Часть II. Установка дистрибутива
В этой части рассматривается процесс установки дистрибутива.
Глава 4. Запись установочного образа на USB Flash
Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик. Таким носителем может быть flash-накопитель, который можно сделать загрузочным.
Для создания загрузочного flash-диска понадобится файл ISO-образа установочного диска с дистрибутивом. Файл ISO-образа диска — это файл специального формата, подготовленный для записи на диск. Установочные ISO-образы являются гибридными (Hybrid ISO/IMG), что позволяет производить установку, записав такой образ на flash-накопитель. О записи установочного образа на USB Flash рассказано в этой главе.
Запись образа дистрибутива на flash-диск приведёт к изменению таблицы разделов на носителе, таким образом, если flash-диск выполнил функцию загрузочного\установочного устройства и требуется вернуть ей функцию переносного накопителя данных, то необходимо удалить все имеющиеся разделы на flash-диске и создать нужное их количество заново.
Для восстановления совместимости flash-диска с операционными системами семейства Windows может понадобиться также пересоздание таблицы разделов (например, при помощи parted). Нужно удалить таблицу GPT и создать таблицу типа MBR (msdos). Кроме того, должен быть создан только один раздел с FAT или NTFS.
4.1. В операционной системе Windows
ALT Media Writer — инструмент, позволяющий записывать образы ALT на портативные накопители, такие как flash-диски. Он может автоматически загружать образы из интернета и записывать их. Для записи образа на flash-диск необходимо:
скачать и установить
ALT Media Writer;
вставить flash-диск в USB-разъем;
запустить ALT Media Writer;
выбрать дистрибутив и нажать кнопку
Создать Live USB…:
Начнётся загрузка образа из интернета;
выбрать устройство (flash-диск);
после окончания загрузки нажать кнопку Записать на диск (если был отмечен пункт Записать образ после загрузки, запись образа начнётся автоматически).
Инструкция для записи образа в программе
Win32 Disk Imager:
скачать ISO-образ дистрибутива;
вставить flash-диск в USB-разъем (размер flash-диска должен быть не меньше размера скачанного образа диска);
запустить Win32 Disk Imager;
в появившимся окне выбрать ISO-образ и устройство (flash-диск):
нажать кнопку Write для записи образа на flash-диск.
Для записи образа на flash-диск подойдёт и утилита
HDD Raw Copy Tool. На первом шаге нужно выбрать файл с образом диска:
На втором шаге нужно выбрать flash-диск, на который будет записан образ:
Будьте внимательны при указании имени USB-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
И, наконец, после проверки правильности выбранных параметров и нажатия кнопки Continue можно приступать к записи, нажав следом кнопку START. По успешному завершению записи окно с индикацией процесса записи закроется, после чего можно закрыть и окно самой программы.
4.2. В операционной системе Linux
Для записи образа на flash-диск можно воспользоваться следующими программами с графическим интерфейсом:
Будьте внимательны при указании имени USB-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
Не добавляйте номер раздела, образ пишется на flash-диск с самого начала!
Для записи установочного образа можно воспользоваться утилитой командной строки
dd:
# dd oflag=direct if=<файл-образа.iso> of=/dev/diskX bs=1M;sync
где <файл-образа.iso> — образ диска ISO, а /dev/diskX — устройство, соответствующее flash-диску.
Для удобства показа прогресса записи можно установить пакет
pv и использовать команду:
# pv <файл-образа.iso> | dd oflag=direct of=/dev/diskX bs=1M;sync
где <файл-образа.iso> — образ диска ISO, а /dev/diskX — устройство, соответствующее flash-диску.
Просмотреть список доступных устройств можно командой lsblk или (если такой команды нет) blkid.
Например, так можно определить имя flash-диска:
$ lsblk | grep disk
sda 8:0 0 931,5G 0 disk
sdb 8:16 0 931,5G 0 disk
sdc 8:32 1 14,4G 0 disk
flash-диск имеет имя устройства sdc.
Затем записать:
# pv /iso/alt-kworkstation-11.1.1-install-x86_64.iso | dd oflag=direct of=/dev/sdc bs=1M;sync
dd: warning: partial read (524288 bytes); suggest iflag=fullblock
3GiB 0:10:28 [4,61MiB/s] [===================================> ] 72% ETA 0:04:07
Не извлекайте flash-диск, пока образ не запишется до конца! Определить финал процесса можно по прекращению моргания индикатора flash-диска либо посредством виджета «Безопасное извлечение съемных устройств».
4.3. В операционной системе OS X
В операционной системе OS X для создания загрузочного flash-диска можно использовать команду:
sudo dd if=alt-kworkstation-11.1.1-install-x86_64.iso of=/dev/rdiskX bs=10M
sync
где
alt-kworkstation-11.1.1-install-x86_64.iso — образ диска ISO, а /dev/rdiskX — flash-диск. Просмотреть список доступных устройств можно командой:
diskutil list
Будьте внимательны при указании имени USB-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
4.4. Проверка целостности записанного образа
Внимание! Если речь идёт о записи на flash-диск образа LiveCD, проверка должна быть выполнена сразу же после записи (без запуска системы с flash-диска). Причина в том, что остаток flash-диска при первом запуске LiveCD форматируется как r/w раздел, при этом меняется и таблица разделов.
Для проверки целостности записанного образа необходимо выполнить следующие шаги:
определить длину образа в байтах:
$ du -b alt-kworkstation-11.1.1-install-x86_64.iso | cut -f1
8938653696
посчитать контрольную сумму образа (или просмотреть контрольную сумму образа из файла
MD5SUM на сервере FTP):
$ md5sum alt-kworkstation-11.1.1-install-x86_64.iso
31ab475feb7ce58b2b9e35cf63ffdfa3 alt-kworkstation-11.1.1-install-x86_64.iso
подсчитать контрольную сумму записанного образа на DVD или USB Flash (выполняется под правами пользователя root):
# head -c 8938653696 /dev/sdd | md5sum
31ab475feb7ce58b2b9e35cf63ffdfa3
где размер после
-c — вывод в п.1, а /dev/sdd — устройство DVD или USB Flash, на которое производилась запись.
Глава 5. Альтернативные способы установки
Обычно для установки дистрибутива используется установочный загрузочный USB flash-накопитель. Если вы производите установку именно таким образом, можете пропустить этот раздел и сразу перейти к разделу
Последовательность установки.
Установка с загрузочного диска — это один из возможных способов установки системы. Он является самым распространённым способом установки системы, но не работает, например, в случае отсутствия на компьютере CD/DVD-привода. Для таких случаев поддерживаются альтернативные методы установки.
Необходимо понимать, что для начала процесса установки необходимо присутствие двух составляющих: возможности загрузить компьютер и доступа к установочным файлам. В случае загрузки с установочного диска эти две возможности предоставляются самим диском: он является загрузочным и содержит все необходимые для установки файлы. Однако, вполне допустим и такой вариант: первоначальная загрузка происходит со специально подготовленного USB flash-накопителя, а установочные файлы берутся с FTP-сервера сети.
Таким образом, для альтернативной установки дистрибутива необходимо:
5.1. Источники установки
После первоначальной загрузки с одного из поддерживаемых носителей можно выбрать — место, откуда программа установки будет брать все необходимые при установке данные (прежде всего устанавливаемое ПО). Так как установка системы возможна не только с лазерного диска, то можно выбрать один из поддерживаемых альтернативных источников установки. Выбрать сетевой источник установки можно, выбрав пункт или нажав клавишу
F4:
Условием для всех способов установки является доступность дерева файлов, аналогичного содержимому установочного диска.
Для сетевой установки рекомендуется использовать протоколы NFS или SMB (SAMBA).
Для установки по FTP/HTTP требуется не менее 8 ГБ ОЗУ на клиентской машине (рекомендуется 12+ ГБ).
5.1.1. Запуск сетевой установки
Для установки системы после нажатия кнопки F4 следует выбрать пункт :
Затем необходимо выбрать источник сетевой установки: FTP, HTTP, NFS или SAMBA-сервер:
Нужно указать имя или IP-адрес сервера и каталог (начиная с /), в котором размещён дистрибутив. В случае установки по протоколу FTP может понадобиться также ввести имя и пароль пользователя.
Пример установки:
имя сервера: 192.168.0.1
каталог:
/pub/netinstall/
в данном каталоге на сервере должны находиться:
Для того чтобы получить подобное дерево каталогов, на стороне сервера достаточно скопировать содержимое установочного лазерного диска в один из подкаталогов FTP-сервера (либо HTTP, NFS или SAMBA-сервера). В описанном примере это каталог /pub/netinstall.
При сетевой установке со стороны клиента (компьютера, на который производится установка) может понадобиться определить параметры соединения с сервером. В этом случае на экране будут появляться диалоги, например, с предложением выбрать сетевую карту (если их несколько) или указать тип IP-адреса: статический (потребуется вписать его самостоятельно) или динамический (DHCP).
После успешного соединения с сервером в память компьютера будет загружен образ установочного диска. После этого начнётся установка системы подобно локальной установке.
Глава 6. Сохранение данных и меры предосторожности
Если вы хотите установить ОС Альт Рабочая станция K и при этом сохранить уже установленную на вашем компьютере операционную систему (например, другую версию GNU/Linux или Microsoft Windows), вам нужно обязательно позаботиться о подготовке компьютера к установке второй системы и о сохранении ценных для вас данных.
Если у вас нет загрузочного диска для уже установленной системы, создайте его. В случае прерванной установки ОС Альт Рабочая станция K или неправильной настройки загрузчика, вы можете потерять возможность загрузиться в вашу предыдущую ОС.
Если на диске, выбранном для установки ОС Альт Рабочая станция K, не осталось свободного раздела, то программа установки должна будет изменить размер существующего раздела. От этой операции могут пострадать ваши данные, поэтому предварительно надо сделать следующие действия:
Выполнить проверку раздела, который вы собираетесь уменьшать. Для этого воспользуйтесь соответствующим программным обеспечением (далее — ПО), входящим в состав уже установленной ОС. Программа установки Альт Рабочая станция K может обнаружить некоторые очевидные ошибки при изменении размера раздела, но специализированное ПО предустановленной ОС справится с этой задачей лучше.
Выполнить дефрагментацию уменьшаемого раздела в целях повышения уровня безопасности данных. Это действие не является обязательным, но мы настоятельно рекомендуем его произвести: изменение размера раздела пройдёт легче и быстрее.
Полной гарантией от проблем, связанных с потерей данных, является резервное копирование!
Глава 7. Начало установки: загрузка системы
7.1. Способы первоначальной загрузки
Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик.
Простейший способ запустить программу установки — загрузить компьютер с помощью загрузочного носителя, находящегося на установочном DVD с дистрибутивом (при условии, что система поддерживает загрузку с устройства для чтения DVD).
Также программу установки можно запустить с другого загрузочного носителя. Например, в качестве загрузочного носителя может использоваться загрузочный USB-flash-накопитель.
Для того чтобы начать установку ОС Альт Рабочая станция K, достаточно загрузиться с носителя, на котором записан дистрибутив.
Предварительно следует включить в BIOS опцию загрузки с оптического привода или с USB-устройства.
В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.
Загрузка с установочного диска или специально подготовленного USB-flash-накопителя начинается с меню, в котором перечислено несколько вариантов загрузки:
— установка операционной системы.
— установка по VNC с соединением в сторону устанавливаемой машины. Параметры установки по VNC передаются как параметры ядра. Нажатие клавиши E позволяет задать пароль (по умолчанию — VNCPWD):
— в этом режиме работа ОС Альт Рабочая станция K осуществляется непосредственно с установочного диска, не затрагивая установленную на жестком диске ОС. Режим LiveCD позволяет быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память.
Установить систему, загрузившись в режиме , нельзя.
— позволяет включить или отключить добавление специальных параметров загрузки ядра, предназначенных для безопасного режима (может быть полезно для запуска системы на старом или нестабильном железе):
— позволяет выбрать язык интерфейса загрузчика и программы установки (нажатие клавиши F2 вызывает такое же действие).
— позволяет выбрать сетевой источник установки (нажатие клавиши
F4 вызывает такое же действие). Подробнее рассказано в разделе
Источники установки.
— проверка целостности оперативной памяти. Процесс диагностики заключается в проведении нескольких этапов тестирования каждого отдельного модуля ОЗУ (данный процесс будет выполняться бесконечно, пока его не остановят, необходимо дождаться окончания хотя бы одного цикла проверки);
— оболочка/терминал для прошивки, позволяющий запускать EFI-приложения, в том числе загрузчики UEFI;
— позволяет получить доступ к настройкам UEFI.
Начальный загрузчик в режиме Legacy:
Пункт позволяет запустить уже установленную на жёстком диске операционную систему.
Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.
Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз выбрать пункт меню и нажать Enter. Начальный этап установки не требует вмешательства пользователя: происходит автоматическое определение оборудования и запуск компонентов программы установки. Сообщения о происходящем на данном этапе можно просмотреть, нажав клавишу ESC.
Сочетание клавиш Ctrl+Alt+F1 — выдает технические сведения о выполнении процесса установки ОС Альт Рабочая станция K.
В начальном загрузчике установлено небольшое время ожидания: если в этот момент не предпринимать никаких действий, то будет загружена та система, которая уже установлена на жестком диске. Если вы пропустили нужный момент, перезагрузите компьютер и вовремя выберите пункт .
Глава 8. Последовательность установки
До того как будет произведена установка базовой системы на жёсткий диск, программа установки работает с образом системы загруженным в оперативную память компьютера.
Если инициализация оборудования завершилась успешно, будет запущен графический интерфейс программы-установщика. Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно. Переход к следующему шагу происходит по нажатию кнопки Далее. При помощи кнопки Назад, при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.
Если по каким-то причинам возникла необходимость прекратить установку, необходимо нажать кнопку <Reset> на корпусе системного блока компьютера.
Совершенно безопасно выполнить отмену установки только до шага
Подготовка диска, поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами
Подготовка диска и
Установка загрузчика, существует вероятность, что после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем (если такие имеются).
Технические сведения о ходе установки можно посмотреть, нажав Ctrl+Alt+F1, вернуться к программе установки — Ctrl+Alt+F7. По нажатию Ctrl+Alt+F2 откроется отладочная виртуальная консоль.
Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку Справка или нажав клавишу F1.
Нажатие на кнопку
позволяет показать/скрыть панель со списком шагов установки:
Во время установки системы выполняются следующие шаги:
Установка Альт Рабочая станция K начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы.
На этом же этапе выбирается вариант переключения раскладки клавиатуры. Раскладка клавиатуры — это привязка букв, цифр и специальных символов к клавишам на клавиатуре. Помимо ввода символов на основном языке, в любой системе Linux необходимо иметь возможность вводить латинские символы (имена команд, файлов и т.п.). Для этого обычно используется стандартная английская раскладка клавиатуры. Переключение между раскладками осуществляется при помощи специально зарезервированных для этого клавиш. Для русского языка доступны следующие варианты переключения раскладки:
Если выбранный основной язык имеет всего одну раскладку (например, при выборе английского языка в качестве основного), эта единственная раскладка будет принята автоматически.
Глава 10. Лицензионное соглашение
Перед продолжением установки следует внимательно прочитать условия лицензии. В лицензии говорится о ваших правах. В частности, за вами закрепляются права на:
эксплуатацию программ на любом количестве компьютеров и в любых целях;
распространение программ (сопровождая их копией авторского договора);
получение исходных текстов программ.
Если вы приобрели дистрибутив, то данное лицензионное соглашение прилагается в печатном виде к вашей копии дистрибутива. Лицензия относится ко всему дистрибутиву Альт Рабочая станция K. Если вы согласны с условиями лицензии, отметьте пункт Да, я согласен с условиями и нажмите Далее.
На данном этапе выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы.
Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.
Для указания часового пояса в соответствующих списках выберите регион, а затем город. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Пункт Хранить время в BIOS по Гринвичу выставляет настройки даты и времени в соответствии с часовыми поясами, установленными по Гринвичу, и добавляет к местному времени часовую поправку для выбранного региона.
После выбора часового пояса будут предложены системные дата и время по умолчанию.
Для ручной установки текущих даты и времени нужно нажать кнопку Изменить…. Откроется окно ручной настройки системных параметров даты и времени.
Для синхронизации системных часов с удаленным сервером времени (NTP) по локальной сети или по сети Интернет нужно отметить пункт Получать точное время с NTP-сервера и указать предпочитаемый NTP-сервер. В большинстве случаев можно указать сервер pool.ntp.org.
Если выбрана опция Получать точное время с NTP-сервера, то компьютер может и сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами локальной сети. Для активации этой возможности необходимо отметить пункт Работать как NTP-сервер.
Для сохранения настроек и продолжения установки системы в окне ручной установки даты и времени необходимо нажать кнопку ОК и затем в окне Дата и время нажать кнопку Далее.
В случае если ОС Альт Рабочая станция K устанавливается как вторая ОС, необходимо снять отметку с пункта Хранить время в BIOS по Гринвичу, иначе время в уже установленной ОС может отображаться некорректно.
Глава 12. Настройка сети
На этом этапе необходимо задать параметры работы сетевой карты и настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.
В окне
Настройка сети доступны следующие поля:
Имя компьютера — сетевое имя компьютера (это общий сетевой параметр, не привязанный к какому-либо конкретному интерфейсу);
Интерфейсы — список доступных сетевых интерфейсов;
Версия протокола IP — используемая версия IP-протокола (IPv4, IPv6);
Конфигурация — способ назначения IP-адресов (, , );
IP-адреса — пул назначенных IP-адресов (формируется из введённых в поле Добавить ↑ IP, для удаления адреса используется кнопка Удалить);
Добавить ↑ IP — позволяет вручную ввести IP-адрес и выбрать маску сети из выпадающего списка. Для добавления адреса в пул IP-адресов нужно нажать кнопку Добавить;
Шлюз по умолчанию — адрес маршрутизатора (шлюза), используемого по умолчанию;
DNS-серверы — список DNS-серверов, используемых для разрешения доменных имён;
Домены поиска — список доменов, по которым будет выполняться поиск (используется, например, при неполных DNS-запросах).
При переключении конфигурации с на в поле IP-адреса может отображаться IP-адрес, полученный по DHCP. Этот адрес никак не используется в дальнейшей настройке. Необходимо удалить отображаемый IP-адрес и задать адрес вручную, иначе сетевому интерфейсу будет назначен IP-адрес локальной заглушки (например, 127.0.0.2).
В окне, открываемом при нажатии кнопки Дополнительно, можно выбрать сетевую подсистему (NetworkManager, Etcnet) для данного интерфейса, а также указать, должен ли интерфейс запускаться автоматически при загрузке системы.
Для совместимости с именем компьютера в сетях Windows (netbios name), имя компьютера не должно превышать 15 символов.
Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.
12.1. Настройка Wi-Fi-соединения
При наличии беспроводной сетевой карты на этом шаге возможно настроить подключение к беспроводной сети.
Для настройки подключения необходимо:
В списке Интерфейсы выбрать беспроводной интерфейс и нажать кнопку Настройка беспроводной связи…:
В списке Найденные сети выбрать нужную сеть и нажать кнопку Настроить:
Если нужная сеть не отображается в списке Найденные сети, нажмите кнопку Сканировать.
В списке Настроенные сети выбрать добавленную сеть, в поле Защита указать режим безопасности, а в поле Сменить пароль — пароль для подключения к точке доступа:
Для применения настроек нажать кнопку Применить.
Для возврата к основным настройкам нажать кнопку OK.
Для создания VLAN-интерфейсов необходимо выполнить следующие действия:
В списке Интерфейсы выбрать сетевой интерфейс и нажать кнопку Настройка VLAN…:
Ввести VLAN ID (число от 1 до 4095) в поле VID и нажать кнопку Добавить VLAN:
Следует обратить внимание, что значение 4094 является верхней допустимой границей идентификатора VLAN. Значение 4095 зарезервировано и используется для технических нужд, например, при отбрасывании трафика с некорректным VLAN.
Повторить предыдущий пункт, если требуется создать несколько VLAN-интерфейсов.
Для возврата к основным настройкам нажать кнопку Назад.
В результате будут созданы виртуальные интерфейсы с именем, содержащим VLAN ID. Для этих интерфейсов можно задать IP-адрес и, при необходимости, дополнительные параметры:
Для удаления VLAN-интерфейса следует в списке Интерфейсы выбрать «родительский» сетевой интерфейс и нажать кнопку Настройка VLAN…. Затем в открывшемся окне выбрать нужный VLAN-интерфейс и нажать кнопку Удалить.
Глава 13. Выбор дополнительных приложений
На данном этапе программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС Альт Рабочая станция K и установлены вместе с ней на диск.
В любом дистрибутиве Альт Рабочая станция K доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.
В ОС Альт Рабочая станция K все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.
В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку, тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов именно те, которые необходимы для решения наиболее распространённых задач.
Рабочая станция — пользователю будет доступна стандартная рабочая среда;
Веб-терминал — пользователю будет доступна рабочая среда, состоящая из одного веб-браузера.
При выборе профиля Рабочая станция можно изменить состав устанавливаемых пакетов.
Выбирать пакеты при выборе профиля Веб-терминал не имеет смысла, так как пользователям в любом случае будет доступен только веб-браузер.
Для удобства дополнительные приложения сгруппированы по решаемым задачам. Опция Показывать состав группы выводит список программных пакетов, входящих в состав той или иной группы пакетов:
Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.
Выбирать группу пакетов Планшетный компьютер следует только в том случае, если вы устанавливаете систему на планшетный компьютер с сенсорным экраном.
При выборе группы пакетов Веб-терминал пользователю будет доступна рабочая среда, состоящая из одного веб-браузера.
Выбрав необходимые группы, следует нажать Далее.
Глава 14. Подготовка диска
На этом этапе подготавливается площадка для установки Альт Рабочая станция K, в первую очередь — выделяется свободное место на диске.
Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и т.п.
14.1. Выбор профиля разбиения диска
После завершения первичной конфигурации загрузочного носителя откроется окно Подготовка диска. В списке разделов перечислены уже существующие на жёстких дисках разделы (в том числе здесь могут оказаться съёмные flash-диски, подключённые к компьютеру в момент установки).
В списке
Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:
Установка рабочей станции (совместима с Timeshift);
Установка рабочей станции;
Установка рабочей станции (без LVM);
Вручную.
Первые три профиля предполагают автоматическое разбиение диска.
14.2. Автоматические профили разбиения диска
При выборе профиля Установка рабочей станции (совместима с Timeshift) будет создан раздел BtrFS с разбивкой на подразделы @ и @home:
Для создания резервных копий системы (снимков), с использованием встроенных средств файловой системы BtrFS, можно использовать программу
Timeshift (см.
Резервное копирование (Timeshift)).
При выборе профиля Установка рабочей станции будет создан логический том с разбивкой на swap и корень:
При выборе профиля Установка рабочей станции (без LVM) будет создан раздел под корень (swap и раздел под efi автоматически):
Если результат вас по каким-то причинам не устраивает, прямо сейчас можно его отредактировать.
От возможности редактировать результат разбиения можно отказаться, сняв выделение с пункта Предложить сделать мои изменения после применения профиля. В этом случае никакой информации о распределении дискового пространства на экране отображаться не будет. После осуществления физических изменений на жестком диске начнется установка базовой системы. Этот вариант подойдет для установки на чистый диск.
Рядом с названием профиля указан минимальный объём свободного места на диске, требуемый для установки в соответствии с данным профилем.
Если при применении одного из профилей автоматического разбиения диска доступного места на диске окажется недостаточно, то на монитор будет выведено сообщение об ошибке: Невозможно применить профиль, недостаточно места на диске:
Для решения этой проблемы можно полностью очистить место на диске, отметив пункт Очистить выбранные диски перед применением профиля и применить профиль повторно.
Если сообщение о недостатке места на диске появляется и при отмеченном пункте Очистить выбранные диски перед применением профиля, то это связано с недостаточным для использования автоматических методов разметки объёмом всего диска. В этом случае вы можете воспользоваться методом ручной разметки: профиль Вручную.
При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.
Для продолжения установки следует нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.
14.3. Ручной профиль разбиения диска
При необходимости освободить часть дискового пространства следует воспользоваться профилем разбиения вручную. Вы сможете удалить некоторые из существующих разделов или содержащиеся в них файловые системы. После этого можно создать необходимые разделы самостоятельно или вернуться к шагу выбора профиля и применить один из автоматических профилей. Выбор этой возможности требует знаний об устройстве диска и технологиях его разметки.
По нажатию Далее будет произведена запись новой таблицы разделов на диск и форматирование разделов. Только что созданные на диске программой установки разделы пока не содержат данных и поэтому форматируются без предупреждения. Уже существовавшие, но изменённые разделы, которые будут отформатированы, помечаются специальным значком в колонке Файловая система слева от названия. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки Далее.
Не следует форматировать разделы с теми данными, которые вы хотите сохранить, например, со старыми пользовательскими данными (/home) или с другими операционными системами. Отформатировать можно любые разделы, которые вы хотите «очистить» (т.е. удалить все данные).
Не уменьшайте NTFS-раздел с установленной Microsoft Windows Vista/Windows 7 средствами программы установки. В противном случае вы не сможете загрузить Microsoft Windows Vista/Windows 7 после установки Альт Рабочая станция K. Для выделения места под установку Альт Рабочая станция K воспользуйтесь средствами, предоставляемыми самой Microsoft Windows Vista/Windows 7: Управление дисками → Сжать.
Для того чтобы система правильно работала (в частности могла загрузиться) с UEFI, при ручном разбиении диска надо обязательно сделать точку монтирования
/boot/efi, в которую нужно смонтировать vfat раздел с загрузочными записями. Если такого раздела нет, то его надо создать вручную. При разбивке жёсткого диска в автоматическом режиме такой раздел создаёт сам установщик. Особенности разбиения диска в UEFI-режиме:
требуется создать новый или подключить существующий FAT32-раздел с GPT-типом ESP (efi system partition) размером ~100—500 Мб (будет смонтирован в /boot/efi);
может понадобиться раздел типа bios boot partition минимального размера, никуда не подключенный и предназначенный для встраивания grub2-efi;
остальные разделы — и файловая система, и swap — имеют GPT-тип basic data; актуальный тип раздела задаётся отдельно.
Для сохранения всех внесенных настроек и продолжения установки в окне Подготовка диска нужно нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.
14.4. Дополнительные возможности разбиения диска
Ручной профиль разбиения диска позволяет установить ОС на программный RAID-массив, разместить разделы в томах LVM и использовать шифрование на разделах. Данные возможности требуют от пользователя понимания принципов функционирования указанных технологий.
14.4.1. Создание программного RAID-массива
Избыточный массив независимых дисков RAID (redundant array of independent disks) — технология виртуализации данных, которая объединяет несколько жёстких дисков в логический элемент для избыточности и повышения производительности.
Обратите внимание, что для создания программного RAID-массива потребуется минимум два жёстких диска.
Программа установки поддерживает создание программных RAID-массивов следующих типов:
RAID 1;
RAID 0;
RAID 4/5/6;
RAID 10.
Процесс подготовки к установке на RAID условно можно разбить на следующие шаги:
создание разделов на жёстких дисках;
создание RAID-массивов на разделах жёсткого диска;
создание файловых систем на RAID-массиве.
Для создания программного RAID-массива может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.
Системный раздел EFI должен быть физическим разделом в основной таблице разделов диска.
Для настройки параметров нового раздела из состава RAID-массива необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
Для создания программного массива на GPT-разделах следует сначала создать разделы типа basic data и не создавать на них том (снять отметку с пункта Создать том):
В этом окне необходимо настроить следующие параметры:
Размер — в поле необходимо указать размер будущего раздела в Мбайт;
Смещение — в поле необходимо указать смещение начала данных на диске в Мбайт;
Тип раздела — в выпадающем поле нужно выбрать значение для последующего включения раздела в RAID-массив.
В режиме Legacy при создании разделов на жёстких дисках для последующего включения их в RAID-массивы следует указать Тип раздела для них равным :
На втором диске создать два раздела с типом без создания на них томов. При этом разделы на разных дисках должны совпадать по размеру.
При создании разделов следует учесть, что объём результирующего массива может зависеть от размера, включённых в него разделов жёсткого диска. Например, при создании RAID 1 результирующий размер массива будет равен размеру минимального участника.
После создания разделов на дисках можно переходить к организации самих RAID-массивов. Для этого в списке следует выбрать пункт RAID, после чего нажать кнопку Создать RAID:
Далее мастер предложит выбрать тип массива:
И указать участников RAID-массива (по умолчанию выбираются все разделы, поэтому необходимо снять отметку с раздела ):
Результат создания RAID-массива:
После того, как RAID-массив создан, его можно использовать как обычный раздел на жёстком диске, то есть, на нём можно создавать файловые системы или же, например, включать в LVM-тома.
После установки системы можно будет создать ещё один RAID-массив и добавить в него загрузочный раздел (/boot/efi).
14.4.2. Создание LVM-томов
Менеджер логических дисков LVM (Logical Volume Manager) — средство гибкого управления дисковым пространством, которое позволяет создавать поверх физических разделов (либо неразбитых дисков) логические тома, которые в самой системе будут видны как обычные блочные устройства с данными (обычные разделы).
Процесс подготовки к установке на LVM условно можно разбить на следующие шаги:
создание разделов на жёстких дисках;
создание группы томов LVM;
создание томов LVM;
создание файловых систем на томах LVM.
Для создания группы томов LVM может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.
Системный раздел EFI должен быть физическим разделом в основной таблице разделов диска, не под LVM.
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
При создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным и не создавать на них том (снять отметку с пункта Создать том):
В режиме Legacy при создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным :
После создания разделов на дисках можно переходить к созданию группы томов LVM. Для этого в списке следует выбрать пункт LVM, после чего нажать кнопку Создать группу томов:
В открывшемся окне необходимо выбрать разделы, которые будут входить в группу томов, указать название группы томов и выбрать размер экстента:
Размер экстента представляет собой наименьший объем пространства, который может быть выделен тому. Размер экстента по умолчанию 65536 (65536*512 байт = 32 Мб, где 512 байт — размер сектора).
После того, как группа томов LVM создана, её можно использовать как обычный жёсткий диск, то есть внутри группы томов можно создавать тома (аналог раздела на физическом жёстком диске) и файловые системы внутри томов.
14.4.3. Создание шифрованных разделов
Программа установки позволяет создавать шифрованные разделы.
Процесс создания шифрованного раздела ничем не отличается от процесса создания обычного раздела и инициируется нажатием на кнопку Создать шифруемый раздел:
В открывшемся окне доступны следующие настройки:
Размер — общий размер шифрованного тома;
Смещение — настройка осуществляется с помощью ползунка либо путём ввода значения с клавиатуры (в поле необходимо указать смещение начала данных на диске в Мбайт);
Тип раздела — в выпадающем поле нужно выбрать значение Linux filesystem или basic data;
Создать шифруемый том — отметить пункт для автоматического перехода к настройке файловой системы на данном разделе;
Показывать дополнительные настройки — отобразить дополнительные настройки при последующей работе с разделом.
После создания шифрованного раздела мастер, как и при создании обычного раздела, предложит создать на нём файловую систему и при необходимости потребует указать точку монтирования.
Установка загрузчика на шифрованный раздел не поддерживается.
14.4.4. Создание подтомов BtrFS
BtrFS — файловая система, которая может работать с очень большими файлами, имеется поддержка снимков файловой системы (снапшотов), сжатие и подтома.
Подтом (subvolume) не является блочным устройством, но в каждом томе btrfs создаётся один подтом верхнего уровня (subvolid=5), в этом подтоме могут создаваться другие подтома и снапшоты. Подтома (подразделы, subvolumes) создаются ниже вершины дерева BtrFS по мере необходимости, например, для
/ и
/home создаются подтома с именами @ и @home. Это означает, что для монтирования подтомов необходимы определенные параметры вместо корня системы BtrFS по умолчанию:
Программа установки Альт Рабочая станция K позволяет создать подтома (subvolume), указав разные точки монтирования.
Процесс подготовки к установке на подтома условно можно разбить на следующие шаги:
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
При создании раздела на жёстком диске следует указать Тип раздела равным или :
В режиме Legacy при создании раздела на жёстком диске следует указать Тип раздела равным :
На следующем шаге выбрать файловую систему BtrFS:
В окне Изменить точку монтирования нажать кнопку Отмена (не указывать точку монтирования для раздела):
После создания раздела можно переходить к созданию подтомов. Для этого в списке следует выбрать раздел с файловой системой BtrFS, после чего нажать кнопку Создать подтом:
В открывшемся окне следует указать имя подтома или путь до него. Создание подтома @home:
Данное действие следует повторить для создания подтома @.
После создания подтомов необходимо указать точки монтирования для каждого тома. Для этого выбрать подтом и нажать кнопку Изменить точку монтирования:
В открывшемся окне указать точку монтирования:
После указания точек монтирования для подтомов можно установить систему как обычно.
Глава 15. Установка системы
На данном этапе происходит распаковка ядра и установка набора программ, необходимых для работы ОС Альт Рабочая станция K.
Установка происходит автоматически в два этапа:
получение пакетов;
установка пакетов.
Получение пакетов осуществляется из источника, выбранного на этапе начальной загрузки. При сетевой установке (по протоколу FTP или HTTP) время выполнения этого шага будет зависеть от скорости соединения и может быть значительно большим в сравнении с локальной установкой.
Глава 16. Сохранение настроек
Начиная с данного этапа, программа установки работает с файлами только что установленной базовой системы. Все последующие изменения можно будет совершить после завершения установки посредством редактирования соответствующих конфигурационных файлов или при помощи модулей управления, включенных в дистрибутив.
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
На этом шаге производится перенос настроек, выполненных на первых шагах установки, в только что установленную базовую систему. Производится также запись информации о соответствии разделов жесткого диска смонтированным на них файловым системам (заполняется конфигурационный файл /etc/fstab).
После сохранения настроек осуществляется автоматический переход к следующему шагу.
Глава 17. Установка загрузчика
Загрузчик ОС — это программа, которая позволяет загружать Альт Рабочая станция K другие ОС, если они установлены на данной машине.
При установке на
EFI модуль установки загрузчика предложит вариант установить загрузчик в специальный раздел «» (рекомендуется выбрать автоматическое разбиение на этапе разметки диска для создания необходимых разделов для загрузки с
EFI):
Варианты установки загрузчика при установке в режиме EFI:
— при установке загрузчика в NVRAM будет добавлена запись, без которой большинство компьютеров не смогут загрузиться во вновь установленную ОС;
— перед добавлением записи в NVRAM её содержимое будет сохранено в /root/.install-log, после чего из неё будут удалены все загрузочные записи, что приведёт к восстановлению полностью заполненной NVRAM и гарантирует загрузку вновь установленной ОС;
— этот вариант следует выбрать, только если инсталлятор не может создать запись в NVRAM или если заведомо известно, что запись в NVRAM может вывести компьютер из строя (вероятно, запись в NVRAM придётся создать после установки ОС средствами BIOS Setup);
— этот вариант следует выбрать, только если ОС устанавливается на съёмный накопитель. Этот вариант также можно использовать вместо варианта при условии, что это будет единственная ОС на данном накопителе. Создавать запись в NVRAM не потребуется.
Выбор варианта установки загрузчика, зависит от вашего оборудования. Если не работает один вариант, попробуйте другие.
Установка загрузчика при установке в режиме Legacy:
Программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС Альт Рабочая станция K. Положение загрузчика, в случае необходимости, можно изменить в списке Устройство, выбрав другой раздел.
Если же вы планируете использовать и другие ОС, уже установленные на этом компьютере, тогда имеет значение, на каком жёстком диске или в каком разделе будет расположен загрузчик.
Для ограничения доступа к опциям загрузки можно установить пароль на загрузчик. Для этого необходимо отметить пункт Установить или сбросить пароль и задать пароль в появившихся полях для ввода.
При необходимости изменения опций загрузки при старте компьютера потребуется ввести имя пользователя «boot» и заданный на этом шаге пароль.
Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.
Глава 18. Установка пароля на шифрованные разделы
Если вы не создавали шифруемые разделы, то этот шаг пропускается автоматически. В этом случае сразу переходите к главе
Администратор системы.
На этом этапе требуется ввести пароль для шифруемых разделов. Этот пароль потребуется вводить для того, чтобы получать доступ к информации на данных разделах.
Например, если вы зашифровали /home, то во время загрузки системы будет необходимо ввести пароль для этого раздела, иначе вы не сможете получить доступ в систему под своим именем пользователя.
Внимание! Запомните этот пароль (набранный вручную или сгенерированный автоматически), так как, без знания пароля, доступ к зашифрованным разделам будет невозможен.
Глава 19. Администратор системы
На данном этапе загрузчик создает учетную запись администратора. В открывшемся окне необходимо ввести пароль учетной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учетной записи вводится дважды.
Чтобы избежать последствий неверной раскладки клавиатуры можно просмотреть пароль, который будет сохранен. Для этого нажмите на значок глаза в поле ввода:
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.
Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.
Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки Альт Рабочая станция K. Более подробную информацию о режиме суперпользователя вы можете прочитать в главе
Режим суперпользователя.
Подтверждение введенного (или сгенерированного) пароля учетной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.
Глава 20. Системный пользователь
На данном этапе программа установки создает учетную запись системного пользователя (пользователя) ОС Альт Рабочая станция K.
Помимо администратора (root) в систему необходимо добавить, по меньшей мере, одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.
При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).
Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В процессе установки создаётся учётная запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя. Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.
Если отметить пункт Автоматический вход в систему, пользователь будет автоматически входить в систему.
Подтверждение введенного (или сгенерированного) пароля учетной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.
Глава 21. Завершение установки
На экране последнего шага установки отображается информация о завершении установки Альт Рабочая станция K.
После нажатия кнопки Завершить автоматически начнется перезагрузка системы.
Не забудьте извлечь установочный диск (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.
Глава 22. Установка OEM-версии ОС Альт Рабочая станция K
При установке ОС Альт Рабочая станция K в режиме OEM операционная система устанавливается с учётной записью временного пользователя и подготавливается для будущего пользователя. В этом режиме можно выполнить всю аппаратную настройку и выбрать необходимые пакеты программ. Пользователю при первом запуске будет предоставлена возможность выполнить персональные настройки: задать имя пользователя, выбрать язык интерфейса и т.д.
После завершения установки компьютер можно передать конечному пользователю.
При первой загрузке системы пользователь попадет в мастер начальной настройки системы, который состоит из следующих шагов:
Выбор основного языка системы:
Сообщение с напоминанием о том, что производится первоначальная настройка системы, а не установка:
Настройка сетевых параметров:
Выбор часового пояса, по которому будут установлены часы:
Установка пароля учетной записи администратора (root):
Возможность удаления ранее созданных учётных записей системных пользователей:
Не удаляйте пользователя nobody. Этот системный пользователь используется для обеспечения безопасности и корректной работы некоторых служб.
Создание новой учётной записи системного пользователя:
Завершение настройки системы:
Глава 23. Обновление системы до актуального состояния
После установки системы, её лучше сразу обновить до актуального состояния. Можно не обновлять систему и сразу приступать к работе только в том случае, если вы не планируете подключаться к сети или Интернету, не собираетесь устанавливать дополнительных программ.
Глава 24. Автоматическая установка системы (autoinstall)
ОС Альт Рабочая станция K можно установить в автоматическом режиме. Для этого потребуется установочный диск и доступный по сети (по протоколам HTTP или FTP) каталог с несколькими файлами.
Пример настройки FTP-сервера см. в разделе
FTP.
24.1. Файлы автоустановки
Файлы автоустановки:
pkg-groups.tar — архив, содержащий дополнительные к базовой системе группы пакетов;
autoinstall.scm — сценарий автоматической установки на языке Scheme;
vm-profile.scm — сценарий с вариантами автоматической разбивки жёсткого диска на языке Scheme;
install-scripts.tar — архив, содержащий дополнительные скрипты для preinstall.d и postinstall.d в одноимённых каталогах. Скрипты должны быть исполняемыми. Скрипты из архива заменяют одноимённые скрипты инсталлятора.
Файлы, описывающие процесс установки, необходимо поместить в каталог (например, metadata), доступный по сети по протоколам HTTP или FTP.
24.1.1. Формат файла vm-profile.scm
Файл vm-profile.scm содержит сценарий на языке Scheme, описывающий формат автоматической разбивки жёсткого диска.
Пример файла
vm-profile.scm с одним профилем (kworkstation) разбивки жёсткого диска:
((kworkstation
(title . "Setup for kworkstation")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
("/" (size 40960000 . 40960000 ) (fsim . "Ext4") (methods plain))
("/home" (size 20480000 . #t ) (fsim . "Ext4") (methods plain))))
)
В примере указана разбивка:
подкачка (swap) — 1024 МБ;
корневой раздел (/) — 20 ГБ;
/home — всё оставшееся место, но не меньше 10 ГБ.
Все числа в файле vm-profile.scm указываются в виде 512-байтных блоков, поэтому чтобы получить размер в байтах, нужно умножить значения на 512.
Добавление записи для /boot/efi не требуется — установщик создаст его автоматически.
Пример файла
vm-profile.scm с тремя профилями разбивки жёсткого диска:
((kworkstation
(title . "Setup for kworkstation")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
("/" (size 40960000 . 40960000 ) (fsim . "Ext4") (methods plain))
("/home" (size 2048000 . #t ) (fsim . "Ext4") (methods plain))))
(kworkstation_lvm
(title . "Setup for kworkstation LVM")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods lvm))
("/" (size 16384000 . #t ) (fsim . "Ext4") (methods lvm))))
(timeshift
(title . "Timeshift-compatible setup")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
("" (size 40960000 . #t) (fsim . "BtrFS") (methods plain) (subvols ("@" . "/") ("@home" . "/home")))))
)
В примере указаны профили:
kworkstation — подкачка (swap), корневой раздел и раздел /var;
kworkstation_lvm — логический том (LVM) с разбивкой на swap и корень;
timeshift — подкачка (swap) и раздел BtrFS с разбивкой на подтома @ и @home.
Имя нужного профиля указывается в файле
autoinstall.scm:
("/evms/profiles/workstation" action apply commit #f clearall #t exclude ())
В текущей версии автоустановки невозможно указать конкретный жёсткий диск — установка выполняется на первый обнаруженный диск в системе.
24.1.2. Формат файла pkg-groups.tar
Файл
pkg-groups.tar представляет собой tar-архив с двумя подкаталогами:
groups — содержит описание групп программного обеспечения в файлах *.directory;
lists — содержит файлы со списками пакетов для каждой группы и скрытый файл .base, содержащий список пакетов «базовой системы» (то есть те пакеты, которые устанавливаются в любом случае).
Файл pkg-groups.tar проще всего взять из установочного iso-образа из каталога /Metadata/ и доработать, если необходимо.
Для изменения списка пакетов:
Распаковать архив, например, выполнив команду:
$ tar xf pkg-groups.tar
Перейти в подкаталог
lists и добавить или изменить файл группы. Имена пакетов указываются по одному в каждой строке, например, содержимое файла
admc:
admc
alterator-gpupdate
gpupdate
local-policy
admx-basealt
samba-dc-common
admx-firefox
admx-chromium
gpui
Упаковать архив, например, выполнив команду:
$ tar cf pkg-groups.tar groups lists
Имя файла используемой группы затем указывается через пробел в
autoinstall.scm:
(("pkg-install") action "write" lists "group-1 group-2" auto #t)
где
group-1 и
group-2 — имена файлов со списками пакетов из подкаталога
lists.
В качестве источника пакетов при установке выступает сам диск, поэтому указание пакетов, которых нет на диске, приведёт к сбою установки.
24.1.3. Формат файла autoinstall.scm
Файл autoinstall.scm представляет собой командный скрипт для программы установки, написанный с использованием языка программирования Scheme. Каждая строка скрипта — команда для соответствующего модуля программы установки.
Ниже приведён пример файла autoinstall.scm для частного случая установки. Если требуются особые настройки, рекомендуется сначала выполнить установку вручную, изучить лог выполняемых команд в /root/.install-log/wizard.log и на его основе составить собственный скрипт autoinstall.scm.
Пример файла
autoinstall.scm:
; установка языка операционной системы (ru_RU)
("/sysconfig-base/language" action "write" lang ("ru_RU"))
; установка переключателя раскладки клавиатуры на Ctrl+Shift
("/sysconfig-base/kbd" language ("ru_RU") action "write" layout "ctrl_shift_toggle")
; установка часового пояса в Europe/Moscow, время в BIOS будет храниться в UTC
("/datetime-installer" action "write" commit #t name "RU" zone "Europe/Moscow" utc #t)
; настройка сетевого интерфейса на получение адреса по DHCP
("/net-eth" action "write" reset #t)
("/net-eth" action "write" name "enp0s3" ipv "4" configuration "dhcp" default "" search "" dns "" computer_name "newhost" ipv_enabled #t)
("/net-eth" action "write" commit #t)
; автоматическая разбивка жёсткого диска в профиле kworkstation_lvm
("/evms/control" action "write" control open installer #t)
("/evms/control" action "write" control update)
("/evms/profiles/kworkstation_lvm" action apply commit #f clearall #t exclude ())
("/evms/control" action "write" control commit)
("/evms/control" action "write" control close)
; установка пакетов операционной системы
("pkg-install-init" action "write")
; установка только базовой системы (дополнительные группы пакетов из pkg-groups.tar указываются по именам через пробел)
("/pkg-install" action "write" lists "" auto #t)
("/preinstall" action "write")
; установка загрузчика GRUB в EFI
("/grub" action "write" device "efi" passwd #f passwd_1 "*" passwd_2 "*")
; установка пароля суперпользователя root '123'
("/root/change_password" passwd_2 "123" passwd_1 "123")
; задание первого пользователя 'user' с паролем '123'
("/users/create_account" new_name "user" gecos "user" allow_su #t auto #f passwd_1 "123" passwd_2 "123" autologin #f)
;("/postinstall/firsttime" script "ftp://192.168.0.123/metadata/update.sh")
В данном примере будет выполнена установка системы в минимальном профиле (дополнительное ПО в состав устанавливаемых пакетов включаться не будет). Если необходимо установить, например, программы для поддержки принтеров и сканеров, в список устанавливаемых пакетов нужно добавить группы kworkstation/sound-editing и kworkstation/video-editing:
("/pkg-install" action "write" lists "kworkstation/printing kworkstation/scanning" auto #t)
При установке системы в режиме EFI загрузчик устанавливается в соответствующий раздел. Пример установки пароля на загрузчик в режиме EFI (пароль '123'):
("/grub" action "write" device "efi" passwd #t passwd_1 "123" passwd_2 "123")
При установке в режиме Legacy загрузчик GRUB следует установить на первый жёсткий диск, например:
("/grub" action "write" device "/dev/sda" passwd #f passwd_1 "*" passwd_2 "*")
Пример настройки сетевого интерфейса со статическим IP-адресом:
("/net-eth" action "write" reset #t)
("/net-eth" action "write" name "enp0s3" ipv "4" configuration "static" default "192.168.0.1" search "" dns "8.8.8.8" computer_name "newhost" ipv_enabled #t)
("/net-eth" action "add_iface_address" name "enp0s3" addip "192.168.0.25" addmask "24" ipv "4")
("/net-eth" action "write" commit #t)
где:
addip "192.168.0.25" — IP-адрес;
default "192.168.0.1" — шлюз по умолчанию;
dns "8.8.8.8" — DNS-сервер;
computer_name "newhost" — имя хоста.
В конец файла
autoinstall.scm можно добавить шаг
/postinstall, позволяющий выполнить команду или скрипт в конце установки или при первом запуске системы. Например:
("/postinstall/firsttime" script "ftp://192.168.0.123/metadata/update.sh")
У шага /postinstall есть два уровня запуска:
И два метода (method) указания скрипта запуска:
Примеры:
("/postinstall/firsttime" script "http://server/script.sh")
("/postinstall/firsttime" run "curl --silent --insecure http://server/finish")
("/postinstall/laststate" script "http://server/script.sh")
("/postinstall/laststate" run "curl --silent --insecure http://server/gotoreboot")
На уровне
laststate для работы с установленной системой требуется указывать пути с
$destdir или выполнять команды через run_chroot:
#!/bin/sh
a= . install2-init-functions
run_chroot sh -c "date > /root/STAMP_1"
date > $destdir/root/STAMP_2
24.1.4. Формат файла install-scripts.tar
Файл install-scripts.tar представляет собой tar-архив содержащий дополнительные скрипты.
Скрипты preinstall.d выполняются сразу после установки базовой системы. Как правило, это скрипты для дополнительной настройки базовой системы (перед установкой дополнительного набора ПО) и для переноса настроек из среды инсталлятора. Добавлять сюда свои собственные скрипты стоит только тогда, когда вы чётко представляете свои цели. Скрипты postinstall.d выполняются сразу после последнего шага инсталлятора. Как правило, это скрипты, удаляющие служебные пакеты инсталлятора из базовой системы. Если нужно сделать какие-нибудь специфические настройки системы, то это можно сделать здесь.
Скрипты preinstall.d необходимо поместить в каталог
preinstall.d, скрипты postinstall.d — в каталог
postinstall.d. Упаковать архив можно, например, выполнив команду:
$ tar cf install-scripts.tar preinstall.d postinstall.d
Данные скрипты выполняются в среде установщика, а не в среде установленной системы. Для работы с установленной системой требуется указывать пути с
$destdir или выполнять команды через run_chroot:
#!/bin/sh
a= . install2-init-functions
run_chroot sh -c "date > /root/STAMP_1"
date > $destdir/root/STAMP_2
24.2. Запуск автоматической установки
Для включения режима автоматической установки ядру инсталлятора ОС необходимо передать параметр загрузки
ai (без значения) и параметр
curl с указанием каталога с установочными файлами. Формат адреса в
curl должен быть представлен в виде URL. Пример параметров загрузки:
ai curl=ftp://<IP-адрес>/metadata/
Чтобы начать процесс автоматической установки ОС Альт Рабочая станция K, необходимо загрузиться с носителя, на котором записан дистрибутив. Затем клавишами перемещения курсора вверх и вниз выбрать пункт меню и нажать клавишу E. В открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz, в её конец дописать требуемые параметры:
После нажатия клавиши F10 начнётся автоматическая установка системы.
При невозможности получения файлов из указанного источника по сети, программа установки будет смотреть в следующих местах:
На диске в каталоге /Metadata/.
В образе установщика в каталоге /usr/share/install2/metadata/.
В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности или потере ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть, и оно обязательно найдётся!
25.1. Проблемы при установке системы
При возникновении проблем с UEFI или Legacy/CSM рекомендуется используемый режим прошивки. Не следует выбирать режим смешанной загрузки Legacy/UEFI! Рекомендуется временно отключить всевозможные оптимизации и ускорение UEFI-загрузки, а также отключить на время установки SecureBoot.
Если в системе не произошла настройка какого-либо компонента после стадии установки пакетов, не отчаивайтесь, доведите установку до конца, загрузитесь в систему и попытайтесь в спокойной обстановке повторить настройку.
Если установить систему не удалось вовсе, сначала попробуйте выполнить установку в безопасном режиме. Этот режим предназначен для запуска системы на старом или нестабильном оборудовании.
Для включения безопасного режима необходимо на экране загрузки выбрать пункт , затем :
Далее можно начать установку системы в безопасном режиме, выбрав пункт .
