Product SiteDocumentation Site

Альт Сервер 10.4

Документация

Руководство пользователя

Редакция ноябрь, 2024

Аннотация

Добро пожаловать в документацию дистрибутива Альт Сервер. Данное руководство предназначено как для начинающих, так и для опытных пользователей. Руководство описывает подготовку системы для установки, процесс установки дистрибутива, а также процедуру настройки и использования системы.
Названия компаний и продуктов, встречающихся в руководстве, могут являться торговыми знаками соответствующих компаний.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.
I. Что такое Альт Сервер?
1. Что такое Альт Сервер
2. Что такое Linux
3. Что такое системы Альт
II. Установка дистрибутива
4. Подготовка установочного диска
5. Сохранение данных и меры предосторожности
6. Начало установки: загрузка системы
7. Последовательность установки
8. Язык
9. Лицензионное соглашение
10. Дата и время
11. Подготовка диска
12. Перемонтирование
13. Установка системы
14. Сохранение настроек
15. Установка загрузчика
16. Настройка сети
17. Администратор системы
18. Системный пользователь
19. Установка пароля на шифрованные разделы
20. Завершение установки
21. Обновление системы до актуального состояния
22. Автоматическая установка системы (autoinstall)
23. Первая помощь
III. Начало использования Альт Сервер
24. Загрузка системы
25. Получение доступа к зашифрованным разделам
26. Вход в систему
IV. Рабочий стол MATE
27. Рабочий стол MATE
V. Настройка системы
28. Центр управления системой
29. Настройка сети
VI. Установка дополнительного программного обеспечения
30. Установка дополнительного ПО
31. Управление репозиториями
32. Обновление системы
VII. Средства удаленного администрирования
33. Вход в систему
34. Настройка подключения к Интернету
35. Развертывание доменной структуры
36. Сетевая установка операционной системы на рабочие места
37. FTP-сервер
38. Удостоверяющий центр
39. Соединение удалённых офисов (OpenVPN-сервер)
40. Доступ к службам сервера из сети Интернет
41. Статистика
42. Обслуживание сервера
43. Прочие возможности ЦУС
44. Права доступа к модулям
VIII. Корпоративная инфраструктура
45. Samba 4 в роли контроллера домена Active Directory
46. Групповые политики
47. Samba в режиме файлового сервера
48. SOGo
49. FreeIPA
50. Fleet Commander
51. Система мониторинга Zabbix
52. Nextcloud — хранение документов в «облаке»
53. Сервер видеоконференций на базе Jitsi Meet
54. Отказоустойчивый кластер (High Availability) на основе Pacemaker
55. OpenUDS
56. Система резервного копирования Proxmox Backup Server
57. Система резервного копирования UrBackup
IX. Установка пакетов для опытных пользователей
Введение
58. Источники программ (репозитории)
59. Поиск пакетов
60. Установка или обновление пакета
61. Удаление установленного пакета
62. Обновление системы
63. Единая команда управления пакетами (epm)
X. Основы администрирования Linux
64. Общие принципы работы ОС
65. Средства управления дискреционными правами доступа
66. Режим суперпользователя
67. Управление пользователями
68. Система инициализации systemd и sysvinit
69. Документация
XI. Функциональность операционной системы
70. Управление шифрованными разделами
71. Поддержка файловых систем
72. Поддержка сетевых протоколов
73. Механизм аудита
XII. Техническая поддержка продуктов «Базальт СПО»
74. Покупателям нашей продукции
75. Пользователям нашей продукции

Часть I. Что такое Альт Сервер?

В этой части рассматривается что такое Linux и Альт Сервер.

Глава 1. Что такое Альт Сервер

Операционная система Альт Сервер — многофункциональный дистрибутив для серверов с возможностью использования в качестве рабочей станции разработчика комплексных систем, прежде всего, предназначен для использования в корпоративных сетях.
Альт Сервер представляет собой совокупность интегрированных программных продуктов, созданных на основе ОС Linux и обеспечивает обработку, хранение и передачу информации в круглосуточном режиме эксплуатации. Дистрибутив предоставляет интегрированную операционную систему на единой оптимизированной пакетной базе с поддержкой различных аппаратных платформ, с возможностью установки графического окружения.
Альт Сервер это комплекс серверных приложений, оснащённый удобным пользовательским интерфейсом для настройки. Управление сервером может осуществляться с любого компьютера через веб-браузер.
Альт Сервер представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.
Основные преимущества ОС Альт Сервер:
  • установка серверных решений и решений конечных пользователей с одного диска;
  • графическая рабочая среда MATE;
  • возможность как развернуть, так и использовать только определённые службы без Alterator;
  • возможность обеспечить единую аутентификацию, общие ресурсы и совместную работу через сервер каталогов.

Глава 2. Что такое Linux

2.1. Свободные программы

Операционная система (далее — ОС) Linux — ядро, основные компоненты системы и большинство её пользовательских приложений — свободные программы. Свободные программы можно:
  • запускать на любом количестве компьютеров;
  • распространять бесплатно или за деньги без каких-либо ограничений;
  • получать исходные тексты этих программ и вносить в них любые изменения.
Свобода программ обеспечила их широкое использование и интерес к ним со стороны тысяч разработчиков. Основные программы для Linux выходят под лицензией GNU General Public License (далее — GPL). Лицензия GNU не только гарантирует свободу, но и защищает её. Она допускает дальнейшее распространение программ только под той же лицензией, поэтому исходный код ядра Linux, компиляторов, библиотеки glibc, пользовательских графических оболочек не может быть использован для создания приложений с закрытым кодом. В этом принципиальное отличие Linux от свободных ОС семейства BSD (FreeBSD, NetBSD, OpenBSD), фрагменты которых вошли в Microsoft Windows и даже стали основой OS X. Linux включает в себя многие разработки BSD, но его компиляторы и системные библиотеки разработаны в рамках проекта GNU (http://www.gnu.org/home.ru.html).

2.2. Разработка Linux

В отличие от распространённых несвободных ОС, Linux не имеет географического центра разработки. Нет фирмы, которая владела бы этой ОС, нет и единого координационного центра. Программы для Linux — результат работы тысяч проектов. Большинство из них объединяет программистов из разных стран, связанных друг с другом только перепиской. Лишь некоторые проекты централизованы и сосредоточены в фирмах. Создать свой проект или присоединиться к уже существующему может любой программист, и, в случае успеха, результаты этой работы станут известны миллионам пользователей. Пользователи принимают участие в тестировании свободных программ, общаются с разработчиками напрямую. Это позволяет за короткий срок добавлять в программное обеспечение новые возможности, оперативно находить ошибки и исправлять их.
Именно гибкая и динамичная система разработки, невозможная для проектов с закрытым кодом, определяет исключительную экономическую эффективность Linux. Низкая стоимость свободных разработок, отлаженные механизмы тестирования и распространения, привлечение независимых специалистов, обладающих индивидуальным, самостоятельным видением проблем, защита исходного текста программ лицензией GPL — всё это стало причиной успеха свободных программ.
Такая высокая эффективность разработки не могла не заинтересовать крупные фирмы. Они стали создавать свои свободные проекты, основывающиеся на тех же принципах. Так появились Mozilla, LibreOffice, свободный клон Interbase, SAP DB. IBM способствовала переносу Linux на свои мейнфреймы.
Открытый код программ значительно снизил себестоимость разработки закрытых систем для Linux и позволил снизить цену решения для пользователя. Вот почему Linux стала платформой, часто рекомендуемой для таких продуктов, как Oracle, DB2, Informix, Sybase, SAP ERP, Lotus Domino.

