Часть II. Установка дистрибутива
В этой части рассматривается процесс установки дистрибутива.
Глава 4. Запись установочного образа на USB Flash
Запись образа дистрибутива на flash-диск приведёт к изменению таблицы разделов на носителе, таким образом, если flash-диск выполнил функцию загрузочного/установочного устройства и требуется вернуть ему функцию переносного накопителя данных, то необходимо удалить все имеющиеся разделы на flash-диске и создать нужное их количество заново.
Для восстановления совместимости flash-диска с операционными системами семейства Windows может понадобиться также пересоздание таблицы разделов (например, при помощи parted). Нужно удалить таблицу GPT и создать таблицу типа MBR (msdos). Кроме того, должен быть создан только один раздел с FAT или NTFS.
Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик. Таким носителем может быть flash-накопитель, который можно сделать загрузочным.
Для создания загрузочного flash-диска понадобится файл ISO-образа установочного диска с дистрибутивом. Установочные ISO-образы являются гибридными (Hybrid ISO/IMG), что позволяет производить установку, записав такой образ на flash-накопитель.
4.1. В операционной системе Windows
ALT Media Writer — инструмент, позволяющий записывать образы ALT на портативные накопители, такие как flash-диски. Он может автоматически загружать образы из интернета и записывать их. Для записи образа на flash-диск необходимо:
скачать и установить
ALT Media Writer;
вставить flash-диск в USB-разъем;
запустить ALT Media Writer;
выбрать дистрибутив и нажать кнопку
Создать Live USB…:
Начнётся загрузка образа из интернета;
выбрать устройство (flash-диск);
после окончания загрузки нажать кнопку Записать на диск.
Инструкция для записи образа в программе
Win32 Disk Imager:
скачать ISO-образ дистрибутива;
вставить flash-диск в USB-разъем (размер flash-диска должен быть не меньше размера скачанного образа диска);
запустить Win32 Disk Imager;
в появившимся окне выбрать ISO-образ и устройство (flash-диск):
нажать кнопку Write для записи образа на flash-диск.
Для записи образа на flash-диск подойдёт и утилита
HDD Raw Copy Tool. На первом шаге нужно выбрать файл с образом диска:
На втором шаге нужно выбрать flash-диск, на который будет записан образ:
Будьте внимательны при указании имени USB-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
После проверки правильности выбранных параметров и нажатия кнопки Continue можно приступать к записи, нажав кнопку START. По успешному завершению записи окно с индикацией процесса записи закроется, после чего можно закрыть и окно самой программы.
4.2. В операционной системе Linux
Для записи образа на flash-диск можно воспользоваться одной из программ с графическим интерфейсом:
Будьте внимательны при указании имени USB-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
Не добавляйте номер раздела, образ пишется на flash-диск с самого начала!
Для записи установочного образа можно воспользоваться утилитой командной строки
dd:
# dd oflag=direct if=<файл-образа.iso> of=/dev/sdX bs=1M;sync
где: файл-образа.iso — ISO-образ установочного диска с дистрибутивом;
/dev/sdX — устройство, соответствующее flash-диску.
Для удобства показа прогресса записи необходимо установить пакет
pv и использовать команду:
# pv <файл-образа.iso> | dd oflag=direct of=/dev/sdX bs=1M;sync
Здесь <файл-образа.iso> — ISO-образ диска, а
/dev/sdX — устройство, соответствующее flash-диску.
Просмотреть список доступных устройств можно командой lsblk или (если такой команды нет) blkid.
Например, так можно определить имя flash-диска:
$ lsblk | grep disk
sda 8:0 0 931,5G 0 disk
sdb 8:16 0 931,5G 0 disk
sdc 8:32 1 7,4G 0 disk
flash-диск имеет имя устройства sdc.
Затем записать:
# dd oflag=direct if=/home/iso/alt-workstation-11.1-x86_64.iso of=/dev/sdc bs=1M status=progress; sync
или, например, так:
# pv /home/iso/alt-workstation-11.1-x86_64.iso | dd oflag=direct of=/dev/sdc bs=1M;sync
dd: warning: partial read (524288 bytes); suggest iflag=fullblock
3GiB 0:10:28 [4,61MiB/s] [===================================> ] 72% ETA 0:04:07
Не извлекайте flash-диск, пока образ не запишется до конца! Определить финал процесса можно по прекращению моргания индикатора flash-диска либо посредством виджета Безопасное извлечение съемных устройств.
4.3. В операционной системе OS X
В операционной системе OS X для создания загрузочного flash-диска можно использовать команду:
sudo dd if=alt-workstation-11.1-x86_64.iso of=/dev/rdiskX bs=10M
sync
где
alt-workstation-11.1-x86_64.iso — образ диска ISO, а /dev/rdiskX — flash-диск. Просмотреть список доступных устройств можно командой:
diskutil list
Будьте внимательны при указании имени USB-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
4.4. Проверка целостности записанного образа
Для проверки целостности записанного образа необходимо выполнить следующие шаги:
определить длину образа в байтах:
$ du -b alt-workstation-11.1-x86_64.iso | cut -f1
6859448320
посчитать контрольную сумму образа (или просмотреть контрольную сумму образа из файла MD5SUM на сервере FTP):
$ md5sum alt-workstation-11.1-x86_64.iso
3cbeea531e4d65d7d971e1a961361f2b alt-workstation-11.1-x86_64.iso
подсчитать контрольную сумму записанного образа на DVD или USB Flash (выполняется под правами пользователя root):
# head -c 6859448320 /dev/sdd | md5sum
3cbeea531e4d65d7d971e1a961361f2b
где размер после -c — вывод в п.1, а /dev/sdd — устройство DVD или USB Flash, на которое производилась запись.
Глава 5. Сохранение данных и меры предосторожности
Если необходимо установить ОС Альт Рабочая станция и при этом сохранить уже установленную на компьютере операционную систему (например, другую версию GNU/Linux или Microsoft Windows), то нужно обязательно позаботиться о подготовке компьютера к установке второй системы и о сохранении ценных для вас данных.
Если у вас нет загрузочного диска для уже установленной системы, создайте его. В случае прерванной установки ОС Альт Рабочая станция или неправильной настройки загрузчика, вы можете потерять возможность загрузиться в вашу предыдущую ОС.
Если на диске, выбранном для установки ОС Альт Рабочая станция, не осталось свободного раздела, то программа установки должна будет изменить размер существующего раздела. От этой операции могут пострадать ваши данные, поэтому предварительно надо сделать следующие действия.
Выполнить проверку раздела, который вы собираетесь уменьшать. Для этого воспользуйтесь соответствующим программным обеспечением (далее — ПО), входящим в состав уже установленной ОС. Программа установки Альт Рабочая станция может обнаружить некоторые очевидные ошибки при изменении размера раздела, но специализированное ПО предустановленной ОС справится с этой задачей лучше.
Выполнить дефрагментацию уменьшаемого раздела в целях повышения уровня безопасности данных. Это действие не является обязательным, но мы настоятельно рекомендуем его произвести: изменение размера раздела пройдёт легче и быстрее.
Полной гарантией от проблем, связанных с потерей данных, является резервное копирование!
Глава 6. Начало установки: загрузка системы
6.1. Способы первоначальной загрузки
Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик.
Простейший способ запустить программу установки — загрузить компьютер с помощью загрузочного носителя, например, находящегося на установочном USB-накопителе с дистрибутивом.
Для того чтобы начать установку ОС Альт Рабочая станция, достаточно загрузиться с носителя, на котором записан дистрибутив.
Предварительно следует включить в BIOS опцию загрузки с оптического привода или с USB-устройства.
В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.
Загрузка с установочного диска или специально подготовленного USB-flash-накопителя начинается с меню, в котором перечислено несколько вариантов загрузки:
— установка операционной системы;
— в этом режиме работа ОС Альт Рабочая станция осуществляется непосредственно с flash-диска, не затрагивая установленную на жестком диске ОС. Режим LiveCD позволяет быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память;
— в этом режиме работа ОС Альт Рабочая станция осуществляется непосредственно с flash-диска, не затрагивая установленную на жестком диске ОС. Поддержка сеансов предполагает, что все изменения в настройках ОС, сделанные в текущей сессии, после перезагрузки компьютера будут сохранены и восстановлены в новом сеансе автоматически;
— восстановление уже установленной, но так или иначе поврежденной ОС Linux путем запуска небольшого образа ОС в оперативной памяти. Восстановление системы потребует некоторой квалификации. Этот пункт также может быть использован для сбора информации об оборудовании компьютера, которую можно отправить разработчикам, если ОС Альт Рабочая станция устанавливается и работает неправильно. Загрузка восстановительного режима заканчивается запросом на ввод логина суперпользователя (root):
Log in as root
localhost login:
В режимах LiveCD у суперпользователя root пустой пароль.
— позволяет включить или отключить добавление специальных параметров загрузки ядра, предназначенных для безопасного режима (может быть полезно для запуска системы на старом или нестабильном железе):
— позволяет выбрать язык интерфейса загрузчика и программы установки (нажатие клавиши F2 вызывает такое же действие);
— проверка целостности оперативной памяти. Процесс диагностики заключается в проведении нескольких этапов тестирования каждого отдельного модуля ОЗУ (данный процесс будет выполняться бесконечно, пока его не остановят, необходимо дождаться окончания хотя бы одного цикла проверки);
— оболочка/терминал для прошивки, позволяющий запускать EFI-приложения, в том числе загрузчики UEFI;
— позволяет получить доступ к настройкам UEFI.
Начальный загрузчик в режиме Legacy:
Пункт позволяет запустить уже установленную на жёсткий диск операционную систему.
Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.
Сочетание клавиш Ctrl+Alt+F1 — выдает технические сведения о выполнении процесса установки ОС Альт Рабочая станция.
Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз выбрать пункт меню и нажать Enter. Начальный этап установки не требует вмешательства пользователя: происходит автоматическое определение оборудования и запуск компонентов программы установки. Сообщения о происходящем на данном этапе можно просмотреть, нажав клавишу ESC.
В начальном загрузчике установлено небольшое время ожидания: если в этот момент не предпринимать никаких действий, то будет загружена та система, которая уже установлена на жестком диске. Если вы пропустили нужный момент, перезагрузите компьютер и вовремя выберите пункт .
Глава 7. Последовательность установки
До того как будет произведена установка базовой системы на жёсткий диск, программа установки работает с образом системы, загруженным в оперативную память компьютера.
Если инициализация оборудования завершилась успешно, будет запущен графический интерфейс программы-установщика. Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно. Переход к следующему шагу происходит по нажатию кнопки Далее. При помощи кнопки Назад, при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.
Если по каким-то причинам возникла необходимость прекратить установку, необходимо нажать кнопку <Reset> на корпусе системного блока компьютера.
Совершенно безопасно выполнить отмену установки только до шага
Подготовка диска, поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами
Подготовка диска и
Установка загрузчика, существует вероятность, что после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем (если такие имеются).
Технические сведения о ходе установки можно посмотреть, нажав Ctrl+Alt+F1, вернуться к программе установки — Ctrl+Alt+F7. По нажатию Ctrl+Alt+F2 откроется отладочная виртуальная консоль.
Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку Справка или нажав клавишу F1.
Нажатие на кнопку
вызывает меню, которое позволяет показать/скрыть панель со списком шагов установки:
Во время установки системы выполняются следующие шаги:
Установка Альт Рабочая станция начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы. В списке, помимо доступных языков региона (выбранного на этапе начальной загрузки), указан и английский язык.
На этом же этапе выбирается вариант переключения раскладки клавиатуры. Раскладка клавиатуры — это привязка букв, цифр и специальных символов к клавишам на клавиатуре. Помимо ввода символов на основном языке, в любой системе Linux необходимо иметь возможность вводить латинские символы (имена команд, файлов и т.п.). Для этого обычно используется стандартная английская раскладка клавиатуры. Переключение между раскладками осуществляется при помощи специально зарезервированных для этого клавиш. Для русского языка доступны следующие варианты переключения раскладки:
Если выбранный основной язык имеет всего одну раскладку (например, при выборе английского языка в качестве основного), эта единственная раскладка будет принята автоматически.
Глава 9. Лицензионное соглашение
Перед продолжением установки следует внимательно прочитать условия лицензии. В лицензии говорится о ваших правах. В частности, за вами закрепляются права на:
эксплуатацию программ на любом количестве компьютеров и в любых целях;
распространение программ (сопровождая их копией авторского договора);
получение исходных текстов программ.
Если вы приобрели дистрибутив, то данное лицензионное соглашение прилагается в печатном виде к вашей копии дистрибутива. Лицензия относится ко всему дистрибутиву Альт Рабочая станция. Если вы согласны с условиями лицензии, отметьте пункт Да, я согласен с условиями и нажмите кнопку Далее.
На данном этапе выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы.
Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.
Для указания часового пояса в соответствующих списках выберите регион, а затем город. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Пункт Хранить время в BIOS по Гринвичу выставляет настройки даты и времени в соответствии с часовыми поясами, установленными по Гринвичу, и добавляет к местному времени часовую поправку для выбранного региона.
После выбора часового пояса будут предложены системные дата и время по умолчанию.
Для ручной установки текущих даты и времени нужно нажать кнопку Изменить…. Откроется окно ручной настройки системных параметров даты и времени.
Для синхронизации системных часов с удаленным сервером времени (NTP) по локальной сети или по сети Интернет нужно отметить пункт Получать точное время с NTP-сервера и указать предпочитаемый NTP-сервер. В большинстве случаев можно указать сервер pool.ntp.org.
Если выбрана опция Получать точное время с NTP-сервера, то компьютер может и сам быть сервером точного времени. Например, использоваться как сервер точного времени машинами локальной сети. Для активации этой возможности необходимо отметить пункт Работать как NTP-сервер.
Для сохранения настроек и продолжения установки системы в окне ручной установки даты и времени необходимо нажать кнопку ОК и затем в окне Дата и время нажать кнопку Далее.
В случае если ОС Альт Рабочая станция устанавливается как вторая ОС, необходимо снять отметку с пункта Хранить время в BIOS по Гринвичу, иначе время в уже установленной ОС может отображаться некорректно.
Глава 11. Настройка сети
На этом этапе необходимо задать параметры работы сетевой карты и сетевые настройки: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в сети настроенного DHCP-сервера. В этом случае все необходимые сетевые параметры будут получены автоматически.
В окне
Настройка сети доступны следующие поля:
Имя компьютера — сетевое имя компьютера (это общий сетевой параметр, не привязанный к какому-либо конкретному интерфейсу);
Интерфейсы — список доступных сетевых интерфейсов;
Версия протокола IP — используемая версия IP-протокола (IPv4, IPv6);
Конфигурация — способ назначения IP-адресов (, , );
IP-адреса — пул назначенных IP-адресов (формируется из введённых в поле Добавить ↑ IP, для удаления адреса используется кнопка Удалить);
Добавить ↑ IP — позволяет вручную ввести IP-адрес и выбрать маску сети из выпадающего списка. Для добавления адреса в пул IP-адресов нужно нажать кнопку Добавить;
Шлюз по умолчанию — адрес маршрутизатора (шлюза), используемого по умолчанию;
DNS-серверы — список DNS-серверов, используемых для разрешения доменных имён;
Домены поиска — список доменов, по которым будет выполняться поиск (используется, например, при неполных DNS-запросах).
При переключении конфигурации с на в поле IP-адреса может отображаться IP-адрес, полученный по DHCP. Этот адрес никак не используется в дальнейшей настройке. Необходимо удалить отображаемый IP-адрес и задать адрес вручную, иначе сетевому интерфейсу будет назначен IP-адрес локальной заглушки (например, 127.0.0.2).
В окне, открываемом при нажатии кнопки Дополнительно, можно выбрать сетевую подсистему (NetworkManager, Etcnet) для данного интерфейса, а также указать, должен ли интерфейс запускаться автоматически при загрузке системы.
Для совместимости с именем компьютера в сетях Windows (netbios name), имя компьютера не должно превышать 15 символов.
Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.
11.1. Настройка Wi-Fi-соединения
При наличии беспроводной сетевой карты на этом шаге возможно настроить подключение к беспроводной сети.
Для настройки подключения необходимо:
В списке Интерфейсы выбрать беспроводной интерфейс и нажать кнопку Настройка беспроводной связи…:
В списке Найденные сети выбрать нужную сеть и нажать кнопку Настроить:
Если нужная сеть не отображается в списке Найденные сети, нажмите кнопку Сканировать.
В списке Настроенные сети выбрать добавленную сеть, в поле Защита указать режим безопасности, а в поле Сменить пароль — пароль для подключения к точке доступа:
Для применения настроек нажать кнопку Применить.
Для возврата к основным настройкам нажать кнопку OK.
Для создания VLAN-интерфейсов необходимо выполнить следующие действия:
В списке Интерфейсы выбрать сетевой интерфейс и нажать кнопку Настройка VLAN…:
Ввести VLAN ID (число от 1 до 4095) в поле VID и нажать кнопку Добавить VLAN:
Следует обратить внимание, что значение 4094 является верхней допустимой границей идентификатора VLAN. Значение 4095 зарезервировано и используется для технических нужд, например, при отбрасывании трафика с некорректным VLAN.
Повторить предыдущий пункт, если требуется создать несколько VLAN-интерфейсов.
Для возврата к основным настройкам нажать кнопку Назад.
В результате будут созданы виртуальные интерфейсы с именем, содержащим VLAN ID. Для этих интерфейсов можно задать IP-адрес и, при необходимости, дополнительные параметры:
Для удаления VLAN-интерфейса следует в списке Интерфейсы выбрать «родительский» сетевой интерфейс и нажать кнопку Настройка VLAN…. Затем в открывшемся окне выбрать нужный VLAN-интерфейс и нажать кнопку Удалить.
Глава 12. Выбор дополнительных приложений
На данном этапе программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав ОС Альт Рабочая станция и установлены вместе с ней на диск.
В любом дистрибутиве Альт Рабочая станция доступно значительное количество программ (до нескольких тысяч), часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.
В ОС Альт Рабочая станция все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.
В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку, тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов именно те, которые необходимы для решения наиболее распространённых задач.
Для удобства дополнительные приложения сгруппированы по решаемым задачам. Опция Показывать состав группы выводит список программных пакетов, входящих в состав той или иной группы пакетов:
Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.
Выбрав необходимые группы, следует нажать Далее.
Глава 13. Подготовка диска
На этом этапе подготавливается площадка для установки Альт Рабочая станция, в первую очередь — выделяется свободное место на диске.
Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и других параметров.
13.1. Выбор профиля разбиения диска
После завершения первичной конфигурации загрузочного носителя откроется окно Подготовка диска. В списке разделов перечислены уже существующие на жёстких дисках разделы (в том числе здесь могут оказаться съёмные flash-диски, подключённые к компьютеру в момент установки).
В списке
Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:
Первые два профиля предполагают автоматическое разбиение диска.
13.2. Автоматические профили разбиения диска
При выборе профиля Установка рабочей станции будут выделены отдельные разделы для подкачки, для EFI и для корневой файловой системы. Если размер диска больше 900 ГБ, будет также создан раздел /home.
При выборе профиля Установка рабочей станции (BtrFS) будет создан раздел BtrFS с разбивкой на подразделы @ и @home:
Для создания резервных копий системы (снимков), с использованием встроенных средств файловой системы BtrFS, можно использовать программу
Timeshift (см.
Резервное копирование (Timeshift)).
Если результат вас по каким-то причинам не устраивает, прямо сейчас можно его отредактировать.
От возможности редактировать результат разбиения можно отказаться, сняв выделение с пункта Предложить сделать мои изменения после применения профиля. В этом случае никакой информации о распределении дискового пространства на экране отображаться не будет. После осуществления физических изменений на жестком диске начнется установка базовой системы. Этот вариант подойдет для установки на чистый диск.
Рядом с названием профиля указан минимальный объём свободного места на диске, требуемый для установки в соответствии с данным профилем.
Если при применении профиля автоматического разбиения диска доступного места на диске окажется недостаточно, то на монитор будет выведено сообщение об ошибке:
Невозможно применить профиль, недостаточно места на диске.
Для решения этой проблемы можно полностью очистить место на диске, отметив пункт Очистить выбранные диски перед применением профиля и применить профиль повторно.
Если сообщение о недостатке места на диске появляется и при отмеченном пункте Очистить выбранные диски перед применением профиля, то это связано с недостаточным для использования автоматических методов разметки объёмом выбранных дисков. В этом случае вы можете воспользоваться методом ручной разметки: профиль Вручную.
При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков (включая внешние USB-носители) без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.
Для продолжения установки следует нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.
13.3. Ручной профиль разбиения диска
При необходимости освободить часть дискового пространства следует воспользоваться профилем разбиения Вручную. В этом случае можно удалить некоторые из существующих разделов или содержащиеся в них файловые системы. После этого можно создать необходимые разделы самостоятельно или вернуться к шагу выбора профиля и применить автоматический профиль. Выбор этой возможности требует знаний об устройстве диска и технологиях его разметки.
По нажатию Далее будет произведена запись новой таблицы разделов на диск и форматирование разделов. Только что созданные на диске программой установки разделы пока не содержат данных и поэтому форматируются без предупреждения. Уже существовавшие, но изменённые разделы, которые будут отформатированы, помечаются специальным значком в колонке Файловая система слева от названия. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки Далее.
Не следует форматировать разделы с теми данными, которые вы хотите сохранить, например, со старыми пользовательскими данными (/home) или с другими операционными системами. Отформатировать можно любые разделы, которые вы хотите «очистить» (т.е. удалить все данные).
Не уменьшайте NTFS-раздел с установленной Microsoft Windows Vista/Windows 7 средствами программы установки. В противном случае вы не сможете загрузить Microsoft Windows Vista/Windows 7 после установки Альт Рабочая станция. Для выделения места под установку Альт Рабочая станция воспользуйтесь средствами, предоставляемыми самой Microsoft Windows Vista/Windows 7: Управление дисками → Сжать.
Для того чтобы система правильно работала (в частности могла загрузиться) с UEFI, при ручном разбиении диска надо обязательно сделать точку монтирования
/boot/efi, в которую нужно смонтировать vfat раздел с загрузочными записями. Если такого раздела нет, то его надо создать вручную. При разбивке жёсткого диска в автоматическом режиме такой раздел создаёт сам установщик. Особенности разбиения диска в UEFI-режиме:
требуется создать новый или подключить существующий FAT32-раздел с GPT-типом ESP (efi system partition) размером ~100—500 Мб (будет смонтирован в /boot/efi);
может понадобиться раздел типа bios boot partition минимального размера, никуда не подключенный и предназначенный для встраивания grub2-efi;
остальные разделы — и файловая система, и swap — имеют GPT-тип basic data; актуальный тип раздела задаётся отдельно.
Для сохранения всех внесенных настроек и продолжения установки в окне Подготовка диска нужно нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.
13.4. Дополнительные возможности разбиения диска
Ручной профиль разбиения диска позволяет установить ОС на программный RAID-массив, разместить разделы в томах LVM и использовать шифрование на разделах. Данные возможности требуют от пользователя понимания принципов функционирования указанных технологий.
13.4.1. Создание программного RAID-массива
Избыточный массив независимых дисков RAID (redundant array of independent disks) — технология виртуализации данных, которая объединяет несколько жёстких дисков в логический элемент для избыточности и повышения производительности.
Для создания программного RAID-массива потребуется минимум два жёстких диска.
Программа установки поддерживает создание программных RAID-массивов следующих типов:
RAID 1;
RAID 0;
RAID 4/5/6;
RAID 10.
Процесс подготовки к установке на RAID условно можно разбить на следующие шаги:
создание разделов на жёстких дисках;
создание RAID-массивов на разделах жёсткого диска;
создание файловых систем на RAID-массиве.
Для создания программного RAID-массива может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.
Системный раздел EFI должен быть физическим разделом в основной таблице разделов диска.
Для настройки параметров нового раздела из состава RAID-массива необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел.
Для создания программного массива на GPT-разделах следует сначала создать разделы типа basic data и не создавать на них том (снять отметку с пункта Создать том):
В этом окне необходимо настроить следующие параметры:
Размер — в поле необходимо указать размер будущего раздела в Мбайт;
Смещение — в поле необходимо указать смещение начала данных на диске в Мбайт;
Тип раздела — в выпадающем поле нужно выбрать значение для последующего включения раздела в RAID-массив.
В режиме Legacy при создании разделов на жёстких дисках для последующего включения их в RAID-массивы следует указать Тип раздела для них равным :
На втором диске создать два раздела с типом без создания на них томов. При этом разделы на разных дисках должны совпадать по размеру.
При создании разделов следует учесть, что объём результирующего массива может зависеть от размера, включённых в него разделов жёсткого диска. Например, при создании RAID 1 результирующий размер массива будет равен размеру минимального участника.
После создания разделов на дисках можно переходить к организации самих RAID-массивов. Для этого в списке следует выбрать пункт RAID, после чего нажать кнопку Создать RAID:
Далее мастер предложит выбрать тип массива:
И указать участников RAID-массива (по умолчанию выбираются все разделы, поэтому необходимо снять отметку с раздела ):
Результат создания RAID-массива:
После того, как RAID-массив создан, его можно использовать как обычный раздел на жёстких дисках, то есть на нём можно создавать файловые системы или же, например, включать в LVM-тома.
После установки системы можно будет создать ещё один RAID-массив и добавить в него загрузочный раздел (/boot/efi).
13.4.2. Создание LVM-томов
Менеджер логических дисков LVM (Logical Volume Manager) — средство гибкого управления дисковым пространством, позволяющее создавать поверх физических разделов (либо неразбитых дисков) логические тома, которые в самой системе будут видны как обычные блочные устройства с данными (обычные разделы).
Процесс подготовки к установке на LVM условно можно разбить на следующие шаги:
создание разделов на жёстких дисках;
создание группы томов LVM;
создание томов LVM;
создание файловых систем на томах LVM.
Для создания группы томов LVM может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.
Системный раздел EFI должен быть физическим разделом в основной таблице разделов диска, не под LVM.
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
При создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным и не создавать на них том (снять отметку с пункта Создать том):
В режиме Legacy при создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным :
После создания разделов на дисках можно переходить к созданию группы томов LVM. Для этого в списке следует выбрать пункт LVM, после чего нажать кнопку Создать группу томов:
В открывшемся окне необходимо выбрать разделы, которые будут входить в группу томов, указать название группы томов и выбрать размер экстента:
Размер экстента представляет собой наименьший объем пространства, который может быть выделен тому. Размер экстента по умолчанию 65536 (65536*512 байт = 32 Мб, где 512 байт — размер сектора).
После того, как группа томов LVM создана, её можно использовать как обычный жёсткий диск, то есть внутри группы томов можно создавать тома (аналог раздела на физическом жёстком диске) и файловые системы внутри томов.
13.4.3. Создание шифрованных разделов
Программа установки позволяет создавать шифрованные разделы.
Процесс создания шифрованного раздела ничем не отличается от процесса создания обычного раздела и инициируется нажатием на кнопку Создать шифруемый раздел:
В открывшемся окне доступны следующие настройки:
Размер — общий размер шифрованного тома;
Смещение — настройка осуществляется с помощью ползунка либо путём ввода значения с клавиатуры (в поле необходимо указать смещение начала данных на диске в Мбайт);
Тип раздела — в выпадающем поле нужно выбрать значение Linux filesystem или basic data;
Создать шифруемый том — отметить пункт для автоматического перехода к настройке файловой системы на данном разделе;
Показывать дополнительные настройки — отобразить дополнительные настройки при последующей работе с разделом.
После создания шифрованного раздела мастер, как и при создании обычного раздела, предложит создать на нём файловую систему и при необходимости потребует указать точку монтирования.
Установка загрузчика на шифрованный раздел не поддерживается.
13.4.4. Создание подтомов BtrFS
BtrFS — файловая система, которая может работать с очень большими файлами, имеется поддержка снимков файловой системы (снапшотов), сжатие и подтома.
Подтом (subvolume) не является блочным устройством, но в каждом томе btrfs создаётся один подтом верхнего уровня (subvolid=5), в этом подтоме могут создаваться другие подтома и снапшоты. Подтома (подразделы, subvolumes) создаются ниже вершины дерева BtrFS по мере необходимости, например, для
/ и
/home создаются подтома с именами @ и @home. Это означает, что для монтирования подтомов необходимы определенные параметры вместо корня системы BtrFS по умолчанию:
Программа установки Альт Рабочая станция позволяет создать подтома (subvolume), указав разные точки монтирования.
Процесс подготовки к установке на подтома условно можно разбить на следующие шаги:
В данном разделе рассмотрен вариант подготовки раздела BtrFS с разбивкой на подтома @ и @home.
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
При создании раздела на жёстком диске следует указать Тип раздела равным или :
В режиме Legacy при создании раздела на жёстком диске для последующего создания подтомов BtrFS следует указать Тип раздела равным :
На следующем шаге выбрать файловую систему BtrFS:
В окне Изменить точку монтирования нажать кнопку Отмена (не указывать точку монтирования для раздела):
После создания раздела можно переходить к созданию подтомов. Для этого в списке разделов следует выбрать раздел с файловой системой BtrFS и нажать кнопку Создать подтом:
В открывшемся окне следует указать имя подтома или путь до него. Создание подтома @home:
Данное действие следует повторить для создания подтома @.
После создания подтомов необходимо указать точки монтирования для каждого подтома. Для этого следует выбрать подтом и нажать кнопку Изменить точку монтирования:
В открывшемся окне указать точку монтирования:
После указания точек монтирования для подтомов можно установить систему как обычно.
Глава 14. Установка системы
На данном этапе происходит распаковка ядра и установка набора программ, необходимых для работы ОС Альт Рабочая станция.
Установка происходит автоматически в два этапа:
получение пакетов;
установка пакетов.
Получение пакетов осуществляется из источника, выбранного на этапе начальной загрузки. При сетевой установке (по протоколу FTP или HTTP) время выполнения этого шага будет зависеть от скорости соединения и может быть значительно большим в сравнении с локальной установкой.
Глава 15. Сохранение настроек
Начиная с данного этапа, программа установки работает с файлами только что установленной базовой системы. Все последующие изменения можно будет совершить после завершения установки посредством редактирования соответствующих конфигурационных файлов или при помощи модулей управления, включенных в дистрибутив.
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
На этом шаге производится перенос настроек, выполненных на первых шагах установки, в только что установленную базовую систему. Производится также запись информации о соответствии разделов жесткого диска смонтированным на них файловым системам (заполняется конфигурационный файл /etc/fstab).
После сохранения настроек осуществляется автоматический переход к следующему шагу.
Глава 16. Установка загрузчика
Загрузчик ОС — это программа, которая позволяет загружать Альт Рабочая станция и другие операционные системы, если они установлены на данной машине.
При установке на
EFI модуль установки загрузчика предложит вариант установить загрузчик в специальный раздел «» (рекомендуется выбрать автоматическое разбиение на этапе разметки диска для создания необходимых разделов для загрузки с
EFI):
Варианты установки загрузчика при установке в режиме EFI:
— при установке загрузчика в NVRAM будет добавлена запись, без которой большинство компьютеров не смогут загрузиться во вновь установленную ОС;
— перед добавлением записи в NVRAM её содержимое будет сохранено в /root/.install-log, после чего из неё будут удалены все загрузочные записи, что приведёт к восстановлению полностью заполненной NVRAM и гарантирует загрузку вновь установленной ОС;
— этот вариант следует выбрать, только если инсталлятор не может создать запись в NVRAM или если заведомо известно, что запись в NVRAM может вывести компьютер из строя (вероятно, запись в NVRAM придётся создать после установки ОС средствами BIOS Setup);
— этот вариант следует выбрать, только если ОС устанавливается на съёмный накопитель. Этот вариант также можно использовать вместо варианта при условии, что это будет единственная ОС на данном накопителе. Создавать запись в NVRAM не потребуется.
Выбор варианта установки загрузчика, зависит от вашего оборудования. Если не работает один вариант, попробуйте другие.
Установка загрузчика при установке в режиме Legacy:
Программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС Альт Рабочая станция. Положение загрузчика, в случае необходимости, можно изменить в списке Устройство, выбрав другой раздел.
Если же вы планируете использовать и другие ОС, уже установленные на этом компьютере, тогда имеет значение, на каком жёстком диске или в каком разделе будет расположен загрузчик.
Для ограничения доступа к опциям загрузки можно установить пароль на загрузчик. Для этого необходимо отметить пункт Установить или сбросить пароль и задать пароль в появившихся полях для ввода.
При необходимости изменения опций загрузки при старте компьютера потребуется ввести имя пользователя «boot» и заданный на этом шаге пароль.
Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.
Глава 17. Администратор системы
На данном этапе загрузчик создает учетную запись администратора. В открывшемся окне необходимо ввести пароль учетной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учетной записи вводится дважды.
Чтобы избежать последствий неверной раскладки клавиатуры можно просмотреть пароль, который будет сохранен. Для этого нажмите на значок глаза в поле ввода:
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.
Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.
Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки Альт Рабочая станция. Более подробную информацию о режиме суперпользователя вы можете прочитать в главе
Режим суперпользователя.
Подтверждение введенного (или сгенерированного) пароля учетной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.
Глава 18. Системный пользователь
На данном этапе программа установки создает учетную запись системного пользователя (пользователя) ОС Альт Рабочая станция.
Помимо администратора (root) в систему необходимо добавить, по меньшей мере, одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.
При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).
Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя. Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.
Если отметить пункт Автоматический вход в систему, пользователь будет автоматически входить в систему.
Подтверждение введенного (или сгенерированного) пароля учетной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.
Глава 19. Установка пароля на шифрованные разделы
Если вы не создавали шифруемые разделы, то этот шаг пропускается автоматически. В этом случае сразу переходите к главе
Завершение установки.
На этом этапе требуется ввести пароль для шифруемых разделов. Этот пароль потребуется вводить для того, чтобы получать доступ к информации на данных разделах.
Например, если вы зашифровали /home, то во время загрузки системы будет необходимо ввести пароль для этого раздела, иначе вы не сможете получить доступ в систему под своим именем пользователя.
Внимание! Запомните этот пароль (набранный вручную или сгенерированный автоматически), так как, без знания пароля, доступ к зашифрованным разделам будет невозможен.
Глава 20. Завершение установки
На экране последнего шага установки отображается информация о завершении установки Альт Рабочая станция.
После нажатия кнопки Завершить автоматически начнется перезагрузка системы.
Не забудьте извлечь установочный диск (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.
Глава 21. Обновление системы до актуального состояния
После установки системы, её лучше сразу обновить до актуального состояния. Можно не обновлять систему и сразу приступать к работе только в том случае, если вы не планируете подключаться к сети или Интернету, не собираетесь устанавливать дополнительных программ.
Для обновления системы необходимо выполнить команды (с правами администратора):
# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot
Получить права администратора можно, выполнив в терминале команду:
$ su -
или зарегистрировавшись в системе (например, на третьей консоли
Ctrl+
Alt+
F3) под именем
root. Про режим суперпользователя можно почитать в главе
Режим суперпользователя.
Глава 22. Автоматическая установка системы (autoinstall)
ОС Альт Рабочая станция можно установить в автоматическом режиме. Для этого потребуется установочный диск и доступный по сети (по протоколам HTTP или FTP) каталог с несколькими файлами.
Пример настройки FTP-сервера см. в разделе
FTP.
22.1. Файлы автоустановки
Файлы автоустановки:
pkg-groups.tar — архив, содержащий дополнительные к базовой системе группы пакетов;
autoinstall.scm — сценарий автоматической установки на языке Scheme;
vm-profile.scm — сценарий с вариантами автоматической разбивки жёсткого диска на языке Scheme;
install-scripts.tar — архив, содержащий дополнительные скрипты для preinstall.d и postinstall.d в одноимённых каталогах. Скрипты должны быть исполняемыми. Скрипты из архива заменяют одноимённые скрипты инсталлятора.
Файлы, описывающие процесс установки, необходимо поместить в каталог (например, metadata), доступный по сети по протоколам HTTP или FTP.
22.1.1. Формат файла vm-profile.scm
Файл vm-profile.scm содержит сценарий на языке Scheme, описывающий формат автоматической разбивки жёсткого диска.
Пример файла
vm-profile.scm с одним профилем (workstation) разбивки жёсткого диска:
((workstation
(title . "Setup for workstation")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
("/" (size 40960000 . 40960000 ) (fsim . "Ext2/3") (methods plain))
("/home" (size 20480000 . #t ) (fsim . "Ext2/3") (methods plain))))
)
В примере указана разбивка:
подкачка (swap) — 1024 МБ;
корневой раздел (/) — 20 ГБ;
/home — всё оставшееся место, но не меньше 10 ГБ.
Все числа в файле vm-profile.scm указываются в виде 512-байтных блоков, поэтому чтобы получить размер в байтах, нужно умножить значения на 512.
Добавление записи для /boot/efi не требуется — установщик создаст его автоматически.
Пример файла
vm-profile.scm с тремя профилями разбивки жёсткого диска:
((workstation
(title . "Setup for workstation")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
("/" (size 40960000 . 40960000 ) (fsim . "Ext2/3") (methods plain))
("/home" (size 20480000 . #t ) (fsim . "Ext2/3") (methods plain))))
(workstation_lvm
(title . "Setup for workstation LVM")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods lvm))
("/" (size 16384000 . #t ) (fsim . "Ext2/3") (methods lvm))))
(timeshift
(title . "Timeshift-compatible setup")
(action . trivial)
(actiondata ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
("" (size 40960000 . #t) (fsim . "BtrFS") (methods plain) (subvols ("@" . "/") ("@home" . "/home")))))
)
В примере указаны профили:
workstation — подкачка (swap), корневой раздел и раздел /home;
workstation_lvm — логический том (LVM) с разбивкой на swap и корень;
timeshift — подкачка (swap) и раздел BtrFS с разбивкой на подтома @ и @home.
Имя нужного профиля указывается в файле
autoinstall.scm:
("/evms/profiles/workstation" action apply commit #f clearall #t exclude ())
В текущей версии автоустановки невозможно указать конкретный жёсткий диск — установка выполняется на первый обнаруженный диск в системе.
22.1.2. Формат файла pkg-groups.tar
Файл
pkg-groups.tar представляет собой tar-архив с двумя подкаталогами:
groups — содержит описание групп программного обеспечения в файлах *.directory;
lists — содержит файлы со списками пакетов для каждой группы и скрытый файл .base, содержащий список пакетов «базовой системы» (то есть те пакеты, которые устанавливаются в любом случае).
Файл pkg-groups.tar проще всего взять из установочного iso-образа из каталога /Metadata/ и доработать, если необходимо.
Для изменения списка пакетов:
Распаковать архив, например, выполнив команду:
$ tar xf pkg-groups.tar
Перейти в подкаталог
lists и добавить или изменить файл группы. Имена пакетов указываются по одному в каждой строке, например, содержимое файла
gpolicy-templates:
admx-basealt
admx-firefox
admx-chromium
admx-yandex-browser
admx-thunderbird
admx-msi-setup
Упаковать архив, например, выполнив команду:
$ tar cf pkg-groups.tar groups lists
Имя файла используемой группы затем указывается через пробел в
autoinstall.scm:
(("pkg-install") action "write" lists "group-1 group-2" auto #t)
где
group-1 и
group-2 — имена файлов со списками пакетов из подкаталога
lists.
В качестве источника пакетов при установке выступает сам диск, поэтому указание пакетов, которых нет на диске, приведёт к сбою установки.
22.1.3. Формат файла autoinstall.scm
Файл autoinstall.scm представляет собой командный скрипт для программы установки, написанный с использованием языка программирования Scheme. Каждая строка скрипта — команда для соответствующего модуля программы установки.
Ниже приведён пример файла autoinstall.scm для частного случая установки. Если требуются особые настройки, рекомендуется сначала выполнить установку вручную, изучить лог выполняемых команд в /root/.install-log/wizard.log и на его основе составить собственный скрипт autoinstall.scm.
Пример файла
autoinstall.scm:
; установка языка операционной системы (ru_RU)
("/sysconfig-base/language" action "write" lang ("ru_RU"))
; установка переключателя раскладки клавиатуры на Ctrl+Shift
("/sysconfig-base/kbd" language ("ru_RU") action "write" layout "ctrl_shift_toggle")
; установка часового пояса в Europe/Moscow, время в BIOS будет храниться в UTC
("/datetime-installer" action "write" commit #t name "RU" zone "Europe/Moscow" utc #t)
; настройка сетевого интерфейса на получение адреса по DHCP
("/net-eth" action "write" reset #t)
("/net-eth" action "write" name "enp0s3" ipv "4" configuration "dhcp" default "" search "" dns "" computer_name "newhost" ipv_enabled #t)
("/net-eth" action "write" commit #t)
; автоматическая разбивка жёсткого диска в профиле workstation
("/evms/control" action "write" control open installer #t)
("/evms/control" action "write" control update)
("/evms/profiles/workstation" action apply commit #f clearall #t exclude ())
("/evms/control" action "write" control commit)
("/evms/control" action "write" control close)
; установка пакетов операционной системы
("pkg-install-init" action "write")
; установка базовой системы (дополнительные группы пакетов из pkg-groups.tar указываются по именам через пробел)
("/pkg-install" action "write" lists "" auto #t)
("/preinstall" action "write")
; установка загрузчика GRUB в EFI
("/grub" action "write" device "efi" passwd #f passwd_1 "*" passwd_2 "*")
; установка пароля суперпользователя root '123'
("/root/change_password" passwd_2 "123" passwd_1 "123")
; задание первого пользователя 'user' с паролем '123'
("/users/create_account" new_name "user" gecos "user" allow_su #t auto #f passwd_1 "123" passwd_2 "123" autologin #f)
; пример запуска пользовательского скрипта после установки
;("/postinstall/firsttime" script "ftp://192.168.0.123/metadata/update.sh")
В данном примере будет выполнена установка системы в минимальном профиле (дополнительное ПО в состав устанавливаемых пакетов включаться не будет). Если необходимо установить, например, программы для обработки звука и сканирования, в список устанавливаемых пакетов нужно добавить группы workstation/sound-editing и workstation/scanning:
("/pkg-install" action "write" lists "workstation/sound-editing workstation/scanning" auto #t)
При установке системы в режиме EFI загрузчик устанавливается в соответствующий раздел. Пример установки пароля на загрузчик в режиме EFI (пароль '123'):
("/grub" action "write" device "efi" passwd #t passwd_1 "123" passwd_2 "123")
При установке в режиме Legacy загрузчик GRUB следует установить на первый жёсткий диск, например:
("/grub" action "write" device "/dev/sda" passwd #f passwd_1 "*" passwd_2 "*")
Пример настройки сетевого интерфейса со статическим IP-адресом:
("/net-eth" action "write" reset #t)
("/net-eth" action "write" name "enp0s3" ipv "4" configuration "static" default "192.168.0.1" search "" dns "8.8.8.8" computer_name "newhost" ipv_enabled #t)
("/net-eth" action "add_iface_address" name "enp0s3" addip "192.168.0.25" addmask "24" ipv "4")
("/net-eth" action "write" commit #t)
где:
addip "192.168.0.25" — IP-адрес;
default "192.168.0.1" — шлюз по умолчанию;
dns "8.8.8.8" — DNS-сервер;
computer_name "newhost" — имя хоста.
В конец файла
autoinstall.scm можно добавить шаг
/postinstall, позволяющий выполнить команду или скрипт в конце установки или при первом запуске системы. Например:
("/postinstall/firsttime" script "ftp://192.168.0.123/metadata/update.sh")
У шага /postinstall есть два уровня запуска:
И два метода указания скрипта запуска:
Примеры:
("/postinstall/firsttime" script "http://server/script.sh")
("/postinstall/firsttime" run "curl --silent --insecure http://server/finish")
("/postinstall/laststate" script "http://server/script.sh")
("/postinstall/laststate" run "curl --silent --insecure http://server/gotoreboot")
На уровне
laststate для работы с установленной системой требуется указывать пути с
$destdir или выполнять команды через run_chroot:
#!/bin/sh
a= . install2-init-functions
run_chroot sh -c "date > /root/STAMP_1"
date > $destdir/root/STAMP_2
22.1.4. Формат файла install-scripts.tar
Файл install-scripts.tar представляет собой tar-архив содержащий дополнительные скрипты.
Скрипты preinstall.d выполняются сразу после установки базовой системы. Как правило, это скрипты для дополнительной настройки базовой системы (перед установкой дополнительного набора ПО) и для переноса настроек из среды инсталлятора. Добавлять сюда свои собственные скрипты стоит только тогда, когда вы чётко представляете свои цели. Скрипты postinstall.d выполняются сразу после последнего шага инсталлятора. Как правило, это скрипты, удаляющие служебные пакеты инсталлятора из базовой системы. Если нужно сделать какие-нибудь специфические настройки системы, то это можно сделать здесь.
Скрипты preinstall.d необходимо поместить в каталог
preinstall.d, скрипты postinstall.d — в каталог
postinstall.d. Упаковать архив можно, например, выполнив команду:
$ tar cf install-scripts.tar preinstall.d postinstall.d
Данные скрипты выполняются в среде установщика, а не в среде установленной системы. Для работы с установленной системой требуется указывать пути с
$destdir или выполнять команды через run_chroot:
#!/bin/sh
a= . install2-init-functions
run_chroot sh -c "date > /root/STAMP_1"
date > $destdir/root/STAMP_2
22.2. Запуск автоматической установки
Для включения режима автоматической установки ядру инсталлятора ОС необходимо передать параметр загрузки
ai (без значения) и параметр
curl с указанием каталога с установочными файлами. Формат адреса в
curl должен быть представлен в виде URL:
ai curl=ftp://<IP-адрес>/metadata/
Чтобы начать процесс автоматической установки ОС Альт Рабочая станция, необходимо загрузиться с носителя, на котором записан дистрибутив. Затем клавишами перемещения курсора вверх и вниз выбрать пункт меню и нажать клавишу E. В открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz, в её конец дописать требуемые параметры:
После нажатия клавиши F10 начнётся автоматическая установка системы.
При невозможности получения файлов из указанного источника по сети, программа установки будет смотреть в следующих местах:
На диске в каталоге /Metadata/.
В образе установщика в каталоге /usr/share/install2/metadata/.
Глава 23. Установка OEM-версии ОС Альт Рабочая станция
Под установкой в режиме OEM понимается предварительная установка ОС Альт Рабочая станция производителем или дистрибьютором на компьютеры, ноутбуки, планшеты и т.д. В этом режиме можно выполнить всю аппаратную настройку и выбрать необходимые пакеты программ. Пользователю при первом запуске будет предоставлена возможность выполнить персональные настройки: задать имя пользователя, выбрать язык интерфейса и т.д.
Для выполнения OEM-установки необходимо при установке дистрибутива передать ядру инсталлятора ОС параметр загрузки
oem. Параметр
oem активирует стандартный режим OEM-установки, при котором во время установки отсутствуют шаги:
Настройка сети,
Администратор системы и
Системный пользователь, а при первом запуске системы пользователем эти шаги присутствуют.
Ядру инсталлятора ОС можно также передать параметры
OEM_NET,
OEM_ROOT,
OEM_USER, предназначенные для отключения/включения шагов
Настройка сети,
Администратор системы и
Системный пользователь как при установке, так и при первом запуске. Данные параметры могут принимать значения:
pre — включить шаг только во время установки;
post (по умолчанию) — включить шаг только при первом запуске;
pre-post — включить шаг и во время установки, и при первом запуске;
no — отключить шаг и во время установки, и при первом запуске.
Например, если необходимо иметь возможность донастроить систему до передачи конечному пользователю, можно включить шаг
Администратор системы как при установке, так и при первом запуске, передав параметр:
OEM_ROOT=pre-post
23.1. Установка в режиме OEM (предустановка)
Чтобы начать процесс предустановки ОС Альт Рабочая станция, необходимо загрузиться с носителя, на котором записан дистрибутив. Затем клавишами перемещения курсора вверх и вниз выбрать пункт меню и нажать клавишу E. В открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz, в её конец дописать параметр oem:
Стандартный режим OEM-установки состоит из следующих шагов:
Выбор основного языка системы:
Выбор часового пояса, по которому будут установлены часы:
Выбор дополнительных приложений:
Установка пароля на LUKS-разделы (если на этапе
Подготовка диска был создан шифрованный раздел):
После завершения установки компьютер можно передать конечному пользователю.
23.2. Режим загрузки OEM
Начальное меню загрузчика после установки ОС Альт Рабочая станция в OEM-режиме:
После установки в режиме OEM в параметрах загрузки будет автоматически добавлен параметр systemd.unit=setup.target:
Это специальная цель для systemd, которая запускает alterator-setup (программу для первоначальной настройки системы). После завершения работы alterator-setup пакеты, связанные с alterator-setup, будут удалены, а из параметров загрузки навсегда будет удалён systemd.unit=setup.target.
Если необходимо один раз загрузиться в обычном режиме, можно вручную удалить этот параметр из строки загрузки.
При первой загрузке системы пользователь попадет в мастер начальной настройки системы, который состоит из следующих шагов:
Выбор основного языка системы:
Установка даты и времени:
Настройка сетевых параметров:
Установка пароля учетной записи администратора (root):
Создание новой учётной записи системного пользователя:
Завершение настройки системы:
В случае возникновения каких-либо проблем не паникуйте, а спокойно разберитесь в ситуации. Linux не так просто привести к полной неработоспособности или потере ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть, и оно обязательно найдётся!
24.1. Проблемы при установке системы
При возникновении проблем с UEFI или Legacy/CSM рекомендуется используемый режим прошивки. Не следует выбирать режим смешанной загрузки Legacy/UEFI! Рекомендуется временно отключить всевозможные оптимизации и ускорение UEFI-загрузки, а также отключить на время установки SecureBoot.
Если в системе не произошла настройка какого-либо компонента после стадии установки пакетов, не отчаивайтесь, доведите установку до конца, загрузитесь в систему и попытайтесь в спокойной обстановке повторить настройку.