В безопасном режиме используется следующая переменная загрузки:
SAFEMODE="nomodeset nosplash module_blacklist=nouveau,nvidia,ast bc_debug irqpoll pci=noaer oldinst"
где:
nomodeset — отключает автозагрузку графических драйверов. Используется для предотвращения проблем с отображением на этапе загрузки (например, чёрный экран);
nosplash — отключает графический экран загрузки, позволяя видеть сообщения консоли;
module_blacklist=nouveau,nvidia,ast — запрещает загрузку указанных модулей ядра;
bc_debug — включает режим расширенной диагностики на этапе stage1 и копирует журнал в stage2;
irqpoll — заставляет ядро опрашивать IRQ (аппаратные прерывания) вручную;
pci=noaer — отключает AER (Advanced Error Reporting) для PCI устройств. Используется при проблемах с PCIe-контроллерами, чтобы подавить спам в журнале и сбои при загрузке;
oldinst — применяет более медленный, но надёжный метод копирования файлов вместо распаковки командой unsquashfs (актуально только для образов, использующих squashfs).
Этот набор параметров минимизирует использование графической подсистемы и повышает совместимость с «проблемным» оборудованием.
Изменить параметры загрузки можно не только выбрав пункт , но и отредактировав любой другой пункт меню — например, . Это может быть полезно, если требуется вручную добавить параметры ядра для диагностики или устранения проблем с оборудованием без использования полного безопасного режима.
Редактор параметров текущего пункта загрузки можно вызвать нажатием клавиши E.
При редактировании пункта в открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz. В конец этой строки необходимо дописать требуемые параметры, отделяя их пробелами, и нажать F10 для запуска с изменёнными параметрами.
Если вы хотите получить точный ответ, то сообщите, пожалуйста, подробный состав вашего оборудования и подробное описание возникшей проблемы в
нашей системе отслеживания ошибок.
25.2. Проблемы с загрузкой системы
Если не загружается ни одна из установленных операционных систем, то значит, есть проблема в начальном загрузчике. Такие проблемы могут возникнуть после установки системы, в случае если загрузчик все-таки не установлен или установлен с ошибкой. При установке или переустановке Windows на вашем компьютере загрузчик Linux будет перезаписан в принудительном порядке, и станет невозможно запускать Linux.
Повреждение или перезапись загрузчика никак не затрагивает остальные данные на жёстком диске, поэтому в такой ситуации очень легко вернуть работоспособность: для этого достаточно восстановить загрузчик.
Если у вас исчез загрузчик другой операционной системы или другого производителя, то внимательно почитайте соответствующее официальное руководство на предмет его восстановления. Но в большинстве случаев вам это не потребуется, так как загрузчик, входящий в состав Альт Рабочая станция K, поддерживает загрузку большинства известных операционных систем.
Для восстановления загрузчика достаточно любым доступным способом загрузить Linux и получить доступ к тому жёсткому диску, на котором находится повреждённый загрузчик. Для этого проще всего воспользоваться режимом LiveCD, который предусмотрен на установочном диске дистрибутива: пункт .
В большинстве случаев для восстановления загрузчика можно просто воспользоваться командой fixmbr без параметров. Программа попытается переустановить загрузчик в автоматическом режиме.
25.3. Известные проблемы
25.3.1. Не запускается install и live система в Hyper-V
Для работы ОС в Hyper-V нужно либо пробросить видеокарту, для которой доступны драйверы, либо переключиться на X11, так как Wayland не работает с framebuffer.
Часть VI. Настройка системы
Глава 46. Центр управления системой
Для управления настройками установленной системы вы можете воспользоваться Центром управления системой. Центр управления системой представляет собой удобный интерфейс для выполнения наиболее востребованных административных задач: добавление и удаление пользователей, настройка сетевых подключений, просмотр информации о состоянии системы и т.п.
Центр управления системой состоит из нескольких независимых диалогов-модулей. Каждый модуль отвечает за настройку определённой функции или свойства системы.
46.2. Применение центра управления системой
Вы можете использовать центр управления системой для разных целей, например (в скобках указаны имена соответствующих модулей):
Управления выключением и перезагрузкой компьютера (
ahttpd-power, доступно только в веб-интерфейсе);
Управления
Системными службами (
services);
Просмотра
Системных журналов (
logs);
Конфигурирования
Сетевых интерфейсов (
net-eth);
Изменения пароля
Администратора системы (root) (
root);
Создания, удаления и редактирования учётных записей
Пользователей (
users);
Настройки ограничения
Использования диска (квоты) (
quota).
Вы всегда можете воспользоваться кнопкой Справка. Все модули ЦУС имеют справочную информацию.
46.3. Запуск Центра управления системой в графической среде
Центр управления системой можно запустить следующими способами:
При запуске необходимо ввести пароль администратора системы (root).
После успешного входа можно приступать к настройке системы.
Кнопка
Режим эксперта позволяет выбрать один из режимов:
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отображаются все модули, а в основном режиме только наиболее используемые.
46.4. Использование веб-ориентированного центра управления системой
Центр управления системой (ЦУС) имеет веб-ориентированный интерфейс, позволяющий управлять данным компьютером с любого другого компьютера сети.
Для запуска веб-ориентированного интерфейса, должен быть установлен пакет
alterator-fbi:
# apt-get install alterator-fbi
И запущен сервис ahttpd:
# systemctl enable --now ahttpd
Работа с центром управления системой происходит из любого веб-браузера. Для начала работы необходимо перейти по адресу https://ip-адрес:8080/.
Например, вы задали для сервера IP-адрес 192.168.0.16. В таком случае интерфейс управления доступен по адресу: https://192.168.0.16:8080/
IP-адрес компьютера можно узнать, введя команду:
$ ip addr
IP-адрес будет указан после слова
inet:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:46:dd:91 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.16/24 brd 192.168.0.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
inet6 fe80::a00:27ff:fe46:dd91/64 scope link
valid_lft forever preferred_lft forever
Например, тут мы видим, что на интерфейсе eth0 задан IP-адрес 192.168.0.16.
При запуске центра управления системой необходимо ввести в соответствующие поля имя пользователя (root) и пароль пользователя:
После этого будут доступны все возможности ЦУС на той машине, к которой было произведено подключение через веб-интерфейс.
Веб-интерфейс ЦУС можно настроить (кнопка
Настройка), выбрав один из режимов:
основной режим;
режим эксперта.
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отображаются все модули, а в основном режиме только наиболее используемые.
Центр управления системой содержит справочную информацию по всем включённым в него модулям. Об использовании самого интерфейса системы управления можно прочитать, нажав на кнопку Справка на начальной странице центра управления системой.
После работы с центром управления системой, в целях безопасности, не оставляйте открытым браузер. Обязательно выйдите, нажав на кнопку Выйти.
Глава 47. Информация о системе
KInfoCenter предоставляет информацию о системе. KInfoCenter имеет модульную структуру. Каждый модуль является отдельным приложением.
Для запуска
KInfoCenter выберите → → , либо в нажмите кнопку
Вы можете запустить
KInfoCenter через командную строку, для этого выполните команду:
$ kinfocenter
В модуле показывается краткая сводка о системе. Она состоит из сведений о программах (дистрибутив, версия KDE Plasma, версия ядра и архитектура) и оборудовании (процессоры и память). Информация на этой странице может понадобиться при обращении в службу технической поддержки.
Раздел предназначен для просмотра устройств. В нём показаны все устройства, присутствующие на ПК. Чтобы посмотреть сведения об устройстве, выберите соответствующий модуль, сведения об устройствах будут показаны в панели сведений.
Модуль показывает информацию о сетевых интерфейсах, установленных на компьютере.
Глава 48. Управление графическими сессиями
48.1. Работа с удаленными графическими сессиями
48.1.1. Настройка VNC-сервера
Krfb — VNC-сервер среды KDE для организации совместного доступа к рабочему столу.
Для запуска Krfb выберите → → .
В открывшемся окне можно включить доступ к компьютеру и установить пароль для доступа с подтверждением (в разделе Подробности соединения):
При подключении клиента будет появляться уведомление о попытке соединения:
Можно разрешить удалённому пользователю подключаться без дополнительного подтверждения. Для этого в разделе Доступ без подтверждения следует отметить пункт Разрешить доступ без подтверждения и установить пароль для доступа без подтверждения (кнопка Сменить пароль доступа).
По умолчанию используется порт 5900, изменить его можно в настройках Krfb ( → ):
48.1.2. Подключение к удаленному рабочему столу
KRDC (Remote Desktop Connection) — клиентское приложение, которое позволяет просматривать и управлять сеансом на другом компьютере, где выполняется совместимый VNC или RDP-сервер.
Для запуска KRDC выберите → → .
KRDC имеет простой интерфейс:
KRDC — клиентское приложение, и его необходимо использовать с совместимыми серверами. Для подключения к серверу, достаточно выбрать в выпадающем списке протокол (vnc или rdp) и ввести имя сервера (или IP-адрес) в поле Подключиться к:
При необходимости, можно также указать порт, например, 192.168.0.100:5901.
Перед подключением убедитесь, что целевой компьютер (VNC-сервер) доступен в сети и, при необходимости, его межсетевой экран правильно настроен или отключен.
Далее можно указать параметры подключения и нажать кнопку OK:
Ввести пароль для доступа к удаленной системе:
KRDC по умолчанию сохраняет пароли подключения в бумажник (KWallet). Поэтому при повторном подключении пароль запрашиваться не будет.
Krfb может использовать два пароля: для доступа с подтверждением и для доступа без подтверждения.
Если пользователь подключался к удалённому рабочему столу, используя пароль для доступа с подтверждением, и этот пароль был сохранён в бумажник, то для того чтобы использовать пароль доступа без подтверждения, необходимо предварительно удалить сохранённый пароль в приложении
Управление бумажниками:
После подключения к удалённому рабочему столу можно использовать KRDC для наблюдения или управления удаленным рабочим столом:
Подключившись к удаленному серверу, можно использовать клавиатуру и мышь для управления окнами и приложениями на этом удаленном компьютере.
48.2. Работа с вложенными графическими сессиями (Alt-App-Starter)
Alt-App-Starter — инструмент для быстрого запуска программ. Alt-App-Starter позволяет запустить приложение с правами другого пользователя, например, с правами администратора.
Alt-App-Starter можно запустить, выбрав в пункт → .
Для того чтобы запустить команду от имени другого пользователя, необходимо ввести команду, отметить пункт Запустить от имени другого пользователя, выбрать в выпадающем списке Пользователь имя пользователя и ввести пароль пользователя, от имени которого нужно запустить программу:
Для того чтобы запустить команду с другим приоритетом, необходимо отметить пункт Запустить команду с другим приоритетом и указать приоритет:
По умолчанию все процессы запускаются с базовым приоритетом, равным 0. Суперпользователь (root) имеет право установить для любого процесса любое значение приоритета.
Пользователь может понизить приоритет. При выборе пользователем более высокого приоритета, команда будет запущена с максимально возможным для данного пользователя приоритетом (ulimit -e).
Если команду необходимо выполнить в терминале, следует отметить пункт Выполнить в терминале:
После нажатия кнопки Запустить программа запустится от имени указанного пользователя. Закончив работу с программой, просто закройте её.
Запустить приложение с правами другого пользователя, можно, выбрав в контекстном меню главного меню пункт :
Будет запущена программа
Alt-App-Starter:
48.3. Работа с отдельными графическими сессиями
Для того чтобы переключить пользователя в графическом режиме, следует в выбрать пункт → :
Будет показано стандартное окно входа в систему, в котором необходимо выбрать имя пользователя, ввести пароль, затем нажать
Enter или щелкнуть на кнопке
(
Войти). После непродолжительного времени ожидания запустится графическая оболочка операционной системы.
Переключаться между сеансами можно по одновременному нажатию клавиш Ctrl+Alt+F1, Ctrl+Alt+F2 и т.д.
KDE Connect — это приложение, которое позволяет интегрировать смартфон с системой Альт Рабочая станция K. Оно обеспечивает двустороннее взаимодействие между устройствами, включая обмен данными, синхронизацию и удалённое управление.
Основные возможности
KDE Connect:
отображение уведомлений с телефона на компьютере и наоборот;
передача файлов между устройствами;
синхронизация буфера обмена;
использование телефона как тачпада, клавиатуры или пульта ДУ;
управление медиапроигрывателями на ПК;
отправка пользовательских команд с телефона на компьютер;
все данные передаются по защищённому шифрованному каналу.
Для работы
KDE Connect требуется:
установленное приложение KDE Connect на смартфоне;
компьютер и телефон должны находиться в одной локальной сети (подключены к одному Wi-Fi или роутеру);
установленное приложение KDE Connect на компьютере, к которому планируется подключение.
49.1. Сопряжение с телефоном
Для подключения телефона к компьютеру:
На телефоне запустите приложение KDE Connect, в списке доступных устройств выберите ваш компьютер и нажмите кнопку Запросить сопряжение.
На компьютере появится уведомление с запросом на подключение, который необходимо принять:
После успешного сопряжения устройство появится в списке подключённых, и станут доступны все функции KDE Connect.
49.2. Работа с KDE Connect
После сопряжения можно управлять взаимодействием с устройством через интерфейс KDE Connect:
Часть функционала доступна в системном лотке панели KDE:
Некоторые функции требуют разрешений на стороне Android (например, доступ к уведомлениям, контактам, файлам). Разрешения настраиваются как в приложении KDE Connect на телефоне, так и в настройках KDE Connect на ПК.
Открыть настройки
KDE Connect можно:
через окно KDE Connect из системного лотка — кнопка
.
через терминал:
$ kdeconnect-settings
В настройках KDE Connect доступно подключение различных модулей для каждого подключённого устройства. В зависимости от выбранных модулей, будут меняться доступные функции на сопряженном устройстве.
Для некоторых модулей доступны отдельные настройки, например,
Буфер обмена:
Глава 50. Запуск программ на дискретной видеокарте
При наличии нескольких видеокарт (встроенной Intel и дискретной Nvidia), можно выбрать на какой из них будет запускаться приложение.
Для запуска приложения на дискретной видеокарте, следует в контекстном меню приложения в меню запуска приложений выбрать пункт :
Глава 51. Выбор программ, запускаемых автоматически при входе в систему
Для более удобной работы с системой можно выбрать определенные программы, которые будут запущены автоматически при входе пользователя в систему.
51.1. Автозапуск программ
В модуле
Параметров системы можно добавить программы или сценарии, которые будут автоматически запускаться во время запуска или завершения сеанса Plasma.
Приложения можно запускать только при запуске сеанса. Скрипты (сценарии) могут быть запущены при входе в систему или при выходе из неё:
Для добавления новой автоматически запускаемой программы, следует выполнить следующие шаги:
51.2. Управление сеансами
Модуль
Управление сеансами (
Параметры системы, панель управления ) служит для настройки параметров диспетчера сеансов. Менеджер сеанса может запомнить какие приложения были запущены при выходе из системы и автоматически запустить их при входе в систему.
Для того чтобы это происходило каждый раз при выходе из системы, следует в разделе отметить пункт Перед последним выходом из системы:
При выборе пункта При сохранении сеанса вручную при начале сессии будет восстановлено сохранённое вручную состояние, а не состояние при выходе из последнего сеанса. Если этот флажок установлен, в меню запуска приложений появится дополнительный пункт → :
Глава 52. Использование сменных носителей
52.1. Виджет Диски и устройства
Подключить носитель — значит сделать его файловую систему доступной. При подключении носителя его файловая система присоединяется к вашей файловой системе в виде подкаталога.
Виджет Диски и устройства используется для управления подключаемыми устройствами, такими как USB-накопители, цифровые камеры, внешние жёсткие диски USB и так далее.
Для подключения носителя, достаточно вставить его в подходящее устройство. При подсоединении внешнего устройства появляется всплывающее окно Диски и устройства.
По умолчанию в Альт Рабочая станция K автоматически монтируются только те носители, которые были ранее смонтированы вручную. Поэтому при первом подключении носителя его необходимо подключить (смонтировать), нажав кнопку Подключить и открыть:
При этом в окне диспетчера файлов появится содержимое носителя:
После того, как носитель информации будет смонтирован хотя бы один раз, доступ к его содержимому при следующем подключении будет предоставлен автоматически.
Щелчок по области устройства во всплывающем окне Диски и устройства, открывает список возможных действий, зависящих от типа устройства:
Если в уведомлениях Диски и устройства не отображается информация о вставленном USB-накопителе, следует убедиться, что на USB-накопитель не установлено ПО для защиты конфиденциальных данных, например, SecureDrive.
По умолчанию USB-накопители подключаются индивидуально для каждого пользователя (точка монтирования /run/media/<имя_пользователя>/).
Для извлечения носителя необходимо сначала отключить его. Например, для извлечения USB-накопителя нужно выполнить следующие шаги:
Закрыть все окна диспетчера файлов, окна терминала и любые другие окна, осуществляющие доступ к USB-накопителю.
В виджете Диски и устройства или в контекстном меню носителя (в окне диспетчера файлов) выбрать пункт .
Подождать, пока не исчезнет значок носителя, затем извлечь носитель.
52.2. Модуль Автоматическое монтирование
Действия, автоматически выполняемые при подключении внешних носителей информации можно настраивать в диалоговом окне
Автоматическое монтирование:
Автоматическое монтирование можно включить/отключить как для всех устройств, так и индивидуально для каждого носителя информации.
Здесь же можно включить автоматическое монтирование новых носителей (тех, которые не были ранее смонтированы вручную).
Глава 53. Настройка загрузчика GRUB2
53.1. Модуль настройки загрузчика GRUB2
Модуль настройки загрузчика GRUB2 позволяет в графическом режиме настраивать загрузчик ОС.
Модуль поддерживает множество параметров конфигурации GRUB2, в частности:
управление загружаемой конфигурацией по умолчанию;
управление временем ожидания загрузки;
управление загрузочными разрешениями;
управление цветами меню загрузки;
управление темой меню загрузки;
управление параметрами ядра;
выбор источника ввода данных при загрузке;
выбор терминала для вывода информации.
Чтобы запустить модуль настройки загрузчика GRUB2 нужно в
Параметрах системы выбрать панель управления и затем раздел .
Можно запустить модуль настройки загрузчика GRUB2 из командной строки, выполнив команду:
$ kcmshell6 kcm_grub2
Для запуска модуля потребуется ввести пароль администратора:
Для сохранения изменений также запрашивается авторизация.
На вкладке Основное настраивается конфигурация, загружаемая по умолчанию, и время ожидания выбора конфигурации.
Меню GRUB2 можно «скрыть» так, что оно появится на экране только при нажатии клавиши Esc до истечения времени ожидания, для этого следует отметить пункт Скрывать меню в течение и указать время ожидания.
Для того чтобы настроить время ожидания загрузки после показа меню, следует отметить пункт Автоматически загружать запись по умолчанию после показа меню и указать время таймаута. Запись по умолчанию выбирается в соответствующем списке:
В секции
Генерируемые записи можно управлять включением/отключением пунктов меню:
Сгенерировать записи для восстановления системы — позволяет отключить отображения пунктов меню recovery;
Сгенерировать записи для проверки оперативной памяти — позволяет скрыть пункты меню, содержащие memtest;
Проверка наличия операционных систем — позволяет отключить проверку наличия ОС на других разделах дискового пространства.
На вкладке Внешний вид можно менять способы отображения GRUB и внешний вид меню:
В секции Разрешения экрана можно задать режим экрана для самого загрузчика, и отдельно режим, который будет использоваться ядром Linux при загрузке. Вместо жесткого указания конкретного режима, выбрать значение Авто, и в этом случае режим будет выбран автоматически, исходя из предпочтений BIOS видеокарты и предпочтительного режима монитора. Обычно Авто соответствует максимальному из штатных режимов монитора, но в некоторых случаях нужный режим приходится выставлять вручную.
В секции Цвета можно задать цвета меню: общие цвета текста/фона и цвета текста/фона выделенной строки.
В секции Фон можно изменить тему, отображаемую во время загрузки. Тема включает в себя файл описания theme.txt, и фоновое изображение.
При выборе фонового изображения следует обратить внимание на параметры изображения, чтобы меню было контрастным и выделялось на фоне изображения, и было легко читаемым.
На вкладке Дополнительно в секции Параметры ядра Linux можно отредактировать параметры ядра, передаваемые непосредственно при загрузке ядра. В поле Обычные записи задаются параметры ядра Linux, добавляемые только в пункты меню, сгенерированные без «recovery». В поле Все записи задаются параметры ядра Linux, добавляемые во все пункты меню. Параметры можно задать, вписав их в соответствующее поле, или отметив пункт в выпадающем меню :
В секции Терминал устанавливаются, соответственно, значения параметров настройки последовательного терминала (как ввода, так и вывода), только терминала ввода и только терминала вывода.
В секции Другое можно задать команду настройки последовательного порта при использовании последовательной консоли, указать имя файла со звуковым сигналом, воспроизводимым при запуске.
Нажатие на кнопку
Установить/восстановить загрузчик приводит к открытию окна, в котором можно установить раздел для установки/восстановления GRUB:
Глава 54. Просмотр системных событий
54.1. Чтение журналов с помощью KSystemLog
KSystemLog — это мощный и удобный инструмент для анализа системных журналов в KDE. Приложение позволяет просматривать:
системный журнал (по умолчанию);
журнал сообщений ядра;
журнал Xorg;
дополнительные журналы (Apache, Samba, CUPS и др.).
Возможности
KSystemLog:
поддержка различных типов файлов журнала;
режим вкладок, для одновременного просмотра нескольких журналов;
чтение одного журнала из нескольких источников;
выделение цветом записей разных уровней важности;
фильтрация записей и поиск по ключевым словам;
записи обновляются в реальном времени, что позволяет отслеживать текущие события;
возможность настройки отображаемых столбцов;
выбор источника ввода данных при загрузке;
выбор терминала для вывода информации.
Для запуска KSystemLog выберите → → . При запуске будет запрошен пароль администратора системы (root):
Можно запустить
KSystemLog из командной строки, выполнив команду:
$ ksystemlog
При запуске KSystemLog из командной строки, не будут отображаться журнал ядра и журналы некоторых служб (которые самостоятельно ведут журнализацию событий). Аналогичное поведение будет, если при запуске KSystemLog из меню, в окне запроса пароля администратора системы нажать кнопку Пропустить. В обоих случаях KSystemLog будет запущен с правами текущего пользователя.
По умолчанию после запуска открывается системный журнал (журнал journald):
Для сортировки строк журнала достаточно щелкнуть по заголовку нужного столбца. Повторный щелчок отсортирует строки в обратном порядке. Для того чтобы вернуться к изначальному виду списка следует нажать кнопку Перезагрузить или клавишу F5.
Чтобы отфильтровать записи по определенному критерию можно воспользоваться панелью фильтра:
KSystemLog позволяет использовать сразу несколько режимов журнала, путем открытия соответствующего количества вкладок. Открыть новую вкладку можно, выбрав в меню → (Ctrl+T).
Чтобы просмотреть определенный системный журнал, можно нажать кнопку с названием этого журнала на панели журналов, или выбрать нужный журнал в меню (в меню имеются журналы, которые не отображаются на панели журналов).
В KSystemLog имеются различные настройки. Окно настроек KSystemLog можно открыть, выбрав в меню → :
54.2. Просмотр журналов в ЦУС
54.3. Настройка ротации журналов
Ротация журналов — это процесс архивирования и очистки старых лог-файлов для предотвращения их чрезмерного роста.
Утилита logrotate предназначена для автоматизации обработки журналов. Она может выполнять необходимые действия в зависимости от определенных условий и правил соответствия.
Все основные настройки программы находятся в файле /etc/logrotate.conf. Для дополнительных настроек используются файлы из каталога /etc/logrotate.d. В этих файлах содержатся правила обработки отдельных журналов.
Настройки по умолчанию (файл
/etc/logrotate.conf):
weekly — ротация осуществляется еженедельно;
rotate 4 — хранить четыре архивные копии логов (если количество равно нулю, прежние версии удаляются, а не ротируются);
create — создать новый файл журнала после ротации. Здесь же можно указать режим, владельца и группу файла (по умолчанию используются атрибуты исходного файла журнала);
compress — сжимать старые файлы журнала;
notifempty — не ротировать, если файл журнала пуст.
Для ознакомления с прочими возможностями, читайте руководство по logrotate. Для этого используйте команду man logrotate.
Пример настройки ротации журнала для службы
usbguard. Создать файл
/etc/logrotate.d/usbguard:
/var/log/usbguard/*log {
daily # Ротация ежедневно
missingok # Пропустить, если файл отсутствует
notifempty # Не ротировать, если файл пуст
rotate 7 # Хранить 7 архивов
compress # Сжимать архивы
create 0600 root root # Создать новый файл с указанными правами
delaycompress # Отложить сжатие до следующей ротации
}
После настройки какого-либо файла конфигурации
logrotate следует проверить его корректность, запустив утилиту
logrotate с опцией
-d, например:
# logrotate -d /etc/logrotate.d/usbguard
Для выполнения logrotate по расписанию можно использовать планировщик заданий KCron.
Настройка выполнения
logrotate по расписанию:
Запустить планировщик заданий
KCron, выбрав в
Параметрах системы панель управления и затем раздел или выполнив команду:
$ kcmshell6 kcm_cron
В поле Показывать задания выбрать системные и нажать кнопку Добавить задание…:
В окне
Создание нового задания выполнить следующие настройки:
в поле
Команда указать команду для запуска ротации логов
usbguard:
/usr/sbin/logrotate /etc/logrotate.d/usbguard
или команду для запуска ротации всех логов:
/usr/sbin/logrotate /etc/logrotate.conf
в поле Запустить как выбрать пользователя root;
активировать задание, установив отметку в поле Активировать это задание;
установить расписание (например, ежедневно в 18:10).
Нажать кнопку ОК. Созданное задание появится в планировщике заданий:
Сохранить изменения, нажав кнопку Ок или Применить. Так как задание будет записано в системный файл crontab, будет запрошен пароль администратора системы (root):
Системный файл crontab (
/etc/crontab) доступен для чтения только системному администратору. Для того чтобы системные задания отображались в
KCron, необходимо добавить права на чтение этого файла всем пользователям, например, выполнив команду (потребуется ввести пароль root):
$ su -l -c 'chmod a+r /etc/crontab'
Глава 55. Автоматическое брендирование рабочего стола
55.1. Утилита для изменения брендинга
Утилита для изменения брендинга позволяет в графическом режиме изменить оформление меню загрузчика ОС, оформление экрана прогресса загрузки, фон рабочего стола.
Должен быть установлен пакет
alt-customize-branding:
# apt-get install alt-customize-branding
Чтобы запустить утилиту, следует в выбрать → .
Можно запустить утилиту для настройки брендинга из командной строки, выполнив команду:
$ alt-customize-branding
Для настройки своего брендинга необходимо:
Указать путь до изображения брендинга в поле
Изображение или выбрать файл изображения, нажав на кнопку
Выбрать, и нажать кнопку
Добавить:
При выборе фонового изображения следует обратить внимание на параметры изображения, чтобы меню загрузки было контрастным, выделялось на фоне изображения и было легко читаемым.
Указать путь до файла логотипа в поле
Логотип или выбрать файл изображения, нажав на кнопку
Выбрать, и нажать кнопку
Добавить:
Установить логотип в нужном месте, перемещая его мышью.
Нажать кнопку Применить.
Для применения настроек потребуется ввести пароль администратора:
Настройка брендинга займёт какое-то время, в результате будет показано окно о завершении процесса:
После перезагрузки, ОС будет загружаться с настроенным брендингом:
Глава 56. Запуск тяжёлых приложений в ограниченном окружении
56.1. Модуль Ограничение ресурсов
Модуль
Ограничение ресурсов Параметров системы позволяет запускать приложения в специальном ограниченном по памяти окружении.
Для того чтобы добавить приложение в список ограниченных, необходимо:
Выбрать приложение, нажав кнопку
Выбрать приложение (можно также указать полный путь к бинарному файлу в поле
Приложение):
Указать размер ограничения в мегабайтах и нажать кнопку
Добавить:
Нажать кнопку
Применить для применения ограничений:
Вывести дерево процессов пользователя можно, выполнив команду
systemd-cgls. Ограниченный процесс будет находиться в поддереве с названием kreslimit-имя_процесса:
$ systemd-cgls
Control group /:
-.slice
├─user.slice
│ └─user-1000.slice
│ ├─user@1000.service
│ │ ├─kreslimit.slice
│ │ │ └─kreslimit-gimagereader.slice
│ │ │ └─kreslimit-gimagereader-qt5.slice
│ │ │ └─gimagereader-qt5-704331537.service
│ │ │ └─15739 /usr/bin/gimagereader-qt5
Глава 57. Настройка сети
Для управления настройками сети в Альт Рабочая станция K используется программа NetworkManager.
NetworkManager позволяет подключаться к различным типам сетей: проводным, беспроводным, мобильным, VPN и DSL, а также сохранять эти подключения для быстрого доступа к сети. Например, если вы подключались к сети в каком-либо месте, можно сохранить настройки этого подключения и при следующем посещении подключиться автоматически.
Значок виджета Управление сетью располагается в системном лотке.
При нажатии левой кнопки мыши на значок Управление сетью откроется меню, в котором отображается информация о текущих соединениях. Здесь также можно выбрать одну из доступных Wi-Fi-сетей и подключиться к ней, или отключить активное Wi-Fi-соединение.
Для настройки соединений следует нажать кнопку
или выбрать пункт
Настроить сетевые соединения… в меню, вызываемом при нажатии
правой кнопки мыши на значке
Управление сетью:
В открывшемся окне будет показан список соединений, сгруппированных по типам:
При нажатии кнопки
в строке соединения отобразится общая информация о данном соединении:
Для настройки соединения следует нажать кнопку
Настроить…. В открывшемся окне
Wi-Fi и сеть приложения
Параметры системы, можно посмотреть или изменить настройки интерфейса:
NetworkManager под именем
System enp0s3 или
System eth0 показывает системное Ethernet-соединение, создаваемое Etcnet. Изменить его в диалоге
Сеть невозможно. Это соединение можно изменить в ЦУС, там же можно выбрать, какой именно интерфейс, какой подсистемой обслуживается (подробнее о выборе сетевой подсистемы рассказано в разделе
Конфигурирование сетевых интерфейсов).
57.1.2. Подключение к беспроводной сети
Для подключения к беспроводной сети необходимо нажать кнопку Подключить напротив нужной Wi-Fi сети:
При подключении к беспроводной сети в первый раз может понадобиться указать некоторые сведения о защите сети (например, указать аутентификационные данные):
При нажатии кнопки
в строке соединения отобразится общая информация о данном соединении:
Для настройки соединения следует нажать кнопку
Настроить…. В открывшемся окне
Wi-Fi и сеть приложения
Параметры системы, можно посмотреть или изменить настройки интерфейса:
Если требуется установить приоритет автоматического подключения, необходимо на вкладке установить отметку в пункте Подключаться автоматически с приоритетом и указать нужный приоритет.
Если установить отметку в поле Все пользователи могут подключаться к этой сети, данное подключение будет доступно на экране входа в систему для всех пользователей.
На вкладках и можно указать статический IP, шлюз, DNS и другие параметры, если это необходимо.
На вкладке можно изменить пароль подключения и сохранить его для всех пользователей.
На вкладке можно вручную задать имя и другие параметры Wi-Fi сети.
Если для беспроводного соединения установлена отметка Все пользователи могут подключаться к этой сети, оно становится системным соединением. Для изменения настроек системного соединения потребуется ввод пароля администратора системы:
57.1.3. Настройка VPN-подключения по протоколу OpenVPN
Для настройки VPN-подключения по протоколу OpenVPN в
NetworkManager следует выполнить следующие действия:
Добавить новое сетевое соединение (кнопка Добавить новое соединение):
В списке выбора типа соединения выбрать пункт OpenVPN и нажать кнопку Создать:
Если имеется файл конфигурации клиента, в списке выбора типа соединения можно выбрать пункт Импортировать VPN-соединение… и указать этот файл, параметры соединения будут настроены согласно этому файлу.
В открывшемся окне на вкладке указать IP-адрес сервера OpenVPN, сертификат центра сертификации (ЦС), приватный ключ и сертификат пользователя:
Нажать кнопку Дополнительно…, чтобы настроить параметры подключения. Настройки соединения находятся на разных вкладках, например, на вкладке можно указать порт и тип виртуального устройства:
Сохранить сделанные изменения, нажав кнопку ОК, и затем Сохранить.
Для изменения настроек системного соединения (если на вкладке отмечен пункт Все пользователи могут подключаться к этой сети), потребуется ввод пароля администратора системы:
Для того чтобы VPN-соединение было доступно на экране входа в систему, в настройках соответствующего подключения необходимо установить отметку в поле Все пользователи могут подключаться к этой сети:
Для подключения к VPN необходимо в меню нажать кнопку Подключить в строке VPN-соединения:
После успешного подключения к VPN на значке сетевого виджета появляется значок замка
.
Настройку сети можно выполнить в
Центре управления системой в разделе → . Здесь можно задать как глобальные параметры сети (адрес сервера DNS, имя компьютера), так и настройки конкретного сетевого интерфейса:
Глава 58. Установка принтера в Альт Рабочая станция K
Перед началом установки необходимо убедиться в том, что в случае локального подключения принтер присоединён к соответствующему порту компьютера и включён, а в случае сетевого подключения принтер корректно сконфигурирован для работы в сети.
58.1. Установка принтера в веб-интерфейсе CUPS
Настраивать службу печати CUPS и отслеживать её состояние можно через веб-интерфейс, который доступен по адресу http://localhost:631. Веб-интерфейс можно использовать для выполнения любых задач управления принтером.
Запустить веб-интерфейс CUPS можно, выбрав пункт → → .
Если вы получаете ошибку
Ошибка соединения с узлом localhost: Отказано в соединении., то запустите терминал, и выполните команду
# systemctl restart cups
от имени
системного администратора root.
Для добавления принтера следует перейти во вкладку . На запрос авторизации следует ввести имя и пароль пользователя, входящего в группу wheel.
Для запуска мастера установки принтера необходимо во вкладке нажать кнопку Добавить принтер:
В открывшемся окне будут перечислены найденные локальные и сетевые принтеры. Необходимо выбрать из списка требуемый принтер и нажать кнопку Продолжить:
В следующем окне можно задать название принтера и его описание. Для того чтобы принтер был доступен с других компьютеров в сети, необходимо отметить пункт Разрешить совместный доступ к этому принтеру:
В следующем окне необходимо выбрать драйвер для принтера и нажать кнопку Добавить принтер:
На следующем шаге настраиваются параметры принтера, если они у него есть (например, двусторонняя печать).
Для изменения параметров существующих принтеров следует перейти на вкладку и выбрать принтер для изменения.
На вкладке можно просматривать список заданий и их статус (выводится название принтера с номером задания, название документа, имя пользователя, размер документа и количество страниц).
58.2. Инструмент для управления заданиями печати и принтерами
Если вы получаете ошибку
Служба печати недоступна, то запустите терминал, и выполните команду
# systemctl restart cups
от имени
системного администратора root.
Для добавления принтера необходимо нажать кнопку Добавить…:
В открывшемся окне выберите принтер, который необходимо подключить и нажмите кнопку Выбрать рекомендуемый драйвер или кнопку Выбрать драйвер, если рекомендуемый драйвер не найден:
Утилита начнет поиск подходящего драйвера. Можно выбрать рекомендуемый, или выбрать драйвер из списка самостоятельно:
В следующем окне можно задать описание принтера:
После нажатия Добавить принтер станет доступным для печати:
Изменить настройки добавленного принтера вы можете в любой момент, выбрав в программе нужный принтер и нажав кнопку Настроить… в окне описания принтера.
В окне настроек можно изменить дополнительные параметры принтера: разрешение, размер используемой по умолчанию бумаги, правила и разрешения:
Глава 59. Настройка сканера подключенного к USB-порту
В Альт Рабочая станция K доступ к сканерам обеспечивается программой SANE (Scanner Access Now Easy). Система SANE состоит из двух частей: аппаратной поддержки (backend, libsane) и программной поддержки (frontend). Первая часть обеспечивает собственно доступ к сканеру, вторая — графический интерфейс для сканирования (xsane).
Подключите сканер к компьютеру и проверьте доступность сканера:
$ lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 004: ID 03f0:012a HP, Inc HP LaserJet M1536dnf MFP
Bus 002 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 2.0 root hub
В примере сканер определен на шине USB 002 как устройство 004.
При помощи команды
sane-find-scanner можно проверить поддержку сканера системой SANE:
$ sane-find-scanner -q
could not open USB device 0x1d6b/0x0002 at 001:001: Access denied (insufficient permissions)
found USB scanner (vendor=0x03f0 [Hewlett-Packard], product=0x012a [HP LaserJet M1536dnf MFP]) at libusb:002:004
could not open USB device 0x80ee/0x0021 at 002:002: Access denied (insufficient permissions)
could not open USB device 0x1d6b/0x0001 at 002:001: Access denied (insufficient permissions)
В выводе должны присутствовать интерфейс сканера и имя используемого устройства. В данном случае сканер был распознан на шине 002 как устройство 004.
Если бы доступ к сканеру также был запрещен (как и доступ к другим USB-устройствам), необходимо рассмотреть разрешения на шину USB:
# ls -l /dev/bus/usb/002/
итого 0
crw-rw-r-- 1 root root 189, 128 окт 28 12:00 001
crw-rw-r-- 1 root root 189, 129 окт 28 12:00 002
crw-rw-r--+ 1 root lp 189, 130 окт 28 12:42 003
И добавить пользователя в нужную группу (в данном случае в группу lp):
# gpasswd -a user lp
Далее необходимо ОБЯЗАТЕЛЬНО перезапустить сеанс пользователя.
Теперь необходимо убедиться, что сканер опознан программой графического интерфейса. В состав системы SANE входит утилита
scanimage, позволяющая работать со сканером из командной строки (опция
-L используется для показа информации о сканере):
$ scanimage -L
device `hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C' is a Hewlett-Packard HP_LaserJet_M1536dnf_MFP all-in-one
В контексте локального USB-устройства, доступ к которому имеет обычный пользователь, положительный ответ указывает, что SANE поддерживает этот сканер.
Проверка работы сканера:
$ scanimage -T -d 'hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C'
scanimage: scanning image of size 637x876 pixels at 1 bits/pixel
scanimage: acquiring gray frame, 1 bits/sample
scanimage: reading one scanline, 80 bytes... PASS
scanimage: reading one byte... PASS
scanimage: stepped read, 2 bytes... PASS
scanimage: stepped read, 4 bytes... PASS
scanimage: stepped read, 8 bytes... PASS
scanimage: stepped read, 16 bytes... PASS
scanimage: stepped read, 32 bytes... PASS
scanimage: stepped read, 64 bytes... PASS
scanimage: stepped read, 128 bytes... PASS
scanimage: stepped read, 127 bytes... PASS
scanimage: stepped read, 63 bytes... PASS
scanimage: stepped read, 31 bytes... PASS
scanimage: stepped read, 15 bytes... PASS
scanimage: stepped read, 7 bytes... PASS
scanimage: stepped read, 3 bytes... PASS
где 'hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C' — актуальное имя подключенного устройства, которое можно взять из вывода предыдущей команды.
Для некоторых устройств Hewlett-Packard требуется установить актуальный плагин с сервера HP. Для установки плагина необходимо выполнить команду (должен быть установлен пакет
hplip):
$ hp-plugin -i
…
Enter option (d=download*, p=specify path, q=quit) ? d
…
Do you accept the license terms for the plug-in (y=yes*, n=no, q=quit) ? y
Please enter the root/superuser password:
При установке плагина потребуется ввести пароль суперпользователя.
Для работы со сканерами Epson необходимо установить пакеты
epsonscan2,
imagescan-sane,
iscan-free,
iscan-data и
firmware-iscan из репозитория:
# apt-get install epsonscan2 imagescan-sane iscan-free iscan-data firmware-iscan
Также для работы со сканерами Epson может потребоваться скачать и установить пакет
epsonscan2-non-free-plugin с официального сайта
Epson.
59.2. Интерфейсы для сканирования (frontend)
Интерфейс — это программа, которая взаимодействует с SANE для получения отсканированного вывода в желаемом формате. SANE был разработан для взаимодействия с любым SANE-совместимым интерфейсом, командной строкой или на основе графического интерфейса пользователя:
Глава 60. Изменение пароля
Пароли пользователей в ОС Альт Рабочая станция K первоначально определяет администратор системы при создании учетных записей пользователей. Однако пользователи имеют возможность в любое время изменить свой пароль.
Для запуска утилиты для смены своего пароля, следует выбрать → → .
Откроется окно, в котором необходимо ввести свой текущий (старый) пароль и нажать кнопку Проверить пароль:
В открывшемся окне следует дважды ввести новый пароль и нажать кнопку Сменить пароль:
Появится сообщение об успешной или неуспешной смене пароля:
Новый пароль должен соответствовать техническим требованиям к паролям, заданным администратором системы.
Альт Домен — служба каталогов (доменная служба), позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети с операционными системами (ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах корпоративной сети, а также управление профилями пользователей и компьютеров с помощью групповых политик в доменах MS Active Directory / Samba DC.
В данном разделе приведена краткая инструкция разворачивания
Альт Домен. Подробную инструкцию можно найти по ссылке
Альт Домен.
Поддерживаются следующие базовые возможности
Active Directory:
аутентификация рабочих станций Windows и Linux и служб;
авторизация и предоставление ресурсов;
групповые политики (
GPO);
перемещаемые профили (Roaming Profiles);
поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows;
поддержка протоколов
SMB2 и
SMB3 (в том числе с поддержкой шифрования).
61.1. Создание нового домена
Для корректной работы сервера должны соблюдаться следующие условия:
для сервера должно быть задано полное доменное имя (FQDN);
IP-адрес сервера не должен изменяться;
в настройках сетевого интерфейса должен быть указан IP-адрес 127.0.0.1 в качестве первичного DNS.
61.1.1. Установка пакетов
Для Samba DC на базе Heimdal Kerberos необходимо установить пакет
task-samba-dc, который установит все необходимое:
# apt-get install task-samba-dc
61.1.2. Остановка конфликтующих служб
Так как Samba в режиме контроллера домена (Domain Controller, DC) использует свой сервер LDAP, свой центр распределения ключей Kerberos и свой сервер DNS (если не включен плагин BIND9_DLZ), перед установкой необходимо остановить конфликтующие службы
krb5kdc и
slapd, а также
bind:
# for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
Выключить автозагрузку служб и отключить службы можно в
ЦУС ( → ).
61.1.3. Восстановление к начальному состоянию Samba
Необходимо очистить базы и конфигурацию
Samba (домен, если он создавался до этого, будет удалён):
# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
Обязательно удаляйте /etc/samba/smb.conf перед созданием домена: rm -f /etc/samba/smb.conf
61.1.4. Установка имени контроллера домена
Имя домена, для разворачиваемого
DC, должно состоять минимум из двух компонентов, разделённых точкой.
Необходимо избегать суффиксов .local. При указании домена, имеющего суффикс .local, на сервере и подключаемых компьютерах под управлением Linux потребуется отключить службу avahi-daemon.
Для установки имени узла и домена следует выполнить команды:
# hostnamectl set-hostname <имя узла>
# domainname <имя домена>
Например:
# hostnamectl set-hostname dc1.test.alt
# domainname test.alt
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
61.1.5. Создание домена одной командой
Создание контроллера домена test.alt:
# samba-tool domain provision --realm=test.alt --domain test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --server-role=dc
где
--realm — область Kerberos (
LDAP), и
DNS имя домена;
--domain — имя домена (имя рабочей группы);
--adminpass — пароль основного администратора домена;
dns forwarder — внешний DNS-сервер;
--server-role — тип серверной роли.
Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.
Параметр
--use-rfc2307 позволяют поддерживать расширенные атрибуты типа
UID и
GID в схеме
LDAP и
ACL на файловой системе Linux.
61.1.6. Интерактивное создание домена
У Samba свой собственный DNS-сервер. В DNS forwarder IP address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена.
Для интерактивного развертывания запустите
samba-tool domain provision, это запустит утилиту развертывания, которая будет задавать различные вопросы о требованиях к установке. В примере показано создание домена test.alt:
# samba-tool domain provision
Realm [TEST.ALT]:
Domain [TEST]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: 8.8.8.8
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=test,DC=alt
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=test,DC=alt
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
Once the above files are installed, your Samba AD server will be ready to use
Server Role: active directory domain controller
Hostname: dc1
NetBIOS Domain: TEST
DNS Domain: test.alt
DOMAIN SID: S-1-5-21-80639820-2350372464-3293631772
При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).
Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.
61.2. Настройка файла /etc/resolvconf.conf
Для корректного распознавания всех локальных DNS-запросов в файле
/etc/resolvconf.conf должна присутствовать строка:
name_servers=127.0.0.1
Если этой строки в файле
/etc/resolvconf.conf нет, то в конец этого файла следует добавить строку:
name_servers=127.0.0.1
и перезапустить сервис resolvconf:
# resolvconf -u
61.3. Запуск службы samba
Установить службу samba запускаемой по умолчанию и запустить её:
# systemctl enable --now samba
61.4. Настройка Kerberos
Внести изменения в файл
/etc/krb5.conf. Следует раскомментировать строку
default_realm и содержимое разделов
realms и
domain_realm и указать название домена (обратите внимание на регистр символов), в строке
dns_lookup_realm должно быть установлено значение false:
includedir /etc/krb5.conf.d/
[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_kdc = true
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = TEST.ALT
# default_ccache_name = KEYRING:persistent:%{uid}
[realms]
TEST.ALT = {
default_domain = test.alt
}
[domain_realm]
dc = TEST.ALT
В момент создания домена Samba конфигурирует шаблон файла
krb5.conf для домена в каталоге
/var/lib/samba/private/. Можно просто заменить этим файлом файл, находящийся в каталоге
/etc/:
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
61.5. Проверка работоспособности
Просмотр общей информации о домене:
# samba-tool domain info 127.0.0.1
Forest : test.alt
Domain : test.alt
Netbios domain : TEST
DC name : dc1.test.alt
DC netbios name : DC1
Server site : Default-First-Site-Name
Client site : Default-First-Site-Name
Просмотр предоставляемых служб:
# smbclient -L localhost -Uadministrator
Enter TEST\administrator's password:
Sharename Type Comment
--------- ---- -------
sysvol Disk
netlogon Disk
IPC$ IPC IPC Service (Samba 4.20.8-alt2)
SMB1 disabled -- no workgroup available
Общие ресурсы netlogon и sysvol создаваемые по умолчанию нужны для функционирования сервера AD и создаются в
smb.conf в процессе развертывания/модернизации.
Проверка конфигурации
DNS:
Убедитесь в наличии nameserver 127.0.0.1 в
/etc/resolv.conf:
# cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
search test.alt
nameserver 127.0.0.1
# host test.alt
test.alt has address 192.168.0.132
test.alt has IPv6 address fd47:d11e:43c1:0:a00:27ff:fed9:6998
Проверьте имена хостов:
# host -t SRV _kerberos._udp.test.alt.
_kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt.
# host -t SRV _ldap._tcp.test.alt.
_ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt.
# host -t A dc1.test.alt.
dc1.test.alt has address 192.168.0.132
Если имена не находятся, проверьте выключение службы
named.
Проверка Kerberos (имя домена должно быть в верхнем регистре):
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TEST.ALT
Valid starting Expires Service principal
09.03.2025 19:44:49 10.03.2025 05:44:49 krbtgt/TEST.ALT@TEST.ALT
renew until 10.03.2025 19:44:46
61.6. Управление пользователями
Создать пользователя с паролем:
# samba-tool user create имя пользователя
# samba-tool user setexpiry имя пользователя
Удалить пользователя:
# samba-tool user delete имя пользователя
Отключить пользователя:
# samba-tool user disable имя пользователя
Включить пользователя:
# samba-tool user enable имя пользователя
Изменить пароль пользователя:
# samba-tool user setpassword имя пользователя
Просмотреть доступных пользователей:
# samba-tool user list
Например, создать и разблокировать пользователя ivanov:
# samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@test.alt'
# samba-tool user setexpiry ivanov --noexpiry
Не допускайте одинаковых имён для пользователя и компьютера, это может привести к коллизиям (например, такого пользователя нельзя добавить в группу). Если компьютер с таким именем заведён, удалить его можно командой: pdbedit -x -m имя
61.7. Настройка файловых ресурсов на контроллере доменов
Создать каталог и настроить права:
# mkdir /srv/share
# chmod 777 /srv/share
В конец файла
/etc/samba/smb.conf добавить ресурс:
[share]
path = /srv/share
public = no
writable = yes
read only = no
guest ok = no
valid users = "@TEST\Domain Users" "@TEST\Domain Admins"
create mask = 0666
directory mask = 0777
force create mode = 0666
force directory mode = 0777
inherit owner = yes
где TEST — имя домена, Domain Users и Domain Admins — группы пользователей, которым разрешен доступ к каталогу.
Перезапустить samba:
# systemctl restart samba
Глава 62. Ввод рабочей станции в Альт Домен
Инструкция по вводу рабочей станции под управлением Альт Рабочая станция K в Альт Домен. Параметры домена:
TEST.ALT — имя домена;
TEST — рабочая группа;
HOST-15 — имя компьютера в Netbios;
Administrator — имя пользователя-администратора;
Pa$$word — пароль администратора.
Для ввода компьютера в Альт Домен потребуется установить пакет
task-auth-ad-sssd и все его зависимости (если он еще не установлен):
# apt-get install task-auth-ad-sssd
Синхронизация времени с контроллером домена производится автоматически.
Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.
Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли:
В
Центре управления системой в разделе → задать имя компьютера, указать в поле
DNS-серверы DNS-сервер домена и в поле
Домены поиска — домен для поиска:
В консоли:
задать имя компьютера:
# hostnamectl set-hostname host-15.test.alt
в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо создать файл
/etc/net/ifaces/eth0/resolv.conf со следующим содержимым:
nameserver 192.168.0.132
где 192.168.0.132 — IP-адрес DNS-сервера домена.
указать службе resolvconf использовать DNS контроллера домена и домен для поиска. Для этого в файле
/etc/resolvconf.conf добавить/отредактировать следующие параметры:
interface_order='lo lo[0-9]* lo.* eth0'
search_domains=test.alt
где eth0 — интерфейс, на котором доступен контроллер домена, test.alt — домен.
обновить DNS адреса:
# resolvconf -u
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле
/etc/resolv.conf должны появиться строки:
search test.alt
nameserver 192.168.0.132
Ввод в домен можно осуществить следующими способами:
В командной строке:
# system-auth write ad test.alt host-15 test 'administrator' 'Pa$$word'
Joined 'HOST-15' to dns domain 'test.alt'
В Центре управления системой:
Для ввода рабочей станции в домен необходимо запустить Центр управления системой: → → . В Центре управления системой перейти в раздел → .
В открывшемся окне следует выбрать пункт
Домен Active Directory, заполнить поля и нажать кнопку
Применить:
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК:
При успешном подключении к домену, отобразится соответствующая информация:
Перезагрузить рабочую станцию. Авторизоваться с использованием созданной учетной записи домена.