2.3. Защищённость

ОС Linux унаследовала от UNIX надёжность и отличную систему защиты. Система разграничения доступа к файлам позволяет не бояться вирусов. Но всё же, программ без ошибок не бывает, и Linux не исключение. Благодаря открытости исходного кода программ, аудит системы может осуществить любой специалист без подписок о неразглашении и без необходимости работы в стенах нанявшей его компании. Сообщества разработчиков и пользователей свободных программ создали множество механизмов оповещения об ошибках и их исправления. Сообщить об ошибке и принять участие в её исправлении независимому программисту или пользователю так же просто, как специалисту фирмы-разработчика или автору проекта. Благодаря этому ошибки защиты эффективно выявляются и быстро исправляются.

2.4. Дистрибутивы Linux

Большинство пользователей для установки Linux используют дистрибутивы. Дистрибутив — это не просто набор программ, а готовое решение для выполнения различных задач пользователя, обладающее идентичностью установки, управления, обновления, а также едиными системами настройки и поддержки.

2.5. Новичку

Linux — самостоятельная операционная система. Все операционные системы разные: Linux — не Windows, не OS X и не FreeBSD. В Linux свои правила, их необходимо изучить и к ним необходимо привыкнуть. Терпение и настойчивость в изучении Linux обернётся значительным повышением эффективности и безопасности вашей работы. То, что сегодня кажется странным и непривычным, завтра понравится и станет нормой.
Не стесняйтесь задавать вопросы, ведь самый простой способ найти ответ — совет опытного специалиста. Взаимопомощь и общение — традиция в мире Linux. Всегда можно обратиться за помощью к сообществу пользователей и разработчиков Linux. Большинство вопросов повторяются, поэтому для начала стоит поискать ответ на свой вопрос в документации, затем в сети Интернет. Если вы не нашли ответа в перечисленных источниках, не стесняйтесь, пишите на форум или в списки рассылки так, как писали бы своим друзьям, и вам обязательно помогут.

Глава 3. Что такое системы Альт

3.1. ALT Linux Team

Команда ALT Linux (http://www.altlinux.org/ALT_Linux_Team) — это интернациональное сообщество, насчитывающее более 200 разработчиков свободного программного обеспечения.

3.2. Сизиф

Sisyphus (https://packages.altlinux.org) — наш ежедневно обновляемый банк программ (часто называемый репозиторий). Поддерживаемая ALT Linux Team целостность Sisyphus, оригинальная технология сборки программ, утилита apt-get и её графическая оболочка synaptic позволяют пользователям легко обновлять свои системы и быть в курсе актуальных новостей мира свободных программ.
Ежедневно изменяющийся репозиторий содержит самое новое программное обеспечение со всеми его преимуществами и недостатками (иногда ещё неизвестными). Поэтому, перед обновлением вашей системы из Sisyphus, мы советуем взвесить преимущества новых возможностей, реализованных в последних версиях программ, и вероятность возникновения неожиданностей в работе с ними (http://www.altlinux.org/Sisyphus_changes).
Разработка Sisyphus полностью доступна. У нас нет секретных изменений кода и закрытого тестирования с подписками о неразглашении. То, что мы сделали сегодня, завтра вы найдёте в сети. По сравнению с другими аналогичными банками программ (Debian unstable, Mandriva Cooker, PLD, Fedora), в Sisyphus есть немало самобытного. Особое внимание уделяется защите системы, локализации на русский язык, полноте и корректности зависимостей.
Название Sisyphus (Сизиф) заимствовано из греческой мифологии. С кропотливым Сизифом, непрерывно закатывающим в гору камни, команду ALT Linux Team объединяет постоянная работа над усовершенствованием технологий, заложенных в репозиторий.
Sisyphus, в первую очередь, — открытая лаборатория решений. Если вам это интересно, если вы хотите дополнить Sisyphus новыми решениями, если вы считаете, что можете собрать какую-то программу лучше — присоединяйтесь к проекту ALT Linux Team (http://www.altlinux.org/Join).

3.3. Что такое десятая платформа

Как уже говорилось ранее, Sisyphus является часто обновляемым репозиторием, скорее предназначенным для разработчиков. Решением для тех пользователей, которым стабильность и предсказуемость работы системы важнее расширенной функциональности (а это в первую очередь начинающие и корпоративные пользователи), являются дистрибутивы Альт. Такие дистрибутивы базируются на стабильном срезе репозитория Sisyphus. Эти срезы называются платформами.
Десятая платформа (p10) была создана в июле 2021 года и её поддержка продлится до июля 2025.

3.3.1. Основные новшества в десятой платформе

  • Синхронная сборка p10 производится для пяти основных архитектур:
    • 64-битных x86_64, aarch64 и ppc64le;
    • 32-битных i586 и armh (armv7hf);
  • Ядра реального времени — для архитектуры x86_64 собраны два realtime-ядра: Xenomai и Real Time Linux (PREEMPT_RT);
  • Расширение набора групповых политик — групповые политики поддерживают параметры gsettings для управления рабочими средами MATE и Xfce;
  • Центр администрирования Active Directory (admc) — графическое приложение для управления пользователями, группами и групповыми политиками домена Active Directory;
  • Платформа Deploy — предназначена для развёртывания системных служб на локальном компьютере с помощью Ansible. Поддерживаемые роли: Apache, MariaDB, MediaWiki, Nextcloud, PostgreSQL и Moodle;
  • Модуль настройки многотерминального режима alterator-multiseat.

Часть II. Установка дистрибутива

Глава 4. Подготовка установочного диска

Наиболее частый способ установки операционной системы на компьютер представляет собой установку с установочного DVD-диска. В этой главе описываются различные способы записи дистрибутива на DVD-диск.
Установочные образы являются гибридными, что позволяет производить установку, записав такой образ на USB Flash. О записи установочного образа на USB Flash также рассказано в этой главе.