Если установить систему не удалось вовсе, сначала попробуйте выполнить установку в безопасном режиме. Этот режим предназначен для запуска системы на старом или нестабильном оборудовании.
Для включения безопасного режима необходимо на экране загрузки выбрать пункт , затем :
Далее можно начать установку системы в безопасном режиме, выбрав пункт .
В безопасном режиме используется следующая переменная загрузки:
SAFEMODE="nomodeset nosplash module_blacklist=nouveau,nvidia,ast bc_debug irqpoll pci=noaer oldinst"
где:
nomodeset — отключает автозагрузку графических драйверов. Используется для предотвращения проблем с отображением на этапе загрузки (например, чёрный экран);
nosplash — отключает графический экран загрузки, позволяя видеть сообщения консоли;
module_blacklist=nouveau,nvidia,ast — запрещает загрузку указанных модулей ядра;
bc_debug — включает режим расширенной диагностики на этапе stage1 и копирует журнал в stage2;
irqpoll — заставляет ядро опрашивать IRQ (аппаратные прерывания) вручную;
pci=noaer — отключает AER (Advanced Error Reporting) для PCI устройств. Используется при проблемах с PCIe-контроллерами, чтобы подавить спам в журнале и сбои при загрузке;
oldinst — применяет более медленный, но надёжный метод копирования файлов вместо распаковки командой unsquashfs (актуально только для образов, использующих squashfs).
Этот набор параметров минимизирует использование графической подсистемы и повышает совместимость с «проблемным» оборудованием.
Изменить параметры загрузки можно не только выбрав пункт , но и отредактировав любой другой пункт меню — например, . Это может быть полезно, если требуется вручную добавить параметры ядра для диагностики или устранения проблем с оборудованием без использования полного безопасного режима.
Редактор параметров текущего пункта загрузки можно вызвать нажатием клавиши E.
При редактировании пункта в открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz. В конец этой строки необходимо дописать требуемые параметры, отделяя их пробелами, и нажать F10 для запуска с изменёнными параметрами.
Если вы хотите получить точный ответ, то сообщите, пожалуйста, подробный состав вашего оборудования и подробное описание возникшей проблемы в
нашей системе отслеживания ошибок.
24.2. Проблемы с загрузкой системы
Если не загружается ни одна из установленных операционных систем, то значит, есть проблема в начальном загрузчике. Такие проблемы могут возникнуть после установки системы, в случае если загрузчик все-таки не установлен или установлен с ошибкой. При установке или переустановке Windows на вашем компьютере загрузчик Linux будет перезаписан в принудительном порядке, и станет невозможно запускать Linux.
Повреждение или перезапись загрузчика никак не затрагивает остальные данные на жёстком диске, поэтому в такой ситуации очень легко вернуть работоспособность: для этого достаточно восстановить загрузчик.
Если у вас исчез загрузчик другой операционной системы или другого производителя, то внимательно почитайте соответствующее официальное руководство на предмет его восстановления. Но в большинстве случаев вам это не потребуется, так как загрузчик, входящий в состав Альт Рабочая станция, поддерживает загрузку большинства известных операционных систем.
Для восстановления загрузчика достаточно любым доступным способом загрузить Linux и получить доступ к тому жёсткому диску, на котором находится повреждённый загрузчик. Для этого проще всего воспользоваться восстановительным режимом, который предусмотрен на установочном диске дистрибутива (пункт ).
Загрузка восстановительного режима заканчивается запросом на ввод логина суперпользователя (root):
Log in as root
localhost login:
После ввода логина суперпользователя (root) система будет готова к приёму команд:
В режиме LiveCD у пользователя root установлен пустой пароль.
В большинстве случаев для восстановления загрузчика можно просто воспользоваться командой fixmbr без параметров. Программа попытается переустановить загрузчик в автоматическом режиме.
24.3. Известные проблемы
24.3.1. Настройка сохранения выделенных ресурсов видеопамяти
Драйвер NVIDIA для Linux поддерживает приостановку и гибернацию системы (включая ACPI S3, S4 и s2idle), подготавливая графические процессоры к возврату в рабочее состояние. Однако не всё содержимое видеопамяти может быть сохранено, что может привести к ошибкам рендеринга и сбоям приложений после выхода из сна. Для улучшения поддержки таких сценариев доступен экспериментальный интерфейс управления питанием, интегрируемый с systemd и настраиваемый вручную.
24.3.1.1. Способ 1. Сохранение в безымянных временных файлах
Такой способ позволяет использовать глубокий уровень сна (S4 и S5) и не требует поддержки режима S0ix.
На некоторых устройствах с PRIME возможны проблемы. Этот способ преимущественно предназначен для настольных ПК.
Настройка:
Активировать интерфейсы управления питанием NVIDIA:
# systemctl enable nvidia-suspend.service nvidia-resume.service nvidia-hibernate.service
Эти сервисы заменяют стандартные sleep, hibernate и resume, предоставляя возможность сохранить ресурсы видеопамяти перед отключением питания видеокарты.
В опциях драйвера NVIDIA изменить способ сохранения ресурсов видеопамяти:
# cat << _EOF_ > /etc/modprobe.d/nvidia_videomemory_allocation.conf
options nvidia NVreg_PreserveVideoMemoryAllocations=1
options nvidia NVreg_TemporaryFilePath=/var/tmp
_EOF_
# make-initrd
Для корректного сохранения ресурсов видеопамяти файловая система должна поддерживать безымянные временные файлы и иметь достаточный объём — объём, равный сумме всей видеопамяти плюс 5 %, обычно достаточен.
Узнать объём видеопамяти можно командой:
# nvidia-smi -q -d MEMORY | grep 'FB Memory Usage' -A1
Чтобы избежать нехватки места, не следует указывать каталоги размещённые в tmpfs (например, /tmp или /run) в опции NVreg_TemporaryFilePath.
NVIDIA не даёт чётких рекомендаций по выбору каталога. Можно использовать, например, /var/tmp.
24.3.1.2. Способ 2. Режим сохранения питания S0ix
Этот способ позволяет не выгружать содержимое видеопамяти. Режим S0ix ориентирован на переносные устройства.
Настройка:
Проверить, поддерживает ли система s2idle:
$ cat /sys/power/mem_sleep
[s2idle]
Если s2idle отсутствует в выводе, значит он не поддерживается. В этом случае следует использовать
Способ 1.
Проверить, поддерживает ли видеочип S0ix:
$ grep 'Video Memory Self Refresh' /proc/driver/nvidia/gpus/<Domain>:<Bus>:<Device>.0/power
Значения <Domain>, <Bus> и <Device> можно найти в каталоге /proc/driver/nvidia/gpus.
Если вывод:
Video Memory Self Refresh: is supported
— значит S0ix поддерживается, и можно продолжать настройку.
Если система и видеочип поддерживают указанные режимы, добавить параметр
NVreg_EnableS0ixPowerManagement=1:
# modprobe nvidia NVreg_EnableS0ixPowerManagement=1
Если при выводе
cat /sys/power/mem_sleep,
s2idle не заключён в квадратные скобки (т.е. не выбран), выполнить команду:
# echo "s2idle" > /sys/power/mem_sleep
Проверьте корректность работы перехода в спящий режим и восстановления. Если всё работает, сделать настройку постоянной:
# cat << _EOF_ > /etc/modprobe.d/enable_S0ix_power_management.conf
options nvidia NVreg_EnableS0ixPowerManagement=1
_EOF_
# make-initrd
Если
s2idle ранее приходилось указывать вручную, добавить в файл
/etc/sysconfig/grub2 параметр:
GRUB_CMDLINE_LINUX_DEFAULT="... mem_sleep_default=s2idle"
Затем обновить конфигурацию GRUB:
# grub-mkconfig -o /boot/grub/grub.cfg
При переходе видеокарты в спящий режим S0ix возможны два сценария:
если использование видеопамяти было меньше определённого порога, её содержимое будет скопировано в системную память, и видеокарта полностью отключится;
если использование видеопамяти было больше определённого порога, видеопамять перейдёт в режим самообновления, при этом остальная часть графического процессора будет отключена.
По умолчанию порог составляет 256 МБ. Его можно изменить с помощью параметра NVreg_S0ixPowerManagementVideoMemoryThreshold. Однако стоит учитывать, что чем выше порог, тем выше вероятность того, что часть видеопамяти не будет сохранена.
Часть IV. Графический интерфейс
В качестве графической оболочки операционной системы Альт Рабочая станция используется графическая среда GNOME.
Глава 31. Экскурсия по системе
При первом входе в систему автоматически запускается приложение Экскурсия, которое помогает ознакомиться с основными возможностями ОС и выполнить начальную настройку рабочего окружения.
На второй странице
Экскурсии можно выбрать стиль интерфейса:
GNOME — с современным представлением рабочих столов;
Панельный — с классическим оформлением и привычной панелью задач.
В зависимости от выбранного стиля, далее демонстрируются ключевые элементы интерфейса: организация рабочего пространства, системное меню, доступ к приложениям, переключение задач, горячие клавиши и жесты.
На предпоследнем шаге Экскурсии можно выбрать визуальное оформление (светлую или тёмную тему), а также настроить видимость кнопок Развернуть и Свернуть в заголовке окон:
В Альт Рабочая станция доступны два варианта оформления интерфейса: GNOME и Панельный. Они различаются подходом к организации рабочего стола и навигации:
GNOME — оригинальный стиль с верхней панелью и обзором рабочих пространств. Подходит для пользователей, которые предпочитают современный, лаконичный дизайн и жестовое управление (если есть тачпад);
Панельный — более традиционный интерфейс с классическим расположением панелей и меню. Поддерживает значки на рабочем столе. Подходит для тех, кто привык к классическому управлению окнами и хочет более прямого доступа к приложениям.
Управление с помощью жестов доступно только при работе в сессии Wayland. В сессии X11 жесты не поддерживаются.
Изменить стиль можно в любое время с помощью следующих приложений:
После запуска GNOME пользователю автоматически представляется режим Обзор.
Режим Обзор позволяет получить доступ к открытым окнам и приложениям. В этом режиме для поиска приложений, файлов, папок можно просто начать набирать текст.
Панель GNOME — панель, расположенная по умолчанию в верхней части экрана. В этой панели отображаются кнопка Обзор, текущие дата и время, раскладка клавиатуры и системное меню для управления звуком, сетевыми соединениями и питанием системы.
Кнопка Обзор (Super) позволяет переключаться в режим Обзор и обратно.
При нажатии на строку даты и времени на панели открывается календарь со списком предстоящих событий и уведомлений.
Календарь также можно открыть, нажав
Super+
V.
Нажатие на кнопку, расположенную в правом углу панели (
Super+
S), открывает
Системное меню:
В системном меню отображается индикатор состояния батареи и кнопки:
— кнопка для запуска инструмента создания снимков экрана;
— кнопка блокировки сеанса доступа;
— кнопка позволяющая приостановить или выключить компьютер, предоставить доступ к компьютеру другому пользователю без полного выхода из системы.
С помощью ползунков можно регулировать громкость звука или яркость экрана.
Остальная часть меню содержит кнопки быстрых настроек, с помощью которых можно управлять доступными службами и устройствами (например, Wi-Fi, Bluetooth).
В режиме Обзор в нижней части экрана находится Панель задач. На этой панели отображаются избранные и запущенные приложения. Для открытия приложения достаточно щёлкнуть мышью по значку на панели задач. Панель задач также обеспечивает доступ к меню запуска всех установленных программ.
Для добавления приложения на необходимо в контекстном меню нужного приложения выбрать пункт .
Чтобы удалить значок приложения из , необходимо в контекстном меню значка приложения выбрать пункт .
Если приложение уже запущено, под его значком будет показана точка. Нажатие правой кнопки мыши на значке открывает меню, в котором можно выбрать любое из уже открытых окон запущенного приложения или открыть новое окно.
Чтобы переключиться на окно, следует в режиме Обзор нажать на это окно. Если у вас открыто несколько виртуальных рабочих столов, можно нажать на любой из них, чтобы посмотреть, какие окна открыты на этом виртуальном рабочем столе.
Кнопка
Показать приложения, расположенная на панели задач, открывает режим
Обзор приложений. В этом режиме будут показаны все приложения, установленные на компьютере. Подробнее о запуске приложений см.
Запуск приложений
В режим Обзор приложений также можно перейти, нажав Super+A.
Увидеть все запущенные приложения с графическим интерфейсом и переключаться между ними можно в переключателе окон. Чтобы активировать переключатель окон, следует нажать Super+Tab:
Чтобы выбрать приложение следует отпустить клавишу Super. Значок приложения также можно выбрать с помощью мыши. С помощью клавиши Tab или клавиш со стрелками → и ← можно перемещаться между значками приложений в переключателе окон.
Окна в переключателе окон группируются по приложениям. При выборе приложения с несколькими окнами открывается выпадающий список с миниатюрами окон. Для переключения между окнами в списке, необходимо нажимать клавишу ` (клавишу, расположенную над клавишей Tab). Миниатюры приложений, у которых имеется только одно окно, можно показать с помощью клавиши ↓.
После запуска GNOME рабочий стол запускается в традиционном режиме отображения содержимого папки рабочего стола:
На рабочем столе
GNOME есть две особые области:
область рабочего стола (рабочая площадь в центре, занимающая большую часть экрана);
панель GNOME (полоса внизу экрана).
В области рабочего стола расположен значок Домашняя папка, который предоставляет доступ к домашнему каталогу пользователя /home/<имя пользователя>. В этой папке по умолчанию хранятся пользовательские файлы (например, аудиозаписи, видеозаписи, документы). Домашняя папка есть у каждого пользователя системы, и по умолчанию содержащиеся в ней файлы недоступны для других пользователей (даже для чтения).
На область рабочего стола можно перетащить файлы и создать ярлыки программ.
Для добавления ярлыка на рабочий стол необходимо открыть Меню GNOME и в контекстном меню нужного приложения выбрать пункт :
Щелчок правой кнопкой мыши на свободной области рабочего стола открывает контекстное меню рабочего стола.
Панель GNOME по умолчанию расположена в нижней части экрана.
На панели расположены:
основное меню — Меню GNOME, обеспечивающее доступ ко всем графическим приложениями и изменениям настроек;
— кнопка
Обзор;
Панель задач с кнопками избранных приложений;
раскладка клавиатуры;
текущие дата и время;
системное меню для управления звуком, сетевыми соединениями и питанием системы;
кнопка Показать рабочий стол — позволяет свернуть (развернуть) все открытые окна на текущем рабочем месте.
Через Меню GNOME осуществляется запуск всех приложений, установленных на компьютер:
Открыть меню также можно, нажав клавишу Super.
Кнопка Обзор позволяет перейти в режим Обзор:
Режим Обзор позволяет получить доступ к открытым окнам и приложениям. В этом режиме для поиска приложений, файлов, папок можно просто начать набирать текст.
Чтобы переключиться на окно, следует в режиме Обзор нажать на это окно. Если у вас открыто несколько виртуальных рабочих столов, можно нажать на любой из них, чтобы посмотреть, какие окна открыты на этом виртуальном рабочем столе.
На панели задач отображаются избранные и запущенные приложения. Для открытия приложения достаточно щёлкнуть мышью по значку на панели задач. Если приложение уже запущено, под его значком будет показана белая полоса. Нажатие правой кнопки мыши на значке открывает меню, в котором можно выбрать любое из уже открытых окон запущенного приложения или открыть новое окно.
Для добавления приложения на необходимо в контекстном меню нужного приложения выбрать пункт .
Чтобы удалить значок приложения из , необходимо в контекстном меню значка приложения выбрать пункт .
При нажатии на строку даты и времени открывается календарь со списком предстоящих событий и уведомлений.
Календарь также можно открыть, нажав
Super+
V.
Нажатие на кнопку, расположенную в правом углу панели (
Super+
S), открывает
Системное меню:
В системном меню отображается индикатор состояния батареи и кнопки:
— кнопка для запуска инструмента создания снимков экрана;
— кнопка блокировки сеанса доступа;
— кнопка позволяющая приостановить или выключить компьютер, предоставить доступ к компьютеру другому пользователю без полного выхода из системы.
С помощью ползунков можно регулировать громкость звука или яркость экрана.
Остальная часть меню содержит кнопки быстрых настроек, с помощью которых можно управлять доступными службами и устройствами (например, Wi-Fi, Bluetooth).
Глава 33. Запуск приложений
В среде рабочего стола GNOME установленные приложения можно запускать несколькими способами.
Если компьютер запрашивает пароль администратора (root), то это значит, что будут производиться важные системные настройки. Следует быть предельно внимательным к выводимым сообщениям.
Для поиска приложения следует перейти в режим Обзор, нажав кнопку Обзор, расположенную в левой части панели GNOME.
В режим Обзор также можно перейти, нажав клавишу Super.
В режиме
Обзор найти приложение можно несколькими способами:
Приложение можно запустить на отдельном виртуальном рабочем столе. Для этого необходимо перетащить значок приложения из панели задач (или из списка приложений) на один из виртуальных столов. После перетаскивания приложение будет открыто в выбранном рабочем месте.
В левой части панели GNOME находится Меню GNOME. Через Меню GNOME осуществляется запуск всех приложений, установленных на компьютер:
Установленные приложения доступны в следующих пунктах меню:
Этот список обновляется при установке или удалении программ.
Для добавления приложения в пункт необходимо открыть Меню GNOME и в контекстном меню нужного приложения выбрать пункт .
Поле Поиск позволяет быстро запустить нужное приложение. Для этого достаточно приступить к вводу названия или описания искомого приложения, по мере ввода символов, в меню остаются видны только те приложения, которые соответствуют запросу. Если объект поиска отсутствует в меню, функция Поиск «предложит» другие возможные действия, например, поиск в файлах ОС или поисковой системе.
Если у приложения есть кнопка на панели задач, его можно запустить, нажав эту кнопку.
При нажатии на Super+A будут показаны значки всех установленных приложений:
Чтобы найти приложение можно перейти в режим Обзор и приступить к вводу названия или описания искомого приложения, поиск начнётся в процессе набора символов:
33.3. Запуск приложений с помощью команды
Графическое приложение можно запустить путем ввода команды.
Для запуска приложения также можно нажать
Alt+
F2, в открывшемся окне ввести название приложения и нажать
Enter:
33.4. Выбор программ, запускаемых автоматически при входе в систему
Для более удобной работы с системой можно выбрать определенные программы, которые будут запущены автоматически при входе пользователя в систему. Автозапускаемые программы автоматически сохраняют своё состояние и безопасно завершаются сеансовым менеджером при выходе из системы и перезапускаются при входе.
В приложении Ignition можно добавить программы или сценарии, которые будут автоматически запускаться при входе пользователя в систему.
Для добавления новой автоматически запускаемой программы, следует выполнить следующие шаги:
Нажать кнопку + Новая (или кнопку + Новая запись, если в автозапуск ещё не добавлено ни одно приложение):
Нажать кнопку Добавить приложение:
Выбрать приложение из списка:
Отредактировать, если это необходимо, запись автозапуска и нажать кнопку Создать:
Приложение будет добавлено в список автозапуска:
Если в автозапуск нужно добавить сценарий, то на втором шаге необходимо нажать кнопку
Добавить команду или сценарий:
В следующем окне в поле
Имя указать имя записи, в поле
Команда или сценарий указать команду или путь к файлу сценария:
Файл сценария должен быть исполняемым.
Если требуется отключить автозапуск приложения, необходимо дважды щёлкнуть мышью по приложению, в открывшемся окне переместить переключатель Включить в выключенное состояние и нажать кнопку Применить. Для того чтобы удалить приложение из автозапуска, следует нажать кнопку Отправить в корзину:
Глава 34. Настройка параметров GNOME
Самые широкие возможности по настройке графической среды GNOME предлагает диалог . Здесь можно изменять фон рабочего стола, внешний вид, а также настраивать различные системные параметры.
можно запустить как любое другое приложение (см.
Запуск приложений). также можно запустить из системного меню, нажав кнопку
, или из командной строки:
$ gnome-control-center
Глава 35. Расширяемый центр управления (Tuner)
Тюнер (Tuner) — это расширяемый центр управления, обеспечивающий расширенный контроль над интерфейсом и функциями с помощью плагинов. Тюнер содержит дополнительный набор настроек системы, компонентов, приложений и т. д.
На вкладке можно выбрать стиль интерфейса (
GNOME или
Панельный), темы курсора и значков, а также указать, следует ли использовать светлую тему для оболочки системы.
На вкладке можно отключить вставку выделенного текста по нажатию средней кнопки мыши, а также настроить действия, выполняемые при нажатии кнопок мыши в заголовке окна.
На вкладке настраиваются расширенные параметры ввода и поведения клавиатуры, включая раскладки, модификаторы, горячие клавиши и поведение системных клавиш.
Кнопка Дополнительные параметры раскладки открывает отдельное окно, где собраны более тонкие и продвинутые настройки поведения клавиатуры. Эти параметры позволяют гибко адаптировать ввод под конкретные пользовательские сценарии и предпочтения.
Вкладка предоставляет дополнительные параметры настройки поведения окон и графической оболочки.
На этой вкладке доступны следующие параметры:
Центрировать новые окна — включает автоматическое размещение новых окон в центре экрана при их открытии;
Изменять размер щелчком вторичной кнопки — позволяет изменять размер окна с помощью щелчка правой кнопкой мыши (вторичной кнопки) по краю окна, что может быть удобно при работе с мышью без модификаторов клавиатуры;
Режим фокусировки окна — определяет поведение системы при выборе активного окна;
Расположение кнопок окна — позволяет изменить порядок и наличие кнопок управления окнами в заголовке:
Параметры, расположенные в секции
Дополнительные возможности, включают переключатели, активирующие соответствующие функции в
Настройках GNOME:
Параметры переменной частоты обновления — позволяет адаптивно менять частоту обновления монитора для обеспечения плавности и отсутствия разрывов во время игр и показа видео.
Переменная частота обновления (VRR) работает только на мониторах, которые поддерживают эту функцию.
Параметры дробного масштабирования — позволяет включить поддержку масштабирования с дробным коэффициентом (например, 125 %, 150 %), расширяя выбор масштабов в настройках GNOME. Это может быть полезно на экранах с нестандартным DPI.
Функция дробного масштабирования доступна только в сессии Wayland.
Включение дробного масштабирования может привести к размытию изображения в устаревших приложениях, использующих XWayland, даже если выбраны только целочисленные масштабы, поскольку при этом меняется метод рендеринга.
Родное масштабирование XWayland — включает режим масштабирования приложений X11, запускаемых под XWayland, с учётом текущего масштаба Wayland. Это позволяет избежать размытия и обеспечивает более чёткий вывод.
Глава 36. Полезные комбинации клавиш
В GNOME есть множество полезных сочетаний клавиш, которые ускоряют работу с системой. Ниже приведён обзор комбинаций клавиш, которые помогут более эффективно использовать рабочий стол и приложения.
Таблица 36.1. Управление рабочим столом
|
Комбинация клавиш
|
Описание
|
|
Super
|
Стиль GNOME: переключение между обзором и рабочим столом
Панельный стиль: показать/скрыть меню GNOME
|
|
Super+A
|
Показать экран приложений
|
|
Super+Page Up и Super+Page Down
|
Переключение между рабочими пространствами
|
|
Super+Shift+Page Up и Super+Shift+Page Down
|
Стиль GNOME: перемещение текущего окна на другое рабочее место
|
|
Super+Shift+← и Super+Shift+→
|
Переместить текущее окно на другой монитор
|
|
Super+L
|
Блокировка экрана
|
|
Super+V
|
Показать календарь и список уведомлений
|
|
Super+S
|
Показать системное меню
|
|
Alt+F2
|
Открыть окно для запуска команд (в окне можно использовать стрелки)
|
|
Ctrl+Alt+T
|
Запустить эмулятор терминала
|
Таблица 36.2. Переключение раскладки клавиатуры
|
Комбинация клавиш
|
Описание
|
|
Super+Space
|
Переключение раскладки клавиатуры (или источник ввода)
|
|
Super+Shift+Space
|
Переключение раскладки клавиатуры в обратном порядке (полезно, если имеется больше двух источников ввода)
|
Таблица 36.3. Управление окнами
|
Комбинация клавиш
|
Описание
|
|
Alt+F4
|
Закрыть окно
|
|
Super+H
|
Свернуть окно
|
|
Super+↑
|
Развернуть окно
|
|
Super+↓
|
Восстановить размер
|
|
Super+← и Super+→
|
Переместить окно влево/вправо (половина экрана)
|
|
Super+Tab
|
Переключение между окнами
|
|
Super+Shift+Tab
|
Переключение между окнами в обратном порядке
|
|
Super+`
|
Переключение между окнами одного приложения
|
Таблица 36.4. Общие комбинации клавиш для редактирования
|
Комбинация клавиш
|
Описание
|
|
Ctrl+A
|
Выделение всего текста или всех объектов в списке
|
|
Ctrl+X
|
Вырезать (удалить) выделенный текст или объекты и поместить их в буфер обмена
|
|
Ctrl+C
|
Копировать выделенный текст или объекты в буфер обмена
|
|
Ctrl+V
|
Вставить содержимое буфера обмена
|
|
Ctrl+Z
|
Отменить последнее выполненное действие
|
|
Ctrl+Shift+C
|
Копировать в терминале (консоли) выделенный текст или команду в буфер обмена
|
|
Ctrl+Shift+V
|
Вставить содержимое буфера обмена в терминал (консоль)
|
Таблица 36.5. Снимки и запись экрана
|
Комбинация клавиш
|
Описание
|
|
PrtSc (Print Screen)
|
Запуск инструмента создания снимков экрана
|
|
Alt+PrtSc
|
Сделать снимок активного окна
|
|
Shift+PrtSc
|
Сделать снимок всего экрана
|
|
Shift+Ctrl+R
|
Запись экрана (включить/выключить)
|
Изменить или добавить свои сочетания клавиш можно в диалоговом окне
Комбинации клавиш (открывается при нажатии кнопки
Просмотр и изменение комбинаций клавиш в модуле
Клавиатура) приложения
Параметры системы:
Глава 37. Справка к приложениям
Получить общую информацию об использовании
GNOME, можно в приложении
Справка GNOME, которое можно запустить как любое другое приложение (см.
Запуск приложений). После запуска приложения выберите интересующий вас раздел:
Часть V. Обзор приложений для рабочей станции
Альт Рабочая станция содержит большое число приложений (программ) для выполнения всех повседневных задач. При этом важно понимать, что для выполнения одного и того же действия могут быть использованы разные приложения. Например, для написания простых текстов доступен целый ряд текстовых редакторов с разным набором возможностей. Со временем вы сами сможете выбрать наиболее удобные для вас приложения.
Набор программ с диска покрывает обычные потребности. Если же определённая программа отсутствует в системе, то вы можете доустановить её с диска или из огромного банка программного обеспечения Альт Рабочая станция.
Веб-браузеры — комплексные программы для обработки и отображения
HTML-страниц по протоколу
HTTP и
HTTPS (открытие страниц сайтов, блогов и т.д.). Основное назначение веб-браузера — предоставление интерфейса между веб-сайтом и его посетителем. К базовым функциям современных веб-браузеров относятся:
навигация и просмотр веб-ресурсов;
показ оглавлений FTP-серверов и скачивание файлов;
поддержка скриптовых языков.
Основные принципы работы с веб-браузером неизменны. Программа предоставляет пользователю адресную строку, в которую вносится адрес необходимого вам сайта. Эта же строка может использоваться для ввода поискового запроса. Для более быстрого доступа адреса часто посещаемых сайтов добавляются в закладки. Для перехода к предыдущей/следующей просмотренной веб-странице, как правило, предусмотрены специальные кнопки на панели инструментов.
Возможно, по опыту работы в других операционных системах вы уже знакомы с определённым браузером. Определить, какой браузер лучше, практически невозможно. Эту задачу каждый пользователь решает сам, ориентируясь на свои личные предпочтения. В любом случае рассмотрите основные предложения и выберите наиболее удобный для вас веб-навигатор.
Веб-браузер Chromium — веб-браузер с открытым исходным кодом. Chromium предназначен для предоставления пользователям быстрого, безопасного и надёжного доступа в Интернет, а также удобной платформы для веб-приложений.
Для того чтобы открыть интернет-страницу, необходимо ввести её адрес в адресную строку браузера и нажать кнопку Enter. Если нужно открыть ссылку на следующую страницу в новой вкладке, то необходимо нажать на ней средней кнопкой (колесом) мыши.
Chromium хранит пароли в связке ключей. Она защищена паролем входа в систему и автоматически открывается при входе в систему (подробнее см.
Связка ключей).
При смене пароля пользователя, пароль на связку ключей не меняется автоматически, поэтому при запуске Chromium будет однократно запрошен предыдущий пароль:
Глава 39. Электронная почта
Для работы с электронной почтой применяются специализированные программы — почтовые клиенты, предоставляющие пользователю гибкие и эффективные возможности работы с электронной корреспонденцией: различные средства сортировки сообщений, выбор шаблонов из готового набора, проверку орфографии по мере набора текста и другие полезные функции.
Современные пользователи предпочитают работать с электронной почтой через веб-интерфейс, используя браузер. Подручных средств, предоставляемых популярными почтовыми сервисами, для повседневных почтовых нужд пользователя практически достаточно, но использование специально предназначенных программ даёт некоторые преимущества:
возможность одновременной работы с несколькими учётными записями;
гибкие правила сортировки почты;
обеспечение ограниченного доступа к отдельным папкам или учётным записям;
наличие антиспам-систем и систем фильтрации рекламы;
экономия входящего трафика.
Для Linux создано большое количество почтовых клиентов. Все они обладают своими особенностями и, как правило, имеют всё необходимое для успешной работы с электронной почтой: сортировку и фильтрацию сообщений, поддержку различных кодировок сообщений, возможность работы со списками рассылки и т.п.
Выбор почтового клиента зависит от ваших личных предпочтений. Для первоначальной настройки любого из них вам потребуются следующие данные:
адрес электронной почты;
пароль для доступа к ящику электронной почты;
имена серверов входящей и исходящей почты;
тип сервера входящей почты (IMAP или POP3).
Адрес и порт для доступа к
SMTP и
POP3 серверам необходимо выяснить у провайдера электронной почты или у администратора вашей сети (в случае использования почтового сервера локальной сети).
Mozilla Thunderbird — мощный почтовый клиент, позволяющий максимально эффективно работать с электронной почтой.
Mozilla Thunderbird позволяет работать с электронной корреспонденцией через протоколы
POP,
SMTP и
IMAP, участвовать в конференциях Usenet, а также осуществлять подписку на новостные ленты
RSS.
Функции Thunderbird:
настройка интерфейса (изменение расположения окон, наличие и отсутствие кнопок на панели инструментов, изменение их размера и т.д.);
отображение любого форматирования HTML, обеспечивающее кроссплатформенную совместимость;
выбор режимов показа и компоновки учётных записей и почтовых папок;
поддержка смены тем и установки расширений.
39.1.1. Первоначальная настройка Thunderbird
При первом запуске почтового клиента Thunderbird будет автоматически запущен мастер Настройка учётной записи почты.
Мастер создания учётной записи запросит:
ваше имя;
адрес электронной почты;
пароль.
Далее, на основании введённой информации, мастер определяет протокол доступа (
IMAP или
POP3) и адреса серверов входящих и исходящих сообщений. Вы можете принять предложенные настройки, если они верны, нажав на кнопку
Готово, или указать правильные настройки, воспользовавшись кнопкой
Настроить вручную…. Добавить дополнительную учётную запись можно выбрав в левой части окна программы одну из существующих учётных записей, и затем нажав кнопку
Электронная почта.
Если ваш почтовый ящик расположен на сервисе Gmail или Яндекс.Почта, то вся настройка происходит автоматически — вам необходимо ввести только имя учётной записи и пароль.
В случае наличия нескольких учётных записей вы можете выбирать метод их компоновки на панели почтовых папок.
39.1.2. Использование почтового клиента
Для составления письма нажмите Создать. В открывшемся окне Создание сообщения введите адрес получателя, тему и текст письма. Для проверки ошибок в тексте выберите кнопку Орфография.
В виде вложения к письму можно пересылать электронные документы, изображения, архивы и т.п. Для того чтобы добавить вложение, нажмите Вложить и выберите нужный файл в открывшемся окне. Закончив составление письма, нажмите Отправить.
Более подробную информацию об использовании и настройке Thunderbird смотрите → или при помощи клавиши F1.
Глава 40. Обмен мгновенными сообщениями
Для обмена сообщениями в режиме реального времени через Интернет необходима специализированная клиентская программа, передающая текстовые сообщения, а также файлы различных типов. Система мгновенного обмена сообщениями является одним из самых доступных и востребованных средств общения в Интернете. Преимущества инструментов мгновенного обмена информацией:
Скорость — мгновенные сообщения позволяют собеседникам общаться со скоростью нажатия на кнопку, без необходимости открывать письма и ждать ответа;
Удобство — программы обмена мгновенными сообщениями включают широкий набор коммуникативных и производственных функций.
Большинство современных программ мгновенного обмена сообщениями позволяют видеть, подключены ли в данный момент абоненты, занесённые в список контактов. Сообщения появляются на мониторе собеседника только после окончания редактирования и отправки. В список основных функций служб мгновенных сообщений входят:
чат (видеочат, текстовый и голосовой);
VoIP сервисы: звонки на компьютер, звонки на стационарные и мобильные телефоны;
возможность отправки SMS;
передача файлов;
инструменты для совместной работы в режиме реального времени;
возможность общаться в чате непосредственно на веб-странице;
напоминания и оповещения;
хранение истории общения по каждому контакту;
индикация о сетевом статусе занесённых в список контактов пользователей (в сети, нет на месте и т.д.).
Существуют клиентские программы, позволяющие подключаться одновременно к нескольким сетям. Они поддерживают наиболее популярные протоколы, что избавляет вас от необходимости устанавливать отдельный
IM-клиент для каждой сети.
Pidgin — мультипротокольная программа-клиент для мгновенного обмена сообщениями, позволяющая одновременно подключиться к нескольким сетям. Поддерживает наиболее популярные протоколы: Bonjour, Gadu-Gadu, Google Talk, GroupWise, IRC, SIMPLE, Sametime, XMPP (Jabber) и Zephyr.
Возможности
Pidgin:
поддержка особенностей различных сетей (статус сообщения, значки друзей, уведомление о наборе текста…);
шифрованный чат;
объединение контактов в один метаконтакт;
запись протокола событий;
поддержка вкладок в окне разговора;
одновременное подключение к нескольким аккаунтам;
слежение за пользователями;
обмен файлами;
многоязычный интерфейс.
40.1.1. Первоначальная настройка
После запуска Pidgin необходимо произвести его первоначальную настройку. При первом запуске Pidgin из меню → необходимо запустить диалоговое окно мастера создания учётной записи и создать учётную запись пользователя.
Из списка поддерживаемых служб выберите ту, которую собираетесь использовать. Возможно, вы уже решили, какую службу
IM будете использовать (потому что вы уже пользовались ею, либо потому что ею пользуются ваши друзья). Если вы ещё не остановили свой выбор на какой-то определённой службе
IM, то выберите службу, основанную на открытых стандартах, например, jabber.
Если вы ещё не зарегистрированы ни в одной службе мгновенных сообщений, то предварительно необходимо создать аккаунт на соответствующем веб-сайте.
После настройки учётной записи добавьте в список контактов ваших собеседников (кнопка Добавить собеседника…) и, при условии, что нужный вам собеседник подключён к службе мгновенных сообщений, можете начинать общение.
За дополнительной информацией по использованию Pidgin можно обратиться к справке, вызываемой из меню → .
Глава 41. Офисные приложения
Офисными приложениями традиционно называют пакет программ для работы с текстами, таблицами и презентациями.
LibreOffice — пакет программ для работы с офисными документами. Кроме стандартных для LibreOffice форматов хранения данных, вы можете успешно открывать и сохранять документы, созданные в других популярных офисных пакетах.
Текстовый процессор
Текстовый процессор (LibreOffice Writer) позволяет проектировать и создавать текстовые документы, содержащие изображения, таблицы или графики. Вы можете сохранять документы в различных форматах, включая стандартизированный формат OpenDocument format (
ODF), формат Microsoft Word (
DOC,
DOCX) или
HTML. Кроме того, вы можете без труда экспортировать ваш документ в формате переносимого документа (
PDF). Текстовый процессор поддерживает и другие форматы.
Электронные таблицы
Электронная таблица (LibreOffice Calc) предназначена для работы с электронными таблицами. Инструментарий электронных таблиц включает мощные математические функции, позволяющие вести сложные статистические, финансовые и прочие расчёты.
Презентация
Презентация (LibreOffice Impress) позволяет создавать профессиональные слайд-шоу, которые могут включать диаграммы, рисованные объекты, текст, мультимедиа и множество других элементов. При необходимости можно даже импортировать и изменять презентации
Microsoft PowerPoint. Для того чтобы сделать экранные презентации более эффектными, можно использовать такие средства, как анимация, мультимедиа и переходы между слайдами.
Редактор рисунков
Редактор рисунков (LibreOffice Draw) позволяет создавать рисунки различной сложности и экспортировать их с использованием нескольких общепринятых форматов изображений. Кроме того, можно вставлять в рисунки таблицы, диаграммы, формулы и другие элементы, созданные в программах
LibreOffice.
Редактор формул
Редактор формул (LibreOffice Math) позволяет создавать и редактировать математические и химические формулы. Math предоставляет различные операторы, функции и средства форматирования, облегчающие создание формул. Math может быть запущен автономно или вызван из других модулей LibreOffice (Writer, Calc, Impress, Draw).
Базы данных
Базы данных (LibreOffice Base) поддерживает некоторые обычные файловые форматы баз данных, например, BASE. Кроме того, можно использовать
LibreOffice Base для подключения к внешним реляционным базам данных, например, к базам данных
MySQL или
Oracle. В базе
LibreOffice Base невозможно изменить структуру базы данных или редактировать, вставлять и удалять записи для ниже перечисленных типов баз данных (они доступны только для чтения):
Глава 42. Файловые менеджеры
Файловые менеджеры предоставляют интерфейс пользователя для работы с файловой системой и файлами. Файловые менеджеры позволяют выполнять наиболее частые операции над файлами — создание, открытие/проигрывание/просмотр, редактирование, перемещение, переименование, копирование, удаление, изменение атрибутов и свойств, поиск файлов и назначение прав. Помимо основных функций, многие файловые менеджеры включают ряд дополнительных возможностей, например, таких, как работа с сетью (через FTP, NFS и т.п.), резервное копирование, управление принтерами и прочее.
Приложение Файлы — это современный файловый менеджер для рабочего стола GNOME.
Файловый менеджер является точкой доступа, как к файлам, так и к приложениям. Используя файловый менеджер, можно:
создавать папки и документы;
просматривать файлы и папки;
управлять файлами и папками;
настраивать и выполнять особые действия;
получать доступ к съёмным носителям.
Окно файлового менеджера состоит из боковой панели слева, основной области справа и панели адреса, расположенной над основной областью. На боковой панели размещены закладки на различные папки системы. Основная область отображает содержимое текущей папки. Панель адреса всегда показывает путь к текущей папке.
Двойной щелчок на папках открывает их, щелчок правой кнопкой мыши на объектах открывает контекстное меню, предлагающее на выбор некоторые действия с ними.
Контекстное меню файла, папки и свободного пространства могут сильно отличаться друг от друга.
Чтобы просмотреть свойства файла (папки), необходимо выделить файл (папку) и выполнить одно из следующих действий:
Окно Свойства объекта показывает подробную информацию о любом файле, папке или другом объекте в файловом менеджере (какие именно сведения будут доступны, определяется типом объекта).
С помощью окна Свойства объекта можно изменить файловые права на доступ к объекту.
Все файлы и папки пользователя хранятся в системе внутри домашней папки (каталог /home/имя_пользователя). Открыть её можно, щёлкнув на значке папки на . Откроется приложение Файлы, позволяющее просматривать содержимое дерева каталогов, удалять, переименовывать и производить прочие операции над файлами и папками.
Домашняя папка есть у каждого пользователя системы, и по умолчанию содержащиеся в ней файлы недоступны для других пользователей (даже для чтения).
В домашней папке по умолчанию находятся несколько стандартных папок:
Документы — папка, предназначенная для хранения документов;
Загрузки — в данную папку по умолчанию загружаются файлы из Интернета;
Рабочий стол — содержит файлы, папки и значки, отображающиеся на рабочем столе;
Видео, Изображения, Музыка, Шаблоны — папки, предназначенные для хранения файлов различных типов;
Общедоступные — папка, предназначенная для хранения файлов, к которым могут иметь доступ другие пользователи сети.
Кроме того, в домашней папке и её подпапках можно создавать другие папки, например, выбрав в контекстном меню пункт :
Файловый менеджер GNOME, как и прочие приложения Альт Рабочая станция, содержит руководство пользователя, вызываемое нажатием F1. Ниже описаны лишь некоторые возможности файлового менеджера. За полным руководством обращайтесь к встроенному руководству пользователя.
Ориентироваться в сложно организованной системе вложенных папок и быстро перемещаться по ней поможет путь в адресной строке. Каждая папка в этом пути представлена в виде ссылки. Нажав на ссылку, можно быстро открыть нужную папку.
Строка адреса может быть также представлена в виде редактируемой строки. Чтобы переключить адресную строку из вида хлебных крошек к редактируемой версии можно нажать
Ctrl+
L или щёлкнуть мышью в конце адресной строки. Редактируемая строка адреса:
Чтобы вернуться к показу ссылок, достаточно нажать клавишу
Esc.
42.1.3. Копирование и перемещение файлов
Скопировать или переместить файл или папку можно различными способами:
Для выбора сразу нескольких файлов или папок можно отмечать их списком, удерживая при этом клавишу Ctrl.
Если в контекстном меню объекта выбрать пункт или , то откроется окно выбора папки назначения. После выбора папки следует нажать кнопку
Выбрать и объект будет скопирован или перемещен в эту папку:
Удалить выделенный объект можно, выбрав в контекстном меню пункт . Можно также использовать клавишу Delete. В этом случае файлы и папки удаляются в Корзину. Это позволяет восстановить объект при его ошибочном удалении.
При ошибочном удалении можно восстановить объект из корзины. Для этого нужно открыть корзину, вызвать на удалённом файле или папке контекстное меню и в нём выбрать пункт . Выбор в контекстном меню пункта навсегда удалит ненужный файл или папку без возможности восстановления.
Для того чтобы безвозвратно удалить всё содержимое корзины, выберите в контекстном меню корзины пункт .
Для того чтобы не засорять жёсткий диск компьютера ненужными файлами и сразу удалять их, минуя корзину, следует нажать Shift+Delete. Поскольку отменить это действие невозможно, будет предложено подтвердить, действительно ли необходимо удалить данный объект.
Открыть файл из файлового менеджера — значит запустить приложение, ассоциированное с этим типом файлов, в нём и откроется файл.
Для указания, какие приложения должны запускаться по умолчанию, используется инструмент
Приложения по умолчанию Настроек GNOME.
При щелчке на файл, являющийся изображением (например, .jpg файл) откроется программа Просмотрщик изображений, в которой откроется изображение. Таким образом, вы можете открывать интересующие вас файлы простым щелчком прямо из файлового менеджера.
Если на компьютере установлено несколько программ для работы с изображениями, то можно запустить нужную, для этого следует в контекстном меню выбрать пункт :
Затем в открывшемся окне выбрать программу из предлагаемого списка:
42.1.6. Создание файла из шаблона
Если часто нужно создавать типовые документы, можно воспользоваться шаблонами файлов. Шаблоном может быть документ любого типа с содержимым, которое будет добавляться в создаваемые файлы.
По умолчанию в Альт Рабочая станция доступно несколько шаблонов.
Для создания документа из шаблона необходимо:
Открыть папку, в которой нужно создать документ.
В контекстном меню пустой области окна папки выбрать пункт :
В открывшемся подменю будет показан список доступных шаблонов. Выбрать нужный шаблон из списка:
Для создания нового шаблона достаточно создать документ, который будет использоваться как шаблон, и поместить его в папку Шаблоны, расположенную внутри домашней папки пользователя.
В файловом менеджере можно выполнить поиск файлов по имени.
Панель поиска вызывается щелчком по значку папки с лупой (Ctrl+F):
Открывшаяся панель поиска по умолчанию настроена на поиск файлов в текущем каталоге и всех подкаталогах.
Для поиска следует ввести имя файла (или часть имени), результаты поиска будут отображаться по мере набора символов:
Можно сократить результаты поиска, дополнительно указав дату или тип файлов (текстовые файлы, документы, звуковые файлы, видеозаписи, изображения):
Поиск нечувствителен к регистру. При поиске не используются подстановочные знаки или регулярные выражения.
Полнотекстовый поиск по файлам с различными форматами можно осуществить в программе
Recoll.
42.1.8. Использование сменных носителей
Файловый менеджер может совершать различные действия при появлении в системе съёмных носителей. Например, их подключение, открытие окна файлового менеджера для отображения их содержимого или запуск подходящего приложения для обработки (например, музыкального проигрывателя для аудио CD).
Подключить носитель — значит сделать его файловую систему доступной. При подключении носителя его файловая система присоединяется к вашей файловой системе в виде подкаталога.
В Альт Рабочая станция настроено автоматическое подключение обнаруженных носителей, поэтому для подключения носителя, достаточно вставить его в подходящее устройство. В окне файлового менеджера появится содержимое носителя:
По умолчанию USB-накопители подключаются индивидуально для каждого пользователя (точка монтирования /run/media/<имя_пользователя>/).
Если автоматического монтирования не произошло, следует убедиться, что на USB-накопитель не установлено ПО для защиты конфиденциальных данных, например, SecureDrive.
Для извлечения носителя необходимо сначала отключить его. Например, для извлечения USB-накопителя нужно выполнить следующие шаги:
Закрыть все окна диспетчера файлов, окна терминала и любые другие окна, осуществляющие доступ к USB-накопителю.
В контекстном меню носителя выбрать пункт :
Подождать, пока не исчезнет значок носителя (в окне файлового менеджера), затем извлечь носитель.
42.1.9. Создание ресурсов общего доступа
Пользователи могут добавлять, изменять и удалять собственные ресурсы общего доступа. Эта возможность называется usershares и предоставляется службой Samba.
Samba использует отдельную от системной базу данных пользователей. Для возможности доступа пользователя к папке (если запрещен гостевой доступ) необходимо внести его в базу данных Samba и установить пароль для доступа к общим ресурсам (он может совпадать с основным паролем пользователя). Следует учитывать, что в базу данных Samba можно добавлять только тех пользователей, которые уже есть в системе.
Добавить пользователя в базу данных Samba можно, выполнив команду:
# smbpasswd -a <имя_пользователя>
Можно создать отдельного пользователя, которому разрешить только доступ к Samba-ресурсам и запретить полноценный вход в систему:
# useradd user_samba -d /dev/null -s /sbin/nologin
# smbpasswd -a user_samba
Чтобы предоставить общий доступ к папке, нужно в контекстном меню папки выбрать пункт , затем в открывшемся окне отметить пункт
Открыть общий доступ к папке, настроить параметры публикации и нажать кнопку
Создать ресурс:
Общие папки будут отображаться в разделе
Сеть файлового менеджера. Для подключения к общей папке можно указать в адресной строке файлового менеджера протокол и адрес компьютера (
smb://<имя_компьютера>/ или
smb://<IP_компьютера>/) и нажать клавишу
Enter. Будут показаны ресурсы с общим доступом на данном компьютере:
Домашняя папка пользователя по умолчанию не отображается в списке доступных общих ресурсов в сетевом окружении. Обращение к домашней папке выполняется по имени пользователя. Например, для получения доступа к домашней папке пользователя user на компьютере с IP-адресом 192.168.0.147, необходимо указать в адресной строке smb://192.168.0.147/user:
Для возможности получения доступа к домашней папке по сети, необходимо добавить каждого локального пользователя в список пользователей Samba.
Для доступа к папке, к которой запрещен гостевой доступ, необходимо указать имя и пароль пользователя Samba, и нажать кнопку
Подключиться:
После подключения к общей папке она появится на боковой панели. Для добавления постоянной ссылки на сетевую папку следует на панели пути текущей папки выбрать пункт :
В результате на боковой панели появится постоянная ссылка на сетевую папку.
Альт Рабочая станция предлагает приложения для работы с растровой и векторной графикой. Ваш выбор зависит как от личных предпочтений, так и от задач, которые вы собираетесь решать, будь то простой просмотр графических файлов или, например, создание профессиональных макетов.
GIMP (GNU Image Manipulation Program) — графический редактор, предназначенный для работы с растровой графикой. Одной из сильных сторон GIMP является его доступность для многих операционных систем.
GIMP пригоден для решения множества задач по изменению изображений. Типичные задачи, которые можно решать при помощи GIMP, включают в себя создание графики и логотипов, масштабирование и кадрирование фотографий, раскраску изображений, комбинирование изображений с использованием слоёв, ретуширование и преобразование изображений в различные форматы.
43.1.1. Функциональность GIMP
Главное окно GIMP содержит меню основных функций, панель инструментов и области, в которых отображаются текущие значения основного и фонового цветов, формы кисти, текущего градиента. Окна изображения соответствуют отдельным открытым графическим файлам (или слоям в них).
Основная функциональность, доступная через в главном окне, достаточно традиционна для программ этого класса. Она включает:
выделение области изображения (прямоугольной, эллиптической или произвольной формы). Последовательно выделяемые области могут образовывать пересечения, объединения или вычитания;
выделение смежных областей с заданием параметров выделения;
перемещение, заливку выделенных областей;
кадрирование (обрезку) изображения;
изменение масштаба отображения на экране;
вращение, масштабирование, искривление и зеркальное отображение изображения;
ввод текста;
выбор текущего цвета (Пипетка);
заливку области сплошным цветом или градиентом;
рисование — Карандаш или Кисть произвольной формы;
очистку (Ластик).
