для данной команды. Программная оболочка делает так, что стандартным вводом является клавиатура, а стандартным выводом — экран монитора.
Пример с использованием команды cat. По умолчанию команда cat читает данные из всех файлов, которые указаны в командной строке, и посылает эту информацию непосредственно в стандартный вывод (stdout). Следовательно, команда:
cat history-final masters-thesis
выведет на экран сначала содержимое файла history-final, а затем — файла masters-thesis.
Если имя файла не указано, программа cat читает входные данные из stdin и возвращает их в stdout. Пример:
cat
Hello there.
Hello there.
Bye.
Bye.
Ctrl-D
Каждую строку, вводимую с клавиатуры, программа cat немедленно возвращает на экран. При вводе информации со стандартного ввода конец текста сигнализируется вводом специальной комбинации клавиш, как правило, Ctrl+D. Сокращённое название сигнала конца текста — EOT (end of text).

88.3.2. Перенаправление ввода и вывода

При необходимости можно перенаправить стандартный вывод, используя символ >, и стандартный ввод, используя символ <.
Фильтр (filter) — программа, которая читает данные из стандартного ввода, некоторым образом их обрабатывает и результат направляет на стандартный вывод. Когда применяется перенаправление, в качестве стандартного ввода и вывода могут выступать файлы. Как указывалось выше, по умолчанию, stdin и stdout относятся к клавиатуре и к экрану соответственно. Программа sort является простым фильтром — она сортирует входные данные и посылает результат на стандартный вывод. Совсем простым фильтром является программа cat — она ничего не делает с входными данными, а просто пересылает их на выход.

88.3.3. Использование состыкованных команд

Стыковку команд (pipelines) осуществляет командная оболочка, которая stdout первой команды направляет на stdin второй команды. Для стыковки используется символ |. Направить stdout команды ls на stdin команды sort:
ls | sort -r
notes
masters-thesis
history-final
english-list
Вывод списка файлов частями:
ls /usr/bin | more
Если необходимо вывести на экран последнее по алфавиту имя файла в текущем каталоге, можно использовать следующую команду:
ls | sort -r | head -1 notes
где команда head -1 выводит на экран первую строку получаемого ей входного потока строк (в примере поток состоит из данных от команды ls), отсортированных в обратном алфавитном порядке.

88.3.4. Недеструктивное перенаправление вывода

Эффект от использования символа > для перенаправления вывода файла является деструктивным; т.е, команда
ls > file-list
уничтожит содержимое файла file-list, если этот файл ранее существовал, и создаст на его месте новый файл. Если вместо этого перенаправление будет сделано с помощью символов >>, то вывод будет приписан в конец указанного файла, при этом исходное содержимое файла не будет уничтожено.

Примечание

Перенаправление ввода и вывода и стыкование команд осуществляется командными оболочками, которые поддерживают использование символов >, >> и |. Сами команды не способны воспринимать и интерпретировать эти символы.

Глава 89. Режим суперпользователя

89.1. Какие бывают пользователи?

Linux — система многопользовательская, а потому пользователь — ключевое понятие для организации всей системы доступа в Linux. Файлы всех пользователей в Linux хранятся раздельно, у каждого пользователя есть собственный домашний каталог, в котором он может хранить свои данные. Доступ других пользователей к домашнему каталогу пользователя может быть ограничен.
Суперпользователь в Linux — это выделенный пользователь системы, на которого не распространяются ограничения прав доступа. Именно суперпользователь имеет возможность произвольно изменять владельца и группу файла. Ему открыт доступ на чтение и запись к любому файлу или каталогу системы.
Среди учётных записей Linux всегда есть учётная запись суперпользователя — root. Поэтому вместо «суперпользователь» часто говорят «root». Множество системных файлов принадлежат root, множество файлов только ему доступны для чтения или записи. Пароль этой учётной записи — одна из самых больших драгоценностей системы. Именно с её помощью системные администраторы выполняют самую ответственную работу.

89.2. Для чего может понадобиться режим суперпользователя?

Системные утилиты, например, такие, как Центр управления системой или Программа управления пакетами Synaptic требуют для своей работы привилегий суперпользователя, потому что они вносят изменения в системные файлы. При их запуске выводится диалоговое окно с запросом пароля системного администратора.

89.3. Как получить права суперпользователя?

Для опытных пользователей, умеющих работать с командной строкой, существует два различных способа получить права суперпользователя.
Первый — это зарегистрироваться в системе под именем root.
Второй способ — воспользоваться специальной утилитой su (shell of user), которая позволяет выполнить одну или несколько команд от лица другого пользователя. По умолчанию эта утилита выполняет команду sh от пользователя root, то есть запускает командный интерпретатор. Отличие от предыдущего способа в том, что всегда известно, кто именно запускал su, а значит, ясно, кто выполнил определённое административное действие.
В некоторых случаях удобнее использовать не su, а утилиту sudo, которая позволяет выполнять только заранее заданные команды.

Важно

Для того чтобы воспользоваться командами su и sudo, необходимо быть членом группы wheel. Пользователь, созданный при установке системы, по умолчанию уже включён в эту группу.
В дистрибутивах Альт для управления доступом к важным службам используется подсистема control. control — механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор.
Команда control доступна только для суперпользователя (root). Для того чтобы посмотреть, что означает та или иная политика control (разрешения выполнения конкретной команды, управляемой control), надо запустить команду с ключом help:
# control su help
Запустив control без параметров, можно увидеть полный список команд, управляемых командой (facilities) вместе с их текущим состоянием и набором допустимых состояний.

89.4. Как перейти в режим суперпользователя?