# getent passwd ivanov
ivanov:*:1187401105:1187400513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash
# net ads info
LDAP server: 192.168.0.132
LDAP server name: dc1.test.alt
Workgroup: TEST
Realm: TEST.ALT
Bind Path: dc=TEST,dc=ALT
LDAP port: 389
Server time: Вс, 09 мар 2025 20:00:38 EET
KDC server: 192.168.0.132
Server time offset: 0
Last machine account password change: Вс, 09 мар 2025 20:00:12 EET
# net ads testjoin
Join is OK
Вы не увидите пользователей из AD с помощью команды:
# getent passwd
на клиентской рабочей станции. Этот функционал отключен по умолчанию, для того чтобы сократить нагрузку на серверы AD. Поэтому для проверки необходимо точно указать имя пользователя:
# getent passwd <имя_пользователя>
Список пользователей можно посмотреть на сервере AD командой:
# samba-tool user list
В окне входа в систему необходимо ввести логин учетной записи пользователя домена и нажать
Enter или щелкнуть на кнопке
:
В следующем окне ввести пароль, соответствующий этой учетной записи и нажать
Enter или щелкнуть на кнопке
:
В случае использования в окне логина символов верхнего регистра или лишних символов может наблюдаться некорректное поведение системы (в частности не выставляются переменные окружения XDG_RUNTIME_DIR и DBUS_SESSION_BUS_ADDRESS).
Для возможности использовать для входа привычные способы написания логина (с доменным суффиксом, точками, символами верхнего регистра) необходимо выполнить команду:
# control pam_canonicalize_user enabled
или в файле
/etc/pam.d/system-auth-common раскомментировать строку:
auth required pam_canonicalize_user.so
62.5. Отображение глобальных групп на локальные
При вводе машины в домен создаются следующие локальные роли:
роль пользователей (users);
роль пользователей с расширенными правами (powerusers);
роль локальных администраторов (localadmins).
Локальные роли users и localadmins назначаются для глобальных групп в домене.
Список назначенных ролей и привилегий:
# rolelst
users:vmusers,usershares,cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
domain admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
vboxadd:vboxsf
# id ivanov
uid=1187401105(ivanov) gid=1187400513(domain users) группы=1187400513(domain users),1187401110(uds)
Если необходимо выдать права администраторов пользователям, которые не являются администраторами домена (Domain Admins), то нужно на контроллере домена завести новую группу в AD (например, PC Admins):
# samba-tool group add 'PC Admins'
Added group PC Admins
Добавить туда необходимых пользователей (например, пользователя ivanov):
# samba-tool group addmembers 'PC Admins' ivanov
Added members to group PC Admins
Затем на рабочей станции, введённой в домен, добавить роль для данной группы:
# roleadd 'PC Admins' localadmins
# rolelst
users:vmusers,usershares,cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
domain admins:localadmins
pc admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
vboxadd:vboxsf
После этого пользователь, входящий в группу PC Admins, сможет
получать права администратора.
62.6. Подключение файловых ресурсов
Рассматриваемый способ позволяет подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).
Для настройки автоматического подключения сетевых файловых ресурсов Windows (Samba) при входе пользователя в систему необходимо:
Установить пакет
kde-autofs-shares:
# apt-get install kde-autofs-shares
Добавить в
/etc/auto.master строку:
/mnt/samba /etc/auto.smb -t 34567
Здесь /mnt/samba — каталог в котором будут подключаться сетевые файловые системы, /etc/auto.smb — файл конфигурации или скрипт, 34567 — таймаут подключения при отсутствии обращения.
Включить и запустить сервис
autofs:
# systemctl enable --now autofs
В диспетчере файлов Dolphin в разделе → найти нужный ресурс Windows (Samba).
В контекстном меню подключаемого ресурса выбрать пункт :
Данный ресурс будет подключаться автоматически при входе в систему:
Список ресурсов для подключения хранится в файле ~/.autofs.shares.
Способ работает только для ресурсов с гостевым доступом или ресурсов с авторизацией Kerberos.
Глава 63. Групповые политики
Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассматривается реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик используется инструмент gpupdate. Он рассчитан на работу на машине, введённой в домен Samba.
Интеграция с инфраструктурой LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций к объектам в дереве каталогов. Помимо глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
сайты — группы компьютеров в заданной подсети в рамках одного домена;
конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
управления интернет-браузерами Firefox, Chromium и Yandex Browser (при использовании ADMX-файлов: admx-firefox, admx-chromium, admx-yandex-browser соответственно);
управления почтовым клиентом Mozilla Thunderbird (пакет admx-thunderbird);
запрета подключения внешних носителей;
управления политиками control (широкий набор настроек; реализовано через ADMX-файлы ALT);
включения или выключения служб systemd (реализовано через ADMX-файлы ALT);
настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды MATE (реализовано через ADMX-файлы ALT);
настройки графической среды GNOME (реализовано через ADMX-файлы ALT);
настройки среды рабочего стола KDE (экспериментальная политика; реализовано через ADMX-файлы ALT);
управления настройками службы Polkit (широкий набор настроек; реализовано через ADMX-файлы ALT);
подключения сетевых дисков;
управления переменными среды;
управления общими каталогами (экспериментальная политика);
создания, удаления и замены ярлыков;
создания каталогов;
управления файлами (экспериментальная политика);
выполнения скриптов при старте/завершении работы компьютера или входе/выходе пользователя (экспериментальная политика);
установки и удаления пакетов (экспериментальная политика).
Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе Групповые политики.
63.1. Развертывание групповых политик
Процесс развёртывания групповых политик:
На сервере Samba AD DC установить административные шаблоны:
установить пакеты политик и утилиту
admx-msi-setup:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-thunderbird admx-msi-setup
скачать и установить ADMX-файлы от Microsoft:
# admx-msi-setup
По умолчанию
admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров можно указать другой источник:
# admx-msi-setup -h
admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
Removing admx-msi-setup temporary files...
после установки политики будут находиться в каталоге
/usr/share/PolicyDefinitions. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (
/var/lib/samba/sysvol/<DOMAIN>/Policies/):
# samba-tool gpo admxload -U Administrator
На рабочей станции должен быть установлен пакет
alterator-gpupdate:
# apt-get install alterator-gpupdate
Для автоматического включения групповых политик при вводе в домен в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, необходимо отметить пункт Включить групповые политики:
Политики будут включены сразу после ввода в домен (после перезагрузки системы).
Если машина уже введена в домен, включить групповые политики можно вручную с помощью модуля ЦУС . Для этого в
Центре управления системой в разделе → следует выбрать шаблон локальной политики (
Сервер,
Рабочая станция или
Контроллер домена) и установить отметку в пункте
Управление групповыми политиками:
На машине, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
# apt-get install admc gpui
В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup
Настроить, если это необходимо, RSAT на машине с ОС Windows:
ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория
http://git.altlinux.org/gears/a/admx-basealt.git (
https://github.com/altlinux/admx-basealt) и разместить их в каталоге
\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
корректно установленные административные шаблоны будут отображены на машине Windows в оснастке в разделе → → → :
63.2. Пример создания групповой политики
Для создания групповой политики на машине, введённой в домен, необходимо выполнить следующие шаги:
Добавить доменные устройства (компьютеры/пользователи) в подразделение (OU) (инструмент ADMC или оснастка AD «Пользователи и компьютеры»);
Создать политику и назначить её на OU (инструмент ADMC или оснастка AD «Управление групповой политикой»);
Отредактировать параметры политики (инструмент GPUI или оснастка AD «Редактор управления групповыми политиками»).
В качестве примера, создадим политику, разрешающую запускать команду ping только суперпользователю (root).
Для использования
ADMC следует сначала получить билет Kerberos для администратора домена:
$ kinit administrator
Password for administrator@TEST.ALT:
Запустить
ADMC можно из меню ( → → ) или командой
admc:
$ admc
Добавление доменных устройств в группу членства GPO:
Создать новое подразделение:
в контекстном меню домена выбрать пункт → :
в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку ОК:
Переместить компьютеры и пользователей домена в созданное подразделение:
в контекстном меню пользователя/компьютера выбрать пункт ;
в открывшемся диалоговом окне Выбор контейнера – ADMC выбрать контейнер, в который следует переместить учетную запись пользователя.
Создание политики для подразделения:
В контекстном меню подразделения (в папке Объекты групповой политики) выбрать пункт :
В открывшемся окне ввести название политики и нажать кнопку ОК:
Редактирование настроек групповой политики:
В контекстном меню созданной политики выбрать пункт :
Откроется окно редактирования групповых политик (GPUI):
Перейти в → → . Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
Щёлкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включено, в выпадающем списке Кому разрешено выполнять выбрать пункт и нажать кнопку ОК:
После обновления политики на клиенте, выполнять команду
ping сможет только администратор:
$ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе
# control ping
restricted
Пример создания групповой политики на машине с ОС Windows:
На машине с установленным RSAT открыть оснастку (gpmc.msc).
Создать новый объект групповой политики (GPO) и связать его с подразделением (OU), в который входят машины или учетные записи пользователей.
В контекстном меню GPO, выбрать пункт . Откроется редактор GPO.
Перейти в → → → . Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
Дважды щелкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включить, в выпадающем списке Кому разрешено выполнять выбрать пункт и нажать кнопку Применить:
Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду:
# gpoa --loglevel 0
В выводе команды будут фигурировать полученные групповые объекты. В частности, соответствующий уникальный код (GUID) объекта.
FreeIPA — это комплексное решение по управлению безопасностью Linux-систем,
389 Directory Server,
MIT Kerberos,
NTP,
DNS,
Dogtag, состоит из веб-интерфейса и интерфейса командной строки.
FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.
64.1. Установка сервера FreeIPA
В качестве примера показана установка сервера
FreeIPA со встроенным
DNS сервером и доменом EXAMPLE.TEST в локальной сети 192.168.0.0/24. В примере для установки сервера используется узел: ipa.example.test (192.168.0.113).
Для корректной работы сервера должны соблюдаться следующие условия:
для сервера должно быть задано полное доменное имя (FQDN);
IP-адрес сервера не должен изменяться;
в настройках сетевого интерфейса должен быть указан собственный IP-адрес в качестве первичного DNS.
Во избежание конфликтов с разворачиваемым tomcat необходимо отключить ahttpd, работающий на порту 8080, а также отключить HTTPS в Apache2:
# systemctl stop ahttpd
# a2dissite 000-default_https
# a2disport https
# systemctl condreload httpd2
Установить необходимые пакеты:
# apt-get install freeipa-server freeipa-server-dns
Задать имя сервера:
# hostnamectl set-hostname ipa.example.test
Запустить скрипт настройки сервера. В пакетном режиме:
# ipa-server-install -U --hostname=$(hostname) -r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 --setup-dns --forwarder 8.8.8.8 --auto-reverse
Для пакетной установки необходимо указать следующие параметры:
-r REALM_NAME — имя области Kerberos для сервера FreeIPA;
-n DOMAIN_NAME — доменное имя;
-p DM_PASSWORD — пароль, который будет использоваться сервером каталогов для менеджера каталогов (DM);
-a ADMIN_PASSWORD — пароль пользователя admin, администратора FreeIPA;
-U — позволить процессу установки выбрать параметры по умолчанию, не запрашивая у пользователя информацию;
--hostname=HOST_NAME — полное DNS-имя этого сервера.
Чтобы установить сервер со встроенным DNS, должны также быть добавлены следующие параметры:
--setup-dns — создать зону DNS, если она еще не существует, и настроить DNS-сервер;
--forwarder или --no-forwarders — в зависимости от того, нужно ли настроить серверы пересылки DNS или нет;
--auto-reverse или --no-reverse — в зависимости от того, нужно ли настроить автоматическое обнаружение обратных зон DNS, которые должны быть созданы в FreeIPA DNS, или отключить автоматическое определение обратных зон.
Для запуска интерактивной установки следует выполнить команду:
# ipa-server-install
На первый вопрос, нужно ли сконфигурировать DNS-сервер BIND, следует ответить утвердительно:
Do you want to configure integrated DNS (BIND)? [no]: yes
Остальные вопросы можно выбрать по умолчанию (просто нажать
Enter). При установке также потребуется ввести пароль администратора системы и пароль администратора каталогов (пароли должны быть не менее 8 символов).
Перед началом конфигуририрования система выведет информацию о конфигурации и попросит ее подтвердить:
The IPA Master Server will be configured with:
Hostname: ipa.example.test
IP address(es): 192.168.0.113, fd47:d11e:43c1:0:a00:27ff:fe3d:be24
Domain name: example.test
Realm name: EXAMPLE.TEST
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=EXAMPLE.TEST
Subject base: O=EXAMPLE.TEST
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 192.168.0.1, 8.8.8.8
Forward policy: only
Reverse zone(s): 0.168.192.in-addr.arpa., 0.0.0.0.1.c.3.4.e.1.1.d.7.4.d.f.ip6.arpa.
Continue to configure the system with these values? [no]: yes
Далее начнётся процесс конфигурации. После его завершения будет выведена подсказка со следующими шагами.
Для возможности управлять
FreeIPA сервером из командной строки необходимо получить билет Kerberos:
# kinit admin
Добавить в
DNS запись о сервере времени:
# ipa dnsrecord-add example.test _ntp._udp --srv-priority=0 --srv-weight=100 --srv-port=123 --srv-target=ipa.example.test.
Веб-интерфейс доступен по адресу https://ipa.example.test/ipa/ui/.
В случае сбоя установки сервера FreeIPA некоторые файлы конфигурации могут быть уже сконфигурированы. В этом случае дополнительные попытки установить сервер FreeIPA завершатся неудачно. Чтобы решить эту проблему, перед повторной попыткой запуска процесса установки, следует удалить частичную конфигурацию сервера FreeIPA:
# ipa-server-install --uninstall
Если ошибки при установке сервера FreeIPA остаются, следует переустановить ОС. Одним из требований для установки сервера FreeIPA является чистая система без каких-либо настроек.
64.2. Добавление новых пользователей домена
Для добавления новых пользователей можно воспользоваться веб-интерфейсом FreeIPA. Для этого необходимо открыть в веб-браузере адрес https://ipa.example.test/ipa/ui и ввести данные администратора для входа в систему:
Язык интерфейса выбирается автоматически по настройкам веб-браузера.
После успешной авторизации можно создать нового пользователя домена. Для этого на странице → → необходимо нажать кнопку Добавить:
В открывшемся окне необходимо ввести данные пользователя и нажать кнопку Добавить:
Созданный пользователь появится в списке пользователей:
Глава 65. Ввод рабочей станции в домен FreeIPA
Инструкция по вводу рабочей станции под управлением Альт Рабочая станция K в домен FreeIPA.
65.1. Установка FreeIPA клиента
Установить необходимые пакеты:
# apt-get install freeipa-client libsss_sudo krb5-kinit bind-utils libbind zip task-auth-freeipa
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом.
В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить как в графическом интерфейсе, так и в консоли:
В
Центре управления системой в разделе → задать имя компьютера, указать в поле
DNS-серверы IP-адрес FreeIPA сервера и в поле
Домены поиска — домен для поиска:
В консоли:
задать имя компьютера:
# hostnamectl set-hostname comp01.example.test
добавить DNS сервер, для этого необходимо создать файл
/etc/net/ifaces/eth0/resolv.conf со следующим содержимым:
nameserver 192.168.0.113
где 192.168.0.113 — IP-адрес FreeIPA сервера;
указать службе resolvconf использовать DNS FreeIPA и домен для поиска. Для этого в файле
/etc/resolvconf.conf добавить/отредактировать следующие параметры:
interface_order='lo lo[0-9]* lo.* eth0'
search_domains=example.test
где eth0 — интерфейс, на котором доступен FreeIPA сервер, example.test — домен;
обновить DNS адреса:
# resolvconf -u
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле
/etc/resolv.conf должны появиться строки:
search example.test
nameserver 192.168.0.113
65.2. Подключение к серверу в ЦУС
В открывшемся окне следует выбрать пункт Домен FreeIPA, заполнить поля Домен и Имя компьютера, затем нажать кнопку Применить.
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК.
В случае успешного подключения, будет выведено соответствующее сообщение.
Перезагрузить рабочую станцию.
65.3. Подключение к серверу в консоли
Запустить скрипт настройки клиента в пакетном режиме:
# ipa-client-install -U -p admin -w 12345678
или интерактивно:
# ipa-client-install
Если все настроено, верно, скрипт должен выдать такое сообщение:
Discovery was successful!
Client hostname: comp01.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test
Continue to configure the system with these values? [no]:
Необходимо ответить
yes, ввести имя пользователя, имеющего право вводить машины в домен, и его пароль.
Если при входе в домен возникает такая ошибка:
Hostname (comp01.example.test) does not have A/AAAA record.
Failed to update DNS records.
Необходимо проверить IP-адрес доменного DNS сервера в файле
/etc/resolv.conf.
В случае возникновения ошибки, необходимо перед повторной установкой запустить процедуру удаления:
# ipa-client-install -U --uninstall
В окне входа в систему необходимо ввести логин учетной записи пользователя домена и нажать
Enter или щелкнуть на кнопке
:
В следующем окне ввести пароль, соответствующий этой учетной записи и нажать
Enter или щелкнуть на кнопке
:
У вновь созданного пользователя первом входе будет запрошен текущий (установленный администратором) пароль:
Затем у пользователя запрашивается новый пароль:
и его подтверждение:
Если машина до этого была в других доменах или есть проблемы со входом пользователей рекомендуется очистить кэш sssd:
# systemctl stop sssd
# rm -f /var/lib/sss/db/*
# rm -f /var/lib/sss/mc/*
# systemctl start sssd
65.5. Удаление клиента FreeIPA
При удалении, клиент удаляется из домена FreeIPA вместе с конфигурацией системных служб FreeIPA.
Для удаления клиента FreeIPA необходимо:
На клиенте ввести команду:
# ipa-client-install --uninstall
…
Client uninstall complete.
The original nsswitch.conf configuration has been restored.
You may need to restart services or reboot the machine.
Do you want to reboot the machine? [no]: yes
The ipa-client-install command was successful
На клиенте удалить, если они есть, старые принципалы Kerberos (кроме
/etc/krb5.keytab):
# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.TEST
На сервере FreeIPA удалить все записи DNS для клиентского узла:
# ipa dnsrecord-del
Имя записи: comp01
Имя зоны: example.test
Возможность удаления определённой записи не предусмотрена.
Удалить все? Yes/No (default No): yes
-----------------------
Удалена запись "comp01"
-----------------------
На сервере FreeIPA удалить запись узла с сервера LDAP FreeIPA (при этом будут удалены все службы и отозваны все сертификаты, выданные для этого узла):
# ipa host-del comp01.example.test
---------------------------------
Удалён узел "comp01.example.test"
---------------------------------
Часть VII. Средства удаленного администрирования
Дальнейшие разделы описывают некоторые возможности использования Альт Рабочая станция K, настраиваемые в ЦУС.
Эта и последующие главы рекомендуются к прочтению опытным пользователям и системным администраторам.
Глава 66. Вход в систему
Глава 67. Обслуживание компьютера под управлением Альт Рабочая станция K
67.1. Мониторинг состояния системы
Для обеспечения бесперебойной работы ОС крайне важно производить постоянный мониторинг его состояния. Все события, происходящие с ОС, записываются в журналы, анализ которых помогает избежать сбоев в работе ОС и предоставляет возможность разобраться в причинах некорректной работы ОС.
Для просмотра журналов предназначен модуль ЦУС из раздела (пакет alterator-logs). Интерфейс позволяет просмотреть различные типы журналов с возможностью перехода к более старым или более новым записям.
Доступны следующие виды журналов:
— отображаются события безопасности, связанные с работой межсетевого экрана ОС;
— отображаются события процессов ядра и пользовательской области. У каждого сообщения в этом журнале есть приоритет, который используется для пометки важности сообщений. Сообщения в зависимости от уровня приоритета подсвечиваются цветом.
Каждый журнал может содержать довольно большое количество сообщений. Уменьшить либо увеличить количество выводимых строк можно, выбрав нужное значение в списке Показывать.
Для изменения состояния служб можно использовать модуль ЦУС (пакет alterator-services) из раздела . Интерфейс позволяет изменять текущее состояние службы и, если необходимо, применить опцию запуска службы при загрузке системы.
После выбора названия службы из списка отображается описание данной службы, а также текущее состояние: Работает/Остановлена/Неизвестно.
67.3. Системные ограничения
Средствами модуля (пакет alterator-control) из раздела определяются несколько заранее заданных режимов доступа к тому или иному файлу. Администратор системы может установить один из этих режимов — он будет гарантированно сохранён при обновлении системы.
Также модуль может использоваться как простой конфигуратор, позволяющий переключать многие системные службы между заранее определёнными состояниями.
Политики для команды fusermount:
Для переключения состояния следует выбрать режим и нажать кнопку Сохранить.
67.4. Обновление систем, не имеющих выхода в Интернет
Для систем, не имеющих прямого выхода в Интернет, рекомендуется установка отдельного сервера обновлений (например, на базе ОС Альт Сервер или Альт Рабочая станция K), находящегося вне защищенного контура и организация ограниченного доступа к этому серверу.
Модуль ЦУС (пакет alterator-mirror) из раздела предназначен для зеркалирования репозиториев и публикации их для обновлений рабочих станций и серверов.
Сервер обновлений — технология, позволяющая настроить автоматическое обновление программного обеспечения, установленного на клиентских машинах (рабочих местах), работающих под управлением Альт Рабочая станция K.
На странице модуля можно выбрать, как часто выполнять закачку пакетов, можно выставить время, когда начинать зеркалирование.
Здесь также можно выбрать репозитории, локальные срезы которых необходимы. При нажатии на название репозитория, появляются настройки этого репозитория. Необходимо выбрать источник (сайт, откуда будет скачиваться репозиторий), архитектуру процессора (если их несколько, то стоит выбрать соответствующие).
При выборе любой архитектуры также будет добавлен источник с noarch.
Сервер обновлений предоставляет возможность автоматически настроить обновление клиентских машин в нужном режиме:
Локальное зеркало репозитория
В этом режиме на сервере создаётся копия удалённого репозитория. Загрузка ПО клиентскими машинами может производиться с локального сервера по протоколам HTTP, HTTPS, FTP, rsync (для каждого протокола нужно настроить соответствующие службы, ниже приведён пример настройки HTTP- и FTP-сервера). Наличие на локальной машине зеркала репозитория при большом количестве машин в сети позволяет существенно сэкономить трафик.
Зеркалирование потребует наличия большого количества места на диске.
Уменьшить размер скачиваемых файлов и занимаемое репозиторием место на диске можно, указав имена каталогов и файлов, которые будут исключены из синхронизации. Например, не скачивать пакеты с исходным кодом и пакеты с отладочной информацией:
SRPMS
*-debuginfo-*
Шаблоны указываются по одному в отдельной строке. Символ «*» используется для подстановки любого количества символов.
Публикация репозитория
В этом случае публикуется или URL внешнего сервера, содержащего репозиторий, или, если включено локальное зеркало репозитория, адрес этого сервера обновлений. Такая публикация позволяет клиентским машинам автоматически настроить свои менеджеры пакетов на использование внешнего или локального репозитория.
Со стороны клиентских машин, в этом случае, необходимо настроить модуль (пакет alterator-updates), отметив в нём Обновление системы управляемое сервером.
Настройка локального репозитория заканчивается нажатием на кнопку Применить.
По умолчанию локальное зеркало репозитория находится в
/srv/public/mirror. Для того чтобы зеркалирование происходило в другую папку, необходимо эту папку примонтировать в папку
/srv/public/mirror. Для этого в файл
/etc/fstab следует вписать строку:
/media/disk/localrepo /srv/public/mirror none rw,bind,auto 0 0
где
/media/disk/localrepo — папка-хранилище локального репозитория.
Если в каталогах /srv/public/mirror/<репозиторий>/branch/<архитектура>/base/. нет файлов pkglist.* значит зеркалирование не закончено (т.е. не все файлы загружены на ваш сервер обновлений).
67.4.1. Настройка веб-сервера
Установить веб-сервер apache:
# apt-get install apache2
Привести файл
/etc/httpd2/conf/include/Directory_html_default.conf к виду:
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
Require all granted
Запустить apache и добавить его в автозагрузку:
# systemctl enable --now httpd2
Перейти в каталог веб-сервера
/var/www/html:
# cd /var/www/html
Создать здесь символическую ссылку на репозиторий:
# ln -s /srv/public/mirror mirror
На клиентских машинах необходимо настроить репозитории, выполнив команды:
# apt-repo rm all
# apt-repo add http://<ip сервера>/mirror/p11/branch
Проверить правильность настройки репозиториев:
# apt-repo
rpm http://192.168.0.185/mirror p11/branch/x86_64 classic
rpm http://192.168.0.185/mirror p11/branch/noarch classic
67.4.2. Настройка FTP-сервера
Установить, настроить и запустить сервер
FTP.
Создать каталог
/var/ftp/mirror:
# mkdir -p /var/ftp/mirror
Примонтировать каталог
/srv/public/mirror в
/var/ftp/mirror с опцией
--bind:
# mount --bind /srv/public/mirror /var/ftp/mirror
Для автоматического монтирования каталога
/srv/public/mirror при загрузке системы необходимо добавить следующую строку в файл
/etc/fstab:
/srv/public/mirror /var/ftp/mirror none defaults,bind 0 0
На клиентских машинах необходимо настроить репозитории:
# apt-repo rm all
# apt-repo add ftp://<ip сервера>/mirror/p11/branch
# apt-repo
rpm ftp://192.168.0.185/mirror p11/branch/x86_64 classic
rpm ftp://192.168.0.185/mirror p11/branch/noarch classic
67.5. Локальные учётные записи
Модуль (пакет alterator-users) из раздела предназначен для администрирования системных пользователей.
Для создания новой учётной записи необходимо ввести имя новой учётной записи и нажать кнопку Создать, после чего имя отобразится в списке слева.
Для дополнительных настроек необходимо выделить добавленное имя, либо, если необходимо изменить существующую учётную запись, выбрать её из списка.
67.6. Администратор системы
В модуле (пакет alterator-root) из раздела можно изменить пароль суперпользователя (root), заданный при начальной настройке системы.
В данном модуле (только в веб-интерфейсе) можно добавить публичную часть ключа RSA или DSA для доступа к системе по протоколу SSH.
В модуле (пакет alterator-datetime) из раздела можно изменить дату и время в системе, сменить часовой пояс, а также настроить автоматическую синхронизацию часов по протоколу NTP и предоставление точного времени по этому протоколу для других рабочих станций локальной сети.
Системное время зависит от следующих факторов:
часы в BIOS — часы, встроенные в компьютер. Они работают, даже если он выключен;
системное время — часы в ядре операционной системы. Во время работы системы все процессы пользуются именно этими часами;
часовые пояса — регионы Земли, в каждом из которых принято единое местное время.
При запуске системы происходит активация системных часов и их синхронизация с аппаратными, кроме того, в определённых случаях учитывается значение часового пояса. При завершении работы системы происходит обратный процесс.
Если настроена синхронизация времени с NTP-сервером, то компьютер сможет сам работать как сервер точного времени. Для этого достаточно отметить соответствующий пункт Работать как NTP-сервер.
Выбор источника сигналов времени (источника тактовой частоты) доступен в режиме эксперта.
67.8. Настройка прокси-сервера
Модуль (пакет alterator-sysconfig) в разделе позволяет настроить параметры прокси-сервера, используемого для выхода в Интернет.
Данный модуль позволяет настроить:
IP-адрес и порт используемого прокси-сервера;
Логин и пароль для доступа, если прокси-сервер требует аутентификацию.
После нажатия кнопки
Применить все параметры запишутся в файл
/etc/sysconfig/network в следующем виде:
HTTP_PROXY=http://username:password@address:port
HTTPS_PROXY=http://username:password@address:port
FTP_PROXY=http://username:password@address:port
NO_PROXY=""
Указанный прокси-сервер будет использоваться ПО для доступа в сеть Интернет.
Для применения настроек прокси-сервера необходимо перезагрузить систему.
67.9. Ограничение использования диска
Модуль (пакет alterator-quota) в разделе позволяет ограничить использование дискового пространства пользователями, заведёнными в системе в модуле .
Модуль позволяет задать ограничения (квоты) для пользователя при использовании определённого раздела диска. Ограничить можно как суммарное количество килобайт, занятых файлами пользователя, так и количество этих файлов.
Для управления квотами файловая система должна быть подключена с параметрами
usrquota,
grpquota. Для этого следует выбрать нужный раздел в списке
Файловая система и установить отметку в поле
Включено:
Для того чтобы задать ограничения для пользователя, необходимо выбрать пользователя в списке Пользователь, установить ограничения и нажать кнопку Применить.
При задании ограничений различают жёсткие и мягкие ограничения:
Мягкое ограничение: нижняя граница ограничения, которая может быть временно превышена. Временное ограничение — одна неделя.
Жёсткое ограничение: использование диска, которое не может быть превышено ни при каких условиях.
Значение 0 при задании ограничений означает отсутствие ограничений.
67.10. Выключение и перезагрузка компьютера
Иногда, в целях обслуживания или по организационным причинам необходимо корректно выключить или перезагрузить компьютер. Для этого можно воспользоваться модулем ЦУС в разделе .
Возможна настройка ежедневного применения данных действий в заданное время.
Так как выключение и перезагрузка — критичные для функционирования компьютера операции, то по умолчанию настройка выставлена в значение Продолжить работу. Для выключения, перезагрузки или перехода в энергосберегающие режимы нужно отметить соответствующий пункт и нажать Применить.
Для ежедневного автоматического выключения компьютера, перезагрузки, а также перехода в энергосберегающие режимы необходимо отметить соответствующий пункт и задать желаемое время. Например, для выключения компьютера следует отметить пункт Выключать компьютер каждый день в, задать время выключения в поле ввода слева от этого флажка и нажать кнопку Применить.
Для возможности настройки оповещений на e-mail, должен быть установлен пакет
state-change-notify-postfix:
# apt-get install state-change-notify-postfix
Для настройки оповещений необходимо отметить пункт При изменении состояния системы отправлять электронное письмо по адресу, ввести e-mail адрес и нажать кнопку Применить:
По указанному адресу, при изменении состоянии системы будут приходить электронные письма. Например, при включении компьютера, содержание письма будет следующее:
Mon Mar 10 11:02:43 EET 2025: The comp01.example.test is about to start.
При выключении:
Mon Mar 10 12:02:28 EET 2025: The comp01.example.test is about to shutdown.
Кнопка Сбросить возвращает сделанный выбор к безопасному значению по умолчанию: Продолжить работу, перечитывает расписания и выставляет отметки для ежедневного автоматического действия в соответствие с прочитанным.
Глава 68. Конфигурирование сетевых интерфейсов
Альт Рабочая станция K поддерживает самые разные способы подключения к сети Интернет:
Ethernet;
PPTP;
PPPoЕ;
и т.д.
Для настройки подключения воспользуйтесь одним из разделов ЦУС .
Доступные разделы:
PPTP-соединения;
PPPoE-соединения;
Конфигурирование сетевых интерфейсов осуществляется в модуле ЦУС (пакет alterator-net-eth) из раздела :
В модуле можно заполнить следующие поля:
Имя компьютера — указать сетевое имя машины в поле для ввода имени компьютера (это общий сетевой параметр, не привязанный к конкретному интерфейсу);
Интерфейсы — выбрать доступный сетевой интерфейс, для которого будут выполняться настройки;
Версия протокола IP — выбрать в выпадающем списке версию используемого протокола IP (IPv4, IPv6) и убедиться, что пункт Включить, активирующий поддержку выбранного протокола, отмечен;
Конфигурация — выбрать способ назначения IP-адреса (службы DHCP, Zeroconf, вручную);
IP-адреса — список назначенных IP-адресов из поля IP. Ненужные адреса можно удалить нажатием кнопки Удалить;
Добавить ↑ IP — ввести IP-адрес вручную, выбрать в выпадающем списке маску сети и нажать кнопку Добавить, чтобы перенести адрес в пул IP-адреса;
Шлюз по умолчанию — ввести IP-адрес шлюза, который будет использоваться по умолчанию;
DNS-серверы — указать список предпочтительных DNS-серверов, используемых для разрешения доменных имён, маршрутизации почты и управления обслуживающими узлами;
Домены поиска — указать список доменов, в которых будет выполняться поиск. Если в этом поле перечислить часто используемые домены (например, domain), можно обращаться к узлам по коротким именам (например, computer вместо computer.domain).
Параметры IP-адрес и Маска сети являются обязательными для каждого узла IP-сети. Первый параметр — это уникальный идентификатор машины, от второго напрямую зависит, к каким устройствам локальной сети данная машина сможет получить доступ. Если требуется выход во внешнюю сеть, то необходимо также указать параметр Шлюз по умолчанию.
Если в сети присутствует DHCP-сервер, все вышеперечисленные параметры можно получить автоматически, выбрав в списке Конфигурация пункт Использовать DHCP:
Для каждого интерфейса можно также настроить сетевую подсистему (NetworkManager, Etcnet) и указать, должен ли интерфейс запускаться при загрузке системы:
В списке Сетевая подсистема доступны следующие режимы:
Etcnet
В этом режиме настройки берутся исключительно из файлов, расположенных в каталоге настраиваемого интерфейса
/etc/net/ifaces/<интерфейс>. Изменения можно внести либо через ЦУС, либо вручную, редактируя эти файлы.
NetworkManager (etcnet)
В этом режиме
NetworkManager инициирует соединение, используя параметры из конфигурации Etcnet. Изменения возможны как через ЦУС, так и путём редактирования файлов
/etc/net/ifaces/<интерфейс>. В этом режиме можно просматривать текущие параметры, например, IP-адрес, полученный по DHCP, через графический интерфейс через графический интерфейс
NetworkManager.
NetworkManager (native)
В этом режиме управление настройками интерфейса полностью передаётся
NetworkManager и не зависит от Etcnet. Управление осуществляется через графический интерфейс
NetworkManager, а файлы конфигурации хранятся в каталоге
/etc/NetworkManager/system-connections. Этот режим особенно полезен на клиентских системах, где IP-адрес должен назначаться динамически (по DHCP), но DNS-сервер необходимо задать вручную. Настроить такие параметры через ЦУС невозможно, так как при включении DHCP ручные параметры становятся недоступны.
Не контролируется
В этом режиме интерфейс находится в состоянии DOWN (отключён).
Глава 69. Сетевая установка операционной системы на рабочие места
Одной из удобных возможностей Альт Рабочая станция K при разворачивании инфраструктуры является сетевая установка. При помощи сетевой установки можно производить установку Альт Рабочая станция K не с установочного диска, а загрузив инсталлятор по сети.
69.1. Подготовка сервера сетевых установок
Перед началом установки рабочих станций следует произвести предварительную настройку сервера сетевых установок:
задать имя сервера (модуль в
ЦУС), включить DHCP-сервер, задать, если необходимо, имя домена.
При сетевой установке с сервера сетевых установок будут переняты настройки домена и включена централизованная аутентификация. Если вы устанавливаете Альт Рабочая станция K с DVD-диска, то настройку домена и аутентификации надо будет производить отдельно на каждой рабочей стации.
Каталог /var/lib/tftpboot должен быть доступен клиенту через TFTP, каталог /srv/public/netinst должен быть доступен клиенту через NFS.
Настройка TFTP:
Включить TFTP-сервер, установив в файле
/etc/xinetd.d/tftp значение:
disable = no
Удалить или закомментировать следующую строку в файле
/etc/xinetd.conf:
only_from = 127.0.0.1
Перезапустить сервис xinetd:
# systemctl restart xinetd
Настройка NFS-сервера:
В файл
/etc/exports добавить строку:
/srv/public -ro,insecure,no_subtree_check,fsid=1 *
Экспортировать каталоги:
# exportfs -r
Разрешить rpcbind прослушивать входящие соединения из сети:
# control rpcbind server
Запустить и добавить в автозагрузку NFS-сервер:
# systemctl enable --now nfs-server
В настоящий момент модуль не позволяет настроить установку в EFI-режиме для PXE-установки.
Локальный файл должен быть доступен для nobody и должен находиться на сервере сетевых установок, где запущен alterator-netinst.
В разделе (пакет alterator-netinst) укажите, откуда импортировать новый образ, и нажмите кнопку Добавить.
Процесс добавления образа занимает какое-то время. Пожалуйста, дождитесь окончания этого процесса.
После добавления образ появится в списке Доступные образы дисков. Необходимо выбрать из списка один из образов и нажать кнопку Выбрать.
На этом подготовка сервера к сетевой установке рабочих станций завершена.
Дополнительно данный модуль позволяет выбрать вариант загрузки (например, непосредственно загружать ОС некоторых Live-версий дистрибутивов):
Для включения режима автоматической установки (см.
Автоматическая установка системы (autoinstall) ) необходимо выбрать образ, выбрать вариант загрузки , установить отметку в поле
Автоматическая установка, в поле
Метаданные указать каталог с установочными файлами и сохранить настройки, нажав кнопку
Применить:
Если отмечен пункт Включить установку по VNC, то далее следует выбрать направление соединения. Удалённый доступ к компьютеру может быть двух видов:
Со стороны клиента. Во время установки администратор может с помощью VNC-клиента подключиться к компьютеру, на которой производится установка, зная его IP-адрес и заданный пароль.
Со стороны сервера сетевых установок. Во время установки с каждого компьютера инициируется подключение к запущенному на заданном компьютере VNC-клиенту. Компьютер-приёмник соединений задаётся IP-адресом или именем.
В случае, когда работа с аппаратной подсистемой ввода-вывода невозможна (например, если клавиатура, мышь или монитор отсутствуют), можно использовать вариант Только по VNC.
Если необходимо управлять установкой удалённо, отметьте пункт Включить установку по VNC и пункт Подключение со стороны VNC сервера раздела и укажите в поле IP-адрес или имя компьютера, с которого будет происходить управление. Для приёма подключения можно запустить, например, vncviewer -listen.
Не забудьте отключить сетевую установку по окончании процесса установки ОС на рабочих станциях. Это можно сделать, выбрав в списке Доступные образы дисков пункт и подтвердив действие нажатием кнопки Выбрать.
За дополнительной информацией по настройке обращайтесь к встроенной справке соответствующих модулей Центра управления системой.
69.2. Подготовка рабочих станций
Для сетевой установки следует обеспечить возможность загрузки по сети рабочих станций, на которых будет производиться установка ОС.
Большинство современных материнских плат имеют возможность загрузки по сети, однако она по умолчанию может быть отключена в BIOS. Различные производители материнских плат дают разные названия данной возможности, например: «Boot Option ROM» или «Boot From Onboard LAN».
Некоторые материнские платы позволяют выбрать источник загрузки во время включения компьютера. Эта возможность может называться, например, «Select boot device» или «Boot menu».
Последовательность установки при установке с DVD-диска и при сетевой установке не отличаются друг от друга. Обратитесь к разделу руководства
Последовательность установки.
Глава 70. Соединение удалённых офисов (OpenVPN-сервер)
Альт Рабочая станция K предоставляет возможность безопасного соединения удалённых офисов, используя технологию
VPN (англ. Virtual Private Network — виртуальная частная сеть), которая позволяет организовать безопасные шифрованные соединения через публичные сети (например, Интернет) между удалёнными офисами или локальной сетью и удалёнными пользователями. Таким образом, вы можете связать два офиса организации, что делает работу с документами, расположенными в сети удалённого офиса, более удобной.
Помимо соединения целых офисов, также существует возможность организовать доступ в офисную сеть для работы в ней извне. Это означает, например, что сотрудник может работать в своём привычном окружении, даже находясь в командировке или просто из дома.
70.1. Настройка OpenVPN-сервера
Для организации VPN соединения на стороне сервера предусмотрен модуль ЦУС (пакет alterator-openvpn-server) из раздела .
Используя модуль можно:
включить/отключить OpenVPN-сервер;
настроить параметры сервера: тип, сети сервера, использование сжатия и т.д.;
управлять сертификатами сервера;
настроить сети клиентов.
Особое внимание при планировании и настройке подключений следует обратить на используемые сети. Они не должны пересекаться.
Для создания соединения необходимо установить флажок Включить службу OpenVPN, выбрать тип подключения: маршрутизируемое (используется TUN) или через мост (используется TAP), и проверить открываемую по соединению сеть (обычно это локальная сеть в виде IP-адреса и маски подсети).
Обратите внимание, что на стороне клиента, должен быть выбран тот же тип виртуального устройства, что и на стороне сервера. Для большинства случаев подходит маршрутизируемое подключение.
Помимо этого нужно подписать ключ openvpn в модуле (пакет alterator-ca) из раздела .
Для настройки сертификата и ключа ssl необходимо нажать на кнопку Сертификат и ключ ssl... Откроется окно модуля (пакет alterator-sslkey):
Здесь нужно заполнить поле Общее имя (CN) и поле Страна (С) (прописными буквами), отметить пункт (Пере)создать ключ и запрос на подпись и нажать кнопку Подтвердить. После чего станет активной кнопка Забрать запрос на подпись:
Если нажать на кнопку Забрать запрос на подпись, появится диалоговое окно с предложением сохранить файл openvpn-server.csr. Необходимо сохранить этот файл на диске.
В модуле появился новый ключ openvpn-server (Нет сертификата):
Чтобы подписать сертификат, необходимо перейти в модуль → , нажать кнопку Выберите файл/Обзор, указать путь до полученного файла openvpn-server.csr и загрузить запрос:
В результате на экране появится две группы цифр и кнопка Подписать. Необходимо нажать на кнопку Подписать и сохранить файл output.pem (подписанный сертификат).
Далее в разделе , необходимо выделить ключ openvpn-server (Нет сертификата) и нажать кнопку Изменить. В появившемся окне, в пункте Положить сертификат, подписанный УЦ нужно нажать кнопку Выберите файл/Обзор, указать путь до файла output.pem и нажать кнопку Положить:
В модуле , видно, что изменился ключ openvpn-server (истекает_и_дата). Ключ создан и подписан.
Для того чтобы положить сертификат УЦ, необходимо найти его в модуле , нажать на ссылку Управление УЦ и забрать сертификат, нажав на ссылку Сертификат: ca-root.pem:
В модуле , в графе Положить сертификат УЦ: при помощи кнопки Выберите файл/Обзор указать путь к файлу ca-root.pem и нажать кнопку Положить:
Появится сообщение: «Сертификат УЦ успешно загружен».
Для включения OpenVPN необходимо отметить пункт Включить службу OpenVPN и нажать кнопку Применить.
Если необходимо организовать защищённое соединение между двумя локальными сетями, воспользуйтесь модулем (раздел ).
70.2. Настройка клиентов
Со стороны клиента соединение настраивается в модуле ЦУС (раздел ). Доступ к настроенной приватной сети могут получить пользователи, подписавшие свои ключи и получившие сертификат в удостоверяющем центре на том же сервере.
Для создания нового соединения необходимо отметить пункт Сетевой туннель (TUN) или Виртуальное Ethernet устройство (TAP) и нажать кнопку Создать соединение. Должен быть выбран тот же тип, что и на стороне сервера.
В результате станут доступны настройки соединения. На клиенте в модуле OpenVPN-соединение необходимо указать:
Для применения настроек, нажать кнопку
Применить. Состояние с
Выключено должно поменяться на
Включено.
Проверить, появилось ли соединение с сервером можно командой
ip addr
должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[none]
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
Глава 71. Настройки межсетевого экрана
ОС предоставляет возможность организовать доступ к своим службам извне. Например, можно предоставить доступ к корпоративному веб-сайту из сети Интернет. Для обеспечения такой возможности необходимо разрешить входящие соединения на внешних интерфейсах. По умолчанию такие соединения блокируются.
Для разрешения внешних и внутренних входящих соединений предусмотрен раздел ЦУС . В списке Разрешить входящие соединения на внешних интерфейсах модуля (пакет alterator-net-iptables) перечислены наиболее часто используемые службы, отметив которые, вы делаете их доступными для соединений на внешних сетевых интерфейсах. Если вы хотите предоставить доступ к службе, отсутствующей в списке, задайте используемые этой службой порты в соответствующих полях.
Можно выбрать один из двух режимов работы:
Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
Шлюз (NAT). В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен, по крайней мере, один внешний и один внутренний интерфейс.
В любом режиме включено только перенаправление пакетов с внутренних интерфейсов. Перенаправление пакетов с внешних интерфейсов всегда выключено.
Все внутренние интерфейсы открыты для любых входящих соединений.
За дополнительной информацией по настройке обращайтесь к встроенной справке модуля ЦУС.
71.2. Список блокируемых хостов
Модуль ЦУС (пакет alterator-net-iptables) предназначен для блокирования любого трафика с указанными узлами. Данный модуль позволяет блокировать любой сетевой трафик с указанными в списке узлов (входящий, исходящий и пересылаемый).
Блокирование трафика с указанных в списке узлов начинается после установки флажка Использовать чёрный список.
Для добавления блокируемого узла необходимо ввести IP-адрес в поле Добавить IP адрес сети или хоста и нажать кнопку Добавить.
Для удаления узла из списка выберите его и нажмите кнопку Удалить.
Глава 72. Настройка ограничений на использование USB-устройств
Модуль ЦУС (пакет alterator-usbguard) из раздела предназначен для настройки ограничений на использование USB-устройств. Модуль работает на основе функционала USBGuard, позволяет вести чёрный и белый списки ограничений и предоставляет два типа действий — allow/block.
Модуль предоставляет следующие возможности:
сканирование подключенных устройств;
выбор и добавление устройств в набор правил из списка подключенных устройств;
создание предустановленных правил для распространённых сценариев;
создание правил по дескрипторам интерфейса: CC:SS:PP;
создание правил по свойствам USB-устройства: PID, VID;
создание правил по хэшу устройства по PID+VID+SN;
создание сложных правил с дополнительными условиями;
загрузка правил из csv-файла;
редактирование значений в созданных правилах;
просмотр журнала событий подключения/отключения USB-устройств.
72.1. Информационное поле
В информационном поле отображается текущее состояние службы usbguard, список пользователей и групп, которые могут редактировать правила, сообщения об ошибках и предупреждения:
Добавить/удалить пользователя/группу, которые могут редактировать правила, можно в командной строке, например:
дать пользователю user полный доступ к разделам «devices» и «exceptions», пользователь user также будет иметь возможность просматривать и изменять текущую политику:
# usbguard add-user -u user --devices ALL --policy modify,list --exceptions ALL
удалить права у пользователя user:
# usbguard remove-user -u user
Дополнительную информацию смотрите на соответствующих страницах руководства, например:
$ usbguard add-user -h
Для включения контроля за USB-устройствами необходимо установить отметку в пункте Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить. Служба usbguard будет запущена и добавлена в автозагрузку:
По умолчанию будет установлен режим Белый список: Заблокировать все, кроме подключенных устройств, поэтому все подключенные устройства будут добавлены в список разрешённых, а все новые USB-устройства будут блокироваться.
Изменить поведение по умолчанию можно, установив нужный режим перед запуском службы usbguard (см.
Предустановки).
Для отключения контроля за USB-устройствами необходимо снять отметку с поля Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить и перезагрузить систему.
72.2. Список USB-устройств
Если служба usbguard запущена, в веб-интерфейсе будет отображён список текущих подключённых устройств:
В столбце Статус отображается текущее состояние USB-устройства (allow — разрешённое устройство, block — заблокированное устройство).
Для редактирования состояния USB-устройства необходимо выделить строку с нужным устройством и нажать кнопку Разблокировать/Заблокировать. При этом будет добавлено соответствующее правило в таблицу Хэш.
Если активен Белый список, то для устройства со статусом block будет активна кнопка Разблокировать, если активен Чёрный список, то для устройства со статусом allow будет активна кнопка Заблокировать.
Кнопка Сканировать устройства позволяет обновить список подключённых USB-устройств.
Правила могут работать в режиме белого или чёрного списка. После установки режима Чёрный список, будут заблокированы только перечисленные в данном списке USB-устройства. После установки режима Белый список, будут заблокированы все USB-устройства, кроме перечисленных в данном списке.
Кроме ручного режима добавления правил в списки существует возможность предварительной настройки списков. Для предварительной настройки правил необходимо:
Выбрать соответствующий пункт:
Белый список:
Заблокировать все, кроме подключенных устройств — в правила (таблица Хэш) с действием allow будут добавлены все подключенные устройства. Все новые USB-устройства будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Заблокировать все, кроме подключенных и HID/HUB устройств — в правила с действием allow будут добавлены все подключенные устройства (таблица Хэш) и все устройства с интерфейсами 03:*:* и 09:*:* (таблица Маски CC:SS:PP). Все новые USB-устройства кроме HID/HUB-устройств (клавиатуры, мыши, джойстики, USB-концентраторы) будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Ручной режим — позволяет установить свои правила.
Чёрный список:
Блокировать устройства по классам дескриптора интерфейса: 06 Image и 08 Mass Storage — в правила (таблица Маски CC:SS:PP) с действием block будут добавлены все устройства с интерфейсами 08:*:* и 06:*:*. Все USB-устройства Mass Storage Device (USB-накопитель, карта памяти, кардридер, цифровая фотокамера) и Image (веб-камера, сканер) будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Блокировать устройства по списку известных PID:VID, использующих Аndroid Debug Bus — в правила (таблица Маски VID:PID) с действием block будут добавлены известные Android-устройства. Все Android-устройства будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Ручной режим — позволяет установить свои правила.
Нажать кнопку Проверить. Будут показаны планируемые изменения:
Если изменения корректные, нажать кнопку Применить.
Для отмены изменений, до нажатия кнопки Применить, следует выбрать пункт Ручной режим и нажать кнопку Проверить, а затем Применить.
Для добавления нового правила должен быть выбран пункт Ручной режим в белом или чёрном списках. Если Ручной режим выбран в белом списке, правило будет добавлено с действием allow, если в чёрном — с действием block.
72.4.1. Правила по классу интерфейса
Назначение USB-устройств может определяться кодами классов, которые сообщаются USB-узлу для загрузки необходимых драйверов. Коды классов позволяют унифицировать работу с однотипными устройствами разных производителей. Устройство может поддерживать один или несколько классов, максимальное количество которых определяется количеством доступных endpoints. Например, широко известны устройства класса Human Interface Device, HID (мыши, клавиатуры, игровые манипуляторы и т.д.) или устройства Mass Storage (USB-накопители, карты памяти и т.д.).
Класс интерфейса указывается как три 8-битных числа в шестнадцатеричном формате, разделенных двоеточием (CC:SS:PP). Числа обозначают класс интерфейса (CC), подкласс (SS) и протокол (PP). Вместо номера подкласса и протокола можно использовать символ *, чтобы соответствовать всем подклассам или протоколам. Сопоставление определенного класса и определенного протокола не допускается, то есть если в качестве номера подкласса используется *, то для протокола также необходимо использовать *.
Добавление правила по маске:
Под таблицей Маски CC:SS:PP нажать кнопку Добавить.
В поле CC:SS:PP вписать маску, например, правило для всех устройств с интерфейсами 09:*:*:
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным:
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила. Правило для всех устройств с интерфейсами 09:*:* будет добавлено.
72.4.2. Правила по VID&PID
Каждое USB-устройство содержит атрибуты, куда входит идентификатор разработчика устройства (VID) и идентификатор изделия (PID). На основании этих идентификаторов узел (компьютер) ищет методы работы с этим устройством (обычно это выражается в требовании установить драйверы, поставляемые разработчиком устройства).
VID и PID — это 16-битные числа в шестнадцатеричной системе счисления. В правиле можно также использовать символ *:
для соответствия любому идентификатору устройства *:*
для соответствия любому идентификатору продукта от конкретного поставщика, например, 090с:*
Добавление правила по VID&PID:
Под таблицей Маски VID:PID нажать кнопку Добавить.
В поле VID вписать идентификатор разработчика устройства (VID), а в поле PID идентификатор изделия (PID):
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила.
Для каждого USB-устройства USBGuard вычисляет хэш на основе значений атрибутов устройства и данных дескриптора USB (PID+VID+SN).