4.1. Запись ISO-образа дистрибутива на DVD

4.1.1. Запись образа диска под операционной системой MS Windows

Файл ISO-образа диска — это файл специального формата, подготовленный для записи на диск. Для записи ISO-образа под операционной системой MS Windows используйте специальные программы: SCDWriter, Nero BurningROM и другие. Рекомендуем для записи использовать новые диски от известных производителей, таких как: Verbatim, TDK. Записанный на плохой диск образ может вызвать неразрешимые проблемы при установке.

4.1.1.1. Запись образа диска с помощью Small CD-Writer

Весь процесс записи установочного диска при помощи Small CD-Writer состоит из следующих шагов:
  • скачать образ дистрибутива;
  • скачать архив программы Small CD-Writer http://gluek.info/wiki/_media/software/scdwriter14.zip;
  • распаковать файлы программы из архива в любой каталог;
  • вставить чистый диск в привод;
  • войти в распакованный каталог и запустить программу SCDWriter.exe;
  • открыть пункт меню ДискЗаписать ISO-образ на диск и, в появившемся окне, указать путь к образу диска;
  • нажать кнопку Записать.
Окно программы Small CD-Writer

4.1.1.2. Запись образа диска с помощью Nero BurningROM

Процесс записи установочного диска при помощи Nero BurningROM состоит из следующих шагов:
  • скачать образ дистрибутива;
  • скачать программу Nero BurningROM с сайта производителя http://www.nero.com и установить её;
  • запустить программу и выбрать в списке устройств необходимый для записи CD/DVD дисковод;
  • нажать кнопку Открыть в главном окне. В появившемся окне выбрать необходимый ISO-образ для записи и нажать кнопку Открыть;
  • в окне Записать проект на вкладке Запись установить отметку в поле Запись и настроить необходимые параметры прожига;
  • записать ISO-образ на диск, щёлкнув по кнопке Прожиг.

4.1.2. Запись образа диска под операционной системой Linux

Для записи ISO-образов можно использовать множество утилит и программ с графическим или текстовым интерфейсом. Наиболее удобно использовать программы K3b или Brasero, которые поставляются в комплекте большинства дистрибутивов операционной системы Linux.

4.1.2.1. Запись образа диска с помощью K3b

Весь процесс записи установочного диска при помощи K3b состоит из следующих шагов:
  • если программа k3b отсутствует, необходимо установить её в систему, используя стандартные для вашего дистрибутива инструменты установки программ;
  • запустить программу k3b. При правильных настройках программа сообщит об отсутствии проблем с системой и предложит перейти к записи на диск;
  • в меню главного окна Сервис (Service) выбрать пункт Записать образ DVD (Burn DVD image);
  • в появившемся окне Записать образ DVD (Burn DVD image) нажать на кнопку Выбор файла для записи. Откроется диалог, в котором необходимо выбрать ISO-образ для записи и после выбора нажать кнопку ОК;
  • программа k3b покажет информацию о ISO-файле и начнёт вычислять контрольную сумму. Эта операция может занять несколько минут. Полученную контрольную сумму можно сравнить с MD5SUM суммой на странице дистрибутива;
  • если контрольные суммы не совпадают, значит, для записи был выбран не тот файл или скачанный ISO-образ был испорчен во время передачи данных по сети;
  • если контрольные суммы совпадают, вставить диск для записи в дисковод. Дождаться активации кнопки Начать (Start);
  • нажать на кнопку Начать (Start).

4.2. Запись установочного образа на USB Flash

Предупреждение

Запись образа дистрибутива на flash-диск приведёт к изменению таблицы разделов на носителе, таким образом, если flash-диск выполнил функцию загрузочного\установочного устройства и требуется вернуть ему функцию переносного накопителя данных, то необходимо удалить все имеющиеся разделы на flash-диске и создать нужное их количество заново.
Для восстановления совместимости flash-диска с операционными системами семейства Windows может понадобиться также пересоздание таблицы разделов (например, при помощи parted). Нужно удалить таблицу GPT и создать таблицу типа msdos. Кроме того, должен быть только один раздел с FAT или NTFS.
Для создания загрузочного flash-диска понадобится файл ISO-образа установочного диска с дистрибутивом. ISO-образы установочных дисков являются гибридными (Hybrid ISO/IMG), что позволяет записать их на flash-накопитель.

4.2.1. В операционной системе Windows

Для создания загрузочного flash-диска под операционной системой MS Windows используйте специальные программы: ALT Media Writer, Win32 Disk Imager, HDD Raw Copy Tool и другие.
ALT Media Writer — это инструмент, который помогает записывать образы ALT на портативные накопители, такие как flash-диски. Он может автоматически загружать образы из интернета и записывать их. Для записи образа на flash-диск необходимо:
  • скачать и установить ALT Media Writer;
  • вставить flash-диск в USB-разъем;
  • запустить ALT Media Writer;
  • выбрать дистрибутив и нажать кнопку Создать Live USB…:
    ALT Media Writer (altmediawriter)
    начнётся загрузка образа из интернета;
  • выбрать устройство (flash-диск);
  • после окончания загрузки нажать кнопку Записать на диск (если был отмечен пункт Записать образ после загрузки, запись образа начнётся автоматически).
Инструкция для записи образа в программе Win32 Disk Imager:
  • скачать и установить программу Win32 Disk Imager;
  • скачать образ дистрибутива;
  • вставить flash-диск в USB-разъем (размер flash-диска должен быть не меньше размера скачанного образа диска);
  • запустить Win32 Disk Imager;
  • в появившимся окне выбрать ISO-образ дистрибутива, выбрать устройство (flash-диск):
    Win32 Disk Imager
  • нажать кнопку Write для записи образа на flash-диск.
Для записи образа на flash-диск подойдёт и утилита HDD Raw Copy Tool. На первом шаге нужно выбрать файл с образом диска:
Выбор файла с образом диска
На втором шаге нужно выбрать flash-диск, на который будет записан образ:
Выбор flash-диска

Предупреждение

Будьте внимательны при указании имени usb-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!
После проверки правильности выбранных параметров и нажатия кнопки Continue можно приступать к записи, нажав кнопку START. По успешному завершению записи окно с индикацией процесса записи закроется, после чего можно закрыть и окно самой программы.

4.2.2. В операционной системе Linux

Для записи образа на flash-диск можно воспользоваться одной из программ с графическим интерфейсом:
  • ALT Media Writer (altmediawriter):
    ALT Media Writer (altmediawriter)
    ALT Media Writer может автоматически загружать образы из интернета и записывать их, при необходимости извлекая сжатые образы (img.xz).
  • SUSE Studio Imagewriter (imagewriter):
    SUSE Studio Imagewriter (imagewriter)

Предупреждение

Будьте внимательны при указании имени usb-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!