В базовую функциональность GIMP входит также возможность захвата изображения со сканера и с экрана.
43.1.2. Фильтрация и синтез изображений
Основной приём автоматизированной обработки изображений — фильтрация их целиком либо выделенных в них областей. Большая часть упомянутых внешних модулей реализует именно функцию фильтрации. Среди наиболее важных в практической обработке изображений фильтров имеются:
изменение цвета, насыщенности, яркости и контраста изображения;
удаление «шума»;
повышение резкости и размывание, выделение краёв.
Значительное количество фильтров имитирует различные «эффекты»: от просмотра изображения через волнистое стекло до растягивания в сферическую или цилиндрическую форму.
43.2. Векторный редактор Inkscape
Inkscape — мощный и удобный инструмент для создания художественных и технических иллюстраций в формате векторной графики, полностью совместимый со стандартами XML, SVG и CSS. Редактор отличается широким набором инструментов для работы с цветами и стилями (выбор цвета, копирование цвета, копирование/вставка стиля, редактор градиента, маркеры контура).
В Inkscape поддерживаются все основные возможности SVG: контуры, текст, маркеры, клоны, альфа-канал, трансформации, градиенты, текстуры и группировка. Inkscape также поддерживает метаданные Creative Commons, правку узлов, слои, сложные операции с контурами, векторизацию растровой графики, редактирование текста прямо на изображении, заверстанный в фигуру текст.
43.3. Программа сканирования и распознавания gImageReader
gImageReader программа для распознавания текста (GUI Tesseract).
Особенности
gImageReader:
поддерживаемые форматы изображений: jpeg, png, tiff, gif, pnm, pcx, bmp;
поддержка формата электронных документов PDF. Возможность выбрать отдельные страницы и диапазон страниц для распознавания;
автоматическое обнаружение расположения страницы;
выделение области с текстом для распознавания;
получение изображения напрямую со сканера. Настройка разрешения, сохранение в формат png;
проверка орфографии.
gImageReader можно применять без подключённого сканера и распознавать текст из имеющегося снимка:
gImageReader поддерживает автоматическое определение макета страницы, при этом пользователь может вручную определить и настроить регионы распознавания. Приложение позволяет импортировать изображения с диска, сканирующих устройств, буфера обмена и скриншотов. gImageReader также поддерживает многостраничные документы PDF.
Распознанный текст отображается непосредственно рядом с изображением. Базовое редактирование текста включает поиск/замену и удаление сломанных строк, если это возможно. Поддерживается проверка орфографии для выводимого текста, если установлены соответствующие словари.
gImageReader имеет возможности прямого получения изображения со сканера, но при этом отсутствует операция предварительного сканирования.
Для работы со сканером следует перейти на вкладку Сканировать (Acquire) в боковой панели, выбрать сканер из списка подключенных устройств, указать имя и расположение файла получаемого изображения, выбрать цветовой режим и разрешение (для наилучших результатов разрешение при сканировании должно быть не меньше 300 DPI).
После нажатия на кнопку Отсканировать (Scan) начнется процесс сканирования изображения, и при его завершении новое изображение появится в области просмотра.
43.4. Сканер документов (Simple Scan)
Сканер документов — это простое в использовании приложение, предназначенное для того, чтобы пользователи могли подключить свой сканер и быстро получить изображение/документ в соответствующем формате. Программа предоставляет базовый набор функций и настроек для сканирования.
Сканеры определяются автоматически при запуске программы и при подключении USB-сканера. При подключении сетевого сканера необходимо перезапустить Сканер документов. Если сканирующих устройств несколько, можно изменить устройство на главной странице.
В левой части окна находится кнопка Сканировать, которая запускает процесс сканирования. Справа от этой кнопки находится выпадающее меню настроек сканирования. Здесь можно выбрать тип сканируемого документа: Текст (документы будут отсканированы в черно-белом режиме) или Изображение (документы будут отсканированы в цвете) и режим сканирования.
Для запуска процесса сканирования нажмите кнопку Сканировать (Ctrl+1). Страница будет отображаться по мере сканирования. Каждая отсканированная страница помещается в конец документа.
Отсканированные страницы можно упорядочивать, вращать, удалять.
Для сохранения отсканированного документа необходимо нажать кнопку
Сохранить документ в файл 
(
Ctrl+
S), выбрать один из поддерживаемых типов файлов и нажать кнопку
Сохранить.
Сохранить документ можно в формате PDF (может содержать несколько страниц) или в форматах PNG, JPG и WebP (для каждой отсканированной страницы будет создан отдельный файл).
Программа Xsane является удобным средством как для сканирования отдельных изображений, так и для организации пакетного (многостраничного) сканирования.
При запуске программы сканирования изображений производится автоматический опрос доступных сканеров (устройств захвата изображений) и предлагается выбрать устройство для работы. Если к компьютеру не подключено ни одного сканера, то будет выдана соответствующая ошибка, затем программа будет закрыта.
Если программа нашла подключенный к системе сканер, будет открыт основной интерфейс приложения Xsane:
Предварительное сканирование выполняется в окне предварительного просмотра путём нажатия кнопки Предварительное сканирование.
Пунктирная линия в окне предварительного просмотра показывает на выбранную по умолчанию область сканирования. Определить область сканирования можно, выделив её при помощи мыши.
При сканировании в итоговое изображение попадёт лишь область, ограниченная настройками предварительного сканирования.
Для сканирования отдельного изображения в программе
Xsane необходимо:
выбрать в основном окне имя и формат файла (если в поле Назначение выбрано значение Сохранение), режим сканирования и разрешение, а также выставить при необходимости гамму, яркость и контрастность;
в окне предварительного просмотра нажать кнопку Предварительное сканирование;
после завершения процесса предварительного сканирования, выделить мышью область для сканирования;
в основном окне программы нажать кнопку Сканировать;
после завершения процесса сканирования (если в поле Назначение было выбрано значение Средство просмотра), в окне просмотра можно воспользоваться инструментами преобразования изображений (поворот, отражение, масштабирование и т.п.) и затем сохранить скорректированную сканкопию.
Xsane предоставляет возможность создать многостраничный документ, минуя промежуточный этап сохранения страниц в виде отдельных графических файлов и использования вспомогательных утилит. Возможно создание документа в формате PDF, TIFF или PostScript.
Для сканирования в
Xsane с созданием многостраничного документа необходимо:
в основном окне Xsane выбрать назначение сканирования Многостраничный:
в открывшемся окне Многостраничный проект, ввести имя создаваемого многостраничного файла и нажать кнопку Создать проект:
перейти в окно Предварительный просмотр и отметить область сканирования (если это необходимо);
в основном окне программы, нажать кнопку Сканировать (рекомендуется в поле Число страниц для сканирования оставить 1 и каждый раз нажимать Сканировать для сканирования следующей страницы);
после завершения сканирования всех страниц перейти в окно Многостраничный проект. В нем отражаются имена файлов, соответствующих отдельным страницам документа. Каждый из этих файлов можно просмотреть, отредактировать, переместить по отношению к другим страницам, или удалить:
далее следует выбрать Тип многостраничного документа (PDF, TIFF или PostScript) и нажать кнопку Сохранить многостраничный файл.
43.6. Просмотрщик изображений (Loupe)
Просмотрщик изображений — это простое приложение для просмотра и базового редактирования изображений. После открытия файла можно изменять масштаб, вращать и обрезать изображение, а также переходить к другим файлам в том же каталоге.
Глава 44. Прочие приложения
44.1. Менеджер архивов File Roller
Менеджер архивов можно использовать для создания, просмотра, изменения и распаковки архивов. Архив — это файл, служащий контейнером для других файлов. Архив может содержать множество файлов, папок и подпапок обычно в сжатом виде.
Менеджер архивов поддерживает, в числе прочих, следующие форматы архивов (должны быть установлены соответствующие инструменты командной строки):
архив 7-zip — .7z;
образ компакт-диска — .iso (только чтение);
архив RAR (Roshal ARchive) — .rar (только чтение);
архив Tar — .tar;
архив Tar, сжатый bzip — tar.bz или .tbz;
архив Tar, сжатый bzip2 — tar.bz2 или .tbz2;
архив Tar, сжатый gzip — tar.gz или .tgz;
архив Tar, сжатый xz — tar.xz;
архив Zip — .zip.
Менеджер архивов автоматически определяет тип архива и отображает:
44.1.1. Использование файлового менеджера для работы с архивом
Файловый менеджер можно использовать для добавления файлов в архив или для извлечения файлов из архива.
Для добавления файла/каталога в архив необходимо:
в контекстном меню файла/каталога, выбрать пункт :
в открывшемся окне необходимо ввести имя архива, выбрать из выпадающего списка тип архива и нажать кнопку
Сжать:
Если необходимо зашифровать содержимое архива, необходимо при создании архива выбрать тип метод сжатия Зашифрованный ZIP и указать пароль, который будет использоваться для шифрования:
Для того чтобы извлечь файлы из архива, следует в контекстном меню архива выбрать пункт — файлы будут распакованы в текущий каталог, или — можно указать каталог, куда будут извлечены файлы:
Приложение Ресурсы позволяет проверять использование системных ресурсов и контролировать запущенные процессы и приложения. Приложение отображает список всех запущенных приложений, а также, сколько каждое из них занимает процессорного времени и оперативной памяти.
Приложение поддерживает мониторинг следующих компонентов:
ЦП
Память
Графика
Сетевые интерфейсы
Устройства хранения
Батареи
Рабочее пространство приложения организовано в виде страниц (вкладок).
На вкладке показан список запущенных приложений, с информацией об используемых ресурсах.
Вкладка позволяет просматривать и управлять запущенными процессами. Список процессов может быть отсортирован по любому параметру. Каждый процесс можно приостановить, остановить, изменить приоритет и выполнить некоторые другие действия.
Для изменения приоритета процесса необходимо:
перейти на вкладку , чтобы отобразить список процессов;
в контекстном меню процесса, приоритет которого следует изменить, выбрать пункт ;
в открывшемся окне в выпадающем списке выбрать приоритет процесса:
нажать кнопку Применить.
Для установки более высокого приоритета, чем тот, который уже установлен у процесса, потребуется ввести пароль пользователя root.
На остальных вкладках приводится статистика использования ресурсов за определённый период времени. Например, на вкладке Ethernet подключение приводится статистика использования проводной сети.
44.3. Hardinfo2 — cистемная информация и отчёты
Hardinfo2 — это графическое приложение для отображения подробной информации о системе, а также для создания отчётов. Оно предназначено для пользователей, которым необходимо быстро получить технические сведения о компьютере, не прибегая к использованию командной строки.
Основные возможности:
отчёты о системе: генерация HTML-отчётов, содержащих сводную информацию о системе;
информация об аппаратуре:
CPU (модель, архитектура, флаги, загрузка);
RAM (объём, использование);
материнская плата;
видеоадаптер и монитор;
аудиоустройства;
накопители;
сетевые интерфейсы и маршрутизация;
USB-устройства и порты;
информация о программном обеспечении:
сетевые сведения:
IP-адреса;
DNS и шлюзы;
статистика;
тесты: сравнение производительности процессора с эталонными системами.
44.4. Менеджер папок (Foldy)
Менеджер папок (Foldy) — это инструмент для управления папками в меню приложений GNOME. Он позволяет группировать приложения по категориям, делая меню чище и удобнее.
Foldy позволяет:
создавать, переименовывать и удалять папки в меню приложений GNOME;
добавлять/удалять приложения в папки.
После запуска Foldy отображает список всех существующих папок:
Для просмотра содержимого папки необходимо выбрать папку, щелкнув мышью по её названию.
Содержимое папки Утилиты и сгруппированные приложения в GNOME (в меню Показать приложения):
Щелчок по папке открывает список входящих в неё приложений:
Для создания новой папки необходимо:
Нажать кнопку Создать новую папку.
В открывшемся окне ввести название папки:
В списке , если это необходимо, можно выбрать категорию папки:
Нажать кнопку Создать.
Если на предыдущем шаге была выбрана категория, в папку автоматически добавятся все приложения этой категории:
В противном случае откроется окно со списком приложений. Необходимо отметить те приложения, которые нужно поместить в папку, и нажать кнопку Добавить выбранные приложения:
После этого папка будет создана:
Для добавления приложения в папку следует выбрать папку, нажать кнопку Добавить приложения, отметить добавляемые приложения и нажать кнопку Добавить выбранные приложения.
При необходимости можно отфильтровать список приложений с помощью поля поиска (кнопка
):
Для удаления приложения из папки необходимо нажать кнопку
, расположенную справа от названия папки, отметить приложения, которые нужно удалить из папки, и нажать кнопку
Удалить выбранные:
Foldy не удаляет приложения, а только управляет их отображением в меню.
Добавлять и удалять приложения можно также путем перетаскивания значка приложения в папку или из неё:
Для удаления папки необходимо выбрать папку и нажать кнопку
, расположенную слева от кнопки
Добавить приложения. Приложения из папки вернутся в общий список.
Чтобы переименовать папку, следует выбрать папку и нажать кнопку
, расположенную справа от кнопки
Добавить приложения, ввести новое название папки и нажать кнопку
Принять.
Связка ключей (keyring) — это набор паролей пользователя, хранящихся в зашифрованном виде и доступных по мастер-паролю.
По умолчанию в Альт Рабочая станция у каждого пользователя есть связка ключей Вход. Эта связка ключей открывается с помощью пароля пользователя при входе в систему. Данную связку по умолчанию используют приложения, поэтому после входа пользователя в систему, пароль на разблокирование связки ключей не запрашивается.
При смене пароля пользователя будет однократно запрошен предыдущий пароль:
И в следующих сессиях связка ключей будет открываться с помощью пароля пользователя при входе в систему.
Если для пользователя настроен автоматический вход в систему, то пароль для разблокирования связки ключей будет запрашиваться в каждой сессии:
Чтобы не вводить каждый раз пароль на разблокирование связки ключей, можно установить пустой пароль для связки ключей. Сделать это можно в приложении
Пароли и ключи.
44.5.1. Пароли и ключи (Seahorse)
Для просмотра данных в хранилище можно воспользоваться приложением Пароли и ключи (Seahorse).
Для изменения пароля на связку ключей необходимо в контекстном меню связки ключей выбрать пункт :
Будет запрошен текущий пароль для связки ключей, а затем новый пароль (чтобы установить пустой пароль, следует оставить поля нового пароля пустыми).
Если вы не помните текущий пароль на связку ключей Вход, можно удалить эту связку ключей, выбрав соответствующий пункт в контекстном меню. В этом случае при запуске приложения, которое использует связку ключей (например, Chromium), будет выдан запрос на создание связки ключей.
Хеш-суммы — простая графическая утилита для расчета различных контрольных сумм (хеш-функций) для файлов.
Приложение поддерживает большое количество хеш-функций, в том числе ГОСТ Р 34.11-2012, MD5, SHA1 и SHA256. Оно также позволяет сравнивать вычисленный хеш с заданным (известным) значением.
Для расчета хеш-сумм необходимо выбрать файл, нажав кнопку Открыть файл.
Приложение Хеш-суммы можно запустить, выбрав пункт в контекстном меню файла:
После выбора файла будут автоматически рассчитаны контрольные суммы:
В окне Хеш функции (его можно открыть, выбрав в меню пункт ) можно указать, какие алгоритмы хеширования следует отображать:
Для сравнения контрольных сумм необходимо перейти на вкладку Проверить и ввести имеющуюся контрольную сумму в поле Контрольная сумма. Если контрольные суммы совпадают, алгоритм будет определён автоматически, и поле будет отмечено зелёной меткой:
44.7. Recoll — полнотекстовый поиск
Recoll — программа для полнотекстового поиска по файлам с различными форматами. Помимо обычного поиска, Recoll позволяет использовать некоторые дополнительные функции: поиск по автору, размеру и формату файла, а также поддерживаются такие операторы, как «AND» или «OR».
Recoll не установлен по умолчанию. Установить его можно в
Центре приложений или выполнив команду:
# apt-get install recoll
44.7.1. Индексация файлов
Для поиска требуется предварительная индексация библиотекой Xapian заданных каталогов.
Индексация — это процесс, с помощью которого анализируется набор документов и данные вводятся в базу данных. Повторное индексирование обычно является инкрементным: документы будут обрабатываться только в том случае, если они были изменены с момента последней индексации.
Запустить индексацию можно при первом запуске программы:
Для индексирования только домашнего каталога с настройками по умолчанию необходимо нажать кнопку Запустить индексирование. Для указания каталогов, а также настройки параметров индексирования можно нажать ссылку Настройка индексирования. Для задания расписания индексирования следует нажать ссылку Расписание индексирования.
Настроить параметры индексации можно, выбрав в главном меню Recoll пункт → . Окно настройки индексации разделено на четыре вкладки: , , и .
На вкладке можно установить каталог верхнего уровня, от которого рекурсивно начнётся индексация (по умолчанию это домашний каталог пользователя), указать пути, которые следует пропустить при индексации файлов:
На вкладке можно переопределить переменные для подкаталогов. Переменные устанавливаются для текущего выбранного каталога (или для верхнего уровня, если в списке ничего не выбрано или выбрана пустая строка). Например, можно переопределить кодировку файлов, добавив в поле
Пользовательские подкаталоги каталог, в котором находятся файлы с кодировкой отличной от Unicode, и в выпадающем списке
Кодировка по умолчанию выбрать нужную кодировку:
Запустить индексацию можно, выбрав в главном меню Recoll пункт → .
Индексирование
Recoll может выполняться в двух основных режимах:
Периодическая индексация — выполняется в определённое время (например, по ночам, когда компьютер простаивает);
Индексация в реальном времени (фоновое индексирование) — recollindex постоянно работает как сервис и использует монитор изменений файловой системы для обнаружения изменений файлов. Новые или обновленные файлы индексируются сразу.
Выбрать и настроить режим индексирования можно, выбрав в главном меню
Recoll пункт → :
Recoll имеет два интерфейса поиска:
Простой поиск — одно поле ввода (по умолчанию на главном экране), в которое можно ввести несколько слов:
Расширенный поиск — панель, доступ к которой осуществляется через меню ( → ) или значок панели инструментов. Расширенный поиск имеет несколько полей ввода, которые можно использовать для создания логического условия, с дополнительной фильтрацией по типу файла, местоположению в файловой системе, дате изменения и размеру:
Выполнение простого поиска:
Выбрать, если необходимо поисковый режим: , , или .
Ввести поисковые слова в текстовое поле.
Нажать кнопку Поиск или Enter:
Режим поиска по умолчанию — . В этом режиме будет выполнен поиск документов, содержащих все условия поиска, как и в режиме . В режиме будут найдены документы, содержащие любое из введенных вами поисковых слов. В режиме выполняется сопоставление поискового запроса только имени файла, но не содержимого.
Recoll предоставляет большие возможности по поиску. Разделителем в перечне искомых строк в Recoll служит пробел, поэтому запросы, содержащие пробел, должны заключаться в кавычки. В запросах допускаются символы-маски *, ? и [ ].
44.7.3. Список результатов поиска
После запуска поиска список результатов мгновенно отобразится в главном окне.
По умолчанию список документов представлен в порядке релевантности (насколько хорошо система оценивает соответствие документа запросу). Можно отсортировать результат по дате, по возрастанию или по убыванию, используя вертикальные стрелки на панели инструментов.
Каждый результат поиска сопровождается небольшим фрагментом файла:
При нажатии ссылки Просмотр откроется внутреннее окно предварительного просмотра документа. При нажатии на ссылку Открыть запускается внешнее средство просмотра документа. В контекстном меню каждой записи списка результатов есть пункт для выбора приложения из списка тех, которые зарегистрированы в системе для данного типа MIME-документа:
Результаты поиска можно представить в виде таблицы. Щелчок по заголовку столбца позволит выполнить сортировку по значениям в столбце:
По умолчанию
Recoll позволяет рабочему окружению выбирать, какое приложение следует использовать для открытия документа данного типа. Настроить это действие можно с помощью меню → → :
При нажатии кнопки
Выбор приложений-редакторов откроется диалоговое окно, где можно выбрать приложение, которое будет использоваться для открытия каждого MIME-типа.
Gear Lever (gearlever) — это графический менеджер приложений в формате AppImage, предназначенный для удобной организации, запуска и обновления портируемых приложений.
AppImage — способ распространения портируемых приложений в Linux. Приложение в формате AppImage представляет собой один автономный файл с расширением .AppImage, содержащий программу и все необходимые зависимости.
Основные возможности Gear Lever:
интеграция в меню запуска — добавление приложения в системное меню одним кликом или запуск напрямую из интерфейса Gear Lever;
централизованное хранение — все AppImage-файлы сохраняются в одном каталоге (по умолчанию — ~/AppImages);
управление обновлениями — автоматическая проверка и установка обновлений программ AppImage. Можно исключить отдельные приложения из автоматического обновления;
автоматическое сохранение CLI-приложений — приложения с консольным интерфейсом автоматически сохраняются с корректным именем исполняемого файла;
дружелюбный интерфейс — простое и интуитивно понятное управление;
поддержка Drag and Drop — достаточно перетащить файл AppImage в окно программы, чтобы добавить его.
Чтобы добавить приложение перетащите образ AppImage в окно программы или нажмите кнопку Открыть и выберите файл в файловом менеджере.
Если при открытии приложения появляется сообщение Пожалуйста, проверьте источник этого приложения, прежде чем открывать его необходимо нажать кнопку Разблокировать, чтобы разрешить запуск.
Для запуска приложения нажмите кнопку Запустить:
Чтобы добавить приложение в системное меню нажмите кнопку Добавить в меню приложений.
После добавления приложения в меню приложений файл копируется в каталог ~/AppImages, приложение появляется в списке установленных в Gear Lever и становится доступным в системном меню приложений.
В окне приложения можно изменить параметры обновления, добавить переменные среды, запустить или удалить приложение:
WineHelper (winehelper) — инструмент для упрощённой установки Windows-приложений в Альт Рабочая станция. Он использует подготовленные установочные скрипты, портативные версии Wine и изолированные Wine-префиксы. Это обеспечивает максимальную воспроизводимость настроек и предсказуемую работу приложений на разных системах.
С помощью WineHelper можно запустить более 40 приложений, таких как «T-FLEX CAD», «Декларация», «СТМ-Финансы» и другие.
WineHelper поддерживает два режима установки:
Автоматическая установка — для программ, распространяемых в открытом доступе. Пользователю достаточно выбрать приложение из списка — всё остальное выполняется автоматически.
Ручная установка — для программ, дистрибутивы которых недоступны публично. Пользователь указывает путь к локальному установочному файлу (.exe, .msi и т.п.).
Установка
WineHelper:
# apt-get install winehelper
Графический интерфейс предоставляется отдельным пакетом
winehelper-qt:
# apt-get install winehelper-qt
Пакет winehelper-qt не входит в ISO-образ дистрибутива, его можно установить из репозитория p11.
44.9.1. Работа с WineHelper в графическом интерфейсе
При первом запуске WineHelper проверяет и при необходимости устанавливает дополнительные зависимости (запрашиваются права root).
На вкладке приведён список программ, доступных для автоматической установки:
Чтобы установить приложение:
Выберите его в списке.
Нажмите кнопку Установить <имя_приложения>:
примите лицензионное соглашение:
После подтверждения начнётся установка, включающая:
загрузку и проверку хеш-суммы нужной версии Wine;
загрузку и проверку хеш-суммы базового префикса;
инициализацию префикса;
скачивание установщика программы с официального сайта (если применимо);
установку приложения;
создание .desktop-файлов (ярлыков) на рабочем столе и в меню приложений.
Дождитесь завершения процесса:
На вкладке приведён список программ, для которых доступны скрипты автоматизации, но сами программы отсутствуют в свободном доступе.
Чтобы установить приложение вручную:
Выберите программу в списке.
Укажите путь к локальному установочному файлу.
Нажмите кнопку Установить <имя_приложения>:
Дальнейший процесс полностью аналогичен автоматическому режиму.
На вкладке отображаются все приложения, установленные через
WineHelper. Здесь также можно:
На вкладке можно:
создавать, редактировать и управлять собственными префиксами;
устанавливать дополнительные компоненты (библиотеки, шрифты);
настраивать ассоциации файлов;
устанавливать собственные приложения и создавать для них ярлыки;
выполнять тонкие настройки Wine.
44.9.2. Работа с WineHelper в консоли
Список доступных приложений:
$ winehelper install list
или сокращённая команда:
$ winehelper -i
Установка приложений:
Автоматическая установка:
$ winehelper install <имя_приложения>
Например:
$ winehelper install spravki-bk
Установка из локального файла:
$ winehelper install is-record-station "/путь/до/установочного_файла"
При первом запуске WineHelper проверяет и при необходимости устанавливает дополнительные зависимости (запрашиваются права root).
Процесс установки:
Вывод и подтверждение лицензионного соглашения (для продолжения введите y и нажмите Enter).
Автоматическое выполнение этапов (аналогично графическому режиму).
Если устанавливаемое приложение требует дополнительных действий пользователя (ввод лицензии, дополнительные настройки), это будет явно указано в терминале.
Удаление префикса:
$ winehelper remove-prefix [имя_префикса]
Если имя префикса не указано, будет выведен список существующих префиксов:
0 - Отмена
1 - Префикс1
2 - Префикс2
Выберите префикс (0-2):
Укажите номер и нажмите
Enter. Затем подтвердите удаление, введя
y.
При удалении префикса удаляются:
Создание резервной копии префикса:
$ winehelper backup-prefix [имя_префикса]
Если имя префикса не указано, будет выведен список существующих префиксов:
0 - Отмена
1 - Префикс1
2 - Префикс2
Выберите префикс (0-2):
После подтверждения:
создаётся архив префикса;
внутри префикса сохраняется используемая версия Wine;
копируются иконки и информация о ярлыках.
Резервная копия сохраняется на рабочем столе в формате:
backup_<имя_префикса>_<дата_создания>.whpack.
Восстановление префикса из резервной копии:
$ winehelper restore-prefix "путь/до/файла.whpack"
Запуск стороннего .exe-файла:
Способ 1 — выполнить команду:
$ winehelper "путь/до/файла.exe"
0 - Отмена
1 - Префикс1
2 - Префикс2
Выберите префикс (0-2):
Файл будет запущен в выбранном префиксе.
Способ 2 — через файловый менеджер Wine:
$ winehelper winefile
0 - Отмена
1 - Префикс1
2 - Префикс2
Выберите префикс (0-2):
Выберите префикс, затем найдите и запустите нужный .exe-файл.
Справка о команде
winehelper:
$ winehelper help
Часть VI. Настройка системы
Глава 45. Центр управления системой
Для управления настройками установленной системы вы можете воспользоваться Центром управления системой (ЦУС). ЦУС представляет собой удобный интерфейс для выполнения наиболее востребованных административных задач: добавление и удаление пользователей, настройка сетевых подключений, просмотр информации о состоянии системы и т.п.
ЦУС состоит из нескольких независимых диалогов-модулей. Каждый модуль отвечает за настройку определённой функции или свойства системы.
45.2. Применение центра управления системой
Вы можете использовать ЦУС для разных целей, например (в скобках указаны названия соответствующих модулей):
Управления
Системными службами (
services);
Просмотра
Системных журналов (
logs);
Управления
Выключением удаленного компьютера (
ahttpd-power, доступно только в веб-интерфейсе);
Настройки ограничений выделяемых ресурсов памяти пользователям (квоты):
Использование диска (
quota);
Управлению политиками control:
Системные ограничения (
control);
Конфигурирования
Сетевых интерфейсов (
net-eth);
Изменения пароля
Администратора системы (
root);
Создания, удаления и редактирования учётных записей
Пользователей (
users).
Вы всегда можете воспользоваться кнопкой Справка. Модули ЦУС имеют справочную информацию.
45.3. Запуск Центра управления системой в графической среде
Центр управления системой можно запустить следующими способами:
По умолчанию запускается Alterator на D-Bus — альтернативная реализация Alterator, основанная на взаимодействии модулей и шины D-Bus.
Для запуска ЦУС в Альт Рабочая станция по умолчанию достаточно прав системного пользователя. Для доступа к модулям, требующим административных привилегий, будет запрошен пароль администратора системы (root):
При необходимости можно переключиться на предыдущую версию ЦУС (Alterator legacy), для этого необходимо нажать кнопку Переключиться на старую версию.
При запуске Alterator legacy будет запрошен пароль администратора системы (root):
После успешного входа будет запущен Alterator legacy:
45.4. Использование веб-ориентированного центра управления системой
Центр управления системой (ЦУС) имеет веб-ориентированный интерфейс, позволяющий управлять данным компьютером с любого другого компьютера сети.
Для запуска веб-ориентированного интерфейса, должен быть установлен пакет
alterator-fbi:
# apt-get install alterator-fbi
И запущен сервис ahttpd:
# systemctl enable --now ahttpd
Работа с центром управления системой происходит из любого веб-браузера. Для начала работы необходимо перейти по адресу https://ip-адрес:8080/. Например, если IP-адрес компьютера 192.168.0.196, то интерфейс управления доступен по адресу: https://192.168.0.196:8080/
IP-адрес компьютера можно узнать, введя команду:
$ ip addr
IP-адрес будет указан после слова
inet:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
link/ether 60:eb:69:6c:ef:47 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.196/24 brd 192.168.0.255 scope global eth0
Например, тут мы видим, что на интерфейсе enp0s3 задан IP-адрес 192.168.0.196.
При запуске центра управления системой необходимо ввести в соответствующие поля имя пользователя (root) и пароль пользователя:
После этого будут доступны все возможности ЦУС на той машине, к которой было произведено подключение через веб-интерфейс.
Веб-интерфейс ЦУС можно настроить (кнопка
Настройка), выбрав один из режимов:
основной режим;
режим эксперта.
Центр управления системой содержит справочную информацию по включённым в него модулям. Об использовании самого интерфейса системы управления можно прочитать, нажав на кнопку Справка на начальной странице центра управления системой.
После работы с центром управления системой, в целях безопасности, не оставляйте открытым браузер. Обязательно выйдите, нажав на кнопку Выйти.
Глава 46. Настройка сети
Для управления настройками сети в Альт Рабочая станция используется программа NetworkManager.
NetworkManager позволяет подключаться к различным типам сетей: проводные, беспроводные, мобильные, VPN и DSL, а также сохранять эти подключения для быстрого доступа к сети. Например, если вы подключались к сети в каком-либо интернет-кафе, то можно сохранить настройки этого подключения и в следующее посещение этого кафе подключиться автоматически.
В системном меню на верхней панели есть две кнопки Проводное и Wi-Fi, которые отображают состояние (включено/отключено) соответственно проводного и беспроводного соединения.
Нажатие на кнопку меняет состояние соответствующего соединения.
Кнопка Wi-Fi может отсутствовать в системном меню, если в системе не обнаружен адаптер беспроводной сети или он отключён (например, аппаратным переключателем или в UEFI/BIOS).
При нажатии на стрелку рядом с кнопкой Проводное открывается окно с выбором доступных проводных подключений. Для того чтобы просмотреть информацию о сетевом соединении или изменить его настройки, следует нажать кнопку Настройки подключения:
Для просмотра/изменения настроек необходимо нажать кнопку
Параметры сети 
. В открывшемся окне можно просмотреть настройки сетевого интерфейса:
NetworkManager под именем
System enp0s3 показывает системное Ethernet-соединение, создаваемое Etcnet. Изменить его в диалоге
Сеть невозможно. Это соединение можно изменить в ЦУС, там же можно выбрать, какой именно интерфейс, какой подсистемой обслуживается (подробнее о выборе сетевой подсистемы рассказано в разделе
Конфигурирование сетевых интерфейсов).
46.1.2. Подключение к беспроводной сети
Для подключения к беспроводной сети, необходимо нажать на стрелку рядом с кнопкой Wi-Fi. Будет раскрыт раздел Wi-Fi, в котором можно выбрать нужную Wi-Fi сеть:
При подключении к беспроводной сети в первый раз может понадобиться указать некоторые сведения о защите сети (например, указать аутентификационные данные):
Для того чтобы просмотреть информацию о сетевом соединении или изменить его настройки, следует нажать кнопку
Все сети. Будет открыт модуль
Wi-Fi приложения
Настройки GNOME:
Для просмотра/изменения настроек необходимо нажать кнопку
Параметры сети
.
Для соединения Wi-Fi кнопка
будет расположена рядом с активной сетью.
Окно настроек Wi-Fi соединения:
Если требуется, чтобы соединение устанавливалось при каждом запуске системы, необходимо установить отметку в пункте Подключаться автоматически.
Если установить отметку в поле Сделать доступным для других пользователей, данное подключение будет доступно на экране входа в систему.
На вкладке можно указать статический IP, шлюз, DNS и другие параметры, если это необходимо.
На вкладке можно изменить пароль подключения.
Если для беспроводного соединения установлена отметка Сделать доступным для других пользователей, оно становится системным соединением. Для изменения настроек системного соединения потребуется ввод пароля администратора системы:
46.1.3. Настройка VPN-подключения по протоколу OpenVPN
Для настройки VPN-подключения по протоколу OpenVPN в
NetworkManager следует выполнить следующие действия:
В разделе VPN нажать кнопку Добавить VPN:
В списке типов VPN выбрать пункт :
Если имеется готовый файл конфигурации клиента, в списке выбора типа соединения можно выбрать пункт и указать файл настроек — параметры соединения будут настроены согласно этому файлу.
В открывшемся окне на вкладке указать IP-адрес сервера OpenVPN, сертификат удостоверяющего центра (CA), приватный ключ и сертификат пользователя:
Нажать кнопку Дополнительно…, чтобы настроить параметры подключения. Настройки соединения находятся на разных вкладках, например, на вкладке можно указать порт и тип виртуального устройства:
Сохранить сделанные изменения, нажав кнопку Применить и затем Добавить.
Для того чтобы VPN-соединение было доступно на экране входа в систему, в настройках соответствующего подключения необходимо установить отметку в поле Сделать доступным для других пользователей:
Для изменения настроек системного соединения потребуется ввод пароля администратора системы:
Чтобы подключиться к VPN, необходимо открыть системное меню и выбрать созданное VPN-соединение:
После установления соединения в панели появится значок замка.
Настройку сети можно выполнить в
Центре управления системой в разделе → . Здесь можно задать как глобальные параметры сети (адрес сервера DNS, имя компьютера), так и настройки конкретного сетевого интерфейса:
Глава 47. Установка принтера в Альт Рабочая станция
Перед началом установки необходимо убедиться в том, что в случае локального подключения принтер присоединён к соответствующему порту компьютера и включён, а в случае сетевого подключения принтер корректно сконфигурирован для работы в сети.
47.1. Установка принтера в веб-интерфейсе CUPS
Настраивать службу печати CUPS и отслеживать её состояние можно через веб-интерфейс, который доступен по адресу http://localhost:631. Веб-интерфейс можно использовать для выполнения любых задач управления принтером.
Запустить веб-интерфейс CUPS, можно выбрав значок в списке приложений.
Если вы получаете ошибку
Ошибка соединения с узлом localhost: Отказано в соединении., то запустите терминал, и выполните команду
# systemctl restart cups
от имени
системного администратора root.
Для добавления принтера следует перейти во вкладку . На запрос авторизации следует ввести имя и пароль пользователя, входящего в группу wheel.
Для запуска мастера установки принтера необходимо во вкладке нажать кнопку Добавить принтер:
В открывшемся окне будут перечислены найденные локальные и сетевые принтеры. Необходимо выбрать из списка требуемый принтер и нажать кнопку Продолжить:
В следующем окне можно задать название принтера и его описание. Для того чтобы принтер был доступен с других компьютеров в сети, необходимо отметить пункт Разрешить совместный доступ к этому принтеру:
В следующем окне необходимо выбрать драйвер для принтера и нажать кнопку Добавить принтер:
На следующем шаге настраиваются параметры принтера, если они у него есть (например, двусторонняя печать).
Для изменения параметров существующих принтеров следует перейти на вкладку и выбрать принтер для изменения.
На вкладке можно просматривать список заданий и их статус (выводится название принтера с номером задания, название документа, имя пользователя, размер документа и количество страниц).
47.2. Инструмент для управления заданиями печати и принтерами
Если вы получаете ошибку
Служба печати недоступна, то запустите терминал, и выполните команду
# systemctl restart cups
от имени
системного администратора root.
Для добавления принтера необходимо нажать кнопку Добавить принтер…:
Для добавления принтеров и изменения их настроек требуются права администратора, поэтому предварительно необходимо нажать кнопку Разблокировать… и в открывшемся окне ввести пароль администратора:
В открывшемся окне выберите принтер, который необходимо подключить, и нажмите кнопку Добавить:
После нажатия Добавить принтер станет доступным для печати:
Изменить настройки принтера можно, выбрав в программе нужный принтер и нажав кнопку Параметры печати:
Глава 48. Настройка сканера подключенного к USB-порту
В Альт Рабочая станция доступ к сканерам обеспечивается программой SANE (Scanner Access Now Easy). Система SANE состоит из двух частей: аппаратной поддержки (backend, libsane) и программной поддержки (frontend). Первая часть обеспечивает собственно доступ к сканеру, вторая — графический интерфейс для сканирования (xsane).
Подключите сканер к компьютеру и проверьте доступность сканера:
$ lsusb
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 004: ID 03f0:012a HP, Inc HP LaserJet M1536dnf MFP
Bus 002 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 2.0 root hub
В примере сканер определен на шине USB 002 как устройство 004.
При помощи команды
sane-find-scanner можно проверить поддержку сканера системой SANE:
$ sane-find-scanner -q
could not open USB device 0x1d6b/0x0002 at 001:001: Access denied (insufficient permissions)
found USB scanner (vendor=0x03f0 [Hewlett-Packard], product=0x012a [HP LaserJet M1536dnf MFP]) at libusb:002:004
could not open USB device 0x80ee/0x0021 at 002:002: Access denied (insufficient permissions)
could not open USB device 0x1d6b/0x0001 at 002:001: Access denied (insufficient permissions)
В выводе должны присутствовать интерфейс сканера и имя используемого устройства. В данном случае сканер был распознан на шине 002 как устройство 004.
Если бы доступ к сканеру также был запрещен (как и доступ к другим USB-устройствам), необходимо рассмотреть разрешения на шину USB:
# ls -l /dev/bus/usb/002/
итого 0
crw-rw-r-- 1 root root 189, 128 окт 28 12:00 001
crw-rw-r-- 1 root root 189, 129 окт 28 12:00 002
crw-rw-r--+ 1 root lp 189, 130 окт 28 12:42 003
И добавить пользователя в нужную группу (в данном случае в группу lp):
# gpasswd -a user lp
Далее необходимо ОБЯЗАТЕЛЬНО перезапустить сеанс пользователя.
Теперь необходимо убедиться, что сканер опознан программой графического интерфейса. В состав системы SANE входит утилита
scanimage, позволяющая работать со сканером из командной строки (опция
-L используется для показа информации о сканере):
$ scanimage -L
device `hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C' is a Hewlett-Packard HP_LaserJet_M1536dnf_MFP all-in-one
В контексте локального USB-устройства, доступ к которому имеет обычный пользователь, положительный ответ указывает, что SANE поддерживает этот сканер.
Проверка работы сканера:
$ scanimage -T -d 'hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C'
scanimage: scanning image of size 637x876 pixels at 1 bits/pixel
scanimage: acquiring gray frame, 1 bits/sample
scanimage: reading one scanline, 80 bytes... PASS
scanimage: reading one byte... PASS
scanimage: stepped read, 2 bytes... PASS
scanimage: stepped read, 4 bytes... PASS
scanimage: stepped read, 8 bytes... PASS
scanimage: stepped read, 16 bytes... PASS
scanimage: stepped read, 32 bytes... PASS
scanimage: stepped read, 64 bytes... PASS
scanimage: stepped read, 128 bytes... PASS
scanimage: stepped read, 127 bytes... PASS
scanimage: stepped read, 63 bytes... PASS
scanimage: stepped read, 31 bytes... PASS
scanimage: stepped read, 15 bytes... PASS
scanimage: stepped read, 7 bytes... PASS
scanimage: stepped read, 3 bytes... PASS
где 'hpaio:/usb/HP_LaserJet_M1536dnf_MFP?serial=00CND9D8YC9C' — актуальное имя подключенного устройства, которое можно взять из вывода предыдущей команды.
Для некоторых устройств Hewlett-Packard требуется установить актуальный плагин с сервера HP. Для установки плагина необходимо выполнить команду (должен быть установлен пакет
hplip):
$ hp-plugin -i
…
Enter option (d=download*, p=specify path, q=quit) ? d
…
Do you accept the license terms for the plug-in (y=yes*, n=no, q=quit) ? y
Please enter the root/superuser password:
При установке плагина потребуется ввести пароль суперпользователя.
Для работы со сканерами Epson необходимо установить пакеты
epsonscan2,
imagescan-sane,
iscan-free,
iscan-data и
firmware-iscan из репозитория:
# apt-get install epsonscan2 imagescan-sane iscan-free iscan-data firmware-iscan
Также для работы со сканерами Epson может потребоваться скачать и установить пакет
epsonscan2-non-free-plugin с официального сайта
Epson.
48.2. Интерфейсы для сканирования (frontend)
Интерфейс — это программа, которая взаимодействует с SANE для получения отсканированного вывода в желаемом формате. SANE был разработан для взаимодействия с любым SANE-совместимым интерфейсом, командной строкой или на основе графического интерфейса пользователя:
Глава 49. Настройка загрузчика GRUB2
Grub Customizer — приложение для настройки загрузчика Grub в графическом интерфейсе. Grub Customizer позволяет редактировать (переименовать, удалить, скрыть) пункты меню загрузчика, цвета пунктов меню, изменять фоновое изображение загрузчика Grub.
Любая ошибка при редактировании настроек загрузчика может привести к неспособности системы загрузиться.
Для запуска модуля потребуется ввести пароль пользователя root:
На вкладке Просмотреть настройки показан список возможных вариантов загрузки операционных систем:
Здесь можно изменить, создать и удалить пункт меню (выбрав соответствующий пункт в контекстном меню, либо на панели инструментов).
На вкладке Основные настройки можно выбрать стандартно загружаемую ОС (по умолчанию, загружается первая по списку), настроить время ожидания загрузки после показа меню, указать параметры ядра:
На вкладке Настройки оформления можно менять способы отображения GRUB и внешний вид меню:
При выборе фонового изображения следует обратить внимание на параметры изображения, чтобы меню было контрастным и выделялось на фоне изображения, и было легко читаемым.
Глава 50. Управление сеансами (Session Keeper)
Session Keeper — это расширение для оболочки GNOME, которое позволяет сохранять, закрывать и восстанавливать наборы открытых окон (сеансы). Менеджер сеанса может запомнить, какие приложения были запущены при выходе из системы, и автоматически запустить их при следующем входе.
Управление расширением Session Keeper осуществляется через приложение Расширения.
50.1. Включение расширения
Чтобы включить сохранение сеансов, откройте приложение Расширения и переведите переключатель в строке Session Keeper в положение Включено:
Включить расширение можно также через командную строку:
$ gnome-extensions enable session-keeper@altlinux.org
После включения расширения будет настроено автоматическое сохранение текущего состояния при выходе и автоматическое восстановление сохранённой сессии при входе пользователя в систему.
50.2. Настройки Session Keeper
Чтобы открыть настройки расширения, нажмите значок
в строке расширения, а затем — кнопку
Настройки:
Открыть настройки можно и из терминала:
$ gnome-extensions prefs session-keeper@altlinux.org
Окно настроек Session Keeper:
По умолчанию включено автоматическое сохранение текущего состояния при выходе и автоматическое восстановление сохранённой сессии при входе пользователя в систему.
Для сохранения текущего набора запущенных приложений и их состояний как сеанса по умолчанию необходимо выбрать пункт Вручную и нажать кнопку Сохранить текущую сессию:
Это полезно, если вы хотите зафиксировать определённую конфигурацию рабочего стола.
Восстановление сеанса можно настроить на:
При входе — сеанс будет восстанавливаться каждый раз при входе пользователя в систему;
При загрузке — сеанс будет восстанавливаться только после перезагрузки системы;
Вручную — сеанс восстанавливается только по требованию.
Если выбран режим Вручную, для восстановления сеанса необходимо включить режим отладки:
После этого на вкладке Отладка станет доступна кнопка Восстановить сессию:
Если включено автоматическое восстановление, при входе в систему рабочий стол попытается восстановить сохранённый сеанс, запустив ранее открытые приложения.
В параметре Задержка перед восстановлением можно указать время в секундах до начала восстановления сеанса. Это полезно, если системе требуется время для полной инициализации перед запуском приложений.
Чтобы исключить определённые приложения из сохранения:
Включите переключатель Включить исключения.
Нажмите кнопку Добавить и укажите нужное приложение.
Глава 51. Работа с удаленными графическими сессиями
51.1. Удалённый рабочий стол
Удалённый рабочий стол позволяет производить удалённое управление системой. В среде GNOME используется модуль удаленного доступа, работающий по протоколу RDP (Remote Desktop Protocol). Протокол RDP поддерживает передачу файлов, перенаправление звука, использование локальных принтеров и другие функции.
Доступно два режима удаленного доступа:
Общий доступ к рабочему столу — предоставляет доступ к текущей графической сессии;
Удаленный доступ — позволяет выбрать пользователя для подключения к сеансу, когда он не активен.
Для открытия окна настроек необходимо в приложении
Параметры системы перейти в раздел → .
51.1.1. Настройка общего доступа к рабочему столу
На вкладке Общий доступ к рабочему столу можно включить удалённый доступ к рабочему столу и разрешить управление системой, установив соответствующие переключатели:
В разделе Как подключиться показаны Имя хоста и Порт, которыми можно воспользоваться на подключаемом устройстве.
В разделе Данные для входа необходимо указать произвольные имя пользователя и пароль, которые будут использоваться в клиентском приложении для подключения к рабочему столу.
Для возможности удаленного подключения необходимо разрешить общий доступ к fuse:
# control fusermount public
51.1.2. Настройка удалённого входа
Удалённое подключение к учётной записи, когда она не используется, настраивается на вкладке Удаленный вход:
Для изменения параметров на этой вкладке требуются права администратора, поэтому предварительно необходимо нажать кнопку Разблокировать… и в открывшемся окне ввести пароль администратора:
Чтобы разрешить доступ, переключатель Удалённая авторизация необходимо перевести во включенное состояние.
В разделе Как подключиться будут показаны имя хоста и порт, доступные для подключения.
При включении удалённого входа используется порт 3389. Если при этом также включен Общий доступ к рабочему столу, для него будет использоваться порт 3390.
В разделе Данные для входа можно указать произвольные имя пользователя и пароль, которые будут использоваться в клиентском приложении для подключения к рабочему столу.
Для возможности удаленного подключения необходимо разрешить общий доступ к fuse:
# control fusermount public
Для применения изменений необходимо перезапустить службу
gnome-remote-desktop:
# systemctl daemon-reload
# systemctl restart gnome-remote-desktop
или перезагрузить систему.
51.2. Подключение к удалённому рабочему столу
Для подключения к рабочему столу с другого устройства можно использовать, например:
51.2.1. Подключение с помощью Remmina
Установка Remmina и плагина RDP:
# apt-get install remmina remmina-plugins-rdp
Для создания подключения необходимо:
Запустить Remmina.
В выпадающем списке выбрать протокол RDP.
Указать IP-адрес и порт сервера RDP:
Нажать клавишу Enter.
Ввести имя пользователя и пароль подключения, затем нажать кнопку ОК:
Будет установлено удалённое соединение:
Для удобства можно создать профиль подключения. Для этого необходимо нажать кнопку + и в окне Профиль удалённого подключения задать параметры соединения:
Если не заполнять поля Имя пользователя и Пароль, эти данные будут запрашиваться при каждом подключении к удалённому рабочему столу.
Создать новое подключения можно будет, выбрав профиль в основном окне программы или в контекстном меню в системном трее.
51.2.2. Использование приложения Подключения
Установка:
# apt-get install gnome-connections
Создание подключения:
Запустить приложение Подключения.
Нажать кнопку + на верхней панели.
Ввести IP-адрес и порт сервера RDP, выбрать протокол RDP:
Нажать кнопку Подключиться.
Ввести имя пользователя и пароль подключения, нажать кнопку Подтвердить:
Будет установлено соединение с удалённым рабочим столом:
Если используется удалённый вход, перед подключением появится окно выбора пользователя для входа в систему:
GSConnect — это расширение для оболочки GNOME, которое позволяет интегрировать смартфон с системой Альт Рабочая станция. Оно обеспечивает двустороннее взаимодействие между устройствами, включая обмен данными, синхронизацию и удалённое управление.
Основные возможности
GSConnect:
отображение уведомлений с телефона на компьютере и наоборот;
передача файлов между устройствами;
синхронизация буфера обмена;
использование телефона как тачпада, клавиатуры или пульта ДУ;
управление медиапроигрывателями на ПК;
отправка пользовательских команд с телефона на компьютер;
все данные передаются по защищённому шифрованному каналу.
Для работы
GSConnect требуется:
установленное приложение KDE Connect на смартфоне;
компьютер и телефон должны находиться в одной локальной сети (подключены к одному Wi-Fi или роутеру);
установленное и активированное расширение GSConnect.
Управление расширением GSConnect осуществляется через приложение Расширения.
52.1. Включение расширения
Чтобы активировать GSConnect, откройте приложение Расширения и переведите переключатель в строке GSConnect в положение Включено:
Активировать расширение можно также через командную строку:
$ gnome-extensions enable gsconnect@andyholmes.github.io
После включения расширения в системном меню появится кнопка GSConnect, через которую можно управлять подключением:
52.2. Сопряжение с телефоном
Для подключения телефона к компьютеру:
Нажмите кнопку GSConnect в системном меню и убедитесь, что расширение активно.
На телефоне запустите приложение KDE Connect, в списке доступных устройств выберите ваш компьютер и нажмите кнопку Запросить сопряжение.