Добавление правила по хэшу:
Под таблицей Хэш нажать кнопку Добавить.
В поле Хэш вписать хэш устройства:
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила.
Модуль позволяет создавать сложные правила с дополнительными условиями.
Добавление сложного правила:
Под таблицей Другие правила нажать кнопку Добавить.
В поле Правило вписать правило:
Например, правило, разрешающее подключение принтера только через определённый порт:
allow id 04a9:177a name "Canon E400" serial "F572EC" via-port "1-2" hash "eql9yA8m+5VVMmhXOvbUzwNPDGCAPq+fxIQHvbptlsY="
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила.
72.4.5. Загрузка правил из файла
Правила должны быть добавлены в csv-файл, по одному правилу в каждой строке. Строка должна иметь вид:
allow/block,Interface,PID:VID,Hash
Например:
allow,,090c:1000,"2dfdMHZxF5olAaNbsh68G4fpzD3iQLPL3+M7KHnSRjE="
allow,00:00:*,,
allow,,1000:*,
allow,,,"eql9yA8m+5VVMmhXOvbUzwNPDGCAPq+fxIQHvbptlsY="
Файл не должен содержать конфликтные правила — должны быть либо все allow, либо все block.
Загрузка правил из файла:
Нажать кнопку Выберите файл/Обзор (под таблицей Хэш) и выбрать файл с правилами.
Нажать кнопку Загрузить из файла.
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Нажать кнопку Применить для активации правила.
При загрузке правил из файла политика тоже будет выбрана из файла. Если в файле указана политика противоположная текущей, все существующие правила будут удалены.
Пример удаления правила по маске:
В таблице Маски CC:SS:PP установить отметку в поле с соответствующим правилом.
Нажать кнопку Удалить. Правило будет готово к удалению:
Нажать кнопку Проверить.
Нажать кнопку Применить для удаления правила.
Правила из других таблиц удаляются аналогичным способом.
72.6. Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств (журнала аудита) необходимо нажать кнопку Журнал, расположенную в левом нижнем углу модуля. По нажатию на эту кнопку раскрывается журнал аудита:
Фильтрация по логу USBGuard — строгая, регистрозависимая.
Глава 73. Настройка ограничения доступа к файловой системе USB-устройства
Модуль ЦУС (пакет alterator-usbmount) из раздела позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств.
Особенности работы модуля:
если для устройства не создано правило, то служба не вмешивается в логику монтирования USB-устройства;
если для устройства создано правило, то служба монтирует блочные устройства на назначенном USB-устройстве в каталог /media/alt-usb-mount/$user_$group или /media/alt-usb-mount/root_$group, если пользователь не указан;
служба назначает ACL для указанного пользователя и группы на каталог, в котором будет создана точка монтирования блочного устройства;
в правилах можно указать только существующего локального пользователя и пользовательскую группу;
доступ к USB-устройству назначенному пользователю и группе предоставляется полностью (rw);
любой пользователь может отмонтировать устройство через стандартные средства ОС;
служба не вмешивается в права самих файловых систем блочных устройств;
рекомендуемая файловая система для переносных носителей exFAT.
Особенности работы модуля с файловыми системами:
EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также определяться назначенными правами самой файловой системы;
FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через точку монтирования, назначенную в USBMount;
ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение;
NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS носитель был извлечён небезопасно, то носитель будет смонтирован только для чтения.
73.1. Запуск/останов службы
В модуле отображается текущее состояние службы USBMount:
Для включения контроля за устройствами необходимо передвинуть переключатель Служба USBMount остановлена и нажать кнопку Сохранить. Служба USBMount будет запущена и добавлена в автозагрузку.
Для отключения контроля за устройствами необходимо передвинуть переключатель Служба USBMount активна и нажать кнопку Сохранить.
Если служба USBMount запущена, в веб-интерфейсе будет отображён список текущих подключённых устройств:
В столбце Статус отображается текущее состояние устройства (free — владелец для устройства не назначен, owned — устройству назначен владелец).
Если устройству назначен владелец и устройство примонтировано, то текущая точка монтирования отображается в столбце Точка монтирования.
Кнопка Обновить список блочных устройств позволяет обновить список подключённых устройств.
73.3. Добавление/удаление правил
Для того чтобы назначить права для подключенного блочного устройства, необходимо выполнить следующие действия:
Выделить строку с нужным устройством в таблице Список устройств и нажать кнопку Назначить владельца (или дважды щелкнуть мышью по строке с устройством):
Правило будет добавлено в таблицу Список владельцев:
В столбце Пользователь выбрать пользователя, в столбце Группа — группу владельца блочного устройства:
Нажать кнопку Сохранить. Статус устройства в таблице Список устройств изменится на owned:
При создании/редактировании правила некорректные значения будут выделены красным цветом, корректные — зелёным.
Чтобы назначить права для произвольного блочного устройства, необходимо:
Нажать кнопку Добавить, расположенную под таблицей Список владельцев. В таблицу будет добавлена пустая строка:
В соответствующих столбцах указать VID, PID и Серийный номер устройства:
В столбце Пользователь выбрать пользователя, в столбце Группа — группу владельца блочного устройства:
Если необходимо назначить права для определённой группы пользователей, в столбце Пользователь следует выбрать прочерк.
Нажать кнопку Сохранить.
Редактирование правила:
Дважды щелкнуть мышью по строке с правилом в таблице Список владельцев (или выделить строку в таблице Список владельцев и нажать кнопку Изменить).
Внести изменения.
Нажать кнопку Сохранить.
Удаление правила:
Выделить строку(и) с правилом в таблице Список владельцев.
Нажать кнопку Удалить:
Нажать кнопку Сохранить.
Для отмены внесённых изменений (до нажатия кнопки Сохранить) следует нажать кнопку Сбросить.
73.4. Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств необходимо нажать кнопку Журнал, расположенную в левом нижнем углу модуля. По нажатию на эту кнопку раскрывается журнал аудита:
Глава 74. Прочие возможности ЦУС
Возможности ЦУС Альт Рабочая станция K не ограничиваются только теми, что были описаны выше. Вы всегда можете поискать другие модули, предоставляющие прочие возможности для настройки системы в веб-интерфейсе.
Установленные пакеты, которые относятся к ЦУС, можно посмотреть, выполнив команду:
rpm -qa | grep alterator*
Прочие пакеты для ЦУС можно найти, выполнив команду:
apt-cache search alterator*
Модули можно дополнительно загружать и удалять как обычные программы:
# apt-get install alterator-net-openvpn
# apt-get remove alterator-net-openvpn
После установки модуля, у которого есть веб-интерфейс, для того чтобы он отобразился в веб-интерфейсе, необходимо перезапустить сервис ahttpd:
# systemctl restart ahttpd
Глава 75. Права доступа к модулям
Администратор системы (root) имеет доступ ко всем модулям, установленным в системе, и может назначать права доступа для пользователей к определенным модулям.
Для разрешения доступа пользователю к конкретному модулю, администратору в веб-интерфейсе ЦУС необходимо выбрать нужный модуль и нажать ссылку Параметры доступа к модулю, расположенную в нижней части окна модуля:
В открывшемся окне, в списке Новый пользователь необходимо выбрать пользователя, который получит доступ к данному модулю, и нажать кнопку Добавить.
Для сохранения настроек необходимо перезапустить HTTP-сервер, для этого достаточно нажать кнопку Перезапустить HTTP-сервер.
Для удаления доступа пользователя к определенному модулю, администратору, в окне этого модуля необходимо нажать ссылку Параметры доступа к модулю, в открывшемся окне в списке пользователей которым разрешен доступ, выбрать пользователя, нажать кнопку Удалить и перезапустить HTTP-сервер.
Системный пользователь, пройдя процедуру аутентификации, может просматривать и вызывать модули, к которым он имеет доступ.
Часть VIII. Функционал операционной системы
Глава 76. ГОСТ в OpenSSL
76.1. Поддержка шифрования по ГОСТ в OpenSSL
Для включения поддержки шифрования ГОСТ в OpenSSL необходимо выполнить следующие действия:
Установить пакет
openssl-gost-engine:
# apt-get install openssl-gost-engine
Изменить конфигурационный файл OpenSSL, выполнив команду:
# control openssl-gost all
Проверить, доступны ли шифры ГОСТ для OpenSSL:
$ openssl ciphers|tr ':' '\n'|grep GOST
GOST2012-MAGMA-MAGMAOMAC
GOST2012-KUZNYECHIK-KUZNYECHIKOMAC
LEGACY-GOST2012-GOST8912-GOST8912
IANA-GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89
Пример генерации закрытого ключа с алгоритмом ГОСТ-2012:
$ openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:TCA -out ca.key
Пример создания сертификата на 365 дней (
ca.cer):
$ openssl req -new -x509 -md_gost12_256 -days 365 -key ca.key -out ca.cer \
-subj "/C=RU/ST=Russia/L=Moscow/O=SuperPlat/OU=SuperPlat CA/CN=SuperPlat CA Root"
Проверка сертификата (
ca.cer):
$ openssl x509 -in ca.cer -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
37:f7:cb:d7:3c:f5:39:db:d4:64:e0:28:b1:d0:8d:3e:b4:01:f5:55
Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
Issuer: C=RU, ST=Russia, L=Moscow, O=SuperPlat, OU=SuperPlat CA, CN=SuperPlat CA Root
Validity
Not Before: Mar 5 13:25:55 2025 GMT
Not After : Mar 5 13:25:55 2026 GMT
Subject: C=RU, ST=Russia, L=Moscow, O=SuperPlat, OU=SuperPlat CA, CN=SuperPlat CA Root
Subject Public Key Info:
Public Key Algorithm: GOST R 34.10-2012 with 256 bit modulus
Public key:
X:F922D11D9D3BE18A9F1866AA5993C9B5C83A6EB2A8E328B3ED550D95B3E7F5F3
Y:3F70442C79850BA0EEF4C57337E113037085528989B4726A96D7C20B72BE08B0
Parameter set: GOST R 34.10-2012 (256 bit) ParamSet A
X509v3 extensions:
X509v3 Subject Key Identifier:
73:95:F0:1C:00:CB:E8:04:92:06:48:5D:97:27:DD:8C:18:34:CC:9D
X509v3 Authority Key Identifier:
73:95:F0:1C:00:CB:E8:04:92:06:48:5D:97:27:DD:8C:18:34:CC:9D
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
Signature Value:
0d:bd:a3:8a:a1:df:c2:d6:25:e7:09:55:04:4c:0e:2a:11:01:
fe:3d:93:4d:d0:75:72:3b:1c:cc:dc:da:3a:50:3f:6b:9d:45:
d9:a3:b6:da:80:db:2e:b4:7d:a6:08:29:20:3c:2e:6e:2f:10:
b0:47:9e:fb:a0:7c:6f:4c:6b:45
Глава 77. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012
В ОС Альт Рабочая станция K реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012.
77.1. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в ЦУС
В открывшемся окне следует отметить пункт Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012 и нажать кнопку Применить:
Проверить настройку можно, установить пароль пользователю и выполнив команду:
# passwd <имя пользователя>
# passwd -S <имя пользователя>
Password set, gost-yescrypt encryption.
77.2. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в консоли
Просмотреть тип хеша пароля пользователя:
# passwd -S <имя>
Пример ожидаемого результата:
# passwd -S root
Password set, yescrypt encryption.
Изменить типа хеша по умолчанию на gost-yescrypt:
# control tcb-hash-prefix gost_yescrypt
Установить пароль пользователю:
# passwd <имя пользователя>
Проверка:
# passwd -S <имя пользователя>
Password set, gost-yescrypt encryption.
Список возможных хэш-функций можно вывести, выполнив команду:
# control tcb-hash-prefix help
bcrypt_2b: prefix=$2b$ count=8 (4 - 31 limit)
bcrypt_2y: prefix=$2y$ count=8 (4 - 31 limit)
bcrypt_2a: prefix=$2a$ count=8 (4 - 31 limit)
yescrypt: prefix=$y$ count=8 (0 - 11 limit)
scrypt: prefix=$7$ count=8 (0 - 11 limit)
gost_yescrypt: prefix=$gy$ count=8 (0 - 11 limit)
sha256: prefix=$5$ count=10000 (1000 - 100000 limit)
sha512: prefix=$6$ count=10000 (1000 - 100000 limit)
default: hash prefix managed by libcrypt
Текущее значение хэш-функции:
# control tcb-hash-prefix
gost_yescrypt
Изменить типа хеша на установленный по умолчанию:
# control tcb-hash-prefix default
Глава 78. Копидел — средство тиражирования установленной системы
Модуль Копидел предоставляет пользователю простой интерфейс для копирования настроенной рабочей системы на другие компьютеры.
Модуль позволяет:
создать разливочный образ ОС (в формате img), записать образ напрямую на внешний накопитель для быстрой установки целевой ОС, аналогичной исходной;
указать каталоги, которые следует исключить из копирования;
выбрать каталог или внешний накопитель для сохранения образа;
включить режим OEM — при первой загрузке целевой системы пользователь сможет выполнить персональные настройки (выбор имени, языка, пароля и т.д.);
сжать скопированную файловую систему с помощью xz.
Для работы
Копидел должен быть установлен пакет
alterator-kopidel:
# apt-get install alterator-kopidel
Исходная система — система, с которой создается образ. Целевая система — система, на которую будет установлен образ.
Для создания образа необходимо достаточное свободное место:
при создании RAW-образа требуется место, равное примерно размеру копируемой системы;
при использовании сжатия xz требуется место до двукратного размера системы, так как итоговый размер сжатого образа заранее предсказать невозможно.
При создании образа формируется файл vm-profile.scm, содержащий разметку диска исходной системы. Эта разметка будет применена на целевой машине.
Тип образа выбирается с помощью радиокнопок:
Разливочный образ — создаётся файл образа системы в формате .img;
Разливочный внешний накопитель — образ записывается напрямую на выбранный внешний носитель (например, USB-флешку или неразмеченный раздел диска).
При выборе опции
Разливочный образ отображается поле
Рабочий каталог со списком разделов, подходящих для создания образа. Ограничения для выбора раздела:
выбираются только разделы, на которых достаточно места;
раздел должен быть примонтирован;
рабочий каталог не может находиться на файловых системах, смонтированных с флагами ro (только для чтения) или nodev.
Для обновления списка каталогов можно нажать кнопку Обновить список возможных рабочих каталогов (полезно, например, если изменился список игнорируемых файлов).
В выбранном разделе будет создан каталог alterator-kopidel-workdir, внутри которого формируется файл образа razlivochniy.img.
При выборе варианта Разливочный внешний накопитель отображается поле Внешний накопитель со списком устройств, подходящих для создания образа.
Для обновления списка носителей можно нажать кнопку Обновить список возможных внешних накопителей.
Дополнительные настройки:
Использовать стандартный список файлов, игнорируемых при копировании — в качестве источника игнорируемых файлов используется файл
/usr/share/alterator-kopidel/default-ignored-files.txt. В нём перечислены пути (по одному на строке), которые не копируются на целевую систему. Содержимое файла исключений по умолчанию:
/home/*/[^.]*
/dev
/proc
/sys
/tmp
/run
/mnt
/media
/lost+found
Путь к пользовательскому списку игнорируемых файлов — файл со списком игнорируемых файлов и каталогов (файлы и каталоги должны быть указаны по одному на каждой строке).
Если изменяется путь к списку игнорируемых файлов, рядом появляется кнопка для обновления списка:
Установка в режиме OEM — включение режима OEM. В этом режиме при первой загрузке целевой системы запускается мастер первоначальной настройки, включающий по умолчанию следующие шаги:
Выбор основного языка системы
Лицензионное соглашение
Дата и время
Установка пароля учетной записи администратора (root)
Создание учётной записи системного пользователя
Завершение настройки
При установке в режиме OEM будут удалены все пользователи исходной ОС.
Мастер настройки можно изменить с помощью файла /etc/alterator-setup/steps (например, можно добавить шаг настройки сети net-eth, или удалить шаг создания учётной записи системного пользователя users).
Установить GRUB с флагом --removable — включает режим совместимой установки загрузчика:
в UEFI режимах загрузчик размещается в стандартном пути (/EFI/BOOT/BOOTX64.EFI), чтобы система могла загружаться даже без записи загрузочной записи в NVRAM;
в Legacy BIOS режимах загрузчик устанавливается в загрузочный сектор корневого раздела (где расположена система).
Этот режим полезен для создания гибридных образов, совместимых с загрузкой как в BIOS, так и в UEFI.
Сжать копируемую файловую систему с помощью xz — включает максимальное сжатие создаваемого образа. Экономит место, но увеличивает время копирования.
Кнопка Создать разливочный образ — запускает процесс создания разливочного образа.
Кнопка Прекратить создание разливочного образа — становится активной после старта процесса и позволяет прервать его.
Во время работы отображаются два индикатора (progress bar):
78.2. Инструмент командной строки kopidel
Создать разливочный образ можно и в командной строке.
Синтаксис команды
kopidel:
# kopidel [опции] workdir
# kopidel [опции] /dev/external_drive
где:
workdir — путь к рабочему каталогу (например, /alterator-kopidel-workdir);
/dev/external_drive — устройство, на которое будет записан образ.
Доступные опции:
-X, --ignored-from — путь к файлу со списком игнорируемых файлов (по умолчанию используется файл /usr/share/alterator-kopidel/default-ignored-files.txt);
--xz — сжать скопированную файловую систему с помощью xz;
-O, --oem-mode — включить режим OEM;
-s, --step — запустить отдельный шаг процесса;
--list-workdirs — показать список возможных рабочих каталогов;
--list-exdrives — показать список возможных внешних накопителей;
--grub-efi-removable — установить GRUB с флагом --removable;
-v, --version — показать версию и выйти;
-h, --help — показать справку и выйти.
Возможные шаги при создании загрузочного образа:
prepare_workdir — подготовка рабочего каталога;
create_copied_fs — копирование файловой системы;
create_disk_partition_info — создание информации о разбивке диска (alterator-kopidel-workdir/image/Metadata/vm-profile.scm;
create_install_scripts — создание установочных скриптов (alterator-kopidel-workdir/image/Metadata/install-scripts.tar);
create_razlivochniy_mountpoint — создание разделов и точек монтирования;
save_ready_to_use_image — перемещение готовых к использованию файлов в образ;
use_ready_to_use_image — перемещение готовых к использованию файлов в примонтированный образ;
install_grub — установка GRUB;
umount_razlivochniy — размонтирование образа.
Примеры использования:
просмотр возможных рабочих каталогов:
# kopidel --list-workdirs
Используется стандартный список игнорируемых файлов.
Список возможных рабочих каталогов:
/alterator-kopidel-workdir /dev/sda3
просмотр возможных внешних накопителей:
# kopidel --list-exdrives
Используется стандартный список игнорируемых файлов.
Нет доступных внешних накопителей с достаточным количеством места. Требуемое место: 12Gi.
создание образа в каталоге
/alterator-kopidel-workdir:
# kopidel /alterator-kopidel-workdir
Используется стандартный список игнорируемых файлов.
[Ср 03 сен 2025 12:06:28 EET] Шаг 1/9: Подготовка рабочего каталога.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 12:10:09 EET] Шаг 2/9: Копирование файловой системы.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:17 EET] Шаг 3/9: Создание информации о разбивке диска.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:26 EET] Шаг 4/9: Создание установочных скриптов.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:26 EET] Шаг 5/9: Перемещение готовых к использованию файлов в образ.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:26 EET] Шаг 6/9: Создание разделов и точек монтирования.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:45:04 EET] Шаг 7/9: Перемещение готовых к использованию файлов в образ.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:46:14 EET] Шаг 8/9: Установка GRUB.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:46:18 EET] Шаг 9/9: Размонтирование образа.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:46:18 EET] Создание разливочного образа успешно завершено.
выполнение отдельного шага (например, создание информации о разметке):
# kopidel -s create_disk_partition_info /alterator-kopidel-workdir
Используется стандартный список игнорируемых файлов.
[Ср 03 сен 2025 11:48:41 EET] Шаг 1/1: Создание информации о разбивке диска.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 11:48:47 EET] Шаг был успешно выполнен
Результат (файл
vm-profile.scm):
# cat /alterator-kopidel-workdir/image/Metadata/vm-profile.scm
((workstation
(title . "Setup for workstation")
(action . trivial)
(actiondata
("swap" (size 262144 . 262144 ) (fsim . "SWAPFS") (methods plain) )
("/boot/efi" (size 1046528 . 1046528 ) (fsim . "FAT32") (methods plain) )
("" (size 66865468 . 166455296 ) (fsim . "BtrFS") (methods plain) (subvols ("@" . "/") ("@home" . "/home")))
)))
запись образа на внешний накопитель:
# kopidel /dev/sdb
Используется стандартный список игнорируемых файлов.
[Ср 03 сен 2025 16:48:56 EET] Шаг 1/7: Создание разделов и точек монтирования.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:48:57 EET] Шаг 2/7: Подготовка рабочего каталога.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:52:16 EET] Шаг 3/7: Копирование файловой системы.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:12 EET] Шаг 4/7: Создание информации о разбивке диска.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:17 EET] Шаг 5/7: Создание установочных скриптов.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:17 EET] Шаг 6/7: Установка GRUB.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:18 EET] Шаг 7/7: Размонтирование образа.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:18 EET] Создание разливочного образа успешно завершено.
создать разливочный образ в каталоге
/home/alterator-kopidel-workdir, использовать OEM-режим, установить загрузчик в специальный раздел «EFI» (для режима EFI):
# kopidel -O -g efi /home/alterator-kopidel-workdir
78.3. Создание и разливка разливочного образа
На целевой системе будут удалены все существующие данные.
Процедура создания разливочного образа и разливки его на целевую систему состоит из следующих шагов:
Установить систему на исходный ПК, разметив диск так, как он будет размечен на целевых машинах.
Установить модуль Копидел.
Произвести настройку исходной ОС (установить пакеты, настроить ПО и т.д.).
Обеспечить наличие достаточного места для создания разливочного образа.
Создать разливочный образ в командной строке, выполнив команду kopidel, или в ЦУС (в модуле Копидел выбрать необходимые опции и нажать кнопку Создать разливочный образ):
После запуска процесса создания разливочного образа верхний индикатор прогресса (progress bar) будет отображать выполняемую задачу, нижний — процент выполнения данной задачи:
Дождаться создания образа ОС (создание образа может занять довольно продолжительное время).
Если разливочный образ создается в ЦУС, создание образа будет завершено, когда на верхнем индикаторе выполнения появится появится сообщение Создание разливочного образа успешно завершено:
Если образ ОС создавался в каталоге, перенести его из рабочего каталога на загрузочное устройство.
Произвести загрузку с разливочного образа на целевом ПК:
Программа перенесёт копию исходной ОС на целевой ПК (процедура переноса может занять довольно продолжительное время). На экране будет отображаться процесс переноса:
Отключить загрузочное устройство.
Загрузится с целевой системы.
На целевом ПК размер и количество дисков должны совпадать с размером диска на исходной машине. Если размер дисков не совпадает, установка будет невозможна, на экране будет отображаться ошибка:
Глава 79. Подпись и проверка ЭЦП ГОСТ
Для создания и проверки электронной подписи в Альт Рабочая станция K можно использовать программу
ALT CSP КриптоПро (Подпись и проверка ЭЦП ГОСТ). Возможности
ALT CSP КриптоПро:
создание электронной подписи (отсоединённой и присоединённой);
создание электронной подписи в zip-контейнере;
подпись группы файлов;
проверка электронной подписи;
просмотр содержимого zip-контейнера с документом и электронной подписью.
Для работы ALT CSP КриптоПро должно быть установлено программное обеспечение КриптоПро, у пользователя должен существовать контейнер с сертификатом (в локальном считывателе или на токене).
Запустить
ALT CSP КриптоПро можно:
79.1.2. Создание электронной подписи
79.1.2.1. Отсоединённая подпись
Особенности отсоединённой электронной подписи:
файл подписи создается отдельно от подписываемого файла (подписываемый документ остается неизменным);
для проверки подписи нужно передавать два файла — исходный документ и файл подписи;
нет ограничения по формату подписываемых документов.
Для создания отсоединённой подписи следует на вкладке , в разделе Документ нажать кнопку Выбрать и выбрать электронный документ. Нажав кнопку Просмотреть, можно просмотреть содержимое электронного документа.
Документ будет выбран автоматически, если программа была запущена из контекстного меню файла.
Далее следует выбрать сертификат, которым будет подписан документ.
В выпадающем списке Кодировка можно выбрать кодировку подписи: base64 (по умолчанию) или DER. В выпадающем списке Расширение можно задать расширение файла цифровой подписи: p7b, p7s, sig (по умолчанию) или .sign.
Название файла цифровой подписи по умолчанию будет сформировано путём добавления к имени файла информации о текущей дате и времени: гг-мм-дд_чч-мм-сс_<ИМЯ_ФАЙЛА>.sig. При необходимости это имя можно откорректировать вручную или вернуть к виду по умолчанию, нажав кнопку Создать имя.
Для генерации электронной подписи следует нажать кнопку Подписать.
В открывшемся окне необходимо ввести пароль на контейнер, если он был установлен, и нажать кнопку ОК.
В результате успешного создания электронной подписи в поле Результат появится сообщение Ошибок не обнаружено. Сформированный файл подписи по умолчанию будет сохранен в тот же каталог, в котором находится файл с исходными данными.
ALT CSP КриптоПро позволяет объединить электронный документ и соответствующую ему электронную подпись в zip-архив (<ИМЯ_ФАЙЛА>.signed.zip). Для создания zip-архива необходимо при создании электронной подписи нажать кнопку Подписать и сжать. В результате создания электронной подписи, будет сформирован zip-архив, в который будут перемещены файл электронного документа и файл электронной подписи.
79.1.2.2. Присоединённая подпись
Присоединённая подпись — разновидность электронной подписи, при создании которой формируется файл, содержащий как саму электронную подпись, так и исходный документ. Отправлять для проверки подписи нужно будет только этот файл. Для проверки и прочтения такого документа должно быть установлено ПО, поддерживающее работу с прикрепленной подписью.
Для создания присоединённой подписи необходимо при создании электронной подписи в разделе Подпись установить отметку в поле Присоединённая подпись. В том же каталоге, в котором хранился исходный документ, появится файл, содержащий как саму электронную подпись, так и исходный документ (в данном примере 25-03-10_22-28-53_test.pdf.sig).
Пример извлечения файла с данными из файла электронной подписи:
$ cryptcp -verify 25-03-10_22-28-53_test.pdf.sig test_new.pdf
В файл
test_new.pdf будут извлечены данные.
79.1.2.3. Подпись группы документов
Для того чтобы подписать несколько файлов, можно выбрать их в файловом менеджере и запустить ALT CSP КриптоПро из контекстного меню или в ALT CSP КриптоПро в разделе Документ нажать кнопку Выбрать и выбрать нужные файлы. В поле Документ будет указано количество выбранных файлов, а в поле Результат будут перечислены выбранные файлы:
Далее следует выбрать сертификат, которым будет подписан документ, указать кодировку подписи, задать расширение файла цифровой подписи и нажать кнопку Подписать.
В результате успешного создания электронной подписи в поле Результат появится сообщение Ошибок не обнаружено. Сформированные файлы подписей будут сохранены в тот же каталог, в котором находились файлы с исходными данными.
79.1.3. Проверка электронной подписи
Проверка электронной подписи выполняется во вкладке .
79.1.3.1. Отсоединённая подпись
Для проверки отсоединённой электронной подписи нужны оба файла: файл подписи и файл исходного документа. Для проверки подписи необходимо нажать кнопку Выбрать и выбрать электронный документ. Далее следует выбрать подпись, нажав кнопку Выбрать в секции Подпись и выбрать файл электронной подписи. После появления имени подписи в секции Подпись необходимо нажать кнопку Проверить:
Если программа ALT CSP КриптоПро была запущена из контекстного меню файла, документ будет выбран автоматически. Если программа была запущена из контекстного меню файла электронной подписи, подпись и документ будут выбраны автоматически.
Для проверки электронной подписи в контейнере достаточно выбрать zip-архив (документ и подпись будут выбраны автоматически) и нажать кнопку Проверить.
79.1.3.2. Присоединённая подпись
Для проверки присоединённой электронной подписи необходимо выбрать электронный документ и нажать кнопку Проверить.
79.2. Сургуч (проверка и подпись PDF-документов)
Сургуч — это приложение для работы с электронными документами, позволяющее просматривать, подписывать и проверять электронные подписи (ЭП) в соответствии с требованиями российского законодательства.
Приложение работает в двух режимах:
режим PDF — предназначен для работы с визуальными документами, в которых электронная подпись встраивается непосредственно в PDF;
режим Файл — предназначен для работы с произвольными файлами и архивами подписей, без отображения содержимого документа в виде страниц.
Общие возможности:
проверка корректности и свойств подписи в форматах CAdES-BES, CAdES-T, CAdES-XLT1, PKCS#7;
проверка цепочки сертификатов и отображение информации о каждом сертификате;
запрос к OCSP-серверу для проверки отзыва сертификатов, использованных в цепочке;
создание ЭП в форматах CAdES-BES/T/XLT1;
сохранение настроек подписи в виде профилей для повторного использования;
В режиме
PDF приложение предоставляет следующие возможности:
открытие PDF-документов и отображение их содержимого;
изменение масштаба и ориентации страниц;
поиск по содержимому документа;
отображение электронных подписей, содержащихся в документе;
встраивание ЭП в PDF-документ и сохранение нового подписанного файла;
создание и встраивание штампа подписи в соответствии с требованиями 63-ФЗ в PDF-документ;
проставление меток с текстом или изображением, таких как Одобрено, Совершенно секретно, Копия верна и др.;
создание и редактирование собственных шаблонов меток (включая текст, цвет, прозрачность, ссылки и изображения);
печать документа.
В режиме
Файл приложение предоставляет следующие возможности:
открытие и просмотр списка файлов и подписей;
проверка и отображение машиночитаемых доверенностей (МЧД);
сопоставление МЧД с подписями и файлами;
раскрытие архивов как дерева;
раскрытие присоединённых подписей как дерева;
открытие отдельных файлов из структуры дерева;
подписание добавленных файлов, сохранение полученных архивов в соответствии с настройками профиля.
Для работы
Сургуч должны быть установлены пакеты
surguch и
newt52:
# apt-get install surguch newt52
Для работы Сургуч должно быть установлено программное обеспечение КриптоПро CSP 5.0, у пользователя должен существовать контейнер с сертификатом (в локальном считывателе или на токене).
Для корректной проверки подписи должны быть установлены корневой и промежуточные сертификаты подписанта документа.
Для возможности подписи документов необходимо импортировать сертификаты. Сертификаты должны находиться в хранилище umy. Проверить наличие сертификатов в хранилище umy можно, выполнив команду:
$ certmgr -list -store umy
При запуске Сургуч из контекстного меню PDF-файла или через команду surguch <PDF-файл>, приложение откроется в режиме PDF.
79.2.2. Интерфейс приложения
79.2.2.1. Открытие документа
Окно Сургуч после запуска:
Открыть PDF-документ в режиме
PDF можно следующими способами:
запустить Сургуч из контекстного меню PDF-файла;
перетащить PDF-документ в левую часть стартового окна (можно на поле PDF Drag&Drop или просто в область);
нажать кнопку PDF на панели инструментов или PDF Drag&Drop, выбрать документ в диалоговом окне и нажать Открыть, либо дважды щёлкнуть по имени файла;
перетащить PDF-документ в окно Сургуч, если приложение уже находится в режиме PDF.
При открытии нового PDF-файла текущий документ будет закрыт.
Открыть файл можно следующими способами:
перетащить файл в левую правую стартового окна (можно на поле Файл Drag&Drop или просто в область);
нажать кнопку Файл на панели инструментов или Файл Drag&Drop, выбрать один или несколько файлов в диалоговом окне и нажать Открыть, либо дважды щёлкнуть по имени файла;
перетащить файл в окно Сургуч, если приложение уже находится в режиме Файл.
Чтобы закрыть отдельный файл, нужно щёлкнуть по значку
в строке этого файла. Чтобы закрыть все файлы — по такому же значку в заголовке таблицы.
В режиме
PDF пользовательский интерфейс состоит из следующих четырёх панелей:
1 — панель управления;
2 — панель инструментов для работы с PDF-документом;
3 — левая боковая панель;
4 — правая боковая панель.
На панели управления (1) доступны следующие кнопки:
PDF — открывает диалог выбора PDF-документа. Если в приложении был открыт файл, при открытии нового он будет закрыт;
Файл — открывает диалог выбора файла. После открытия файла приложение будет работать в режиме Файл;
Показать в папке — открывает каталог, в котором находится текущий документ (активна только в режиме PDF);
Сохранить как — позволяет сохранить документ под другим именем (активна только в режиме PDF);
Из-за особенностей реализации даже без изменений новый файл может не совпадать побитово с исходным (например, может иметь другой SHA-1 хеш, и т.д.).
Редактировать профиль — отображает настройки текущего профиля на правой панели (если профиль не выбран — открывается форма создания нового профиля);
Список профилей — позволяет выбрать профиль подписи. Параметры выбранного профиля отображаются на правой панели;
Подписать — создаёт штамп ЭП (в режиме PDF) и подписывает документ. Для подписи используется текущий профиль. Если профиль не выбран — открывается список для выбора профиля;
Справка — открывает информацию о программе.
На панели инструментов (2) доступны следующие кнопки:
Отображать миниатюры в боковой панели — переключает отображение миниатюр страниц на левой панели;
Отображать подписи в боковой панели — отображает список подписей (доступно, если документ имеет подписи);
Печатье — открывает диалог печати текущего документа;
Следующая страница — переход к следующей странице;
Предыдущая страница — переход к предыдущей странице;
Перейти к странице — позволяет перейти к странице по номеру;
Номер текущей страницы и общее количество страниц в документе — отображает текущую позицию в документе;
Повернуть влево — поворачивает все страницы против часовой стрелки;
Повернуть вправо — поворачивает все страницы по часовой стрелке;
Уменьшить масштаб — уменьшает масштаб отображения документа;
Увеличить масштаб — увеличивает масштаб отображения документа;
Установить масштаб — позволяет выбрать режим масштабирования;
Метка — добавляет графическую метку по выбранному шаблону;
Выбрать метку — позволяет выбрать, создать или отредактировать шаблон метки;
Поиск — открывает окно поиска по тексту.
На левой боковой панели (3) могут отображаться:
На правой боковой панели (4) отображаются:
В режиме
Файл доступны три панели:
1 — панель управления (см. описание для режима
PDF);
2 — область файлов;
3 — правая боковая панель (см. описание для режима
PDF).
В области файлов отображается список открытых файлов. Для каждого файла показываются:
имя файла, размер, дата изменения;
значки статуса подписи и МЧД (если файл подписан или связан с машиночитаемой доверенностью).
Таблица 79.1. Описание значков в столбце Подпись
|
Объект
|
Значок
|
Описание
|
|
Файл
|
|
Найдены файлы подписи для этого файла, все подписи неверны
|
|
Файл
|
|
Найдены файлы подписи для этого файла, все подписи верны
|
|
Файл
|
|
Найдены файлы подписи для этого файла, среди них есть как верные, так и неверные подписи
|
|
Подпись
|
|
Файл содержит одну подпись, и она неверна.
Файл содержит несколько подписей
|
|
Подпись
|
|
Файл содержит одну подпись, и она верна
|
|
Подпись
|
|
Файл содержит подпись, но подписываемый файл не удалось определить (например, файл не найден по названию или найдено несколько файлов, и для всех подпись неверна)
|
Таблица 79.2. Описание значков в столбце Подпись
|
Объект
|
Значок
|
Описание
|
|
Файл
|
|
Найдены МЧД для этого файла, все они верны. Количество найденных подписей и МЧД совпадает
|
|
Файл
|
|
Найдены МЧД для этого файла, но количество верных МЧД не совпадает с количеством подписей
|
|
МЧД
|
|
Файл определён как МЧД, удовлетворяющая схеме. Подписи для этого файла найдены и верны.
|
|
МЧД
|
|
Файл определён как МЧД, удовлетворяющая схеме. Подписи найдены и верны, но срок действия МЧД истёк
|
|
МЧД
|
|
Файл определён как МЧД, удовлетворяющая схеме. Но для МЧД не найдена подпись
|
79.2.3. Работа с приложением
79.2.3.1. Профиль подписи
Профили — это шаблоны настроек подписи, позволяющие быстро и единообразно подписывать документы.
79.2.3.1.1. Формат электронной подписи
Приложение поддерживает три формата подписи:
CADES_BES — базовый формат электронной подписи с проверкой подлинности и целостности данных;
CADES_T — формат электронной подписи с меткой времени (CADES_BES и метка времени);
CADES_XLT1 — усовершенствованный формат электронной подписи, предназначен для долгосрочного хранения подписей и включает все элементы, необходимые для независимой проверки подписи в будущем.
Формат усовершенствованной подписи предусматривает включение в электронную подпись информации о времени создания подписи (TSP) и о статусе сертификата электронной подписи (OCSP) в момент подписания (действителен или отозван). Время создания электронной подписи удостоверяется электронной подписью специального сервера точного времени. Для этого в процессе создания электронной подписи происходит обращение к серверу, создаётся метка точного времени, которая и сохраняется в электронной подписи.
Правовой статус сертификата электронной подписи на момент подписи обеспечивается электронной квитанцией удостоверяющего центра, полученной в момент подписи посредством OCSP. Документ содержит статус запрашиваемого сертификата, на который также ставится штамп времени, подтверждающий их целостность в момент проверки. Статус также сохраняется в электронной подписи.
79.2.3.1.2. Создание и редактирование профиля подписи
Для создания профиля необходимо:
В выпадающем списке выбрать пункт :
В правой боковой панели заполнить настройки профиля:
Название профиля — название профиля (не должно содержать пробелов);
Сертификат — выбрать сертификат, который будет использоваться для подписи. Для выбора доступны личные сертификаты с привязкой к закрытому ключу;
Использовать по умолчанию — если включено, профиль будет автоматически выбираться при запуске приложения;
Тип CADES:
CAdES_BES — классическая подпись без временного штампа;
CAdES_T — подпись со штампом времени;
CAdES_XLT1 — усовершенствованная подпись;
При выборе стандартов
CAdES_T и
CAdES_XLT1 требуется заполнить поле
Адрес службы TSP.
Адрес службы TSP — адрес службы штампов времени. Услуги службы штампов времени могут предоставлять удостоверяющие центры (например, http://pki.tax.gov.ru/tsp/tsp.srf). Поле доступно, если выбран тип CADES CAdES-T или CAdES-XLT1.
Для штампа в PDF:
Вид штампа — выбор шаблона графического штампа;
Логотип компании — изображение, отображаемое в штампе (опционально).
Для подписи файла:
Кодировка файла сертификата — формат сертификата: DER (по умолчанию) или PEM;
Расширение файла подписи — расширение файла цифровой подписи. Возможные значения: .sig (по умолчанию), .sign, .sgn, .p7s, .bin;
Создание архива после подписи:
Не использовать — файлы и подписи сохраняются в папку без архивации;
Общий ZIP-файл — все файлы и подписи упаковываются в один архив;
Отдельный ZIP-файл» — для каждого подписываемого файла и его подписи будет создан отдельный ZIP-архив.
Нажать кнопку Сохранить профиль.
Можно создать разные профили для режима PDF и режима Файл.
Чтобы открыть панель редактирования профиля, необходимо:
Выбрать профиль в списке профилей.
Нажать на значок ключа рядом с профилем.
На панели редактирования профиля можно внести изменения в профиль (для сохранения изменений необходимо нажать кнопку Сохранить профиль).
Для удаления профиля необходимо на панели редактирования профиля нажать кнопку Удалить профиль.
79.2.3.1.3. Штамп электронной подписи
Сургуч формирует графический штамп электронной подписи.
Штамп создаётся на основе встроенного шаблона. Можно использовать готовый шаблон штампа или создать собственный.
Для каждого штампа можно задать положение на странице.
Создание нового шаблона штампа:
Открыть любой профиль или нажать кнопку Создать профиль.
В правой панели в списке выбрать пункт .
В открывшемся окне указать название штампа и настроить его параметры:
Толщина рамки — толщина рамки штампа от 0 до 20 (регулируется ползунком);
Скругление рамки — радиус скругления углов рамки от 1 до 70 (регулируется ползунком);
Цвет — задаётся в формате RGB (регулируется ползунками);
Прозрачность фона — указание, должен ли фон быть прозрачным.
Cохранить шаблон, нажав кнопку Сохранить.
Чтобы выпадающий список был активен, в поле Сертификат необходимо выбрать любой сертификат.
Для редактирования существующего шаблона штампа необходимо выбрать нужный штамп в списке и нажать значок ключа справа от названия, в открывшемся окне внести изменения и сохранить.
Изменить шаблон штампа ГОСТ нельзя.
79.2.3.2.1. Просмотр документа
Для навигации по документу можно использовать:
Для перемещения по страницам также можно использовать левую боковую панель в режиме просмотра миниатюр страниц.
Работа со ссылками в PDF:
открытие внешних ссылок (например, на веб-страницы) выполняется по клику с зажатой клавишей Ctrl — ссылка откроется в браузере;
переход по внутренним ссылкам (в пределах документа) также выполняется по клику с зажатой клавишей Ctrl.
79.2.3.2.2. Поиск по документу
Для поиска фрагмента текста в документе необходимо нажать кнопку Поиск на панели инструментов (значок лупы) или использовать сочетание клавиш Ctrl+F.
В открывшемся поле следует ввести искомый текст. Поиск выполняется по мере ввода текста. Найденные вхождения в документе подсвечиваются. Рядом со строкой поиска отображается номер текущего вхождения и общее количество совпадений. Перемещаться между результатами поиска можно с помощью кнопок Найти предыдущее и Найти следующее.
79.2.3.2.3. Проверка электронной подписи
Для корректной проверки подписи в системе должны быть установлены корневой и промежуточные сертификаты подписанта документа.
Для документа, подписанного электронными подписями, на левой боковой панели будут отображаться подписи в порядке их добавления в документ:
Текст отображает название субъекта сертификата (CN). Значок отображает результат проверки подписи.
Свойства подписи можно проверить, щелкнув мышью по соответствующей подписи. Откроется правая боковая панель с её параметрами:
Корректная подпись отображается зелёным цветом, некорректная или недействительная подпись — красным цветом.
Знак вопроса в поле Дата подписи означает, что для формата подписи CADES_BES невозможно определить точную дату подписи, так как данный формат её не содержит.
Если подпись защищает не весь документ (если документ был изменен после подписывания), существует возможность открыть подписанную версию. Для этого на панели параметров подписи необходимо нажать кнопку Открыть подписанную версию:
Будет загружен документ в состоянии на момент подписания.
79.2.3.2.4. Добавление электронных подписей
Чтобы иметь возможность подписать документ, необходимо:
иметь сертификат электронной подписи с закрытым ключом, установленный в личное хранилище;
убедиться, что сертификат доступен в КриптоПро CSP.
Сургуч не предоставляет средств для создания сертификатов ЭП — они должны быть выпущены удостоверяющими центрами.
79.2.3.2.4.1. Подписание документа
Для подписания документа необходимо:
Открыть документ.
Выбрать в выпадающем списке профиль (если он еще не выбран).
Нажать кнопку Подписать.
Выбрать позицию штампа на странице:
Если штамп нельзя разместить в выбранной области, он будет подсвечен красным цветом:
Нажать левую клавишу мыши, когда штамп находится в нужной позиции.
Ввести пароль от контейнера с закрытым ключом (если контейнер защищен паролем):
Документ будет подписан. В левой панели появится название сертификата, в выбранной области появится штамп электронной подписи:
Сохранить подписанный документ, нажав кнопку Сохранить как.
Все параметры подписи (формат, штамп времени, сертификат) настраиваются в
профиле подписи.
79.2.3.2.5. Работа с метками
Инструмент Метка предназначен для добавления на PDF-документ текстовых комментариев или изображений в виде графических меток (штампов) с настраиваемым внешним видом.
79.2.3.2.5.1. Простановка меток
Добавление метки в документ:
В списке выбрать нужную метку:
Определить область размещения (позицию метки) на странице.
Нажать левую клавишу мыши, когда метка будет находиться в нужной позиции:
Метка будет добавлена в указанной области:
При необходимости размер метки можно задать в момент её простановки: нажать левую клавишу мыши, переместить курсор для выбора нужного размера и отпустить клавишу.
После добавления метка остаётся выбранной. Чтобы проставить её повторно, достаточно нажать кнопку Метка и указать новое положение.
Для отмены и повтора действия простановки метки можно использовать клавиши Ctrl+Z и Ctrl+Y.
79.2.3.2.5.2. Создание и редактирование меток
Можно создавать новые метки или редактировать существующие.
Для создания новой метки необходимо в списке выбрать пункт :
Для редактирования существующей метки следует в списке нажать значок ключа, расположенный справа от названия метки.
В обоих случаях откроется окно настройки метки.
Метки могут быть текстовыми или в виде изображения — переключение осуществляется с помощью параметра Сгенерировать из текста.
Настройка текстовой метки:
Установить переключатель Сгенерировать из текста в положение включено.
В поле Название ввести имя метки (для отображения в списке).
Настроить параметры метки:
Текст — содержимое метки;
Шрифт — используемый шрифт;
Прозрачность фона — указание, должен ли фон быть прозрачным;
Цвет — задаётся в формате RGB (регулируется ползунками);
Толщина рамки — толщина рамки штампа от 0 до 20 (регулируется ползунком);
Скругление рамки — радиус скругления углов рамки от 1 до 70 (регулируется ползунком);
Ссылка — URL-адрес, который открывается при нажатии на метку (опционально);
Ширина метки по умолчанию» — задаётся в процентах от ширины страницы формата A4.
Нажать кнопку Сохранить.
На данный момент открытие ссылок зашитых в метках не поддерживается в приложении Сургуч. Ссылку можно открыть в любом другом приложении.
Настройка метки с изображением:
Установить переключатель Сгенерировать из текста в положение выключено.
В поле Название ввести имя метки (для отображения в списке).
Щелкнуть по полю Выбрать файл, в открывшемся окне выбрать изображение в формате PNG, JPG, JPEG или BMP. В поле Предпросмотр появится выбранное изображение.
В поле Ссылка указать URL-адрес, который открывается при нажатии на метку (опционально).
В поле Ширина метки по умолчанию указать ширину метки в процентах от размера A4.
Нажать кнопку Сохранить.
После сохранения метку можно сразу использовать:
79.2.3.3.1. Подписание файлов
Сургуч позволяет подписывать как отдельные файлы, так и группы файлов.
Для подписания файлов необходимо:
Открыть файлы, которые необходимо подписать:
Выбрать в выпадающем списке профиль подписи (если он еще не выбран).
Нажать кнопку Подписать.
В открывшемся диалоговом окне указать каталог, в который будут сохранены подписанные файлы:
Ввести пароль от контейнера с закрытым ключом (если контейнер защищен паролем):
После успешного подписания появится сообщение с указанием каталога и имени файлов или архива, содержащего исходные файлы и их подписи:
Нажав кнопку Открыть, можно перейти в папку с архивом.
79.2.3.3.2. Проверка подписи
Для проверки подписей необходимо открыть файл, который нужно проверить.
Для проверки отсоединённой электронной подписи нужны оба файла: файл подписи и файл исходного документа.
По результатам проверки можно получить следующую информацию:
Значок рядом с подписью отображает результат её проверки.
При нажатии на значок подписи на правой панели отображается название субъекта сертификата (CN):
Свойства подписи можно проверить, щёлкнув мышью по соответствующей подписи:
Если подпись содержит штамп времени, в свойствах также отображаются сведения о нём.
79.2.3.3.3. Открытие отдельных файлов из структуры дерева
Чтобы открыть отдельный файл из структуры дерева, нужно выбрать пункт в контекстном меню файла:
79.2.3.3.4. Проверка МЧД
Для проверки МЧД необходимо открыть файл машиночитаемой доверенности (МЧД) и файлы с её подписями:
Значок рядом с МЧД отображает результат её проверки.
При нажатии на значок МЧД в правой панели отображаются сведения о подписантах, указанных в доверенности:
Щёлкнув по имени подписанта, можно просмотреть подробные сведения о доверенности, включая:
сведения о доверителе и представителе;
номер и дату выдачи доверенности;
срок действия;
идентификатор и статус доверенности.
79.3. Okular — проверка электронной подписи в PDF-файле
Для проверки электронной подписи необходимо открыть PDF-файл, содержащий подпись, в Okular.
Если текущий документ имеет подписи, после открытия документа над просмотром страницы появится панель с информацией об этом, а также с кнопкой Показать панель подписей. На панели Подписи можно проверить подпись документа:
Если документ содержит штамп ЭП, то для его проверки необходимо включить отображение форм ( → или кнопка Показать формы на панели с информацией) и затем щелкнуть левой кнопкой мыши на штампе. Появится окно Свойства подписи:
Это же окно можно вызвать из контекстного меню подписи на панели подписей (пункт ).
Если при проверке не удаётся проверить некоторые из подписей, необходимо проверить правильность цепочки сертификатов и установить недостающие.
Глава 80. Управление шифрованными разделами
Шифрование блочных устройств позволяет защитить данные, сделав их недоступными без специальной аутентификации — парольной фразы или ключа. Это особенно важно для мобильных устройств и съёмных носителей: даже при физическом доступе к диску расшифровать его содержимое без ключа невозможно.
LUKS2 (Linux Unified Key Setup, версия 2) является стандартным форматом шифрования блочных устройств в Альт Рабочая станция K.
Поддерживаемые алгоритмы:
Шифры: aes-xts-plain64, serpent-xts-plain64, twofish-xts-plain64
Хеш-функции: sha256, sha512, blake2b
PBKDF: argon2id, pbkdf2
Для управления шифрованными разделами можно воспользоваться командой cryptsetup. Ниже описаны лишь некоторые возможности утилиты cryptsetup. Для получения более подробной информации используйте команду man cryptsetup.
80.1. Работа с зашифрованными дисками
В формате LUKS2 поддерживается до 32 ключевых слотов. Каждый слот может содержать свой ключ, который можно использовать для расшифровки. Пароли можно менять или удалять, при этом восстановление удалённых ключей невозможно.
Зашифрованное блочное устройство защищено ключом. Ключ — это либо:
парольная фраза;
ключевой файл.
По умолчанию: парольные фразы могут содержать до 512 символов, а ключевые файлы — до 8192 КиБ.
Просмотреть параметры зашифрованного раздела можно, выполнив команду:
# cryptsetup luksDump /dev/sdb1
LUKS header information
Version: 2
Epoch: 10
Metadata area: 16384 [bytes]
Keyslots area: 16744448 [bytes]
UUID: 87a00f6b-be95-ba47-af78-f38bd4fbcaed
Label: (no label)
Subsystem: (no subsystem)
Flags: (no flags)
Data segments:
0: crypt
offset: 16777216 [bytes]
length: (whole device)
cipher: aes-xts-plain64
sector: 512 [bytes]
Keyslots:
0: luks2
Key: 256 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 256 bits
PBKDF: pbkdf2
Hash: sha256
Iterations: 10727120
Salt: 50 a2 ab a9 6e dc cd e7 b2 0d 60 82 11 7b 62 af
1a 7a 3b 14 0b 26 64 9b fc 81 da f2 14 3b 62 69
AF stripes: 4000
AF hash: sha256
Area offset:163840 [bytes]
Area length:131072 [bytes]
Digest ID: 0
6: luks2
Key: 256 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 256 bits
PBKDF: argon2id
Time cost: 4
Memory: 1000100
Threads: 2
Salt: 45 1a 1e e4 c1 73 ee c8 ae 30 e1 91 55 93 7a 26
0a 11 43 c7 c3 56 72 1f 7f 4b ec 5f df fa d3 7f
AF stripes: 4000
AF hash: sha256
Area offset:32768 [bytes]
Area length:131072 [bytes]
Digest ID: 0
Tokens:
Digests:
0: pbkdf2
Hash: sha256
Iterations: 619725
Salt: 6b 33 83 b5 9a 89 5c 0e 5f ad e2 f2 bc 21 9a 24
a7 46 b0 50 72 94 64 92 7e 67 39 69 cc f8 41 f2
Digest: 65 7c fb 0b fe 73 6a 95 72 03 26 2b dd 3f 60 34
81 73 ac 1a 1e 22 3d cc 2b f2 69 78 2a 7c 29 6d
где
/dev/sdb1 — шифрованный раздел.