Предупреждение

Не добавляйте номер раздела, образ пишется на flash-диск с самого начала!
Для записи установочного образа можно воспользоваться утилитой командной строки dd:
# dd oflag=direct if=<файл-образа.iso> of=/dev/sdX bs=1M status=progress;sync
где <файл-образа.iso> — образ диска ISO, а /dev/sdX — устройство, соответствующее flash-диску.
Для удобства показа прогресса записи можно установить пакет pv и использовать команду:
# pv <файл-образа.iso> | dd oflag=direct of=/dev/sdX bs=1M;sync
где <файл-образа.iso> — образ диска ISO, а /dev/sdX — устройство, соответствующее flash-диску.
Просмотреть список доступных устройств можно командой lsblk или (если такой команды нет) blkid.
Например, так можно определить имя flash-диска:
$ lsblk | grep disk
sda      8:0    0 931,5G  0 disk
sdb      8:16   0 931,5G  0 disk
sdc      8:32   1   7,4G  0 disk
flash-диск имеет имя устройства sdc.
Затем записать:
# dd oflag=direct if=/home/iso/alt-server-10.4-x86_64.iso of=/dev/sdc bs=1M status=progress; sync
или, например, так:
# pv /home/iso/alt-server-10.4-x86_64.iso | dd oflag=direct of=/dev/sdc bs=1M;sync
dd: warning: partial read (524288 bytes); suggest iflag=fullblock
3GiB 0:10:28 [4,61MiB/s] [===================================>  ] 72% ETA 0:04:07

Предупреждение

Не извлекайте flash-диск, пока образ не запишется до конца! Определить финал процесса можно по прекращению моргания индикатора flash-диска либо посредством виджета Безопасное извлечение съемных устройств.

4.2.3. В операционной системе OS X

В операционной системе OS X для создания загрузочного flash-диска можно использовать команду:
sudo dd if=alt-server-10.4-x86_64.iso of=/dev/rdiskX bs=10M
sync
где alt-server-10.4-x86_64.iso — образ диска ISO, а /dev/rdiskX — flash-диск.
Просмотреть список доступных устройств можно командой:
diskutil list

Предупреждение

Будьте внимательны при указании имени usb-устройства — запись образа по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!

4.2.4. Проверка целостности записанного образа

Для проверки целостности записанного образа необходимо выполнить следующие шаги:
  • определить длину образа в байтах:
    $ du -b alt-server-10.4-x86_64.iso | cut -f1 
    5278818304
    
  • посчитать контрольную сумму образа (или просмотреть контрольную сумму образа из файла MD5SUM на сервере FTP):
    $ md5sum alt-server-10.4-x86_64.iso
    e103dc0cfee41a73956dbcfe9a3547c8  alt-server-10.4-x86_64.iso
    
  • подсчитать контрольную сумму записанного образа на DVD или USB Flash (выполняется под правами пользователя root):
    # head -c 5278818304 /dev/sdd | md5sum
    e103dc0cfee41a73956dbcfe9a3547c8
    
    где размер после -c — вывод в п.1, а /dev/sdd — устройство DVD или USB Flash, на которое производилась запись.

Глава 5. Сохранение данных и меры предосторожности

Если необходимо установить ОС Альт Сервер и при этом сохранить уже установленную на компьютере операционную систему (например, другую версию GNU/Linux или Microsoft Windows), то нужно обязательно позаботиться о подготовке компьютера к установке второй системы и о сохранении ценных для вас данных.
Если у вас нет загрузочного диска для уже установленной системы, создайте его. В случае прерванной установки ОС Альт Сервер или неправильной настройки загрузчика, вы можете потерять возможность загрузиться в вашу предыдущую ОС.
Если на диске, выбранном для установки ОС Альт Сервер, не осталось свободного раздела, то программа установки должна будет изменить размер существующего раздела. От этой операции могут пострадать ваши данные, поэтому предварительно надо сделать следующие действия:
  • Выполнить проверку раздела, который вы собираетесь уменьшать. Для этого воспользуйтесь соответствующим программным обеспечением (далее — ПО), входящим в состав уже установленной ОС. Программа установки Альт Сервер может обнаружить некоторые очевидные ошибки при изменении размера раздела, но специализированное ПО предустановленной ОС справится с этой задачей лучше.
  • Выполнить дефрагментацию уменьшаемого раздела в целях повышения уровня безопасности данных. Это действие не является обязательным, но мы настоятельно рекомендуем его произвести: изменение размера раздела пройдёт легче и быстрее.

Предупреждение

Полной гарантией от проблем, связанных с потерей данных, является резервное копирование!

Глава 6. Начало установки: загрузка системы

6.1. Способы первоначальной загрузки

Для загрузки компьютера с целью установки системы необходимо воспользоваться носителем, содержащим начальный загрузчик.
Простейший способ запустить программу установки — загрузить компьютер с помощью загрузочного носителя, находящегося на установочном DVD с дистрибутивом (при условии, что система поддерживает загрузку с устройства для чтения DVD).
Программу установки можно также запустить с другого загрузочного носителя. Например, в качестве загрузочного носителя может использоваться загрузочный USB-flash-накопитель.

6.2. Загрузка системы

Для того чтобы начать установку ОС Альт Сервер, достаточно загрузиться с носителя, на котором записан дистрибутив.

Примечание

Предварительно следует включить в BIOS опцию загрузки с оптического привода или с USB-устройства.
В большинстве случаев указание способа входа в BIOS отображается на вашем мониторе непосредственно после включения компьютера. Способ входа в меню BIOS и информация о расположении настроек определяется производителем используемого оборудования. За информацией можно обратиться к документации на ваше оборудование.
Начальный загрузчик EFI
Загрузка с установочного диска или специально подготовленного USB-flash-накопителя начинается с меню, в котором перечислено несколько вариантов загрузки:
  • Install ALT Server 10.4 — установка операционной системы;
  • VNC install ALT Server 10.4 (edit to set password and connect here) — установка по VNC с соединением в сторону устанавливаемой машины. Параметры установки по VNC передаются как параметры ядра. Нажатие клавиши E позволяет задать пароль (по умолчанию — VNCPWD):
    Параметры установки по VNC
  • Rescue LiveCD — восстановление уже установленной, но так или иначе поврежденной ОС Linux путем запуска небольшого образа ОС в оперативной памяти. Восстановление системы потребует некоторой квалификации. Этот пункт также может быть использован для сбора информации об оборудовании компьютера, которую можно отправить разработчикам, если ОС Альт Сервер устанавливается и работает неправильно. Загрузка восстановительного режима заканчивается приглашением командной строки:
    [root@localhost /]#
    
  • Change Kernel Flavour (press F5) — позволяет выбрать устанавливаемое ядро. По нажатию клавиши F5 открывается окно выбора ядра (ядро 6.1.112-un-def-alt загружается и устанавливается по умолчанию):
    Выбор устанавливаемого ядра
  • Memory Test (may not work with Secure Boot) — проверка целостности оперативной памяти. Процесс диагностики заключается в проведении нескольких этапов тестирования каждого отдельного модуля ОЗУ (данный процесс будет выполняться бесконечно, пока его не остановят, необходимо дождаться окончания хотя бы одного цикла проверки).
  • UEFI Firmware Settings — позволяет получить доступ к настройкам UEFI.