Для перехода в режим суперпользователя наберите в терминале команду su -.
Если воспользоваться командой su без ключа, то происходит вызов командного интерпретатора с правами root. При этом значение переменных окружения, в частности $PATH, остаётся таким же, как у пользователя: в переменной $PATH не окажется каталогов /sbin, /usr/sbin, без указания полного имени будут недоступны команды route, shutdown, mkswap и другие. Более того, переменная $HOME будет указывать на каталог пользователя, все программы, запущенные в режиме суперпользователя, сохранят свои настройки с правами root в каталоге пользователя, что в дальнейшем может вызвать проблемы.
Чтобы избежать этого, следует использовать su -. В этом режиме su запустит командный интерпретатор в качестве login shell, и он будет вести себя в точности так, как если бы в системе зарегистрировался root.

Глава 90. Управление пользователями

90.1. Общая информация

Пользователи и группы внутри системы обозначаются цифровыми идентификаторами — UID и GID, соответственно.
Пользователь может входить в одну или несколько групп. По умолчанию он входит в группу, совпадающую с его именем. Чтобы узнать, в какие еще группы входит пользователь, введите команду id, вывод её может быть примерно следующим:
uid=500(test) gid=500(test) группы=500(test),16(rpm)
Такая запись означает, что пользователь test (цифровой идентификатор 500) входит в группы test и rpm. Разные группы могут иметь разный уровень доступа к тем или иным каталогам; чем в большее количество групп входит пользователь, тем больше прав он имеет в системе.

Примечание

В связи с тем, что большинство привилегированных системных утилит в дистрибутивах Альт имеют не SUID-, а SGID-бит, будьте предельно внимательны и осторожны в переназначении групповых прав на системные каталоги.

90.2. Команда passwd

Команда passwd поддерживает традиционные опции passwd и утилит shadow.
Синтаксис:
passwd [ОПЦИИ...] [ИМЯ ПОЛЬЗОВАТЕЛЯ]
Возможные опции:
  • -d --delete — удалить пароль для указанной записи;
  • -f, --force — форсировать операцию;
  • -k, --keep-tokens — сохранить не устаревшие пароли;
  • -l, --lock — блокировать указанную запись;
  • --stdin — прочитать новые пароли из стандартного ввода;
  • -S, --status — дать отчет о статусе пароля в указанной записи;
  • -u, --unlock — разблокировать указанную запись;
  • -?, --help — показать справку и выйти;
  • --usage — дать короткую справку по использованию;
  • -V, --version — показать версию программы и выйти.
Код выхода: при успешном завершении passwd заканчивает работу с кодом выхода 0. Код выхода 1 означает, что произошла ошибка. Текстовое описание ошибки выводится на стандартный поток ошибок.
Пользователь может в любой момент поменять свой пароль. Единственное,что требуется для смены пароля знать текущий пароль.
Только суперпользователь может обновить пароль другого пользователя.

90.3. Добавления нового пользователя

Для добавления нового пользователя используйте команды useradd и passwd:
# useradd test1

# passwd test1
passwd: updating all authentication tokens for user test1.

You can now choose the new password or passphrase.

A valid password should be a mix of upper and lower case letters,
digits, and other characters.  You can use an 8 character long
password with characters from at least 3 of these 4 classes, or
a 7 character long password containing characters from all the
classes.  An upper case letter that begins the password and a
digit that ends it do not count towards the number of character
classes used.

A passphrase should be of at least 3 words, 11 to 40 characters
long, and contain enough different characters.

Alternatively, if no one else can see your terminal now, you can
pick this as your password: "holder5dinghy-Arm".

Enter new password:
В результате описанных действий в системе появился пользователь test1 с некоторым паролем. Если пароль оказался слишком слабым с точки зрения системы, она об этом предупредит (как в примере выше). Пользователь в дальнейшем может поменять свой пароль при помощи команды passwd — но если он попытается поставить слабый пароль, система откажет ему (в отличие от root) в изменении.
В Альт Рабочая станция K для проверки паролей на слабость используется модуль PAM passwdqc.
Программа useradd имеет множество параметров, которые позволяют менять её поведение по умолчанию. Например, можно принудительно указать, какой будет UID или какой группе будет принадлежать пользователь.

90.4. Модификация пользовательских записей

Для модификации пользовательских записей применяется утилита usermod:
# usermod -G audio,rpm,test1 test1
Такая команда изменит список групп, в которые входит пользователь test1 — теперь это audio, rpm, test1.
# usermod -l test2 test1
Будет произведена смена имени пользователя с test1 на test2.
Команды usermod -L test2 и usermod -U test2 соответственно временно блокируют возможность входа в систему пользователю test2 и возвращают всё на свои места.
Изменения вступят в силу только при следующем входе пользователя в систему.
При неинтерактивной смене или задании паролей для целой группы пользователей используйте утилиту chpasswd. На стандартный вход ей следует подавать список, каждая строка которого будет выглядеть как имя:пароль.

90.5. Удаление пользователей

Для удаления пользователей используйте userdel.
Команда userdel test2 удалит пользователя test2 из системы. Если будет дополнительно задан параметр -r, то будет уничтожен и домашний каталог пользователя. Нельзя удалить пользователя, если в данный момент он еще работает в системе.

Глава 91. Документация

Каждый объект системы Linux обязательно сопровождается документацией, описывающей их назначение и способы использования. От пользователя системы не требуется заучивать все возможные варианты взаимодействия с ней. Достаточно понимать основные принципы её устройства и уметь находить справочную информацию.
Не пренебрегайте чтением документации: она поможет вам избежать многих сложностей, сэкономить массу времени и усилий при установке, настройке и администрировании системы, поможет найти нужное для работы приложение и быстро разобраться в нём.

91.1. Экранная документация

Почти все системы семейства UNIX, вкл