Определить является ли устройство LUKS-разделом:
# cryptsetup isLuks -v /dev/sdb1
Команда выполнена успешно.
Если команда завершилась успешно, раздел использует LUKS.
Определить, какие разделы используются системой, и какой из них зашифрован:
# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 60G 0 disk
├─sda1 8:17 0 2G 0 part [SWAP]
├─sda2 8:18 0 512M 0 part /boot/efi
└─sda3 8:19 0 38G 0 part /
sdb 8:16 0 18G 0 disk
└─sdb1 8:17 0 18G 0 part
└─luks-87a00f6b-be95-ba47-af78-f38bd4fbcaed 253:0 0 18G 0 crypt /home
sr0 11:0 1 1024M 0 rom
В выводе команды
cryptsetup luksDump в разделе Keyslots будет отображен список активных слотов:
…
Keyslots:
0: luks2
…
6: luks2
…
Чтобы открыть зашифрованный раздел LUKS используется команда:
# cryptsetup open /dev/sdb1 sdb1_encrypted
Чтобы закрыть контейнер LUKS необходимо отмонтировать раздел и выполнить команду:
# cryptsetup close sdb1_encrypted
Команда добавления нового пароля на зашифрованный раздел (требуется предоставить уже имеющийся пароль интерактивно или посредством опции
--key-file):
# cryptsetup luksAddKey /dev/sdb1
Введите любую существующую парольную фразу:
Введите новую парольную фразу для слота ключа:
Парольная фраза повторно:
Пароль будет добавлен в первый свободный слот.
Можно указать номер определенного слота с помощью опции
--key-slot, например:
# cryptsetup luksAddKey /dev/sdb1 --key-slot 5
Команда замены одного из паролей на другой (старый пароль нужно ввести интерактивно или задать опцией
--key-file):
# cryptsetup luksChangeKey /dev/sdb1
Введите изменяемую парольную фразу:
Введите новую парольную фразу:
Парольная фраза повторно:
Если задан номер слота (опцией
--key-slot), нужно ввести старый пароль именно для заданного слота, и замена пароля произойдёт тоже в этом слоте. Если номер слота не задан и есть свободный слот, то сначала новый пароль будет записан во временный свободный слот, а потом будет затёрт слот, содержащий старый пароль. Если свободных слотов не окажется, то новый пароль будет записан прямо в слот, ранее содержащий старый пароль.
Чтобы узнать какой слот занимает заданный пароль, можно разблокировать устройство с помощью параметра
-v:
# cryptsetup --test-passphrase -v open /dev/sdb1
Не найдено подходящего токена.
Введите парольную фразу для /dev/sdb1:
Слот ключа 0 разблокирован.
Команда выполнена успешно.
Для удаления ключей из заголовка могут использоваться следующие действия:
luksRemoveKey — удалить ключ, указав его парольную фразу/ключевой файл;
luksKillSlot — удалить ключ, указав его слот (будет запрошен другой действительный ключ). Данная команда полезна, если вы забыли парольную фразу, потеряли ключевой файл или не имеете к нему доступа;
erase — удалить все активные ключи.
Все вышеперечисленные действия можно использовать для безвозвратного удаления последнего активного ключа для зашифрованного устройства!
Команда cryptsetup erase не запрашивает пароль и удаляет все ключевые слоты без подтверждения. Восстановить доступ можно только из резервной копии заголовка.
Примеры удаления паролей:
удалить заданный пароль (затирает слот):
# cryptsetup luksRemoveKey /dev/sdb1
Введите удаляемую парольную фразу:
удаление по слоту (если известен номер слота):
# cryptsetup luksKillSlot /dev/sdb1 5
Введите любую оставшуюся парольную фразу:
При удалении ключей необходимо убедиться, что остается хотя бы один рабочий ключ.
При использовании опции -q (тихий режим) удаление даже последнего пароля будет выполнено без каких-либо предупреждений. Если ни одного пароля не останется (то есть все слоты ключей будут пусты), дешифровать LUKS-раздел станет невозможно.
Создание резервной копии заголовка:
# cryptsetup luksHeaderBackup --header-backup-file luks_header.img /dev/sdb1
Резервную копию заголовка необходимо хранить в надёжном месте вне шифруемого устройства.
Восстановление заголовка:
# cryptsetup luksHeaderRestore --header-backup-file luks_header.img /dev/sdb1
ПРЕДУПРЕЖДЕНИЕ!
========
Устройство /dev/sdb1 уже содержит заголовок LUKS2. Замена заголовка уничтожит существующие слоты ключей.
Вы уверены? (введите «yes» заглавными буквами): YES
Восстановление заголовка уничтожит текущие ключи. Новые пароли будут заменены старыми из резервной копии.
80.2. Шифрование пустого блочного устройства
В данном раздела описана процедура шифрования пустого блочного устройства.
Необходимо убедиться, что имеется свободное блочное устройство, на котором нет данных. Можно использовать команду
lsblk, чтобы узнать, нет ли на устройстве реальных данных, например, файловой системы:
# lsblk -f
В примере ниже будет использоваться устройство
/dev/sdb1.
Шифрование пустого блочного устройства:
Инициализировать LUKS2 на устройстве:
# cryptsetup luksFormat /dev/sdb1
ПРЕДУПРЕЖДЕНИЕ!
========
Данные на /dev/sdb1 будут перезаписаны без возможности восстановления.
Вы уверены? (введите «yes» заглавными буквами): YES
Введите парольную фразу для /dev/sdb1:
Парольная фраза повторно:
Инициализация LUKS2 на устройстве безвозвратно удалит все данные на разделе!
Открыть зашифрованное устройство:
# cryptsetup open /dev/sdb1 sdb1_encrypted
Введите парольную фразу для /dev/sdb1:
В результате выполнения данной команды появится новое блочное устройство
/dev/mapper/sdb1_encrypted.
Создать файловую систему на открытом устройстве:
# mkfs -t ext4 /dev/mapper/sdb1_encrypted
Внутри зашифрованного контейнера будет создана файловая система ext4.
Примонтировать зашифрованное устройство:
# mkdir /mnt/luks
# mount /dev/mapper/sdb1_encrypted /mnt/luks
Теперь можно использовать
/mnt/luks как обычный каталог для чтения и записи зашифрованных данных.
Просмотр статуса зашифрованного блочного устройства:
# cryptsetup status sdb1_encrypted
/dev/mapper/sdb1_encrypted is active and is in use.
type: LUKS2
cipher: aes-xts-plain64
keysize: 512 bits
key location: keyring
device: /dev/sdb1
sector size: 512
offset: 32768 sectors
size: 20936704 sectors
mode: read/write
Закрыть устройство можно, выполнив команды:
# umount /mnt/luks
# cryptsetup close sdb1_encrypted
При попытке монтирования закрытого устройства будет запрашиваться пароль:
# mount /dev/sdb1 /mnt/luks
Password:
Разблокирование зашифрованного устройства в файловом менеджере:
80.3. Шифрование существующих данных на блочном устройстве с внешним (отсоединённым) заголовком
В данном разделе описана процедура шифрования существующих данных на блочном устройстве с использованием LUKS2 с сохранением заголовка в отдельном файле.
Во время процесса шифрования можно потерять данные из-за сбоев питания, оборудования, ядра или по ошибке пользователя. Настоятельно рекомендуется сделать резервную копию всех важных данных.
Шифрование существующих данных на блочном устройстве:
Отмонтировать все файловые системы на устройстве, например:
# umount /mnt/test
Инициализировать шифрование с внешним заголовком:
# cryptsetup reencrypt --encrypt --init-only --header /home/header /dev/sdb1 sdb1_encrypted
ПРЕДУПРЕЖДЕНИЕ!
========
Файл заголовка не существует, создать?
Вы уверены? (введите «yes» заглавными буквами): YES
Введите парольную фразу для /home/header:
Парольная фраза повторно:
В результате выполнения данной команды устройство будет открыто и доступно через
/dev/mapper/sdb1_encrypted для оперативного шифрования.
Файл /home/header содержит всю критическую метаинформацию (ключевые слоты, параметры шифрования, UUID и т.д.). Он обязателен для доступа к данным в будущем.
Смонтировать временно разблокированное устройство:
# mount /dev/mapper/sdb1_encrypted /mnt/test
Возобновить шифрование данных:
# cryptsetup reencrypt --resume-only --header /home/header /dev/sdb1
Введите парольную фразу для /dev/sdb1:
Автоматически обнаруженное активное устройство dm «sdb1_encrypted» для устройства данных /dev/sdb1.
Выполнено, время 00м52с, 9 GiB записано, скорость 194,5 MiB/с
Проверить, зашифрованы ли существующие данные на блочном устройстве с использованием LUKS2 с отсоединенным заголовком:
# cryptsetup luksDump /home/header
Должна отобразиться информация о шифровании, ключевых слотах и параметрах.
Необходимо сделать резервную копию заголовка:
# cp /home/header /root/luks-header-backup
Потеря заголовка сделает невозможным расшифровку данных.
Закрыть устройство можно, выполнив команды:
# umount /mnt/test
# cryptsetup close sdb1_encrypted
Так как раздел был зашифрован с отдельным заголовком, для доступа к данным необходимо обязательно указывать внешний заголовок с помощью параметра
--header:
# cryptsetup open --header /home/header /dev/sdb1 sdb1_encrypted
Введите парольную фразу для /dev/sdb1:
80.4. Использование TPM 2.0
Модуль доверенной платформы (TPM, Trusted Platform Module) — это международный стандарт защищённого криптопроцессора. TPM представляет собой специализированный микрочип, предназначенный для повышения уровня безопасности за счёт аппаратной изоляции и хранения криптографических ключей непосредственно в устройстве.
TPM поддерживается только на оборудовании, имеющем соответствующий чип. Если TPM не определяется системой, его может потребоваться включить в настройках UEFI/BIOS.
Для TPM 2.0 требуется загрузка в режиме UEFI. Режим Legacy/CSM может препятствовать корректной работе.
PCR (Platform Configuration Registers) — это 24 регистра в TPM, которые хранят хеши ключевых компонентов загрузочной цепочки (прошивка, загрузчик, ядро и т.д.).
Разблокировка возможна только если текущие значения PCR совпадают с теми, что были при привязке. Изменение любого из компонентов (например, обновление GRUB) изменит PCR — и TPM откажется расшифровать ключ.
Механизм работы LUKS2 с TPM:
На этапе настройки:
Генерируется временный ключ LUKS.
Ключ шифруется с помощью ключа, защищённого TPM, и сохраняется в заголовке LUKS.
Указывается политика PCR (например, 0+2+4+7).
Проверка поддержки TPM:
Просмотр журнала ядра:
# journalctl -k --grep=tpm
…
авг 14 15:14:12 host-200 kernel: ACPI: TPM2 0x0000000071592000 00004C (v04 _ASUS_ Notebook 00000001 AMI 00000000)
Проверка наличия устройства
/dev/tpm0:
# ls /dev/tpm0
Проверка работоспособности TPM:
Проверка версии TPM:
# tpm2_getcap properties-fixed
TPM2_PT_FAMILY_INDICATOR:
raw: 0x322E3000
value: "2.0"
…
Проверка доступности TPM:
# tpm2_pcrread
Если TPM отвечает и возвращает значения PCR, значит он активен и готов к использованию.
Чтение конкретного банка PCR:
# tpm2_pcrread sha256
sha256:
0 : 0xA40AFF58CB8F9C93CBF758194517846804AE1324D72BEAAD88FB096FB36CFE8C
1 : 0x4E5700BB7921018584DF1E990E21474AC1B1A2E9465A68273C3B718282571374
…
80.4.1. Создание зашифрованного раздела
Создание зашифрованного раздела:
Инициализировать LUKS2 на устройстве:
# cryptsetup luksFormat --type luks2 /dev/sdb1
Открыть зашифрованный раздел:
# cryptsetup open /dev/sdb1 sdb1_encrypted
Создать файловую систему:
# mkfs.ext4 /dev/mapper/sdb1_encrypted
Закрыть раздел:
# cryptsetup close sdb1_encrypted
80.4.2. Привязка тома LUKS к TPM 2.0
Привязка LUKS-раздела к TPM 2.0 без PIN (автоматическая разблокировка при старте):
Привязать LUKS2 к TPM2 (по умолчанию sha256, без указания PCR):
# systemd-cryptenroll --tpm2-device=auto /dev/sdb1
Please enter current passphrase for disk /dev/sdb1: ••••••••
New TPM2 token enrolled as key slot 1.
Или, указав PCR, которые будут использоваться для привязки ключа к состоянию BIOS/загрузчика:
# systemd-cryptenroll /dev/sdb1 --tpm2-device=auto --tpm2-pcrs=0,2,4,7
Please enter current passphrase for disk /dev/sdb1: ••••••••
New TPM2 token enrolled as key slot 1.
Наиболее распространённый набор PCR (0, 2, 4, 7) — проверяет и прошивку, и загрузчик, и Secure Boot.
Проверить, что ключ TPM добавлен:
# cryptsetup luksDump /dev/sdb1 | grep -i keyslot
Keyslots area: 16744448 [bytes]
Keyslots:
Keyslot: 1
Получить UUID зашифрованного диска:
# cryptsetup luksUUID /dev/sdb1
cec42bd7-861f-4993-92c6-42be634af1a5
Добавить запись в
/etc/crypttab, указав UUID диска:
sdb1_encrypted UUID=cec42bd7-861f-4993-92c6-42be634af1a5 none luks,discard
После выполнения этих настроек диск должен автоматически разблокироваться при старте, если TPM доступен.
Привязка LUKS-раздела к TPM 2.0 с PIN (добавляет второй фактор аутентификации):
Привязать LUKS2 к TPM2 (по умолчанию sha256, PCR не указываем):
# systemd-cryptenroll /dev/sdb1 \
--tpm2-device=auto \
--tpm2-pcrs=0+2+4+7 \
--tpm2-with-pin=yes
🔐 Please enter current passphrase for disk /dev/sdb1: ••••••••
🔐 Please enter TPM2 PIN: ••••••••
🔐 Please enter TPM2 PIN (repeat): ••••••••
New TPM2 token enrolled as key slot 1.
Проверить, что ключ TPM добавлен:
# cryptsetup luksDump /dev/sdb1 | grep -i keyslot
Keyslots area: 16744448 [bytes]
Keyslots:
Keyslot: 1
Получить UUID зашифрованного диска:
# cryptsetup luksUUID /dev/sdb1
cec42bd7-861f-4993-92c6-42be634af1a5
Добавить запись в
/etc/crypttab, указав UUID диска:
sdb1_encrypted UUID=cec42bd7-861f-4993-92c6-42be634af1a5 none luks,discard
При старте системы будет запрашиваться PIN, а TPM автоматически даст ключ только если PIN введён правильно.
80.4.3. Удаление токена с тома
Чтобы отключить автоматическую разблокировку зашифрованного раздела с помощью TPM 2.0, необходимо удалить TPM-токен и соответствующий слот ключа.
Перед выполнением данной процедуры необходимо убедиться в наличии другого способа разблокировки (например, резервного пароля), иначе доступ к данным будет невозможен.
Определить ID токена и номер слота:
# cryptsetup luksDump /dev/sdb1
Пример вывода:
…
Tokens:
0: systemd-tpm2
tpm2-hash-pcrs: 0+2+4+7
tpm2-pcr-bank: sha256
tpm2-primary-alg: ecc
tpm2-pin: true
Keyslot: 1
Здесь:
Удалить TPM-токен:
# cryptsetup token remove --token-id 0 /dev/sdb1
Эта команда удаляет токен из заголовка LUKS, отвязывая политику TPM (включая PCR, PIN и другие параметры).
Удалить ключевой слот:
# cryptsetup luksKillSlot /dev/sdb1 1
Эта команда удаляет сам ключевой слот, содержащий ключ, использовавшийся для разблокировки через TPM.
После этих процедур автоматическая разблокировка дисков с помощью TPM работать не будет.
Глава 81. Резервное копирование (Timeshift)
Timeshift — программа для автоматического периодического создания копий системы (снимков/snapshots).
Timeshift предназначен, прежде всего, для создания снимков системных файлов и настроек. Пользовательские данные по умолчанию не архивируются, поэтому в случае сбоя системы восстанавливаются системные файлы, а данные пользователей остаются в актуальном состоянии (конечно, если они не были повреждены).
Резервные копии не могут быть восстановлены на уровне отдельных файлов, восстановление всегда происходит в полном объеме настроек Timeshift.
Должен быть установлен пакет
timeshift:
# apt-get install timeshift
Запустить
Timeshift можно из → → или из командной строки:
$ timeshift-launcher
Потребуется ввести пароль администратора.
При первом запуске будет запущен мастер установки. Запустить мастер установки или открыть окно настроек резервного копирования также можно, нажав соответствующую кнопку на панели инструментов в окне Timeshift:
81.1. Настройка резервного копирования
Особенности режима RSYNC:
снимки создаются путём копирования системных файлов при помощи rsync и создания жёстких ссылок на неизмененные файлы из предыдущего снимка;
все файлы копируются при создании первого снимка. Последующие снимки являются инкрементальными. Неизменные файлы будут связаны с предыдущим снимком, если он доступен;
создание первого снимка может занять до 10 минут;
системный раздел может быть отформатирован в любой файловой системе. Резервный раздел может быть отформатирован в любой файловой системе Linux, поддерживающей жесткие ссылки. Сохранение снимков на несистемный или внешний диск позволяет восстановить систему, даже если системный диск повреждён;
можно задать исключения для файлов и каталогов для экономии дискового пространства;
систему необходимо перезагрузить после восстановления снимка.
Тип снимков RSYNC можно выбрать на вкладке окна настроек Timeshift (или на первом шаге работы мастера установки):
RSYNC снимки имеют большой размер, поэтому желательно хранить их на другом диске или разделе. По умолчанию снимки сохраняются в системном (корневом) разделе в каталоге /timeshift.
Выбрать место, где будут храниться снимки, можно на вкладке :
На вкладке следует выбрать уровни создания снимков (ежемесячно, еженедельно, ежедневно, ежечасно, при запуске) и указать количество сохраняемых снимков для каждого уровня:
Снимки уровня Запуск создаются при каждом запуске системы (с задержкой в 10 минут). Они выполняются в фоне и не влияют на скорость загрузки системы.
По умолчанию домашние каталоги пользователей не включаются в резервную копию. На вкладке можно изменить это поведение. Например, если выбрать опцию Включить только скрытые файлы, будет выполнено резервное копирование и восстановление скрытых файлов и каталогов в домашнем каталоге пользователя (эти каталоги содержат пользовательские файлы конфигурации):
На вкладке можно выборочно указать, какие файлы/каталоги включать/исключать из резервного копирования (динамические каталоги исключаются по умолчанию: /dev, /proc, …):
В данном примере из резервной копии будут исключены все файлы mp3, все системные журналы, кроме журналов веб-сервера Apache. Просмотреть итоговый список исключений можно, нажав кнопку Итог.
Отредактировать шаблон можно, дважды щелкнув левой кнопкой мыши по строке шаблона.
На вкладке можно выбрать формат даты:
Особенности режима BTRFS:
снимки создаются с использованием встроенных средств файловой системы BTRFS;
снимки создаются и восстанавливаются мгновенно (создание снимков — это атомарная транзакция на уровне файловой системы);
снимки восстанавливаются путём замены системных подразделов. Поскольку файлы никогда не копируются, не удаляются и не перезаписываются, риск потери данных отсутствует. Существующая система сохраняется как новый снимок после восстановления;
снимки сохраняются на том же диске, с которого они созданы (системном диске). Хранение на других дисках не поддерживается. Если системный диск выйдет из строя, снимки, хранящиеся на нём, будут потеряны вместе с системой;
нет возможности исключать файлы и каталоги;
размер снимков BTRFS изначально равен нулю. При изменении системных файлов данные записываются в новые блоки данных, которые занимают дисковое пространство (копирование при записи). Файлы в снимке продолжают указывать на исходные блоки данных;
снимки можно восстановить без немедленной перезагрузки запущенной системы;
ОС должна быть установлена на раздел BTRFS с разбивкой на подразделы @ и @home. Другие виды разделов не поддерживаются.
Для установки ОС на раздел BTRFS с разбивкой на подразделы @ и @home можно при установке системы, на этапе
Подготовка диска, воспользоваться профилем
Установка рабочей станции (совместима с Timeshift). При этом будут созданы:
Далее установить систему как обычно.
Тип снимков BTRFS можно выбрать на вкладке окна настроек Timeshift (или на первом шаге работы мастера установки):
Снимки BTRFS сохраняются в системном разделе. Другие разделы не поддерживаются:
На вкладке следует выбрать уровни создания снимков (ежемесячно, еженедельно, ежедневно, ежечасно, при запуске) и указать количество сохраняемых снимков для каждого уровня:
По умолчанию домашние каталоги пользователей не включаются в резервную копию. На вкладке можно изменить это поведение и включить подраздел @home в создаваемые снимки:
Если в подразделе @home существует активный swap-файл, то для создания снимка потребуется предварительно отключить swap:
# swapoff /home/swap
На вкладке можно выбрать формат даты:
Снимки будут создаваться автоматически согласно настроенному расписанию.
Для создания снимка в ручном режиме следует нажать кнопку Создать на панели инструментов. Пример создания снимка в режиме RSYNC:
81.3. Восстановление системы
Снимки можно восстановить как из работающей системы (оперативное восстановление), так и из другой системы, на которой установлен Timeshift (автономное восстановление).
Для восстановления снимка следует выбрать снимок в главном окне и нажать кнопку Восстановить.
При восстановлении снимка в режиме RSYNC после нажатия кнопки Восстановить можно выбрать устройство, куда будут восстановлены файлы, указать нужно ли переустанавливать GRUB (кнопка Настройки загрузчика):
На следующем шаге будут показаны файлы, которые будут созданы/восстановлены/удалены в процессе восстановления снимка (только в режиме RSYNC):
Если основная система не загружается, можно загрузиться с установочного диска в режиме LiveCD, установить
Timeshift, на вкладке указать расположение снимков и восстановить снимок в основной системе:
Глава 82. Создание SSH-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
Пакеты необходимо установить как на сервере, так и на клиенте.
Для установки пакетов gostcrypto, в список репозиториев должен быть добавлен репозиторий gostcrypto.
Установить пакеты
openssh-gostcrypto,
openssh-clients-gostcrypto,
openssh-server-gostcrypto,
openssh-server-control-gostcrypto,
openssh-common-gostcrypto,
openssh-askpass-common-gostcrypto:
# apt-get install openssh-gostcrypto openssh-clients-gostcrypto openssh-server-gostcrypto openssh-server-control-gostcrypto openssh-common-gostcrypto openssh-askpass-common-gostcrypto
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
openssh openssh-askpass-common openssh-clients openssh-common openssh-server openssh-server-control
Следующие НОВЫЕ пакеты будут установлены:
openssh-askpass-common-gostcrypto openssh-common-gostcrypto openssh-server-control-gostcrypto
openssh-clients-gostcrypto openssh-gostcrypto openssh-server-gostcrypto
ВНИМАНИЕ: Будут удалены важные для работы системы пакеты
Обычно этого делать не следует. Вы должны точно понимать возможные последствия!
openssh-server openssh-server-control (по причине openssh-server)
0 будет обновлено, 6 новых установлено, 6 пакетов будет удалено и 3 не будет обновлено.
Необходимо получить 1532kB архивов.
После распаковки потребуется дополнительно 16,4kB дискового пространства.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.
Yes, do as I say!
При выполнении этой команды будет выведено предупреждение Введите фразу 'Yes, do as I say!' чтобы продолжить. вместо обычного Y/n. Это происходит, потому что к замене предлагаются критически важные c точки зрения APT пакеты. Если вы согласны с данной заменой, необходимо ввести фразу Yes, do as I say! и нажать Enter.
Список поддерживаемых алгоритмов шифрования трафика:
$ ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
grasshopper-cbc@altlinux.org
grasshopper-ctr@altlinux.org
magma-cbc@altlinux.org
magma-ctr@altlinux.org
chacha20-poly1305@openssh.com
Список поддерживаемых MAC (коды аутентификации сообщений):
$ ssh -Q mac
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
umac-64@openssh.com
umac-128@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
grasshopper-mac@altlinux.org
hmac-gostr3411-2012-256@altlinux.org
hmac-streebog-256@altlinux.org
hmac-gostr3411-2012-512@altlinux.org
hmac-streebog-512@altlinux.org
hmac-gostr3411-2012-256-etm@altlinux.org
hmac-streebog-256-etm@altlinux.org
hmac-gostr3411-2012-512-etm@altlinux.org
hmac-streebog-512-etm@altlinux.org
82.2. Настройка сервера SSH
Настройки сервера SSH находятся в файле /etc/openssh/sshd_config.
Добавить в файл
/etc/openssh/sshd_config строки (набор допустимых алгоритмов, в порядке убывания приоритета):
Ciphers grasshopper-ctr@altlinux.org
MACs grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Перезапустить службу sshd:
# systemctl restart sshd
82.3. Подключение к серверу SSH
Команда подключения к серверу с использованием алгоритмов ГОСТ Р 34.12-2015:
$ ssh <пользователь>@<сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Пробросить порт с сервера на локальную машину (для демонстрации туннеля):
$ ssh <пользователь>@<сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org -L 127.0.0.1:2222:127.0.0.1:22
Зайти на тот же сервер через туннель (в другом окне терминала):
$ ssh <пользователь>@127.0.0.1 -p 2222 -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Для того чтобы не указывать алгоритм шифрования и коды аутентификации в команде подключения, можно указать эти параметры в конфигурации клиента SSH.
Настройки клиентской части SSH делятся на глобальные и пользовательские. Глобальные клиентские настройки находятся в файле /etc/openssh/ssh_config и применяются ко всем пользователям. Пользовательские настройки находятся в файле ~/.ssh/config (в домашнем каталоге пользователя) и применяются к одному пользователю.
Например, можно добавить в конец файла
/etc/openssh/ssh_config строки:
Ciphers grasshopper-ctr@altlinux.org
MACs grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Теперь можно подключиться к серверу, выполнив команду:
$ ssh <пользователь>@<сервер>
Порядок применения пользовательских настроек SSH: высший приоритет имеют ключи командной строки, затем следуют настройки пользователя, а после них используются глобальные настройки клиентской части.
Если при выполнении подключения использовать опцию
-v для вывода отладочной информации, то используемый для подключения метод защитного преобразования будет отображен в выводе:
$ ssh -v <пользователь>@<сервер>
...
debug1: kex: server->client cipher: grasshopper-ctr@altlinux.org MAC: grasshopper-mac@altlinux.org compression: none
debug1: kex: client->server cipher: grasshopper-ctr@altlinux.org MAC: grasshopper-mac@altlinux.org compression: none
...
Глава 83. Двухфакторная аутентификация с использованием токенов
В Альт Рабочая станция K возможно настроить двухфакторную аутентификацию с использованием токенов.
В данном разделе рассматривается пример настройки двухфакторной аутентификации с использованием Рутокен ЭЦП.
Для работы с токенами необходимо установить следующие дополнительные пакеты:
# opensc pcsc-lite pam_pkcs11 librtpkcs11ecp pcsc-lite-ccid libp11 nss-utils
На токене должны присутствовать ключевая пара и сертификат.
Генерация ключевой пары и сертификата:
Запустить службу поддержки смарт-карт и убедиться, что она работает:
# systemctl start pcscd
# systemctl status pcscd
Проверить подключение токена:
$ pcsc_scan -r
0: Aktiv Rutoken ECP 00 00
Cгенерировать ключевую пару на токене:
$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so \
--login --pin <PIN> --keypairgen \
--key-type rsa:2048 --id 1111 --label myrsa
Проверить создание ключа:
$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --list-objects
Сгенерировать сертификат:
$ openssl req -new -x509 -engine pkcs11 \
-keyform engine -key 1111 -out CA.pem \
-subj "/C=RU/O=MyOrg/CN=MyToken" -text
Engine "pkcs11" set.
Enter PKCS#11 token PIN for RutokenECP:
где:
-engine pkcs11 — указывает, что используется PKCS#11 (токен);
-key 1111 — идентификатор ключа;
-subj — задаёт данные субъекта сертификата (страна, организация и т. д.).
Если возникает ошибка загрузки движка PKCS#11, необходимо проверить его наличие:
$ openssl engine -t pkcs11
Если движок не найден, нужно указать путь явно:
$ openssl engine -t \
-pre SO_PATH:/usr/lib64/openssl/engines-3/libpkcs11.so \
-pre MODULE_PATH:/usr/lib64/librtpkcs11ecp.so
Проверить сертификат:
$ openssl x509 -in CA.pem -noout -text
Записать сертификат на токен:
$ pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so \
--login --pin <PIN> --write-object CA.pem \
--type cert --id 1111 --label "myrsa"
Using slot 0 with a present token (0x0)
Created certificate:
Certificate Object; type = X.509 cert
label: myrsa
subject: DN: C=RU, O=MyOrg, CN=MyToken
serial: 4EB5EB8617FA76C71B9616CEA4EBEC8BBA9D3FDF
ID: 1111
83.2. Настройка компьютера для двухфакторной аутентификации
Настройка компьютера для двухфакторной аутентификации:
Внести изменения в файл
/etc/security/pam_pkcs11/pam_pkcs11.conf:
закомментировать строку:
# use_pkcs11_module = opensc;
ниже закомментированной строки добавить строку
use_pkcs11_module = rutoken; и описание модуля rutoken:
use_pkcs11_module = rutoken;
pkcs11_module rutoken {
ca_dir = /etc/security/pam_pkcs11/cacerts;
crl_dir = /etc/security/pam_pkcs11/crls;
module = /usr/lib64/librtpkcs11ecp.so;
cert_policy = subject;
description = "Rutoken ECP";
slot_description = "none";
}
значение
use_mappers привести к виду:
use_mappers = digest, cn, pwent, uid, mail, subject, null, opensc;
Добавить службу поддержки смарт-карт в автозапуск и запустить её:
# systemctl enable --now pcscd
Установить сертификат УЦ:
# cp CA.pem /etc/security/pam_pkcs11/cacerts/
$ certutil -A -n 'Root CA' -t 'CT,C,C' -a -d /etc/pki/nssdb/ -i ./CA.pem
Добавьте сертификат для пользователя:
$ mkdir /home/user/.eid/
$ cat CA.pem > /home/user/.eid/authorized_certificates
Включите аутентификацию по токену:
# control system-auth pkcs11
Пользователь при входе в систему должен подключить токен, указать свой логин и ввести PIN-код токена:
Для возврата к аутентификации по паролю необходимо выполнить команду:
# control system-auth local
Глава 84. Создание защищенных VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
84.1. Настройка в командной строке
84.1.1. Создание ключей для OpenVPN-туннеля средствами утилиты openssl
Для генерации всех необходимых ключей и сертификатов необходимо выполнить следующие действия:
Изменить значение параметра
policy в файле
/var/lib/ssl/openssl.cnf для возможности подписывать любые сертификаты:
policy = policy_anything
Создать каталоги:
# mkdir -p /root/CA/demoCA
# cd /root/CA
# mkdir -p ./demoCA/newcerts
Создать файл базы для действующих и отозванных сертификатов:
# touch ./demoCA/index.txt
Создать файл индекса для базы ключей и сертификатов:
# echo '01' > ./demoCA/serial
Создать файл индекса для базы отозванных сертификатов:
# echo '01' > ./demoCA/crlnumber
Создать «самоподписанный» сертификат
ca-root.crt и закрытый ключ
ca-root.key, которыми будут заверяться/подписываться ключи и сертификаты клиентов, с помощью следующей команды:
# openssl req -new -x509 -keyout ca-root.key -out ca-root.crt
Ввести пароль для закрытого ключа и ответить на запросы о владельце ключа.
Создать пару «ключ-сертификат» для сервера и каждого клиента. Для этого сначала сгенерировать ключ и запрос на сертификат для сервера:
# openssl req -new -nodes -keyout server.key -out server.csr
Подписать запрос на сертификат своим «самоподписанным» сертификатом
ca-root.crt и ключом
ca-root.key:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -days 3650 -in server.csr -out server.crt
Сгенерировать ключ и запрос на сертификат для клиента:
# openssl req -new -nodes -keyout client.key -out client.csr
Подписать клиентский сертификат:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -days 365 -in client.csr -out client.crt
Задать параметры Диффи-Хеллмана для сервера:
# openssl dhparam -out server.dh 2048
Разместить ключи и сертификаты в каталогах сервера и клиента следующим образом:
ca-root.key — используется только для подписи сертификатов (рекомендуется хранить его на отдельном от OpenVPN-сервера компьютере);
ca-root.crt, server.crt, server.dh, server.key — для сервера OpenVPN;
ca-root.crt, client.crt, client.key — для клиента OpenVPN.
Для новых клиентов следует создавать новые ключи и передавать комплект: ca-root.crt, новый_сертификат.crt, новый_ключ.key.
Для создания списка отзыва сертификатов (CRL) необходимо выполнить следующие действия:
Сформировать начальный список:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -gencrl -out crl.pem
Отозвать сертификат:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -revoke <сертификат>.crt
Обновить список (обязательно после каждого отзыва сертификата):
# openssl ca -cert ca-root.crt -keyfile ca-root.key -gencrl -out crl.pem
Просмотреть список:
# openssl crl -noout -text -in crl.pem
Поместить файл crl.pem в каталог /var/lib/openvpn.
Для работы со списком отозванных сертификатов OpenVPN должен быть настроен на его проверку. Это достигается добавлением в конфигурацию сервера директивы:
crl-verify /var/lib/openvpn/crl.pem
При включённой проверке CRL сертификаты всех подключающихся клиентов будут проверяться по списку отозванных сертификатов, и любое положительное совпадение приведёт к разрыву соединения.
84.1.2. Настройка сервера OpenVPN
Файл конфигурации должен быть размещен в /etc/openvpn/, ключи — в /etc/openvpn/keys, файлы настроек клиентов — в /etc/openvpn/ccd/ или /var/lib/openvpn/etc/openvpn/ccd/.
Ранее созданные ключи и сертификаты необходимо перенести в каталог /etc/openvpn/keys/.
Важно правильно настроить права доступа:
Каждый файл конфигурации по маске /etc/openvpn/*.conf является конфигурацией отдельного экземпляра демона openvpn.
Для настройки OpenVPN-сервера можно использовать образец файла конфигурации OpenVPN. Для этого следует скопировать файл /usr/share/doc/openvpn-2.6.12/server.conf в каталог /etc/openvpn/ (номер версии в названии каталога может отличаться).
В файле конфигурации должны быть указаны следующие параметры:
ifconfig-pool-persist и status — без полного пути или с путём /cache/;
ca, dh, cert, key — с путём /etc/openvpn/keys/;
client-config-dir /etc/openvpn/ccd.
Пример конфигурации (
/etc/openvpn/server.conf):
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca-root.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/server.dh
comp-lzo
server 10.8.0.0 255.255.255.0
#tls-server
user openvpn
group openvpn
ifconfig-pool-persist server_ipp.txt
keepalive 10 120
client-config-dir /etc/openvpn/ccd
persist-key
persist-tun
client-to-client
script-security 2
tmp-dir /tmp
status openvpn-status.log
verb 3
tls-cipher LEGACY-GOST2012-GOST8912-GOST8912
data-ciphers kuznyechik-cbc
auth id-GostR3411-94
# Server networks start
push "route 192.168.0.0 255.255.255.0"
# Server networks end
push "dhcp-option DNS 192.168.0.32"
Запуск сервера OpenVPN:
# openvpn /etc/openvpn/server.conf
84.1.3. Настройка VPN-подключения по протоколу OpenVPN в Network Manager
Для настройки VPN-подключения по протоколу OpenVPN в
Network Manager следует выполнить следующие действия:
Добавить новое сетевое соединение (кнопка Добавить новое соединение):
В списке выбора типа соединения выбрать пункт OpenVPN и нажать кнопку Создать:
Если имеется файл конфигурации клиента, в списке выбора типа соединения можно выбрать пункт Импортировать VPN-соединение… и указать этот файл, параметры соединения будут настроены согласно этому файлу.
Указать IP-адрес OpenVPN сервера, сертификат центра сертификации, приватный ключ и сертификат пользователя:
Нажать кнопку Дополнительно чтобы указать параметры подключения. На вкладке Общее можно выбрать тип виртуального устройства и указать, нужно ли использовать сжатие:
На вкладке Защита необходимо указать алгоритм шифрования:
Сохранить сделанные изменения, нажав кнопку ОК, и затем Сохранить. Будет предложено ввести пароль суперпользователя для сохранения изменений.
Задать криптографические параметры, отредактировав файл подключения
/etc/NetworkManager/system-connections/<name_vpn_network> и добавив в раздел
[vpn] строки:
data-ciphers=kuznyechik-cbc
auth=id-GostR3411-94
tls-cipher=LEGACY-GOST2012-GOST8912-GOST8912
Или выполнить команды:
# nmcli connection modify <name_vpn_network> +vpn.data data-ciphers=kuznyechik-cbc
# nmcli connection modify <name_vpn_network> +vpn.data auth=id-GostR3411-94
# nmcli connection modify <name_vpn_network> +vpn.data tls-cipher=LEGACY-GOST2012-GOST8912-GOST8912
Перезапустить службу
NetworkManager:
# systemctl restart NetworkManager
Выполнить подключение из меню :
Настройка OpenVPN-клиента в командной строке:
скопируйте пример конфигурации /usr/share/doc/openvpn-2.6.12/client.conf в каталог /etc/openvpn/;
скопируйте ранее сгенерированные ключи и сертификаты в каталог /etc/openvpn/keys/ и укажите их в /etc/openvpn/client.conf;
отредактируйте файл
/etc/openvpn/client.conf, указав IP-адрес OpenVPN-сервера и приведя другие параметры в соответствие с настройками сервера, например:
client
dev tun
proto udp
remote 192.168.0.53 1194
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
pull
redirect-gateway def1
route-metric 50
ca /etc/openvpn/keys/ca-root.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
#remote-cert-tls server
comp-lzo
verb 3
script-security 2
tmp-dir /tmp
data-ciphers kuznyechik-cbc
tls-cipher LEGACY-GOST2012-GOST8912-GOST8912
auth id-GostR3411-94
запустите клиент OpenVPN:
# openvpn /etc/openvpn/client.conf
Глава 85. Поддержка файловых систем
Файловая система представляет собой набор правил, определяющих то, как хранятся и извлекаются документы, хранящиеся на устройстве.
В Альт Рабочая станция K поддерживаются следующие файловые системы:
ext2 — нежурналируемая файловая система; относительно проста в восстановлении, но нуждается в относительно долгой проверке целостности после сбоя питания или ядра. Может использоваться для /boot или readonly-разделов;
ext3 — журналируемая и достаточно надёжная файловая система, имеет среднюю производительность;
ext4 — журналируемая файловая система, логическое продолжение ext3, позволяет полностью отключить журналирование;
btrfs — поддерживает снимки (копии файловой системы на определенный момент времени), сжатие и подтома;
iso9660 — файловая система ISO 9660 для дисков с данными компакт-дисков;
Файловые системы FAT/FAT32/NTFS поддерживаются в установленной системе, но не для установки на них Linux.
Проверка поддержки файловых систем ext2, ext3, ext4, iso9660, fat16, fat32, ntfs, btrfs:
Создать раздел объемом менее 4 Гбайт на flash-накопителе (например, /dev/vdс1)).
Для создания ISO-файла установить пакет
genisoimage:
# apt-get install genisoimage
Создать каталог
/mnt/filesystem, в которую будет монтироваться раздел:
# mkdir /mnt/filesystem
Отформатировать раздел в проверяемую файловую систему:
для ext2:
# mkfs.ext2 /dev/vdc1
для ext3:
# mkfs.ext3 /dev/vdc1
для ext4:
# mkfs.ext4 /dev/vdc1
для fat16:
# mkfs.fat -F 16 /dev/vdc1
для fat32:
# mkfs.fat -F 32 /dev/vdc1
для ntfs:
# mkfs.ntfs /dev/vdc1
для btrfs (должен быть установлен пакет
btrfs-progs):
# mkfs.btrfs /dev/vdc1
для iso9660 — создать ISO-файл из каталога
/etc:
# mkisofs -r -jcharset koi8-r -o /root/cd.iso /etc
Для проверки поддержки файловых систем ext2, ext3, ext4, fat16, fat32, ntfs, btrfs:
примонтировать раздел с файловой системой в каталог
/mnt/filesystem:
# mount /dev/vdc1 /mnt/filesystem
проверить возможность записи файла на текущую файловую систему:
# echo test_content > /mnt/filesystem/test.fs
убедиться, что файл создан:
# ls -l /mnt/filesystem/test.fs
-rw-r--r--. 1 root root 13 май 23 20:10 /mnt/filesystem/test.fs
проверить возможность чтения файла с текущей файловой системы:
# cat /mnt/filesystem/test.fs
Для проверки поддержки файловой системы iso9660 смонтировать созданный ISO-файл в каталог
/mnt/filesystem/ (файл образа диска будет примонтирован в режиме «только для чтения»):
# mount -o loop,ro /root/cd.iso /mnt/filesystem/
Для просмотра файловых систем на физических дисках можно воспользоваться командой
df:
$ df -Th | grep "^/dev"
или
lsblk:
$ lsblk -f
Команда
fsck позволяет узнать файловую систему раздела, который ещё не примонтирован:
# fsck -N /dev/sdc1
fsck из util-linux 2.39.2
[/sbin/fsck.xfs (1) -- /dev/sdc1] fsck.xfs /dev/sdc1
Глава 86. Поддержка сетевых протоколов
Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части.
86.1.1. Создание ресурсов общего доступа от имени обычного пользователя
86.1.2. Автоподключение сетевых ресурсов Samba
Подключение к NFS-серверу можно производить как вручную, так и настроив автоматическое подключение при загрузке.
Для ручного монтирования необходимо:
создать точку монтирования:
# mkdir /mnt/nfs
примонтировать файловую систему:
# mount -t nfs 192.168.0.218:/home /mnt/nfs
где 192.168.0.218 — IP адрес сервера NFS; /mnt/nfs — локальный каталог куда монтируется удалённый каталог;
проверить наличие файлов в
/mnt/nfs:
# ls -al /mnt/nfs
Должен отобразиться список файлов каталога
/home расположенного на сервере NFS.
Для автоматического монтирования к NFS-серверу при загрузке необходимо добавить следующую строку в файл
/etc/fstab:
192.168.0.218:/home /mnt/nfs nfs intr,soft,nolock,_netdev,x-systemd.automount 0 0
Прежде чем изменять /etc/fstab, попробуйте смонтировать вручную и убедитесь, что всё работает.
86.3.1. Настройка сервера FTP
Установить пакеты
vsftpd и
anonftp:
# apt-get install vsftpd anonftp
Изменить настройку прав доступа в файле
/etc/vsftpd.conf:
local_enable=YES
chroot_local_user=YES
local_root=/var/ftp/
Запустить vsftpd:
# systemctl start vsftpd.service
Убедиться в нормальной работе FTP-сервера:
# netstat -ant | grep 21
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
FTP-сервер запущен и принимает соединения на 21 порту.
Создать файл в каталоге
/var/ftp/:
# echo "vsftpd test file" > /var/ftp/test.txt
86.3.2. Подключение рабочей станции
Создать подключение по протоколу FTP в графической среде
KDE можно в файловом менеджере. Для этого следует нажать
Ctrl+
l, указать в адресной строке протокол и адрес сервера (
ftp://<имя_сервера>) и нажать клавишу
Enter:
Должен отобразиться список файлов каталога
/var/ftp/, расположенного на сервере FTP:
86.4.1. Настройка сервера NTP
В качестве NTP сервера/клиента используется сервер времени chrony:
chronyd — демон, работающий в фоновом режиме. Он получает информацию о разнице системных часов и часов внешнего сервера времени и корректирует локальное время. Демон реализует протокол NTP и может выступать в качестве клиента или сервера.
chronyc — утилита командной строки для контроля и мониторинга программы. Утилита используется для тонкой настройки различных параметров демона, например, позволяет добавлять или удалять серверы времени.
Выполнить настройку NTP-сервера можно следующими способами:
В ЦУС настроить модуль
Дата и время на получение точного времени с NTP сервера и работу в качестве NTP-сервера и нажать кнопку
Применить:
Указать серверы NTP в директиве server или pool в файле конфигурации NTP
/etc/chrony.conf:
allow all #Разрешить NTP-клиенту доступ из локальной сети
pool pool.ntp.org iburst #параметр iburst используется для ускорения начальной синхронизации
и перезапустить сервис командой:
# systemctl restart chronyd
Убедиться в нормальной работе NTP-сервера, выполнив команду:
# systemctl status chronyd.service
86.4.2. Настройка рабочей станции
Настроить модуль
Дата и время на получение точного времени с NTP-сервера (в качестве NTP-сервера указать IP-адрес сервера NTP) и нажать кнопку
Применить:
Проверить текущие источники времени:
$ chronyc sources
210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^? 192.168.0.106 3 8 0 23m +396us[ -803us] +/- 55ms
Проверить статус источников NTP:
$ chronyc activity
200 OK
1 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address
86.5.1. Настройка сервера HTTP
Установить пакет
apache2-base:
# apt-get install apache2-base
Запустить httpd2:
# systemctl start httpd2
Убедиться, что служба httpd2 запущена:
# systemctl status httpd2
Создать стартовую страницу для веб-сервера:
# echo "Hello, World" >/var/www/html/index.html
86.5.2. Настройка рабочей станции
Запустить браузер, перейти по адресу
http://<ip-сервера>:
Также можно выполнить команду:
$ curl http://192.168.0.101
Hello, World
Происходит обращение к серверу и получение данных по протоколу http.
Глава 87. Настройка мультитерминального режима
Модуль — графическое средство настройки мультитерминального режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере.
Необходимым условием для организации нескольких рабочих мест является наличие нескольких видеокарт, одна из которых может быть встроенной. Если вам нужно три места, потребуется 3 видеокарты.
Для реальной одновременной работы на нескольких рабочих местах кроме видеокарты понадобятся мониторы и комплекты клавиатуры/мыши на каждое рабочее место. Клавиатура и мышь могут быть подключены по USB, возможно через хаб.
По умолчанию в системе есть единственное рабочее место с именем seat0, к которому подключены все доступные устройства, они перечислены в списке Устройства seat0. Это рабочее место нельзя удалить или изменить.
В списке Рабочие места перечислены дополнительные рабочие места (если они есть), в скобках приводится количество подключенных к данному месту устройств. Чтобы просмотреть устройства, подключенные к дополнительному рабочему месту, необходимо выделить его в списке Рабочие места, устройства будут показаны в списке Устройства рабочего места.
Для создания дополнительного рабочего места следует ввести имя нового рабочего места в поле ввода, расположенное под списком рабочих мест, и нажать кнопку Добавить. Новое рабочее место будет добавлено в список Рабочие места.
Имя рабочего места может содержать только символы a-z, A-Z, 0-9, "-" и "_" и должно начинаться с префикса seat. По умолчанию будут сгенерированы имена: seat1, seat2 и т.д.
Выделить нужное рабочее место в списке Рабочие места, а в списке Устройства seat0 выбрать устройство, которое будет назначено выбранному рабочему месту. Нажать кнопку Добавить. Устройство появится в списке устройств выбранного рабочего места. Выделить дополнительному рабочему месту видеокарту, клавиатуру и мышь.
Основную видеокарту нельзя переключать на другие рабочие места.
Аналогичным образом настроить все рабочие места.
Для подключения назначенных устройств к дополнительным рабочим местам необходимо нажать кнопку Применить. Чтобы настройки вступили в силу необходимо перезагрузить компьютер.
Если после перезагрузки на мониторы не выводится никакая информация, это означает, что «закреплённая» за seat0 видеокарта была передана на другое рабочее место.
Чтобы исправить данную проблему необходимо сбросить настройки. Для этого следует залогиниться во второй текстовой консоли, удалить дополнительные рабочие места, выполнив команду (от root):
# loginctl flush-devices
И перезагрузить компьютер.
VirtualBox (Oracle VM VirtualBox) — это программный продукт виртуализации, поддерживающий операционные системы: Windows, Linux, FreeBSD, macOS, Solaris/OpenSolaris, ReactOS, DOS и другие.
Возможности
VirtualBox:
создание и запуск нескольких виртуальных машин (ВМ) одновременно;
поддержка 3D-ускорения, звука, USB-устройств;
общие папки между хостовой и гостевой системами;
поддержка сетевых режимов: NAT, мост, внутренняя сеть, только хост;
интеграция с RDP (удалённый доступ через VRDP);
поддержка шифрования виртуальных дисков;
загрузка по сети (PXE).
88.1. Установка и запуск VirtualBox
Перед установкой пакета VirtualBox настоятельно рекомендуется обновить систему и ядро.
Чтобы определить версию загруженного ядра и его флейвор (FLAVOUR), можно выполнить команду:
$ uname -r
6.12.41-6.12-alt1
В данном примере версия установленного ядра — 6.12.41, флейвор — 6.12. От флейвора зависит, какие модули ядра необходимо установить.
Модули VirtualBox должны соответствовать установленной версии ядра:
kernel-modules-virtualbox-<FLAVOUR>--<версия_программы_virtualbox>
Установка VirtualBox:
# apt-get install virtualbox kernel-modules-virtualbox-6.12
Чтобы пользователь мог запускать и управлять ВМ, он должен быть добавлен в группу vboxusers:
# gpasswd -a user vboxusers
Изменения вступят в силу после повторного входа в систему.
После обновления ядра ВМ могут перестать запускаться. В этом случае необходимо обновить установленные модули VirtualBox:
# apt-get install kernel-modules-virtualbox-6.12
88.1.2. Установка пакета расширений (Extension Packs)
Дополнительные функции VirtualBox можно получить, установив пакет расширений
Oracle VirtualBox Extension Pack. Он предоставляет:
поддержку USB 2.0 (EHCI) и USB 3.0 (xHCI);
поддержку протокола удалённого доступа VRDP (совместим с RDP);
проброс веб-камеры хоста;
Intel PXE boot ROM (сетевая загрузка);
шифрование дисков с использованием алгоритма AES.
Oracle VirtualBox Extension Pack содержит проприетарные компоненты и распространяется по лицензии PUEL (бесплатно только для личного использования и в образовательных целях).
Версия Extension Pack должна соответствовать версии установленного VirtualBox. Узнать версию можно в графическом интерфейсе ( → ) или в консоли:
$ VBoxManage --version
При обновлении VirtualBox необходимо также обновить Extension Pack.