На компьютере появится уведомление с запросом на подключение, который необходимо принять:
После успешного сопряжения устройство появится в списке подключённых, и станут доступны все функции GSConnect.
52.3. Работа с GSConnect
После сопряжения можно управлять взаимодействием с устройством через интерфейс GSConnect:
Некоторые функции требуют разрешений на стороне Android (например, доступ к уведомлениям, контактам, файлам). Разрешения настраиваются как в приложении KDE Connect на телефоне, так и в настройках GSConnect на ПК.
Открыть настройки расширения
GSConnect можно:
В настройках
GSConnect доступно:
управление разрешениями для каждого подключённого устройства;
настройка общего доступа к файлам:
конфигурация пользовательских команд:
выбор, какие уведомления показывать на ПК;
включение/отключение отдельных плагинов (например, тачпад, синхронизация контактов и т.д.).
Глава 53. Запуск программ на дискретной видеокарте
При наличии нескольких видеокарт (встроенной Intel и дискретной Nvidia), можно выбрать на какой из них будет запускаться приложение.
Для запуска приложения на дискретной видеокарте, следует в контекстном меню приложения в меню запуска приложений выбрать пункт :
Глава 54. Изменение пароля пользователя
Пароли пользователей в ОС Альт Рабочая станция первоначально определяет администратор системы при создании учетных записей. Однако пользователи могут в любое время изменить свой пароль самостоятельно.
Для того можно воспользоваться утилитой UserPasswd.
Для изменения пароля следует в поле Текущий пароль ввести свой текущий (старый) пароль и нажать кнопку Проверить пароль:
В следующем окне нужно дважды ввести новый пароль и нажать кнопку Сменить пароль:
После этого отобразится сообщение об успешной или неуспешной смене пароля:
Новый пароль должен соответствовать техническим требованиям, установленным системным администратором.
Глава 55. Ввод рабочей станции в Альт Домен
Инструкция по вводу рабочей станции под управлением Альт Рабочая станция в
Альт Домен. Параметры домена:
TEST.ALT — имя домена;
TEST — рабочая группа;
NEWHOST — имя компьютера в Netbios;
Administrator — имя пользователя-администратора;
Pa$$word — пароль администратора.
Для ввода компьютера в
Альт Домен потребуется установить пакет
task-auth-ad-sssd и все его зависимости (если он еще не установлен):
# apt-get install task-auth-ad-sssd
Синхронизация времени с контроллером домена производится автоматически.
Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.
Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли:
В
Центре управления системой в разделе → задать имя компьютера, указать в поле
DNS-серверы DNS-сервер домена и в поле
Домены поиска — домен для поиска:
В консоли:
задать имя компьютера:
# hostnamectl set-hostname newhost.test.alt
в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо создать файл
/etc/net/ifaces/enp0s3/resolv.conf со следующим содержимым:
nameserver 192.168.0.132
search test.alt
где 192.168.0.132 — IP-адрес DNS-сервера домена, test.alt — домен.
обновить DNS адреса:
# resolvconf -u
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле
/etc/resolv.conf должны появиться строки:
search test.alt
nameserver 192.168.0.132
Ввод в домен можно осуществить следующими способами:
В командной строке:
# system-auth write ad test.alt newhost test 'administrator' 'Pa$$word'
Joined 'NEWHOST' to dns domain 'test.alt'
В открывшемся окне следует выбрать пункт Домен Active Directory, заполнить поля и нажать кнопку Применить:
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК:
При успешном подключении к домену, отобразится соответствующая информация:
Перезагрузить рабочую станцию.
$ getent passwd ivanov
ivanov:*:1939201103:1939200513:Иван Иванов:/home/TEST.ALT/ivanov:/bin/bash
# net ads info
LDAP server: 192.168.0.132
LDAP server name: dc1.test.alt
Workgroup: TEST
Realm: TEST.ALT
Bind Path: dc=TEST,dc=ALT
LDAP port: 389
Server time: Чт, 03 июл 2025 11:47:30 EET
KDC server: 192.168.0.132
Server time offset: 0
Last machine account password change: Чт, 03 июл 2025 11:07:00 EET
# net ads testjoin
Join is OK
Вы не увидите пользователей домена с помощью команды:
# getent passwd
на клиентской машине. Этот функционал отключен по умолчанию, для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя:
# getent passwd <имя_пользователя>
Список пользователей можно посмотреть на сервере командой:
# samba-tool user list
В окне входа в систему необходимо нажать ссылку Нет в списке?:
В открывшемся окне необходимо ввести логин учетной записи пользователя домена и нажать Enter:
В следующем окне ввести пароль, соответствующий этой учетной записи и нажать Enter:
В случае использования в окне логина символов верхнего регистра (например, Irina.Soboleva вместо irina.soboleva) или лишних символов (не использующихся для стандартного имяобразования в Linux) может наблюдаться некорректное поведение системы (например, не выставляются переменные окружения XDG_RUNTIME_DIR и DBUS_SESSION_BUS_ADDRESS).
Для возможности использовать для входа привычные способы написания логина (с доменным суффиксом, точками, символами верхнего регистра) необходимо выполнить команду:
# control pam_canonicalize_user enabled
или в файле
/etc/pam.d/system-auth-common раскомментировать строку:
auth required pam_canonicalize_user.so
Данную настройку также можно применить с помощью механизма групповых политик Control (политика Управление канонизацией имен пользователей в PAM).
После первой авторизации доменный пользователь будет отображаться в списке пользователей:
55.4.1. Отключение списка пользователей
Отключить отображение списка пользователей на экране входа можно в приложении Настройки GDM (должен быть установлен пакет gdm-settings):
Для отключения отображения списка пользователей можно также воспользоваться следующим решением:
Создать файл
96-local-gdm-settings в каталоге
/etc/dconf/db/gdm.d/ (каталог, если его ещё не существует, нужно предварительно создать) со следующим содержимым:
[org/gnome/login-screen]
#Отключить список пользователей
disable-user-list=true
Создать файл
/etc/dconf/profile/gdm со следующим содержимым:
user-db:user
system-db:gdm
file-db:/usr/share/gdm/greeter-dconf-defaults
Выполнить команду:
# dconf update
55.5. Отображение глобальных групп на локальные
При вводе машины в домен создаются следующие локальные роли:
роль пользователей (users);
роль пользователей с расширенными правами (powerusers);
роль локальных администраторов (localadmins).
Локальные роли users и localadmins назначаются для глобальных групп в домене.
Список назначенных ролей и привилегий:
# rolelst
domain users:users
domain admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
vboxadd:vboxsf
# id ivanov
uid=906201103(ivanov) gid=906200513(domain users) группы=906200513(domain users),906201107(sales),
906201114(office),100(users),80(cdwriter),22(cdrom),81(audio),475(video),19(proc),
83(radio),444(camera),71(floppy),498(xgrp),499(scanner),14(uucp),462(vboxusers),464(fuse),488(vboxadd),487(vboxsf)
Если необходимо выдать права администраторов пользователям, которые не являются администраторами домена (Domain Admins), то нужно на контроллере домена завести новую группу в AD (например, PC Admins):
# samba-tool group add 'PC Admins'
Added group PC Admins
Добавить туда необходимых пользователей (например, пользователя ivanov):
# samba-tool group addmembers 'PC Admins' ivanov
Added members to group PC Admins
Затем на машине, введённой в домен, добавить роль для данной группы:
# roleadd 'PC Admins' localadmins
# rolelst
domain users:users
domain admins:localadmins
pc admins:localadmins
localadmins:wheel,vboxadd,vboxusers
powerusers:remote,vboxadd,vboxusers
users:cdwriter,cdrom,audio,video,proc,radio,camera,floppy,xgrp,scanner,uucp,vboxusers,fuse,vboxadd
vboxadd:vboxsf
После этого пользователь, входящий в группу PC Admins, сможет
получать права администратора.
55.6. Подключение файловых ресурсов
Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).
55.6.1. Подключение с использованием gio
Недостаток такого способа — необходимо открыть ресурс в файловом менеджере (Caja, Pcmanfm). Однако можно открывать любые ресурсы на любых серверах, входящие в домен Active Directory.
Установить необходимые пакеты:
# apt-get install fuse-gvfs gvfs-backend-smb libgio
Включить пользователя в группу fuse:
# gpasswd -a <пользователь> fuse
Разрешить для всех доступ к fuse под root:
# control fusermount public
Войти под доменным пользователем.
Открыть ресурс в файловом менеджере (например, по адресу smb://server/sysvol). Ресурс смонтирован по пути /var/run/<uid_пользователя>/gvfs или /var/run/user/<uid_пользователя>/gvfs/smb-share:server=сервер,share=ресурс.
Другой вариант (полезно для скриптов в автозапуске):
gio mount smb://server/sysvol/
Если необходимо открывать что-то с ресурса в WINE, в winecfg добавьте диск с путём /var/run/uid_пользователя/gvfs
55.6.2. Подключение с использованием pam_mount
В этом случае заданный ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.
Установить пакеты
pam_mount и
cifs-utils:
# apt-get install pam_mount cifs-utils
Для того чтобы файловые ресурсы, подключенные с помощью pam_mount, корректно отключались при завершении сеанса, следует установить пакет
systemd-settings-enable-kill-user-processes и перезагрузить систему:
# apt-get install systemd-settings-enable-kill-user-processes
Прописать pam_mount в схему аутентификации по умолчанию. Для этого в конец файла
/etc/pam.d/system-auth добавить строки:
session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet
session optional pam_mount.so disable_interactive
Установить правило монтирования ресурса в файле
/etc/security/pam_mount.conf.xml (перед тегом <cifsmount>):
<volume uid="10000-2000200000" fstype="cifs" server="dc1.test.alt" path="sysvol" mountpoint="~/share"
options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
где
uid="10000-2000200000" — диапазон присваиваемых для доменных пользователей UID (подходит для Winbind и для SSSD);
server="dc1.test.alt" — имя сервера с ресурсом;
path="sysvol" — имя файлового ресурса;
mountpoint="~/share" — путь монтирования в домашней папке пользователя.
Опционально можно добавить:
Обязательно указывайте настоящее имя сервера в параметре server, а не имя домена.
По умолчанию для монтирования используется smb версии 1.0, если у вас он отключен, то укажите в параметрах версию 2 или 3:
<volume uid="10000-2000200000" fstype="cifs" server="dc1.test.alt" path="sysvol" mountpoint="~/share"
options="sec=krb5,vers=2.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
Для проверки можно попробовать смонтировать ресурс в сессии:
mount.cifs //dc1.test.alt/sysvol /mnt/ -o vers=2.0,user=ivanov
Доступность ресурса также можно проверить с помощью
smbclient, например:
smbclient -L dc1.test.alt -U ivanov -m SMB2
Глава 56. Групповые политики
Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассматривается реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик используется инструмент gpupdate. Он рассчитан на работу на машине, введённой в домен Samba.
Интеграция с инфраструктурой LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций к объектам в дереве каталогов. Помимо глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
сайты — группы компьютеров в заданной подсети в рамках одного домена;
конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
управления интернет-браузерами Firefox, Chromium и Yandex Browser (при использовании ADMX-файлов: admx-firefox, admx-chromium, admx-yandex-browser соответственно);
управления почтовым клиентом Mozilla Thunderbird (пакет admx-thunderbird);
запрета подключения внешних носителей;
управления политиками control (широкий набор настроек; реализовано через ADMX-файлы ALT);
включения или выключения служб systemd (реализовано через ADMX-файлы ALT);
настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды MATE (реализовано через ADMX-файлы ALT);
настройки графической среды GNOME (реализовано через ADMX-файлы ALT);
настройки среды рабочего стола KDE (экспериментальная политика; реализовано через ADMX-файлы ALT);
управления настройками службы Polkit (широкий набор настроек; реализовано через ADMX-файлы ALT);
подключения сетевых дисков;
управления переменными среды;
управления общими каталогами (экспериментальная политика);
создания, удаления и замены ярлыков;
создания каталогов;
управления файлами (экспериментальная политика);
выполнения скриптов при старте/завершении работы компьютера или входе/выходе пользователя (экспериментальная политика);
установки и удаления пакетов (экспериментальная политика).
Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе Групповые политики.
56.1. Развертывание групповых политик
Процесс развёртывания групповых политик:
развернуть контроллер домена Альт Домен (например, на машине с установленной ОС Альт Сервер).
На контроллере домена установить административные шаблоны:
установить пакеты политик и утилиту
admx-msi-setup:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-thunderbird admx-msi-setup
скачать и установить ADMX-файлы от Microsoft:
# admx-msi-setup
По умолчанию
admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров можно указать другой источник:
# admx-msi-setup -h
admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
Removing admx-msi-setup temporary files...
после установки политики будут находиться в каталоге
/usr/share/PolicyDefinitions. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (
/var/lib/samba/sysvol/<DOMAIN>/Policies/):
# samba-tool gpo admxload -U Administrator
Должен быть установлен пакет
alterator-gpupdate:
# apt-get install alterator-gpupdate
Для автоматического включения групповых политик при вводе в домен в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, необходимо отметить пункт Включить групповые политики:
Политики будут включены сразу после ввода в домен (после перезагрузки системы).
Если машина уже введена в домен, включить групповые политики можно вручную с помощью модуля ЦУС . Для этого в
Центре управления системой в разделе → следует выбрать шаблон локальной политики (
Сервер,
Рабочая станция или
Контроллер домена) и установить отметку в пункте
Управление групповыми политиками:
На машине, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
# apt-get install admc gpui
В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
# admx-msi-setup
Настроить, если это необходимо, RSAT на машине с ОС Windows:
ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория
https://altlinux.space/alt-domain/admx-basealt и разместить их в каталоге
\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
корректно установленные административные шаблоны будут отображены на машине Windows в оснастке в разделе → → → :
56.2. Пример создания групповой политики
Для создания групповой политики на машине, введённой в домен, необходимо выполнить следующие шаги:
Добавить доменные устройства (компьютеры/пользователи) в подразделение (OU) (инструмент ADMC или оснастка AD «Пользователи и компьютеры»);
Создать политику и назначить её на OU (инструмент ADMC или оснастка AD «Управление групповой политикой»);
Отредактировать параметры политики (инструмент GPUI или оснастка AD «Редактор управления групповыми политиками»).
В качестве примера, создадим политику, разрешающую запускать команду ping только суперпользователю (root).
Запустить ADMC, например, выполнив команду
admc:
$ admc
В окне аутентификации Kerberos указать принципал (principal) пользователя и его пароль:
Интерфейс ADMC:
Добавление доменных устройств в группу членства GPO:
Создать новое подразделение:
в контекстном меню домена выбрать пункт → :
в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку ОК:
Переместить компьютеры и пользователей домена в созданное подразделение:
в контекстном меню пользователя/компьютера выбрать пункт ;
в открывшемся диалоговом окне Выбор контейнера – ADMC выбрать контейнер, в который следует переместить учетную запись пользователя.
Создание политики для подразделения:
В контекстном меню подразделения (в папке Объекты групповой политики) выбрать пункт :
В открывшемся окне ввести название политики и нажать кнопку ОК:
Редактирование настроек групповой политики:
В контекстном меню политики выбрать пункт :
Откроется окно редактирования групповых политик (GPUI):
Перейти в → → . Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
Щёлкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включено, в выпадающем списке Кому разрешено выполнять выбрать пункт и нажать кнопку ОК:
После обновления политики на клиенте, выполнять команду
ping сможет только администратор:
$ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе
# control ping
restricted
Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду:
# gpoa --loglevel 0
В выводе команды будут фигурировать полученные групповые объекты. В частности, соответствующий уникальный код (GUID) объекта.
Глава 57. Ввод рабочей станции в домен FreeIPA
Инструкция по вводу рабочей станции под управлением Альт Рабочая станция в домен FreeIPA.
57.1. Установка FreeIPA клиента
Установить необходимые пакеты:
# apt-get install freeipa-client libsss_sudo krb5-kinit bind-utils libbind zip task-auth-freeipa
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом.
В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить как в графическом интерфейсе, так и в консоли:
В
Центре управления системой в разделе → задать имя компьютера, указать в поле
DNS-серверы IP-адрес FreeIPA сервера и в поле
Домены поиска — домен для поиска:
В консоли:
задать имя компьютера:
# hostnamectl set-hostname comp01.example.test
добавить DNS сервер, для этого необходимо создать файл
/etc/net/ifaces/eth0/resolv.conf со следующим содержимым:
nameserver 192.168.0.113
search example.test
где 192.168.0.113 — IP-адрес FreeIPA сервера, example.test — домен.
обновить DNS адреса:
# resolvconf -u
После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле
/etc/resolv.conf должны появиться строки:
search example.test
nameserver 192.168.0.113
57.3. Подключение к серверу в ЦУС
В открывшемся окне следует выбрать пункт Домен FreeIPA, заполнить поля Домен и Имя компьютера, затем нажать кнопку Применить.
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК.
В случае успешного подключения, будет выведено соответствующее сообщение.
Перезагрузить рабочую станцию.
57.4. Подключение к серверу в консоли
Запустить скрипт настройки клиента в пакетном режиме:
# ipa-client-install -U -p admin -w 12345678
или интерактивно:
# ipa-client-install
Если все настроено, верно, скрипт должен выдать такое сообщение:
'''Discovery was successful!'''
Client hostname: comp01.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test
Continue to configure the system with these values? [no]:
Необходимо ответить
yes, ввести имя пользователя, имеющего право вводить машины в домен, и его пароль.
Если при входе в домен возникает такая ошибка:
Hostname (comp01.example.test) does not have A/AAAA record.
Failed to update DNS records.
Необходимо проверить IP-адрес доменного DNS сервера в файле
/etc/resolv.conf.
В случае возникновения ошибки, необходимо перед повторной установкой запустить процедуру удаления:
# ipa-client-install -U --uninstall
Для работы sudo-политик для доменных пользователей на клиентской машине необходимо разрешить доступ к sudo:
# control sudo public
В окне входа в систему необходимо нажать ссылку Нет в списке?:
В открывшемся окне необходимо ввести логин учетной записи пользователя домена и нажать Enter:
В следующем окне ввести пароль, соответствующий этой учетной записи и нажать Enter:
При первом входе пользователя будет запрошен текущий (установленный администратором) пароль:
затем у пользователя запрашивается новый пароль и его подтверждение:
После первой авторизации доменный пользователь будет отображаться в списке пользователей:
57.5.1. Отключение списка пользователей
Отключить отображение списка пользователей на экране входа можно в приложении Настройки GDM (должен быть установлен пакет gdm-settings):
Для отключения отображения списка пользователей можно также воспользоваться следующим решением:
Создать файл
96-local-gdm-settings в каталоге
/etc/dconf/db/gdm.d/ (каталог, если его ещё не существует, нужно предварительно создать) со следующим содержимым:
[org/gnome/login-screen]
#Отключить список пользователей
disable-user-list=true
Создать файл
/etc/dconf/profile/gdm со следующим содержимым:
user-db:user
system-db:gdm
file-db:/usr/share/gdm/greeter-dconf-defaults
Выполнить команду:
# dconf update
57.6. Удаление клиента FreeIPA
При удалении, клиент удаляется из домена FreeIPA вместе с конфигурацией системных служб FreeIPA.
Для удаления клиента FreeIPA необходимо:
На клиенте ввести команду:
# ipa-client-install --uninstall
…
Client uninstall complete.
The original nsswitch.conf configuration has been restored.
You may need to restart services or reboot the machine.
Do you want to reboot the machine? [no]: yes
The ipa-client-install command was successful
На клиенте удалить, если они есть, старые принципалы Kerberos (кроме
/etc/krb5.keytab):
# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.TEST
На сервере FreeIPA удалить все записи DNS для клиентского узла:
# ipa dnsrecord-del
Имя записи: comp01
Имя зоны: example.test
Возможность удаления определённой записи не предусмотрена.
Удалить все? Yes/No (default No): yes
-----------------------
Удалена запись "comp01"
-----------------------
На сервере FreeIPA удалить запись узла с сервера LDAP FreeIPA (при этом будут удалены все службы и отозваны все сертификаты, выданные для этого узла):
# ipa host-del comp01.example.test
---------------------------------
Удалён узел "comp01.example.test"
---------------------------------
Часть VII. Средства удаленного администрирования
Дальнейшие разделы описывают некоторые возможности использования Альт Рабочая станция, настраиваемые в ЦУС.
Эта и последующие главы рекомендуются к прочтению опытным пользователям и системным администраторам.
Глава 58. Вход в систему
Глава 59. Обслуживание компьютера под управлением Альт Рабочая станция
59.1. Мониторинг состояния системы
Для обеспечения бесперебойной работы ОС крайне важно производить постоянный мониторинг её состояния. Все события, происходящие с ОС, записываются в журналы, анализ которых помогает избежать сбоев в работе системы и предоставляет возможность разобраться в причинах некорректной работы ОС.
Для просмотра журналов предназначен модуль ЦУС из раздела (пакет alterator-logs). Интерфейс позволяет просмотреть различные типы журналов с возможностью перехода к более старым или более новым записям.
Доступны следующие виды журналов:
— отображаются события безопасности, связанные с работой межсетевого экрана ОС;
— отображаются события процессов ядра и пользовательской области. У каждого сообщения в этом журнале есть приоритет, который используется для пометки важности сообщений. Сообщения в зависимости от уровня приоритета подсвечиваются цветом.
Каждый журнал может содержать довольно большое количество сообщений. Уменьшить либо увеличить количество выводимых строк можно, выбрав нужное значение в списке Показывать.
Для изменения состояния служб можно использовать модуль ЦУС (пакет alterator-services) из раздела . Интерфейс позволяет изменять текущее состояние службы и, если необходимо, применить опцию запуска службы при загрузке системы.
После выбора названия службы из списка отображается описание данной службы, а также текущее состояние: Работает/Остановлена/Неизвестно.
59.3. Системные ограничения
Средствами модуля (пакет alterator-control) из раздела определяются несколько заранее заданных режимов доступа к тому или иному файлу. Администратор системы может установить один из этих режимов — он будет гарантированно сохранён при обновлении системы.
Модуль также может использоваться как простой конфигуратор, позволяющий переключать многие системные службы между заранее определёнными состояниями.
Политики для команды fusermount:
Для переключения состояния следует выбрать режим и нажать кнопку Сохранить.
59.4. Обновление системы
После установки системы крайне важно следить за обновлениями ПО. Обновления для Альт Рабочая станция могут содержать как исправления, связанные с безопасностью, так и новый функционал или просто улучшение и ускорение алгоритмов. В любом случае настоятельно рекомендуется регулярно обновлять систему для повышения надёжности её работы.
Для автоматизации процесса установки обновлений предусмотрен модуль ЦУС (пакет alterator-updates) из раздела . Здесь можно включить автоматическое обновление через Интернет с одного из предлагаемых серверов или задать собственные настройки.
Источник обновлений указывается явно (при выбранном режиме Обновлять систему автоматически из сети Интернет) или вычисляется автоматически (при выбранном режиме Обновление системы управляемое сервером и наличии в локальной сети настроенного сервера обновлений).
Рабочие станции «видят» локальный сервер обновлений, при выборе режима Обновление системы управляемое сервером, если они находятся в домене (при этом сервер обновлений должен быть настроен на Опубликовать как репозиторий для автоматических обновлений).
Процесс обновления системы будет запускаться автоматически согласно заданному расписанию.
Чтобы указать в качестве сервера обновлений локально настроенный источник, необходимо выбрать режим Обновлять систему автоматически из Интернет, выбрать в списке Другой адрес и указать адрес локального сервера обновлений, например http://<ip сервера>/mirror:
59.5. Обновление систем, не имеющих выхода в Интернет
Для систем, не имеющих прямого выхода в Интернет, рекомендуется установка отдельного сервера обновлений (например, на базе Альт Сервер или Альт Рабочая станция), находящегося вне защищенного контура и организация ограниченного доступа к этому серверу.
Модуль ЦУС (пакет alterator-mirror) из раздела предназначен для зеркалирования репозиториев и публикации их для обновлений рабочих станций и серверов.
Пакет alterator-mirror не входит в состав ISO-образа дистрибутива, его можно установить из репозитория p11.
Сервер обновлений — технология, позволяющая настроить автоматическое обновление программного обеспечения, установленного на клиентских машинах (рабочих местах), работающих под управлением Альт Рабочая станция.
На странице модуля можно выбрать, как часто выполнять закачку пакетов, можно выставить время, когда начинать зеркалирование.
Здесь также можно выбрать репозитории, локальные срезы которых необходимы. При нажатии на название репозитория, появляются настройки этого репозитория. Необходимо выбрать источник (сайт, откуда будет скачиваться репозиторий), архитектуру процессора (если их несколько, то стоит выбрать соответствующие).
При выборе любой архитектуры также будет добавлен источник с noarch.
Сервер обновлений предоставляет возможность автоматически настроить обновление клиентских машин в нужном режиме:
Локальное зеркало репозитория
В этом режиме на сервере создаётся копия удалённого репозитория. Загрузка ПО клиентскими машинами может производиться с локального сервера по протоколам HTTP, HTTPS, FTP, rsync (для каждого протокола нужно настроить соответствующие службы, ниже приведён пример настройки HTTP- и FTP-сервера). Наличие на локальной машине зеркала репозитория при большом количестве машин в сети позволяет существенно сэкономить трафик.
Зеркалирование потребует наличия большого количества места на диске.
Уменьшить размер скачиваемых файлов и занимаемое репозиторием место на диске можно, указав имена каталогов и файлов, которые будут исключены из синхронизации. Например, не скачивать пакеты с исходным кодом и пакеты с отладочной информацией:
SRPMS
*-debuginfo-*
Шаблоны указываются по одному в отдельной строке. Символ «*» используется для подстановки любого количества символов.
Публикация репозитория
В этом случае публикуется или URL внешнего сервера, содержащего репозиторий или, если включено локальное зеркало репозитория, адрес этого сервера обновлений. Такая публикация позволяет клиентским машинам автоматически настроить свои менеджеры пакетов на использование внешнего или локального репозитория.
Со стороны клиентских машин, в этом случае, необходимо настроить модуль
, отметив в нём
Обновление системы управляемое сервером.
Настройка локального репозитория заканчивается нажатием на кнопку Применить.
По умолчанию локальное зеркало репозитория находится в
/srv/public/mirror. Для того чтобы зеркалирование происходило в другую папку, необходимо эту папку примонтировать в папку
/srv/public/mirror. Для этого в файл
/etc/fstab следует вписать строку:
/media/disk/localrepo /srv/public/mirror none rw,bind,auto 0 0
где
/media/disk/localrepo — папка-хранилище локального репозитория.
Если в каталогах /srv/public/mirror/<репозиторий>/branch/<архитектура>/base/. нет файлов pkglist.* значит зеркалирование не закончено (т.е. не все файлы загружены на ваш сервер обновлений).
59.5.1. Настройка веб-сервера
Установить веб-сервер apache:
# apt-get install apache2
Привести файл
/etc/httpd2/conf/include/Directory_html_default.conf к виду:
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
Require all granted
Запустить apache и добавить его в автозагрузку:
# systemctl enable --now httpd2
Перейти в каталог веб-сервера
/var/www/html:
# cd /var/www/html
Создать здесь символическую ссылку на репозиторий:
# ln -s /srv/public/mirror mirror
На клиентских машинах необходимо настроить репозитории, выполнив команды:
# apt-repo rm all
# apt-repo add http://<ip сервера>/mirror/p11/branch
Проверить правильность настройки репозиториев:
# apt-repo
rpm http://192.168.0.185/mirror p11/branch/x86_64 classic
rpm http://192.168.0.185/mirror p11/branch/noarch classic
59.5.2. Настройка FTP-сервера
Установить, настроить и запустить сервер
FTP.
Создать каталог
/var/ftp/mirror:
# mkdir -p /var/ftp/mirror
Примонтировать каталог
/srv/public/mirror в
/var/ftp/mirror с опцией
--bind:
# mount --bind /srv/public/mirror /var/ftp/mirror
Для автоматического монтирования каталога
/srv/public/mirror при загрузке системы необходимо добавить следующую строку в файл
/etc/fstab:
/srv/public/mirror /var/ftp/mirror none defaults,bind 0 0
На клиентских машинах необходимо настроить репозитории:
# apt-repo rm all
# apt-repo add ftp://<ip сервера>/mirror/p11/branch
# apt-repo
rpm ftp://192.168.0.185/mirror p11/branch/x86_64 classic
rpm ftp://192.168.0.185/mirror p11/branch/noarch classic
59.6. Локальные учётные записи
Модуль (пакет alterator-users) из раздела предназначен для администрирования системных пользователей.
Для создания новой учётной записи необходимо ввести имя новой учётной записи и нажать кнопку Создать, после чего имя отобразится в списке слева.
Для дополнительных настроек необходимо выделить добавленное имя, либо, если необходимо изменить существующую учётную запись, выбрать её из списка.
59.7. Администратор системы
В модуле (пакет alterator-root) из раздела можно изменить пароль суперпользователя (root), заданный при начальной настройке системы.
В данном модуле (только в веб-интерфейсе) можно добавить публичную часть ключа RSA или DSA для доступа к системе по протоколу SSH.
В модуле (пакет alterator-datetime) из раздела можно изменить дату и время в системе, сменить часовой пояс, а также настроить автоматическую синхронизацию часов по протоколу NTP и предоставление точного времени по этому протоколу для других рабочих станций локальной сети.
Системное время зависит от следующих факторов:
часы в BIOS — часы, встроенные в компьютер. Они работают, даже если он выключен;
системное время — часы в ядре операционной системы. Во время работы системы все процессы пользуются именно этими часами;
часовые пояса — регионы Земли, в каждом из которых принято единое местное время.
При запуске системы происходит активация системных часов и их синхронизация с аппаратными, кроме того, в определённых случаях учитывается значение часового пояса. При завершении работы системы происходит обратный процесс.
Если настроена синхронизация времени с NTP-сервером, то компьютер сможет сам работать как сервер точного времени. Для этого достаточно отметить соответствующий пункт Работать как NTP-сервер.
Выбор источника сигналов времени (источника тактовой частоты) доступен в режиме эксперта.
59.9. Настройка прокси-сервера
Модуль (пакет alterator-sysconfig) в разделе позволяет настроить параметры прокси-сервера, используемого для выхода в Интернет.
Данный модуль позволяет настроить:
IP-адрес и порт используемого прокси-сервера;
логин и пароль для доступа, если прокси-сервер требует аутентификацию.
После нажатия кнопки
Применить все параметры запишутся в файл
/etc/sysconfig/network в следующем виде:
HTTP_PROXY=http://username:password@address:port
HTTPS_PROXY=http://username:password@address:port
FTP_PROXY=http://username:password@address:port
NO_PROXY=""
Указанный прокси-сервер будет использоваться ПО для доступа в сеть Интернет.
Для применения настроек прокси-сервера необходимо перезагрузить систему.
59.10. Ограничение использования диска
Модуль (пакет alterator-quota) в разделе позволяет ограничить использование дискового пространства пользователями, заведёнными в системе в модуле .
Модуль позволяет задать ограничения (квоты) для пользователя при использовании определённого раздела диска. Ограничить можно как суммарное количество килобайт, занятых файлами пользователя, так и количество этих файлов.
Для управления квотами файловая система должна быть подключена с параметрами
usrquota,
grpquota. Для этого следует выбрать нужный раздел в списке
Файловая система и установить отметку в поле
Включено:
Для того чтобы задать ограничения для пользователя, необходимо выбрать пользователя в списке Пользователь, установить ограничения и нажать кнопку Применить.
При задании ограничений различают жёсткие и мягкие ограничения:
Мягкое ограничение: нижняя граница ограничения, которая может быть временно превышена. Временное ограничение — одна неделя.
Жёсткое ограничение: использование диска, которое не может быть превышено ни при каких условиях.
Значение 0 при задании ограничений означает отсутствие ограничений.
59.11. Выключение и перезагрузка компьютера
Иногда, в целях обслуживания или по организационным причинам необходимо корректно выключить или перезагрузить компьютер. Для этого можно воспользоваться модулем ЦУС в разделе .
Возможна настройка ежедневного применения данных действий в заданное время.
Так как выключение и перезагрузка — критичные для функционирования компьютера операции, то по умолчанию настройка выставлена в значение Продолжить работу. Для выключения, перезагрузки или перехода в энергосберегающие режимы нужно отметить соответствующий пункт и нажать Применить.
Для ежедневного автоматического выключения компьютера, перезагрузки, а также перехода в энергосберегающие режимы необходимо отметить соответствующий пункт и задать желаемое время. Например, для выключения компьютера следует отметить пункт Выключать компьютер каждый день в, задать время выключения в поле ввода слева от этого флажка и нажать кнопку Применить.
Для возможности настройки оповещений на e-mail, должен быть установлен пакет
state-change-notify-postfix:
# apt-get install state-change-notify-postfix
Для настройки оповещений необходимо отметить пункт При изменении состояния системы отправлять электронное письмо по адресу, ввести e-mail адрес и нажать кнопку Применить:
По указанному адресу, при изменении состоянии системы будут приходить электронные письма. Например, при включении компьютера, содержание письма будет следующее:
Mon Mar 10 11:02:43 EET 2025: The newhost.test.alt is about to start.
При выключении:
Mon Mar 10 12:02:28 EET 2025: The newhost.test.alt is about to shutdown.
Кнопка Сбросить возвращает сделанный выбор к безопасному значению по умолчанию: Продолжить работу, перечитывает расписания и выставляет отметки для ежедневного автоматического действия в соответствие с прочитанным.
Глава 60. Конфигурирование сетевых интерфейсов
Альт Рабочая станция поддерживает самые разные способы подключения к сети Интернет:
Ethernet;
PPTP;
PPPoЕ;
и т.д.
Для настройки подключения воспользуйтесь одним из разделов ЦУС .
Доступные разделы:
PPTP-соединения;
PPPoE-соединения;
Конфигурирование сетевых интерфейсов осуществляется в модуле ЦУС (пакет alterator-net-eth) из раздела :
В модуле можно заполнить следующие поля:
Имя компьютера — указать сетевое имя ПЭВМ в поле для ввода имени компьютера (это общий сетевой параметр, не привязанный, к какому-либо конкретному интерфейсу). Имя компьютера, в отличие от традиционного имени хоста в Unix (hostname), не содержит названия сетевого домена;
Интерфейсы — выбрать доступный сетевой интерфейс, для которого будут выполняться настройки;
Версия протокола IP — указать в выпадающем списке версию используемого протокола IP (IPv4, IPv6) и убедиться, что пункт Включить, обеспечивающий поддержку работы протокола, отмечен;
Конфигурация — выбрать способ назначения IP-адресов (службы DHCP, Zeroconf, вручную);
IP-адреса — пул назначенных IP-адресов из поля Добавить ↑ IP, выбранные адреса можно удалить нажатием кнопки Удалить;
Добавить ↑ IP — ввести IP-адрес вручную и выбрать в выпадающем поле предпочтительную маску сети, затем нажать кнопку Добавить для переноса адреса в пул поля IP-адреса;
Шлюз по умолчанию — в поле для ввода необходимо ввести адрес шлюза, который будет использоваться сетью по умолчанию;
DNS-серверы — в поле для ввода необходимо ввести список предпочтительных DNS-серверов, которые будут получать информацию о доменах, выполнять маршрутизацию почты и управлять обслуживающими узлами для протоколов в домене;
Домены поиска — в поле для ввода необходимо ввести список предпочтительных доменов, по которым будет выполняться поиск. Если в поле Домены поиска перечислить наиболее часто используемые домены (например, domain), то можно пользоваться неполными именами машин (computer вместо computer.domain).
IP-адрес и Маска сети — обязательные параметры каждого узла IP-сети. Первый параметр — уникальный идентификатор машины, от второго напрямую зависит, к каким машинам локальной сети данная машина будет иметь доступ. Если требуется выход во внешнюю сеть, то необходимо указать параметр Шлюз по умолчанию.
В случае наличия DHCP-сервера можно все вышеперечисленные параметры получить автоматически — выбрав в списке Конфигурация пункт Использовать DHCP:
Если в компьютере имеется несколько сетевых карт, то возможна ситуация, когда при очередной загрузке ядро присвоит имена интерфейсов (eth0, eth1) в другом порядке. В результате интерфейсы получат не свои настройки. Чтобы этого не происходило, можно привязать интерфейс к имени по его аппаратному адресу (MAC) или по местоположению на системной шине.
Дополнительно для каждого интерфейса можно настроить сетевую подсистему, а также должен ли запускаться данный интерфейс при загрузке системы:
В списке Сетевая подсистема можно выбрать следующие режимы:
Etcnet
В этом режиме настройки берутся исключительно из файлов, находящихся в каталоге настраиваемого интерфейса
/etc/net/ifaces/<интерфейс>. Настройки сети могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование файлов
/etc/net/ifaces/<интерфейс> (подробнее см.
Etcnet).
NetworkManager (etcnet)
В этом режиме
NetworkManager сам инициирует сеть, используя в качестве параметров — настройки из файлов Etcnet. Настройки сети могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование файлов
/etc/net/ifaces/<интерфейс>. В этом режиме можно просмотреть настройки сети, например, полученный по DHCP IP-адрес, через графический интерфейс
NetworkManager.
NetworkManager (native)
В данном режиме управление настройками интерфейса передаётся
NetworkManager и не зависит от файлов Etcnet. Управлять настройками можно через графический интерфейс
NetworkManager. Файлы с настройками находятся в директории
/etc/NetworkManager/system-connections. Этот режим особенно актуален для задач настройки сети на клиенте, когда IP-адрес необходимо получать динамически с помощью DHCP, а DNS-сервер указать явно. Через ЦУС так настроить невозможно, так как при включении DHCP отключаются настройки, которые можно задавать вручную.
Не контролируется
В этом режиме интерфейс находится в состоянии DOWN (выключен).
Глава 61. Соединение удалённых офисов (OpenVPN-сервер)
Альт Рабочая станция предоставляет возможность безопасного соединения удалённых офисов, используя технологию
VPN (англ. Virtual Private Network — виртуальная частная сеть), которая позволяет организовать безопасные шифрованные соединения через публичные сети (например, Интернет) между удалёнными офисами или локальной сетью и удалёнными пользователями. Таким образом, вы можете связать два офиса организации, что делает работу с документами, расположенными в сети удалённого офиса, более удобной.
Помимо соединения целых офисов, также существует возможность организовать доступ в офисную сеть для работы в ней извне. Это означает, например, что сотрудник может работать в своём привычном окружении, даже находясь в командировке или просто из дома.
61.1. Настройка OpenVPN-сервера
OpenVPN-сервер может быть развёрнут, например, на базе ОС Альт Сервер или ОС Альт Рабочая станция. Для организации VPN соединения на стороне сервера предусмотрен модуль ЦУС (пакет alterator-openvpn-server) из раздела .
Используя модуль можно:
включить/отключить OpenVPN-сервер;
настроить параметры сервера: тип, сети сервера, использование сжатия и т.д.;
управлять сертификатами сервера;
настроить сети клиентов.
Особое внимание при планировании и настройке подключений следует обратить на используемые сети. Они не должны пересекаться.
Для создания соединения необходимо установить флажок Включить службу OpenVPN, выбрать тип подключения: маршрутизируемое (используется TUN) или через мост (используется TAP), и проверить открываемую по соединению сеть (обычно это локальная сеть в виде IP-адреса и маски подсети).
Для настройки сертификата и ключа ssl необходимо нажать на кнопку Сертификат и ключ ssl…. Откроется окно модуля (пакет alterator-sslkey):
Здесь нужно заполнить поле Общее имя (CN) и поле Страна (С) (прописными буквами), отметить пункт (Пере)создать ключ и запрос на подпись и нажать кнопку Подтвердить. После чего станет активной кнопка Забрать запрос на подпись:
Если нажать на кнопку Забрать запрос на подпись, появится диалоговое окно с предложением сохранить файл openvpn-server.csr. Необходимо сохранить этот файл на диске.
В модуле появился новый ключ openvpn-server (Нет сертификата):
Подписать сертификат можно в модуле на сервере.
Можно подписать сертификат в консоли, с помощью openssl. Для этого необходимо выполнить следующие действия:
Изменить значение параметра
policy в файле
/var/lib/ssl/openssl.cnf для возможности подписывать любые сертификаты:
policy = policy_anything
Создать каталоги:
# mkdir -p /root/CA/demoCA
# cd /root/CA
# mkdir -p ./demoCA/newcerts
Создать файл базы для действующих и отозванных сертификатов:
# touch ./demoCA/index.txt
Создать файл индекса для базы ключей и сертификатов:
# echo '01' > ./demoCA/serial
Создать файл индекса для базы отозванных сертификатов:
# echo '01' > ./demoCA/crlnumber
Создать «самоподписанный» сертификат
ca-root.pem и закрытый ключ
ca-root.key, которыми будут заверяться/подписываться ключи и сертификаты клиентов:
# openssl req -new -x509 -keyout ca-root.key -out ca-root.pem
Ввести пароль для закрытого ключа и ответить на запросы о владельце ключа.
Подписать запрос на сертификат своим «самоподписанным» сертификатом
ca-root.pem и ключом
ca-root.key с помощью следующей команды:
# openssl ca -cert ca-root.pem -keyfile ca-root.key -days 3650 \
-in /home/user/openvpn-server.csr \
-out /home/user/output.pem
где:
/home/user/openvpn-server.csr — запрос на сертификат (файл, полученный в модуле );
/home/user/output.pem — файл, в который будет записан подписанный сертификат.
Можно также установить пакет alterator-ca (alterator-ca не входит в состав ISO-образа дистрибутива Альт Рабочая станция, его можно установить из репозитория p11) и создать УЦ в ЦУС.
Чтобы подписать сертификат, необходимо перейти в модуль → , нажать кнопку Выберите файл, указать путь до файла openvpn-server.csr и нажать кнопку Загрузить запрос:
В результате на экране появится две группы цифр и кнопка Подписать. Необходимо нажать на кнопку Подписать и сохранить файл output.pem (подписанный сертификат).
Подписанный сертфикат (файл output.pem) следует положить к его ключу. Для этого в разделе , необходимо выделить ключ openvpn-server (Нет сертификата) и нажать кнопку Изменить. В появившемся окне, в пункте Положить сертификат, подписанный УЦ нужно нажать кнопку Выберите файл, указать путь до файла output.pem и нажать кнопку Положить:
В модуле , видно, что изменился ключ openvpn-server (истекает_и_дата). Ключ создан и подписан.
В модуле необходимо положить сертификат УЦ. Для этого в графе Положить сертификат УЦ следует нажать кнопку Выберите файл, указать путь к файлу сертификата УЦ (файл ca-root.pem) и нажать кнопку Положить:
Появится сообщение: «Сертификат УЦ успешно загружен».
Если использовался модуль , для получения сертификата УЦ необходимо перейти в модуле на вкладку Управление УЦ и забрать сертификат, нажать на ссылку Сертификат: ca-root.pem:
Для включения OpenVPN необходимо отметить пункт Включить службу OpenVPN и нажать кнопку Применить.
Если необходимо организовать защищённое соединение между двумя локальными сетями, воспользуйтесь модулем (раздел ).
61.2. Настройка клиентов
Со стороны клиента соединение настраивается в модуле ЦУС (пакет alterator-net-openvpn) из раздела . Доступ к настроенной приватной сети могут получить пользователи, подписавшие свои ключи и получившие сертификат в удостоверяющем центре на том же сервере.
Для создания нового соединения необходимо отметить пункт Сетевой туннель (TUN) или Виртуальное Ethernet устройство (TAP) и нажать кнопку Создать соединение. Должен быть выбран тот же тип, что и на стороне сервера.
Обратите внимание, что на стороне клиента, должен быть выбран тот же тип виртуального устройства, что и на стороне сервера. Для большинства случаев подходит маршрутизируемое подключение.
Помимо этого нужно создать ключ (например, openvpn) в модуле и подписать его в модуле (пакет alterator-ca) на сервере.
В результате станут доступны настройки соединения. На клиенте в модуле OpenVPN-соединение необходимо указать:
Для применения настроек, нажать кнопку
Применить. Состояние с
Выключено должно поменяться на
Включено.
Проверить, появилось ли соединение с сервером можно, выполнив команду:
ip addr
должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
Глава 62. Доступ к службам из сети Интернет
ОС предоставляет возможность организовать доступ к своим службам извне. Например, можно предоставить доступ к корпоративному веб-сайту из сети Интернет. Для обеспечения такой возможности необходимо разрешить входящие соединения на внешних интерфейсах. По умолчанию такие соединения блокируются.
Для разрешения внешних и внутренних входящих соединений предусмотрен раздел ЦУС . В списке Разрешить входящие соединения на внешних интерфейсах модуля (пакет alterator-net-iptables) перечислены наиболее часто используемые службы, отметив которые, вы делаете их доступными для соединений на внешних сетевых интерфейсах. Если вы хотите предоставить доступ к службе, отсутствующей в списке, задайте используемые этой службой порты в соответствующих полях.
Можно выбрать один из двух режимов работы:
Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
Шлюз (NAT). В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен, по крайней мере, один внешний и один внутренний интерфейс.
В любом режиме включено только перенаправление пакетов с внутренних интерфейсов. Перенаправление пакетов с внешних интерфейсов всегда выключено.
Все внутренние интерфейсы открыты для любых входящих соединений.
За дополнительной информацией по настройке обращайтесь к встроенной справке модуля ЦУС.
62.2. Список блокируемых хостов
Модуль ЦУС (пакет alterator-net-iptables) предназначен для блокирования любого трафика с указанными узлами. Данный модуль позволяет блокировать любой сетевой трафик с указанными в списке узлов (входящий, исходящий и пересылаемый).
Блокирование трафика с указанных в списке узлов начинается после установки флажка Использовать чёрный список.
Для добавления блокируемого узла необходимо ввести IP-адрес в поле Добавить IP адрес сети или хоста и нажать кнопку Добавить.
Для удаления узла из списка выберите его и нажмите кнопку Удалить.
Глава 63. Настройка ограничений на использование USB-устройств
Модуль ЦУС (пакет alterator-usbguard) из раздела предназначен для настройки ограничений на использование USB-устройств. Модуль работает на основе функционала USBGuard, позволяет вести чёрный и белый списки ограничений и предоставляет два типа действий — allow/block.
Модуль предоставляет следующие возможности:
сканирование подключенных устройств;
выбор и добавление устройств в набор правил из списка подключенных устройств;
создание предустановленных правил для распространённых сценариев;
создание правил по дескрипторам интерфейса: CC:SS:PP;
создание правил по свойствам USB-устройства: PID, VID;
создание правил по хешу устройства по PID+VID+SN;
создание сложных правил с дополнительными условиями;
загрузка правил из csv-файла;
редактирование значений в созданных правилах;
просмотр журнала событий подключения/отключения USB-устройств.
63.1. Информационное поле
В информационном поле отображается текущее состояние службы usbguard, список пользователей и групп, которые могут редактировать правила, сообщения об ошибках и предупреждения:
Добавить/удалить пользователя/группу, которые могут редактировать правила, можно в командной строке, например:
дать пользователю user полный доступ к разделам «devices» и «exceptions», пользователь user также будет иметь возможность просматривать и изменять текущую политику:
# usbguard add-user -u user --devices ALL --policy modify,list --exceptions ALL
удалить права у пользователя user:
# usbguard remove-user -u user
Дополнительную информацию смотрите на соответствующих страницах руководства, например:
$ usbguard add-user -h
Для включения контроля за USB-устройствами необходимо установить отметку в пункте Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить. Служба usbguard будет запущена и добавлена в автозагрузку:
По умолчанию будет установлен режим Белый список: Заблокировать все, кроме подключенных устройств, поэтому все подключенные устройства будут добавлены в список разрешённых, а все новые USB-устройства будут блокироваться.
Изменить поведение по умолчанию можно, установив нужный режим перед запуском службы usbguard (см.
Предустановки).
Для отключения контроля за USB-устройствами необходимо снять отметку с поля Активировать контроль портов, нажать кнопку Проверить, а затем кнопку Применить и перезагрузить систему.
63.2. Список USB-устройств
Если служба usbguard запущена, в веб-интерфейсе будет отображён список текущих подключённых устройств:
В столбце Статус отображается текущее состояние USB-устройства (allow — разрешённое устройство, block — заблокированное устройство).
Для редактирования состояния USB-устройства необходимо выделить строку с нужным устройством и нажать кнопку Разблокировать/Заблокировать. При этом будет добавлено соответствующее правило в таблицу Хэш.
Если активен Белый список, то для устройства со статусом block будет активна кнопка Разблокировать, если активен Чёрный список, то для устройства со статусом allow будет активна кнопка Заблокировать.
Кнопка Сканировать устройства позволяет обновить список подключённых USB-устройств.
Правила могут работать в режиме белого или чёрного списка. После установки режима Чёрный список, будут заблокированы только перечисленные в данном списке USB-устройства. После установки режима Белый список, будут заблокированы все USB-устройства, кроме перечисленных в данном списке.
Кроме ручного режима добавления правил в списки существует возможность предварительной настройки списков. Для предварительной настройки правил необходимо:
Выбрать соответствующий пункт:
Белый список:
Заблокировать все, кроме подключенных устройств — в правила (таблица Хэш) с действием allow будут добавлены все подключенные устройства. Все новые USB-устройства будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Заблокировать все, кроме подключенных и HID/HUB устройств — в правила с действием allow будут добавлены все подключенные устройства (таблица Хэш) и все устройства с интерфейсами 03:*:* и 09:*:* (таблица Маски CC:SS:PP). Все новые USB-устройства кроме HID/HUB-устройств (клавиатуры, мыши, джойстики, USB-концентраторы) будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Ручной режим — позволяет установить свои правила.