Примечание

Начальный загрузчик в режиме Legacy:
Начальный загрузчик в режиме Legacy
Пункт Boot from hard drive — позволяет запустить уже установленную на жёсткий диск операционную систему.

Примечание

Мышь на этом этапе установки не поддерживается. Для выбора опций установки и различных вариантов необходимо использовать клавиатуру.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.
Чтобы начать процесс установки, нужно клавишами перемещения курсора вверх и вниз выбрать пункт меню Install ALT Server 10.4 и нажать Enter. Начальный этап установки не требует вмешательства пользователя: происходит автоматическое определение оборудования и запуск компонентов программы установки. Сообщения о происходящем на данном этапе можно просмотреть, нажав клавишу ESC.

Примечание

В начальном загрузчике установлено небольшое время ожидания: если в этот момент не предпринимать никаких действий, то будет загружена та система, которая уже установлена на жестком диске. Если вы пропустили нужный момент, перезагрузите компьютер и вовремя выберите пункт Install ALT Server 10.4.

Глава 7. Последовательность установки

До того как будет произведена установка базовой системы на жёсткий диск, программа установки работает с образом системы, загруженным в оперативную память компьютера.
Если инициализация оборудования завершилась успешно, будет запущен графический интерфейс программы-установщика. Процесс установки разделён на шаги. Каждый шаг посвящён настройке или установке определённого свойства системы. Шаги нужно проходить последовательно. Переход к следующему шагу происходит по нажатию кнопки Далее. При помощи кнопки Назад, при необходимости, можно вернуться к уже пройденному шагу и изменить настройки. Однако возможность перехода к предыдущему шагу ограничена теми шагами, в которых нет зависимости от данных, введённых ранее.
Если по каким-то причинам возникла необходимость прекратить установку, необходимо нажать кнопку <Reset> на корпусе системного блока компьютера.

Примечание

Совершенно безопасно выполнить отмену установки только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жёстком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», существует вероятность, что после этого с жёсткого диска не сможет загрузиться ни одна из установленных систем (если такие имеются).
Технические сведения о ходе установки можно посмотреть, нажав Ctrl+Alt+F1, вернуться к программе установки — Ctrl+Alt+F7. По нажатию Ctrl+Alt+F2 откроется отладочная виртуальная консоль.
Каждый шаг сопровождается краткой справкой, которую можно вызвать, щёлкнув кнопку Справка или нажав клавишу F1.
Нажатие на кнопку позволяет показать/скрыть панель со списком шагов установки:
Список шагов

Глава 8. Язык

Выбор основного языка
Установка Альт Сервер начинается с выбора основного языка — языка интерфейса программы установки и устанавливаемой системы. В списке, помимо доступных языков региона (выбранного на этапе начальной загрузки), указан и английский язык.
На этом же этапе выбирается вариант переключения раскладки клавиатуры. Раскладка клавиатуры — это привязка букв, цифр и специальных символов к клавишам на клавиатуре. Помимо ввода символов на основном языке, в любой системе Linux необходимо иметь возможность вводить латинские символы (имена команд, файлов и т.п.). Для этого обычно используется стандартная английская раскладка клавиатуры. Переключение между раскладками осуществляется при помощи специально зарезервированных для этого клавиш. Для русского языка доступны следующие варианты переключения раскладки:
  • клавиши Alt и Shift одновременно;
  • клавиша CapsLock;
  • клавиши Control и Shift одновременно;
  • клавиша Control;
  • клавиша Alt.
Если выбранный основной язык имеет всего одну раскладку (например, при выборе английского языка в качестве основного), эта единственная раскладка будет принята автоматически.

Глава 9. Лицензионное соглашение

Лицензионное соглашение
Перед продолжением установки следует внимательно прочитать условия лицензии. В лицензии говорится о ваших правах. В частности, за вами закрепляются права на:
  • эксплуатацию программ на любом количестве компьютеров и в любых целях;
  • распространение программ (сопровождая их копией авторского договора);
  • получение исходных текстов программ.
Если вы приобрели дистрибутив, то данное лицензионное соглашение прилагается в печатном виде к вашей копии дистрибутива. Лицензия относится ко всему дистрибутиву Альт Сервер. Если вы согласны с условиями лицензии, отметьте пункт Да, я согласен с условиями и нажмите кнопку Далее.

Глава 10. Дата и время

На данном этапе выполняется выбор региона и города, по которым будет определен часовой пояс и установлены системные часы.
Дата и время (выбор часового пояса)
Для корректной установки даты и времени достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.
На этом шаге следует выбрать часовой пояс, по которому нужно установить часы. Для этого в соответствующих списках выберите регион, а затем город. Поиск по списку можно ускорить, набирая на клавиатуре первые буквы искомого слова.
Пункт Хранить время в BIOS по Гринвичу выставляет настройки даты и времени в соответствии с часовыми поясами, установленными по Гринвичу, и добавляет к местному времени часовую поправку для выбранного региона.
После выбора часового пояса будут предложены системные дата и время по умолчанию.
Для ручной установки текущих даты и времени нужно нажать кнопку Изменить…. Откроется окно ручной настройки системных параметров даты и времени.
Дата и время
Для сохранения настроек и продолжения установки системы в окне ручной установки даты и времени необходимо нажать кнопку ОК и затем в окне Дата и время нажать кнопку Далее.

Примечание

В случае если ОС Альт Сервер устанавливается как вторая ОС, необходимо снять отметку с пункта Хранить время в BIOS по Гринвичу, иначе время в уже установленной ОС может отображаться некорректно.

Глава 11. Подготовка диска

На этом этапе подготавливается площадка для установки Альт Сервер, в первую очередь — выделяется свободное место на диске.
Переход к этому шагу может занять некоторое время. Время ожидания зависит от производительности компьютера, объёма жёсткого диска, количества разделов на нём и других параметров.

11.1. Выбор профиля разбиения диска

После завершения первичной конфигурации загрузочного носителя откроется окно Подготовка диска. В списке разделов перечислены уже существующие на жёстких дисках разделы (в том числе здесь могут оказаться съёмные flash-диски, подключённые к компьютеру в момент установки).
Подготовка диска
В списке Выберите профиль перечислены доступные профили разбиения диска. Профиль — это шаблон распределения места на диске для установки ОС. Можно выбрать один из профилей:
  • Установка сервера;
  • Вручную.