Просмотреть установленные пакеты расширений можно в окне Менеджер плагинов ( → → или Ctrl+T):
Пакет расширений VNC с открытым исходным кодом устанавливается автоматически вместе с пакетом virtualbox.
Установка пакета расширений:
В окне Менеджер плагинов нажать кнопку Установить.
Выбрать ранее загруженный файл пакета (.vbox-extpack).
В открывшемся окне нажать кнопку Установить:
Ознакомиться с лицензионным соглашением и нажать кнопку Я согласен:
Расширение будет установлено и отображено в списке:
Установка Extension Pack в консоли:
Проверить, что Extension Pack не установлен:
$ VBoxManage list extpacks
Установить расширение (из каталога со скачанным файлом дополнений):
$ VBoxManage extpack install Oracle_VirtualBox_Extension_Pack-7.1.12.vbox-extpack
Будет выведено лицензионное соглашение, и после подтверждения начнётся установка. Результат будет показан в консоли.
88.1.3. Гостевые дополнения (Guest Additions)
Гостевые дополнения — это набор драйверов и утилит, повышающих производительность и удобство взаимодействия между хостом и гостевой ОС. Они обеспечивают:
аппаратное ускорение графики (включая 3D);
поддержку общих папок;
общий буфер обмена;
автоматическое масштабирование экрана;
прямую работу мыши (без захвата);
улучшенную поддержку USB и сетевых устройств.
Гостевые дополнения устанавливаются внутри гостевой ОС.
После обновления VirtualBox необходимо обновить как Extension Pack, так и Guest Additions.
Установка дополнений в гостевой ОС «Альт»:
# apt-get install kernel-modules-virtualbox-addition-guest-6.12
После установки гостевых дополнений необходимо Запустить и добавить в автозагрузку службу vboxadd-service:
# systemctl enable --now vboxadd-service
Пользователя необходимо добавить в группу vboxsf:
# gpasswd -a user vboxsf
Чтобы изменения вступили в силу, необходимо перезайти в систему.
Запустить
VirtualBox можно:
88.2. Настройка VirtualBox
Общие параметры VirtualBox (глобальные настройки для всех ВМ текущего пользователя) задаются в окне Настройки.
Чтобы открыть окно настроек, необходимо выбрать пункт → (Ctrl+G).
Доступный набор параметров зависит от выбранного режима:
В окне
Настройки доступны следующие разделы:
Общие — позволяет задать каталог по умолчанию для хранения файлов ВМ и указать используемую библиотеку аутентификации для удалённого доступа (VRDP);
Ввод — позволяет настроить сочетания клавиш как для менеджера VirtualBox, так и для отдельных ВМ;
Обновления — параметры автоматического обновления VirtualBox и расширений;
Язык — выбор языка пользовательского интерфейса;
Дисплей — настройки экрана, включая разрешение, масштаб и ширину/высоту окна. Также можно указать коэффициент масштабирования по умолчанию для новых ВМ;
Прокси — конфигурация подключения через HTTP-прокси.
88.2.1. Глобальные инструменты
Глобальные инструменты доступны через меню → или в разделе :
Доступны следующие глобальные инструменты:
— отображает приветственное сообщение и панель инструментов VirtualBox;
— отображает инструмент Менеджер плагинов, который используется для установки и удаления расширений VirtualBox;
— отображает инструмент Менеджер виртуальных носителей, который используется для управления образами дисков;
— отображает инструмент Менеджер сетей, который используется для создания и настройки виртуальных сетевых адаптеров;
— отображает инструмент Менеджер облачных профилей, который используется для настройки подключения к облачным сервисам;
отображает инструмент Обзор активности ВМ, который используется для мониторинга производительности и использования ресурсов ВМ (включая загрузку CPU, памяти и других ресурсов).
88.3.1. Создание виртуальной машины
Для запуска мастера создания ВМ необходимо нажать кнопку Создать в главном окне VirtualBox или выбрать пункт → (Ctrl+N).
На первой вкладке указываются:
VirtualBox попытается автоматически определить
Тип,
Подтип и
Версию ОС по ISO-файлу. При необходимости эти параметры следует скорректировать вручную.
При установке дистрибутива «Альт» в качестве гостевой ОС, не следует выбирать профиль . Можно выбрать, например, .
Если образ поддерживает автоматическую установку, то VirtualBox может сразу установить ОС без участия пользователя. При этом на вкладке можно параметры: имя пользователя, пароль, имя ПК и др.
Настройки автоматической установки недоступны, если выбрана опция Пропустить автоматическую установку или ISO-образ не поддерживает автоматическую установку.
На вкладке указываются следующие параметры:
Основная память — объём оперативной памяти, который VirtualBox будет выделять ВМ при каждом её запуске.
Память, выделенная ВМ, становится недоступной хостовой системе на время работы ВМ.
Процессоры — количество виртуальных CPU (потоков), доступных ВМ.
Не рекомендуется выделять ВМ более половины потоков процессора хост-системы.
Включить EFI — активация загрузки через расширяемый интерфейс микропрограммного обеспечения (EFI).
При создании ВМ не следует задавать параметры (объём оперативной памяти, количество ядер процессора, объём дискового пространства и т. д.) ниже значений, указанных в официальной спецификации или минимальных системных требованиях к устанавливаемой ОС. Несоблюдение этих рекомендаций может привести к невозможности установки ОС или её некорректной работе.
На вкладке задаются параметры виртуального диска — специального файла, хранящегося в файловой системе хоста. В данном окне на выбор предлагаются три варианта действий:
Создать новый виртуальный жёсткий диск — создаётся новый виртуальный жёсткий диск;
Использовать существующий виртуальный жесткий диск — подключение к ВМ ранее созданного виртуального диска;
Не подключать виртуальный жёсткий диск — ВМ будет создана без зарезервированного за ней жёсткого диска. Обычно подобные машины создаются для запуска LiveCD-дистрибутивов.
Жёсткий диск можно подключить и после создания ВМ.
Для создания нового виртуального диска следует выбрать пункт
Создать новый виртуальный жёсткий диск и задать параметры:
Расположение и имя файла — имя и расположение файла диска. По умолчанию в качестве имени файла диска будет использоваться имя создаваемой ВМ, диск сохраняется в каталоге VirtualBox VMs домашнего каталога пользователя;
Размер диска — максимальный объём виртуального диска;
Тип диска — формат виртуального диска (см. ниже);
Выделить место в полном объёме — использовать файл фиксированного размера для образа диска. В противном случае VirtualBox будет использовать динамически выделяемый файл для образа диска.
Файл динамического жесткого диска будет занимать небольшое место на физическом жестком диске компьютера. По мере заполнения данными он будет увеличиваться в размере до предельного объема. Файл фиксированного жесткого диска сразу займет весь объем виртуального жесткого диска. Файл фиксированного размера требует меньше накладных расходов и, следовательно, работает намного быстрее, чем файл динамического размера.
Необходимо убедиться, что на жёстком диске хоста достаточно свободного места для создания выбранного виртуального диска.
После нажатия кнопки Готово в главном окне VirtualBox появится новая ВМ, готовая к использованию.
Если ВМ перед запуском необходимо дополнительно настроить, следует нажать кнопку
Настроить и установить нужные параметры (подробнее о настройках ВМ см.
Настройки ВМ).
Процесс установки операционной системы в ВМ аналогичен установке на физическое оборудование.
88.3.2. Базовые операции с ВМ
Основное окно менеджера VirtualBox отображает список доступных ВМ:
Запустить ВМ можно несколькими способами:
выбрать машину в списке и нажать кнопку Запустить;
в контекстном меню машины выбрать → :
выбрать машину в списке и выбрать пункт меню → → ;
дважды щёлкнуть по ВМ в списке;
перейти в каталог VirtualBox VMs открыть подкаталог нужной машины и дважды щёлкнуть по файлу настроек машины (файл с расширением .vbox).
После запуска ВМ, если состояние машины было сохранено, произойдёт автоматическое восстановление состояния. Если состояние ВМ не сохранялось, запустится гостевая ОС, как при обычном включении реального компьютера.
Все, что отображается на экране гостевой ОС, показывается в окне предварительного просмотра («Превью») в интерфейсе VirtualBox:
Завершить работу ВМ можно несколькими способами:
завершить работу гостевой ОС штатным способом, предусмотренным гостевой ОС. После завершения работы ОС ВМ автоматически остановится.
нажать кнопку завершения работы в правом верхнем углу окна ВМ:
Откроется диалоговое окно с выбором действия:
Сохранить состояние машины — текущее состояние ВМ будет сохранено на диск. При следующем запуске ВМ восстановит работу с того же момента, как при «режиме сна» на реальном компьютере;
Послать сигнал завершения работы — в гостевую ОС отправляется сигнал выключения, и она завершает работу штатно (аналогично нажатию кнопки питания с поддержкой ACPI);
Выключить машину — принудительное выключение, эквивалентное отключению питания реального компьютера. Используйте с осторожностью — возможна потеря данных;
выбрать машину в списке и выбрать пункт меню → → :
в контекстном меню ВМ выбрать пункт → .
88.3.2.3. Управление ВМ из консоли
Графический режим удобен при установке и настройке ВМ, но при этом тратятся лишние ресурсы. Запускать и останавливать ВМ можно в командной строке.
Примеры:
получить список ВМ:
$ VBoxManage list vms
"ALT Workstation" {12eb85f9-e12a-491f-aeef-9141d38b3c8b}
"ATL Work" {27b7e515-1358-4f9e-91db-07882802e293}
По умолчанию показывается компактный список в две колонки: имя ВМ и UUID. Если указать параметр --long, будет показан детальный список настроек ВМ.
запустить ВМ в графическом режиме:
$ VBoxManage startvm "ALT Workstation"
запустить ВМ в фоновом режиме:
$ VBoxManage startvm "ALT Work" --type headless
вывести список запущенных ВМ:
$ VBoxManage list runningvms
приостановить ВМ (временно останавливает ВМ, без смены ее состояния работы):
$ VBoxManage controlvm "ALT Workstation" pause
восстановить работу приостановленной ВМ:
$ VBoxManage controlvm "ALT Workstation" resume
перезапустить ВМ (вызывается холодная перезагрузка ВМ, что приводит к немедленной перезагрузке гостевой операционной системы):
$ VBoxManage controlvm "ALT Workstation" reset
выключить ВМ (эквивалентно выключению питания в реальном компьютере, состояние ВМ не сохраняется, и данные могут быть повреждены):
$ VBoxManage controlvm "ALT Workstation" poweroff
сохранить текущее состояние ВМ на диск и остановить работу машины:
$ VBoxManage controlvm "ALT Workstation" savestate
88.3.3. Расширенные возможности
Существует два типа общих папок:
Общие папки могут быть доступны для чтения и записи или только для чтения. По умолчанию папки доступны для чтения и записи.
Чтобы открыть окно настройки общих папок есть несколько способов:
В окне работающей ВМ выбрать → → .
Если ВМ не запущена, открыть окно
Настройки ВМ и перейти в раздел
Общие папки (см.
Общие папки);
Для настройки общей папки необходимо нажать кнопку
и в открывшемся окне указать путь к каталогу на хостовой системе:
Здесь также можно задать имя общей папки (по умолчанию используется имя последней папки в пути).
Если отметить пункт Только для чтения, гостевая ОС сможет только читать файлы, но не изменять их.
Добавление общей папки в командной строке:
$ VBoxManage sharedfolder add "ATL Workstation" --name "For_doc" --hostpath "/home/user/For_doc"
88.3.3.1.1. Монтирование вручную
Общую папку внутри ВМ можно смонтировать, как сетевой ресурс:
88.3.3.1.2. Автоматическое монтирование
Опция Авто-подключение означает, что папка будет автоматически монтироваться при запуске ВМ. Однако эта функция может не работать на некоторых дистрибутивах Linux без дополнительной настройки.
Автоматически монтируемые папки подключаются в каталог /media. Имя папки при этом нормализуется (удаляются пробелы, косые черты и двоеточия) и получает префикс sf_.
Например, общая папка /For_docs будет смонтирована как /media/For_docs.
Если указан конкретный каталог монтирования (Точка подключения), папка будет монтироваться именно туда.
Доступ к автоматически монтируемым общим папкам в гостевых системах Linux ограничен членами группы vboxsf и пользователем root. Чтобы обычный пользователь мог работать с такими папками, он должен входить в группу vboxsf:
# gpasswd -a user vboxsf
Чтобы изменения вступили в силу, необходимо перезайти в систему.
Общий буфер обмена можно настроить для каждой ВМ отдельно, используя пункт меню → или команду VBoxManage.
Доступны следующие настройки общего буфера обмена:
— функция копирования отключена. Используется по умолчанию при создании новой ВМ;
— разрешает копирование текста только с хоста на гостевую систему;
— разрешает копирование текста только с гостевой системы на хост;
— разрешает копирование текста в обоих направлениях: с хоста на гостевую систему и с гостевой системы на хост.
Для коллективного управления ВМ их можно объединять в группы.
Чтобы создать группу в менеджере ВМ необходимо выполнить одно из следующих действий:
Перетащите одну ВМ поверх другой.
Выделить ВМ, которые необходимо объединить, выбрать в контекстном меню пункт , затем выбрать существующую группу или пункт :
Группы можно переименовывать, а также создавать вложенные группы.
Результат группировки ВМ — визуальное и логическое объединение машин. Это позволяет выполнять типовые действия (запуск, сохранение состояния, выключение и т.д.) сразу для всех участников группы.
Примеры работы с группами через командную строку:
создать группу
MyGroup и присоединить к ней ВМ
ATL Work:
$ VBoxManage modifyvm "ATL Work" --groups "/MyGroup"
удалить ВМ из всех групп и удалить пустую группу:
$ VBoxManage modifyvm "ATL Work" --groups ""
88.3.3.4. Создание и управление снимками системы
Снимки (snapshots) позволяют зафиксировать текущее состояние ВМ, чтобы в любой момент можно было вернуться к нему. Это полезный инструмент резервного копирования, позволяющий сохранять полное состояние работающей ВМ (настройки VirtualBox, параметры гостевой ОС и текущее состояние системы).
Чтобы просмотреть снимки ВМ, необходимо раскрыть список, расположенный справа от имени машины, и выбрать пункт :
Если для выбранной ВМ снимки ещё не создавались, список будет пуст, за исключением элемента Текущее состояние, который отражает актуальное состояние машины:
Для создания снимка текущего состояния ВМ можно выполнить одно из следующих действий:
Если ВМ запущена, выбрать в меню окна ВМ пункт → :
В окне Снимки нажать кнопку Сделать или выбрать в контекстном меню элемента Текущее состояние пункт :
Откроется диалоговое окно, в котором можно задать имя снимка (по умолчанию Снимок <N>) и краткое описание. Имя служит для идентификации состояния.
После нажатия кнопки ОК начнётся процедура сохранения состояния всей системы, включая настройки ВМ.
Новый снимок отобразится в списке. Под ним будет показан элемент Текущее состояние, означающий, что состояние ВМ основывается на этом снимке. При создании новых снимков они будут добавляться последовательно: каждый следующий снимок зависит от предыдущего:
VirtualBox не ограничивает количество создаваемых снимков. Единственным практическим ограничением является свободное дисковое пространство на хосте: каждый снимок занимает определённый объём.
Снимок ВМ может включать следующие компоненты:
файлы виртуальных дисков (*.vdi, *.vmdk, др.) — используется технология copy-on-write: при создании снимка копируются только те области, к которым происходят операции записи, что экономит дисковое пространство по сравнению с полным клонированием ВМ;
файл состояния памяти *.sav — если снимок создавался с работающей машины, сохранятся содержимое оперативной памяти, что позволяет продолжить выполнение ВМ с того же момента, что был зафиксирован. Файл состояния памяти по размеру может быть равен объёму оперативной памяти ВМ, поэтому он также занимает значительное место на диске;
файл энергонезависимой памяти UEFI .nvram — сохраняется, если ВМ использует прошивку EFI. Этот файл содержит такие данные, как загрузочные параметры, переменные UEFI и настройки Secure Boot.
конфигурациия ВМ — параметры виртуального оборудования и прочие настройки.
Снимки хранятся на системном диске в подкаталоге ВМ Snapshots.
Восстановление снимка возможно только при выключенной ВМ и обычно происходит значительно быстрее, чем обычная загрузка ОС.
Снимки в списке отображаются в виде древовидной структуры. Чтобы восстановить состояние системы из снимка, необходимо выбрать нужный снимок и нажать кнопку Восстановить или выбрать пункт в контекстном меню:
При восстановлении ВМ возвращается к состоянию, зафиксированному в снимке. Текущее состояние при этом теряется. VirtualBox предложит создать снимок текущего состояния перед восстановлением, чтобы избежать потери данных:
Восстановление снимка повлияет на все виртуальные жёсткие диски ВМ: любые изменения, сделанные после создания снимка (включая новые файлы) будут утеряны. Чтобы предотвратить потерю данных при использовании снимков, рекомендуется подключить второй диск в режиме «сквозной записи» с помощью VBoxManage и использовать его для хранения данных. Такие диски не включаются в снимки и не изменяются при их восстановлении.
Удаление снимка не влияет на текущее состояние ВМ, но освобождает занимаемое на диске место.
Для удаления снимка следует выбрать снимок в дереве списков и нажать кнопку Удалить или выбрать соответсвующий пункт в контекстном меню.
88.3.3.5. Клонирование ВМ
Клонирование ВМ в VirtualBox позволяет создать её полную или связанную резервную копию. Клон может рассматриваться как альтернатива снимкам, однако чаще всего используется для переноса ВМ на другую хостовую систему.
Процедуру клонирования можно запустить из главного меню VirtualBox, выбрав → (Ctrl+O).
В окне настройки клонирования можно указать:
Имя — имя новой ВМ;
Путь — путь для размещения клона (по умолчанию каталог VirtualBox VMs);
Тип клонирования:
Полное клонирование — создаются независимые копии всех образов дисков. Клон может работать без связи с исходной ВМ;
Связанное клонирование — создаются новые разностные диски, ссылающиеся на образы исходной ВМ. Если клонирование осуществляется от текущего состояния, VirtualBox автоматически создаст новый снимок;
Политика MAC-адреса — указывает, как сохранять MAC-адреса сетевой карты при клонировании ВМ. При выборе значения VirtualBox присваивает новые MAC-адреса сетевым адаптерам клона (рекомендуется, если клон и оригинал работают в одной сети). Альтернативно можно сохранить существующие MAC-адреса в клонированной ВМ;
Сохранить имена дисков — сохраняются имена файлов дисков в клонированной ВМ;
Сохранить идентификтор оборудования — сохраняются уникальные идентификаторы оборудования (UUID).
Операция клонирования не доступна во время работы ВМ. Продолжительность зависит от размера и количества подключённых дисков.
Для клонирования ВМ можно использовать команду
VBoxManage:
$ VBoxManage clonevm "Alt Workstation" --name="Alt Workstation-clone-001" \
--mode=machine --options=keepallmacs --options=keepdisknames --options=keephwuuids
Эта команда создаст и зарегистрирует клон с именем
Alt Workstation-clone-001, который будет включать только текущее состояние ВМ. Клон сохраняет все MAC-адреса, имена дисков и UUID исходной ВМ.
88.3.3.6. Импорт и экспорт конфигураций
VirtualBox поддерживает импорт и экспорт ВМ в следующих форматах:
Открытый Формат Виртуализации (OVF) — позволяет переносить ВМ между разными гипервизорами (VirtualBox, VMware и др.) например, на VMware или Microsoft Virtual PC. Поддерживаются расширения .ovf (экспорт в виде набора отдельных файлов) и .ova (объединение всех компонентов в один архив);
Облачная инфраструктура Oracle — экспорт на удалённые облачные серверы. Главный виртуальный диск каждой ВМ выгружается на удалённый сервер.
Использование формата OVF позволяет упаковывать виртуальные устройства (образы дисков вместе с настройками конфигурации), создавая полностью готовые к использованию пакеты.
Формат OVF считается универсальным, однако исключать, что при переносе виртуальной машины на другой продукт виртуализации пользователь не столкнется с определенного рода проблемами нельзя.
Экспортируется только текущее состояние ВМ, снимки не включаются.
Операция экспорта доступна только при выключенной ВМ.
Для запуска экспорта в окне VirtualBox необходимо выбрать пункт → (Ctrl+E).
В окне настройки экспорта необходимо:
на вкладке выбрать одну или несколько ВМ:
на вкладке указать:
Формат — формат виртуализации;
Файл — место куда будут экспортирован файл/файлы;
Политика MAC-адреса — сохранять или переназначать MAC-адреса сетевых карт при экспорте;
Создать Manifest-файл — включить файл манифеста в экспортируемый файл;
Включить ISO файлы образов — включить файлы ISO-образов в экспортируемый файл;
на вкладке можно изменить имя ВМ, задать описание, указать информацию о продукте:
После нажатия кнопки Готово начнётся экспорт, который может занять несколько минут.
Экспортированный файл .ova будет находиться в указанном каталоге и может быть перемещён на другой компьютер, носитель или в облако.
Для экспорта ВМ можно также использовать команду
VBoxManage export:
$ VBoxManage export "ALT Workstation" --output ~/alt-workstation.ova
Импорт позволяет загрузить ранее экспортированную ВМ обратно в VirtualBox.
Для запуска процедуры импорта в VirtualBox необходимо выбрать: → (Ctrl+I).
В окне настройки импорта необходимо:
на вкладке в поле Файл указать путь к файлу .ovf или .ova:
на вкладке можно изменить параметры импортируемой ВМ: имя, ресурсы, расположение и т.д.
После нажатия кнопки Готово начнётся импорт, который может занять несколько минут.
Для импорта ВМ можно также использовать команду
VBoxManage import:
$ VBoxManage import ~/alt-workstation.ova
VirtualBox предоставляет множество параметров, которые можно настроить для ВМ. Ещё больше возможностей доступно при использовании интерфейса командной строки VBoxManage.
При выборе ВМ из списка в окне VirtualBox отображается сводка её текущих настроек:
Если нажать кнопку Настроить (Ctrl+S), откроется окно, в котором можно изменить множество параметров выбранной ВМ.
Если ВМ находится в состоянии Запущена или Сохранена, некоторые настройки будут недоступны. Для изменения этих параметров необходимо сначала выключить ВМ.
Общие настройки позволяют задать базовые параметры ВМ.
Вкладки раздела :
:
Имя — имя, под которым ВМ отображается в списке VirtualBox. VirtualBox также использует это имя для сохранения файлов конфигурации ВМ;
VirtualBox использует уникальные идентификаторы (UUID) для идентификации ВМ.
Тип и Подтип — тип и подтип гостевой ОС;
Версия — версия гостевой ОС;
:
Папка для снимков — по умолчанию VirtualBox сохраняет данные снимков вместе с другими файлами конфигурации. Здесь можно указать отдельный каталог для хранения снимков;
Общий буфер обмена — настройка общего доступа к буферу обмена между хостовой и гостевой ОС (по умолчанию отключено);
Для использования общего буфера обмена должны быть установлены гостевые дополнения VirtualBox.
Функция Drag'n'Drop — поддержка перетаскивания объектов между хостовой и гостевой системами;
Для работы функции перетаскивания должны быть установлены гостевые дополнения VirtualBox.
Функция Drag'n'Drop не поддерживается в для ОС Linux.
— произвольное описание ВМ;
— настройки шифрования виртуальных дисков. Чтобы включить шифрование, необходимо установить отметку Включить шифрование дисков, выбрать алгоритм шифрования и указать пароль.
Для возможности шифрования дисков необходимо наличие плагина Oracle VirtualBox Extension Pack.
Все файлы, относящиеся к ВМ (кроме образов дисков), хранятся в незашифрованном виде. Чтобы зашифровать эти файлы, можно воспользоваться командой VBoxManage encryptvm.
88.4.2. Системные настройки
Раздел объединяет параметры, связанные с основным оборудованием, которое предоставляется ВМ.
Вкладки раздела :
:
Основная память — объем ОЗУ, выделяемый ВМ при запуске. Указанный объём будет временно выделена из физической памяти хоста;
Порядок загрузки — порядок, в котором гостевая ОС будет пытаться загружаться с различных виртуальных загрузочных устройств;
При выборе пункта Сеть ВМ попытается выполнить загрузку через механизм PXE, который должен быть предварительно настроен.
Чипсет — чипсет, предоставляемый ВМ. Возможные значения:
PIIX3 — значение по умолчанию для большинства гостевых ОС;
ICH9 — поддерживает PCI Express, три шины PCI, мосты PCI-to-PCI и передачу сообщений о прерываниях (MSI). С помощью ICH9 можно настроить до 36 сетевых карт (до 8 с PIIX3);
Тип ТРМ — включает поддержку Trusted Platform Module (TPM);
Манипулятор курсора — устройство, через которое ВМ передаются события мыши (по умолчанию PS/2 мышь). Использование значения USB планшет имеет преимущество — координаты мыши передаются в абсолютных значениях, что позволяет VirtualBox передавать события мыши в гостевую систему без необходимости «захвата» мыши;
Включить I/O APIC — расширенный программируемый контроллер прерываний (APIC) — аппаратная функция x86, пришедшая на смену классическим контроллерам прерываний (PIC). Благодаря I/O APIC гостевые ОС могут использовать более 16 линий прерываний (IRQ), избегая их совместного использования и повышая надёжность системы;
Включение I/O APIC обязательно, особенно для 64-разрядных гостевых ОС Windows. Оно также необходимо для использования более одного виртуального процессора в ВМ.
Включить часы в системе UTC — указывает, будет ли системное время, передаваемое гостевой ОС, в формате UTC или локального времени хоста;
Включить EFI — использовать Extensible Firmware Interface (EFI) вместо классического BIOS;
Включить безопасную загрузку — включает безопасную загрузку, обеспечивая безопасную среду для запуска гостевой ОС;
:
Процессоры — количество виртуальных ядер ЦП, доступных гостевой ОС. VirtualBox поддерживает симметричную многопроцессорную обработку (SMP) и может предоставлять до 32 виртуальных ядер ЦП каждой ВМ;
Предел загрузки ЦПУ — ограничивает время, затрачиваемое процессором хоста на эмуляцию виртуального процессора. Значение по умолчанию — 100% (без ограничений). Значение 50% означает, что один виртуальный процессор может использовать не более 50% ресурсов одного физического ядра. Ограничение может быть полезно для управления ресурсами, но может вызвать проблемы с производительностью ВМ;
Включить PAE/NX — определяет, будут ли возможности PAE (Physical Address Extension) и NX (No-eXecute) хостового процессора доступны гостевой системе;
Включить Nested VT-x/AMD-V — включает вложенную виртуализацию, позволяя передавать функции аппаратной виртуализации ВМ;
:
Интерфейс паравиртуализации — позволяет использовать специализированные интерфейсы паравиртуализации для повышения точности отсчёта времени и производительности гостевой ОС;
Аппаратная виртуализация — для каждой ВМ можно индивидуально выбрать, будет ли VirtualBox использовать использовать аппаратную или программную виртуализацию.
В разделе можно настроить параметры графической подсистемы ВМ.
Вкладки раздела :
:
Видеопамять — объём видеопамяти, предоставляемой виртуальной видеокарте, в мегабайтах. Чем больше видеопамяти, тем выше могут быть разрешение и глубина цвета;
Количество мониторов — количество виртуальных мониторов, доступных гостевой системе. Поддерживается до 8 мониторов (если гостевая ОС это поддерживает);
Вывод с нескольких мониторов отображается на хосте в нескольких окнах ВМ В полноэкранном и бесшовном режиме используются физические мониторы, подключенные к хосту. Для полноценной работы этих режимов с несколькими мониторами требуется столько же физических мониторов, сколько настроено виртуальных.
Коэффициент масштабирования — позволяет масштабировать размер экрана ВМ;
Графический контроллер — тип графического адаптера, используемого ВМ:
VBoxSVGA — графический контроллер по умолчанию для Windows 7 и более новых версий;
VBoxVGA — графический контроллер для старых гостевых ОС;
VMSVGA — графический контроллер, эмулирующий устройство VMware SVGA. Используется по умолчанию для гостевых систем Linux;
Для использования графических контроллеров VBoxSVGA или VMSVGA необходимо, чтобы на ВМ были установлены гостевые дополнения.
Включить 3D-ускорение — активирует аппаратное ускорение 3D-графики;
Для возможности включения 3D-ускорения на ВМ должны быть установлены гостевые дополнения.
— если установлено расширение VirtualBox Remote Display Extension (VRDE), на этой вкладке можно включить и настроить сервер VRDP;
— позволяет включить запись видео и звука с ВМ и изменить соответствующие параметры. Эти функции можно включать и отключать во время работы ВМ. Настройки применяются ко всем выбранным экранам.
В разделе можно добавить или настроить контроллеры хранения и подключить к ним виртуальные устройства (виртуальный жёсткий диск, CD/DVD, дискету и т.д.).
VirtualBox отображает контроллеры виртуальных устройств хранения данных внутри ВМ. Под каждым контроллером отображаются устройства, подключённые к этому контроллеру.
При создании новой ВМ VirtualBox автоматически добавляет следующие устройства хранения в зависимости от выбранной гостевой ОС:
Контроллер IDE: по умолчанию к устройству 0 на вторичном канале подключается виртуальный CD/DVD-привод;
Контроллер SATA: к нему подключаются виртуальные жёсткие диски. Для новой ВМ создаётся один виртуальный диск.
Чтобы добавить новый контроллер, необходимо нажать кнопку Добавить, расположенную в нижней части окна Носители информации и выбрать нужный тип контроллера из списка:
Виртуальные диски подключаются к гостевой системе с помощью эмуляции соответствующего контроллера: IDE, SATA (AHCI), SCSI, SAS и др. Поведение каждого контроллера запрограммировано так, чтобы максимально точно имитировать физический аналог. Например, IDE-контроллер работает медленнее, чем SATA, и использует больше ресурсов процессора.
Виртуальные диски могут быть:
VirtualBox позволяет увеличить объём виртуального диска, даже если он уже содержит данные. Это можно сделать с помощью утилиты
VBoxManage:
$ VBoxManage modifyhd <uuid|VM_name> --resize <megabytes>
Например:
$ VBoxManage modifyhd "MyVM.vdi" --resize 20480
Эта операция увеличивает только размер виртуального файла, а не разделы внутри гостевой ОС. Для расширения разделов потребуется использовать инструменты гостевой системы.
При использовании динамически расширяемого диска, файл образа постепенно увеличивается по мере записи данных, до достижения установленного лимита. Так как при этом задействуются дополнительные ресурсы, скорость записи ниже, чем у диска с фиксированным размером. Однако, если объём диска в долгосрочной перспективе не увеличивается, разница в производительности становится практически незаметной.
Чтобы добавить виртуальный жёсткий диск или CD/DVD-диск, необходимо выбрать нужный контроллер и нажать кнопку Добавить жёсткий диск или Добавить привод оптических дисков:
В открывшемся окне можно выбрать существующий образ диска или создать новый виртуальный диск.
После подключения диска можно настроить его свойства:
слот устройства контроллера, к которому подключен виртуальный диск;
Твердотельный накопитель — сообщает гостевой ОС, что диск является SSD;
С горячей заменой (SSD) — позволяет подключать и отключать диск без перезагрузки ВМ;
Живой CD/DVD (для виртуальных CD/DVD-приводов) — гостевая система не «увидит» извлечение диска;
Съёмные носители, такие как CD/DVD, можно заменять во время работы ВМ. Для этого используйте меню в окне ВМ:
Если выбрать пункт Изъять диск из привода VirtualBox предоставит гостевой системе пустой CD/DVD-дисковод, в который не вставлен носитель.
В разделе настраивается, будет ли ВМ использовать звуковую карту хоста и сможет ли пользователь слышать звук из гостевой ОС.
VirtualBox поддерживает эмуляцию следующих звуковых контроллеров:
ICH AC 97;
Intel HD Audio;
SoundBlaster 16.
Можно выбрать, какой аудиодрайвер использовать на хостовой системе.
Можно выбрать следующие аудиодрайверы:
Раздел позволяет настроить, как VirtualBox представляет виртуальные сетевые адаптеры ВМ и как они взаимодействуют с сетью хоста.
При создании новой ВМ по умолчанию включается один сетевой адаптер, работающий в режиме NAT (Network Address Translation):
VirtualBox поддерживает до восьми виртуальных сетевых адаптеров на одну ВМ. Первые четыре можно настроить в графическом интерфейсе VirtualBox, остальные — с помощью команды VBoxManage.
Раздел состоит из четырех вкладок, каждая из которых соответствует одному сетевому адаптеру. Для каждого адаптера можно настроить:
Включить сетевой адаптер — включает или отключает сетевой адаптер для этой ВМ;
Тип подключения — определяет режим работы сетевого адаптера (например, NAT, Bridged, Internal и др.);
Тип адаптера — выбор модели эмулируемой сетевой карты. По умолчанию используется Intel PRO/1000 MT Desktop. При возникновении проблем с сетью можно выбрать другой тип;
Неразборчивый режим — режим, в котором адаптер принимает все сетевые пакеты, включая те, которые предназначены другим узлам. Используется для диагностики сети. Обычно не требуется для повседневной работы;
MAC-адрес — уникальный идентификатор сетевого устройства. VirtualBox автоматически генерирует MAC-адрес при создании ВМ. Для клонированных ВМ рекомендуется сгенерировать новый уникальный адрес (кнопка рядом с полем MAC-адреса);
Подключить кабель — имитирует подключение или отключение сетевого кабеля. При отключении интерфейс становится недоступным, но остаётся активным в системе;
Проброс портов — открывает окно настройки правил перенаправления портов между хостом и гостевой системой. Применяется в режимах NAT и NAT Network (см.
NAT/Сеть NAT + Проброс портов).
В разделе настраиваются виртуальные последовательные порты для ВМ.
При включении виртуального последовательного порта гостевая ОС видит стандартное устройство UART, совместимое с чипом 16550A. Дополнительные типы UART можно настроить с помощью команды:
$ VBoxManage modifyvm <uuid|VM_name> --uart<номер> <тип>
Поддерживаются приём и передача данных.
Можно настроить до четырех виртуальных последовательных портов на одну ВМ.
Раздел позволяет настроить расширенную поддержку USB-устройств в VirtualBox.
VirtualBox предоставляет гостевой ОС виртуальный USB-контроллер, через который можно подключать физические USB-устройства хостовой системы.
Как только устройство будет подключено к ВМ, оно станет недоступным в хостовой системе.
В разделе можно:
включить или отключить USB-контроллер (пункт Включить контроллер USB);
выбрать версию USB:
Контроллер USB 1.1 (OHCI) — поддержка USB 1.1;
Контроллер USB 2.0 (OHCI+EHCI) — поддержка USB 2.0;
Контроллер USB 3.0 (xHCI) — поддержка USB 3.0 и выше;
Контроллеры xHCI и EHCI входят в состав пакета расширения VirtualBox.
настроить фильтры USB-устройств, которые определяют, какие устройства будут автоматически передаваться ВМ при подключении к хосту.
Для создания фильтра:
В разделе
Фильтры устройств USB нажать кнопку
Откроется новое окно, в котором все поля изначально пустые — такой фильтр будет соответствовать любому подключённому USB-устройству.
Чтобы создать более точный фильтр, можно нажать кнопку
и выбрать одно из подключённых устройств — система автоматически заполнит поля на основе его характеристик.
В диалоговом окне
Свойства USB-фильтра можно
Чем больше критериев будет указано, тем точнее будет фильтрация. Например:
если указан только идентификатор поставщика, фильтр будет подходить всем устройствам этого производителя;
если указан идентификатор поставщика, идентификатор продукта и серийный номер, фильтр будет соответствовать только конкретному устройству.
Для получения информации о подключённых к хостовой машине USB-устройствах можно использовать одну из следующих команд:
$ VBoxManage list usbhost
или
$ lsusb
Параметр Удаленный в настройках фильтра указывает, будет ли устройство локальным или удалённым (через VRDP).
Фильтры можно включать/отключать, не удаляя их — для этого достаточно снять отметку рядом с именем фильтра.
USB-устройства без соответствующего фильтра могут передаваться гостевой системе вручную, например, с помощью меню → :
Раздел Общие папки позволяет обмениваться данными между хостовой и гостевой системами.
Для использования общих папок необходимо чтобы в гостевой ОС были установлены гостевые дополнения.
Раздел изменить внешний вид и поведение пользовательского интерфейса ВМ.
Параметры настраиваемые в разделе :
Строка меню — позволяет отключить определенные меню, отдельные пункты меню или всю строку меню;
Визуальный режим — позволяет выбрать режим отображения ВМ (оконный, полноэкранный, масштабируемый, бесшовный);
Мини тулбар:
Использовать в полноэкранных режимах — отображает мини-панель инструментов в полноэкранном или интегрированном режиме;
В верхней части экрана — позволяет разместить мини-панель в верхней части экрана, а не в нижней;
Строка состояния — позволяет включать или отключать отдельные значки в строке состояния, изменить порядок значков или полностью скрыть строку состояния.
VirtualBox обладает высокой гибкостью в виртуализации сети: для каждой ВМ поддерживается до восьми виртуальных сетевых адаптеров. Первые четыре можно настроить в графическом интерфейсе VirtualBox, остальные — с помощью команды VBoxManage.
Каждую виртуальную сетевую карту можно настроить в одном из следующих режимов:
NAT (Трансляция сетевых адресов)
Режим используется по умолчанию. Для каждой ВМ создаётся отдельная внутренняя локальная сеть, в которой гостевая ОС получает IP-адрес, например, 10.0.2.15. Система имеет доступ к Интернету через NAT, но недоступна снаружи без настройки проброса портов. В этом режиме невозможно сетевое взаимодействие между ВМ.
Сеть NAT
Позволяет нескольким ВМ находиться в одной внутренней NAT-сети. Каждая машина подключается к изолированному виртуальному маршрутизатору с поддержкой DHCP. Связь между ВМ внутри одной NAT-сети возможна. Доступ к внешней сети есть, но подключение из внешнего мира требует проброса портов. GUI для настройки DHCP-сервера отсутствует — параметры задаются только через VBoxManage.
Сетевой мост
ВМ становится полноправным участником физической сети хоста. Она получает IP-адрес от маршрутизатора или DHCP-сервера, подключённого к хосту. Другие устройства в сети могут напрямую взаимодействовать с ВМ. Этот режим подходит для серверов и тестирования, где необходим полноценный сетевой доступ.
Виртуальный адаптер хоста
В этом режиме создаётся виртуальный адаптер на хосте, к которому могут подключаться ВМ. Доступ к Интернету отсутствует, но машины могут взаимодействовать между собой и с хост-системой. Хост в такой сети доступен по адресу 192.168.56.1.
Внутренняя сеть
Аналогична предыдущему режиму, но без участия хост-системы. ВМ могут взаимодействовать только друг с другом, доступ к внешней сети отсутствует.
Универсальный драйвер
Используется для нестандартных сетевых подключений — например, для соединения ВМ, запущенных на разных физических машинах. Требует дополнительной настройки и драйвера из расширений VirtualBox.
Облачная сеть
Позволяет подключить локальную ВМ к подсети облачной инфраструктуры. Поддержка зависит от установленных плагинов и настроек облачного провайдера.
Не подключен
Адаптер присутствует, но не подключён к какой-либо сети. Можно использовать для эмуляции отключения кабеля Ethernet, что полезно для тестирования поведения системы при потере связи.
Таблица 88.1. Сравнение основных сетевых режимов
|
|
ВМ→Хост
|
Хост→ВМ
|
ВМ1↔ВМ2
|
ВМ→Интернет
|
Интернет→ВМ
|
|
Виртуальный адаптер хоста
|
+
|
+
|
+
|
-
|
-
|
|
Внутренняя сеть
|
-
|
-
|
+
|
-
|
-
|
|
Сетевой мост
|
+
|
+
|
+
|
+
|
+
|
|
NAT
|
+
|
Через проброс портов
|
-
|
+
|
Через проброс портов
|
|
Сеть NAT
|
+
|
Через проброс портов
|
+
|
+
|
Через проброс портов
|
88.5.2. NAT (Network Address Translation)
Этот режим задаётся для ВМ по умолчанию. Он обеспечивает минимально необходимую сетевую функциональность — выход в Интернет без дополнительной настройки.
В NAT-схеме гостевая ОС использует приватный IP-адрес, недоступный из внешней сети. VirtualBox эмулирует работу маршрутизатора: создаётся виртуальный NAT-шлюз, который принимает и перенаправляет сетевой трафик между ВМ и хостом.
Для каждой ВМ создаётся отдельная NAT-сеть. Связь между машинами в этом режиме невозможна, так как соединения изолированы.
VirtualBox использует встроенный DHCP-сервер, чтобы выдавать адреса ВМ. Первый сетевой адаптер получит адрес 10.0.2.15, сетевой шлюз — 10.0.2.2, сервер имен (DNS) — 10.0.2.3. Дополнительные сетевые адаптеры будут подключены к другим подсетям (10.0.3.0, 10.0.4.0 и так далее).
NAT работает стабильно, даже если хост перемещается между сетями (например, при смене Wi-Fi на Ethernet).
Изменить подсеть NAT можно, выполнив команду:
$ VBoxManage modifyvm "Имя ВМ" --natnet1 "192.168/16"
Эта команда зарезервирует сетевые адреса от 192.168.0.0 до 192.168.254.254 для первого NAT-интерфейса ВМ. Гостевая операционная система получит адрес 192.168.0.15, а шлюз по умолчанию — 192.168.0.2.
Недостатком режима NAT является то, что ВМ не доступна из внешней сети. Чтобы развернуть на ней сервер (например, веб-сервер), необходимо вручную настроить проброс портов.
Сеть NAT представляет подобие локальной подсети, являющейся общей для всех ВМ, входящих в ее состав:
Для настройки такого подключения необходимо сначала создать сеть NAT.
88.5.3.1. Создание сети NAT
Для создания сети NAT в главном окне менеджера VirtualBox следует открыть Менеджер сетей (Ctrl+G), перейти на вкладку Сети NAT и нажать кнопку Создать:
По умолчанию будет создана сеть NatNetwork (с адресацией 10.0.2.0/24). В этой статической конфигурации шлюзу будет назначен адрес 10.0.2.1 (первый адрес после адреса интерфейса).
Чтобы изменить параметры сети NAT, следует нажать кнопку Свойства. Откроется окно настроек, где можно изменить имя сети, адрес сети, включить поддержку DHCP и IPv6, а также настроить проброс портов:
88.5.3.2. Создание сети NAT в консоли
Для создания сети NAT можно использовать утилиту командной строки VBoxManage.
Примеры
создание сети NAT:
$ VBoxManage natnetwork add --netname natnet1 --network "10.0.2.0/24" --enable
где:
добавление DHCP-сервера в сеть:
$ VBoxManage natnetwork modify --netname natnet1 --dhcp on
запуск службы NAT:
$ VBoxManage natnetwork start --netname natnet1
остановка сети NAT (включая DHCP-сервер):
$ VBoxManage natnetwork stop --netname natnet1
просмотр списка зарегистрированных сетей NAT:
$ VBoxManage list natnetworks
88.5.3.3. Настройка ВМ на использование сети NAT
Чтобы настроить ВМ на использование ранее созданной сети NAT, необходимо:
Открыть настройки нужной ВМ.
Перейти на вкладку .
Выбрать один из адаптеров.
В списке выбрать пункт .
В списке выбрать созданную ранее сеть NAT:
Все ВМ, подключенные к этой сети, будут доступны друг другу.
Режим Сетевой мост является самым простым и не требует дополнительной настройки. При использовании этого режима ВМ работает так же, как и любое другое устройство в локальной сети. Сетевой адаптер ВМ в этом случае действует как мост между виртуальной и физической сетями.
Режим Сетевой мост использует физический сетевой адаптер хост-системы, создавая собственное прямое подключение к маршрутизатору. При установлении соединения ВМ получает IP-адрес из диапазона сети. Для маршрутизатора это выглядит так, как будто к сети подключено ещё одно физическое устройство:
Все устройства, находящиеся за маршрутизатором, остаются невидимыми из внешней сети. Таким образом, сетевой трафик между хост-системой и ВМ циркулирует только внутри локальной сети. Такой трафик не может быть перехвачен или прослушан извне.
Чтобы настроить соединение в режиме
Сетевой мост, необходимо:
Открыть настройки нужной ВМ.
Перейти на вкладку .
Выбрать один из адаптеров.
В списке выбрать пункт .
На хост-системе могут быть активны одновременно несколько сетевых интерфейсов, например, проводное подключение (eth0) и беспроводное (wlan0). В списке можно указать, какой именно интерфейс использовать в качестве моста.
Тип подключения Внутренняя сеть симулирует закрытую локальную сеть, доступную только ВМ, входящим в её состав. Такая сеть полностью изолирована как от хост-системы, так и от внешних устройств.
Внутренняя сеть по своему принципу похожа на режим Сетевой мост: ВМ могут обмениваться данными друг с другом, но не имеют доступа за пределы сети. Поскольку ни одна из ВМ не имеет прямого доступа к физическому сетевому адаптеру хост-системы, сеть получается полностью изолированной — как снаружи, так и изнутри.
Сеть создается автоматически при выборе соответствующего типа подключения. Дополнительных настроек этот режим не требует — пользователь может лишь задать имя сети.
Чтобы подключить ВМ к внутренней сети, необходимо:
Открыть настройки нужной ВМ.
Перейти на вкладку .
Выбрать один из адаптеров.
В списке выбрать пункт .
В списке выбрать нужную сеть или создать новую, просто изменив имя текущей:
Для объединения нескольких машин в одну внутреннюю сеть необходимо указать одинаковое имя сети на всех ВМ.
Далее можно либо настроить сетевой интерфейс гостевой ОС вручную (с использованием статических IP-адресов), либо воспользоваться встроенным в VirtualBox DHCP-сервером.
Настройка подключения к внутренней сети в командной строке:
Установка типа подключения:
$ VBoxManage modifyvm "Имя ВМ" --nic<N> itnet
Указание имени внутренней сети:
$ VBoxManage modifyvm "Имя ВМ" --itnet<N> "Имя Сети"
Если имя сети не указывать, сетевая карта будет подключена к сети по умолчанию.
88.5.6. Виртуальный адаптер хоста
Режим Виртуальный адаптер хоста создает сеть между хост-системой и ВМ, минуя физическую сетевую карту. На хосте создаётся программный сетевой интерфейс, предназначенный для обмена данными между хост-системой и ВМ. Все ВМ, подключённые к такому адаптеру, могут взаимодействовать друг с другом и с хостом, как если бы были подключены к одному коммутатору. Так же, как и в режиме Внутренняя сеть, физический интерфейс ВМ не предоставляется, а значит, машины не имеют доступа к внешней сети:
Для использования этого режима необходимо предварительно создать хотя бы один виртуальный интерфейс хоста.
88.5.6.1. Создание интерфейса в менеджере VirtualBox
Для создания интерфейса в главном окне менеджера VirtualBox следует открыть Менеджер сетей (Ctrl+G), перейти на вкладку Виртуальные сети и нажать кнопку Создать:
В хост-системе появится новое сетевое устройство vboxnet0, которому по умолчанию будет присвоен IP-адрес 192.168.56.1/24. Это устройство соединяет виртуальную подсеть с хост-системой, при этом не имея выхода во внешнюю сеть.
Чтобы изменить параметры интерфейса, следует нажать кнопку Свойства. В открывшемся окне на вкладке можно указать IP-адрес и маску подсети. Указанные значения сразу будут применены к виртуальному адаптеру на стороне хоста.
Чтобы не назначать IP-адрес каждой ВМ вручную, можно активировать встроенный DHCP-сервер VirtualBox. Для этого необходимо перейти на вкладку и активировать опцию DHCP-сервер (вне зависимости от того, статический или динамический IP-адрес присвоен сетевому адаптеру):
Адрес DHCP-сервера следует выбирать в том же диапазоне, что и адрес виртуального адаптера хоста, и он не должен пересекаться с адресами физических сетевых адаптеров.
88.5.6.2. Создание виртуального интерфейса в консоли
Для создания интерфейса можно воспользоваться утилитой командной строки
VBoxManage:
$ VBoxManage hostonlyif create
После выполнения этой команды в системе появится новый виртуальный интерфейс.
Чтобы подключить ВМ к виртуальному адаптеру хоста, необходимо:
Открыть настройки нужной ВМ.
Перейти на вкладку .
Выбрать один из доступных сетевых адаптеров.
В списке выбрать .
В списке выбрать ранее созданный виртуальный интерфейс:
Для объединения нескольких машин в одну виртуальную сеть необходимо выбрать один и тот же виртуальный адаптер хоста для всех ВМ.
88.5.6.4. Обход ограничений режима NAT
Ограничения режима NAT можно обойти, пробросив порты для входящих соединений или добавив второй сетевой адаптер с типом подключения Виртуальный адаптер хоста. Оба метода позволяют установить входящие соединения между хост-системой и локальным сервером внутри ВМ.
88.5.6.4.1. NAT/Сеть NAT + Виртуальный адаптер хоста
При совместном использовании двух режимов получается полноценное сетевое соединение. Все входящие пакеты проходят через виртуальный адаптер хоста, обходя тем самым ограничения NAT режимов.
Настройка связки
NAT +
Виртуальный адаптер хоста:
Открыть настройки нужной ВМ.
Перейти на вкладку .
Настроить первую сетевую карту () на использование виртуального адаптера хоста:
Настроить вторую сетевую карту () на использование режима NAT:
Запустить ВМ и назначить статический IP-адрес на первом сетевом адаптере.
Всегда устанавливайте первый адаптер для связи с хост-системой, а второй адаптер — для выхода в Интернет.
Пример результата настройки:
$ ip -br addr
lo UNKNOWN 127.0.0.1/8 ::1/128
enp0s3 UP 192.168.56.7/24
enp0s8 UP 10.0.3.15/24
Настройка связки
Сеть NAT +
Виртуальный адаптер хоста:
Добавить
Сеть NAT и отключить для неё DHCP-сервер.
Открыть настройки нужной ВМ.
Перейти на вкладку .
Настроить первую сетевую карту () на использование виртуального адаптера хоста:
Настроить вторую сетевую карту () на использование режима Сеть NAT:
Запустить ВМ и назначить статические IP-адреса для обоих интерфейсов.
Пример результата настройки:
$ ip -br addr
lo UNKNOWN 127.0.0.1/8 ::1/128
enp0s3 UP 192.168.56.7/24
enp0s8 UP 10.2.0.15/24
88.5.6.4.2. NAT/Сеть NAT + Проброс портов
Проброс портов позволяет получить доступ к сетевым службам гостевой ОС из внешних источников. Этот метод предпочтительнее, чем переход в режим моста, так как пользователь сам управляет, какие порты будут доступны извне.
С помощью проброса портов VirtualBox обеспечивает доступ к нужным службам, перенаправляя запросы, поступающие на хост-систему, к гостевой машине. Это особенно полезно, если ВМ используется как сервер, к которому необходимо подключаться извне (например, по SSH или HTTP).
Для настройки проброса портов в режиме
NAT необходимо:
В сетевых настройках ВМ на вкладке нужного адаптера нажать кнопку Проброс портов.
В открывшемся окне добавить новое правило:
Для настройки проброса портов в режиме
Сеть NAT необходимо:
Отрыть настройки сети NAT и перейти на вкладку Проброс портов.