Чёрный список:
Блокировать устройства по классам дескриптора интерфейса: 06 Image и 08 Mass Storage — в правила (таблица Маски CC:SS:PP) с действием block будут добавлены все устройства с интерфейсами 08:*:* и 06:*:*. Все USB-устройства Mass Storage Device (USB-накопитель, карта памяти, кардридер, цифровая фотокамера) и Image (веб-камера, сканер) будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Блокировать устройства по списку известных PID:VID, использующих Аndroid Debug Bus — в правила (таблица Маски VID:PID) с действием block будут добавлены известные Android-устройства. Все Android-устройства будут заблокированы (будут отображаться в таблице Список устройств со статусом block);
Ручной режим — позволяет установить свои правила.
Нажать кнопку Проверить. Будут показаны планируемые изменения:
Если изменения корректные, нажать кнопку Применить.
Для отмены изменений, до нажатия кнопки Применить, следует выбрать пункт Ручной режим и нажать кнопку Проверить, а затем Применить.
Для добавления нового правила должен быть выбран пункт Ручной режим в белом или чёрном списках. Если Ручной режим выбран в белом списке, правило будет добавлено с действием allow, если в чёрном — с действием block.
63.4.1. Правила по классу интерфейса
Назначение USB-устройств может определяться кодами классов, которые сообщаются USB-узлу для загрузки необходимых драйверов. Коды классов позволяют унифицировать работу с однотипными устройствами разных производителей. Устройство может поддерживать один или несколько классов, максимальное количество которых определяется количеством доступных endpoints. Например, широко известны устройства класса Human Interface Device, HID (мыши, клавиатуры, игровые манипуляторы и т.д.) или устройства Mass Storage (USB-накопители, карты памяти и т.д.).
Класс интерфейса указывается как три 8-битных числа в шестнадцатеричном формате, разделенных двоеточием (CC:SS:PP). Числа обозначают класс интерфейса (CC), подкласс (SS) и протокол (PP). Вместо номера подкласса и протокола можно использовать символ *, чтобы соответствовать всем подклассам или протоколам. Сопоставление определенного класса и определенного протокола не допускается, то есть если в качестве номера подкласса используется *, то для протокола также необходимо использовать *.
Добавление правила по маске:
Под таблицей Маски CC:SS:PP нажать кнопку Добавить.
В поле CC:SS:PP вписать маску, например, правило для всех устройств с интерфейсами 09:*:*:
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным:
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила. Правило для всех устройств с интерфейсами 09:*:* будет добавлено.
63.4.2. Правила по VID&PID
Каждое USB-устройство содержит атрибуты, куда входит идентификатор разработчика устройства (VID) и идентификатор изделия (PID). На основании этих идентификаторов узел (компьютер) ищет методы работы с этим устройством (обычно это выражается в требовании установить драйверы, поставляемые разработчиком устройства).
VID и PID — это 16-битные числа в шестнадцатеричной системе счисления. В правиле можно также использовать символ *:
для соответствия любому идентификатору устройства *:*
для соответствия любому идентификатору продукта от конкретного поставщика, например, 090с:*
Добавление правила по VID&PID:
Под таблицей Маски VID:PID нажать кнопку Добавить.
В поле VID вписать идентификатор разработчика устройства (VID), а в поле PID идентификатор изделия (PID):
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила.
Для каждого USB-устройства USBGuard вычисляет хеш на основе значений атрибутов устройства и данных дескриптора USB (PID+VID+SN).
Добавление правила по хешу:
Под таблицей Хэш нажать кнопку Добавить.
В поле Хэш вписать хеш устройства:
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила.
Модуль позволяет создавать сложные правила с дополнительными условиями.
Добавление сложного правила:
Под таблицей Другие правила нажать кнопку Добавить.
В поле Правило вписать правило:
Например, правило, разрешающее подключение принтера только через определённый порт:
allow id 04a9:177a name "Canon E400" serial "F572EC" via-port "1-2" hash "eql9yA8m+5VVMmhXOvbUzwNPDGCAPq+fxIQHvbptlsY="
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Исправить или удалить некорректное правило и повторно нажать кнопку Проверить.
Нажать кнопку Применить для активации правила.
63.4.5. Загрузка правил из файла
Правила должны быть добавлены в csv-файл, по одному правилу в каждой строке. Строка должна иметь вид:
allow/block,Interface,PID:VID,Hash
Например:
allow,,090c:1000,"2dfdMHZxF5olAaNbsh68G4fpzD3iQLPL3+M7KHnSRjE="
allow,00:00:*,,
allow,,1000:*,
allow,,,"eql9yA8m+5VVMmhXOvbUzwNPDGCAPq+fxIQHvbptlsY="
Файл не должен содержать конфликтные правила — должны быть либо все allow, либо все block.
Загрузка правил из файла:
Нажать кнопку Выберите файл/Обзор (под таблицей Хэш) и выбрать файл с правилами.
Нажать кнопку Загрузить из файла.
Нажать кнопку Проверить. Корректное правило будет выделено зелёным цветом, некорректное — красным.
Нажать кнопку Применить для активации правила.
При загрузке правил из файла политика тоже будет выбрана из файла. Если в файле указана политика противоположная текущей, все существующие правила будут удалены.
Пример удаления правила по маске:
В таблице Маски CC:SS:PP установить отметку в поле с соответствующим правилом.
Нажать кнопку Удалить. Правило будет готово к удалению:
Нажать кнопку Проверить.
Нажать кнопку Применить для удаления правила.
Правила из других таблиц удаляются аналогичным способом.
63.6. Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств (журнала аудита) необходимо нажать кнопку Журнал, расположенную в левом нижнем углу модуля. По нажатию на эту кнопку раскрывается журнал аудита:
Фильтрация по логу USBGuard — строгая, регистрозависимая.
Глава 64. Настройка ограничения доступа к файловой системе USB-устройства
Модуль ЦУС (пакет alterator-usbmount) из раздела позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В модуле также предусмотрена возможность просмотра журнала событий подключения/отключения USB-устройств.
Особенности работы модуля:
если для устройства не создано правило, то служба не вмешивается в логику монтирования USB-устройства;
если для устройства создано правило, то служба монтирует блочные устройства на назначенном USB-устройстве в каталог /media/alt-usb-mount/$user_$group или /media/alt-usb-mount/root_$group, если пользователь не указан;
служба назначает ACL для указанного пользователя и группы на каталог, в котором будет создана точка монтирования блочного устройства;
в правилах можно указать только существующего локального пользователя и пользовательскую группу;
доступ к USB-устройству назначенному пользователю и группе предоставляется полностью (rw);
любой пользователь может отмонтировать устройство через стандартные средства ОС;
служба не вмешивается в права самих файловых систем блочных устройств;
рекомендуемая файловая система для переносных носителей exFAT.
Особенности работы модуля с файловыми системами:
EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также определяться назначенными правами самой файловой системы;
FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через точку монтирования, назначенную в USBMount;
ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение;
NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS носитель был извлечён небезопасно, то носитель будет смонтирован только для чтения.
В GNOME автоматическое монтирование USB включено по умолчанию.
Для отключения автоматического монтирования следует создать правило udev (например, файл
/etc/udev/rules.d/60-usb.rules):
SUBSYSTEM=="block",ACTION=="add",ENV{ID_BUS}=="usb",ENV{UDISKS_AUTO}="0"
64.1. Запуск/останов службы
В модуле отображается текущее состояние службы USBMount:
Для включения контроля за устройствами необходимо передвинуть переключатель Служба USBMount остановлена и нажать кнопку Сохранить. Служба USBMount будет запущена и добавлена в автозагрузку.
Для отключения контроля за устройствами необходимо передвинуть переключатель Служба USBMount активна и нажать кнопку Сохранить.
Если служба USBMount запущена, в веб-интерфейсе будет отображён список текущих подключённых устройств:
В столбце Статус отображается текущее состояние устройства (free — владелец для устройства не назначен, owned — устройству назначен владелец).
Если устройству назначен владелец и устройство примонтировано, то текущая точка монтирования отображается в столбце Точка монтирования.
Кнопка Обновить список блочных устройств позволяет обновить список подключённых устройств.
64.3. Добавление/удаление правил
Для того чтобы назначить права для подключенного блочного устройства, необходимо выполнить следующие действия:
Выделить строку с нужным устройством в таблице Список устройств и нажать кнопку Назначить владельца (или дважды щелкнуть мышью по строке с устройством):
Правило будет добавлено в таблицу Список владельцев:
В столбце Пользователь выбрать пользователя, в столбце Группа — группу владельца блочного устройства:
Нажать кнопку Сохранить. Статус устройства в таблице Список устройств изменится на owned:
При создании/редактировании правила некорректные значения будут выделены красным цветом, корректные — зелёным.
Чтобы назначить права для произвольного блочного устройства, необходимо:
Нажать кнопку Добавить, расположенную под таблицей Список владельцев. В таблицу будет добавлена пустая строка:
В соответствующих столбцах указать VID, PID и Серийный номер устройства:
В столбце Пользователь выбрать пользователя, в столбце Группа — группу владельца блочного устройства:
Если необходимо назначить права для определённой группы пользователей, в столбце Пользователь следует выбрать прочерк.
Нажать кнопку Сохранить.
Редактирование правила:
Дважды щелкнуть мышью по строке с правилом в таблице Список владельцев (или выделить строку в таблице Список владельцев и нажать кнопку Изменить).
Внести изменения.
Нажать кнопку Сохранить.
Удаление правила:
Выделить строку(и) с правилом в таблице Список владельцев.
Нажать кнопку Удалить:
Нажать кнопку Сохранить.
Для отмены внесённых изменений (до нажатия кнопки Сохранить) следует нажать кнопку Сбросить.
64.4. Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств необходимо нажать кнопку Журнал, расположенную в левом нижнем углу модуля. По нажатию на эту кнопку раскрывается журнал аудита:
Глава 65. Прочие возможности ЦУС
Возможности ЦУС Альт Рабочая станция не ограничиваются только теми, что были описаны выше. Вы всегда можете поискать другие модули, предоставляющие прочие возможности для настройки системы в веб-интерфейсе.
Установленные пакеты, которые относятся к ЦУС, можно посмотреть, выполнив команду:
rpm -qa | grep alterator*
Прочие пакеты для ЦУС можно найти, выполнив команду:
apt-cache search alterator*
Модули можно дополнительно загружать и удалять как обычные программы:
# apt-get install alterator-net-openvpn
# apt-get remove alterator-net-openvpn
После установки модуля, у которого есть веб-интерфейс, для того чтобы он отобразился в веб-интерфейсе, необходимо перезапустить службу ahttpd:
# systemctl restart ahttpd
Глава 66. Права доступа к модулям
Администратор системы (root) имеет доступ ко всем модулям, установленным в системе, и может назначать права доступа для пользователей к определенным модулям.
Для разрешения доступа пользователю к конкретному модулю, администратору в веб-интерфейсе ЦУС необходимо выбрать нужный модуль и нажать ссылку Параметры доступа к модулю, расположенную в нижней части окна модуля:
В открывшемся окне, в списке Новый пользователь необходимо выбрать пользователя, который получит доступ к данному модулю, и нажать кнопку Добавить.
Для сохранения настроек необходимо перезапустить HTTP-сервер, для этого достаточно нажать кнопку Перезапустить HTTP-сервер.
Для удаления доступа пользователя к определенному модулю, администратору, в окне этого модуля необходимо нажать ссылку Параметры доступа к модулю, в открывшемся окне в списке пользователей которым разрешен доступ, выбрать пользователя, нажать кнопку Удалить и перезапустить HTTP-сервер.
Системный пользователь, пройдя процедуру аутентификации, может просматривать и вызывать модули, к которым он имеет доступ.
Часть VIII. Функционал операционной системы
Глава 67. ГОСТ в OpenSSL
67.1. Поддержка шифрования по ГОСТ в OpenSSL
Для включения поддержки шифрования ГОСТ в OpenSSL необходимо выполнить следующие действия:
Установить пакет
openssl-gost-engine:
# apt-get install openssl-gost-engine
Изменить конфигурационный файл OpenSSL, выполнив команду:
# control openssl-gost all
Проверить, доступны ли шифры ГОСТ для OpenSSL:
$ openssl ciphers|tr ':' '\n'|grep GOST
GOST2012-MAGMA-MAGMAOMAC
GOST2012-KUZNYECHIK-KUZNYECHIKOMAC
LEGACY-GOST2012-GOST8912-GOST8912
IANA-GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89
Пример генерации закрытого ключа с алгоритмом ГОСТ-2012:
$ openssl genpkey -algorithm gost2012_256 -pkeyopt paramset:TCA -out ca.key
Пример создания сертификата на 365 дней (
ca.cer):
$ openssl req -new -x509 -md_gost12_256 -days 365 -key ca.key -out ca.cer \
-subj "/C=RU/ST=Russia/L=Moscow/O=SuperPlat/OU=SuperPlat CA/CN=SuperPlat CA Root"
Проверка сертификата (
ca.cer):
$ openssl x509 -in ca.cer -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
37:f7:cb:d7:3c:f5:39:db:d4:64:e0:28:b1:d0:8d:3e:b4:01:f5:55
Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
Issuer: C=RU, ST=Russia, L=Moscow, O=SuperPlat, OU=SuperPlat CA, CN=SuperPlat CA Root
Validity
Not Before: Mar 5 13:25:55 2025 GMT
Not After : Mar 5 13:25:55 2026 GMT
Subject: C=RU, ST=Russia, L=Moscow, O=SuperPlat, OU=SuperPlat CA, CN=SuperPlat CA Root
Subject Public Key Info:
Public Key Algorithm: GOST R 34.10-2012 with 256 bit modulus
Public key:
X:F922D11D9D3BE18A9F1866AA5993C9B5C83A6EB2A8E328B3ED550D95B3E7F5F3
Y:3F70442C79850BA0EEF4C57337E113037085528989B4726A96D7C20B72BE08B0
Parameter set: GOST R 34.10-2012 (256 bit) ParamSet A
X509v3 extensions:
X509v3 Subject Key Identifier:
73:95:F0:1C:00:CB:E8:04:92:06:48:5D:97:27:DD:8C:18:34:CC:9D
X509v3 Authority Key Identifier:
73:95:F0:1C:00:CB:E8:04:92:06:48:5D:97:27:DD:8C:18:34:CC:9D
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
Signature Value:
0d:bd:a3:8a:a1:df:c2:d6:25:e7:09:55:04:4c:0e:2a:11:01:
fe:3d:93:4d:d0:75:72:3b:1c:cc:dc:da:3a:50:3f:6b:9d:45:
d9:a3:b6:da:80:db:2e:b4:7d:a6:08:29:20:3c:2e:6e:2f:10:
b0:47:9e:fb:a0:7c:6f:4c:6b:45
Глава 68. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012
В ОС Альт Рабочая станция реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012.
68.1. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в ЦУС
Должен быть установлен пакет
alterator-secsetup:
# apt-get install alterator-secsetup
В открывшемся окне следует отметить пункт Включить хэширование паролей пользователей по алгоритму ГОСТ Р 34.11-2012 и нажать кнопку Применить:
Проверить настройку можно, установив новый пароль пользователю и выполнив команду:
# passwd user
# passwd -S user
Password set, gost-yescrypt encryption.
68.2. Задание хешей паролей в соответствии с ГОСТ Р 34.11-2012 в консоли
Просмотреть тип хеша пароля пользователя:
# passwd -S <имя>
Пример ожидаемого результата:
# passwd -S user
Password set, yescrypt encryption.
Изменить типа хеша по умолчанию на gost-yescrypt:
# control tcb-hash-prefix gost_yescrypt
Установить пароль пользователю:
# passwd user
Проверка:
# passwd -S user
Password set, gost-yescrypt encryption.
Список возможных хеш-функций можно вывести, выполнив команду:
# control tcb-hash-prefix help
bcrypt_2b: prefix=$2b$ count=8 (4 - 31 limit)
bcrypt_2y: prefix=$2y$ count=8 (4 - 31 limit)
bcrypt_2a: prefix=$2a$ count=8 (4 - 31 limit)
yescrypt: prefix=$y$ count=8 (0 - 11 limit)
scrypt: prefix=$7$ count=8 (0 - 11 limit)
gost_yescrypt: prefix=$gy$ count=8 (0 - 11 limit)
sha256: prefix=$5$ count=10000 (1000 - 100000 limit)
sha512: prefix=$6$ count=10000 (1000 - 100000 limit)
default: hash prefix managed by libcrypt
Текущее значение хеш-функции:
# control tcb-hash-prefix
gost_yescrypt
Изменить типа хеша на установленный по умолчанию:
# control tcb-hash-prefix default
Глава 69. GNOME Boxes — создание и управление ВМ
Boxes — официальная утилита рабочего окружения GNOME, предназначенная для удобного создания и управления виртуальными машинами (ВМ) из образов операционных систем. Программа предоставляет доступ к локальным ВМ и поддерживает их базовое администрирование.
Boxes использует технологии:
QEMU-KVM — для аппаратной виртуализации;
libvirt-glib — для управления виртуальными машинами;
SPICE-GTK — для отображения графического интерфейса ВМ с поддержкой аппаратного ускорения.
GNOME Boxes ориентирован на простоту использования и предлагает следующие преимущества:
упрощённый интерфейс — программа предоставляет интуитивно понятный и оптимизированный интерфейс, который минимизирует необходимость ручной настройки;
быстрая настройка — создание ВМ занимает всего несколько кликов. Можно использовать как предварительно подготовленные образы ОС, так и ISO-файлы;
поддержка снимков — GNOME Boxes позволяет создавать моментальные снимки состояния ВМ, что упрощает восстановление до нужного этапра работы.
Основные ограничения
Boxes:
нет тонкой настройки виртуальных сетей (поддерживается только режим NAT);
можно работать только с одной гостевой ВМ одновременно;
удалённый доступ к ВМ невозможен без специальных настроек;
нет возможности тонкой настройки параметров гипервизора: CPU-флаги, NUMA, hugepages и другие продвинутые функции недоступны через GUI;
в графическом интерфейсе можно задать только объём оперативной памяти и назначить один виртуальный диск.
Установить
Boxes можно через
Центр приложений или в терминале:
# apt-get install gnome-boxes
После запуска Boxes открывается представление коллекции, где отображаются существующие ВМ. Если ВМ ещё не созданы, будет показано приветственное сообщение.
Для оптимальной работы
Boxes рекомендуется:
поддержка аппаратной виртуализации (Intel VT-x / AMD-V), включённой в BIOS/UEFI;
не менее 8 ГБ оперативной памяти;
не менее 20 ГБ свободного дискового пространства (для одной ВМ).
Для создания новой ВМ необходимо нажать кнопку + в левом верхнем углу интерфейса:
Далее доступны два варианта:
После выбора образа откроется окно настройки параметров новой ВМ, в котором можно задать:
имя ВМ;
тип ОС (определяет рекомендуемые ресурсы);
тип прошивки (BIOS или UEFI);
объём оперативной памяти;
размер виртуального диска.
Boxes автоматически выделяет ресурсы ВМ на основе рекомендаций разработчиков ОС. Если информация о рекомендуемых параметрах недоступна, будут установлены следующие значения по умолчанию:
Фактическое использование диска может быть меньше заявленного, так как Boxes применяет динамическое выделение пространства.
Для применения настроек необходимо нажать кнопку Создать.
ВМ будет создана и автоматически запущена, начнётся процесс установки операционной системы:
Настройки ВМ можно открыть двумя способами:
На вкладке окна настроек ВМ отображается:
Имя — имя ВМ;
3D-ускорение — включает аппаратное ускорение графики (если поддерживается);
Разрешить запуск в фоновом режиме — разрешает работу ВМ в фоне;
Журнал устранения неполадок — открывает файл журнала ВМ;
Изменить конфигурацию — позволяет вручную изменить конфигурацию домена libvirt.
Изменения в параметрах ресурсов применяются только после перезапуска ВМ.
На вкладке окна настроек ВМ отображается:
69.3. Взаимодействие с гостевой ОС
По умолчанию в гостевой ОС поддерживаются следующие функции:
общий буфер обмена (в обе стороны);
перенос файлов (функция Drag and Drop);
масштабирование экрана;
сеть в режиме NAT (трансляции адресов).
GNOME Boxes по умолчанию использует стандартные сетевые настройки QEMU, при которых сетевой стек TCP/IP реализуется в пользовательском пространстве через SLIRP (User-Mode Networking). Это означает, что вся сетевая активность гостевой ОС проходит через специальную программную эмуляцию, без прямого доступа к физической сети хоста.
GNOME Boxes автоматически настраивает виртуальную сеть 10.0.2.0/24 для гостевых систем. В этой сети:
IP-адрес шлюза по умолчанию из виртуальной сети в сеть хоста: 10.0.2.2;
IP-адрес гостевой системы: всегда 10.0.2.15;
DNS-сервер: размещён по адресу 10.0.2.3;
SMB-сервер (если настроен): доступен по адресу 10.0.2.4.
Ограничения сети в GNOME Boxes:
значительные накладные расходы, из-за чего производительность низкая;
не работает трафик ICMP, поэтому использовать ping внутри гостевой системы невозможно;
гостевая система недоступна напрямую из хоста или из внешней сети;
можно инициировать SSH-соединение из гостевой системы на хост (через IP хоста или 10.0.2.2), но обратное подключение (с хоста на гостевую систему) невозможно, так как гостевая система находится за NAT.
Включение
ping в гостевой системе (все команды выполняются на хостовой машине):
Создать новую группу unpriv_ping:
# groupadd unpriv_ping
Добавить нужных пользователей в эту группу:
# for U in user1 user2 ... user_n; do
gpasswd -a "$U" unpriv_ping
done
где user1 user2 ... user_n — имена пользователей, которым нужно разрешить использовать
ping.
Настроить параметр ядра
sysctl net.ipv4.ping_group_range:
определить идентификатор созданной группы:
# GROUP_ID=$(getent group unpriv_ping | cut -d: -f3)
добавить настройку в файл
/etc/sysctl.conf:
# echo "net.ipv4.ping_group_range = $GROUP_ID $GROUP_ID" >> /etc/sysctl.conf
применить изменения:
# sysctl -p
Перезагрузить систему.
После перезагрузки указанные пользователи смогут использовать команду
ping из гостевой системы.
69.3.2. Перенаправление USB-устройств
Для подключения USB-устройства к ВМ:
Запустить ВМ.
Открыть окно настроек ВМ и перейти на вкладку :
В разделе Устройства USB включить нужное устройство с помощью переключателя.
69.3.3. Создание общей сетевой папки
Для возможности использования общей папки в гостевой ОС необходимо установить пакет
spice-webdavd:
# apt-get install spice-webdavd
После установки необходимо перезагрузить систему.
Если в качестве гостевой ОС используетcя Windows, необходимо скачать и установить следующие пакеты с официальной страницы загрузки SPICE (
https://www.spice-space.org/download.html раздел → ):
SPICE Guest Tools (spice-guest-tools) — включает драйверы и службы для улучшения производительности и интеграции SPICE;
Spice WebDAV daemon — обеспечивает проброс папок между хост-системой и гостевой ОС.
Для создания общей папки:
Запустить ВМ.
Открыть окно настроек ВМ и перейти на вкладку ;
В разделе Совместные папки нажать кнопку +;
Выбрать папку на хост-системе, задать имя общей папки (опционально) и нажать Сохранить:
На возможность проброса папок в Boxes может повлиять отсутствие переменной окружения XDG_PUBLICSHARE_DIR или каталога, на который она ссылается.
Если в интерфейсе
Boxes недоступен выбор папки в поле
Локальная папка, необходимо:
Создать каталог
Public и установить
XDG_PUBLICSHARE_DIR:
$ mkdir ~/Public
$ xdg-user-dirs-update --set PUBLICSHARE ~/Public
Перезапустить Boxes.
Для доступа к общей папке в файловом менеджере гостевой системы откройте адрес dav://localhost:9843:
69.4. Управление снимками ВМ
Снимок — это состояние ВМ на определённый момент времени. Внутренние снимки (internal snapshots) хранятся внутри самого файла образа диска (в формате qcow2). Внутренние снимки полностью интегрированы в интерфейс GNOME Boxes.
Внутренние снимки не поддерживаются для ВМ с прошивкой UEFI из-за технических ограничений libvirt и особенностей обработки состояния EFI.
Создание снимка:
Открыть окно настроек ВМ и перейти на вкладку :
Нажать кнопку + под списком снимков:
Сохранённый снимок будет отображаться в списке и отражать текущее состояние ВМ.
Восстановление из снимка:
Открыть окно настроек ВМ и перейти на вкладку :
Выбрать нужный снимок и нажать кнопку Вернуться к снимку.
69.5. Изменение каталога ВМ
По умолчанию Boxes сохраняет образы виртуальных дисков в каталоге ~/.local/share/gnome-boxes/images/.
Так как ВМ могут занимать значительное место на диске, можно изменить каталог хранения:
$ mv ~/.local/share/gnome-boxes/ /path/to/directory
$ ln -s /path/to/directory ~/.local/share/gnome-boxes
/path/to/directory — каталог, в который нужно переместить ВМ.
Права доступа и владелец каталога gnome-boxes должны позволять пользователю работать с файлами.
Глава 70. Копидел — средство тиражирования установленной системы
Модуль Копидел предоставляет пользователю простой интерфейс для копирования настроенной рабочей системы на другие компьютеры.
Модуль позволяет:
создать разливочный образ ОС (в формате img), записать образ напрямую на внешний накопитель для быстрой установки целевой ОС, аналогичной исходной;
указать каталоги, которые следует исключить из копирования;
выбрать каталог или внешний накопитель для сохранения образа;
включить режим OEM — при первой загрузке целевой системы пользователь сможет выполнить персональные настройки (выбор имени, языка, пароля и т.д.);
сжать скопированную файловую систему с помощью xz.
Для работы
Копидел должен быть установлен пакет
alterator-kopidel:
# apt-get install alterator-kopidel
Исходная система — система, с которой создается образ. Целевая система — система, на которую будет установлен образ.
Для создания образа необходимо достаточное свободное место:
при создании RAW-образа требуется место, равное примерно размеру копируемой системы;
при использовании сжатия xz требуется место до двукратного размера системы, так как итоговый размер сжатого образа заранее предсказать невозможно.
При создании образа формируется файл vm-profile.scm, содержащий разметку диска исходной системы. Эта разметка будет применена на целевой машине.
Тип образа выбирается с помощью радиокнопок:
Разливочный образ — создаётся файл образа системы в формате .img;
Разливочный внешний накопитель — образ записывается напрямую на выбранный внешний носитель (например, USB-флешку или неразмеченный раздел диска).
При выборе опции
Разливочный образ отображается поле
Рабочий каталог со списком разделов, подходящих для создания образа. Ограничения для выбора раздела:
выбираются только разделы, на которых достаточно места;
раздел должен быть примонтирован;
рабочий каталог не может находиться на файловых системах, смонтированных с флагами ro (только для чтения) или nodev.
Для обновления списка каталогов можно нажать кнопку Обновить список возможных рабочих каталогов (полезно, например, если изменился список игнорируемых файлов).
В выбранном разделе будет создан каталог alterator-kopidel-workdir, внутри которого формируется файл образа razlivochniy.img.
При выборе варианта Разливочный внешний накопитель отображается поле Внешний накопитель со списком устройств, подходящих для создания образа.
Для обновления списка носителей можно нажать кнопку Обновить список возможных внешних накопителей.
Дополнительные настройки:
Использовать стандартный список файлов, игнорируемых при копировании — в качестве источника игнорируемых файлов используется файл
/usr/share/alterator-kopidel/default-ignored-files.txt. В нём перечислены пути (по одному на строке), которые не копируются на целевую систему. Содержимое файла исключений по умолчанию:
/home/*/[^.]*
/dev
/proc
/sys
/tmp
/run
/mnt
/media
/lost+found
Путь к пользовательскому списку игнорируемых файлов — файл со списком игнорируемых файлов и каталогов (файлы и каталоги должны быть указаны по одному на каждой строке).
Если изменяется путь к списку игнорируемых файлов, рядом появляется кнопка для обновления списка:
Установка в режиме OEM — включение режима OEM. В этом режиме при первой загрузке целевой системы запускается мастер первоначальной настройки, включающий по умолчанию следующие шаги:
Выбор основного языка системы
Лицензионное соглашение
Дата и время
Установка пароля учетной записи администратора (root)
Создание учётной записи системного пользователя
Завершение настройки
При установке в режиме OEM будут удалены все пользователи исходной ОС.
Мастер настройки можно изменить с помощью файла /etc/alterator-setup/steps (например, можно добавить шаг настройки сети net-eth, или удалить шаг создания учётной записи системного пользователя users).
Установить GRUB с флагом --removable — включает режим совместимой установки загрузчика:
в UEFI режимах загрузчик размещается в стандартном пути (/EFI/BOOT/BOOTX64.EFI), чтобы система могла загружаться даже без записи загрузочной записи в NVRAM;
в Legacy BIOS режимах загрузчик устанавливается в загрузочный сектор корневого раздела (где расположена система).
Этот режим полезен для создания гибридных образов, совместимых с загрузкой как в BIOS, так и в UEFI.
Сжать копируемую файловую систему с помощью xz — включает максимальное сжатие создаваемого образа. Экономит место, но увеличивает время копирования.
Кнопка Создать разливочный образ — запускает процесс создания разливочного образа.
Кнопка Прекратить создание разливочного образа — становится активной после старта процесса и позволяет прервать его.
Во время работы отображаются два индикатора (progress bar):
70.2. Инструмент командной строки kopidel
Создать разливочный образ можно и в командной строке.
Синтаксис команды
kopidel:
# kopidel [опции] workdir
# kopidel [опции] /dev/external_drive
где:
workdir — путь к рабочему каталогу (например, /alterator-kopidel-workdir);
/dev/external_drive — устройство, на которое будет записан образ.
Доступные опции:
-X, --ignored-from — путь к файлу со списком игнорируемых файлов (по умолчанию используется файл /usr/share/alterator-kopidel/default-ignored-files.txt);
--xz — сжать скопированную файловую систему с помощью xz;
-O, --oem-mode — включить режим OEM;
-s, --step — запустить отдельный шаг процесса;
--list-workdirs — показать список возможных рабочих каталогов;
--list-exdrives — показать список возможных внешних накопителей;
--grub-efi-removable — установить GRUB с флагом --removable;
-v, --version — показать версию и выйти;
-h, --help — показать справку и выйти.
Возможные шаги при создании загрузочного образа:
prepare_workdir — подготовка рабочего каталога;
create_copied_fs — копирование файловой системы;
create_disk_partition_info — создание информации о разбивке диска (alterator-kopidel-workdir/image/Metadata/vm-profile.scm;
create_install_scripts — создание установочных скриптов (alterator-kopidel-workdir/image/Metadata/install-scripts.tar);
create_razlivochniy_mountpoint — создание разделов и точек монтирования;
save_ready_to_use_image — перемещение готовых к использованию файлов в образ;
use_ready_to_use_image — перемещение готовых к использованию файлов в примонтированный образ;
install_grub — установка GRUB;
umount_razlivochniy — размонтирование образа.
Примеры использования:
просмотр возможных рабочих каталогов:
# kopidel --list-workdirs
Используется стандартный список игнорируемых файлов.
Список возможных рабочих каталогов:
/alterator-kopidel-workdir /dev/sda3
просмотр возможных внешних накопителей:
# kopidel --list-exdrives
Используется стандартный список игнорируемых файлов.
Нет доступных внешних накопителей с достаточным количеством места. Требуемое место: 12Gi.
создание образа в каталоге
/alterator-kopidel-workdir:
# kopidel /alterator-kopidel-workdir
Используется стандартный список игнорируемых файлов.
[Ср 03 сен 2025 12:06:28 EET] Шаг 1/9: Подготовка рабочего каталога.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 12:10:09 EET] Шаг 2/9: Копирование файловой системы.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:17 EET] Шаг 3/9: Создание информации о разбивке диска.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:26 EET] Шаг 4/9: Создание установочных скриптов.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:26 EET] Шаг 5/9: Перемещение готовых к использованию файлов в образ.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:44:26 EET] Шаг 6/9: Создание разделов и точек монтирования.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:45:04 EET] Шаг 7/9: Перемещение готовых к использованию файлов в образ.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:46:14 EET] Шаг 8/9: Установка GRUB.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:46:18 EET] Шаг 9/9: Размонтирование образа.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 13:46:18 EET] Создание разливочного образа успешно завершено.
выполнение отдельного шага (например, создание информации о разметке):
# kopidel -s create_disk_partition_info /alterator-kopidel-workdir
Используется стандартный список игнорируемых файлов.
[Ср 03 сен 2025 11:48:41 EET] Шаг 1/1: Создание информации о разбивке диска.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 11:48:47 EET] Шаг был успешно выполнен
Результат (файл
vm-profile.scm):
# cat /alterator-kopidel-workdir/image/Metadata/vm-profile.scm
((workstation
(title . "Setup for workstation")
(action . trivial)
(actiondata
("swap" (size 262144 . 262144 ) (fsim . "SWAPFS") (methods plain) )
("/boot/efi" (size 1046528 . 1046528 ) (fsim . "FAT32") (methods plain) )
("" (size 66865468 . 166455296 ) (fsim . "BtrFS") (methods plain) (subvols ("@" . "/") ("@home" . "/home")))
)))
запись образа на внешний накопитель:
# kopidel /dev/sdb
Используется стандартный список игнорируемых файлов.
[Ср 03 сен 2025 16:48:56 EET] Шаг 1/7: Создание разделов и точек монтирования.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:48:57 EET] Шаг 2/7: Подготовка рабочего каталога.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:52:16 EET] Шаг 3/7: Копирование файловой системы.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:12 EET] Шаг 4/7: Создание информации о разбивке диска.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:17 EET] Шаг 5/7: Создание установочных скриптов.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:17 EET] Шаг 6/7: Установка GRUB.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:18 EET] Шаг 7/7: Размонтирование образа.
█████████████████████████████████████████████████████████████████████████████████████████████████ 100%
[Ср 03 сен 2025 16:55:18 EET] Создание разливочного образа успешно завершено.
создать разливочный образ в каталоге
/home/alterator-kopidel-workdir, использовать OEM-режим, установить загрузчик в специальный раздел «EFI» (для режима EFI):
# kopidel -O -g efi /home/alterator-kopidel-workdir
70.3. Создание и разливка разливочного образа
На целевой системе будут удалены все существующие данные.
Процедура создания разливочного образа и разливки его на целевую систему состоит из следующих шагов:
Установить систему на исходный ПК, разметив диск так, как он будет размечен на целевых машинах.
Установить модуль Копидел.
Произвести настройку исходной ОС (установить пакеты, настроить ПО и т.д.).
Обеспечить наличие достаточного места для создания разливочного образа.
Создать разливочный образ в командной строке, выполнив команду kopidel, или в ЦУС (в модуле Копидел выбрать необходимые опции и нажать кнопку Создать разливочный образ):
После запуска процесса создания разливочного образа верхний индикатор прогресса (progress bar) будет отображать выполняемую задачу, нижний — процент выполнения данной задачи:
Дождаться создания образа ОС (создание образа может занять довольно продолжительное время).
Если разливочный образ создается в ЦУС, создание образа будет завершено, когда на верхнем индикаторе выполнения появится появится сообщение Создание разливочного образа успешно завершено:
Если образ ОС создавался в каталоге, перенести его из рабочего каталога на загрузочное устройство.
Произвести загрузку с разливочного образа на целевом ПК:
Программа перенесёт копию исходной ОС на целевой ПК (процедура переноса может занять довольно продолжительное время). На экране будет отображаться процесс переноса:
Отключить загрузочное устройство.
Загрузится с целевой системы.
На целевом ПК размер и количество дисков должны совпадать с размером диска на исходной машине. Если размер дисков не совпадает, установка будет невозможна, на экране будет отображаться ошибка:
Глава 71. Подпись и проверка ЭЦП ГОСТ
Для создания и проверки электронной подписи в Альт Рабочая станция можно использовать программу
ALT CSP КриптоПро (Подпись и проверка ЭЦП ГОСТ). Возможности
ALT CSP КриптоПро:
создание электронной подписи (отсоединённой и присоединённой);
создание электронной подписи в zip-контейнере;
подпись группы файлов;
проверка электронной подписи;
просмотр содержимого zip-контейнера с документом и электронной подписью.
Необходимо установить пакет
alt-csp-cryptopro, если он еще не установлен:
# apt-get install alt-csp-cryptopro
Для работы ALT CSP КриптоПро должно быть установлено программное обеспечение КриптоПро, у пользователя должен существовать контейнер с сертификатом (в локальном считывателе или на токене).
71.1. Создание электронной подписи
71.1.1. Отсоединённая подпись
Особенности отсоединённой электронной подписи:
файл подписи создается отдельно от подписываемого файла (подписываемый документ остается неизменным);
для проверки подписи нужно передавать два файла — исходный документ и файл подписи;
нет ограничения по формату подписываемых документов.
Для создания отсоединённой подписи следует на вкладке , в разделе Документ нажать кнопку Выбрать и выбрать электронный документ. Нажав кнопку Просмотреть, можно просмотреть содержимое электронного документа.
Далее следует выбрать сертификат, которым будет подписан документ.
В выпадающем списке Кодировка можно выбрать кодировку подписи: base64 (по умолчанию) или DER. В выпадающем списке Расширение можно задать расширение файла цифровой подписи: .p7b, p7s, .sig (по умолчанию) или .sign.
Название файла цифровой подписи по умолчанию будет сформировано путём добавления к имени файла информации о текущей дате и времени: гг-мм-дд_чч-мм-сс_<ИМЯ_ФАЙЛА>.p7b. При необходимости это имя можно откорректировать вручную или вернуть к виду по умолчанию, нажав кнопку Создать имя.
Для генерации электронной подписи следует нажать кнопку Подписать.
В открывшемся окне необходимо ввести пароль на контейнер, если он был установлен, и нажать кнопку ОК.
В результате успешного создания электронной подписи в поле Результат появится сообщение Ошибок не обнаружено. Сформированный файл подписи по умолчанию будет сохранен в тот же каталог, в котором находится файл с исходными данными.
ALT CSP КриптоПро позволяет объединить электронный документ и соответствующую ему электронную подпись в zip-архив (<ИМЯ_ФАЙЛА>.signed.zip). Для создания zip-архива необходимо при создании электронной подписи нажать кнопку Подписать и сжать. В результате создания электронной подписи, будет сформирован zip-архив, в который будут перемещены файл электронного документа и файл электронной подписи.
71.1.2. Присоединённая подпись
Присоединённая подпись — разновидность электронной подписи, при создании которой формируется файл, содержащий как саму электронную подпись, так и исходный документ. Отправлять для проверки подписи нужно будет только этот файл. Для проверки и прочтения такого документа должно быть установлено ПО, поддерживающее работу с прикрепленной подписью.
Для создания присоединённой подписи необходимо при создании электронной подписи в разделе Подпись установить отметку в поле Присоединённая подпись. В том же каталоге, в котором хранился исходный документ, появится файл, содержащий как саму электронную подпись, так и исходный документ (в данном примере 25-03-19_20-51-49_test.pdf.sig).
Пример извлечения файла с данными из файла электронной подписи:
$ cryptcp -verify 25-03-19_20-51-49_test.pdf.sig test_new.pdf
В файл
test_new.pdf будут извлечены данные.
71.1.3. Подпись группы документов
Для того чтобы подписать несколько файлов, можно в ALT CSP КриптоПро в разделе Документ нажать кнопку Выбрать и выбрать нужные файлы. В поле Документ будет указано количество выбранных файлов, а в поле Результат будут перечислены выбранные файлы:
Далее следует выбрать сертификат, которым будет подписан документ, указать кодировку подписи, задать расширение файла цифровой подписи и нажать кнопку Подписать.
В результате успешного создания электронной подписи в поле Результат появится сообщение Ошибок не обнаружено. Сформированные файлы подписей будут сохранены в тот же каталог, в котором находились файлы с исходными данными.
71.2. Проверка электронной подписи
Проверка электронной подписи выполняется во вкладке .
71.2.1. Отсоединённая подпись
Для проверки отсоединённой электронной подписи нужны оба файла: файл подписи и файл исходного документа. Для проверки подписи необходимо нажать кнопку Выбрать и выбрать электронный документ. Далее следует выбрать подпись, нажав кнопку Выбрать в секции Подпись и выбрать файл электронной подписи. После появления имени подписи в секции Подпись необходимо нажать кнопку Проверить:
Для проверки электронной подписи в контейнере достаточно выбрать zip-архив (документ и подпись будут выбраны автоматически) и нажать кнопку Проверить.
71.2.2. Присоединённая подпись
Для проверки присоединённой электронной подписи необходимо выбрать подписанный электронный документ и нажать кнопку Проверить.
Глава 72. Сургуч (проверка и подпись PDF-документов)
Сургуч — это приложение для работы с электронными документами, позволяющее просматривать, подписывать и проверять электронные подписи (ЭП) в соответствии с требованиями российского законодательства.
Приложение работает в двух режимах:
режим PDF — предназначен для работы с визуальными документами, в которых электронная подпись встраивается непосредственно в PDF;
режим Файл — предназначен для работы с произвольными файлами и архивами подписей, без отображения содержимого документа в виде страниц.
Общие возможности:
проверка корректности и свойств подписи в форматах CAdES-BES, CAdES-T, CAdES-XLT1, PKCS#7;
проверка цепочки сертификатов и отображение информации о каждом сертификате;
запрос к OCSP-серверу для проверки отзыва сертификатов, использованных в цепочке;
создание ЭП в форматах CAdES-BES/T/XLT1;
сохранение настроек подписи в виде профилей для повторного использования;
В режиме
PDF приложение предоставляет следующие возможности:
открытие PDF-документов и отображение их содержимого;
изменение масштаба и ориентации страниц;
поиск по содержимому документа;
отображение электронных подписей, содержащихся в документе;
встраивание ЭП в PDF-документ и сохранение нового подписанного файла;
создание и встраивание штампа подписи в соответствии с требованиями 63-ФЗ в PDF-документ;
проставление меток с текстом или изображением, таких как Одобрено, Совершенно секретно, Копия верна и др.;
создание и редактирование собственных шаблонов меток (включая текст, цвет, прозрачность, ссылки и изображения);
печать документа.
В режиме
Файл приложение предоставляет следующие возможности:
открытие и просмотр списка файлов и подписей;
проверка и отображение машиночитаемых доверенностей (МЧД);
сопоставление МЧД с подписями и файлами;
раскрытие архивов как дерева;
раскрытие присоединённых подписей как дерева;
открытие отдельных файлов из структуры дерева;
подписание добавленных файлов, сохранение полученных архивов в соответствии с настройками профиля.
Для работы
Сургуч должны быть установлены пакеты
surguch и
newt52:
# apt-get install surguch newt52
Для работы Сургуч должно быть установлено программное обеспечение КриптоПро CSP 5.0, у пользователя должен существовать контейнер с сертификатом (в локальном считывателе или на токене).
Для корректной проверки подписи должны быть установлены корневой и промежуточные сертификаты подписанта документа.
Для возможности подписи документов необходимо импортировать сертификаты. Сертификаты должны находиться в хранилище umy. Проверить наличие сертификатов в хранилище umy можно, выполнив команду:
$ certmgr -list -store umy
Запустить
Сургуч можно:
из контекстного меню PDF-файла в файловом менеджере, выбрав пункт и затем в открывшемся окне пункт :
из командной строки:
$ surguch [PDF-файл]
При запуске Сургуч из контекстного меню PDF-файла или через команду surguch <PDF-файл>, приложение откроется в режиме PDF.
72.2. Интерфейс приложения
72.2.1. Открытие документа
Окно Сургуч после запуска:
Открыть PDF-документ в режиме
PDF можно следующими способами:
запустить Сургуч из контекстного меню PDF-файла;
перетащить PDF-документ в левую часть стартового окна (можно на поле PDF Drag&Drop или просто в область);
нажать кнопку PDF на панели инструментов или PDF Drag&Drop, выбрать документ в диалоговом окне и нажать Открыть, либо дважды щёлкнуть по имени файла;
перетащить PDF-документ в окно Сургуч, если приложение уже находится в режиме PDF.
При открытии нового PDF-файла текущий документ будет закрыт.
Открыть файл можно следующими способами:
перетащить файл в левую правую стартового окна (можно на поле Файл Drag&Drop или просто в область);
нажать кнопку Файл на панели инструментов или Файл Drag&Drop, выбрать один или несколько файлов в диалоговом окне и нажать Открыть, либо дважды щёлкнуть по имени файла;
перетащить файл в окно Сургуч, если приложение уже находится в режиме Файл.
Чтобы закрыть отдельный файл, нужно щёлкнуть по значку
в строке этого файла. Чтобы закрыть все файлы — по такому же значку в заголовке таблицы.
В режиме
PDF пользовательский интерфейс состоит из следующих четырёх панелей:
1 — панель управления;
2 — панель инструментов для работы с PDF-документом;
3 — левая боковая панель;
4 — правая боковая панель.
На панели управления (1) доступны следующие кнопки:
PDF — открывает диалог выбора PDF-документа. Если в приложении был открыт файл, при открытии нового он будет закрыт;
Файл — открывает диалог выбора файла. После открытия файла приложение будет работать в режиме Файл;
Показать в папке — открывает каталог, в котором находится текущий документ (активна только в режиме PDF);
Сохранить как — позволяет сохранить документ под другим именем (активна только в режиме PDF);
Из-за особенностей реализации даже без изменений новый файл может не совпадать побитово с исходным (например, может иметь другой SHA-1 хеш, и т.д.).
Редактировать профиль — отображает настройки текущего профиля на правой панели (если профиль не выбран — открывается форма создания нового профиля);
Список профилей — позволяет выбрать профиль подписи. Параметры выбранного профиля отображаются на правой панели;
Подписать — создаёт штамп ЭП (в режиме PDF) и подписывает документ. Для подписи используется текущий профиль. Если профиль не выбран — открывается список для выбора профиля;
Справка — открывает информацию о программе.
На панели инструментов (2) доступны следующие кнопки:
Отображать миниатюры в боковой панели — переключает отображение миниатюр страниц на левой панели;
Отображать подписи в боковой панели — отображает список подписей (доступно, если документ имеет подписи);
Печатье — открывает диалог печати текущего документа;
Следующая страница — переход к следующей странице;
Предыдущая страница — переход к предыдущей странице;
Перейти к странице — позволяет перейти к странице по номеру;
Номер текущей страницы и общее количество страниц в документе — отображает текущую позицию в документе;
Повернуть влево — поворачивает все страницы против часовой стрелки;
Повернуть вправо — поворачивает все страницы по часовой стрелке;
Уменьшить масштаб — уменьшает масштаб отображения документа;
Увеличить масштаб — увеличивает масштаб отображения документа;
Установить масштаб — позволяет выбрать режим масштабирования;
Метка — добавляет графическую метку по выбранному шаблону;
Выбрать метку — позволяет выбрать, создать или отредактировать шаблон метки;
Поиск — открывает окно поиска по тексту.
На левой боковой панели (3) могут отображаться:
На правой боковой панели (4) отображаются:
В режиме
Файл доступны три панели:
1 — панель управления (см. описание для режима
PDF);
2 — область файлов;
3 — правая боковая панель (см. описание для режима
PDF).
В области файлов отображается список открытых файлов. Для каждого файла показываются:
имя файла, размер, дата изменения;
значки статуса подписи и МЧД (если файл подписан или связан с машиночитаемой доверенностью).
Таблица 72.1. Описание значков в столбце Подпись
|
Объект
|
Значок
|
Описание
|
|
Файл
|
|
Найдены файлы подписи для этого файла, все подписи неверны
|
|
Файл
|
|
Найдены файлы подписи для этого файла, все подписи верны
|
|
Файл
|
|
Найдены файлы подписи для этого файла, среди них есть как верные, так и неверные подписи
|
|
Подпись
|
|
Файл содержит одну подпись, и она неверна.
Файл содержит несколько подписей
|
|
Подпись
|
|
Файл содержит одну подпись, и она верна
|
|
Подпись
|
|
Файл содержит подпись, но подписываемый файл не удалось определить (например, файл не найден по названию или найдено несколько файлов, и для всех подпись неверна)
|
Таблица 72.2. Описание значков в столбце Подпись
|
Объект
|
Значок
|
Описание
|
|
Файл
|
|
Найдены МЧД для этого файла, все они верны. Количество найденных подписей и МЧД совпадает
|
|
Файл
|
|
Найдены МЧД для этого файла, но количество верных МЧД не совпадает с количеством подписей
|
|
МЧД
|
|
Файл определён как МЧД, удовлетворяющая схеме. Подписи для этого файла найдены и верны.
|
|
МЧД
|
|
Файл определён как МЧД, удовлетворяющая схеме. Подписи найдены и верны, но срок действия МЧД истёк
|
|
МЧД
|
|
Файл определён как МЧД, удовлетворяющая схеме. Но для МЧД не найдена подпись
|
72.3. Работа с приложением
Профили — это шаблоны настроек подписи, позволяющие быстро и единообразно подписывать документы.
72.3.1.1. Формат электронной подписи
Приложение поддерживает три формата подписи:
CADES_BES — базовый формат электронной подписи с проверкой подлинности и целостности данных;
CADES_T — формат электронной подписи с меткой времени (CADES_BES и метка времени);
CADES_XLT1 — усовершенствованный формат электронной подписи, предназначен для долгосрочного хранения подписей и включает все элементы, необходимые для независимой проверки подписи в будущем.
Формат усовершенствованной подписи предусматривает включение в электронную подпись информации о времени создания подписи (TSP) и о статусе сертификата электронной подписи (OCSP) в момент подписания (действителен или отозван). Время создания электронной подписи удостоверяется электронной подписью специального сервера точного времени. Для этого в процессе создания электронной подписи происходит обращение к серверу, создаётся метка точного времени, которая и сохраняется в электронной подписи.
Правовой статус сертификата электронной подписи на момент подписи обеспечивается электронной квитанцией удостоверяющего центра, полученной в момент подписи посредством OCSP. Документ содержит статус запрашиваемого сертификата, на который также ставится штамп времени, подтверждающий их целостность в момент проверки. Статус также сохраняется в электронной подписи.