11.2. Автоматический профиль разбиения диска

Профиль Установка сервера предполагает автоматическое разбиение диска. При выборе этого профиля будет создан раздел под корень (swap и раздел под efi автоматически). Если размер диска больше 100 ГБ, будет также создан раздел /var.
Выбор автоматического профиля разбиения диска

Примечание

Если при применении профиля автоматического разбиения диска доступного места на диске окажется недостаточно, то на монитор будет выведено сообщение об ошибке: Невозможно применить профиль, недостаточно места на диске.
Невозможно применить профиль, недостаточно места на диске
Для решения этой проблемы можно полностью очистить место на диске, отметив пункт Очистить выбранные диски перед применением профиля и применить профиль повторно.
Если сообщение о недостатке места на диске появляется и при отмеченном пункте Очистить выбранные диски перед применением профиля, то это связано с недостаточным для использования автоматических методов разметки объёмом выбранных дисков. В этом случае вы можете воспользоваться методом ручной разметки: профиль Вручную.

Предупреждение

При отмеченном пункте Очистить выбранные диски перед применением профиля будут удалены все данные с выбранных дисков (включая внешние USB-носители) без возможности восстановления. Рекомендуется использовать эту возможность при полной уверенности в том, что диски не содержат никаких ценных данных.
Для продолжения установки следует нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.
Подготовка диска. Список настроенных разделов и их точек монтирования

11.3. Ручной профиль разбиения диска

При необходимости освободить часть дискового пространства следует воспользоваться профилем разбиения Вручную. В этом случае можно удалить некоторые из существующих разделов или содержащиеся в них файловые системы. После этого можно создать необходимые разделы самостоятельно или вернуться к шагу выбора профиля и применить автоматический профиль. Выбор этой возможности требует знаний об устройстве диска и технологиях его разметки.
По нажатию кнопки Далее будет произведена запись новой таблицы разделов на диск и форматирование разделов. Только что созданные на диске программой установки разделы пока не содержат данных и поэтому форматируются без предупреждения. Уже существовавшие, но изменённые разделы, которые будут отформатированы, помечаются специальным значком в колонке Файловая система слева от названия. При уверенности в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки Далее.
Не следует форматировать разделы с теми данными, которые вы хотите сохранить, например, со старыми пользовательскими данными (/home) или с другими операционными системами. С другой стороны, отформатировать можно любой раздел, который вы хотите «очистить» (удалить все данные).

Предупреждение

Не уменьшайте NTFS-раздел с установленной Microsoft Windows Vista/Windows 7 средствами программы установки. В противном случае вы не сможете загрузить Microsoft Windows Vista/Windows 7 после установки Альт Сервер. Для выделения места под установку Альт Сервер воспользуйтесь средствами, предоставляемыми самой Microsoft Windows Vista/Windows 7: Управление дискамиСжать.
Для того чтобы система правильно работала (в частности могла загрузиться) с UEFI, при ручном разбиении диска надо обязательно сделать точку монтирования /boot/efi, в которую нужно смонтировать vfat раздел с загрузочными записями. Если такого раздела нет, то его надо создать вручную. При разбивке жёсткого диска в автоматическом режиме такой раздел создаёт сам установщик. Особенности разбиения диска в UEFI-режиме:
  • требуется создать новый или подключить существующий FAT32-раздел с GPT-типом ESP (efi system partition) размером ~100—500 Мб (будет смонтирован в /boot/efi);
  • может понадобиться раздел типа bios boot partition минимального размера, никуда не подключенный и предназначенный для встраивания grub2-efi;
  • остальные разделы — и файловая система, и swap — имеют GPT-тип basic data; актуальный тип раздела задаётся отдельно.
Для сохранения всех внесенных настроек и продолжения установки в окне Подготовка диска нужно нажать кнопку Далее. Появится окно со списком настроенных разделов и их точек монтирования. Если вы уверены в том, что подготовка диска завершена, подтвердите переход к следующему шагу нажатием кнопки ОК.

11.4. Дополнительные возможности разбиения диска

Ручной профиль разбиения диска позволяет установить ОС на программный RAID-массив, разместить разделы в томах LVM и использовать шифрование на разделах. Данные возможности требуют от пользователя понимания принципов функционирования указанных технологий.

11.4.1. Создание программного RAID-массива

Избыточный массив независимых дисков RAID (redundant array of independent disks) — технология виртуализации данных, которая объединяет несколько жёстких дисков в логический элемент для избыточности и повышения производительности.

Примечание

Для создания программного RAID-массива потребуется минимум два жёстких диска.
Программа установки поддерживает создание программных RAID-массивов следующих типов:
  • RAID 1;
  • RAID 0;
  • RAID 4/5/6;
  • RAID 10.
Процесс подготовки к установке на RAID условно можно разбить на следующие шаги:
  • создание разделов на жёстких дисках;
  • создание RAID-массивов на разделах жёсткого диска;
  • создание файловых систем на RAID-массиве.

Важно

Для создания программного RAID-массива может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.

Важно

Системный раздел EFI должен быть физическим разделом в основной таблице разделов диска.
Для настройки параметров нового раздела из состава RAID-массива необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел.
Кнопка Создать раздел
Для создания программного массива на GPT-разделах следует сначала создать разделы типа basic data и не создавать на них том (снять отметку с пункта Создать том):
Создание раздела программного массива в режиме UEFI
В этом окне необходимо настроить следующие параметры:
  • Размер — в поле необходимо указать размер будущего раздела в Мбайт;
  • Смещение — в поле необходимо указать смещение начала данных на диске в Мбайт;
  • Тип раздела — в выпадающем поле нужно выбрать значение basic data для последующего включения раздела в RAID-массив.

Примечание

В режиме Legacy при создании разделов на жёстких дисках для последующего включения их в RAID-массивы следует указать Тип раздела для них равным Linux RAID:
Создание разделов для RAID-массива
На втором диске создать два раздела с типом basic data без создания на них томов. При этом разделы на разных дисках должны совпадать по размеру.

Примечание

При создании разделов следует учесть, что объём результирующего массива может зависеть от размера, включённых в него разделов жёсткого диска. Например, при создании RAID 1 результирующий размер массива будет равен размеру минимального участника.
После создания разделов на дисках можно переходить к организации самих RAID-массивов. Для этого в списке следует выбрать пункт RAID, после чего нажать кнопку Создать RAID:
Организация RAID-массива
Далее мастер предложит выбрать тип массива:
Выбор типа RAID-массива
И указать участников RAID-массива (по умолчанию выбираются все разделы, поэтому необходимо снять отметку с раздела sdb1):
Выбор участников RAID-массива
Результат создания RAID-массива:
Результат создания RAID-массива
После того, как RAID-массив создан, его можно использовать как обычный раздел на жёстких дисках, то есть на нём можно создавать файловые системы или же, например, включать в LVM-тома.

Примечание

После установки системы можно будет создать ещё один RAID-массив и добавить в него загрузочный раздел (/boot/efi).