Задать параметры правила:
Правила проброса портов заполняются следующим образом:
Имя — может быть любым, для удобства можно называть правило именем протокола или службы, работу которого оно обеспечивает;
Протокол — протокол, который использует служба (TCP или UDP);
Адрес хоста — IP-адрес машины, на который будут идти запросы на соединение (хостовой ОС). Обычно указывается localhost 127.0.0.1;
Порт хоста — порт хост-системы, на который поступают запросы на соединение (любой свободный порт > 1024);
Адрес гостя — IP-адрес ВМ;
Порт гостя — порт ВМ, на котором работает нужная служба.
Проброс портов работает только при включённой ВМ. Если ВМ выключена, запросы на соответствующий порт будут игнорироваться или обрабатываться хост-системой.
Для настройки проброса портов в режиме NAT можно использовать команду:
$ VBoxManage modifyvm "ALT Workstation" --natpf1 "SSH,tcp,127.0.0.1,2222,10.0.2.15,22"
здесь
ALT Workstation — имя ВМ;
natpf1 — правило для первого адаптера с NAT;
SSH — имя правила;
tcp — используемый протокол;
127.0.0.1,2222 — адрес и порт на хост-системе;
10.0.2.15,22 — адрес и порт на гостевой системе.
Имя правила должно быть уникальным.
88.6. Виртуальное хранилище
88.6.1. Контроллеры жёстких дисков
VirtualBox поддерживает эмуляцию большинства распространённых типов контроллеров жёстких дисков, включая: IDE (ATA), Serial ATA (SATA), SCSI, Serial Attached SCSI (SAS), USB-накопители, NVMe и устройства хранения данных virtio-scsi. Каждый из них имеет свои особенности и область применения. Ниже приведено описание каждого типа контроллера.
IDE (ATA)
Это обратно совместимый, но устаревший стандарт. Изначально этот интерфейс работал только с жёсткими дисками, позже стал поддерживать CD-ROM и другие съёмные носители. В VirtualBox каждая ВМ может иметь один включённый IDE-контроллер, поддерживающий до четырёх виртуальных устройств. По умолчанию один из слотов (обычно Secondary Master) настроен на виртуальный привод CD/DVD.
Serial ATA (SATA)
Более современная и производительная замена IDE. Интерфейс SATA в VirtualBox реализован через AHCI (Advanced Host Controller Interface) — стандартный режим работы SATA-контроллеров. SATA-контроллер в VirtualBox меньше нагружает процессор, по сравнению с IDE. Позволяет подключить до 30 виртуальных дисков к одной ВМ (в отличие от 3 в IDE + 1 CD/DVD). Первые четыре слота (0–3) по умолчанию работают в режиме совместимости с IDE. VirtualBox по умолчанию использует SATA для новых ВМ. При создании новой ВМ автоматически создаётся один SATA-контроллер, к которому подключается основной виртуальный диск.
SCSI (Small Computer System Interface)
Универсальный интерфейс передачи данных, поддерживающий не только дисковые устройства, но и другие типы оборудования. Виртуализация SCSI в VirtualBox включает поддержку контроллеров LSI Logic и BusLogic. К каждому контроллеру можно подключить до 15 виртуальных жёстких дисков. Используется в первую очередь для совместимости с другими системами виртуализации.
Serial Attached SCSI (SAS)
Это последовательная версия SCSI, которая заменяет параллельные кабели на более простые и надёжные последовательные соединения. SAS можно рассматривать как аналог SATA для SCSI: он имеет более высокую производительность и надёжность. VirtualBox эмулирует контроллер LSI Logic SAS, который включается аналогично SCSI. Поддерживает подключение до 255 виртуальных устройств.
USB
Стандарт подключения внешних запоминающих устройств, таких как жёсткие диски и флеш-накопители. Поддерживается большинством современных ОС без необходимости установки дополнительных драйверов. Виртуальный USB-контроллер в VirtualBox работает иначе, чем другие типы контроллеров:
не представляет собой один контроллер с несколькими дисками;
каждое устройство отображается как отдельное USB-устройство в гостевой ОС;
загрузка с USB-накопителей возможна только при использовании EFI, так как BIOS не поддерживает USB-загрузку.
NVMe (Non-Volatile Memory Express)
Это высокоскоростной протокол, разработанный специально для твердотельных накопителей (SSD), подключаемых через PCI Express. Используется для снятия ограничений SATA и достижения максимальной пропускной способности. Для использования NVMe-дисков гостевая ОС должна поддерживать этот стандарт. Контроллер NVMe является частью пакета расширений. Загрузка с NVMe-дисков возможна только при использовании EFI, так как BIOS не поддерживает NVMe.
virtio-scsi
Это стандарт для виртуализации устройств хранения данных, включая жёсткие диски и оптические приводы. Предоставляет более высокую производительность и гибкость по сравнению с другими типами контроллеров. Поддерживает современные гостевые ОС с драйверами virtio.
Таблица 88.2. Категории слотов виртуального хранилища
|
Тип контроллера
|
Масксимум устройств
|
Примечание
|
|
IDE
|
4
|
Всегда доступен. Один слот обычно занят виртуальным CD/DVD
|
|
SATA (AHCI)
|
30
|
Используется по умолчанию. Требует поддержки ОС
|
|
SCSI
|
15
|
Поддерживает LSI Logic и BusLogic
|
|
SAS
|
255
|
Поддерживает современные высокопроизводительные диски
|
|
USB
|
8
|
Представляет устройства как отдельные USB-накопители
|
|
NVMe
|
255
|
ребует поддержки ОС и установленного Extension Pack
|
|
virtio-scsi
|
256
|
Экспериментальная поддержка. Требует гостевых драйверов
|
Эти значения могут отличаться в зависимости от гостевой ОС и настроек.
Следует избегать использования IDE, если только это не единственный контроллер, поддерживаемый гостевой ОС. Использование SATA, SCSI или SAS не имеет принципиального значения.
88.6.2. Файлы образов дисков (VDI, VMDK, VHD, HDD)
Файлы образов дисков находятся в хост-системе и воспринимаются гостевыми системами как жёсткие диски. Когда гостевая ОС считывает данные с жёсткого диска или записывает их на него, VirtualBox перенаправляет запрос к файлу образа.
Поддерживаемые форматы виртуальных дисков:
VDI (VirtualBox Disk Image) — собственный формат VirtualBox;
VHD (Virtual Hard Disk) — формат Microsoft;
VMDK (Virtual Machine Disk) — формат VMware;
HDD (Parallels Hard Disk) — файлы образов Parallels версии 2 (формат HDD);
QCOW (QEMU Copy-On_Write) — формат QEMU;
QED (QEMU enhanced disk) — улучшенный формат QEMU.
Есть два варианта создания образа диска:
Фиксированный размер
Резервируется сразу весь объем.
Динамически выделяемый
Диск растёт по мере заполнения.
88.6.3. Менеджер виртуальных носителей
VirtualBox отслеживает все образы жёстких, CD/DVD и дискет, используемых ВМ. Доступ к списку (реестру) носителей можно получить, используя утилиту Менеджер виртуальных носителей (Ctrl+D):
Образы дисков сгруппированы в отдельных вкладках:
образы жёстких дисков, как в формате образа виртуального диска (VDI) VirtualBox, так и в сторонних форматах (VDI, VMDK, VHD, HDD);
образы CD/DVD в формате ISO;
образы дискет в формате RAW.
Для каждого образа диспетчер виртуальных носителей отображает полный путь к файлу образа и другую информацию, например, к какой ВМ он в данный момент подключен. Для просмотра этих данных необходимо нажать кнопку Свойства.
Менеджер виртуальных носителей позволяет выполнять следующие действия:
добавить существующий файл образа (кнопка Добавить);
создать новый образ диска (кнопка Создать);
копировать образ для создания другого образа (кнопка Копировать);
перемещать образ в другое место (кнопка Переместить);
удалить образ (кнопка Удалить);
отсоединить образ от ВМ (кнопка Отключить);
88.7. Удалённый доступ к ВМ
VirtualBox предоставляет возможность организовать удалённый доступ к ВМ. Это реализуется через интерфейс расширения, называемый VirtualBox Remote Desktop Extension (VRDE).
Базовый пакет VirtualBox предоставляет только интерфейс VRDE, тогда как сами реализации VRDE-модулей предоставляются отдельно, например:
VNC — реализация удалённого доступа через протокол VNC (имеет открытый исходный код и включен в пакет virtualbox);
Oracle VirtualBox Extension Pack — содержит реализацию протокола VRDP (RDP), шифрование, поддержку веб-камер и другие функции.
Можно установить оба пакета расширеий (Oracle VirtualBox Extension Pack и VNC), но одновременно может быть активен только один модуль VRDE.
88.7.1. Настройка доступа по VNC
Пример настройки доступа по VNC:
Переключить на VNC как активный VRDE-модуль:
$ VBoxManage setproperty vrdeextpack VNC
Включить VRDE (в данном случае — VNC) для ВМ:
$ VBoxManage modifyvm "ALT Workstation" --vrde on
Установить пароль для подключения:
$ VBoxManage "ALT Workstation" --vrde-property VNCPassword=secret
Для подключения к ВМ можно использовать, например, VNC-клиент
remote-viewer из пакета
virt-viewer. Необходимо указать IP-адрес хост-системы в качестве адреса сервера для подключения и номер порта, который использует VRDP-сервер:
$ remote-viewer rdp://192.168.0.200:3389
88.7.2. Настройки подключения по RDP
Для использования протокола RDP должен быть установлен Oracle VirtualBox Extension Pack, который содержит реализацию VRDP — расширения протокола RDP от Microsoft.
VRDP — это обратно совместимое расширение протокола Microsoft RDP. Это позволяет использовать любой стандартный RDP-клиент для подключения к ВМ.
Пример настройки доступа по RDP:
Переключить на Extension Pack как активный VRDE-модуль:
$ VBoxManage setproperty vrdeextpack "Oracle VirtualBox Extension Pack"
Включить VRDE (в данном случае — RDP) для ВМ:
$ VBoxManage modifyvm "ALT Workstation" --vrde on
По умолчанию сервер VRDP использует TCP-порт 3389. Так как один порт может использоваться только одним сервером, если нужно запускать более одной ВМ с VRDP, необходимо назначить каждой ВМ свой порт или диапазон портов:
$ VBoxManage modifyvm "ALT Workstation" --vrde-port 5000,5010-5012
VRDP-сервер привяжется к первому доступному порту из указанного списка.
Фактический порт, используемый работающей ВМ, можно узнать с помощью команды:
$ VBoxManage showvminfo VM-name | grep VRDE
Если хостовая ОС поддерживает IPv6, сервер VRDP будет автоматически прослушивать соединения и по IPv6, и по IPv4.
Для подключения к удалённой ВМ можно использовать любое стандартное средство просмотра RDP. Для этого необходимо указать IP-адрес хост-системы в качестве адреса сервера для подключения. Также необходимо указать номер порта, который использует VRDP-сервер. Пример подключения с помощью krdc:
$ krdc rdp://192.168.0.200:3389
88.7.3. VBoxHeadless — сервер удалённого рабочего стола
VirtualBox поставляется с внешним интерфейсом VBoxHeadless, который позволяет запускать ВМ в фоновом режиме, предоставляя при необходимости доступ через VRDP.
Запустить ВМ в фоновом режиме можно, выполнив команду:
$ VBoxManage startvm VM-name --type headless
Запустить VBoxHeadless также можно из графического интерфейса VirtualBox, удерживая клавишу Shift при запуске ВМ или выбрав пункт в меню .
Если ВМ запускается напрямую через VBoxHeadless, сервер VRDP будет активирован в соответствии с её конфигурацией. При необходимости это поведение можно переопределить параметром --vrde.
Запустить ВМ с включённым VRDP:
$ VBoxHeadless --startvm VM-name --vrde on
Запустить ВМ с отключённым VRDP:
$ VBoxHeadless --startvm VM-name --vrde off
При запуске ВМ с помощью команды VBoxManage startvm всегда применяются параметры конфигурации ВМ.
88.7.4. Раздельный режим
Раздельный режим — это альтернативный интерфейс запуска для локальных и удалённых ВМ. Он основан на VBoxHeadless, но вместо клиента RDP использует графический интерфейс VirtualBox для управления и отображения ВМ. В этом режиме расширение VRDE не требуется.
Раздельный режим позволяет подключаться к работающей ВМ и отключаться от неё, не прерывая выполнение. Это особенно удобно для пользователей с несколькими запущенными ВМ: отображается только нужная, остальные продолжают работать в фоновом режиме до востребования.
Для запуска ВМ в раздельном режиме необходимо в контекстном меню ВМ выбрать пункт → .
Чтобы отключиться от ВМ в раздельном режиме, нужно в меню работающей ВМ выбрать .
Для подключения к ВМ, работающей в фоновом режиме необходимо выбрать ВМ и нажать кнопку Показать.
Часть XII. Основы администрирования Linux
Глава 98. Что происходит в системе
Человеку, отвечающему за работоспособность системы, очень важно всегда отчётливо представлять происходящие в ней события. Теоретически, никакое происшествие не должно ускользнуть от его внимания. Однако компьютерные системы настолько сложны, что отслеживать все события в них — выше человеческих возможностей. Для того чтобы довести поток служебной информации до разумного объёма, её надо просеять (выкинуть незначащие данные), классифицировать (разделить на несколько групп сообразно тематике) и журнализировать (сохранить в доступном виде для дальнейшего анализа).
В ОС Альт Рабочая станция K функция записи информации о системных событиях и событиях безопасности обеспечивается с помощью системной службы systemd-journald. Она создает и поддерживает структурированные, индексированные журналы, на основе регистрируемой информации, полученной от ядра, от пользовательских процессов через вызов Libc syslog, от потоков STDOUT/STDERR системных служб через собственный API. Журналы данного инструмента хранятся в бинарном виде в /var/log/journal, что исключает возможность просмотра содержимого данных файлов стандартными утилитами обработки текстовых данных. Для просмотра логов используется утилита journalctl.
Можно запускать
journalctl с разными ключами:
Можно посмотреть сообщения определенного процесса:
Для ознакомления с прочими возможностями читайте руководство по journalctl. Для этого используйте команду man journalctl.
Стоит заметить, что некоторые службы (например, веб-сервер apache) самостоятельно ведут журнализацию своих событий, поэтому информацию о количестве и местоположении их журналов можно почерпнуть из их файлов настроек (обычно журналы хранятся в /var/log/).
Файл настройки journald находится в /etc/systemd/journald.conf. Справку по этому файлу можно получить, выполнив команду man journald.conf.
Новые рапорты, поступающие в системный журнал, наиболее актуальны, а предыдущие, по мере их устаревания, эту актуальность утрачивают. Если самые старые данные в журнале не удалять, файловая система рано или поздно окажется переполненной. Узнать объем имеющихся на текущий момент логов можно с помощью команды:
# journalctl --disk-usage
Ротация журналов:
для удаления старых файлов журналов с помощью указания размера используется опция
--vacuum-size. Например, удалить журналы, оставив только последние 200 Мб:
# journalctl --vacuum-size=200M
для удаления старых записей по времени используется опция
--vacuum-time. Например, удалить журналы, оставив только журналы за последний месяц:
# journalctl --vacuum-time=1months
Следует обратить внимание, что запуск --vacuum-size= оказывает лишь косвенное влияние на вывод, показанный --disk-usage, поскольку последний включает активные файлы журнала, в то время как операция очистки работает только с архивными файлами журнала. Аналогично, --vacuum-time= может фактически не уменьшить количество файлов журнала ниже указанного числа, так как не удалит активные файлы журнала.
Настройки ротации файлов журнала можно прописать в конфигурационном файле
/etc/systemd/journald.conf, например:
установить ограничения на размер хранимых файлов журнала:
SystemMaxUse=1G
ограничить размер отдельных файлов журнала:
SystemMaxFileSize=200M
установить максимальное время хранения записей в одном файле журнала перед ротацией в следующий:
MaxFileSec=20day
ограничить время хранения файлов журнала (удалять файлы журнала, содержащие записи старше указанного промежутка времени):
MaxRetentionSec=1months
После внесения изменений в файл
/etc/systemd/journald.conf необходимо перезапустить службу
systemd-journald:
# systemctl restart systemd-journald
Некоторые файлы в /var/log/ — не текстовые, они являются неполноценными журналами и представляют собой «свалку событий» для служб авторизации и учёта. Текстовую информацию о входе пользователей в систему и выходе оттуда можно получить по команде last, а узнать о тех, кто в данный момент пользуется системой, помогут команды w и who.
Множество важной информации может дать анализ загруженности системы — сведения о процессорном времени и потреблении оперативной памяти (ps, top, vmstat), сведения об использовании дискового пространства (du, df) и сведения о работе сетевых устройств (netstat).
Глава 99. Общие принципы работы ОС
ОС Альт Рабочая станция K является многопользовательской интегрированной системой. Это значит, что она разработана в расчете на одновременную работу нескольких пользователей.
Пользователь может либо сам работать в системе, выполняя некоторую последовательность команд, либо от его имени могут выполняться прикладные процессы.
Пользователь взаимодействует с системой через командный интерпретатор. Командный интерпретатор представляет собой прикладную программу, которая принимает от пользователя команды или набор команд и транслирует их в системные вызовы к ядру системы. Интерпретатор позволяет пользователю просматривать файлы, передвигаться по дереву файловой системы, запускать прикладные процессы. Все командные интерпретаторы
UNIX имеют развитый командный язык и позволяют писать достаточно сложные программы, упрощающие процесс администрирования системы и работы с ней.
99.1.1. Процессы функционирования ОС
Все программы, которые выполняются в текущий момент времени, называются процессами. Процессы можно разделить на два основных класса: системные процессы и пользовательские процессы.
Системные процессы — программы, решающие внутренние задачи
ОС, например, организацию виртуальной памяти на диске или предоставляющие пользователям те или иные сервисы (процессы-службы).
Пользовательские процессы — процессы, запускаемые пользователем из командного интерпретатора для решения задач пользователя или управления системными процессами. Linux изначально разрабатывался как многозадачная система. Он использует технологии, опробованные и отработанные другими реализациями
UNIX, которые существовали ранее.
Фоновый режим работы процесса — режим, когда программа может работать без взаимодействия с пользователем. В случае необходимости интерактивной работы с пользователем (в общем случае) процесс будет «остановлен» ядром, и работа его продолжается только после переведения его в «нормальный» режим работы.
99.1.2. Файловая система ОС
В
ОС использована файловая система Linux, которая, в отличие от файловых систем
DOS и
Windows(™), является единым деревом. Корень этого дерева — каталог, называемый root (рут) и обозначаемый
/.
Части дерева файловой системы могут физически располагаться в разных разделах разных дисков или вообще на других компьютерах — для пользователя это прозрачно. Процесс присоединения файловой системы раздела к дереву называется монтированием, удаление — размонтированием. Например, файловая система CD-ROM в дистрибутиве монтируется по умолчанию в каталог /media/cdrom (путь в дистрибутиве обозначается с использованием /, а не \, как в DOS/Windows).
Текущий каталог обозначается ./.
99.1.3. Структура каталогов
Корневой каталог
/:
/bin — командные оболочки (shell), основные утилиты;
/boot — содержит ядро системы;
/dev — псевдофайлы устройств, позволяющие работать с устройствами напрямую. Файлы в /dev создаются сервисом udev
/etc — общесистемные конфигурационные файлы для большинства программ в системе;
/etc/rc?.d, /etc/init.d, /etc/rc.boot, /etc/rc.d — каталоги, где расположены командные файлы, выполняемые при запуске системы или при смене её режима работы;
/etc/passwd — база данных пользователей, в которой содержится информация об имени пользователя, его настоящем имени, личном каталоге, его зашифрованный пароль и другие данные;
/etc/shadow — теневая база данных пользователей. При этом информация из файла
/etc/passwd перемещается в
/etc/shadow, который недоступен для чтения всем, кроме пользователя root. В случае использования альтернативной схемы управления теневыми паролями (
TCB), все теневые пароли для каждого пользователя располагаются в каталоге
/etc/tcb/имя пользователя/shadow;
/home — домашние каталоги пользователей;
/lib — содержит файлы динамических библиотек, необходимых для работы большей части приложений, и подгружаемые модули ядра;
/lost+found — восстановленные файлы;
/media — подключаемые носители (каталоги для монтирования файловых систем сменных устройств);
/mnt — точки временного монтирования;
/opt — вспомогательные пакеты;
/proc — виртуальная файловая система, хранящаяся в памяти компьютера при загруженной ОС. В данном каталоге расположены самые свежие сведения обо всех процессах, запущенных на компьютере.
/root — домашний каталог администратора системы;
/run — файлы состояния приложений;
/sbin — набор программ для административной работы с системой (системные утилиты);
/selinux — виртуальная файловая система SELinux;
/srv — виртуальные данные сервисных служб;
/sys — файловая система, содержащая информацию о текущем состоянии системы;
/tmp — временные файлы.
/usr — пользовательские двоичные файлы и данные, используемые только для чтения (программы и библиотеки);
/var — файлы для хранения изменяющихся данных (рабочие файлы программ, очереди, журналы).
Каталог
/usr:
/usr/bin — дополнительные программы для всех учетных записей;
/usr/sbin — команды, используемые при администрировании системы и не предназначенные для размещения в файловой системе root;
/usr/local — место, где рекомендуется размещать файлы, установленные без использования пакетных менеджеров, внутренняя организация каталогов практически такая же, как и корневого каталога;
/usr/man — каталог, где хранятся файлы справочного руководства man;
/usr/share — каталог для размещения общедоступных файлов большей части приложений.
Каталог
/var:
/var/log — место, где хранятся файлы аудита работы системы и приложений;
/var/spool — каталог для хранения файлов, находящихся в очереди на обработку для того или иного процесса (очереди печати, непрочитанные или не отправленные письма, задачи cron т.д.).
99.1.4. Организация файловой структуры
Система домашних каталогов пользователей помогает организовывать безопасную работу пользователей в многопользовательской системе. Вне своего домашнего каталога пользователь обладает минимальными правами (обычно чтение и выполнение файлов) и не может нанести ущерб системе, например, удалив или изменив файл.
Кроме файлов, созданных пользователем, в его домашнем каталоге обычно содержатся персональные конфигурационные файлы некоторых программ.
Маршрут (путь) — это последовательность имён каталогов, представляющая собой путь в файловой системе к данному файлу, где каждое следующее имя отделяется от предыдущего наклонной чертой (слешем). Если название маршрута начинается со слеша, то путь в искомый файл начинается от корневого каталога всего дерева системы. В обратном случае, если название маршрута начинается непосредственно с имени файла, то путь к искомому файлу должен начаться от текущего каталога (рабочего каталога).
Имя файла может содержать любые символы за исключением косой черты (
/). Однако следует избегать применения в именах файлов большинства знаков препинания и непечатаемых символов. При выборе имен файлов рекомендуется ограничиться следующими символами:
строчные и ПРОПИСНЫЕ буквы. Следует обратить внимание на то, что регистр всегда имеет значение;
символ подчеркивания (_);
точка (.).
Для удобства работы точку можно использовать для отделения имени файла от расширения файла. Данная возможность может быть необходима пользователям или некоторым программам, но не имеет значение для shell.
99.1.5. Имена дисков и разделов
Все физические устройства вашего компьютера отображаются в каталог
/dev файловой системы дистрибутива (об этом — ниже). Диски (в том числе
IDE/
SATA/
SCSI/
SAS жёсткие диски,
USB-диски) имеют имена:
/dev/sda — первый диск;
/dev/sdb — второй диск;
и т.д.
Диски обозначаются /dev/sdX, где X — a, b, c, d, e, … в зависимости от порядкового номера диска на шине.
Раздел диска обозначается числом после его имени. Например, /dev/sdb4 — четвертый раздел второго диска.
99.1.6. Разделы, необходимые для работы ОС
Для работы
ОС на жестком диске (дисках) должны быть созданы, по крайней мере, два раздела: корневой (то есть тот, который будет содержать каталог
/) и раздел подкачки (swap). Размер последнего, как правило, составляет от однократной до двукратной величины оперативной памяти компьютера. Если на диске много свободного места, то можно создать отдельные разделы для каталогов
/usr,
/home,
/var.
99.2. Работа с наиболее часто используемыми компонентами
99.2.1. Виртуальная консоль
Система Альт Рабочая станция K предоставляет доступ к виртуальным консолям, с которых можно осуществлять одновременно несколько сеансов работы в системе (login session).
Только что установленная система Альт Рабочая станция K, возможно, предоставляет доступ только к первым шести виртуальным консолям, к которым можно обращаться, нажимая комбинации клавиш Alt+F1 — Alt+F6 (Ctrl+Alt+F1 — Ctrl+Alt+F6).
99.2.2. Командные оболочки (интерпретаторы)
Для управления
ОС используются командные интерпретаторы (shell).
Зайдя в систему, Вы увидите приглашение — строку, содержащую символ «
$» (далее этот символ будет обозначать командную строку). Программа ожидает ваших команд. Роль командного интерпретатора — передавать ваши команды операционной системе. По своим функциям он соответствует
command.com в
DOS, но несравненно мощнее. При помощи командных интерпретаторов можно писать небольшие программы — сценарии (скрипты). В Linux доступны следующие командные оболочки:
Проверить, какая оболочка используется в данный момент можно, выполнив команду:
$ echo $SHELL
Оболочкой по умолчанию является
Bash (Bourne Again Shell) — самая распространённая оболочка под Linux, которая ведет историю команд и предоставляет возможность их редактирования. В дальнейшем описании работы с Альт Рабочая станция K будут использоваться примеры с использованием этой оболочки.
99.2.3. Командная оболочка Bash
В
Bash имеется несколько приемов для работы со строкой команд. Например, можно использовать следующие сочетания:
Ctrl+A — перейти на начало строки;
Ctrl+U — вырезать/удалить все символы слева от курсора до начала строки в буфер обмена;
Ctrl+C — остановить текущую задачу.
Для ввода нескольких команд одной строкой можно использовать разделитель «;». По истории команд можно перемещаться с помощью клавиш ↑ («вверх») и ↓ («вниз»).
Чтобы найти конкретную команду в списке набранных, не пролистывая всю историю, можно нажать Ctrl+R и начать вводить символы ранее введенной команды.
Для просмотра истории команд можно воспользоваться командой
history. Команды, присутствующие в истории, отображаются в списке пронумерованными. Чтобы запустить конкретную команду необходимо набрать:
!номер команды
Если ввести:
!!
запустится последняя из набранных команд.
В
Bash имеется возможность самостоятельного завершения имен команд из общего списка команд, что облегчает работу при вводе команд, в случае, если имена программ и команд слишком длинны. При нажатии клавиши
Tab Bash завершает имя команды, программы или каталога, если не существует нескольких альтернативных вариантов. Например, чтобы использовать программу декомпрессии
gunzip, можно набрать следующую команду:
gu
Затем нажать клавишу Tab. Так как в данном случае существует несколько возможных вариантов завершения команды, то необходимо повторно нажать клавишу Tab, чтобы получить список имен, начинающихся с gu.
В предложенном примере можно получить следующий список:
$ gu
guile gunzip gupnp-binding-tool
Если набрать: n (gunzip — это единственное имя, третьей буквой которого является «n»), а затем нажать клавишу Tab, то оболочка самостоятельно дополнит имя. Чтобы запустить команду нужно нажать Enter.
Программы, вызываемые из командной строки, Bash ищет в каталогах, определяемых в системной переменной
$PATH. По умолчанию в этот перечень каталогов не входит текущий каталог, обозначаемый
./ (точка слеш) (если только не выбран один из двух самых слабых уровней защиты). Поэтому, для запуска программы из текущего каталога, необходимо использовать команду (в примере запускается команда
prog):
./prog
Простейшая команда состоит из одного «слова», например, команда
cal, выводящая календарь на текущий месяц.
$ cal
Март 2025
Пн Вт Ср Чт Пт Сб Вс
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
99.2.5. Команда и параметры
$ cal 1 2026
Январь 2026
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
Команда
cal 1 2026 состоит из двух частей — собственно команды
cal и «остального». То, что следует за командой, называется
параметрами (или аргументами), и они вводятся для изменения поведения команды. В большинстве случаев, первое слово считается именем команды, а остальные — её параметрами.
Для решения разных задач одни и те же действия необходимо выполнять по-разному. Например, для синхронизации работ в разных точках земного шара лучше использовать единое для всех время (по Гринвичу), а для организации собственного рабочего дня — местное время (с учётом сдвига по часовому поясу и разницы зимнего и летнего времени). И то, и другое время показывает команда date, только для работы по Гринвичу ей нужен дополнительный параметр -u (он же --universal).
$ date
Чт 13 мар 2025 12:10:52 EET
$ date -u
Чт 13 мар 2025 10:11:05 UTC
Такого рода параметры называются ключами или модификаторами выполнения. Ключ принадлежит данной конкретной команде и сам по себе смысла не имеет. Этим он отличается от других параметров (например, имён файлов, чисел), имеющих собственный смысл, не зависящий ни от какой команды. Каждая команда может распознавать некоторый набор ключей и соответственно изменять своё поведение. Один и тот же ключ может определять для разных команд совершенно разные значения.
Для формата ключей нет жёсткого стандарта, однако существуют договорённости:
Если ключ начинается на -, то это однобуквенный ключ. За -, как правило, следует один символ, чаще всего буква, обозначающая действие или свойство, которое этот ключ придаёт команде. Так проще отличать ключи от других параметров.
Если ключ начинается на --, то он называется полнословным ключом. Полнословный формат ключа начинается на два знака --, за которыми следует полное имя обозначаемого этим ключом содержания.
Некоторые ключи имеют и однобуквенный, и полнословный формат, а некоторые — только полнословный.
Информацию о ресурсах каждой команды можно получить, используя ключ --help. К примеру, получить подсказку о том, что делает команда rm, можно, набрав в терминале rm --help.
99.2.7. Обзор основных команд системы
Все команды, приведенные ниже, могут быть запущены в режиме консоли. Для получения более подробной информации используйте команду
man. Пример:
$ man ls
Параметры команд обычно начинаются с символа «-», и обычно после одного символа «-» можно указать сразу несколько опций. Например, вместо команды ls -l -F можно ввести команду ls -lF
Учетные записи пользователей
- Команда
su
Команда su позволяет изменить «владельца» текущего сеанса (сессии) без необходимости завершать сеанс и открывать новый.
Синтаксис:
su [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
Команду можно применять для замены текущего пользователя на любого другого, но чаще всего она используется для получения пользователем прав суперпользователя (root).
При вводе команды
su - будет запрошен пароль суперпользователя (root), и, в случае ввода корректного пароля, пользователь получит права администратора. Чтобы вернуться к правам пользователя, необходимо ввести команду:
exit
- Команда
id
Команда id выводит информацию о пользователе и группах, в которых он состоит, для заданного пользователя или о текущем пользователе (если ничего не указано).
Синтаксис:
id [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
- Команда
passwd
Команда passwd меняет (или устанавливает) пароль, связанный с входным_именем пользователя.
Обычный пользователь может менять только пароль, связанный с его собственным входным_именем.
Команда запрашивает у обычных пользователей старый пароль (если он был), а затем дважды запрашивает новый. Новый пароль должен соответствовать техническим требованиям к паролям, заданным администратором системы.
Основные операции с файлами и каталогами
- Команда
ls
Команда ls (list) печатает в стандартный вывод содержимое каталогов.
Синтаксис:
ls [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
-a — просмотр всех файлов, включая скрытые;
-l — отображение более подробной информации;
-R — выводить рекурсивно информацию о подкаталогах.
- Команда
cd
Команда cd предназначена для смены каталога. Команда работает как с абсолютными, так и с относительными путями. Если каталог не указан, используется значение переменной окружения $HOME (домашний каталог пользователя). Если каталог задан полным маршрутным именем, он становится текущим. По отношению к новому каталогу нужно иметь право на выполнение, которое в данном случае трактуется как разрешение на поиск.
Синтаксис:
cd [-L|-P] [КАТАЛОГ]
Если в качестве аргумента задано «-», то это эквивалентно $OLDPWD. Если переход был осуществлен по переменной окружения $CDPATH или в качестве аргумента был задан «-» и смена каталога была успешной, то абсолютный путь нового рабочего каталога будет выведен на стандартный вывод.
Примеры:
находясь в домашнем каталоге перейти в его подкаталог
docs/ (относительный путь):
cd docs/
сделать текущим каталог
/usr/bin (абсолютный путь):
cd /usr/bin/
сделать текущим родительский каталог:
cd ..
вернуться в предыдущий каталог:
cd -
сделать текущим домашний каталог:
cd
- Команда
pwd
Команда pwd выводит абсолютный путь текущего (рабочего) каталога.
- Команда
rm
Команда rm служит для удаления записей о файлах. Если заданное имя было последней ссылкой на файл, то файл уничтожается.
Удалив файл, вы не сможете его восстановить!
Синтаксис:
rm [ОПЦИИ...] <ФАЙЛ>
Основные опции:
-f — никогда не запрашивать подтверждения;
-i — всегда запрашивать подтверждение;
-r, -R — рекурсивно удалять содержимое указанных каталогов.
Пример. Удалить все файлы
html в каталоге
~/html:
rm -i ~/html/*.html
- Команда
mkdir
mkdir — команда для создания новых каталогов.
Синтаксис:
mkdir [-p] [-m права] <КАТАЛОГ...>
- Команда
rmdir
Команда rmdir удаляет каталоги из файловой системы. Каталог должен быть пуст перед удалением.
Синтаксис:
rmdir [ОПЦИИ...] <КАТАЛОГ...>
Команда rmdir часто заменяется командой rm -rf, которая позволяет удалять каталоги, даже если они не пусты.
- Команда
cp
Команда cp предназначена для копирования файлов из одного в другие каталоги.
Синтаксис:
cp [-fip] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
cp [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
cp [-R] [[-H] | [-L] | [-P]] [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
Основные опции:
-p — сохранять по возможности времена изменения и доступа к файлу, владельца и группу, права доступа;
-i — запрашивать подтверждение перед копированием в существующие файлы;
-r, -R — рекурсивно копировать содержимое каталогов.
- Команда
mv
Команда mv предназначена для перемещения файлов.
Синтаксис:
mv [-fi] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
mv [-fi] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
В первой синтаксической форме, характеризующейся тем, что последний операнд не является ни каталогом, ни символической ссылкой на каталог, mv перемещает исх_файл в цел_файл (происходит переименование файла).
Во второй синтаксической форме mv перемещает исходные файлы в указанный каталог под именами, совпадающими с краткими именами исходных файлов.
- Команда
cat
Команда cat последовательно выводит содержимое файлов.
Синтаксис:
cat [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
-n, --number — нумеровать все строки при выводе;
-E, --show-ends — показывать $ в конце каждой строки.
Если файл не указан, читается стандартный ввод. Если в списке файлов присутствует имя «-», вместо этого файла читается стандартный ввод.
- Команда
head
Команда head выводит первые 10 строк каждого файла на стандартный вывод.
Синтаксис:
head [ОПЦИИ] [ФАЙЛ...]
Основные опции:
-n, --lines=[-]K — вывести первые К строк каждого файла, а не первые 10;
-q, --quiet — не печатать заголовки с именами файлов.
- Команда
less
Команда less позволяет постранично просматривать текст (для выхода необходимо нажать q).
- Команда
grep
Команда grep имеет много опций и предоставляет возможности поиска символьной строки в файле.
Синтаксис:
grep [шаблон_поиска] <ФАЙЛ>
Поиск файлов
- Команда
find
Команда find предназначена для поиска всех файлов, начиная с корневого каталога. Поиск может осуществляться по имени, типу или владельцу файла.
Синтаксис:
find [-H] [-L] [-P] [-Oуровень] [-D help|tree|search|stat|rates|opt|exec] [ПУТЬ…] [ВЫРАЖЕНИЕ]
Ключи для поиска:
-name — поиск по имени файла;
-type — поиск по типу f=файл, d=каталог, l=ссылка(lnk);
-user — поиск по владельцу (имя или UID).
Когда выполняется команда
find, можно выполнять различные действия над найденными файлами. Основные действия:
-exec команда \; — выполнить команду. Запись команды должна заканчиваться экранированной точкой с запятой. Строка «{}» заменяется текущим маршрутным именем файла;
execdir команда \; — то же самое что и -exec, но команда вызывается из подкаталога, содержащего текущий файл;
-ok команда — эквивалентно -exec за исключением того, что перед выполнением команды запрашивается подтверждение (в виде сгенерированной командной строки со знаком вопроса в конце) и она выполняется только при ответе: «y»;
-print — вывод имени файла на экран.
Путем по умолчанию является текущий подкаталог. Выражение по умолчанию -print.
Примеры:
найти в текущем каталоге обычные файлы (не каталоги), имя которых начинается с символа «~»:
find . -type f -name "~*" -print
найти в текущем каталоге файлы, измененные позже, чем файл
file.bak:
find . -newer file.bak -type f -print
удалить все файлы с именами
a.out или
*.o, доступ к которым не производился в течение недели:
find / \( -name a.out -o -name '*.o' \) \ -atime +7 -exec rm {} \;
удалить из текущего каталога и его подкаталогов все файлы нулевого размера, запрашивая подтверждение:
find . -size 0c -ok rm {} \;
- Команда
whereis
whereis сообщает путь к исполняемому файлу программы, ее исходным файлам (если есть) и соответствующим страницам справочного руководства.
Синтаксис:
whereis [ОПЦИИ...] <ФАЙЛ>
Опции:
-b — вывод информации только об исполняемых файлах;
-m — вывод информации только о страницах справочного руководства;
-s — вывод информации только об исходных файлах.
Мониторинг и управление процессами
- Команда
ps
Команда ps отображает список текущих процессов.
По умолчанию выводится информация о процессах с теми же действующим UID и управляющим терминалом, что и у подающего команду пользователя.
Основные опции:
-a — вывести информацию о процессах, ассоциированных с терминалами;
-f — вывести «полный» список;
-l — вывести «длинный» список;
-p список — вывести информацию о процессах с перечисленными в списке PID;
-u список — вывести информацию о процессах с перечисленными идентификаторами или именами пользователей.
- Команда
kill
Команда kill позволяет прекратить исполнение процесса или передать ему сигнал.
Синтаксис:
kill [-s] [сигнал] [идентификатор] [...]
kill [-l] [статус_завершения]
kill [-номер_сигнала] [идентификатор] [...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Если обычная команда kill не дает желательного эффекта, необходимо использовать команду kill с параметром -9 (kill -9 PID_номер).
- Команда
df
Команда df показывает количество доступного дискового пространства в файловой системе, в которой содержится файл, переданный как аргумент. Если ни один файл не указан, показывается доступное место на всех смонтированных файловых системах. Размеры по умолчанию указаны в блоках по 1КБ.
Синтаксис:
df [ОПЦИИ] [ФАЙЛ...]
Основные опции:
--total — подсчитать общий объем в конце;
-h, --human-readable — печатать размеры в удобочитаемом формате (например, 1K, 234M, 2G).
- Команда
du
Команда du подсчитывает использование диска каждым файлом, для каталогов подсчет происходит рекурсивно.
Синтаксис:
du [ОПЦИИ] [ФАЙЛ...]
Основные опции:
-a, --all — выводить общую сумму для каждого заданного файла, а не только для каталогов;
-c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
-d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
-S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
-s, --summarize — отобразить только сумму для каждого аргумента.
- Команда
which
Команда which отображает полный путь к указанным командам или сценариям.
Синтаксис:
which [ОПЦИИ] <ФАЙЛ...>
Основные опции:
-a, --all — выводит все совпавшие исполняемые файлы по содержимому в переменной окружения $PATH, а не только первый из них;
-c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
-d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
-S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
--skip-dot — пропускает все каталоги из переменной окружения $PATH, которые начинаются с точки.
Использование многозадачности
Альт Рабочая станция K — это многозадачная система.
Для того чтобы запустить программу в фоновом режиме, необходимо набрать «&» после имени программы. После этого оболочка даст возможность запускать другие приложения.
Так как некоторые программы интерактивны — их запуск в фоновом режиме бессмысленен. Подобные программы просто остановятся, если их запустить в фоновом режиме.
Можно также запускать нескольких независимых сеансов. Для этого в консоли необходимо набрать Alt и одну из клавиш, находящихся в интервале от F1 до F6. На экране появится новое приглашение системы, и можно открыть новый сеанс. Этот метод также позволяет вам работать на другой консоли, если консоль, которую вы использовали до этого, не отвечает или вам необходимо остановить зависшую программу.
- Команда
bg
Команда bg позволяет перевести задание на задний план.
Синтаксис:
bg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
- Команда
fg
Команда fg позволяет перевести задание на передний план.
Синтаксис:
fg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Сжатие и упаковка файлов
- Команда
tar
Сжатие и упаковка файлов выполняется с помощью команды tar, которая преобразует файл или группу файлов в архив без сжатия (tarfile).
Упаковка файлов в архив чаще всего выполняется следующей командой:
tar -cf [имя создаваемого файла архива] [упаковываемые файлы и/или каталоги]
Пример использования команды упаковки архива:
tar -cf moi_dokumenti.tar Docs project.tex
Распаковка содержимого архива в текущий каталог выполняется командой:
tar -xf [имя файла архива]
Для сжатия файлов используются специальные программы сжатия: gzip, bzip2 и 7z.
99.3. Стыкование команд в системе Linux
99.3.1. Стандартный ввод и стандартный вывод
Многие команды системы имеют так называемые стандартный ввод (standard input) и стандартный вывод (standard output), часто сокращаемые до stdin и stdout. Ввод и вывод здесь — это входная и выходная информация для данной команды. Программная оболочка делает так, что стандартным вводом является клавиатура, а стандартным выводом — экран монитора.
Пример с использованием команды
cat. По умолчанию команда
cat читает данные из всех файлов, которые указаны в командной строке, и посылает эту информацию непосредственно в стандартный вывод (stdout). Следовательно, команда:
cat history-final masters-thesis
выведет на экран сначала содержимое файла
history-final, а затем — файла
masters-thesis.
Если имя файла не указано, команда
cat читает входные данные из stdin и возвращает их в stdout. Пример:
cat
Hello there.
Hello there.
Bye.
Bye.
Ctrl-D
Каждую строку, вводимую с клавиатуры, команда cat немедленно возвращает на экран. При вводе информации со стандартного ввода конец текста сигнализируется вводом специальной комбинации клавиш, как правило, Ctrl+D. Сокращённое название сигнала конца текста — EOT (end of text).
99.3.2. Перенаправление ввода и вывода
При необходимости можно перенаправить стандартный вывод, используя символ >, и стандартный ввод, используя символ <.
Фильтр (filter) — программа, которая читает данные из стандартного ввода, некоторым образом их обрабатывает и результат направляет на стандартный вывод. Когда применяется перенаправление, в качестве стандартного ввода и вывода могут выступать файлы. Как указывалось выше, по умолчанию, stdin и stdout относятся к клавиатуре и к экрану соответственно. Команда sort является простым фильтром — она сортирует входные данные и посылает результат на стандартный вывод. Совсем простым фильтром является команда cat — она ничего не делает с входными данными, а просто пересылает их на выход.
99.3.3. Использование состыкованных команд
Стыковку команд (pipelines) осуществляет командная оболочка, которая stdout первой команды направляет на stdin второй команды. Для стыковки используется символ |. Направить stdout команды
ls на stdin команды
sort:
ls | sort -r
notes
masters-thesis
history-final
english-list
Вывод списка файлов частями:
ls /usr/bin | more
Если необходимо вывести на экран последнее по алфавиту имя файла в текущем каталоге, можно использовать следующую команду:
ls | sort -r | head -1 notes
где команда
head -1 выводит на экран первую строку получаемого ей входного потока строк (в примере поток состоит из данных от команды
ls), отсортированных в обратном алфавитном порядке.
99.3.4. Недеструктивное перенаправление вывода
Эффект от использования символа > для перенаправления вывода файла является деструктивным; т.е, команда
ls > file-list
уничтожит содержимое файла
file-list, если этот файл ранее существовал, и создаст на его месте новый файл. Если вместо этого перенаправление будет сделано с помощью символов >>, то вывод будет приписан в конец указанного файла, при этом исходное содержимое файла не будет уничтожено.
Перенаправление ввода и вывода и стыкование команд осуществляется командными оболочками, которые поддерживают использование символов >, >> и |. Сами команды не способны воспринимать и интерпретировать эти символы.
Глава 100. Средства управления дискреционными правами доступа
Команда chmod предназначена для изменения прав доступа файлов и каталогов.
Синтаксис:
chmod [ОПЦИИ] РЕЖИМ[,РЕЖИМ]... <ФАЙЛ>
chmod [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Основные опции:
-R — рекурсивно изменять режим доступа к файлам, расположенным в указанных каталогах;
--reference=ИФАЙЛ — использовать режим файла ИФАЙЛ.
Команда chmod изменяет права доступа каждого указанного файла в соответствии с правами доступа, указанными в параметре РЕЖИМ. Режим может быть представлен как в символьном виде, так и в числовом (восьмеричном) виде, представляющем битовую маску новых прав доступа.
Формат символьного режима следующий:
[ugoa...][[+-=][разрешения...]...]
Здесь разрешения — это ноль или более букв из набора «rwxXst» или одна из букв из набора «ugo».
Каждый аргумент — это список символьных команд изменения прав доступа, разделеных запятыми. Каждая такая команда начинается с нуля или более букв «ugoa», которые указывают, чьи права доступа к файлу будут изменены:
u — владелец файла;
g — пользователи, входящие в группу, к которой принадлежит файл (за исключением владельца);
o — все остальные пользователи, не являющиеся ни владельцем, ни членами группы;
a — все категории пользователей (u, g и o).
Если не задана ни одна буква, то автоматически будет использована буква «a», но биты, установленные в umask, не будут затронуты.
Права доступа образуют иерархию, исключающую вышестоящие категории. Права группы не включают владельца, а права остальных пользователей не включают ни владельца, ни членов группы.
Операторы:
+ — добавляет выбранные права доступа;
- — удаляет выбранные права доступа;
= — задаёт только указанные права, заменяя существующие.
Буквы «rwxXst» задают биты доступа для пользователей:
r — чтение;
w — запись;
x — выполнение (или поиск для каталогов);
X — выполнение/поиск только если это каталог или файл с установленным битом выполнения;
s — установка битов setuid (для владельца) или setgid (для группы);
t — sticky-бит, предотвращающий удаление другими пользователями.
Числовой режим состоит из не более чем четырёх восьмеричных цифр (от нуля до семи), которые складываются из битовых масок с разрядами «4», «2» и «1». Пропущенные разряды дополняются ведущими нулями:
первый разряд — установка битов setuid (4), setgid (2) и sticky (1);
второй разряд — права доступа файла: чтение (4), запись (2) и выполнение (1);
третий разряд — права доступа для группы: чтение (4), запись (2) и выполнение (1);
четвертый разряд — права доступа для остальных пользователей (не входящих в данную группу): чтение (4), запись (2) и выполнение (1).
Примеры:
установить права, позволяющие владельцу читать и писать в файл
f1, а членам группы и прочим пользователям только читать. Команду можно записать двумя способами:
$ chmod 644 f1
$ chmod u=rw,go=r f1
позволить всем выполнять файл
f2:
$ chmod +x f2
запретить удаление файла
f3:
$ chmod +t f3
дать всем права на чтение запись и выполнение, а также на переустановку идентификатора группы при выполнении файла
f4:
$ chmod =rwx,g+s f4
$ chmod 2777 f4
Команда chown изменяет владельца и/или группу для каждого заданного файла.
Синтаксис:
chown [КЛЮЧ]…[ВЛАДЕЛЕЦ][:[ГРУППА]] <ФАЙЛ>
chown [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Изменить владельца может только владелец файла или суперпользователь.
Владелец не изменяется, если он не задан в аргументе. Группа также не изменяется, если не задана, но если после символьного ВЛАДЕЛЬЦА стоит символ «:», подразумевается изменение группы на основную группу текущего пользователя. Поля ВЛАДЕЛЕЦ и ГРУППА могут быть как числовыми, так и символьными.
Примеры:
поменять владельца каталога
/u на пользователя test:
chown test /u
поменять владельца и группу каталога
/u:
chown test:staff /u
поменять владельца каталога
/u и вложенных файлов на test:
chown -hR test /u
Команда chgrp изменяет группу для каждого заданного файла.
Синтаксис:
chgrp [ОПЦИИ] ГРУППА <ФАЙЛ>
chgrp [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Команда umask задает маску режима создания файла в текущей среде командного интерпретатора равной значению, задаваемому операндом режим. Эта маска влияет на начальное значение битов прав доступа всех создаваемых далее файлов.
Синтаксис:
umask [-p] [-S] [режим]
Пользовательской маске режима создания файлов присваивается указанное восьмеричное значение. Три восьмеричные цифры соответствуют правам на чтение/запись/выполнение для владельца, членов группы и прочих пользователей соответственно. Значение каждой заданной в маске цифры вычитается из соответствующей «цифры», определенной системой при создании файла. Например, umask 022 удаляет права на запись для членов группы и прочих пользователей (у файлов, создававшихся с режимом 777, он оказывается равным 755; а режим 666 преобразуется в 644).
Если маска не указана, выдается ее текущее значение:
$ umask
0022
или то же самое в символьном режиме:
$ umask -S
u=rwx,g=rx,o=rx
Команда umask распознается и выполняется командным интерпретатором bash.
Команда chattr изменяет атрибуты файлов на файловых системах ext3, ext4.
Синтаксис:
chattr [ -RVf ] [+-=aAcCdDeFijmPsStTux] [ -v версия ] <ФАЙЛЫ> …
Опции:
-R — рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки игнорируются;
-V — выводит расширенную информацию и версию программы;
-f — подавлять сообщения об ошибках;
-v версия — установить номер версии/генерации файла.
Формат символьного режима:
+-=aAcCdDeFijmPsStTux
Оператор «+» означает добавление выбранных атрибутов к существующим атрибутам; «-» означает их снятие; «=» означает определение только этих указанных атрибутов для файлов.
Символы «aAcCdDeFijmPsStTux» указывают на новые атрибуты файлов:
a — только добавление к файлу;
A — не обновлять время последнего доступа (atime) к файлу;
c — сжатый файл;
C — отключение режима «Copy-on-write» для указанного файла;
d — не архивировать (отключает создание архивной копии файла командой dump);
D — синхронное обновление каталогов;
e — включает использование extent при выделении места на устройстве (атрибут не может быть отключён с помощью chattr);
F — регистронезависимый поиск в каталогах;
i — неизменяемый файл (файл защищен от изменений: не может быть удалён или переименован, к этому файлу не могут быть созданы ссылки, и никакие данные не могут быть записаны в этот файл);
j — ведение журнала данных (данные файла перед записью будут записаны в журнал ext3/ext4);
m — не сжимать;
P — каталог с вложенными файлами является иерархической структурой проекта;
s — безопасное удаление (перед удалением все содержимое файла полностью затирается «00»);
S — синхронное обновление (аналогичен опции монтирования «sync» файловой системы);
t — отключает метод tail-merging для файлов;
T — вершина иерархии каталогов;
u — неудаляемый (при удалении файла его содержимое сохраняется, это позволяет пользователю восстановить файл);
x — прямой доступ к файлам (атрибут не может быть установлен с помощью chattr).
Команда lsattr выводит атрибуты файла расширенной файловой системы.
Синтаксис:
lsattr [ -RVadlpv ] <ФАЙЛЫ> …
Опции:
-R — рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки игнорируются;
-V — выводит расширенную информацию и версию программы;
-a — просматривает все файлы в каталоге, включая скрытые файлы (имена которых начинаются с «.»);
-d — отображает каталоги так же, как и файлы вместо того, чтобы просматривать их содержимое;
-l — отображает параметры, используя длинные имена вместо одного символа;
-p — выводит номер проекта файла;
-v — выводит номер версии/генерации файла.