72.3.1.2. Создание и редактирование профиля подписи
Для создания профиля необходимо:
В выпадающем списке выбрать пункт :
В правой боковой панели заполнить настройки профиля:
Название профиля — название профиля (не должно содержать пробелов);
Сертификат — выбрать сертификат, который будет использоваться для подписи. Для выбора доступны личные сертификаты с привязкой к закрытому ключу;
Использовать по умолчанию — если включено, профиль будет автоматически выбираться при запуске приложения;
Тип CADES:
CAdES_BES — классическая подпись без временного штампа;
CAdES_T — подпись со штампом времени;
CAdES_XLT1 — усовершенствованная подпись;
При выборе стандартов
CAdES_T и
CAdES_XLT1 требуется заполнить поле
Адрес службы TSP.
Адрес службы TSP — адрес службы штампов времени. Услуги службы штампов времени могут предоставлять удостоверяющие центры (например, http://pki.tax.gov.ru/tsp/tsp.srf). Поле доступно, если выбран тип CADES CAdES-T или CAdES-XLT1.
Для штампа в PDF:
Вид штампа — выбор шаблона графического штампа;
Логотип компании — изображение, отображаемое в штампе (опционально).
Для подписи файла:
Кодировка файла сертификата — формат сертификата: DER (по умолчанию) или PEM;
Расширение файла подписи — расширение файла цифровой подписи. Возможные значения: .sig (по умолчанию), .sign, .sgn, .p7s, .bin;
Создание архива после подписи:
Не использовать — файлы и подписи сохраняются в папку без архивации;
Общий ZIP-файл — все файлы и подписи упаковываются в один архив;
Отдельный ZIP-файл» — для каждого подписываемого файла и его подписи будет создан отдельный ZIP-архив.
Нажать кнопку Сохранить профиль.
Можно создать разные профили для режима PDF и режима Файл.
Чтобы открыть панель редактирования профиля, необходимо:
Выбрать профиль в списке профилей.
Нажать на значок ключа рядом с профилем.
На панели редактирования профиля можно внести изменения в профиль (для сохранения изменений необходимо нажать кнопку Сохранить профиль).
Для удаления профиля необходимо на панели редактирования профиля нажать кнопку Удалить профиль.
72.3.1.3. Штамп электронной подписи
Сургуч формирует графический штамп электронной подписи.
Штамп создаётся на основе встроенного шаблона. Можно использовать готовый шаблон штампа или создать собственный.
Для каждого штампа можно задать положение на странице.
Создание нового шаблона штампа:
Открыть любой профиль или нажать кнопку Создать профиль.
В правой панели в списке выбрать пункт .
В открывшемся окне указать название штампа и настроить его параметры:
Толщина рамки — толщина рамки штампа от 0 до 20 (регулируется ползунком);
Скругление рамки — радиус скругления углов рамки от 1 до 70 (регулируется ползунком);
Цвет — задаётся в формате RGB (регулируется ползунками);
Прозрачность фона — указание, должен ли фон быть прозрачным.
Cохранить шаблон, нажав кнопку Сохранить.
Чтобы выпадающий список был активен, в поле Сертификат необходимо выбрать любой сертификат.
Для редактирования существующего шаблона штампа необходимо выбрать нужный штамп в списке и нажать значок ключа справа от названия, в открывшемся окне внести изменения и сохранить.
Изменить шаблон штампа ГОСТ нельзя.
72.3.2.1. Просмотр документа
Для навигации по документу можно использовать:
Для перемещения по страницам также можно использовать левую боковую панель в режиме просмотра миниатюр страниц.
Работа со ссылками в PDF:
открытие внешних ссылок (например, на веб-страницы) выполняется по клику с зажатой клавишей Ctrl — ссылка откроется в браузере;
переход по внутренним ссылкам (в пределах документа) также выполняется по клику с зажатой клавишей Ctrl.
72.3.2.2. Поиск по документу
Для поиска фрагмента текста в документе необходимо нажать кнопку Поиск на панели инструментов (значок лупы) или использовать сочетание клавиш Ctrl+F.
В открывшемся поле следует ввести искомый текст. Поиск выполняется по мере ввода текста. Найденные вхождения в документе подсвечиваются. Рядом со строкой поиска отображается номер текущего вхождения и общее количество совпадений. Перемещаться между результатами поиска можно с помощью кнопок Найти предыдущее и Найти следующее.
72.3.2.3. Проверка электронной подписи
Для корректной проверки подписи в системе должны быть установлены корневой и промежуточные сертификаты подписанта документа.
Для документа, подписанного электронными подписями, на левой боковой панели будут отображаться подписи в порядке их добавления в документ:
Текст отображает название субъекта сертификата (CN). Значок отображает результат проверки подписи.
Свойства подписи можно проверить, щелкнув мышью по соответствующей подписи. Откроется правая боковая панель с её параметрами:
Корректная подпись отображается зелёным цветом, некорректная или недействительная подпись — красным цветом.
Знак вопроса в поле Дата подписи означает, что для формата подписи CADES_BES невозможно определить точную дату подписи, так как данный формат её не содержит.
Если подпись защищает не весь документ (если документ был изменен после подписывания), существует возможность открыть подписанную версию. Для этого на панели параметров подписи необходимо нажать кнопку Открыть подписанную версию:
Будет загружен документ в состоянии на момент подписания.
72.3.2.4. Добавление электронных подписей
Чтобы иметь возможность подписать документ, необходимо:
иметь сертификат электронной подписи с закрытым ключом, установленный в личное хранилище;
убедиться, что сертификат доступен в КриптоПро CSP.
Сургуч не предоставляет средств для создания сертификатов ЭП — они должны быть выпущены удостоверяющими центрами.
72.3.2.4.1. Подписание документа
Для подписания документа необходимо:
Открыть документ.
Выбрать в выпадающем списке профиль (если он еще не выбран).
Нажать кнопку Подписать.
Выбрать позицию штампа на странице:
Если штамп нельзя разместить в выбранной области, он будет подсвечен красным цветом:
Нажать левую клавишу мыши, когда штамп находится в нужной позиции.
Ввести пароль от контейнера с закрытым ключом (если контейнер защищен паролем):
Документ будет подписан. В левой панели появится название сертификата, в выбранной области появится штамп электронной подписи:
Сохранить подписанный документ, нажав кнопку Сохранить как.
Все параметры подписи (формат, штамп времени, сертификат) настраиваются в
профиле подписи.
72.3.2.5. Работа с метками
Инструмент Метка предназначен для добавления на PDF-документ текстовых комментариев или изображений в виде графических меток (штампов) с настраиваемым внешним видом.
72.3.2.5.1. Простановка меток
Добавление метки в документ:
В списке выбрать нужную метку:
Определить область размещения (позицию метки) на странице.
Нажать левую клавишу мыши, когда метка будет находиться в нужной позиции:
Метка будет добавлена в указанной области:
При необходимости размер метки можно задать в момент её простановки: нажать левую клавишу мыши, переместить курсор для выбора нужного размера и отпустить клавишу.
После добавления метка остаётся выбранной. Чтобы проставить её повторно, достаточно нажать кнопку Метка и указать новое положение.
Для отмены и повтора действия простановки метки можно использовать клавиши Ctrl+Z и Ctrl+Y.
72.3.2.5.2. Создание и редактирование меток
Можно создавать новые метки или редактировать существующие.
Для создания новой метки необходимо в списке выбрать пункт :
Для редактирования существующей метки следует в списке нажать значок ключа, расположенный справа от названия метки.
В обоих случаях откроется окно настройки метки.
Метки могут быть текстовыми или в виде изображения — переключение осуществляется с помощью параметра Сгенерировать из текста.
Настройка текстовой метки:
Установить переключатель Сгенерировать из текста в положение включено.
В поле Название ввести имя метки (для отображения в списке).
Настроить параметры метки:
Текст — содержимое метки;
Шрифт — используемый шрифт;
Прозрачность фона — указание, должен ли фон быть прозрачным;
Цвет — задаётся в формате RGB (регулируется ползунками);
Толщина рамки — толщина рамки штампа от 0 до 20 (регулируется ползунком);
Скругление рамки — радиус скругления углов рамки от 1 до 70 (регулируется ползунком);
Ссылка — URL-адрес, который открывается при нажатии на метку (опционально);
Ширина метки по умолчанию» — задаётся в процентах от ширины страницы формата A4.
Нажать кнопку Сохранить.
На данный момент открытие ссылок зашитых в метках не поддерживается в приложении Сургуч. Ссылку можно открыть в любом другом приложении.
Настройка метки с изображением:
Установить переключатель Сгенерировать из текста в положение выключено.
В поле Название ввести имя метки (для отображения в списке).
Щелкнуть по полю Выбрать файл, в открывшемся окне выбрать изображение в формате PNG, JPG, JPEG или BMP. В поле Предпросмотр появится выбранное изображение.
В поле Ссылка указать URL-адрес, который открывается при нажатии на метку (опционально).
В поле Ширина метки по умолчанию указать ширину метки в процентах от размера A4.
Нажать кнопку Сохранить.
После сохранения метку можно сразу использовать:
72.3.3.1. Подписание файлов
Сургуч позволяет подписывать как отдельные файлы, так и группы файлов.
Для подписания файлов необходимо:
Открыть файлы, которые необходимо подписать:
Выбрать в выпадающем списке профиль подписи (если он еще не выбран).
Нажать кнопку Подписать.
В открывшемся диалоговом окне указать каталог, в который будут сохранены подписанные файлы:
Ввести пароль от контейнера с закрытым ключом (если контейнер защищен паролем):
После успешного подписания появится сообщение с указанием каталога и имени файлов или архива, содержащего исходные файлы и их подписи:
Нажав кнопку Открыть, можно перейти в папку с архивом.
72.3.3.2. Проверка подписи
Для проверки подписей необходимо открыть файл, который нужно проверить.
Для проверки отсоединённой электронной подписи нужны оба файла: файл подписи и файл исходного документа.
По результатам проверки можно получить следующую информацию:
Значок рядом с подписью отображает результат её проверки.
При нажатии на значок подписи на правой панели отображается название субъекта сертификата (CN):
Свойства подписи можно проверить, щёлкнув мышью по соответствующей подписи:
Если подпись содержит штамп времени, в свойствах также отображаются сведения о нём.
72.3.3.3. Открытие отдельных файлов из структуры дерева
Чтобы открыть отдельный файл из структуры дерева, нужно выбрать пункт в контекстном меню файла:
Для проверки МЧД необходимо открыть файл машиночитаемой доверенности (МЧД) и файлы с её подписями:
Значок рядом с МЧД отображает результат её проверки.
При нажатии на значок МЧД в правой панели отображаются сведения о подписантах, указанных в доверенности:
Щёлкнув по имени подписанта, можно просмотреть подробные сведения о доверенности, включая:
сведения о доверителе и представителе;
номер и дату выдачи доверенности;
срок действия;
идентификатор и статус доверенности.
Глава 73. Управление шифрованными разделами
Шифрование блочных устройств позволяет защитить данные, сделав их недоступными без специальной аутентификации — парольной фразы или ключа. Это особенно важно для мобильных устройств и съёмных носителей: даже при физическом доступе к диску расшифровать его содержимое без ключа невозможно.
LUKS2 (Linux Unified Key Setup, версия 2) является стандартным форматом шифрования блочных устройств в Альт Рабочая станция.
Поддерживаемые алгоритмы:
Шифры: aes-xts-plain64, serpent-xts-plain64, twofish-xts-plain64
Хеш-функции: sha256, sha512, blake2b
PBKDF: argon2id, pbkdf2
Для управления шифрованными разделами можно воспользоваться командой cryptsetup. Ниже описаны лишь некоторые возможности утилиты cryptsetup. Для получения более подробной информации используйте команду man cryptsetup.
73.1. Работа с зашифрованными дисками
В формате LUKS2 поддерживается до 32 ключевых слотов. Каждый слот может содержать свой ключ, который можно использовать для расшифровки. Пароли можно менять или удалять, при этом восстановление удалённых ключей невозможно.
Зашифрованное блочное устройство защищено ключом. Ключ — это либо:
парольная фраза;
ключевой файл.
По умолчанию: парольные фразы могут содержать до 512 символов, а ключевые файлы — до 8192 КиБ.
Просмотреть параметры зашифрованного раздела можно, выполнив команду:
# cryptsetup luksDump /dev/sdb1
LUKS header information
Version: 2
Epoch: 10
Metadata area: 16384 [bytes]
Keyslots area: 16744448 [bytes]
UUID: 87a00f6b-be95-ba47-af78-f38bd4fbcaed
Label: (no label)
Subsystem: (no subsystem)
Flags: (no flags)
Data segments:
0: crypt
offset: 16777216 [bytes]
length: (whole device)
cipher: aes-xts-plain64
sector: 512 [bytes]
Keyslots:
0: luks2
Key: 256 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 256 bits
PBKDF: pbkdf2
Hash: sha256
Iterations: 10727120
Salt: 50 a2 ab a9 6e dc cd e7 b2 0d 60 82 11 7b 62 af
1a 7a 3b 14 0b 26 64 9b fc 81 da f2 14 3b 62 69
AF stripes: 4000
AF hash: sha256
Area offset:163840 [bytes]
Area length:131072 [bytes]
Digest ID: 0
6: luks2
Key: 256 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 256 bits
PBKDF: argon2id
Time cost: 4
Memory: 1000100
Threads: 2
Salt: 45 1a 1e e4 c1 73 ee c8 ae 30 e1 91 55 93 7a 26
0a 11 43 c7 c3 56 72 1f 7f 4b ec 5f df fa d3 7f
AF stripes: 4000
AF hash: sha256
Area offset:32768 [bytes]
Area length:131072 [bytes]
Digest ID: 0
Tokens:
Digests:
0: pbkdf2
Hash: sha256
Iterations: 619725
Salt: 6b 33 83 b5 9a 89 5c 0e 5f ad e2 f2 bc 21 9a 24
a7 46 b0 50 72 94 64 92 7e 67 39 69 cc f8 41 f2
Digest: 65 7c fb 0b fe 73 6a 95 72 03 26 2b dd 3f 60 34
81 73 ac 1a 1e 22 3d cc 2b f2 69 78 2a 7c 29 6d
где
/dev/sdb1 — шифрованный раздел.
Определить является ли устройство LUKS-разделом:
# cryptsetup isLuks -v /dev/sdb1
Команда выполнена успешно.
Если команда завершилась успешно, раздел использует LUKS.
Определить, какие разделы используются системой, и какой из них зашифрован:
# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 60G 0 disk
├─sda1 8:17 0 2G 0 part [SWAP]
├─sda2 8:18 0 512M 0 part /boot/efi
└─sda3 8:19 0 38G 0 part /
sdb 8:16 0 18G 0 disk
└─sdb1 8:17 0 18G 0 part
└─luks-87a00f6b-be95-ba47-af78-f38bd4fbcaed 253:0 0 18G 0 crypt /home
sr0 11:0 1 1024M 0 rom
В выводе команды
cryptsetup luksDump в разделе Keyslots будет отображен список активных слотов:
…
Keyslots:
0: luks2
…
6: luks2
…
Чтобы открыть зашифрованный раздел LUKS используется команда:
# cryptsetup open /dev/sdb1 sdb1_encrypted
Чтобы закрыть контейнер LUKS необходимо отмонтировать раздел и выполнить команду:
# cryptsetup close sdb1_encrypted
Команда добавления нового пароля на зашифрованный раздел (требуется предоставить уже имеющийся пароль интерактивно или посредством опции
--key-file):
# cryptsetup luksAddKey /dev/sdb1
Введите любую существующую парольную фразу:
Введите новую парольную фразу для слота ключа:
Парольная фраза повторно:
Пароль будет добавлен в первый свободный слот.
Можно указать номер определенного слота с помощью опции
--key-slot, например:
# cryptsetup luksAddKey /dev/sdb1 --key-slot 5
Команда замены одного из паролей на другой (старый пароль нужно ввести интерактивно или задать опцией
--key-file):
# cryptsetup luksChangeKey /dev/sdb1
Введите изменяемую парольную фразу:
Введите новую парольную фразу:
Парольная фраза повторно:
Если задан номер слота (опцией
--key-slot), нужно ввести старый пароль именно для заданного слота, и замена пароля произойдёт тоже в этом слоте. Если номер слота не задан и есть свободный слот, то сначала новый пароль будет записан во временный свободный слот, а потом будет затёрт слот, содержащий старый пароль. Если свободных слотов не окажется, то новый пароль будет записан прямо в слот, ранее содержащий старый пароль.
Чтобы узнать какой слот занимает заданный пароль, можно разблокировать устройство с помощью параметра
-v:
# cryptsetup --test-passphrase -v open /dev/sdb1
Не найдено подходящего токена.
Введите парольную фразу для /dev/sdb1:
Слот ключа 0 разблокирован.
Команда выполнена успешно.
Для удаления ключей из заголовка могут использоваться следующие действия:
luksRemoveKey — удалить ключ, указав его парольную фразу/ключевой файл;
luksKillSlot — удалить ключ, указав его слот (будет запрошен другой действительный ключ). Данная команда полезна, если вы забыли парольную фразу, потеряли ключевой файл или не имеете к нему доступа;
erase — удалить все активные ключи.
Все вышеперечисленные действия можно использовать для безвозвратного удаления последнего активного ключа для зашифрованного устройства!
Команда cryptsetup erase не запрашивает пароль и удаляет все ключевые слоты без подтверждения. Восстановить доступ можно только из резервной копии заголовка.
Примеры удаления паролей:
удалить заданный пароль (затирает слот):
# cryptsetup luksRemoveKey /dev/sdb1
Введите удаляемую парольную фразу:
удаление по слоту (если известен номер слота):
# cryptsetup luksKillSlot /dev/sdb1 5
Введите любую оставшуюся парольную фразу:
При удалении ключей необходимо убедиться, что остается хотя бы один рабочий ключ.
При использовании опции -q (тихий режим) удаление даже последнего пароля будет выполнено без каких-либо предупреждений. Если ни одного пароля не останется (то есть все слоты ключей будут пусты), дешифровать LUKS-раздел станет невозможно.
Создание резервной копии заголовка:
# cryptsetup luksHeaderBackup --header-backup-file luks_header.img /dev/sdb1
Резервную копию заголовка необходимо хранить в надёжном месте вне шифруемого устройства.
Восстановление заголовка:
# cryptsetup luksHeaderRestore --header-backup-file luks_header.img /dev/sdb1
ПРЕДУПРЕЖДЕНИЕ!
========
Устройство /dev/sdb1 уже содержит заголовок LUKS2. Замена заголовка уничтожит существующие слоты ключей.
Вы уверены? (введите «yes» заглавными буквами): YES
Восстановление заголовка уничтожит текущие ключи. Новые пароли будут заменены старыми из резервной копии.
73.2. Шифрование пустого блочного устройства
В данном раздела описана процедура шифрования пустого блочного устройства.
Необходимо убедиться, что имеется свободное блочное устройство, на котором нет данных. Можно использовать команду
lsblk, чтобы узнать, нет ли на устройстве реальных данных, например, файловой системы:
# lsblk -f
В примере ниже будет использоваться устройство
/dev/sdb1.
Шифрование пустого блочного устройства:
Инициализировать LUKS2 на устройстве:
# cryptsetup luksFormat /dev/sdb1
ПРЕДУПРЕЖДЕНИЕ!
========
Данные на /dev/sdb1 будут перезаписаны без возможности восстановления.
Вы уверены? (введите «yes» заглавными буквами): YES
Введите парольную фразу для /dev/sdb1:
Парольная фраза повторно:
Инициализация LUKS2 на устройстве безвозвратно удалит все данные на разделе!
Открыть зашифрованное устройство:
# cryptsetup open /dev/sdb1 sdb1_encrypted
Введите парольную фразу для /dev/sdb1:
В результате выполнения данной команды появится новое блочное устройство
/dev/mapper/sdb1_encrypted.
Создать файловую систему на открытом устройстве:
# mkfs -t ext4 /dev/mapper/sdb1_encrypted
Внутри зашифрованного контейнера будет создана файловая система ext4.
Примонтировать зашифрованное устройство:
# mkdir /mnt/luks
# mount /dev/mapper/sdb1_encrypted /mnt/luks
Теперь можно использовать
/mnt/luks как обычный каталог для чтения и записи зашифрованных данных.
Просмотр статуса зашифрованного блочного устройства:
# cryptsetup status sdb1_encrypted
/dev/mapper/sdb1_encrypted is active and is in use.
type: LUKS2
cipher: aes-xts-plain64
keysize: 512 bits
key location: keyring
device: /dev/sdb1
sector size: 512
offset: 32768 sectors
size: 20936704 sectors
mode: read/write
Закрыть устройство можно, выполнив команды:
# umount /mnt/luks
# cryptsetup close sdb1_encrypted
При попытке монтирования закрытого устройства будет запрашиваться пароль:
# mount /dev/sdb1 /mnt/luks
Password:
Разблокирование зашифрованного устройства в файловом менеджере:
73.3. Шифрование существующих данных на блочном устройстве с внешним (отсоединённым) заголовком
В данном разделе описана процедура шифрования существующих данных на блочном устройстве с использованием LUKS2 с сохранением заголовка в отдельном файле.
Во время процесса шифрования можно потерять данные из-за сбоев питания, оборудования, ядра или по ошибке пользователя. Настоятельно рекомендуется сделать резервную копию всех важных данных.
Шифрование существующих данных на блочном устройстве:
Отмонтировать все файловые системы на устройстве, например:
# umount /mnt/test
Инициализировать шифрование с внешним заголовком:
# cryptsetup reencrypt --encrypt --init-only --header /home/header /dev/sdb1 sdb1_encrypted
ПРЕДУПРЕЖДЕНИЕ!
========
Файл заголовка не существует, создать?
Вы уверены? (введите «yes» заглавными буквами): YES
Введите парольную фразу для /home/header:
Парольная фраза повторно:
В результате выполнения данной команды устройство будет открыто и доступно через
/dev/mapper/sdb1_encrypted для оперативного шифрования.
Файл /home/header содержит всю критическую метаинформацию (ключевые слоты, параметры шифрования, UUID и т.д.). Он обязателен для доступа к данным в будущем.
Смонтировать временно разблокированное устройство:
# mount /dev/mapper/sdb1_encrypted /mnt/test
Возобновить шифрование данных:
# cryptsetup reencrypt --resume-only --header /home/header /dev/sdb1
Введите парольную фразу для /dev/sdb1:
Автоматически обнаруженное активное устройство dm «sdb1_encrypted» для устройства данных /dev/sdb1.
Выполнено, время 00м52с, 9 GiB записано, скорость 194,5 MiB/с
Проверить, зашифрованы ли существующие данные на блочном устройстве с использованием LUKS2 с отсоединенным заголовком:
# cryptsetup luksDump /home/header
Должна отобразиться информация о шифровании, ключевых слотах и параметрах.
Необходимо сделать резервную копию заголовка:
# cp /home/header /root/luks-header-backup
Потеря заголовка сделает невозможным расшифровку данных.
Закрыть устройство можно, выполнив команды:
# umount /mnt/test
# cryptsetup close sdb1_encrypted
Так как раздел был зашифрован с отдельным заголовком, для доступа к данным необходимо обязательно указывать внешний заголовок с помощью параметра
--header:
# cryptsetup open --header /home/header /dev/sdb1 sdb1_encrypted
Введите парольную фразу для /dev/sdb1:
Глава 74. Резервное копирование (Timeshift)
Timeshift — программа для автоматического периодического создания копий системы (снимков/snapshots).
Timeshift предназначен, прежде всего, для создания снимков системных файлов и настроек. Пользовательские данные по умолчанию не архивируются, поэтому в случае сбоя системы восстанавливаются системные файлы, а данные пользователей остаются в актуальном состоянии (конечно, если они не были повреждены).
Резервные копии не могут быть восстановлены на уровне отдельных файлов, восстановление всегда происходит в полном объеме настроек Timeshift.
Должен быть установлен пакет
timeshift:
# apt-get install timeshift
Запустить
Timeshift как любое
другое приложение или из командной строки:
$ timeshift-launcher
Запуск Timeshift требует прав администратора, поэтому потребуется ввести пароль администратора:
При первом запуске будет запущен мастер установки. Запустить мастер установки или открыть окно настроек резервного копирования также можно, нажав соответствующую кнопку на панели инструментов в окне Timeshift:
74.1. Настройка резервного копирования
Особенности режима RSYNC:
снимки создаются путём копирования системных файлов при помощи rsync и создания жёстких ссылок на неизмененные файлы из предыдущего снимка;
все файлы копируются при создании первого снимка. Последующие снимки являются инкрементальными. Неизменные файлы будут связаны с предыдущим снимком, если он доступен;
создание первого снимка может занять до 10 минут;
системный раздел может быть отформатирован в любой файловой системе. Резервный раздел может быть отформатирован в любой файловой системе Linux, поддерживающей жесткие ссылки. Сохранение снимков на несистемный или внешний диск позволяет восстановить систему, даже если системный диск повреждён;
можно задать исключения для файлов и каталогов для экономии дискового пространства;
систему необходимо перезагрузить после восстановления снимка.
Тип снимков RSYNC можно выбрать на вкладке окна настроек Timeshift (или на первом шаге работы мастера установки):
RSYNC снимки имеют большой размер, поэтому желательно хранить их на другом диске или разделе. По умолчанию снимки сохраняются в системном (корневом) разделе в каталоге /timeshift.
Выбрать место, где будут храниться снимки, можно на вкладке :
На вкладке следует выбрать уровни создания снимков (ежемесячно, еженедельно, ежедневно, ежечасно, при запуске) и указать количество сохраняемых снимков для каждого уровня:
Снимки уровня При запуске создаются при каждом запуске системы (с задержкой в 10 минут). Они выполняются в фоне и не влияют на скорость загрузки системы.
По умолчанию домашние каталоги пользователей не включаются в резервную копию. На вкладке можно изменить это поведение. Например, если выбрать опцию Включить только скрытые файлы, будет выполнено резервное копирование и восстановление скрытых файлов и каталогов в домашнем каталоге пользователя (эти каталоги содержат пользовательские файлы конфигурации):
На вкладке можно выборочно указать, какие файлы/каталоги включать/исключать из резервного копирования (динамические каталоги исключаются по умолчанию: /dev, /proc, …):
В данном примере из резервной копии будут исключены все файлы mp3, все системные журналы, кроме журналов аудита. Просмотреть итоговый список исключений можно, нажав кнопку Итог.
Отредактировать шаблон можно, дважды щелкнув левой кнопкой мыши по строке шаблона.
На вкладке можно выбрать формат даты:
Особенности режима BTRFS:
снимки создаются с использованием встроенных средств файловой системы BTRFS;
снимки создаются и восстанавливаются мгновенно (создание снимков — это атомарная транзакция на уровне файловой системы);
снимки восстанавливаются путём замены системных подразделов. Поскольку файлы никогда не копируются, не удаляются и не перезаписываются, риск потери данных отсутствует. Существующая система сохраняется как новый снимок после восстановления;
снимки сохраняются на том же диске, с которого они созданы (системном диске). Хранение на других дисках не поддерживается. Если системный диск выйдет из строя, снимки, хранящиеся на нём, будут потеряны вместе с системой;
нет возможности исключать файлы и каталоги;
размер снимков BTRFS изначально равен нулю. При изменении системных файлов данные записываются в новые блоки данных, которые занимают дисковое пространство (копирование при записи). Файлы в снимке продолжают указывать на исходные блоки данных;
снимки можно восстановить без немедленной перезагрузки запущенной системы;
ОС должна быть установлена на раздел BTRFS с разбивкой на подразделы @ и @home. Другие виды разделов не поддерживаются.
Для установки ОС на раздел BTRFS с разбивкой на подразделы @ и @home можно при установке системы, на этапе
Подготовка диска, воспользоваться профилем
Установка рабочей станции (BtrFS). При этом будут созданы:
Тип снимков BTRFS можно выбрать на вкладке окна настроек Timeshift (или на первом шаге работы мастера установки):
Снимки BTRFS сохраняются в системном разделе, другие разделы не поддерживаются:
На вкладке следует выбрать уровни создания снимков (ежемесячно, еженедельно, ежедневно, ежечасно, при запуске) и указать количество сохраняемых снимков для каждого уровня:
По умолчанию домашние каталоги пользователей не включаются в резервную копию. На вкладке можно изменить это поведение и включить подраздел @home в создаваемые снимки:
Если в подразделе @home существует активный swap-файл, то для создания снимка потребуется предварительно отключить swap:
# swapoff /home/swap
На вкладке можно выбрать формат даты:
Снимки будут создаваться автоматически согласно настроенному расписанию.
Для создания снимка в ручном режиме следует нажать кнопку Создать на панели инструментов. Пример создания снимка в режиме RSYNC:
74.3. Восстановление системы
Снимки можно восстановить как из работающей системы (оперативное восстановление), так и из другой системы, на которой установлен Timeshift (автономное восстановление).
Для восстановления снимка следует выбрать снимок в главном окне и нажать кнопку Восстановить.
При восстановлении снимка в режиме RSYNC после нажатия кнопки Восстановить можно выбрать устройство, куда будут восстановлены файлы, указать нужно ли переустанавливать GRUB (кнопка Настройки загрузчика (дополнительные)):
На следующем шаге будут показаны файлы, которые будут созданы/восстановлены/удалены в процессе восстановления снимка (только в режиме RSYNC):
Если основная система не загружается, можно загрузиться с установочного диска в режиме LiveCD, установить и запустить
Timeshift, на вкладке указать расположение снимков и восстановить снимок в основной системе:
74.4. Работа с Timeshift в командной строке
Одновременно может работать только один экземпляр Timeshift, поэтому для работы с Timeshift из командной строки необходимо закрыть окно программы Timeshift.
Вывод справки о команде:
$ timeshift
Просмотр списка снимков:
# timeshift --list
Mounted '/dev/sda3' at '/run/timeshift/2325/backup'
btrfs: Quotas are not enabled
Device : /dev/sda3
UUID : 75a352b4-0145-4a16-b21f-43e5a1eba197
Path : /run/timeshift/2325/backup
Mode : BTRFS
Status : OK
4 snapshots, 144.3 GB free
Num Name Tags Description
------------------------------------------------------------------------------
0 > 2025-03-13_18-08-05 O ALT Workstation 11.0 (Prometheus) installed
1 > 2025-03-14_12-06-23 O Before Offline Update
2 > 2025-03-14_18-40-34 O after update
3 > 2025-03-14_20-00-01 M
Пример создания снимка (в режиме RSYNC):
# timeshift --create --comments "after update" --tags D
Mounted '/dev/sdc1' at '/run/timeshift/3475/backup'
------------------------------------------------------------------------------
Estimating system size...
Creating new snapshot...(RSYNC)
Saving to device: /dev/sdc1, mounted at path: /run/timeshift/3475/backup
Linking from snapshot: 2025-03-14_18-53-26
Syncing files with rsync...
Created control file: /run/timeshift/3475/backup/timeshift/snapshots/2025-03-14_21-55-57/info.json
RSYNC Snapshot saved successfully (28s)
Tagged snapshot '2025-03-14_21-55-57': ondemand
------------------------------------------------------------------------------
Пример создания (в режиме BTRFS):
# timeshift --create --comments "after update" --tags D
Using system disk as snapshot device for creating snapshots in BTRFS mode
Mounted '/dev/sda3' at '/run/timeshift/3250/backup'
btrfs: Quotas are not enabled
Creating new backup...(BTRFS)
Saving to device: /dev/sda3, mounted at path: /run/timeshift/3250/backup
Created directory: /run/timeshift/3250/backup/timeshift-btrfs/snapshots/2025-03-14_21-54-15
Created subvolume snapshot: /run/timeshift/3250/backup/timeshift-btrfs/snapshots/2025-03-14_21-54-15/@
Created subvolume snapshot: /run/timeshift/3250/backup/timeshift-btrfs/snapshots/2025-03-14_21-54-15/@home
Created control file: /run/timeshift/3250/backup/timeshift-btrfs/snapshots/2025-03-14_21-54-15/info.json
BTRFS Snapshot saved successfully (0s)
Tagged snapshot '2025-03-14_21-54-15': ondemand
------------------------------------------------------------------------------
Создание снимка, если он запланирован (есть в расписании):
# timeshift --check
Восстановить снимок (параметры будут запрошены в интерактивном режиме):
# timeshift --restore
Восстановить снимок:
# timeshift --restore --snapshot '2025-03-14_12-06-23'
Восстановить определенный снимок в необходимый раздел:
# timeshift --restore --snapshot 1 --target /dev/sda2
Удалить снимок:
# timeshift --delete --snapshot '2025-03-14_12-06-23'
Если основная система не загружается, необходимо загрузиться в режиме восстановления и выполнить следующие действия (на примере режима RSYNC):
Установить
timeshift:
# apt-get update && apt-get install timeshift
Просмотреть список снимков на устройстве:
# timeshift --list --snapshot-device /dev/sdb
Запустить восстановление:
# timeshift --restore --snapshot-device /dev/sdb --snapshot 1 --target /dev/sda2 --grub-device /dev/sda
Перезагрузить систему.
Глава 75. Создание SSH-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
Пакеты необходимо установить как на сервере, так и на клиенте.
Для установки пакетов gostcrypto в список репозиториев должен быть добавлен репозиторий gostcrypto.
Установить пакеты
openssh-gostcrypto,
openssh-clients-gostcrypto,
openssh-server-gostcrypto,
openssh-server-control-gostcrypto,
openssh-common-gostcrypto,
openssh-askpass-common-gostcrypto:
# apt-get install openssh-gostcrypto openssh-clients-gostcrypto openssh-server-gostcrypto openssh-server-control-gostcrypto openssh-common-gostcrypto openssh-askpass-common-gostcrypto
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
openssh openssh-askpass-common openssh-clients openssh-common openssh-server openssh-server-control
Следующие НОВЫЕ пакеты будут установлены:
openssh-askpass-common-gostcrypto openssh-common-gostcrypto openssh-server-control-gostcrypto
openssh-clients-gostcrypto openssh-gostcrypto openssh-server-gostcrypto
ВНИМАНИЕ: Будут удалены важные для работы системы пакеты
Обычно этого делать не следует. Вы должны точно понимать возможные последствия!
openssh-server openssh-server-control (по причине openssh-server)
0 будет обновлено, 6 новых установлено, 6 пакетов будет удалено и 3 не будет обновлено.
Необходимо получить 1532kB архивов.
После распаковки потребуется дополнительно 16,4kB дискового пространства.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.
Yes, do as I say!
При выполнении этой команды будет выведено предупреждение Введите фразу 'Yes, do as I say!' чтобы продолжить. вместо обычного Y/n. Это происходит, потому что к замене предлагаются критически важные c точки зрения APT пакеты. Если вы согласны с данной заменой, необходимо ввести фразу Yes, do as I say! и нажать Enter.
Список поддерживаемых алгоритмов шифрования трафика:
$ ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
grasshopper-cbc@altlinux.org
grasshopper-ctr@altlinux.org
magma-cbc@altlinux.org
magma-ctr@altlinux.org
chacha20-poly1305@openssh.com
Список поддерживаемых MAC (коды аутентификации сообщений):
$ ssh -Q mac
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
umac-64@openssh.com
umac-128@openssh.com
hmac-sha1-etm@openssh.com
hmac-sha1-96-etm@openssh.com
hmac-sha2-256-etm@openssh.com
hmac-sha2-512-etm@openssh.com
hmac-md5-etm@openssh.com
hmac-md5-96-etm@openssh.com
umac-64-etm@openssh.com
umac-128-etm@openssh.com
grasshopper-mac@altlinux.org
hmac-gostr3411-2012-256@altlinux.org
hmac-streebog-256@altlinux.org
hmac-gostr3411-2012-512@altlinux.org
hmac-streebog-512@altlinux.org
hmac-gostr3411-2012-256-etm@altlinux.org
hmac-streebog-256-etm@altlinux.org
hmac-gostr3411-2012-512-etm@altlinux.org
hmac-streebog-512-etm@altlinux.org
75.2. Настройка сервера SSH
Настройки сервера SSH находятся в файле /etc/openssh/sshd_config.
Добавить в файл
/etc/openssh/sshd_config строки (набор допустимых алгоритмов, в порядке убывания приоритета):
Ciphers grasshopper-ctr@altlinux.org
MACs grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Перезапустить службу sshd:
# systemctl restart sshd
75.3. Подключение к серверу SSH
Команда подключения к серверу с использованием алгоритмов ГОСТ Р 34.12-2015:
$ ssh <пользователь>@<сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Пробросить порт с сервера на локальную машину (для демонстрации туннеля):
$ ssh <пользователь>@<сервер> -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org -L 127.0.0.1:2222:127.0.0.1:22
Зайти на тот же сервер через туннель (в другом окне терминала):
$ ssh <пользователь>@127.0.0.1 -p 2222 -oCiphers=grasshopper-ctr@altlinux.org -oMACs=grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Для того чтобы не указывать алгоритм шифрования и коды аутентификации в команде подключения, можно указать эти параметры в конфигурации клиента SSH.
Настройки клиентской части SSH делятся на глобальные и пользовательские. Глобальные клиентские настройки находятся в файле /etc/openssh/ssh_config и применяются ко всем пользователям. Пользовательские настройки находятся в файле ~/.ssh/config (в домашнем каталоге пользователя) и применяются к одному пользователю.
Например, можно добавить в конец файла
/etc/openssh/ssh_config строки:
Ciphers grasshopper-ctr@altlinux.org
MACs grasshopper-mac@altlinux.org,hmac-streebog-512@altlinux.org
Теперь можно подключиться к серверу, выполнив команду:
$ ssh <пользователь>@<сервер>
Порядок применения пользовательских настроек SSH: высший приоритет имеют ключи командной строки, затем следуют настройки пользователя, а после них используются глобальные настройки клиентской части.
Если при выполнении подключения использовать опцию
-v для вывода отладочной информации, то используемый для подключения метод защитного преобразования будет отображен в выводе:
$ ssh -v <пользователь>@<сервер>
...
debug1: kex: server->client cipher: grasshopper-ctr@altlinux.org MAC: grasshopper-mac@altlinux.org compression: none
debug1: kex: client->server cipher: grasshopper-ctr@altlinux.org MAC: grasshopper-mac@altlinux.org compression: none
...
Глава 76. Создание защищенных VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015
76.1. Настройка в командной строке
76.1.1. Создание ключей для OpenVPN-туннеля средствами утилиты openssl
Для генерации всех необходимых ключей и сертификатов необходимо выполнить следующие действия:
Изменить значение параметра
policy в файле
/var/lib/ssl/openssl.cnf для возможности подписывать любые сертификаты:
policy = policy_anything
Создать каталоги:
# mkdir -p /root/CA/demoCA
# cd /root/CA
# mkdir -p ./demoCA/newcerts
Создать файл базы для действующих и отозванных сертификатов:
# touch ./demoCA/index.txt
Создать файл индекса для базы ключей и сертификатов:
# echo '01' > ./demoCA/serial
Создать файл индекса для базы отозванных сертификатов:
# echo '01' > ./demoCA/crlnumber
Создать «самоподписанный» сертификат
ca-root.crt и закрытый ключ
ca-root.key, которыми будут заверяться/подписываться ключи и сертификаты клиентов, с помощью следующей команды:
# openssl req -new -x509 -keyout ca-root.key -out ca-root.crt
Ввести пароль для закрытого ключа и ответить на запросы о владельце ключа.
Создать пару «ключ-сертификат» для сервера и каждого клиента. Для этого сначала сгенерировать ключ и запрос на сертификат для сервера:
# openssl req -new -nodes -keyout server.key -out server.csr
Подписать запрос на сертификат своим «самоподписанным» сертификатом
ca-root.crt и ключом
ca-root.key:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -days 3650 -in server.csr -out server.crt
Сгенерировать ключ и запрос на сертификат для клиента:
# openssl req -new -nodes -keyout client.key -out client.csr
Подписать клиентский сертификат:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -days 365 -in client.csr -out client.crt
Задать параметры Диффи-Хеллмана для сервера:
# openssl dhparam -out server.dh 2048
Разместить ключи и сертификаты в каталогах сервера и клиента следующим образом:
ca-root.key — используется только для подписи сертификатов (рекомендуется хранить его на отдельном от OpenVPN-сервера компьютере);
ca-root.crt, server.crt, server.dh, server.key — для сервера OpenVPN;
ca-root.crt, client.crt, client.key — для клиента OpenVPN.
Для новых клиентов следует создавать новые ключи и передавать комплект: ca-root.crt, новый_сертификат.crt, новый_ключ.key.
Для создания списка отзыва сертификатов (CRL) необходимо выполнить следующие действия:
Сформировать начальный список:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -gencrl -out crl.pem
Отозвать сертификат:
# openssl ca -cert ca-root.crt -keyfile ca-root.key -revoke <сертификат>.crt
Обновить список (обязательно после каждого отзыва сертификата):
# openssl ca -cert ca-root.crt -keyfile ca-root.key -gencrl -out crl.pem
Просмотреть список:
# openssl crl -noout -text -in crl.pem
Поместить файл crl.pem в каталог /var/lib/openvpn.
Для работы со списком отозванных сертификатов OpenVPN должен быть настроен на его проверку. Это достигается добавлением в конфигурацию сервера директивы:
crl-verify /var/lib/openvpn/crl.pem
При включённой проверке CRL сертификаты всех подключающихся клиентов будут проверяться по списку отозванных сертификатов, и любое положительное совпадение приведёт к разрыву соединения.
76.1.2. Настройка сервера OpenVPN
Файл конфигурации должен быть размещен в /etc/openvpn/, ключи — в /etc/openvpn/keys, файлы настроек клиентов — в /etc/openvpn/ccd/ или /var/lib/openvpn/etc/openvpn/ccd/.
Ранее созданные ключи и сертификаты необходимо перенести в каталог /etc/openvpn/keys/.
Важно правильно настроить права доступа:
Каждый файл конфигурации по маске /etc/openvpn/*.conf является конфигурацией отдельного экземпляра демона openvpn.
Для настройки OpenVPN-сервера можно использовать образец файла конфигурации OpenVPN. Для этого следует скопировать файл /usr/share/doc/openvpn-2.6.12/server.conf в каталог /etc/openvpn/ (номер версии в названии каталога может отличаться).
В файле конфигурации должны быть указаны следующие параметры:
ifconfig-pool-persist и status — без полного пути или с путём /cache/;
ca, dh, cert, key — с путём /etc/openvpn/keys/;
client-config-dir /etc/openvpn/ccd.
Пример конфигурации (
/etc/openvpn/server.conf):
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca-root.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/server.dh
comp-lzo
server 10.8.0.0 255.255.255.0
#tls-server
user openvpn
group openvpn
ifconfig-pool-persist server_ipp.txt
keepalive 10 120
client-config-dir /etc/openvpn/ccd
persist-key
persist-tun
client-to-client
script-security 2
tmp-dir /tmp
status openvpn-status.log
verb 3
tls-cipher LEGACY-GOST2012-GOST8912-GOST8912
data-ciphers kuznyechik-cbc
auth id-GostR3411-94
# Server networks start
push "route 192.168.0.0 255.255.255.0"
# Server networks end
push "dhcp-option DNS 192.168.0.32"
Запуск сервера OpenVPN:
# openvpn /etc/openvpn/server.conf
76.1.3. Настройка VPN-подключения по протоколу OpenVPN в Network Manager
Для настройки VPN-подключения по протоколу OpenVPN в
Network Manager выполните следующие действия:
Откройте модуль
Сеть приложения
Настройки GNOME и в разделе
VPN нажмите кнопку
Добавить VPN:
В списке типов VPN выберите пункт :
В окне настройки VPN-подключения укажите IP-адрес OpenVPN-сервера, сертификат центра сертификации (CA), приватный ключ и сертификат пользователя:
Нажмите кнопку Дополнительно…, чтобы задать расширенные параметры. На вкладке Общее можно выбрать тип виртуального устройства и указать, нужно ли использовать сжатие:
На вкладке Безопасность задайте алгоритм шифрования данных в туннеле (параметры и Data ciphers):
На вкладке Аутентификация TLS укажите TLS-шифр в поле Строка шифра TLS:
Сохраните изменения, нажав кнопку Применить, а затем Добавить.
Чтобы задать алгоритм HMAC (аутентификации), отредактируйте файл подключения
/etc/NetworkManager/system-connections/<name_vpn_network>, добавив в раздел
[vpn] строку:
auth=id-GostR3411-94
Или выполните команду:
# nmcli connection modify <name_vpn_network> +vpn.data auth=id-GostR3411-94
Перезапустите службу
NetworkManager:
# systemctl restart NetworkManager
Подключитесь к VPN-сети, для этого откройте системное меню и выберите созданное VPN-соединение:
Настройка OpenVPN-клиента в командной строке:
скопируйте пример конфигурации /usr/share/doc/openvpn-2.6.12/client.conf в каталог /etc/openvpn/;
скопируйте ранее сгенерированные ключи и сертификаты в каталог /etc/openvpn/keys/ и укажите их в /etc/openvpn/client.conf;
отредактируйте файл
/etc/openvpn/client.conf, указав IP-адрес OpenVPN-сервера и приведя другие параметры в соответствие с настройками сервера, например:
client
dev tun
proto udp
remote 192.168.0.159 1194
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
pull
redirect-gateway def1
route-metric 50
ca /etc/openvpn/keys/ca-root.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key
#remote-cert-tls server
comp-lzo
verb 3
script-security 2
tmp-dir /tmp
data-ciphers kuznyechik-cbc
tls-cipher LEGACY-GOST2012-GOST8912-GOST8912
auth id-GostR3411-94
запустите клиент OpenVPN:
# openvpn /etc/openvpn/client.conf
Глава 77. Поддержка файловых систем
Файловая система представляет собой набор правил, определяющих то, как хранятся и извлекаются документы, хранящиеся на устройстве.
В Альт Рабочая станция поддерживаются следующие файловые системы:
ext2 — нежурналируемая файловая система; относительно проста в восстановлении, но нуждается в относительно долгой проверке целостности после сбоя питания или ядра. Может использоваться для /boot или readonly-разделов;
ext3 — журналируемая и достаточно надёжная файловая система, имеет среднюю производительность;
ext4 — журналируемая файловая система, логическое продолжение ext3, позволяет полностью отключить журналирование;
btrfs — поддерживает снимки (копии файловой системы на определенный момент времени), сжатие и подтома;
iso9660 — файловая система ISO 9660 для дисков с данными компакт-дисков;
Файловые системы FAT/FAT32/NTFS поддерживаются в установленной системе, но не для установки на них Linux.
Проверка поддержки файловых систем ext2, ext3, ext4, iso9660, fat16, fat32, ntfs, btrfs:
Создать раздел объемом менее 4 Гбайт на flash-накопителе (например, /dev/vdс1)).
Для создания ISO-файла установить пакет
genisoimage:
# apt-get install genisoimage
Создать каталог
/mnt/filesystem, в которую будет монтироваться раздел:
# mkdir /mnt/filesystem
Отформатировать раздел в проверяемую файловую систему:
для ext2:
# mkfs.ext2 /dev/vdc1
для ext3:
# mkfs.ext3 /dev/vdc1
для ext4:
# mkfs.ext4 /dev/vdc1
для fat16:
# mkfs.fat -F 16 /dev/vdc1
для fat32:
# mkfs.fat -F 32 /dev/vdc1
для ntfs:
# mkfs.ntfs /dev/vdc1
для btrfs (должен быть установлен пакет
btrfs-progs):
# mkfs.btrfs /dev/vdc1
для iso9660 — создать ISO-файл из каталога
/etc:
# mkisofs -r -jcharset koi8-r -o /root/cd.iso /etc
Для проверки поддержки файловых систем ext2, ext3, ext4, fat16, fat32, ntfs, btrfs:
примонтировать раздел с файловой системой в каталог
/mnt/filesystem:
# mount /dev/vdc1 /mnt/filesystem
проверить возможность записи файла на текущую файловую систему:
# echo test_content > /mnt/filesystem/test.fs
убедиться, что файл создан:
# ls -l /mnt/filesystem/test.fs
-rw-r--r--. 1 root root 13 май 23 20:10 /mnt/filesystem/test.fs
проверить возможность чтения файла с текущей файловой системы:
# cat /mnt/filesystem/test.fs
Для проверки поддержки файловой системы iso9660 смонтировать созданный ISO-файл в каталог
/mnt/filesystem/ (файл образа диска будет примонтирован в режиме «только для чтения»):
# mount -o loop,ro /root/cd.iso /mnt/filesystem/
Для просмотра файловых систем на физических дисках можно воспользоваться командой
df:
$ df -Th | grep "^/dev"
или
lsblk:
$ lsblk -f
Команда
fsck позволяет узнать файловую систему раздела, который ещё не примонтирован:
# fsck -N /dev/sdc1
fsck из util-linux 2.39.2
[/sbin/fsck.xfs (1) -- /dev/sdc1] fsck.xfs /dev/sdc1
Глава 78. Поддержка сетевых протоколов
Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части.
Samba настраивается с помощью конфигурационного файла /etc/samba/smb.conf.
После редактирования файла smb.conf, запускайте команду testparm для проверки файла на синтаксические ошибки.
78.1.1.1. Добавление пользователя
Создать пользователя samba в системе и указать пароль:
# useradd -m user_samba
# passwd user_samba
Добавить пользователя в файл smbpasswd с тем же паролем:
# smbpasswd -a user_samba
New SMB password:
Retype new SMB password:
Added user user_samba.
78.1.1.2. Создание ресурсов общего доступа
Создать папку
sharefolder, для общих ресурсов:
# mkdir /mnt/sharefolder
Назначить нового владельца:
# chown -R user_samba:users /mnt/sharefolder
# chmod -R ugo+rwx /mnt/sharefolder
Добавить в конфигурационный файл сервера Samba
/etc/samba/smb.conf строки:
[public]
#путь к общей папке
path=/mnt/sharefolder
read only=No
#открыть гостевой доступ
guest ok=Yes
comment = Public
Перезапустить службу:
# systemctl restart smb
# systemctl restart nmb
78.1.1.3. Создание ресурсов общего доступа от имени обычного пользователя
78.1.2. Настройка клиента
78.1.2.1. Подключение по протоколу SMB в графической среде
Для создания подключения по протоколу SMB в графической среде
GNOME можно, запустить файловый менеджер, указать в адресной строке протокол и адрес сервера:
Нажать клавишу
Enter.