11.4.2. Создание LVM-томов

Менеджер логических дисков LVM (Logical Volume Manager) — средство гибкого управления дисковым пространством, позволяющее создавать поверх физических разделов (либо неразбитых дисков) логические тома, которые в самой системе будут видны как обычные блочные устройства с данными (обычные разделы).
Процесс подготовки к установке на LVM условно можно разбить на следующие шаги:
  • создание разделов на жёстких дисках;
  • создание группы томов LVM;
  • создание томов LVM;
  • создание файловых систем на томах LVM.

Важно

Для создания группы томов LVM может потребоваться предварительно удалить существующую таблицу разделов с жёсткого диска.

Важно

Системный раздел EFI должен быть физическим разделом в основной таблице разделов диска, не под LVM.
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
Кнопка Создать раздел
При создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным basic data и не создавать на них том (снять отметку с пункта Создать том):
Создание раздела Linux LVM в режиме UEFI

Примечание

В режиме Legacy при создании разделов на жёстких дисках для последующего включения их в LVM-тома следует указать Тип раздела для них равным Linux LVM:
Создание раздела Linux LVM в режиме Legacy
После создания разделов на дисках можно переходить к созданию группы томов LVM. Для этого в списке следует выбрать пункт LVM, после чего нажать кнопку Создать группу томов:
Создание LVM-томов
В открывшемся окне необходимо выбрать разделы, которые будут входить в группу томов, указать название группы томов и выбрать размер экстента:
Создание группы томов LVM

Примечание

Размер экстента представляет собой наименьший объем пространства, который может быть выделен тому. Размер экстента по умолчанию 65536 (65536*512 байт = 32 Мб, где 512 байт — размер сектора).
После того, как группа томов LVM создана, её можно использовать как обычный жёсткий диск, то есть внутри группы томов можно создавать тома (аналог раздела на физическом жёстком диске) и файловые системы внутри томов.
Создание тома

11.4.3. Создание шифрованных разделов

Программа установки Альт Сервер позволяет создавать шифрованные разделы.
Процесс создания шифрованного раздела ничем не отличается от процесса создания обычного раздела и инициируется нажатием на кнопку Создать шифруемый раздел:
Создание шифрованного раздела
После создания шифрованного раздела мастер, как и при создании обычного раздела, предложит создать на нём файловую систему и при необходимости потребует указать точку монтирования:
Создание шифрованного раздела

Предупреждение

Установка загрузчика на шифрованный раздел не поддерживается.

11.4.4. Создание подтомов BtrFS

Подтом (subvolume) не является блочным устройством, но в каждом томе btrfs создаётся один подтом верхнего уровня (subvolid=5), в этом подтоме могут создаваться другие подтома и снапшоты. Подтома (подразделы, subvolumes) создаются ниже вершины дерева BtrFS по мере необходимости, например, для / и /home создаются подтома с именами @ и @home. Это означает, что для монтирования подтомов необходимы определенные параметры вместо корня системы BtrFS по умолчанию:
  • подтом @ монтируется в / с помощью опции subvol=@;
  • подтом @home, если он используется, монтируется в /home с помощью параметра монтирования subvol=@home.
Программа установки Альт Сервер позволяет создать подтома (subvolume), указав разные точки монтирования.
Процесс подготовки к установке на подтома условно можно разбить на следующие шаги:
  • создание разделов на жёстких дисках;
  • создание подтомов на разделах жёсткого диска.
В данном разделе рассмотрен вариант подготовки раздела BtrFS с разбивкой на подразделы @ и @home.
Для настройки параметров нового раздела необходимо выбрать неразмеченный диск в окне профиля разбивки пространства Вручную и нажать кнопку Создать раздел:
Создание раздела с ФС BtrFS
При создании раздела на жёстком диске следует указать Тип раздела равным Linux filesystem или basic data:
Создание раздела с ФС BtrFS в режиме UEFI

Примечание

В режиме Legacy при создании раздела на жёстком диске для последующего создания подтомов BtrFS следует указать Тип раздела равным Linux:
Создание раздела с ФС BtrFS в режиме Legacy
На следующем шаге выбрать файловую систему BtrFS:
Создание раздела с ФС BtrFS
В окне Изменить точку монтирования нажать кнопку Отмена (не указывать точку монтирования для раздела):
Окно Изменить точку монтирования
После создания раздела можно переходить к созданию подтомов. Для этого в списке следует выбрать раздел с файловой системой BtrFS, после чего нажать кнопку Создать подтом:
Кнопка Создать подтом
В открывшемся окне следует указать имя подтома или путь до него. Создание подтома @home:
Создание подтома @home
Данное действие следует повторить для создания подтома @.
После создания подтомов необходимо указать точки монтирования для каждого тома. Для этого выбрать подтом и нажать кнопку Изменить точку монтирования:
Кнопка Изменить точку монтирования
В открывшемся окне указать точку монтирования:
Точка монтирования для подтома @
Далее можно установить систему как обычно.

11.4.5. Настройка RAID-массива с IMSM-метаданными (Intel VROC)

Примечание

RAID (0/1/5/10) массив должен быть сформирован средствами UEFI BIOS на основе INTEL VROC. На этом массиве также средствами UEFI BIOS может быть сформирован логический том (Volume).
RAID-массив с IMSM-метаданными
Программа установки Альт Сервер позволяет:
  • выбрать IMSM-раздел для размещения на нём какой-то точки монтирования;
  • удалить и создать заново раздел;
  • удалить и создать GPT и разделы для загрузки и системы.
Пример разбивки (GPT) тома на разделы средствами установщика:
Разделы на RAID-массиве с IMSM метаданными

Глава 12. Перемонтирование

По завершении этапа подготовки диска начинается шаг перемонтирования. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Перемонтирование

Глава 13. Установка системы

На данном этапе происходит распаковка ядра и установка набора программ, необходимых для работы Альт Сервер.
Программа установки предлагает выбрать дополнительные пакеты программ, которые будут включены в состав Альт Сервер и установлены вместе с ней на диск.

13.1. Дополнительные приложения

Выбор групп приложений
В дистрибутиве Альт Сервер доступно значительное количество программ, часть из них составляет саму операционную систему, а остальные — это прикладные программы и утилиты.
В Альт Сервер все операции установки и удаления производятся над пакетами — отдельными компонентами системы. Пакет и программа соотносятся неоднозначно: иногда одна программа состоит из нескольких пакетов, иногда один пакет включает несколько программ.
В процессе установки системы обычно не требуется детализированный выбор компонентов на уровне пакетов — это требует слишком много времени и знаний от проводящего установку, тем более, что комплектация дистрибутива подбирается таким образом, чтобы из имеющихся программ можно было составить полноценную рабочую среду для соответствующей аудитории пользователей. Поэтому в процессе установки системы пользователю предлагается выбрать из небольшого списка групп пакетов именно те, которые необходимы для решения наиболее распространённых задач. Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.
Выбор профиля
При установке сервера доступны следующие профили:
  • Офисный сервер — для установки будут предложены группы пакетов с серверными приложениями и система управления сетевыми интерфейсами systemd-networkd;
  • Сервер Samba DC (контроллер AD) — для установки будут предложена группа пакетов для конфигурации сервера в качестве контроллера AD;
  • Домашний сервер — в состав устанавливаемых пакетов будут включены инструменты диагностики, графическая среда MATE и система управления сетевыми интерфейсами NetworkManager;
  • Минимальная установка — дополнительное ПО в состав устанавливаемых пакетов включаться не будет.
После выбора профиля можно изменить состав устанавливаемых пакетов.