Команда getfacl выводит атрибуты файла расширенной файловой системы.
Синтаксис:
getfacl [ --aceEsRLPtpndvh ] <ФАЙЛ> …
Опции:
-a — вывести только ACL файла;
-d — вывести только ACL по умолчанию;
-c — не показывать заголовок (имя файла);
-e — показывать все эффективные права;
-E — не показывать эффективные права;
-s — пропускать файлы, имеющие только основные записи;
-R — для подкаталогов рекурсивно;
-L — следовать по символическим ссылкам, даже если они не указаны в командной строке;
-P — не следовать по символическим ссылкам, даже если они указаны в командной строке;
-t — использовать табулированный формат вывода;
-p — не удалять ведущие «/» из пути файла;
-n — показывать числовые значения пользователя/группы.
Формат вывода:
1: # file: somedir/
2: # owner: lisa
3: # group: staff
4: # flags: -s-
5: user::rwx
6: user:joe:rwx #effective:r-x
7: group::rwx #effective:r-x
8: group:cool:r-x
9: mask:r-x
10: other:r-x
11: default:user::rwx
12: default:user:joe:rwx #effective:r-x
13: default:group::r-x
14: default:mask:r-x
15: default:oter:---
Строки 1 — 3 указывают имя файла, владельца и группу владельцев.
В строке 4 указаны биты setuid (s), setgid (s) и sticky (t): либо буква, обозначающая бит, либо тире (-). Эта строка включается, если какой-либо из этих битов установлен, и опускается в противном случае, поэтому она не будет отображаться для большинства файлов.
Строки 5, 7 и 10 относятся к традиционным битам прав доступа к файлу, соответственно, для владельца, группы-владельца и всех остальных. Эти три элемента являются базовыми. Строки 6 и 8 являются элементами для отдельных пользователя и группы. Строка 9 — маска эффективных прав. Этот элемент ограничивает эффективные права, предоставляемые всем группам и отдельным пользователям. Маска не влияет на права для владельца файла и всех других. Строки 11 — 15 показывают ACL по умолчанию, ассоциированный с данным каталогом.
Команда setfacl изменяет ACL к файлам или каталогам. В командной строке за последовательностью команд идет последовательность файлов (за которой, в свою очередь, также может идти последовательность команд и так далее).
Синтаксис:
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] <ФАЙЛ> …
setfacl --restore=file
Опции:
-b — удалить все разрешенные записи ACL;
-k — удалить ACL по умолчанию;
-n — не пересчитывать маску эффективных прав, обычно setfacl пересчитывает маску (кроме случая явного задания маски) для того, чтобы включить ее в максимальный набор прав доступа элементов, на которые воздействует маска (для всех групп и отдельных пользователей);
-d — применить ACL по умолчанию;
-R — для подкаталогов рекурсивно;
-L — переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с -R);
-P — не переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с -R);
-L — следовать по символическим ссылкам, даже если они не указаны в командной строке;
-P — не следовать по символическим ссылкам, даже если они указаны в командной строке;
--mask — пересчитать маску эффективных прав;
-m — изменить текущий ACL для файла;
-M — прочитать записи ACL для модификации из файла;
-x — удалить записи из ACL файла;
-X — прочитать записи ACL для удаления из файла;
--restore=file — восстановить резервную копию прав доступа, созданную командой getfacl –R или ей подобной. Все права доступа дерева каталогов восстанавливаются, используя этот механизм. В случае если вводимые данные содержат элементы для владельца или группы-владельца, и команда setfacl выполняется пользователем с именем root, то владелец и группа-владелец всех файлов также восстанавливаются. Эта опция не может использоваться совместно с другими опциями за исключением опции --test;
--set=acl — установить ACL для файла, заменив текущий ACL;
--set-file=file — прочитать записи ACL для установления из файла;
--test — режим тестирования (ACL не изменяются).
При использовании опций --set, -m и -x должны быть перечислены записи ACL в командной строке. Элементы ACL разделяются одинарными кавычками.
При чтении ACL из файла при помощи опций -set-file, -M и -X команда setfacl принимает множество элементов в формате вывода команды getfacl. В строке обычно содержится не больше одного элемента ACL.
Команда
setfacl использует следующие форматы элементов ACL:
права доступа отдельного пользователя (если не задан UID, то права доступа владельца файла):
[d[efault]:] [u[ser]:]uid [:perms]
права доступа отдельной группы (если не задан GID, то права доступа группы-владельца):
[d[efault]:] g[roup]:gid [:perms]
маска эффективных прав:
[d[efault]:] m[ask][:] [:perms]
права доступа всех остальных:
[d[efault]:] o[ther][:] [:perms]
Элемент ACL является абсолютным, если он содержит поле perms и является относительным, если он включает один из модификаторов: «+» или «^». Абсолютные элементы могут использоваться в операциях установки или модификации ACL. Относительные элементы могут использоваться только в операции модификации ACL. Права доступа для отдельных пользователей, группы, не содержащие никаких полей после значений UID, GID (поле perms при этом отсутствует), используются только для удаления элементов.
Значения UID и GID задаются именем или числом. Поле perms может быть представлено комбинацией символов «r», «w», «x», «-» или цифр (0 — 7).
Изначально файлы и каталоги содержат только три базовых элемента ACL: для владельца, группы-владельца и всех остальных пользователей. Существует ряд правил, которые следует учитывать при установке прав доступа:
не могут быть удалены сразу три базовых элемента, должен присутствовать хотя бы один;
если ACL содержит права доступа для отдельного пользователя или группы, то ACL также должен содержать маску эффективных прав;
если ACL содержит какие-либо элементы ACL по умолчанию, то в последнем должны также присутствовать три базовых элемента (т. е. права доступа по умолчанию для владельца, группы-владельца и всех остальных);
если ACL по умолчанию содержит права доступа для всех отдельных пользователей или групп, то в ACL также должна присутствовать маска эффективных прав.
Для того чтобы помочь пользователю выполнять эти правила, команда
setfacl создает права доступа, используя уже существующие, согласно следующим условиям:
если права доступа для отдельного пользователя или группы добавлены в ACL, а маски прав не существует, то создается маска с правами доступа группы-владельца;
если создан элемент ACL по умолчанию, а трех базовых элементов не было, тогда делается их копия и они добавляются в ACL по умолчанию;
если ACL по умолчанию содержит какие-либо права доступа для конкретных пользователя или группы и не содержит маску прав доступа по умолчанию, то при создании эта маска будет иметь те же права, что и группа по умолчанию.
Пример. Изменить разрешения для файла
test.txt, принадлежащего пользователю liza и группе docs, так, чтобы:
Исходные данные
$ ls -l test.txt
-rw-r-r-- 1 liza docs 8 янв 22 15:54 test.txt
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
group::r--
other::r--
Установить разрешения (от пользователя liza):
$ setfacl -m u:ivan:rw- test.txt
$ setfacl -m u:misha:--- test.txt
Просмотреть разрешения (от пользователя liza):
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
user:ivan:rw-
user:misha:---
group::r--
mask::rw-
other::r--
Символ «+» (плюс) после прав доступа в выводе команды
ls -l указывает на использование ACL:
$ ls -l test.txt
-rw-rw-r--+ 1 liza docs 8 янв 22 15:54 test.txt
Etcnet (/etc/net) — это система управления настройками сети, которая использует каталог /etc/net для хранения конфигурационных файлов. В дистрибутивах ALT она заменяет или дополняет стандартные механизмы, такие как ifupdown, и предоставляет более гибкую модель настройки интерфейсов, VLAN, мостов, туннелей и других сетевых сущностей.
101.1. Конфигурационные файлы
Каталог /etc/net/ содержит конфигурацию сетевых интерфейсов в декларативном виде, где каждый интерфейс описывается через набор параметров.
Для редактирования конфигурационных файлов требуются права root. Ошибки в настройках могут привести к потере сетевого подключения.
Основные подкаталоги и файлы:
ifaces — каталог с подкаталогами для каждого сетевого интерфейса:
default — базовые настройки, общие для всех интерфейсов (не привязаны к конкретному устройству);
enp0s3 — настройки для интерфейса enp0s3;
lo — настройки для локального интерфейса (loopback);
unknown — шаблоны для интерфейсов, для которых нет отдельного каталога.
Количество подкаталогов зависит от числа настроенных интерфейсов.
options.d — каталог с общими настройками etcnet. Файлы (например, 00-default) читаются в алфавитном порядке. Позволяют задать глобальные параметры;
scripts — каталог с пользовательскими скриптами, которые выполняются при поднятии или остановке интерфейсов;
sysctl.conf — файл с параметрами ядра (sysctl), применяемыми после активации интерфейсов.
Конфигурационные файлы интерфейса располагаются в каталоге /etc/net/ifaces/<название интерфейса>.
Основные файлы, используемые для настройки сетевых интерфейсов:
options — основные параметры интерфейса;
ipv4address — IP-адрес и маска сети;
ipv4route — маршрут по умолчанию;
resolv.conf — DNS-серверы и домены.
Пример файла
options для получения настроек сети по DHCP (если в сети развернут DHCP-сервер):
BOOTPROTO=dhcp
TYPE=eth
NM_CONTROLLED=no
DISABLED=no
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
SYSTEMD_CONTROLLED=no
ONBOOT=yes
CONFIG_IPV6=no
где:
BOOTPROTO — способ получения IP-адреса:
static — статический адрес (из файла ipv4address);
dhcp — автоматически через DHCP;
ipv4ll — адрес link-local из диапазона 169.254.0.0/16.
TYPE — тип соединения:
eth — Ethernet (проводное);
bri — Ethernet-мост (bridge);
bond — агрегация (объединение интерфейсов);
vlan — VLAN-интерфейс.
NM_CONTROLLED — управляется ли интерфейс NetworkManager (yes/no);
DISABLED — отключен ли интерфейс (yes/no);
CONFIG_WIRELESS — беспроводной интерфейс (yes/no);
CONFIG_IPV4 — включена ли поддержка IPv4 (yes/no);
SYSTEMD_CONTROLLED — управляется ли интерфейс systemd-networkd (yes/no);
ONBOOT — активировать при загрузке (yes/no);
CONFIG_IPV6 — включена ли поддержка IPv6 (yes/no).
Таблица 101.1. Сетевая подсистема и параметры файла options
|
Сетевая подсистема
|
DISABLED
|
NM_CONTROLLED
|
SYSTEMD_CONTROLLED
|
BOOTPROTO
|
|
Etcnet
|
no
|
no
|
no
|
|
|
NetworkManager (etcnet)
|
yes
|
yes
|
no
|
static (файл ipv4address должен существовать) или dhcp
|
|
NetworkManager (native)
|
yes
|
yes
|
no
|
static (файл ipv4address должен быть удалён)
|
|
Интерфейс не контролируется
|
yes
|
no
|
no
|
|
101.2. Управление и диагностика сетевых интерфейсов
101.2.1. Просмотр информации
В данном разделе приведены команды для диагностики и отображения состояния сети. Они не изменяют конфигурацию.
Просмотр информации о состоянии сетевых интерфейсов:
$ ip link show
Показывает все интерфейсы, их состояние (UP/DOWN), MAC-адреса.
Просмотр информации об IP-адресах всех сетевых интерфейсов:
$ ip address
Подробный вывод: IPv4, IPv6, маски, интерфейсы. Пример вывода:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:19:a1:7d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.134/24 brd 192.168.0.255 scope global dynamic noprefixroute enp0s3
valid_lft 22677sec preferred_lft 19527sec
где:
enp0s3 — имя сетевого интерфейса;
08:00:27:19:a1:7d — MAC-адрес сетевой карты;
192.168.0.134/24 — IP-адрес и маска.
Команда:
$ ip -br addr
Это сокращённая версия
ip addr, которая выводит краткую информацию о всех интерфейсах: имя, состояние, IP-адрес и маску. Пример вывода:
lo UNKNOWN 127.0.0.1/8
enp0s3 UNKNOWN 192.168.1.60/24
enp0s8 UP
enp0s9 UP
enp0s10 UP
bond0 UP 192.168.1.62/24
br0 UP 192.168.1.61/24
UP — интерфейс активен; DOWN — выключен; UNKNOWN — состояние не определено.
Просмотр информации о конкретном интерфейсе:
$ ip address show enp0s3
Пример вывода:
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:19:a1:7d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.134/24 brd 192.168.0.255 scope global enp0s3
valid_lft forever preferred_lft forever
Вывести таблицу маршрутизации:
$ ip route
Пример вывода:
default via 192.168.0.10 dev enp0s3 proto static metric 100
192.168.0.0/24 dev enp0s3 proto kernel scope link src 192.168.0.134 metric 100
Показывает маршруты, включая шлюз по умолчанию.
Вывести ARP-таблицу:
$ ip neigh show
Пример вывода:
192.168.0.30 dev enp0s3 lladdr 00:11:32:3b:78:10 STALE
192.168.0.32 dev enp0s3 lladdr 20:1a:06:ce:f0:01 REACHABLE
192.168.0.2 dev enp0s3 lladdr 6c:3b:6b:df:79:94 STALE
Отображает соответствие IP → MAC в локальной сети.
Вывести статистику интерфейсов:
$ ip -s link
Показывает количество переданных/принятых пакетов, ошибки, сброшенные пакеты.
101.2.2. Управление сетевыми интерфейсами
Для управления настроенными сетевыми интерфейсами можно использовать следующие команды:
# ifup <имя_интерфейса> # включить указанный интерфейс
# ifdown <имя_интерфейса> # выключить указанный интерфейс
Пример:
# ifup enp0s3
# ifdown br0
Эти команды управляют интерфейсами только в текущей сессии. После перезагрузки системы или перезапуска сервиса network состояние интерфейсов восстанавливается в соответствии с конфигурацией.
Чтобы отключить или включить автозапуск интерфейса при старте системы, необходимо изменить значение параметра ONBOOT в файле options, расположенного в каталоге интерфейса /etc/net/ifaces/<название интерфейса>/.
Пример отключения интерфейсов br0, bond0, enp0s8:
# ifdown br0 && ifdown bond0 && ifdown enp0s8
Включение ранее отключённых интерфейсов:
# ifup enp0s8 && ifup br0 && ifup bond0
Следует убедиться, что физические интерфейсы (например, enp0s8) подняты до поднятия моста или bonding-интерфейса.
В данном разделе приведены команды для временного изменения сетевой конфигурации. Изменения не сохраняются после перезагрузки. Для постоянной настройки необходимо внести изменения в /etc/net/ifaces/.
Включить/выключить интерфейс:
# ip link set enp0s3 up
# ip link set enp0s3 down
Аналог
ifup/
ifdown.
Назначить/удалить IP:
# ip addr add 192.168.0.100/24 dev enp0s3
# ip addr del 192.168.0.100/24 dev enp0s3
Добавить/удалить маршрут:
# ip route add default via 192.168.0.1 dev enp0s3
# ip route add 10.0.0.0/8 via 192.168.0.1
# ip route del default
Применить постоянную конфигурацию:
# systemctl restart network
Применяет настройки из
/etc/net/ifaces/.
Сервис
network поддерживает следующие команды:
start — запускает все постоянные интерфейсы. Hotplug-интерфейсы настраиваются при событии;
startwith <профиль> — запускает с указанным профилем, а не автоматически определённым;
stop — останавливает все постоянные интерфейсы;
stopwith <профиль> — останавливает с указанным профилем;
restart — эквивалентно stop + start;
restartwith <профиль> — перезапускает в контексте указанного профиля;
switchto <профиль> — переключается на указанный профиль (аналог stop + startwith);
reload — перезагружает конфигурацию активных интерфейсов (без остановки);
check — проверяет целостность конфигурационных файлов.
101.3. Настройка статического IP-адреса
Пример настройки статического IP-адреса на интерфейсе enp0s3:
Установить BOOTPROTO=static в файле options.
Создать файл
ipv4address с IP-адресом:
# echo "192.168.0.60/24" > /etc/net/ifaces/enp0s3/ipv4address
Создать файл
ipv4route с маршрутом по умолчанию:
# echo "default via 192.168.0.1" > /etc/net/ifaces/enp0s3/ipv4route
При необходимости указать DNS-серверы в
resolv.conf:
# echo "nameserver 192.168.0.1" > /etc/net/ifaces/enp0s3/resolv.conf
# echo "nameserver 8.8.8.8" >> /etc/net/ifaces/enp0s3/resolv.conf
> — перезаписывает файл, >> — добавляет строку в конец файла.
Применить изменения:
# systemctl restart network
Проверить результат:
$ ip addr show enp0s3
$ ip route
Пример вывода ip addr show enp0s3:
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:19:a1:7d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.60/24 brd 192.168.0.255 scope global dynamic noprefixroute enp0s3
valid_lft 22677sec preferred_lft 19527sec
Пример вывода ip route:
default via 192.168.0.1 dev enp0s3
192.168.0.0/24 dev enp0s3 proto kernel scope link src 192.168.0.60
101.4. Настройка сетевого моста
Сетевой мост — это программный аналог физического коммутатора L2. Мост объединяет физические и виртуальные сетевые интерфейсы в один широковещательный домен, позволяя виртуальным машинам (ВМ) и контейнерам взаимодействовать друг с другом и с внешней сетью.
Пример настройки сетевого моста br0, в который будет включён физический интерфейс enp0s8:
Создать или изменить файл
options в каталоге
/etc/net/ifaces/enp0s8/:
# cat <<EOF > /etc/net/ifaces/enp0s8/options
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES
EOF
Удалить файлы с IP-адресами и маршрутами:
# rm -f /etc/net/ifaces/enp0s8/{i,r}*
Если интерфейс ранее имел IP-адрес, он должен быть удалён, так как IP-адрес назначается самому мосту, а не входящим в него интерфейсам.
Создать каталог для интерфейса моста:
# mkdir /etc/net/ifaces/br0
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/br0/options
BOOTPROTO=static
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
HOST='enp0s8'
ONBOOT=yes
TYPE=bri
EOF
HOST='enp0s8' — указывает, какие интерфейсы входят в мост.
Все интерфейсы, входящие в мост, должны быть перечислены в параметре HOST в настройках моста.
В параметре
HOST можно указать несколько интерфейсов:
HOST='enp0s8 enp0s9'
Создать файл
ipv4address с IP-адресом интерфейса br0:
# echo "192.168.0.61/24" > /etc/net/ifaces/br0/ipv4address
Создать файл
ipv4route с адресом шлюза:
# echo "default via 192.168.0.1" > /etc/net/ifaces/br0/ipv4route
Применить изменения:
# systemctl restart network
Проверить результат:
$ ip addr show br0
Пример вывода:
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:3f:57:63 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.61/24 scope global br0
valid_lft forever preferred_lft forever
Показать все интерфейсы:
$ ip addr
Пример вывода:
…
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UNKNOWN group default qlen 1000
link/ether 08:00:27:3f:57:63 brd ff:ff:ff:ff:ff:ff
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:3f:57:63 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.61/24 scope global br0
valid_lft forever preferred_lft forever
…
Интерфейс enp0s8 имеет флаг master br0 — это означает, что он включён в мост.
101.5. Настройка объединения интерфейсов (bonding)
Объединение интерфейсов (bonding) — это технология, позволяющая объединить два и более физических сетевых интерфейса в один логический для повышения отказоустойчивости (если один интерфейс выходит из строя, трафик переключается на другой) или увеличения пропускной способности (в режимах балансировки нагрузки).
Таблица 101.2. Режимы агрегации Linux Bond
|
Режим
|
Название
|
Описание
|
Отказоустойчивость
|
Балансировка нагрузки
|
|
balance-rr или mode=0
|
Round-robin
|
Режим циклического выбора активного интерфейса для трафика. Пакеты последовательно передаются и принимаются через каждый интерфейс один за другим. Данный режим не требует применения специальных коммутаторов
|
Да
|
Да
|
|
active-backup или mode=1
|
Active Backup
|
В этом режиме активен только один интерфейс, остальные находятся в режиме горячей замены. Если активный интерфейс выходит из строя, его заменяет резервный. MAC-адрес интерфейса виден извне только на одном сетевом адаптере, что предотвращает путаницу в сетевом коммутаторе. Это самый простой режим, работает с любым оборудованием, не требует применения специальных коммутаторов
|
Да
|
Нет
|
|
balance-xor или mode=2
|
XOR
|
Один и тот же интерфейс работает с определённым получателем. Передача пакетов распределяется между интерфейсами на основе формулы ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Режим не требует применения специальных коммутаторов. Этот режим обеспечивает балансировку нагрузки и отказоустойчивость
|
Да
|
Да
|
|
broadcast или mode=3
|
Широковещательный
|
Трафик идёт через все интерфейсы одновременно
|
Да
|
Нет
|
|
LACP (802.3ad) или mode=4
|
Агрегирование каналов по стандарту IEEE 802.3ad
|
В группу объединяются одинаковые по скорости и режиму интерфейсы. Все физические интерфейсы используются одновременно в соответствии со спецификацией IEEE 802.3ad. Для реализации этого режима необходима поддержка на уровне драйверов сетевых карт и коммутатор, поддерживающий стандарт IEEE 802.3ad (коммутатор требует отдельной настройки)
|
Да
|
Да
|
|
balance-tlb или mode=5
|
Адаптивная балансировка нагрузки при передаче
|
Исходящий трафик распределяется в соответствии с текущей нагрузкой (с учетом скорости) на интерфейсах (для данного режима необходима его поддержка в драйверах сетевых карт). Входящие пакеты принимаются только активным сетевым интерфейсом
|
Да
|
Да (исходящий трафик)
|
|
balance-alb или mode=6
|
Адаптивная балансировка нагрузки
|
Включает в себя балансировку исходящего трафика, плюс балансировку на приём (rlb) для IPv4 трафика и не требует применения специальных коммутаторов (балансировка на приём достигается на уровне протокола ARP, перехватом ARP ответов локальной системы и перезаписью физического адреса на адрес одного из сетевых интерфейсов, в зависимости от загрузки)
|
Да
|
Да
|
Таблица 101.3. Режимы выбора каналов при организации балансировки нагрузки
|
Режим
|
Описание
|
|
layer2
|
Канал для отправки пакета однозначно определяется комбинацией MAC-адреса источника и MAC-адреса назначения. Трафик между определённой парой узлов всегда идёт по одному каналу. Алгоритм совместим с IEEE 802.3ad. Этот режим используется по умолчанию
|
|
layer2+3
|
Канал для отправки пакета определяется по совокупности MAC- и IP-адресов источника и назначения. Трафик между определённой парой IP-хостов всегда идёт по одному каналу (обеспечивается более равномерная балансировка трафика, особенно в случае, когда большая его часть передаётся через промежуточные маршрутизаторы). Для протоколов 3 уровня, отличных от IP, данный алгоритм равносилен layer2. Алгоритм совместим с IEEE 802.3ad
|
|
layer3+4
|
Канал для отправки пакета определяется по совокупности IP-адресов и номеров портов источника и назначения (трафик определённого узла может распределяться между несколькими каналами, но пакеты одного и того же TCP/UDP-соединения всегда передаются по одному и тому же каналу). Для фрагментированных пакетов TCP и UDP, а также для всех прочих протоколов 4 уровня, учитываются только IP-адреса. Для протоколов 3 уровня, отличных от IP, данный алгоритм равносилен layer2. Алгоритм не полностью совместим с IEEE 802.3ad
|
Пример настройки объединения (bond) интерфейсов enp0s9 и enp0s10 в логический интерфейс bond0 с режимом active-backup:
Создать или изменить файлы
options для каждого интерфейса (enp0s9 и enp0s10):
# cat <<EOF > /etc/net/ifaces/enp0s9/options
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES
EOF
# cat <<EOF > /etc/net/ifaces/enp0s10/options
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES
EOF
Удалить IP-адреса и маршруты:
# rm -f /etc/net/ifaces/enp0s9/{i,r}*
# rm -f /etc/net/ifaces/enp0s10/{i,r}*
Создать каталог для интерфейса bond0:
# mkdir /etc/net/ifaces/bond0
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/bond0/options
BOOTPROTO=static
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
HOST='enp0s9 enp0s10'
ONBOOT=yes
TYPE=bond
BONDOPTIONS='miimon=100'
BONDMODE=1
EOF
где:
BONDMODE=1 — режим агрегации Active Backup;
HOST='enp0s9 enp0s10' — интерфейсы, входящие в объединение;
miimon=100 — интервал проверки состояния линка (100 мс).
Создать файл
ipv4address с IP-адресом для интерфейса bond0:
# echo "192.168.0.62/24" > /etc/net/ifaces/bond0/ipv4address
Создать файл маршрутов
ipv4route:
# echo "default via 192.168.0.1" > /etc/net/ifaces/bond0/ipv4route
Применить изменения:
# systemctl restart network
Проверить результат:
просмотр статуса bonding:
$ cat /proc/net/bonding/bond0
Пример вывода:
Ethernet Channel Bonding Driver: v6.12.41-6.12-alt1
Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: enp0s10
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0
Peer Notification Delay (ms): 0
Slave Interface: enp0s10
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 08:00:27:51:a2:b4
Slave queue ID: 0
Slave Interface: enp0s9
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 08:00:27:76:e2:b7
Slave queue ID: 0
просмотр интерфейса bond0:
$ ip addr show bond0
Пример вывода:
9: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.62/24 scope global bond0
valid_lft forever preferred_lft forever
просмотр всех интерфейсов:
$ ip addr
Пример вывода:
…
4: enp0s9: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bond0 state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff permaddr 08:00:27:76:e2:b7
5: enp0s10: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bond0 state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff
9: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.62/24 scope global bond0
valid_lft forever preferred_lft forever
…
Флаги SLAVE и MASTER подтверждают корректную настройку.
VLAN (Virtual Local Area Network) — это сетевой стандарт IEEE 802.1Q, позволяющий создавать логически изолированные сетевые сегменты на одном физическом интерфейсе. Это используется для разделения трафика между разными сетями (например, LAN, DMZ, VoIP).
Идентификатор VLAN (VID) может принимать значения от 1 до 4095. Следует обратить внимание, что 4094 является верхней допустимой границей идентификатора VLAN, а 4095 зарезервирован для внутренних нужд (например, отбрасывание трафика с недопустимыми тегами).
Пример настройки VLAN с ID 100 на интерфейсе enp0s3:
Создать каталог для VLAN с идентификатором enp0s3.100:
# mkdir /etc/net/ifaces/enp0s3.100
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/enp0s3.100/options
BOOTPROTO=static
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
HOST=enp0s3
ONBOOT=yes
TYPE=vlan
VID=100
EOF
где:
Создать файл
ipv4address с IP-адресом для интерфейса enp0s3.100:
# echo "192.168.10.63/24" > /etc/net/ifaces/enp0s3.100/ipv4address
Создать файл
ipv4route с маршрутом по умолчанию для интерфейса enp0s3.100:
# echo "default via 192.168.10.1" > /etc/net/ifaces/enp0s3.100/ipv4route
Применить изменения:
# systemctl restart network
Показать VLAN-интерфейс:
$ ip addr show enp0s3.100
Пример вывода:
12: enp0s3.100@enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:06:39:4d brd ff:ff:ff:ff:ff:ff
inet 192.168.10.63/24 scope global enp0s3.100
valid_lft forever preferred_lft forever
Показать все интерфейсы:
$ ip addr
Пример вывода:
…
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 …
inet 192.168.0.60/24 brd 192.168.0.255 scope global enp0s3
12: enp0s3.100@enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 …
inet 192.168.10.63/24 scope global enp0s3.100
…
101.6.1. Q-in-Q интерфейс
Q-in-Q (802.1Q-in-802.1Q) — технология, позволяющая инкапсулировать один VLAN-тег в другой. Используется в провайдерских сетях для передачи трафика клиентов с сохранением их внутренней структуры VLAN.
Пример настройки Q-in-Q интерфейса enp0s3.100.200 (внешняя метка — 100, внутренняя — 200):
Создать каталог для Q-in-Q интерфейса:
# mkdir /etc/net/ifaces/enp0s3.100.200
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/enp0s3.100.200/options
BOOTPROTO=static
HOST=enp0s3.100
TYPE=vlan
VID=200
VLAN_REORDER_HDR=0
EOF
где:
HOST=enp0s3.100 — указывает на внешний VLAN-интерфейс;
VID=200 — внутренний (клиентский) VLAN;
VLAN_REORDER_HDR=0 — отключает переупорядочивание заголовков (важно для Q-in-Q).
Создать файл
ipv4address с IP-адресом для интерфейса enp0s3.100.200:
# echo "192.168.20.64/24" > /etc/net/ifaces/enp0s3.100.200/ipv4address
Создать файл
ipv4route с настройкой маршрута:
# echo "default via 192.168.20.1" > /etc/net/ifaces/enp0s3.100.200/ipv4route
Применить изменения:
# systemctl restart network
Показать Q-in-Q интерфейс:
$ ip addr show enp0s3.100.200
Пример вывода:
16: enp0s3.100.200@enp0s3.100: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:06:39:4d brd ff:ff:ff:ff:ff:ff
inet 192.168.20.64/24 scope global enp0s3.100.200
valid_lft forever preferred_lft forever
Показать все интерфейсы:
$ ip addr
Пример вывода:
…
2: enp0s3: … inet 192.168.0.60/24
15: enp0s3.100@enp0s3: … inet 192.168.10.63/24
16: enp0s3.100.200@enp0s3.100: … inet 192.168.20.64/24
…
Интерфейс enp0s3.100.200 «привязан» к enp0s3.100, что соответствует Q-in-Q.
Глава 102. Режим суперпользователя
102.1. Какие бывают пользователи?
Linux — система многопользовательская, а потому пользователь — ключевое понятие для организации всей системы доступа в Linux. Файлы всех пользователей в Linux хранятся раздельно, у каждого пользователя есть собственный домашний каталог, в котором он может хранить свои данные. Доступ других пользователей к домашнему каталогу пользователя может быть ограничен.
Суперпользователь в Linux — это выделенный пользователь системы, на которого не распространяются ограничения прав доступа. Именно суперпользователь имеет возможность произвольно изменять владельца и группу файла. Ему открыт доступ на чтение и запись к любому файлу или каталогу системы.
Среди учётных записей Linux всегда есть учётная запись суперпользователя — root. Поэтому вместо «суперпользователь» часто говорят «root». Множество системных файлов принадлежат root, множество файлов только ему доступны для чтения или записи. Пароль этой учётной записи — одна из самых больших драгоценностей системы. Именно с её помощью системные администраторы выполняют самую ответственную работу.
102.2. Для чего может понадобиться режим суперпользователя?
Системные утилиты, например, такие, как Центр управления системой или Timeshift требуют для своей работы привилегий суперпользователя, потому что они вносят изменения в системные файлы. При их запуске выводится диалоговое окно с запросом пароля системного администратора.
102.3. Как получить права суперпользователя?
Для опытных пользователей, умеющих работать с командной строкой, существует два различных способа получить права суперпользователя.
Первый — это зарегистрироваться в системе под именем root.
Второй способ — воспользоваться специальной утилитой su (shell of user), которая позволяет выполнить одну или несколько команд от лица другого пользователя. По умолчанию эта утилита выполняет команду sh от пользователя root, то есть запускает командный интерпретатор. Отличие от предыдущего способа в том, что всегда известно, кто именно запускал su, а значит, ясно, кто выполнил определённое административное действие.
В некоторых случаях удобнее использовать не su, а утилиту sudo, которая позволяет выполнять только заранее заданные команды.
Для того чтобы воспользоваться командами su и sudo, необходимо быть членом группы wheel. Пользователь, созданный при установке системы, по умолчанию уже включён в эту группу.
В дистрибутивах Альт для управления доступом к важным службам используется подсистема control. control — механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор.
Команда
control доступна только для суперпользователя (root). Для того чтобы посмотреть, что означает та или иная политика
control (разрешения выполнения конкретной команды, управляемой
control), надо запустить команду с ключом help:
# control su help
Запустив
control без параметров, можно увидеть полный список команд, управляемых командой (facilities) вместе с их текущим состоянием и набором допустимых состояний.
102.4. Как перейти в режим суперпользователя?
Для перехода в режим суперпользователя наберите в терминале команду (
минус важен!):
su -
Если воспользоваться командой su без ключа, то происходит вызов командного интерпретатора с правами root. При этом значение переменных окружения, в частности $PATH, остаётся таким же, как у пользователя: в переменной $PATH не окажется каталогов /sbin, /usr/sbin, без указания полного имени будут недоступны команды route, shutdown, mkswap и другие. Более того, переменная $HOME будет указывать на каталог пользователя, все программы, запущенные в режиме суперпользователя, сохранят свои настройки с правами root в каталоге пользователя, что в дальнейшем может вызвать проблемы.
Чтобы избежать этого, следует использовать su -. В этом режиме su запустит командный интерпретатор в качестве login shell, и он будет вести себя в точности так, как если бы в системе зарегистрировался root.
Глава 103. Управление пользователями
Пользователи и группы внутри системы обозначаются цифровыми идентификаторами —
UID и
GID, соответственно.
Пользователь может входить в одну или несколько групп. По умолчанию он входит в группу, совпадающую с его именем. Чтобы узнать, в какие еще группы входит пользователь, введите команду
id, вывод её может быть примерно следующим:
uid=1000(test) gid=1000(test) группы=1000(test),16(rpm)
Такая запись означает, что пользователь test (цифровой идентификатор 1000) входит в группы test и rpm. Разные группы могут иметь разный уровень доступа к тем или иным каталогам; чем в большее количество групп входит пользователь, тем больше прав он имеет в системе.
В связи с тем, что большинство привилегированных системных утилит в дистрибутивах Альт имеют не SUID-, а SGID-бит, будьте предельно внимательны и осторожны в переназначении групповых прав на системные каталоги.
Команда useradd регистрирует нового пользователя или изменяет информацию по умолчанию о новых пользователях.
Синтаксис:
useradd [ОПЦИИ...] <ИМЯ ПОЛЬЗОВАТЕЛЯ>
useradd -D [ОПЦИИ...]
Некоторые опции:
-b каталог — базовый каталог для домашнего каталога новой учётной записи;
-c комментарий — текстовая строка (обычно используется для указания фамилии и мени);
-d каталог — домашний каталог новой учётной записи;
-D — показать или изменить настройки по умолчанию для useradd;
-e дата — дата устаревания новой учётной записи;
-g группа — имя или ID первичной группы новой учётной записи;
-G группы — список дополнительных групп (через запятую) новой учётной записи;
-m — создать домашний каталог пользователя;
-M — не создавать домашний каталог пользователя;
-p пароль — зашифрованный пароль новой учётной записи (не рекомендуется);
-s оболочка — регистрационная оболочка новой учётной записи (по умолчанию /bin/bash);
-u UID — пользовательский ID новой учётной записи.
Команда
useradd имеет множество параметров, которые позволяют менять её поведение по умолчанию. Например, можно принудительно указать, какой будет
UID или какой группе будет принадлежать пользователь:
# useradd -u 1500 -G usershares new_user
Команда passwd поддерживает традиционные опции passwd и утилит shadow.
Синтаксис:
passwd [ОПЦИИ...] [ИМЯ ПОЛЬЗОВАТЕЛЯ]
Возможные опции:
-d, --delete — удалить пароль для указанной записи;
-f, --force — форсировать операцию;
-k, --keep-tokens — сохранить не устаревшие пароли;
-l, --lock — блокировать указанную запись;
--stdin — прочитать новые пароли из стандартного ввода;
-S, --status — дать отчет о статусе пароля в указанной записи;
-u, --unlock — разблокировать указанную запись;
-?, --help — показать справку и выйти;
--usage — дать короткую справку по использованию;
-V, --version — показать версию программы и выйти.
Код выхода: при успешном завершении passwd заканчивает работу с кодом выхода 0. Код выхода 1 означает, что произошла ошибка. Текстовое описание ошибки выводится на стандартный поток ошибок.
Пользователь может в любой момент поменять свой пароль. Единственное, что требуется для смены пароля — знать текущий пароль.
Только суперпользователь может обновить пароль другого пользователя.
103.4. Добавление нового пользователя
Для добавления нового пользователя используйте команды
useradd и
passwd:
# useradd test1
# passwd test1
passwd: updating all authentication tokens for user test1.
You can now choose the new password or passphrase.
A valid password should be a mix of upper and lower case letters, digits, and
other characters. You can use a password containing at least 4 characters
from at least 3 of these 4 classes.
An upper case letter that begins the password and a digit that ends it do not
count towards the number of character classes used.
A passphrase should be of at least 3 words, 6 to 72 characters long, and
contain enough different characters.
Alternatively, if no one else can see your terminal now, you can pick this as
your password: "Burst*texas$Flow".
Enter new password:
Weak password: too short.
Re-type new password:
passwd: all authentication tokens updated successfully.
В результате описанных действий в системе появился пользователь test1 с некоторым паролем. Если пароль оказался слишком слабым с точки зрения системы, она об этом предупредит (как в примере выше). Пользователь в дальнейшем может поменять свой пароль при помощи команды passwd — но если он попытается поставить слабый пароль, система откажет ему (в отличие от root) в изменении.
В Альт Рабочая станция K для проверки паролей на слабость используется модуль
PAM passwdqc.
103.5. Настройка парольных ограничений
Настройка парольных ограничений производится в файле /etc/passwdqc.conf.
Файл
passwdqc.conf состоит из 0 или более строк следующего формата:
опция=значение
Пустые строки и строки, начинающиеся со знака решетка («#»), игнорируются. Символы пробела между опцией и значением не допускаются.
Опции, которые могут быть переданы в модуль (в скобках указаны значения по умолчанию): min=N0,N1,N2,N3,N4 (min=8,6,6,4,4) — минимально допустимая длина пароля.
Используемые типы паролей по классам символов (алфавит, число, спецсимвол, верхний и нижний регистр) определяются следующим образом:
тип N0 используется для паролей, состоящих из символов только одного класса;
тип N1 используется для паролей, состоящих из символов двух классов;
тип N2 используется для парольных фраз, кроме этого требования длины, парольная фраза должна также состоять из достаточного количества слов;
типы N3 и N4 используются для паролей, состоящих из символов трех и четырех классов, соответственно.
Ключевое слово disabled используется для запрета паролей выбранного типа N0 — N4 независимо от их длины.
Каждое следующее число в настройке «min» должно быть не больше, чем предыдущее.
При расчете количества классов символов, заглавные буквы, используемые в качестве первого символа и цифр, используемых в качестве последнего символа пароля, не учитываются.
max=N (max=72) — максимально допустимая длина пароля. Эта опция может быть использована для того, чтобы запретить пользователям устанавливать пароли, которые могут быть слишком длинными для некоторых системных служб. Значение 8 обрабатывается особым образом: пароли длиннее 8 символов, не отклоняются, а обрезаются до 8 символов для проверки надежности (пользователь при этом предупреждается).
passphrase=N (passphrase=3) — число слов, необходимых для ключевой фразы (значение 0 отключает поддержку парольных фраз).
match=N (match=4) — длина общей подстроки, необходимой для вывода, что пароль хотя бы частично основан на информации, найденной в символьной строке (значение 0 отключает поиск подстроки). Если найдена слабая подстрока пароль не будет отклонен; вместо этого он будет подвергаться обычным требованиям к прочности при удалении слабой подстроки. Поиск подстроки нечувствителен к регистру и может обнаружить и удалить общую подстроку, написанную в обратном направлении.
similar=permit|deny (similar=deny) — параметр similar=permit разрешает задать новый пароль, если он похож на старый (параметр similar=deny — запрещает). Пароли считаются похожими, если есть достаточно длинная общая подстрока, и при этом новый пароль с частично удаленной подстрокой будет слабым.
random=N[,only] (random=47) — размер случайно сгенерированных парольных фраз в битах (от 26 до 81) или 0, чтобы отключить эту функцию. Любая парольная фраза, которая содержит предложенную случайно сгенерированную строку, будет разрешена вне зависимости от других возможных ограничений. Значение only используется для запрета выбранных пользователем паролей.
enforce=none|users|everyone (enforce=users) — параметр enforce=users задает ограничение задания паролей в passwd на пользователей без полномочий root. Параметр enforce=everyone задает ограничение задания паролей в passwd и на пользователей, и на суперпользователя root. При значении none модуль PAM будет только предупреждать о слабых паролях.
retry=N (retry=3) — количество запросов нового пароля, если пользователь с первого раза не сможет ввести достаточно надежный пароль и повторить его ввод.
Далее приводится пример задания следующих значений в файле
/etc/passwdqc.conf:
min=8,7,4,4,4
enforce=everyone
В указанном примере пользователям, включая суперпользователя root, будет невозможно задать пароли:
типа N0 (символы одного класса) — длиной меньше восьми символов;
типа N1 (символы двух классов) — длиной меньше семи символов;
типа N2 (парольные фразы), типа N3 (символы трех классов) и N4 (символы четырех классов) — длиной меньше четырех символов.
103.6. Управление сроком действия пароля
Для управления сроком действия паролей используется команда chage.
Должен быть установлен пакет
shadow-change:
# apt-get install shadow-change
chage изменяет количество дней между сменой пароля и датой последнего изменения пароля.
Синтаксис команды:
chage [опции] логин
Основные опции:
-d, --lastday LAST_DAY — установить последний день смены пароля в LAST_DAY на день (число дней с 1 января 1970). Дата также может быть указана в формате ГГГГ-ММ-ДД;
-E, -expiredate EXPIRE_DAYS — установить дату окончания действия учётной записи в EXPIRE_DAYS (число дней с 1 января 1970) Дата также может быть указана в формате ГГГГ-ММ-ДД. Значение -1 удаляет дату окончания действия учётной записи;
-I, --inactive INACTIVE — используется для задания количества дней «неактивности», то есть дней, когда пользователь вообще не входил в систему, после которых его учетная запись будет заблокирована. Пользователь, чья учетная запись заблокирована, должен обратиться к системному администратору, прежде чем снова сможет использовать систему. Значение -1 отключает этот режим;
-l, --list — просмотр информации о «возрасте» учётной записи пользователя;
-m, --mindays MIN_DAYS — установить минимальное число дней перед сменой пароля. Значение 0 в этом поле обозначает, что пользователь может изменять свой пароль, когда угодно;
-M, --maxdays MAX_DAYS — установить максимальное число дней перед сменой пароля. Когда сумма MAX_DAYS и LAST_DAY меньше, чем текущий день, у пользователя будет запрошен новый пароль до начала работы в системе. Эта операция может предваряться предупреждением (параметр -W). При установке значения -1, проверка действительности пароля не будет выполняться;
-W, --warndays WARN_DAYS — установить число дней до истечения срока действия пароля, начиная с которых пользователю будет выдаваться предупреждение о необходимости смены пароля.
Пример настройки времени действия пароля для пользователя test:
# chage -M 5 test
Получить информацию о «возрасте» учётной записи пользователя test:
# chage -l test
Последний раз пароль был изменён : мар 13, 2025
Срок действия пароля истекает : мар 18, 2025
Пароль будет деактивирован через : никогда
Срок действия учётной записи истекает : никогда
Минимальное количество дней между сменой пароля : -1
Максимальное количество дней между сменой пароля : 5
Количество дней с предупреждением перед деактивацией пароля : -1
Задать время действия пароля для вновь создаваемых пользователей можно, изменив параметр PASS_MAX_DAYS в файле /etc/login.defs.
103.7. Настройка неповторяемости пароля
Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля чередовать один и тот же пароль слишком часто.
В данном случае системный каталог станет доступным для записи пользователям группы pw_users (создайте эту группу и включите туда пользователей).
База используемых паролей ведется в файле /etc/security/opasswd, в который пользователи должны иметь доступ на чтение и запись. При этом они могут читать хэши паролей остальных пользователей. Не рекомендуется использовать на многопользовательских системах.
Создайте файл
/etc/security/opasswd и дайте права на запись пользователям:
# install -Dm0660 -gpw_users /dev/null /etc/security/opasswd
# chgrp pw_users /etc/security
# chmod g+w /etc/security
Для настройки этого ограничения необходимо изменить файл
/etc/pam.d/system-auth-local-only таким образом, чтобы он включал модуль pam_pwhistory после первого появления строки с паролем:
password required pam_passwdqc.so config=/etc/passwdqc.conf
password required pam_pwhistory.so debug use_authtok remember=10 retry=3
После добавления этой строки в файле
/etc/security/opasswd будут храниться последние 10 паролей пользователя (содержит хэши паролей всех учетных записей пользователей) и при попытке использования пароля из этого списка будет выведена ошибка:
Password has been already used. Choose another.
В случае если необходимо, чтобы проверка выполнялась и для суперпользователя root, в настройки нужно добавить параметр
enforce_for_root:
password required pam_pwhistory.so
use_authtok enforce_for_root remember=10 retry=3
103.8. Модификация пользовательских записей
Для модификации пользовательских записей применяется утилита
usermod:
# usermod -G audio,rpm,test1 test1
Такая команда изменит список групп, в которые входит пользователь test1 — теперь это audio, rpm, test1.
Будет произведена смена имени пользователя с test1 на test2.
Команды usermod -L test2 и usermod -U test2 соответственно временно блокируют возможность входа в систему пользователю test2 и возвращают всё на свои места.
Изменения вступят в силу только при следующем входе пользователя в систему.
При неинтерактивной смене или задании паролей для целой группы пользователей используйте утилиту chpasswd. На стандартный вход ей следует подавать список, каждая строка которого будет выглядеть как имя:пароль.
103.9. Удаление пользователей
Для удаления пользователей используйте userdel.
Команда userdel test2 удалит пользователя test2 из системы. Если будет дополнительно задан параметр -r, то будет уничтожен и домашний каталог пользователя. Нельзя удалить пользователя, если в данный момент он еще работает в системе.
Каждый объект системы Linux обязательно сопровождается документацией, описывающей их назначение и способы использования. От пользователя системы не требуется заучивать все возможные варианты взаимодействия с ней. Достаточно понимать основные принципы её устройства и уметь находить справочную информацию.
Не пренебрегайте чтением документации: она поможет вам избежать многих сложностей, сэкономить массу времени и усилий при установке, настройке и администрировании системы, поможет найти нужное для работы приложение и быстро разобраться в нём.
104.1. Экранная документация
Почти все системы семейства UNIX, включая систему Linux, имеют экранную документацию. Её тексты содержат документацию по системным командам, ресурсам, конфигурационным файлам и т. д., а также могут быть выведены на экран в процессе работы.
Для доступа к экранной документации используется команда
man (сокращение от manual). Каждая страница руководства посвящена одному объекту системы. Для того чтобы прочесть страницу руководства по программе, необходимо набрать
man название_программы. К примеру, если вы хотите узнать, какие опции есть у команды
date, вы можете ввести команду:
$ man date
Большинство экранной документации написано для пользователей, имеющих некоторое представление о том, что делает данная команда. Поэтому большинство текстов экранной документации содержит исключительно технические детали команды без особых пояснений. Тем не менее, экранная документация оказывается очень ценной в том случае, если вы помните название команды, но её синтаксис просто выпал у вас из памяти.
Поиск по описаниям man осуществляется командой apropos. Если вы точно не знаете, как называется необходимая вам программа, то поиск осуществляется по ключевому слову, к примеру, apropos date или при помощи ввода слова, обозначающего нужное действие, после команды man -k (например, man -k copy). Слово, характеризующее желаемое для вас действие, можно вводить и на русском языке. При наличии русского перевода страниц руководства man результаты поиска будут выведены на запрашиваемом языке.
«Страница руководства» занимает, как правило, больше одной страницы экрана. Для того чтобы читать было удобнее, man запускает программу постраничного просмотра текстов. Страницы перелистывают пробелом, для выхода из режима чтения описания команд man необходимо нажать на клавиатуре q. Команда man man выдаёт справку по пользованию самой командой man.
Документация в подавляющем большинстве случаев пишется на простом английском языке. Необходимость писать на языке, который будет более или менее понятен большинству пользователей, объясняется постоянным развитием Linux. Дело не в том, что страницу руководства нельзя перевести, а в том, что её придётся переводить всякий раз, когда изменится описываемый ею объект! Например, выход новой версии программного продукта сопровождается изменением его возможностей и особенностей работы, а следовательно, и новой версией документации.
Тем не менее, некоторые наиболее актуальные руководства существуют в переводе на русский язык. Свежие версии таких переводов на русский язык собраны в пакете man-pages-ru. Установив этот пакет, вы добавите в систему руководства, для которых есть перевод, и man по умолчанию будет отображать их на русском языке.
Другой источник информации о Linux и составляющих его программах — справочная подсистема info. Страница руководства, несмотря на обилие ссылок различного типа, остаётся «линейным» текстом, структурированным только логически. Документ info — это настоящий гипертекст, в котором множество небольших страниц объединены в дерево. В каждом разделе документа info всегда есть оглавление, из которого можно перейти к нужному подразделу, а затем вернуться обратно (ссылки для перемещения по разделам текста помечены *). Для получения вспомогательной информации о перемещении по тексту используйте клавишу h. Полное руководство info вызывается командой info info. Команда info, введённая без параметров, предлагает пользователю список всех документов info, установленных в системе.
104.2. Документация по пакетам
Дополнительным источником информации об интересующей вас программе, в основном на английском языке, является каталог /usr/share/doc — место хранения разнообразной документации.
Каждый пакет также содержит поставляемую вместе с включённым в него ПО документацию, располагающуюся обычно в каталоге /usr/share/doc/имя_пакета. Например, документация к пакету file-5.45 находится в /usr/share/doc/file-5.45. Для получения полного списка файлов документации, относящихся к пакету, воспользуйтесь командой rpm -qd имя_установленного_пакета.
В документации к каждому пакету вы можете найти такие файлы как README, FAQ, TODO, СhangeLog и другие. В файле README содержится основная информация о программе — имя и контактные данные авторов, назначение, полезные советы и пр. FAQ содержит ответы на часто задаваемые вопросы; этот файл стоит прочитать в первую очередь, если у вас возникли проблемы или вопросы по использованию программы, поскольку большинство проблем и сложностей типичны, вполне вероятно, что в FAQ вы тут же найдёте готовое решение. В файле TODO записаны планы разработчиков на реализацию той или иной функциональности. В файле СhangeLog записана история изменений в программе от версии к версии.
Для поиска внешней информации о программе, например, адреса сайта программы в сети Интернет можно использовать команду rpm -qi имя_установленного_пакета. В информационном заголовке соответствующего пакета, среди прочей информации, будет выведена искомая ссылка.
104.3. Документация к программам, имеющим графический интерфейс
Каждая программа, имеющая графический интерфейс, как правило, сопровождается справочной информацией, вызываемой из меню программы. Обычно это разделы меню .
По обыкновению, это меню предоставляет информацию о программе, её версии, лицензии и авторах. В большинстве случаев, справка содержит встроенное руководство, ссылки на локальные сведения и интернет-страницы документации на официальных сайтах программ (традиционная кнопка F1), информацию о сочетании клавиш, а также сообщения о процедурах и отладке в программе.
() на экране появится виртуальная клавиатура, её можно использовать для ввода имени пользователя и пароля:
можно подключить/отключить сетевое соединение, а также можно создать Wi-Fi соединение:
:
или пункт → → ). Здесь можно изменять фон рабочего стола, тему значков, цветовую схему, шрифты, внешний вид и поведение окон, а также настраивать различные системные параметры. В KDE6 персонализация интерфейса ограничена лишь вашей фантазией.
;
():
():