Будут показаны ресурсы с общим доступом:
Для доступа к папке, необходимо указать имя пользователя, пароль и нажать кнопку
Подключиться:
78.1.2.2. Монтирование ресурса Samba через /etc/fstab
Просмотреть список общедоступных ресурсов на сервере:
$ smbclient -L 192.168.0.147 -U%
Просмотреть список ресурсов на сервере доступных пользователю user_samba:
$ smbclient -L 192.168.0.147 -Uuser_samba
Enter SAMBA\user_samba's password:
Sharename Type Comment
--------- ---- -------
print$ Disk Printer Drivers
public Disk Public
IPC$ IPC IPC Service (4.20.8-alt2)
For_doc Disk
user_samba Disk Home Directories
SMB1 disabled -- no workgroup available
Создать файл
/etc/samba/sambacreds (например, командой
mcedit /etc/samba/sambacreds), с содержимым:
username=имя_пользователя
password=пароль
Для защиты информации, права на файл
/etc/samba/sambacreds, надо установить так, чтобы файл был доступен на чтение и запись только пользователю-владелецу файла:
# chmod 600 /etc/samba/sambacreds
и принадлежать root:
# chown root: /etc/samba/sambacreds
Для монтирования ресурса Samba в
/etc/fstab необходимо прописать, строку вида:
//СЕРВЕР/ИМЯ_РЕСУРСА /mnt/точка_монтирования cifs credentials=/путь/к/полномочиям/sambacreds 0 0
Например:
//192.168.0.147/public /mnt/server_public cifs users,_netdev,x-systemd.automount,credentials=/etc/samba/sambacreds 0 0
78.2.1. Настройка сервера NFS
Должен быть установлен пакет
nfs-server:
# apt-get install nfs-server
Пакет nfs-server не входит в состав ISO-образа дистрибутива, его можно установить из репозитория p11.
Запустить NFS-сервер и включить его по умолчанию:
# systemctl enable --now nfs
В файле
/etc/exports следует указать экспортируемые каталоги (каталоги, которые будет разрешено монтировать с других машин):
/mysharedir ipaddr1(rw)
Например, чтобы разрешить монтировать
/home на сервере необходимо добавить в
/etc/exports строку:
/home 192.168.0.0/24(no_subtree_check,rw)
где 192.168.0.0/24 — разрешение экспорта для подсети 192.168.0.X; rw — разрешены чтение и запись.
Подробную информацию о формате файла можно посмотреть командой:
man exports
После внесения изменений в файл
/etc/exports необходимо выполнить команду:
# exportfs -r
Проверить список экспортируемых файловых систем можно, выполнив команду:
# exportfs
/home 192.168.0.0/24
78.2.2. Использование NFS
Подключение к NFS-серверу можно производить как вручную, так и настроив автоматическое подключение при загрузке.
Для ручного монтирования необходимо:
создать точку монтирования:
# mkdir /mnt/nfs
примонтировать файловую систему:
# mount -t nfs 192.168.0.147:/home /mnt/nfs
где 192.168.0.147 — IP адрес сервера NFS; /mnt/nfs — локальный каталог куда монтируется удалённый каталог;
проверить наличие файлов в
/mnt/nfs:
# ls -al /mnt/nfs
Должен отобразиться список файлов каталога
/home расположенного на сервере NFS.
Для автоматического монтирования к NFS-серверу при загрузке необходимо добавить следующую строку в файл
/etc/fstab:
192.168.0.147:/home /mnt/nfs nfs intr,soft,nolock,_netdev,x-systemd.automount 0 0
Прежде чем изменять /etc/fstab, попробуйте смонтировать вручную и убедитесь, что всё работает.
78.3.1. Настройка сервера FTP
Установить пакеты
vsftpd и
anonftp:
# apt-get install vsftpd anonftp
Пакеты vsftpd и anonftp не входят в состав ISO-образа дистрибутива, их можно установить из репозитория p11.
Изменить настройку прав доступа в файле
/etc/vsftpd.conf:
local_enable=YES
chroot_local_user=YES
local_root=/var/ftp/
Запустить vsftpd:
# systemctl start vsftpd.service
Убедиться в нормальной работе FTP-сервера:
# netstat -ant | grep 21
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
FTP-сервер запущен и принимает соединения на 21 порту.
Создать файл в каталоге
/var/ftp/:
# echo "vsftpd test file" > /var/ftp/test.txt
78.3.2. Подключение рабочей станции
Для создания подключения по протоколу FTP в графической среде
GNOME можно запустить файловый менеджер, указать в адресной строке протокол и адрес сервера:
Нажать клавишу
Enter.
В появившемся окне указать имя пользователя, пароль и нажать кнопку
Подключиться:
Должен отобразиться список файлов каталога
/var/ftp/, расположенного на сервере FTP:
78.4.1. Настройка сервера NTP
В качестве NTP сервера/клиента используется сервер времени chrony:
chronyd — демон, работающий в фоновом режиме. Он получает информацию о разнице системных часов и часов внешнего сервера времени и корректирует локальное время. Демон реализует протокол NTP и может выступать в качестве клиента или сервера.
chronyc — утилита командной строки для контроля и мониторинга программы. Утилита используется для тонкой настройки различных параметров демона, например позволяет добавлять или удалять серверы времени.
Выполнить настройку NTP-сервера можно следующими способами:
в ЦУС настроить модуль
Дата и время на получение точного времени с NTP сервера и работу в качестве NTP-сервера и нажать кнопку
Применить:
указать серверы NTP в директиве server или pool в файле конфигурации NTP
/etc/chrony.conf:
allow all #Разрешить NTP-клиенту доступ из локальной сети
pool pool.ntp.org iburst #параметр iburst используется для ускорения начальной синхронизации
и перезапустить сервис командой:
# systemctl restart chronyd
Убедиться в нормальной работе NTP-сервера, выполнив команду:
# systemctl status chronyd.service
78.4.2. Настройка рабочей станции
Настроить модуль
Дата и время на получение точного времени с NTP-сервера (в качестве NTP-сервера указать IP-адрес сервера NTP) и нажать кнопку
Применить:
Проверить текущие источники времени:
$ chronyc sources
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^? 192.168.0.131 0 10 0 - +0ns[ +0ns] +/- 0n
Проверить статус источников NTP:
$ chronyc activity
200 OK
1 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address
78.5.1. Настройка сервера HTTP
Установить пакет
apache2-base:
# apt-get install apache2-base
Запустить httpd2:
# systemctl start httpd2
Убедиться, что служба httpd2 запущена:
# systemctl status httpd2
Создать стартовую страницу для веб-сервера:
# echo "Hello, World" >/var/www/html/index.html
78.5.2. Настройка рабочей станции
Запустить браузер, перейти по адресу
http://<ip-сервера>:
Можно также выполнить команду:
$ curl http://192.168.0.199
Hello, World
Происходит обращение к серверу и получение данных по протоколу http.
Глава 79. Настройка мультитерминального режима
Модуль — графическое средство настройки мультитерминального режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере.
Необходимым условием для организации нескольких рабочих мест является наличие нескольких видеокарт, одна из которых может быть встроенной. Если вам нужно три места, потребуется 3 видеокарты.
Для реальной одновременной работы на нескольких рабочих местах кроме видеокарты понадобятся мониторы и комплекты клавиатуры/мыши на каждое рабочее место. Клавиатура и мышь могут быть подключены по USB, возможно через хаб.
По умолчанию в системе есть единственное рабочее место с именем seat0, к которому подключены все доступные устройства, они перечислены в списке Устройства seat0. Это рабочее место нельзя удалить или изменить.
В списке Рабочие места перечислены дополнительные рабочие места (если они есть), в скобках приводится количество подключенных к данному месту устройств. Чтобы просмотреть устройства, подключенные к дополнительному рабочему месту, необходимо выделить его в списке Рабочие места, устройства будут показаны в списке Устройства рабочего места.
Для создания дополнительного рабочего места следует ввести имя нового рабочего места в поле ввода, расположенное под списком рабочих мест, и нажать кнопку Добавить. Новое рабочее место будет добавлено в список Рабочие места.
Имя рабочего места может содержать только символы a-z, A-Z, 0-9, "-" и "_" и должно начинаться с префикса seat. По умолчанию будут сгенерированы имена: seat1, seat2 и т.д.
Выделить нужное рабочее место в списке Рабочие места, а в списке Устройства seat0 выбрать устройство, которое будет назначено выбранному рабочему месту. Нажать кнопку Добавить. Устройство появится в списке устройств выбранного рабочего места. Выделить дополнительному рабочему месту видеокарту, клавиатуру и мышь.
Основную видеокарту нельзя переключать на другие рабочие места.
Аналогичным образом настроить все рабочие места.
Для подключения назначенных устройств к дополнительным рабочим местам необходимо нажать кнопку Применить. Чтобы настройки вступили в силу необходимо перезагрузить компьютер.
Если после перезагрузки на мониторы не выводится никакая информация, это означает, что «закреплённая» за seat0 видеокарта была передана на другое рабочее место.
Чтобы исправить данную проблему необходимо сбросить настройки. Для этого следует залогиниться во второй текстовой консоли, удалить дополнительные рабочие места, выполнив команду (от root):
# loginctl flush-devices
И перезагрузить компьютер.
Часть XII. Основы администрирования Linux
Глава 88. Что происходит в системе
Человеку, отвечающему за работоспособность системы, очень важно всегда отчётливо представлять происходящие в ней события. Теоретически, никакое происшествие не должно ускользнуть от его внимания. Однако компьютерные системы настолько сложны, что отслеживать все события в них — выше человеческих возможностей. Для того чтобы довести поток служебной информации до разумного объёма, её надо просеять (выкинуть незначащие данные), классифицировать (разделить на несколько групп сообразно тематике) и журнализировать (сохранить в доступном виде для дальнейшего анализа).
В ОС Альт Рабочая станция функция записи информации о системных событиях и событиях безопасности обеспечивается с помощью системной службы systemd-journald. Она создает и поддерживает структурированные, индексированные журналы, на основе регистрируемой информации, полученной от ядра, от пользовательских процессов через вызов Libc syslog, от потоков STDOUT/STDERR системных служб через собственный API. Журналы данного инструмента хранятся в бинарном виде в /var/log/journal, что исключает возможность просмотра содержимого данных файлов стандартными утилитами обработки текстовых данных. Для просмотра логов используется утилита journalctl.
Можно запускать
journalctl с разными ключами:
Можно посмотреть сообщения определенного процесса:
Для ознакомления с прочими возможностями читайте руководство по journalctl. Для этого используйте команду man journalctl.
Стоит заметить, что некоторые службы (например, веб-сервер apache) самостоятельно ведут журнализацию своих событий, поэтому информацию о количестве и местоположении их журналов можно почерпнуть из их файлов настроек (обычно журналы хранятся в /var/log/).
Файл настройки journald находится в /etc/systemd/journald.conf. Справку по этому файлу можно получить, выполнив команду man journald.conf.
Новые рапорты, поступающие в системный журнал, наиболее актуальны, а предыдущие, по мере их устаревания, эту актуальность утрачивают. Если самые старые данные в журнале не удалять, файловая система рано или поздно окажется переполненной. Узнать объем имеющихся на текущий момент логов можно с помощью команды:
# journalctl --disk-usage
Ротация журналов:
для удаления старых файлов журналов с помощью указания размера используется опция
--vacuum-size. Например, удалить журналы, оставив только последние 200 Мб:
# journalctl --vacuum-size=200M
для удаления старых записей по времени используется опция
--vacuum-time. Например, удалить журналы, оставив только журналы за последний месяц:
# journalctl --vacuum-time=1months
Следует обратить внимание, что запуск --vacuum-size= оказывает лишь косвенное влияние на вывод, показанный --disk-usage, поскольку последний включает активные файлы журнала, в то время как операция очистки работает только с архивными файлами журнала. Аналогично, --vacuum-time= может фактически не уменьшить количество файлов журнала ниже указанного числа, так как не удалит активные файлы журнала.
Настройки ротации файлов журнала можно прописать в конфигурационном файле
/etc/systemd/journald.conf, например:
установить ограничения на размер хранимых файлов журнала:
SystemMaxUse=1G
ограничить размер отдельных файлов журнала:
SystemMaxFileSize=200M
установить максимальное время хранения записей в одном файле журнала перед ротацией в следующий:
MaxFileSec=20day
ограничить время хранения файлов журнала (удалять файлы журнала, содержащие записи старше указанного промежутка времени):
MaxRetentionSec=1months
После внесения изменений в файл
/etc/systemd/journald.conf необходимо перезапустить службу
systemd-journald:
# systemctl restart systemd-journald
Некоторые файлы в /var/log/ — не текстовые, они являются неполноценными журналами и представляют собой «свалку событий» для служб авторизации и учёта. Текстовую информацию о входе пользователей в систему и выходе оттуда можно получить по команде last, а узнать о тех, кто в данный момент пользуется системой, помогут команды w и who.
Множество важной информации может дать анализ загруженности системы — сведения о процессорном времени и потреблении оперативной памяти (ps, top, vmstat), сведения об использовании дискового пространства (du, df) и сведения о работе сетевых устройств (netstat).
Глава 89. Общие принципы работы ОС
ОС Альт Рабочая станция является многопользовательской интегрированной системой. Это значит, что она разработана в расчете на одновременную работу нескольких пользователей.
Пользователь может либо сам работать в системе, выполняя некоторую последовательность команд, либо от его имени могут выполняться прикладные процессы.
Пользователь взаимодействует с системой через командный интерпретатор. Командный интерпретатор представляет собой прикладную программу, которая принимает от пользователя команды или набор команд и транслирует их в системные вызовы к ядру системы. Интерпретатор позволяет пользователю просматривать файлы, передвигаться по дереву файловой системы, запускать прикладные процессы. Все командные интерпретаторы
UNIX имеют развитый командный язык и позволяют писать достаточно сложные программы, упрощающие процесс администрирования системы и работы с ней.
89.1.1. Процессы функционирования ОС
Все программы, которые выполняются в текущий момент времени, называются процессами. Процессы можно разделить на два основных класса: системные процессы и пользовательские процессы.
Системные процессы — программы, решающие внутренние задачи
ОС, например, организацию виртуальной памяти на диске или предоставляющие пользователям те или иные сервисы (процессы-службы).
Пользовательские процессы — процессы, запускаемые пользователем из командного интерпретатора для решения задач пользователя или управления системными процессами. Linux изначально разрабатывался как многозадачная система. Он использует технологии, опробованные и отработанные другими реализациями
UNIX, которые существовали ранее.
Фоновый режим работы процесса — режим, когда программа может работать без взаимодействия с пользователем. В случае необходимости интерактивной работы с пользователем (в общем случае) процесс будет «остановлен» ядром, и работа его продолжается только после переведения его в «нормальный» режим работы.
89.1.2. Файловая система ОС
В
ОС использована файловая система Linux, которая, в отличие от файловых систем
DOS и
Windows(™), является единым деревом. Корень этого дерева — каталог, называемый root (рут) и обозначаемый
/.
Части дерева файловой системы могут физически располагаться в разных разделах разных дисков или вообще на других компьютерах — для пользователя это прозрачно. Процесс присоединения файловой системы раздела к дереву называется монтированием, удаление — размонтированием. Например, файловая система CD-ROM в дистрибутиве монтируется по умолчанию в каталог /media/cdrom (путь в дистрибутиве обозначается с использованием /, а не \, как в DOS/Windows).
Текущий каталог обозначается ./.
89.1.3. Структура каталогов
Корневой каталог
/:
/bin — командные оболочки (shell), основные утилиты;
/boot — содержит ядро системы;
/dev — псевдофайлы устройств, позволяющие работать с устройствами напрямую. Файлы в /dev создаются сервисом udev
/etc — общесистемные конфигурационные файлы для большинства программ в системе;
/etc/rc?.d, /etc/init.d, /etc/rc.boot, /etc/rc.d — каталоги, где расположены командные файлы, выполняемые при запуске системы или при смене её режима работы;
/etc/passwd — база данных пользователей, в которой содержится информация об имени пользователя, его настоящем имени, личном каталоге, его зашифрованный пароль и другие данные;
/etc/shadow — теневая база данных пользователей. При этом информация из файла
/etc/passwd перемещается в
/etc/shadow, который недоступен для чтения всем, кроме пользователя root. В случае использования альтернативной схемы управления теневыми паролями (
TCB), все теневые пароли для каждого пользователя располагаются в каталоге
/etc/tcb/имя пользователя/shadow;
/home — домашние каталоги пользователей;
/lib — содержит файлы динамических библиотек, необходимых для работы большей части приложений, и подгружаемые модули ядра;
/lost+found — восстановленные файлы;
/media — подключаемые носители (каталоги для монтирования файловых систем сменных устройств);
/mnt — точки временного монтирования;
/opt — вспомогательные пакеты;
/proc — виртуальная файловая система, хранящаяся в памяти компьютера при загруженной ОС. В данном каталоге расположены самые свежие сведения обо всех процессах, запущенных на компьютере.
/root — домашний каталог администратора системы;
/run — файлы состояния приложений;
/sbin — набор программ для административной работы с системой (системные утилиты);
/selinux — виртуальная файловая система SELinux;
/srv — виртуальные данные сервисных служб;
/sys — файловая система, содержащая информацию о текущем состоянии системы;
/tmp — временные файлы.
/usr — пользовательские двоичные файлы и данные, используемые только для чтения (программы и библиотеки);
/var — файлы для хранения изменяющихся данных (рабочие файлы программ, очереди, журналы).
Каталог
/usr:
/usr/bin — дополнительные программы для всех учетных записей;
/usr/sbin — команды, используемые при администрировании системы и не предназначенные для размещения в файловой системе root;
/usr/local — место, где рекомендуется размещать файлы, установленные без использования пакетных менеджеров, внутренняя организация каталогов практически такая же, как и корневого каталога;
/usr/man — каталог, где хранятся файлы справочного руководства man;
/usr/share — каталог для размещения общедоступных файлов большей части приложений.
Каталог
/var:
/var/log — место, где хранятся файлы аудита работы системы и приложений;
/var/spool — каталог для хранения файлов, находящихся в очереди на обработку для того или иного процесса (очереди печати, непрочитанные или не отправленные письма, задачи cron т.д.).
89.1.4. Организация файловой структуры
Система домашних каталогов пользователей помогает организовывать безопасную работу пользователей в многопользовательской системе. Вне своего домашнего каталога пользователь обладает минимальными правами (обычно чтение и выполнение файлов) и не может нанести ущерб системе, например, удалив или изменив файл.
Кроме файлов, созданных пользователем, в его домашнем каталоге обычно содержатся персональные конфигурационные файлы некоторых программ.
Маршрут (путь) — это последовательность имён каталогов, представляющая собой путь в файловой системе к данному файлу, где каждое следующее имя отделяется от предыдущего наклонной чертой (слешем). Если название маршрута начинается со слеша, то путь в искомый файл начинается от корневого каталога всего дерева системы. В обратном случае, если название маршрута начинается непосредственно с имени файла, то путь к искомому файлу должен начаться от текущего каталога (рабочего каталога).
Имя файла может содержать любые символы за исключением косой черты (
/). Однако следует избегать применения в именах файлов большинства знаков препинания и непечатаемых символов. При выборе имен файлов рекомендуется ограничиться следующими символами:
строчные и ПРОПИСНЫЕ буквы. Следует обратить внимание на то, что регистр всегда имеет значение;
символ подчеркивания (_);
точка (.).
Для удобства работы точку можно использовать для отделения имени файла от расширения файла. Данная возможность может быть необходима пользователям или некоторым программам, но не имеет значение для shell.
89.1.5. Имена дисков и разделов
Все физические устройства вашего компьютера отображаются в каталог
/dev файловой системы дистрибутива (об этом — ниже). Диски (в том числе
IDE/
SATA/
SCSI/
SAS жёсткие диски,
USB-диски) имеют имена:
/dev/sda — первый диск;
/dev/sdb — второй диск;
и т.д.
Диски обозначаются /dev/sdX, где X — a, b, c, d, e, … в зависимости от порядкового номера диска на шине.
Раздел диска обозначается числом после его имени. Например, /dev/sdb4 — четвертый раздел второго диска.
89.1.6. Разделы, необходимые для работы ОС
Для работы
ОС на жестком диске (дисках) должны быть созданы, по крайней мере, два раздела: корневой (то есть тот, который будет содержать каталог
/) и раздел подкачки (swap). Размер последнего, как правило, составляет от однократной до двукратной величины оперативной памяти компьютера. Если на диске много свободного места, то можно создать отдельные разделы для каталогов
/usr,
/home,
/var.
89.2. Работа с наиболее часто используемыми компонентами
89.2.1. Виртуальная консоль
Система Альт Рабочая станция предоставляет доступ к виртуальным консолям, с которых можно осуществлять одновременно несколько сеансов работы в системе (login session).
Только что установленная система Альт Рабочая станция, возможно, предоставляет доступ только к первым шести виртуальным консолям, к которым можно обращаться, нажимая комбинации клавиш Alt+F1 — Alt+F6 (Ctrl+Alt+F1 — Ctrl+Alt+F6).
89.2.2. Командные оболочки (интерпретаторы)
Для управления
ОС используются командные интерпретаторы (shell).
Зайдя в систему, Вы увидите приглашение — строку, содержащую символ «
$» (далее этот символ будет обозначать командную строку). Программа ожидает ваших команд. Роль командного интерпретатора — передавать ваши команды операционной системе. По своим функциям он соответствует
command.com в
DOS, но несравненно мощнее. При помощи командных интерпретаторов можно писать небольшие программы — сценарии (скрипты). В Linux доступны следующие командные оболочки:
Проверить, какая оболочка используется в данный момент можно, выполнив команду:
$ echo $SHELL
Оболочкой по умолчанию является
Bash (Bourne Again Shell) — самая распространённая оболочка под Linux, которая ведет историю команд и предоставляет возможность их редактирования. В дальнейшем описании работы с Альт Рабочая станция будут использоваться примеры с использованием этой оболочки.
89.2.3. Командная оболочка Bash
В
Bash имеется несколько приемов для работы со строкой команд. Например, можно использовать следующие сочетания:
Ctrl+A — перейти на начало строки;
Ctrl+U — вырезать/удалить все символы слева от курсора до начала строки в буфер обмена;
Ctrl+C — остановить текущую задачу.
Для ввода нескольких команд одной строкой можно использовать разделитель «;». По истории команд можно перемещаться с помощью клавиш ↑ («вверх») и ↓ («вниз»).
Чтобы найти конкретную команду в списке набранных, не пролистывая всю историю, можно нажать Ctrl+R и начать вводить символы ранее введенной команды.
Для просмотра истории команд можно воспользоваться командой
history. Команды, присутствующие в истории, отображаются в списке пронумерованными. Чтобы запустить конкретную команду необходимо набрать:
!номер команды
Если ввести:
!!
запустится последняя из набранных команд.
В
Bash имеется возможность самостоятельного завершения имен команд из общего списка команд, что облегчает работу при вводе команд, в случае, если имена программ и команд слишком длинны. При нажатии клавиши
Tab Bash завершает имя команды, программы или каталога, если не существует нескольких альтернативных вариантов. Например, чтобы использовать программу декомпрессии
gunzip, можно набрать следующую команду:
gu
Затем нажать клавишу Tab. Так как в данном случае существует несколько возможных вариантов завершения команды, то необходимо повторно нажать клавишу Tab, чтобы получить список имен, начинающихся с gu.
В предложенном примере можно получить следующий список:
$ gu
guile gunzip gupnp-binding-tool
Если набрать: n (gunzip — это единственное имя, третьей буквой которого является «n»), а затем нажать клавишу Tab, то оболочка самостоятельно дополнит имя. Чтобы запустить команду нужно нажать Enter.
Программы, вызываемые из командной строки, Bash ищет в каталогах, определяемых в системной переменной
$PATH. По умолчанию в этот перечень каталогов не входит текущий каталог, обозначаемый
./ (точка слеш) (если только не выбран один из двух самых слабых уровней защиты). Поэтому, для запуска программы из текущего каталога, необходимо использовать команду (в примере запускается команда
prog):
./prog
Простейшая команда состоит из одного «слова», например, команда
cal, выводящая календарь на текущий месяц.
$ cal
Март 2025
Пн Вт Ср Чт Пт Сб Вс
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
89.2.5. Команда и параметры
$ cal 1 2026
Январь 2026
Пн Вт Ср Чт Пт Сб Вс
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
Команда
cal 1 2026 состоит из двух частей — собственно команды
cal и «остального». То, что следует за командой, называется
параметрами (или аргументами), и они вводятся для изменения поведения команды. В большинстве случаев, первое слово считается именем команды, а остальные — её параметрами.
Для решения разных задач одни и те же действия необходимо выполнять по-разному. Например, для синхронизации работ в разных точках земного шара лучше использовать единое для всех время (по Гринвичу), а для организации собственного рабочего дня — местное время (с учётом сдвига по часовому поясу и разницы зимнего и летнего времени). И то, и другое время показывает команда date, только для работы по Гринвичу ей нужен дополнительный параметр -u (он же --universal).
$ date
Чт 13 мар 2025 12:10:52 EET
$ date -u
Чт 13 мар 2025 10:11:05 UTC
Такого рода параметры называются ключами или модификаторами выполнения. Ключ принадлежит данной конкретной команде и сам по себе смысла не имеет. Этим он отличается от других параметров (например, имён файлов, чисел), имеющих собственный смысл, не зависящий ни от какой команды. Каждая команда может распознавать некоторый набор ключей и соответственно изменять своё поведение. Один и тот же ключ может определять для разных команд совершенно разные значения.
Для формата ключей нет жёсткого стандарта, однако существуют договорённости:
Если ключ начинается на -, то это однобуквенный ключ. За -, как правило, следует один символ, чаще всего буква, обозначающая действие или свойство, которое этот ключ придаёт команде. Так проще отличать ключи от других параметров.
Если ключ начинается на --, то он называется полнословным ключом. Полнословный формат ключа начинается на два знака --, за которыми следует полное имя обозначаемого этим ключом содержания.
Некоторые ключи имеют и однобуквенный, и полнословный формат, а некоторые — только полнословный.
Информацию о ресурсах каждой команды можно получить, используя ключ --help. К примеру, получить подсказку о том, что делает команда rm, можно, набрав в терминале rm --help.
89.2.7. Обзор основных команд системы
Все команды, приведенные ниже, могут быть запущены в режиме консоли. Для получения более подробной информации используйте команду
man. Пример:
$ man ls
Параметры команд обычно начинаются с символа «-», и обычно после одного символа «-» можно указать сразу несколько опций. Например, вместо команды ls -l -F можно ввести команду ls -lF
Учетные записи пользователей
- Команда
su
Команда su позволяет изменить «владельца» текущего сеанса (сессии) без необходимости завершать сеанс и открывать новый.
Синтаксис:
su [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
Команду можно применять для замены текущего пользователя на любого другого, но чаще всего она используется для получения пользователем прав суперпользователя (root).
При вводе команды
su - будет запрошен пароль суперпользователя (root), и, в случае ввода корректного пароля, пользователь получит права администратора. Чтобы вернуться к правам пользователя, необходимо ввести команду:
exit
- Команда
id
Команда id выводит информацию о пользователе и группах, в которых он состоит, для заданного пользователя или о текущем пользователе (если ничего не указано).
Синтаксис:
id [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
- Команда
passwd
Команда passwd меняет (или устанавливает) пароль, связанный с входным_именем пользователя.
Обычный пользователь может менять только пароль, связанный с его собственным входным_именем.
Команда запрашивает у обычных пользователей старый пароль (если он был), а затем дважды запрашивает новый. Новый пароль должен соответствовать техническим требованиям к паролям, заданным администратором системы.
Основные операции с файлами и каталогами
- Команда
ls
Команда ls (list) печатает в стандартный вывод содержимое каталогов.
Синтаксис:
ls [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
-a — просмотр всех файлов, включая скрытые;
-l — отображение более подробной информации;
-R — выводить рекурсивно информацию о подкаталогах.
- Команда
cd
Команда cd предназначена для смены каталога. Команда работает как с абсолютными, так и с относительными путями. Если каталог не указан, используется значение переменной окружения $HOME (домашний каталог пользователя). Если каталог задан полным маршрутным именем, он становится текущим. По отношению к новому каталогу нужно иметь право на выполнение, которое в данном случае трактуется как разрешение на поиск.
Синтаксис:
cd [-L|-P] [КАТАЛОГ]
Если в качестве аргумента задано «-», то это эквивалентно $OLDPWD. Если переход был осуществлен по переменной окружения $CDPATH или в качестве аргумента был задан «-» и смена каталога была успешной, то абсолютный путь нового рабочего каталога будет выведен на стандартный вывод.
Примеры:
находясь в домашнем каталоге перейти в его подкаталог
docs/ (относительный путь):
cd docs/
сделать текущим каталог
/usr/bin (абсолютный путь):
cd /usr/bin/
сделать текущим родительский каталог:
cd ..
вернуться в предыдущий каталог:
cd -
сделать текущим домашний каталог:
cd
- Команда
pwd
Команда pwd выводит абсолютный путь текущего (рабочего) каталога.
- Команда
rm
Команда rm служит для удаления записей о файлах. Если заданное имя было последней ссылкой на файл, то файл уничтожается.
Удалив файл, вы не сможете его восстановить!
Синтаксис:
rm [ОПЦИИ...] <ФАЙЛ>
Основные опции:
-f — никогда не запрашивать подтверждения;
-i — всегда запрашивать подтверждение;
-r, -R — рекурсивно удалять содержимое указанных каталогов.
Пример. Удалить все файлы
html в каталоге
~/html:
rm -i ~/html/*.html
- Команда
mkdir
mkdir — команда для создания новых каталогов.
Синтаксис:
mkdir [-p] [-m права] <КАТАЛОГ...>
- Команда
rmdir
Команда rmdir удаляет каталоги из файловой системы. Каталог должен быть пуст перед удалением.
Синтаксис:
rmdir [ОПЦИИ...] <КАТАЛОГ...>
Команда rmdir часто заменяется командой rm -rf, которая позволяет удалять каталоги, даже если они не пусты.
- Команда
cp
Команда cp предназначена для копирования файлов из одного в другие каталоги.
Синтаксис:
cp [-fip] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
cp [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
cp [-R] [[-H] | [-L] | [-P]] [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
Основные опции:
-p — сохранять по возможности времена изменения и доступа к файлу, владельца и группу, права доступа;
-i — запрашивать подтверждение перед копированием в существующие файлы;
-r, -R — рекурсивно копировать содержимое каталогов.
- Команда
mv
Команда mv предназначена для перемещения файлов.
Синтаксис:
mv [-fi] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
mv [-fi] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
В первой синтаксической форме, характеризующейся тем, что последний операнд не является ни каталогом, ни символической ссылкой на каталог, mv перемещает исх_файл в цел_файл (происходит переименование файла).
Во второй синтаксической форме mv перемещает исходные файлы в указанный каталог под именами, совпадающими с краткими именами исходных файлов.
- Команда
cat
Команда cat последовательно выводит содержимое файлов.
Синтаксис:
cat [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
-n, --number — нумеровать все строки при выводе;
-E, --show-ends — показывать $ в конце каждой строки.
Если файл не указан, читается стандартный ввод. Если в списке файлов присутствует имя «-», вместо этого файла читается стандартный ввод.
- Команда
head
Команда head выводит первые 10 строк каждого файла на стандартный вывод.
Синтаксис:
head [ОПЦИИ] [ФАЙЛ...]
Основные опции:
-n, --lines=[-]K — вывести первые К строк каждого файла, а не первые 10;
-q, --quiet — не печатать заголовки с именами файлов.
- Команда
less
Команда less позволяет постранично просматривать текст (для выхода необходимо нажать q).
- Команда
grep
Команда grep имеет много опций и предоставляет возможности поиска символьной строки в файле.
Синтаксис:
grep [шаблон_поиска] <ФАЙЛ>
Поиск файлов
- Команда
find
Команда find предназначена для поиска всех файлов, начиная с корневого каталога. Поиск может осуществляться по имени, типу или владельцу файла.
Синтаксис:
find [-H] [-L] [-P] [-Oуровень] [-D help|tree|search|stat|rates|opt|exec] [ПУТЬ…] [ВЫРАЖЕНИЕ]
Ключи для поиска:
-name — поиск по имени файла;
-type — поиск по типу f=файл, d=каталог, l=ссылка(lnk);
-user — поиск по владельцу (имя или UID).
Когда выполняется команда
find, можно выполнять различные действия над найденными файлами. Основные действия:
-exec команда \; — выполнить команду. Запись команды должна заканчиваться экранированной точкой с запятой. Строка «{}» заменяется текущим маршрутным именем файла;
execdir команда \; — то же самое что и -exec, но команда вызывается из подкаталога, содержащего текущий файл;
-ok команда — эквивалентно -exec за исключением того, что перед выполнением команды запрашивается подтверждение (в виде сгенерированной командной строки со знаком вопроса в конце) и она выполняется только при ответе: «y»;
-print — вывод имени файла на экран.
Путем по умолчанию является текущий подкаталог. Выражение по умолчанию -print.
Примеры:
найти в текущем каталоге обычные файлы (не каталоги), имя которых начинается с символа «~»:
find . -type f -name "~*" -print
найти в текущем каталоге файлы, измененные позже, чем файл
file.bak:
find . -newer file.bak -type f -print
удалить все файлы с именами
a.out или
*.o, доступ к которым не производился в течение недели:
find / \( -name a.out -o -name '*.o' \) \ -atime +7 -exec rm {} \;
удалить из текущего каталога и его подкаталогов все файлы нулевого размера, запрашивая подтверждение:
find . -size 0c -ok rm {} \;
- Команда
whereis
whereis сообщает путь к исполняемому файлу программы, ее исходным файлам (если есть) и соответствующим страницам справочного руководства.
Синтаксис:
whereis [ОПЦИИ...] <ФАЙЛ>
Опции:
-b — вывод информации только об исполняемых файлах;
-m — вывод информации только о страницах справочного руководства;
-s — вывод информации только об исходных файлах.
Мониторинг и управление процессами
- Команда
ps
Команда ps отображает список текущих процессов.
По умолчанию выводится информация о процессах с теми же действующим UID и управляющим терминалом, что и у подающего команду пользователя.
Основные опции:
-a — вывести информацию о процессах, ассоциированных с терминалами;
-f — вывести «полный» список;
-l — вывести «длинный» список;
-p список — вывести информацию о процессах с перечисленными в списке PID;
-u список — вывести информацию о процессах с перечисленными идентификаторами или именами пользователей.
- Команда
kill
Команда kill позволяет прекратить исполнение процесса или передать ему сигнал.
Синтаксис:
kill [-s] [сигнал] [идентификатор] [...]
kill [-l] [статус_завершения]
kill [-номер_сигнала] [идентификатор] [...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Если обычная команда kill не дает желательного эффекта, необходимо использовать команду kill с параметром -9 (kill -9 PID_номер).
- Команда
df
Команда df показывает количество доступного дискового пространства в файловой системе, в которой содержится файл, переданный как аргумент. Если ни один файл не указан, показывается доступное место на всех смонтированных файловых системах. Размеры по умолчанию указаны в блоках по 1КБ.
Синтаксис:
df [ОПЦИИ] [ФАЙЛ...]
Основные опции:
--total — подсчитать общий объем в конце;
-h, --human-readable — печатать размеры в удобочитаемом формате (например, 1K, 234M, 2G).
- Команда
du
Команда du подсчитывает использование диска каждым файлом, для каталогов подсчет происходит рекурсивно.
Синтаксис:
du [ОПЦИИ] [ФАЙЛ...]
Основные опции:
-a, --all — выводить общую сумму для каждого заданного файла, а не только для каталогов;
-c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
-d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
-S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
-s, --summarize — отобразить только сумму для каждого аргумента.
- Команда
which
Команда which отображает полный путь к указанным командам или сценариям.
Синтаксис:
which [ОПЦИИ] <ФАЙЛ...>
Основные опции:
-a, --all — выводит все совпавшие исполняемые файлы по содержимому в переменной окружения $PATH, а не только первый из них;
-c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
-d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
-S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
--skip-dot — пропускает все каталоги из переменной окружения $PATH, которые начинаются с точки.
Использование многозадачности
Альт Рабочая станция — это многозадачная система.
Для того чтобы запустить программу в фоновом режиме, необходимо набрать «&» после имени программы. После этого оболочка даст возможность запускать другие приложения.
Так как некоторые программы интерактивны — их запуск в фоновом режиме бессмысленен. Подобные программы просто остановятся, если их запустить в фоновом режиме.
Можно также запускать нескольких независимых сеансов. Для этого в консоли необходимо набрать Alt и одну из клавиш, находящихся в интервале от F1 до F6. На экране появится новое приглашение системы, и можно открыть новый сеанс. Этот метод также позволяет вам работать на другой консоли, если консоль, которую вы использовали до этого, не отвечает или вам необходимо остановить зависшую программу.
- Команда
bg
Команда bg позволяет перевести задание на задний план.
Синтаксис:
bg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
- Команда
fg
Команда fg позволяет перевести задание на передний план.
Синтаксис:
fg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Сжатие и упаковка файлов
- Команда
tar
Сжатие и упаковка файлов выполняется с помощью команды tar, которая преобразует файл или группу файлов в архив без сжатия (tarfile).
Упаковка файлов в архив чаще всего выполняется следующей командой:
tar -cf [имя создаваемого файла архива] [упаковываемые файлы и/или каталоги]
Пример использования команды упаковки архива:
tar -cf moi_dokumenti.tar Docs project.tex
Распаковка содержимого архива в текущий каталог выполняется командой:
tar -xf [имя файла архива]
Для сжатия файлов используются специальные программы сжатия: gzip, bzip2 и 7z.
89.3. Стыкование команд в системе Linux
89.3.1. Стандартный ввод и стандартный вывод
Многие команды системы имеют так называемые стандартный ввод (standard input) и стандартный вывод (standard output), часто сокращаемые до stdin и stdout. Ввод и вывод здесь — это входная и выходная информация для данной команды. Программная оболочка делает так, что стандартным вводом является клавиатура, а стандартным выводом — экран монитора.
Пример с использованием команды
cat. По умолчанию команда
cat читает данные из всех файлов, которые указаны в командной строке, и посылает эту информацию непосредственно в стандартный вывод (stdout). Следовательно, команда:
cat history-final masters-thesis
выведет на экран сначала содержимое файла
history-final, а затем — файла
masters-thesis.
Если имя файла не указано, команда
cat читает входные данные из stdin и возвращает их в stdout. Пример:
cat
Hello there.
Hello there.
Bye.
Bye.
Ctrl-D
Каждую строку, вводимую с клавиатуры, команда cat немедленно возвращает на экран. При вводе информации со стандартного ввода конец текста сигнализируется вводом специальной комбинации клавиш, как правило, Ctrl+D. Сокращённое название сигнала конца текста — EOT (end of text).
89.3.2. Перенаправление ввода и вывода
При необходимости можно перенаправить стандартный вывод, используя символ >, и стандартный ввод, используя символ <.
Фильтр (filter) — программа, которая читает данные из стандартного ввода, некоторым образом их обрабатывает и результат направляет на стандартный вывод. Когда применяется перенаправление, в качестве стандартного ввода и вывода могут выступать файлы. Как указывалось выше, по умолчанию, stdin и stdout относятся к клавиатуре и к экрану соответственно. Команда sort является простым фильтром — она сортирует входные данные и посылает результат на стандартный вывод. Совсем простым фильтром является команда cat — она ничего не делает с входными данными, а просто пересылает их на выход.
89.3.3. Использование состыкованных команд
Стыковку команд (pipelines) осуществляет командная оболочка, которая stdout первой команды направляет на stdin второй команды. Для стыковки используется символ |. Направить stdout команды
ls на stdin команды
sort:
ls | sort -r
notes
masters-thesis
history-final
english-list
Вывод списка файлов частями:
ls /usr/bin | more
Если необходимо вывести на экран последнее по алфавиту имя файла в текущем каталоге, можно использовать следующую команду:
ls | sort -r | head -1 notes
где команда
head -1 выводит на экран первую строку получаемого ей входного потока строк (в примере поток состоит из данных от команды
ls), отсортированных в обратном алфавитном порядке.
89.3.4. Недеструктивное перенаправление вывода
Эффект от использования символа > для перенаправления вывода файла является деструктивным; т.е, команда
ls > file-list
уничтожит содержимое файла
file-list, если этот файл ранее существовал, и создаст на его месте новый файл. Если вместо этого перенаправление будет сделано с помощью символов >>, то вывод будет приписан в конец указанного файла, при этом исходное содержимое файла не будет уничтожено.
Перенаправление ввода и вывода и стыкование команд осуществляется командными оболочками, которые поддерживают использование символов >, >> и |. Сами команды не способны воспринимать и интерпретировать эти символы.
Глава 90. Средства управления дискреционными правами доступа
Команда chmod предназначена для изменения прав доступа файлов и каталогов.
Синтаксис:
chmod [ОПЦИИ] РЕЖИМ[,РЕЖИМ]... <ФАЙЛ>
chmod [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Основные опции:
-R — рекурсивно изменять режим доступа к файлам, расположенным в указанных каталогах;
--reference=ИФАЙЛ — использовать режим файла ИФАЙЛ.
Команда chmod изменяет права доступа каждого указанного файла в соответствии с правами доступа, указанными в параметре РЕЖИМ. Режим может быть представлен как в символьном виде, так и в числовом (восьмеричном) виде, представляющем битовую маску новых прав доступа.
Формат символьного режима следующий:
[ugoa...][[+-=][разрешения...]...]
Здесь разрешения — это ноль или более букв из набора «rwxXst» или одна из букв из набора «ugo».
Каждый аргумент — это список символьных команд изменения прав доступа, разделеных запятыми. Каждая такая команда начинается с нуля или более букв «ugoa», которые указывают, чьи права доступа к файлу будут изменены:
u — владелец файла;
g — пользователи, входящие в группу, к которой принадлежит файл (за исключением владельца);
o — все остальные пользователи, не являющиеся ни владельцем, ни членами группы;
a — все категории пользователей (u, g и o).
Если не задана ни одна буква, то автоматически будет использована буква «a», но биты, установленные в umask, не будут затронуты.
Права доступа образуют иерархию, исключающую вышестоящие категории. Права группы не включают владельца, а права остальных пользователей не включают ни владельца, ни членов группы.
Операторы:
+ — добавляет выбранные права доступа;
- — удаляет выбранные права доступа;
= — задаёт только указанные права, заменяя существующие.
Буквы «rwxXst» задают биты доступа для пользователей:
r — чтение;
w — запись;
x — выполнение (или поиск для каталогов);
X — выполнение/поиск только если это каталог или файл с установленным битом выполнения;
s — установка битов setuid (для владельца) или setgid (для группы);
t — sticky-бит, предотвращающий удаление другими пользователями.
Числовой режим состоит из не более чем четырёх восьмеричных цифр (от нуля до семи), которые складываются из битовых масок с разрядами «4», «2» и «1». Пропущенные разряды дополняются ведущими нулями:
первый разряд — установка битов setuid (4), setgid (2) и sticky (1);
второй разряд — права доступа файла: чтение (4), запись (2) и выполнение (1);
третий разряд — права доступа для группы: чтение (4), запись (2) и выполнение (1);
четвертый разряд — права доступа для остальных пользователей (не входящих в данную группу): чтение (4), запись (2) и выполнение (1).
Примеры:
установить права, позволяющие владельцу читать и писать в файл
f1, а членам группы и прочим пользователям только читать. Команду можно записать двумя способами:
$ chmod 644 f1
$ chmod u=rw,go=r f1
позволить всем выполнять файл
f2:
$ chmod +x f2
запретить удаление файла
f3:
$ chmod +t f3
дать всем права на чтение запись и выполнение, а также на переустановку идентификатора группы при выполнении файла
f4:
$ chmod =rwx,g+s f4
$ chmod 2777 f4
Команда chown изменяет владельца и/или группу для каждого заданного файла.
Синтаксис:
chown [КЛЮЧ]…[ВЛАДЕЛЕЦ][:[ГРУППА]] <ФАЙЛ>
chown [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Изменить владельца может только владелец файла или суперпользователь.
Владелец не изменяется, если он не задан в аргументе. Группа также не изменяется, если не задана, но если после символьного ВЛАДЕЛЬЦА стоит символ «:», подразумевается изменение группы на основную группу текущего пользователя. Поля ВЛАДЕЛЕЦ и ГРУППА могут быть как числовыми, так и символьными.
Примеры:
поменять владельца каталога
/u на пользователя test:
chown test /u
поменять владельца и группу каталога
/u:
chown test:staff /u
поменять владельца каталога
/u и вложенных файлов на test:
chown -hR test /u
Команда chgrp изменяет группу для каждого заданного файла.
Синтаксис:
chgrp [ОПЦИИ] ГРУППА <ФАЙЛ>
chgrp [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Команда umask задает маску режима создания файла в текущей среде командного интерпретатора равной значению, задаваемому операндом режим. Эта маска влияет на начальное значение битов прав доступа всех создаваемых далее файлов.
Синтаксис:
umask [-p] [-S] [режим]
Пользовательской маске режима создания файлов присваивается указанное восьмеричное значение. Три восьмеричные цифры соответствуют правам на чтение/запись/выполнение для владельца, членов группы и прочих пользователей соответственно. Значение каждой заданной в маске цифры вычитается из соответствующей «цифры», определенной системой при создании файла. Например, umask 022 удаляет права на запись для членов группы и прочих пользователей (у файлов, создававшихся с режимом 777, он оказывается равным 755; а режим 666 преобразуется в 644).
Если маска не указана, выдается ее текущее значение:
$ umask
0022
или то же самое в символьном режиме:
$ umask -S
u=rwx,g=rx,o=rx
Команда umask распознается и выполняется командным интерпретатором bash.
Команда chattr изменяет атрибуты файлов на файловых системах ext3, ext4.
Синтаксис:
chattr [ -RVf ] [+-=aAcCdDeFijmPsStTux] [ -v версия ] <ФАЙЛЫ> …
Опции:
-R — рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки игнорируются;
-V — выводит расширенную информацию и версию программы;
-f — подавлять сообщения об ошибках;
-v версия — установить номер версии/генерации файла.
Формат символьного режима:
+-=aAcCdDeFijmPsStTux
Оператор «+» означает добавление выбранных атрибутов к существующим атрибутам; «-» означает их снятие; «=» означает определение только этих указанных атрибутов для файлов.
Символы «aAcCdDeFijmPsStTux» указывают на новые атрибуты файлов:
a — только добавление к файлу;
A — не обновлять время последнего доступа (atime) к файлу;
c — сжатый файл;
C — отключение режима «Copy-on-write» для указанного файла;
d — не архивировать (отключает создание архивной копии файла командой dump);
D — синхронное обновление каталогов;
e — включает использование extent при выделении места на устройстве (атрибут не может быть отключён с помощью chattr);
F — регистронезависимый поиск в каталогах;
i — неизменяемый файл (файл защищен от изменений: не может быть удалён или переименован, к этому файлу не могут быть созданы ссылки, и никакие данные не могут быть записаны в этот файл);
j — ведение журнала данных (данные файла перед записью будут записаны в журнал ext3/ext4);
m — не сжимать;
P — каталог с вложенными файлами является иерархической структурой проекта;
s — безопасное удаление (перед удалением все содержимое файла полностью затирается «00»);
S — синхронное обновление (аналогичен опции монтирования «sync» файловой системы);
t — отключает метод tail-merging для файлов;
T — вершина иерархии каталогов;
u — неудаляемый (при удалении файла его содержимое сохраняется, это позволяет пользователю восстановить файл);
x — прямой доступ к файлам (атрибут не может быть установлен с помощью chattr).
Команда lsattr выводит атрибуты файла расширенной файловой системы.
Синтаксис:
lsattr [ -RVadlpv ] <ФАЙЛЫ> …
Опции:
-R — рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки игнорируются;
-V — выводит расширенную информацию и версию программы;
-a — просматривает все файлы в каталоге, включая скрытые файлы (имена которых начинаются с «.»);
-d — отображает каталоги так же, как и файлы вместо того, чтобы просматривать их содержимое;
-l — отображает параметры, используя длинные имена вместо одного символа;
-p — выводит номер проекта файла;
-v — выводит номер версии/генерации файла.
Команда getfacl выводит атрибуты файла расширенной файловой системы.
Синтаксис:
getfacl [ --aceEsRLPtpndvh ] <ФАЙЛ> …
Опции:
-a — вывести только ACL файла;
-d — вывести только ACL по умолчанию;
-c — не показывать заголовок (имя файла);
-e — показывать все эффективные права;
-E — не показывать эффективные права;
-s — пропускать файлы, имеющие только основные записи;
-R — для подкаталогов рекурсивно;
-L — следовать по символическим ссылкам, даже если они не указаны в командной строке;
-P — не следовать по символическим ссылкам, даже если они указаны в командной строке;
-t — использовать табулированный формат вывода;
-p — не удалять ведущие «/» из пути файла;
-n — показывать числовые значения пользователя/группы.
Формат вывода:
1: # file: somedir/
2: # owner: lisa
3: # group: staff
4: # flags: -s-
5: user::rwx
6: user:joe:rwx #effective:r-x
7: group::rwx #effective:r-x
8: group:cool:r-x
9: mask:r-x
10: other:r-x
11: default:user::rwx
12: default:user:joe:rwx #effective:r-x
13: default:group::r-x
14: default:mask:r-x
15: default:oter:---
Строки 1 — 3 указывают имя файла, владельца и группу владельцев.
В строке 4 указаны биты setuid (s), setgid (s) и sticky (t): либо буква, обозначающая бит, либо тире (-). Эта строка включается, если какой-либо из этих битов установлен, и опускается в противном случае, поэтому она не будет отображаться для большинства файлов.
Строки 5, 7 и 10 относятся к традиционным битам прав доступа к файлу, соответственно, для владельца, группы-владельца и всех остальных. Эти три элемента являются базовыми. Строки 6 и 8 являются элементами для отдельных пользователя и группы. Строка 9 — маска эффективных прав. Этот элемент ограничивает эффективные права, предоставляемые всем группам и отдельным пользователям. Маска не влияет на права для владельца файла и всех других. Строки 11 — 15 показывают ACL по умолчанию, ассоциированный с данным каталогом.
Команда setfacl изменяет ACL к файлам или каталогам. В командной строке за последовательностью команд идет последовательность файлов (за которой, в свою очередь, также может идти последовательность команд и так далее).
Синтаксис:
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] <ФАЙЛ> …
setfacl --restore=file
Опции:
-b — удалить все разрешенные записи ACL;
-k — удалить ACL по умолчанию;
-n — не пересчитывать маску эффективных прав, обычно setfacl пересчитывает маску (кроме случая явного задания маски) для того, чтобы включить ее в максимальный набор прав доступа элементов, на которые воздействует маска (для всех групп и отдельных пользователей);
-d — применить ACL по умолчанию;
-R — для подкаталогов рекурсивно;
-L — переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с -R);
-P — не переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с -R);
-L — следовать по символическим ссылкам, даже если они не указаны в командной строке;
-P — не следовать по символическим ссылкам, даже если они указаны в командной строке;
--mask — пересчитать маску эффективных прав;
-m — изменить текущий ACL для файла;
-M — прочитать записи ACL для модификации из файла;
-x — удалить записи из ACL файла;
-X — прочитать записи ACL для удаления из файла;
--restore=file — восстановить резервную копию прав доступа, созданную командой getfacl –R или ей подобной. Все права доступа дерева каталогов восстанавливаются, используя этот механизм. В случае если вводимые данные содержат элементы для владельца или группы-владельца, и команда setfacl выполняется пользователем с именем root, то владелец и группа-владелец всех файлов также восстанавливаются. Эта опция не может использоваться совместно с другими опциями за исключением опции --test;
--set=acl — установить ACL для файла, заменив текущий ACL;
--set-file=file — прочитать записи ACL для установления из файла;
--test — режим тестирования (ACL не изменяются).
При использовании опций --set, -m и -x должны быть перечислены записи ACL в командной строке. Элементы ACL разделяются одинарными кавычками.
При чтении ACL из файла при помощи опций -set-file, -M и -X команда setfacl принимает множество элементов в формате вывода команды getfacl. В строке обычно содержится не больше одного элемента ACL.
Команда
setfacl использует следующие форматы элементов ACL:
права доступа отдельного пользователя (если не задан UID, то права доступа владельца файла):
[d[efault]:] [u[ser]:]uid [:perms]
права доступа отдельной группы (если не задан GID, то права доступа группы-владельца):
[d[efault]:] g[roup]:gid [:perms]
маска эффективных прав:
[d[efault]:] m[ask][:] [:perms]
права доступа всех остальных:
[d[efault]:] o[ther][:] [:perms]
Элемент ACL является абсолютным, если он содержит поле perms и является относительным, если он включает один из модификаторов: «+» или «^». Абсолютные элементы могут использоваться в операциях установки или модификации ACL. Относительные элементы могут использоваться только в операции модификации ACL. Права доступа для отдельных пользователей, группы, не содержащие никаких полей после значений UID, GID (поле perms при этом отсутствует), используются только для удаления элементов.
Значения UID и GID задаются именем или числом. Поле perms может быть представлено комбинацией символов «r», «w», «x», «-» или цифр (0 — 7).
Изначально файлы и каталоги содержат только три базовых элемента ACL: для владельца, группы-владельца и всех остальных пользователей. Существует ряд правил, которые следует учитывать при установке прав доступа:
не могут быть удалены сразу три базовых элемента, должен присутствовать хотя бы один;
если ACL содержит права доступа для отдельного пользователя или группы, то ACL также должен содержать маску эффективных прав;
если ACL содержит какие-либо элементы ACL по умолчанию, то в последнем должны также присутствовать три базовых элемента (т. е. права доступа по умолчанию для владельца, группы-владельца и всех остальных);
если ACL по умолчанию содержит права доступа для всех отдельных пользователей или групп, то в ACL также должна присутствовать маска эффективных прав.
Для того чтобы помочь пользователю выполнять эти правила, команда
setfacl создает права доступа, используя уже существующие, согласно следующим условиям:
если права доступа для отдельного пользователя или группы добавлены в ACL, а маски прав не существует, то создается маска с правами доступа группы-владельца;
если создан элемент ACL по умолчанию, а трех базовых элементов не было, тогда делается их копия и они добавляются в ACL по умолчанию;
если ACL по умолчанию содержит какие-либо права доступа для конкретных пользователя или группы и не содержит маску прав доступа по умолчанию, то при создании эта маска будет иметь те же права, что и группа по умолчанию.
Пример. Изменить разрешения для файла
test.txt, принадлежащего пользователю liza и группе docs, так, чтобы:
Исходные данные
$ ls -l test.txt
-rw-r-r-- 1 liza docs 8 янв 22 15:54 test.txt
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
group::r--
other::r--
Установить разрешения (от пользователя liza):
$ setfacl -m u:ivan:rw- test.txt
$ setfacl -m u:misha:--- test.txt
Просмотреть разрешения (от пользователя liza):
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
user:ivan:rw-
user:misha:---
group::r--
mask::rw-
other::r--
Символ «+» (плюс) после прав доступа в выводе команды
ls -l указывает на использование ACL:
$ ls -l test.txt
-rw-rw-r--+ 1 liza docs 8 янв 22 15:54 test.txt
Etcnet (/etc/net) — это система управления настройками сети, которая использует каталог /etc/net для хранения конфигурационных файлов. В дистрибутивах ALT она заменяет или дополняет стандартные механизмы, такие как ifupdown, и предоставляет более гибкую модель настройки интерфейсов, VLAN, мостов, туннелей и других сетевых сущностей.
91.1. Конфигурационные файлы
Каталог /etc/net/ содержит конфигурацию сетевых интерфейсов в декларативном виде, где каждый интерфейс описывается через набор параметров.
Для редактирования конфигурационных файлов требуются права root. Ошибки в настройках могут привести к потере сетевого подключения.
Основные подкаталоги и файлы:
ifaces — каталог с подкаталогами для каждого сетевого интерфейса:
default — базовые настройки, общие для всех интерфейсов (не привязаны к конкретному устройству);
enp0s3 — настройки для интерфейса enp0s3;
lo — настройки для локального интерфейса (loopback);
unknown — шаблоны для интерфейсов, для которых нет отдельного каталога.
Количество подкаталогов зависит от числа настроенных интерфейсов.
options.d — каталог с общими настройками etcnet. Файлы (например, 00-default) читаются в алфавитном порядке. Позволяют задать глобальные параметры;
scripts — каталог с пользовательскими скриптами, которые выполняются при поднятии или остановке интерфейсов;
sysctl.conf — файл с параметрами ядра (sysctl), применяемыми после активации интерфейсов.
Конфигурационные файлы интерфейса располагаются в каталоге /etc/net/ifaces/<название интерфейса>.
Основные файлы, используемые для настройки сетевых интерфейсов:
options — основные параметры интерфейса;
ipv4address — IP-адрес и маска сети;
ipv4route — маршрут по умолчанию;
resolv.conf — DNS-серверы и домены.
Пример файла
options для получения настроек сети по DHCP (если в сети развернут DHCP-сервер):
BOOTPROTO=dhcp
TYPE=eth
NM_CONTROLLED=no
DISABLED=no
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
SYSTEMD_CONTROLLED=no
ONBOOT=yes
CONFIG_IPV6=no
где:
BOOTPROTO — способ получения IP-адреса:
static — статический адрес (из файла ipv4address);
dhcp — автоматически через DHCP;
ipv4ll — адрес link-local из диапазона 169.254.0.0/16.
TYPE — тип соединения:
eth — Ethernet (проводное);
bri — Ethernet-мост (bridge);
bond — агрегация (объединение интерфейсов);
vlan — VLAN-интерфейс.
NM_CONTROLLED — управляется ли интерфейс NetworkManager (yes/no);
DISABLED — отключен ли интерфейс (yes/no);
CONFIG_WIRELESS — беспроводной интерфейс (yes/no);
CONFIG_IPV4 — включена ли поддержка IPv4 (yes/no);
SYSTEMD_CONTROLLED — управляется ли интерфейс systemd-networkd (yes/no);
ONBOOT — активировать при загрузке (yes/no);
CONFIG_IPV6 — включена ли поддержка IPv6 (yes/no).
Таблица 91.1. Сетевая подсистема и параметры файла options
|
Сетевая подсистема
|
DISABLED
|
NM_CONTROLLED
|
SYSTEMD_CONTROLLED
|
BOOTPROTO
|
|
Etcnet
|
no
|
no
|
no
|
|
|
NetworkManager (etcnet)
|
yes
|
yes
|
no
|
static (файл ipv4address должен существовать) или dhcp
|
|
NetworkManager (native)
|
yes
|
yes
|
no
|
static (файл ipv4address должен быть удалён)
|
|
Интерфейс не контролируется
|
yes
|
no
|
no
|
|
91.2. Управление и диагностика сетевых интерфейсов
91.2.1. Просмотр информации
В данном разделе приведены команды для диагностики и отображения состояния сети. Они не изменяют конфигурацию.
Просмотр информации о состоянии сетевых интерфейсов:
$ ip link show
Показывает все интерфейсы, их состояние (UP/DOWN), MAC-адреса.
Просмотр информации об IP-адресах всех сетевых интерфейсов:
$ ip address
Подробный вывод: IPv4, IPv6, маски, интерфейсы. Пример вывода:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:19:a1:7d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.134/24 brd 192.168.0.255 scope global dynamic noprefixroute enp0s3
valid_lft 22677sec preferred_lft 19527sec
где:
enp0s3 — имя сетевого интерфейса;
08:00:27:19:a1:7d — MAC-адрес сетевой карты;
192.168.0.134/24 — IP-адрес и маска.
Команда:
$ ip -br addr
Это сокращённая версия
ip addr, которая выводит краткую информацию о всех интерфейсах: имя, состояние, IP-адрес и маску. Пример вывода:
lo UNKNOWN 127.0.0.1/8
enp0s3 UNKNOWN 192.168.1.60/24
enp0s8 UP
enp0s9 UP
enp0s10 UP
bond0 UP 192.168.1.62/24
br0 UP 192.168.1.61/24
UP — интерфейс активен; DOWN — выключен; UNKNOWN — состояние не определено.
Просмотр информации о конкретном интерфейсе:
$ ip address show enp0s3
Пример вывода:
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:19:a1:7d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.134/24 brd 192.168.0.255 scope global enp0s3
valid_lft forever preferred_lft forever
Вывести таблицу маршрутизации:
$ ip route
Пример вывода:
default via 192.168.0.10 dev enp0s3 proto static metric 100
192.168.0.0/24 dev enp0s3 proto kernel scope link src 192.168.0.134 metric 100
Показывает маршруты, включая шлюз по умолчанию.
Вывести ARP-таблицу:
$ ip neigh show
Пример вывода:
192.168.0.30 dev enp0s3 lladdr 00:11:32:3b:78:10 STALE
192.168.0.32 dev enp0s3 lladdr 20:1a:06:ce:f0:01 REACHABLE
192.168.0.2 dev enp0s3 lladdr 6c:3b:6b:df:79:94 STALE
Отображает соответствие IP → MAC в локальной сети.
Вывести статистику интерфейсов:
$ ip -s link
Показывает количество переданных/принятых пакетов, ошибки, сброшенные пакеты.
91.2.2. Управление сетевыми интерфейсами
Для управления настроенными сетевыми интерфейсами можно использовать следующие команды:
# ifup <имя_интерфейса> # включить указанный интерфейс
# ifdown <имя_интерфейса> # выключить указанный интерфейс
Пример:
# ifup enp0s3
# ifdown br0
Эти команды управляют интерфейсами только в текущей сессии. После перезагрузки системы или перезапуска сервиса network состояние интерфейсов восстанавливается в соответствии с конфигурацией.
Чтобы отключить или включить автозапуск интерфейса при старте системы, необходимо изменить значение параметра ONBOOT в файле options, расположенного в каталоге интерфейса /etc/net/ifaces/<название интерфейса>/.
Пример отключения интерфейсов br0, bond0, enp0s8:
# ifdown br0 && ifdown bond0 && ifdown enp0s8
Включение ранее отключённых интерфейсов:
# ifup enp0s8 && ifup br0 && ifup bond0
Следует убедиться, что физические интерфейсы (например, enp0s8) подняты до поднятия моста или bonding-интерфейса.
В данном разделе приведены команды для временного изменения сетевой конфигурации. Изменения не сохраняются после перезагрузки. Для постоянной настройки необходимо внести изменения в /etc/net/ifaces/.
Включить/выключить интерфейс:
# ip link set enp0s3 up
# ip link set enp0s3 down
Аналог
ifup/
ifdown.
Назначить/удалить IP:
# ip addr add 192.168.0.100/24 dev enp0s3
# ip addr del 192.168.0.100/24 dev enp0s3
Добавить/удалить маршрут:
# ip route add default via 192.168.0.1 dev enp0s3
# ip route add 10.0.0.0/8 via 192.168.0.1
# ip route del default
Применить постоянную конфигурацию:
# systemctl restart network
Применяет настройки из
/etc/net/ifaces/.
Сервис
network поддерживает следующие команды:
start — запускает все постоянные интерфейсы. Hotplug-интерфейсы настраиваются при событии;
startwith <профиль> — запускает с указанным профилем, а не автоматически определённым;
stop — останавливает все постоянные интерфейсы;
stopwith <профиль> — останавливает с указанным профилем;
restart — эквивалентно stop + start;
restartwith <профиль> — перезапускает в контексте указанного профиля;
switchto <профиль> — переключается на указанный профиль (аналог stop + startwith);
reload — перезагружает конфигурацию активных интерфейсов (без остановки);
check — проверяет целостность конфигурационных файлов.
91.3. Настройка статического IP-адреса
Пример настройки статического IP-адреса на интерфейсе enp0s3:
Установить BOOTPROTO=static в файле options.
Создать файл
ipv4address с IP-адресом:
# echo "192.168.0.60/24" > /etc/net/ifaces/enp0s3/ipv4address
Создать файл
ipv4route с маршрутом по умолчанию:
# echo "default via 192.168.0.1" > /etc/net/ifaces/enp0s3/ipv4route
При необходимости указать DNS-серверы в
resolv.conf:
# echo "nameserver 192.168.0.1" > /etc/net/ifaces/enp0s3/resolv.conf
# echo "nameserver 8.8.8.8" >> /etc/net/ifaces/enp0s3/resolv.conf
> — перезаписывает файл, >> — добавляет строку в конец файла.
Применить изменения:
# systemctl restart network
Проверить результат:
$ ip addr show enp0s3
$ ip route
Пример вывода ip addr show enp0s3:
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 08:00:27:19:a1:7d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.60/24 brd 192.168.0.255 scope global dynamic noprefixroute enp0s3
valid_lft 22677sec preferred_lft 19527sec
Пример вывода ip route:
default via 192.168.0.1 dev enp0s3
192.168.0.0/24 dev enp0s3 proto kernel scope link src 192.168.0.60
91.4. Настройка сетевого моста
Сетевой мост — это программный аналог физического коммутатора L2. Мост объединяет физические и виртуальные сетевые интерфейсы в один широковещательный домен, позволяя виртуальным машинам (ВМ) и контейнерам взаимодействовать друг с другом и с внешней сетью.
Пример настройки сетевого моста br0, в который будет включён физический интерфейс enp0s8:
Создать или изменить файл
options в каталоге
/etc/net/ifaces/enp0s8/:
# cat <<EOF > /etc/net/ifaces/enp0s8/options
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES
EOF
Удалить файлы с IP-адресами и маршрутами:
# rm -f /etc/net/ifaces/enp0s8/{i,r}*
Если интерфейс ранее имел IP-адрес, он должен быть удалён, так как IP-адрес назначается самому мосту, а не входящим в него интерфейсам.
Создать каталог для интерфейса моста:
# mkdir /etc/net/ifaces/br0
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/br0/options
BOOTPROTO=static
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
HOST='enp0s8'
ONBOOT=yes
TYPE=bri
EOF
HOST='enp0s8' — указывает, какие интерфейсы входят в мост.
Все интерфейсы, входящие в мост, должны быть перечислены в параметре HOST в настройках моста.
В параметре
HOST можно указать несколько интерфейсов:
HOST='enp0s8 enp0s9'
Создать файл
ipv4address с IP-адресом интерфейса br0:
# echo "192.168.0.61/24" > /etc/net/ifaces/br0/ipv4address
Создать файл
ipv4route с адресом шлюза:
# echo "default via 192.168.0.1" > /etc/net/ifaces/br0/ipv4route
Применить изменения:
# systemctl restart network
Проверить результат:
$ ip addr show br0
Пример вывода:
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:3f:57:63 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.61/24 scope global br0
valid_lft forever preferred_lft forever
Показать все интерфейсы:
$ ip addr
Пример вывода:
…
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UNKNOWN group default qlen 1000
link/ether 08:00:27:3f:57:63 brd ff:ff:ff:ff:ff:ff
8: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:3f:57:63 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.61/24 scope global br0
valid_lft forever preferred_lft forever
…
Интерфейс enp0s8 имеет флаг master br0 — это означает, что он включён в мост.
91.5. Настройка объединения интерфейсов (bonding)
Объединение интерфейсов (bonding) — это технология, позволяющая объединить два и более физических сетевых интерфейса в один логический для повышения отказоустойчивости (если один интерфейс выходит из строя, трафик переключается на другой) или увеличения пропускной способности (в режимах балансировки нагрузки).
Таблица 91.2. Режимы агрегации Linux Bond
|
Режим
|
Название
|
Описание
|
Отказоустойчивость
|
Балансировка нагрузки
|
|
balance-rr или mode=0
|
Round-robin
|
Режим циклического выбора активного интерфейса для трафика. Пакеты последовательно передаются и принимаются через каждый интерфейс один за другим. Данный режим не требует применения специальных коммутаторов
|
Да
|
Да
|
|
active-backup или mode=1
|
Active Backup
|
В этом режиме активен только один интерфейс, остальные находятся в режиме горячей замены. Если активный интерфейс выходит из строя, его заменяет резервный. MAC-адрес интерфейса виден извне только на одном сетевом адаптере, что предотвращает путаницу в сетевом коммутаторе. Это самый простой режим, работает с любым оборудованием, не требует применения специальных коммутаторов
|
Да
|
Нет
|
|
balance-xor или mode=2
|
XOR
|
Один и тот же интерфейс работает с определённым получателем. Передача пакетов распределяется между интерфейсами на основе формулы ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Режим не требует применения специальных коммутаторов. Этот режим обеспечивает балансировку нагрузки и отказоустойчивость
|
Да
|
Да
|
|
broadcast или mode=3
|
Широковещательный
|
Трафик идёт через все интерфейсы одновременно
|
Да
|
Нет
|
|
LACP (802.3ad) или mode=4
|
Агрегирование каналов по стандарту IEEE 802.3ad
|
В группу объединяются одинаковые по скорости и режиму интерфейсы. Все физические интерфейсы используются одновременно в соответствии со спецификацией IEEE 802.3ad. Для реализации этого режима необходима поддержка на уровне драйверов сетевых карт и коммутатор, поддерживающий стандарт IEEE 802.3ad (коммутатор требует отдельной настройки)
|
Да
|
Да
|
|
balance-tlb или mode=5
|
Адаптивная балансировка нагрузки при передаче
|
Исходящий трафик распределяется в соответствии с текущей нагрузкой (с учетом скорости) на интерфейсах (для данного режима необходима его поддержка в драйверах сетевых карт). Входящие пакеты принимаются только активным сетевым интерфейсом
|
Да
|
Да (исходящий трафик)
|
|
balance-alb или mode=6
|
Адаптивная балансировка нагрузки
|
Включает в себя балансировку исходящего трафика, плюс балансировку на приём (rlb) для IPv4 трафика и не требует применения специальных коммутаторов (балансировка на приём достигается на уровне протокола ARP, перехватом ARP ответов локальной системы и перезаписью физического адреса на адрес одного из сетевых интерфейсов, в зависимости от загрузки)
|
Да
|
Да
|
Таблица 91.3. Режимы выбора каналов при организации балансировки нагрузки
|
Режим
|
Описание
|
|
layer2
|
Канал для отправки пакета однозначно определяется комбинацией MAC-адреса источника и MAC-адреса назначения. Трафик между определённой парой узлов всегда идёт по одному каналу. Алгоритм совместим с IEEE 802.3ad. Этот режим используется по умолчанию
|
|
layer2+3
|
Канал для отправки пакета определяется по совокупности MAC- и IP-адресов источника и назначения. Трафик между определённой парой IP-хостов всегда идёт по одному каналу (обеспечивается более равномерная балансировка трафика, особенно в случае, когда большая его часть передаётся через промежуточные маршрутизаторы). Для протоколов 3 уровня, отличных от IP, данный алгоритм равносилен layer2. Алгоритм совместим с IEEE 802.3ad
|
|
layer3+4
|
Канал для отправки пакета определяется по совокупности IP-адресов и номеров портов источника и назначения (трафик определённого узла может распределяться между несколькими каналами, но пакеты одного и того же TCP/UDP-соединения всегда передаются по одному и тому же каналу). Для фрагментированных пакетов TCP и UDP, а также для всех прочих протоколов 4 уровня, учитываются только IP-адреса. Для протоколов 3 уровня, отличных от IP, данный алгоритм равносилен layer2. Алгоритм не полностью совместим с IEEE 802.3ad
|
Пример настройки объединения (bond) интерфейсов enp0s9 и enp0s10 в логический интерфейс bond0 с режимом active-backup:
Создать или изменить файлы
options для каждого интерфейса (enp0s9 и enp0s10):
# cat <<EOF > /etc/net/ifaces/enp0s9/options
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES
EOF
# cat <<EOF > /etc/net/ifaces/enp0s10/options
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES
EOF
Удалить IP-адреса и маршруты:
# rm -f /etc/net/ifaces/enp0s9/{i,r}*
# rm -f /etc/net/ifaces/enp0s10/{i,r}*
Создать каталог для интерфейса bond0:
# mkdir /etc/net/ifaces/bond0
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/bond0/options
BOOTPROTO=static
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
HOST='enp0s9 enp0s10'
ONBOOT=yes
TYPE=bond
BONDOPTIONS='miimon=100'
BONDMODE=1
EOF
где:
BONDMODE=1 — режим агрегации Active Backup;
HOST='enp0s9 enp0s10' — интерфейсы, входящие в объединение;
miimon=100 — интервал проверки состояния линка (100 мс).
Создать файл
ipv4address с IP-адресом для интерфейса bond0:
# echo "192.168.0.62/24" > /etc/net/ifaces/bond0/ipv4address
Создать файл маршрутов
ipv4route:
# echo "default via 192.168.0.1" > /etc/net/ifaces/bond0/ipv4route
Применить изменения:
# systemctl restart network
Проверить результат:
просмотр статуса bonding:
$ cat /proc/net/bonding/bond0
Пример вывода:
Ethernet Channel Bonding Driver: v6.12.41-6.12-alt1
Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: enp0s10
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0
Peer Notification Delay (ms): 0
Slave Interface: enp0s10
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 08:00:27:51:a2:b4
Slave queue ID: 0
Slave Interface: enp0s9
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 08:00:27:76:e2:b7
Slave queue ID: 0
просмотр интерфейса bond0:
$ ip addr show bond0
Пример вывода:
9: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.62/24 scope global bond0
valid_lft forever preferred_lft forever
просмотр всех интерфейсов:
$ ip addr
Пример вывода:
…
4: enp0s9: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bond0 state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff permaddr 08:00:27:76:e2:b7
5: enp0s10: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc fq_codel master bond0 state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff
9: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:51:a2:b4 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.62/24 scope global bond0
valid_lft forever preferred_lft forever
…
Флаги SLAVE и MASTER подтверждают корректную настройку.
VLAN (Virtual Local Area Network) — это сетевой стандарт IEEE 802.1Q, позволяющий создавать логически изолированные сетевые сегменты на одном физическом интерфейсе. Это используется для разделения трафика между разными сетями (например, LAN, DMZ, VoIP).
Идентификатор VLAN (VID) может принимать значения от 1 до 4095. Следует обратить внимание, что 4094 является верхней допустимой границей идентификатора VLAN, а 4095 зарезервирован для внутренних нужд (например, отбрасывание трафика с недопустимыми тегами).
Пример настройки VLAN с ID 100 на интерфейсе enp0s3:
Создать каталог для VLAN с идентификатором enp0s3.100:
# mkdir /etc/net/ifaces/enp0s3.100
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/enp0s3.100/options
BOOTPROTO=static
CONFIG_WIRELESS=no
CONFIG_IPV4=yes
HOST=enp0s3
ONBOOT=yes
TYPE=vlan
VID=100
EOF
где:
Создать файл
ipv4address с IP-адресом для интерфейса enp0s3.100:
# echo "192.168.10.63/24" > /etc/net/ifaces/enp0s3.100/ipv4address
Создать файл
ipv4route с маршрутом по умолчанию для интерфейса enp0s3.100:
# echo "default via 192.168.10.1" > /etc/net/ifaces/enp0s3.100/ipv4route
Применить изменения:
# systemctl restart network
Показать VLAN-интерфейс:
$ ip addr show enp0s3.100
Пример вывода:
12: enp0s3.100@enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:06:39:4d brd ff:ff:ff:ff:ff:ff
inet 192.168.10.63/24 scope global enp0s3.100
valid_lft forever preferred_lft forever
Показать все интерфейсы:
$ ip addr
Пример вывода:
…
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 …
inet 192.168.0.60/24 brd 192.168.0.255 scope global enp0s3
12: enp0s3.100@enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 …
inet 192.168.10.63/24 scope global enp0s3.100
…
91.6.1. Q-in-Q интерфейс
Q-in-Q (802.1Q-in-802.1Q) — технология, позволяющая инкапсулировать один VLAN-тег в другой. Используется в провайдерских сетях для передачи трафика клиентов с сохранением их внутренней структуры VLAN.
Пример настройки Q-in-Q интерфейса enp0s3.100.200 (внешняя метка — 100, внутренняя — 200):
Создать каталог для Q-in-Q интерфейса:
# mkdir /etc/net/ifaces/enp0s3.100.200
Создать файл
options:
# cat <<EOF > /etc/net/ifaces/enp0s3.100.200/options
BOOTPROTO=static
HOST=enp0s3.100
TYPE=vlan
VID=200
VLAN_REORDER_HDR=0
EOF
где:
HOST=enp0s3.100 — указывает на внешний VLAN-интерфейс;
VID=200 — внутренний (клиентский) VLAN;
VLAN_REORDER_HDR=0 — отключает переупорядочивание заголовков (важно для Q-in-Q).
Создать файл
ipv4address с IP-адресом для интерфейса enp0s3.100.200:
# echo "192.168.20.64/24" > /etc/net/ifaces/enp0s3.100.200/ipv4address
Создать файл
ipv4route с настройкой маршрута:
# echo "default via 192.168.20.1" > /etc/net/ifaces/enp0s3.100.200/ipv4route
Применить изменения:
# systemctl restart network
Показать Q-in-Q интерфейс:
$ ip addr show enp0s3.100.200
Пример вывода:
16: enp0s3.100.200@enp0s3.100: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 08:00:27:06:39:4d brd ff:ff:ff:ff:ff:ff
inet 192.168.20.64/24 scope global enp0s3.100.200
valid_lft forever preferred_lft forever
Показать все интерфейсы:
$ ip addr
Пример вывода:
…
2: enp0s3: … inet 192.168.0.60/24
15: enp0s3.100@enp0s3: … inet 192.168.10.63/24
16: enp0s3.100.200@enp0s3.100: … inet 192.168.20.64/24
…
Интерфейс enp0s3.100.200 «привязан» к enp0s3.100, что соответствует Q-in-Q.
Глава 92. Режим суперпользователя
92.1. Какие бывают пользователи?
Linux — система многопользовательская, а потому пользователь — ключевое понятие для организации всей системы доступа в Linux. Файлы всех пользователей в Linux хранятся раздельно, у каждого пользователя есть собственный домашний каталог, в котором он может хранить свои данные. Доступ других пользователей к домашнему каталогу пользователя может быть ограничен.
Суперпользователь в Linux — это выделенный пользователь системы, на которого не распространяются ограничения прав доступа. Именно суперпользователь имеет возможность произвольно изменять владельца и группу файла. Ему открыт доступ на чтение и запись к любому файлу или каталогу системы.
Среди учётных записей Linux всегда есть учётная запись суперпользователя — root. Поэтому вместо «суперпользователь» часто говорят «root». Множество системных файлов принадлежат root, множество файлов только ему доступны для чтения или записи. Пароль этой учётной записи — одна из самых больших драгоценностей системы. Именно с её помощью системные администраторы выполняют самую ответственную работу.
92.2. Для чего может понадобиться режим суперпользователя?
Системные утилиты, например, такие, как Центр управления системой или Timeshift требуют для своей работы привилегий суперпользователя, потому что они вносят изменения в системные файлы. При их запуске выводится диалоговое окно с запросом пароля системного администратора.
92.3. Как получить права суперпользователя?
Для опытных пользователей, умеющих работать с командной строкой, существует два различных способа получить права суперпользователя.
Первый — это зарегистрироваться в системе под именем root.
Второй способ — воспользоваться специальной утилитой su (shell of user), которая позволяет выполнить одну или несколько команд от лица другого пользователя. По умолчанию эта утилита выполняет команду sh от пользователя root, то есть запускает командный интерпретатор. Отличие от предыдущего способа в том, что всегда известно, кто именно запускал su, а значит, ясно, кто выполнил определённое административное действие.
В некоторых случаях удобнее использовать не su, а утилиту sudo, которая позволяет выполнять только заранее заданные команды.
Для того чтобы воспользоваться командами su и sudo, необходимо быть членом группы wheel. Пользователь, созданный при установке системы, по умолчанию уже включён в эту группу.
В дистрибутивах Альт для управления доступом к важным службам используется подсистема control. control — механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор.
Команда
control доступна только для суперпользователя (root). Для того чтобы посмотреть, что означает та или иная политика
control (разрешения выполнения конкретной команды, управляемой
control), надо запустить команду с ключом help:
# control su help
Запустив
control без параметров, можно увидеть полный список команд, управляемых командой (facilities) вместе с их текущим состоянием и набором допустимых состояний.
92.4. Как перейти в режим суперпользователя?
Для перехода в режим суперпользователя наберите в терминале команду (
минус важен!):
su -
Если воспользоваться командой su без ключа, то происходит вызов командного интерпретатора с правами root. При этом значение переменных окружения, в частности $PATH, остаётся таким же, как у пользователя: в переменной $PATH не окажется каталогов /sbin, /usr/sbin, без указания полного имени будут недоступны команды route, shutdown, mkswap и другие. Более того, переменная $HOME будет указывать на каталог пользователя, все программы, запущенные в режиме суперпользователя, сохранят свои настройки с правами root в каталоге пользователя, что в дальнейшем может вызвать проблемы.
Чтобы избежать этого, следует использовать su -. В этом режиме su запустит командный интерпретатор в качестве login shell, и он будет вести себя в точности так, как если бы в системе зарегистрировался root.
Глава 93. Управление пользователями
Пользователи и группы внутри системы обозначаются цифровыми идентификаторами —
UID и
GID, соответственно.
Пользователь может входить в одну или несколько групп. По умолчанию он входит в группу, совпадающую с его именем. Чтобы узнать, в какие еще группы входит пользователь, введите команду
id, вывод её может быть примерно следующим:
uid=1000(test) gid=1000(test) группы=1000(test),16(rpm)
Такая запись означает, что пользователь test (цифровой идентификатор 1000) входит в группы test и rpm. Разные группы могут иметь разный уровень доступа к тем или иным каталогам; чем в большее количество групп входит пользователь, тем больше прав он имеет в системе.
В связи с тем, что большинство привилегированных системных утилит в дистрибутивах Альт имеют не SUID-, а SGID-бит, будьте предельно внимательны и осторожны в переназначении групповых прав на системные каталоги.
Команда useradd регистрирует нового пользователя или изменяет информацию по умолчанию о новых пользователях.
Синтаксис:
useradd [ОПЦИИ...] <ИМЯ ПОЛЬЗОВАТЕЛЯ>
useradd -D [ОПЦИИ...]
Некоторые опции:
-b каталог — базовый каталог для домашнего каталога новой учётной записи;
-c комментарий — текстовая строка (обычно используется для указания фамилии и мени);
-d каталог — домашний каталог новой учётной записи;
-D — показать или изменить настройки по умолчанию для useradd;
-e дата — дата устаревания новой учётной записи;
-g группа — имя или ID первичной группы новой учётной записи;
-G группы — список дополнительных групп (через запятую) новой учётной записи;
-m — создать домашний каталог пользователя;
-M — не создавать домашний каталог пользователя;
-p пароль — зашифрованный пароль новой учётной записи (не рекомендуется);
-s оболочка — регистрационная оболочка новой учётной записи (по умолчанию /bin/bash);
-u UID — пользовательский ID новой учётной записи.
Команда
useradd имеет множество параметров, которые позволяют менять её поведение по умолчанию. Например, можно принудительно указать, какой будет
UID или какой группе будет принадлежать пользователь:
# useradd -u 1500 -G usershares new_user
Команда passwd поддерживает традиционные опции passwd и утилит shadow.
Синтаксис:
passwd [ОПЦИИ...] [ИМЯ ПОЛЬЗОВАТЕЛЯ]
Возможные опции:
-d, --delete — удалить пароль для указанной записи;
-f, --force — форсировать операцию;
-k, --keep-tokens — сохранить не устаревшие пароли;
-l, --lock — блокировать указанную запись;
--stdin — прочитать новые пароли из стандартного ввода;
-S, --status — дать отчет о статусе пароля в указанной записи;
-u, --unlock — разблокировать указанную запись;
-?, --help — показать справку и выйти;
--usage — дать короткую справку по использованию;
-V, --version — показать версию программы и выйти.
Код выхода: при успешном завершении passwd заканчивает работу с кодом выхода 0. Код выхода 1 означает, что произошла ошибка. Текстовое описание ошибки выводится на стандартный поток ошибок.
Пользователь может в любой момент поменять свой пароль. Единственное, что требуется для смены пароля — знать текущий пароль.
Только суперпользователь может обновить пароль другого пользователя.
93.4. Добавление нового пользователя
Для добавления нового пользователя используйте команды
useradd и
passwd:
# useradd test1
# passwd test1
passwd: updating all authentication tokens for user test1.
You can now choose the new password or passphrase.
A valid password should be a mix of upper and lower case letters, digits, and
other characters. You can use a password containing at least 4 characters
from at least 3 of these 4 classes.
An upper case letter that begins the password and a digit that ends it do not
count towards the number of character classes used.
A passphrase should be of at least 3 words, 6 to 72 characters long, and
contain enough different characters.
Alternatively, if no one else can see your terminal now, you can pick this as
your password: "Burst*texas$Flow".
Enter new password:
Weak password: too short.
Re-type new password:
passwd: all authentication tokens updated successfully.
В результате описанных действий в системе появился пользователь test1 с некоторым паролем. Если пароль оказался слишком слабым с точки зрения системы, она об этом предупредит (как в примере выше). Пользователь в дальнейшем может поменять свой пароль при помощи команды passwd — но если он попытается поставить слабый пароль, система откажет ему (в отличие от root) в изменении.
В Альт Рабочая станция для проверки паролей на слабость используется модуль
PAM passwdqc.
93.5. Настройка парольных ограничений
Настройка парольных ограничений производится в файле /etc/passwdqc.conf.
Файл
passwdqc.conf состоит из 0 или более строк следующего формата:
опция=значение
Пустые строки и строки, начинающиеся со знака решетка («#»), игнорируются. Символы пробела между опцией и значением не допускаются.
Опции, которые могут быть переданы в модуль (в скобках указаны значения по умолчанию): min=N0,N1,N2,N3,N4 (min=8,6,6,4,4) — минимально допустимая длина пароля.
Используемые типы паролей по классам символов (алфавит, число, спецсимвол, верхний и нижний регистр) определяются следующим образом:
тип N0 используется для паролей, состоящих из символов только одного класса;
тип N1 используется для паролей, состоящих из символов двух классов;
тип N2 используется для парольных фраз, кроме этого требования длины, парольная фраза должна также состоять из достаточного количества слов;
типы N3 и N4 используются для паролей, состоящих из символов трех и четырех классов, соответственно.
Ключевое слово disabled используется для запрета паролей выбранного типа N0 — N4 независимо от их длины.
Каждое следующее число в настройке «min» должно быть не больше, чем предыдущее.
При расчете количества классов символов, заглавные буквы, используемые в качестве первого символа и цифр, используемых в качестве последнего символа пароля, не учитываются.
max=N (max=72) — максимально допустимая длина пароля. Эта опция может быть использована для того, чтобы запретить пользователям устанавливать пароли, которые могут быть слишком длинными для некоторых системных служб. Значение 8 обрабатывается особым образом: пароли длиннее 8 символов, не отклоняются, а обрезаются до 8 символов для проверки надежности (пользователь при этом предупреждается).
passphrase=N (passphrase=3) — число слов, необходимых для ключевой фразы (значение 0 отключает поддержку парольных фраз).
match=N (match=4) — длина общей подстроки, необходимой для вывода, что пароль хотя бы частично основан на информации, найденной в символьной строке (значение 0 отключает поиск подстроки). Если найдена слабая подстрока пароль не будет отклонен; вместо этого он будет подвергаться обычным требованиям к прочности при удалении слабой подстроки. Поиск подстроки нечувствителен к регистру и может обнаружить и удалить общую подстроку, написанную в обратном направлении.
similar=permit|deny (similar=deny) — параметр similar=permit разрешает задать новый пароль, если он похож на старый (параметр similar=deny — запрещает). Пароли считаются похожими, если есть достаточно длинная общая подстрока, и при этом новый пароль с частично удаленной подстрокой будет слабым.
random=N[,only] (random=47) — размер случайно сгенерированных парольных фраз в битах (от 26 до 81) или 0, чтобы отключить эту функцию. Любая парольная фраза, которая содержит предложенную случайно сгенерированную строку, будет разрешена вне зависимости от других возможных ограничений. Значение only используется для запрета выбранных пользователем паролей.
enforce=none|users|everyone (enforce=users) — параметр enforce=users задает ограничение задания паролей в passwd на пользователей без полномочий root. Параметр enforce=everyone задает ограничение задания паролей в passwd и на пользователей, и на суперпользователя root. При значении none модуль PAM будет только предупреждать о слабых паролях.
retry=N (retry=3) — количество запросов нового пароля, если пользователь с первого раза не сможет ввести достаточно надежный пароль и повторить его ввод.
Далее приводится пример задания следующих значений в файле
/etc/passwdqc.conf:
min=8,7,4,4,4
enforce=everyone
В указанном примере пользователям, включая суперпользователя root, будет невозможно задать пароли:
типа N0 (символы одного класса) — длиной меньше восьми символов;
типа N1 (символы двух классов) — длиной меньше семи символов;
типа N2 (парольные фразы), типа N3 (символы трех классов) и N4 (символы четырех классов) — длиной меньше четырех символов.
93.6. Управление сроком действия пароля
Для управления сроком действия паролей используется команда chage.
Должен быть установлен пакет
shadow-change:
# apt-get install shadow-change
chage изменяет количество дней между сменой пароля и датой последнего изменения пароля.
Синтаксис команды:
chage [опции] логин
Основные опции:
-d, --lastday LAST_DAY — установить последний день смены пароля в LAST_DAY на день (число дней с 1 января 1970). Дата также может быть указана в формате ГГГГ-ММ-ДД;
-E, -expiredate EXPIRE_DAYS — установить дату окончания действия учётной записи в EXPIRE_DAYS (число дней с 1 января 1970) Дата также может быть указана в формате ГГГГ-ММ-ДД. Значение -1 удаляет дату окончания действия учётной записи;
-I, --inactive INACTIVE — используется для задания количества дней «неактивности», то есть дней, когда пользователь вообще не входил в систему, после которых его учетная запись будет заблокирована. Пользователь, чья учетная запись заблокирована, должен обратиться к системному администратору, прежде чем снова сможет использовать систему. Значение -1 отключает этот режим;
-l, --list — просмотр информации о «возрасте» учётной записи пользователя;
-m, --mindays MIN_DAYS — установить минимальное число дней перед сменой пароля. Значение 0 в этом поле обозначает, что пользователь может изменять свой пароль, когда угодно;
-M, --maxdays MAX_DAYS — установить максимальное число дней перед сменой пароля. Когда сумма MAX_DAYS и LAST_DAY меньше, чем текущий день, у пользователя будет запрошен новый пароль до начала работы в системе. Эта операция может предваряться предупреждением (параметр -W). При установке значения -1, проверка действительности пароля не будет выполняться;
-W, --warndays WARN_DAYS — установить число дней до истечения срока действия пароля, начиная с которых пользователю будет выдаваться предупреждение о необходимости смены пароля.
Пример настройки времени действия пароля для пользователя test:
# chage -M 5 test
Получить информацию о «возрасте» учётной записи пользователя test:
# chage -l test
Последний раз пароль был изменён : мар 13, 2025
Срок действия пароля истекает : мар 18, 2025
Пароль будет деактивирован через : никогда
Срок действия учётной записи истекает : никогда
Минимальное количество дней между сменой пароля : -1
Максимальное количество дней между сменой пароля : 5
Количество дней с предупреждением перед деактивацией пароля : -1
Задать время действия пароля для вновь создаваемых пользователей можно, изменив параметр PASS_MAX_DAYS в файле /etc/login.defs.
93.7. Настройка неповторяемости пароля
Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля чередовать один и тот же пароль слишком часто.
В данном случае системный каталог станет доступным для записи пользователям группы pw_users (создайте эту группу и включите туда пользователей).
База используемых паролей ведется в файле /etc/security/opasswd, в который пользователи должны иметь доступ на чтение и запись. При этом они могут читать хеши паролей остальных пользователей. Не рекомендуется использовать на многопользовательских системах.
Создайте файл
/etc/security/opasswd и дайте права на запись пользователям:
# install -Dm0660 -gpw_users /dev/null /etc/security/opasswd
# chgrp pw_users /etc/security
# chmod g+w /etc/security
Для настройки этого ограничения необходимо изменить файл
/etc/pam.d/system-auth-local-only таким образом, чтобы он включал модуль pam_pwhistory после первого появления строки с паролем:
password required pam_passwdqc.so config=/etc/passwdqc.conf
password required pam_pwhistory.so debug use_authtok remember=10 retry=3
После добавления этой строки в файле
/etc/security/opasswd будут храниться последние 10 паролей пользователя (содержит хеши паролей всех учетных записей пользователей) и при попытке использования пароля из этого списка будет выведена ошибка:
Password has been already used. Choose another.
В случае если необходимо, чтобы проверка выполнялась и для суперпользователя root, в настройки нужно добавить параметр
enforce_for_root:
password required pam_pwhistory.so
use_authtok enforce_for_root remember=10 retry=3
93.8. Модификация пользовательских записей
Для модификации пользовательских записей применяется утилита
usermod:
# usermod -G audio,rpm,test1 test1
Такая команда изменит список групп, в которые входит пользователь test1 — теперь это audio, rpm, test1.
Будет произведена смена имени пользователя с test1 на test2.
Команды usermod -L test2 и usermod -U test2 соответственно временно блокируют возможность входа в систему пользователю test2 и возвращают всё на свои места.
Изменения вступят в силу только при следующем входе пользователя в систему.
При неинтерактивной смене или задании паролей для целой группы пользователей используйте утилиту chpasswd. На стандартный вход ей следует подавать список, каждая строка которого будет выглядеть как имя:пароль.
93.9. Удаление пользователей
Для удаления пользователей используйте userdel.
Команда userdel test2 удалит пользователя test2 из системы. Если будет дополнительно задан параметр -r, то будет уничтожен и домашний каталог пользователя. Нельзя удалить пользователя, если в данный момент он еще работает в системе.
Каждый объект системы Linux обязательно сопровождается документацией, описывающей их назначение и способы использования. От пользователя системы не требуется заучивать все возможные варианты взаимодействия с ней. Достаточно понимать основные принципы её устройства и уметь находить справочную информацию.
Не пренебрегайте чтением документации: она поможет вам избежать многих сложностей, сэкономить массу времени и усилий при установке, настройке и администрировании системы, поможет найти нужное для работы приложение и быстро разобраться в нём.
94.1. Экранная документация
Почти все системы семейства UNIX, включая систему Linux, имеют экранную документацию. Её тексты содержат документацию по системным командам, ресурсам, конфигурационным файлам и т. д., а также могут быть выведены на экран в процессе работы.
Для доступа к экранной документации используется команда
man (сокращение от manual). Каждая страница руководства посвящена одному объекту системы. Для того чтобы прочесть страницу руководства по программе, необходимо набрать
man название_программы. К примеру, если вы хотите узнать, какие опции есть у команды
date, вы можете ввести команду:
$ man date
Большинство экранной документации написано для пользователей, имеющих некоторое представление о том, что делает данная команда. Поэтому большинство текстов экранной документации содержит исключительно технические детали команды без особых пояснений. Тем не менее, экранная документация оказывается очень ценной в том случае, если вы помните название команды, но её синтаксис просто выпал у вас из памяти.
Поиск по описаниям man осуществляется командой apropos. Если вы точно не знаете, как называется необходимая вам программа, то поиск осуществляется по ключевому слову, к примеру, apropos date или при помощи ввода слова, обозначающего нужное действие, после команды man -k (например, man -k copy). Слово, характеризующее желаемое для вас действие, можно вводить и на русском языке. При наличии русского перевода страниц руководства man результаты поиска будут выведены на запрашиваемом языке.
«Страница руководства» занимает, как правило, больше одной страницы экрана. Для того чтобы читать было удобнее, man запускает программу постраничного просмотра текстов. Страницы перелистывают пробелом, для выхода из режима чтения описания команд man необходимо нажать на клавиатуре q. Команда man man выдаёт справку по пользованию самой командой man.
Документация в подавляющем большинстве случаев пишется на простом английском языке. Необходимость писать на языке, который будет более или менее понятен большинству пользователей, объясняется постоянным развитием Linux. Дело не в том, что страницу руководства нельзя перевести, а в том, что её придётся переводить всякий раз, когда изменится описываемый ею объект! Например, выход новой версии программного продукта сопровождается изменением его возможностей и особенностей работы, а следовательно, и новой версией документации.
Тем не менее, некоторые наиболее актуальные руководства существуют в переводе на русский язык. Свежие версии таких переводов на русский язык собраны в пакете man-pages-ru. Установив этот пакет, вы добавите в систему руководства, для которых есть перевод, и man по умолчанию будет отображать их на русском языке.
Другой источник информации о Linux и составляющих его программах — справочная подсистема info. Страница руководства, несмотря на обилие ссылок различного типа, остаётся «линейным» текстом, структурированным только логически. Документ info — это настоящий гипертекст, в котором множество небольших страниц объединены в дерево. В каждом разделе документа info всегда есть оглавление, из которого можно перейти к нужному подразделу, а затем вернуться обратно (ссылки для перемещения по разделам текста помечены *). Для получения вспомогательной информации о перемещении по тексту используйте клавишу h. Полное руководство info вызывается командой info info. Команда info, введённая без параметров, предлагает пользователю список всех документов info, установленных в системе.
94.2. Документация по пакетам
Дополнительным источником информации об интересующей вас программе, в основном на английском языке, является каталог /usr/share/doc — место хранения разнообразной документации.
Каждый пакет также содержит поставляемую вместе с включённым в него ПО документацию, располагающуюся обычно в каталоге /usr/share/doc/имя_пакета. Например, документация к пакету file-5.45 находится в /usr/share/doc/file-5.45. Для получения полного списка файлов документации, относящихся к пакету, воспользуйтесь командой rpm -qd имя_установленного_пакета.
В документации к каждому пакету вы можете найти такие файлы как README, FAQ, TODO, СhangeLog и другие. В файле README содержится основная информация о программе — имя и контактные данные авторов, назначение, полезные советы и пр. FAQ содержит ответы на часто задаваемые вопросы; этот файл стоит прочитать в первую очередь, если у вас возникли проблемы или вопросы по использованию программы, поскольку большинство проблем и сложностей типичны, вполне вероятно, что в FAQ вы тут же найдёте готовое решение. В файле TODO записаны планы разработчиков на реализацию той или иной функциональности. В файле СhangeLog записана история изменений в программе от версии к версии.
Для поиска внешней информации о программе, например, адреса сайта программы в сети Интернет можно использовать команду rpm -qi имя_установленного_пакета. В информационном заголовке соответствующего пакета, среди прочей информации, будет выведена искомая ссылка.
94.3. Документация к программам, имеющим графический интерфейс
Каждая программа, имеющая графический интерфейс, как правило, сопровождается справочной информацией, вызываемой из меню программы. Обычно это разделы меню .
По обыкновению, это меню предоставляет информацию о программе, её версии, лицензии и авторах. В большинстве случаев, справка содержит встроенное руководство, ссылки на локальные сведения и интернет-страницы документации на официальных сайтах программ (традиционная кнопка F1), информацию о сочетании клавиш, а также сообщения о процедурах и отладке в программе.
, расположенную в левом верхнем углу Центра приложений. В строке поиска нужно ввести название приложения.
и выбрав пункт :
.