Примечание

При установке серверного приложения Сервер Nextcloud после загрузки будет доступна служба Nextcloud 27. Для доступа к административным функциям этого приложения через веб-интерфейс необходимо сменить пароль администратора в «Центре управления системой» (пароль должен быть достаточно сложным и содержать не менее 10 символов).
Веб-приложение Nextcloud, установленное при установке системы, будет доступно по адресу https://localhost/nextcloud/. Администратор: ncadmin, пароль: пароль пользователя root.
При первом запуске установленной системы запускаются скрипты настройки данного приложения, поэтому первый запуск системы может занять достаточно продолжительное время.
Под списком групп на экране отображается информация об объёме дискового пространства, которое будет занято после установки пакетов, входящих в выбранные группы.
Опция Показать состав группы выводит список программных пакетов, входящих в состав той или иной группы пакетов.
Список программных пакетов, входящих в состав группы

Примечание

Группа пакетов Сборка пакетов
Если выбрана группа пакетов Сборка пакетов, после установки системы необходимо настроить пользователя для сборки. Для этого следует выполнить команду (если пользователь не существует, он будет создан):
# builder-useradd <имя_пользователя>
и перелогиниться.
Выбрав необходимые группы, следует нажать кнопку Далее, после чего начнётся установка пакетов.

13.2. Установка пакетов

На этом этапе происходит установка набора программ, необходимых для работы системы.
Установка системы
Установка происходит автоматически в два этапа:
  • получение пакетов;
  • установка пакетов.
Получение пакетов осуществляется из источника, выбранного на этапе начальной загрузки. При сетевой установке (по протоколу FTP или HTTP) время выполнения этого шага будет зависеть от скорости соединения и может быть значительно большим в сравнении с установкой с лазерного диска.

Глава 14. Сохранение настроек

Начиная с данного этапа, программа установки работает с файлами только что установленной базовой системы. Все последующие изменения можно будет совершить после завершения установки посредством редактирования соответствующих конфигурационных файлов или при помощи модулей управления, включенных в дистрибутив.
По завершении установки базовой системы начинается шаг сохранения настроек. Он проходит автоматически и не требует вмешательства пользователя. На экране отображается индикатор выполнения.
Сохранение настроек
На этом шаге производится перенос настроек, выполненных на первых шагах установки, в только что установленную базовую систему. Производится также запись информации о соответствии разделов жесткого диска смонтированным на них файловым системам (заполняется конфигурационный файл /etc/fstab).
После сохранения настроек осуществляется автоматический переход к следующему шагу.

Глава 15. Установка загрузчика

Загрузчик ОС — это программа, которая позволяет загружать Альт Сервер и другие ОС, если они установлены на данной машине.
При установке на EFI модуль установки загрузчика предложит вариант установить загрузчик в специальный раздел «EFI» (рекомендуется выбрать автоматическое разбиение на этапе разметки диска для создания необходимых разделов для загрузки с EFI):
Установка загрузчика при установке в режиме EFI
Варианты установки загрузчика при установке в режиме EFI:
  • EFI (рекомендуемый) — при установке загрузчика в NVRAM будет добавлена запись, без которой большинство компьютеров не смогут загрузиться во вновь установленную ОС;
  • EFI (сначала очистить NVRAM) — перед добавлением записи в NVRAM её содержимое будет сохранено в /root/.install-log, после чего из неё будут удалены все загрузочные записи, что приведёт к восстановлению полностью заполненной NVRAM и гарантирует загрузку вновь установленной ОС;
  • EFI (запретить запись в NVRAM) — этот вариант следует выбрать, только если инсталлятор не может создать запись в NVRAM или если заведомо известно, что запись в NVRAM может вывести компьютер из строя (вероятно, запись в NVRAM придётся создать после установки ОС средствами BIOS Setup);
  • EFI (для съёмных устройств) — этот вариант следует выбрать, только если ОС устанавливается на съёмный накопитель. Этот вариант также можно использовать вместо варианта EFI (запретить запись в NVRAM) при условии, что это будет единственная ОС на данном накопителе. Создавать запись в NVRAM не потребуется.
Выбор варианта установки загрузчика, зависит от вашего оборудования. Если не работает один вариант, попробуйте другие.

Примечание

Установка загрузчика при установке в режиме Legacy:
Установка загрузчика
Программа установки автоматически определяет, в каком разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска ОС Альт Сервер. Положение загрузчика, в случае необходимости, можно изменить в списке Устройство, выбрав другой раздел.
Если же вы планируете использовать и другие ОС, уже установленные на этом компьютере, тогда имеет значение, на каком жёстком диске или в каком разделе будет расположен загрузчик.
Для ограничения доступа к опциям загрузки можно установить пароль на загрузчик. Для этого необходимо отметить пункт Установить или сбросить пароль и задать пароль в появившихся полях для ввода.
Установка загрузчика

Примечание

При необходимости изменения опций загрузки при старте компьютера потребуется ввести имя пользователя «boot» и заданный на этом шаге пароль.
Для подтверждения выбора и продолжения работы программы установки необходимо нажать кнопку Далее.

Глава 16. Настройка сети

На этом этапе необходимо задать параметры работы сетевой карты и настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п. Конкретные значения будут зависеть от используемого вами сетевого окружения. Ручного введения настроек можно избежать при наличии в сети настроенного DHCP-сервера. В этом случае все необходимые сетевые настройки будут получены автоматически.
Настройка сети
В окне Настройка сети доступны следующие поля:
  • Имя компьютера — сетевое имя компьютера (это общий сетевой параметр, не привязанный к какому либо конкретному интерфейсу);
  • Интерфейсы — список доступных сетевых интерфейсов;
  • Версия протокола IP — версия используемого протокола IP (IPv4, IPv6);
  • Конфигурация — способ назначения IP-адресов (Использовать DHCP, Использовать Zeroconf, Вручную);
  • IP-адреса — пул назначенных IP-адресов из поля Добавить ↑ IP, выбранные адреса можно удалить нажатием кнопки Удалить;
  • Добавить ↑ IP — позволяет ввести IP-адрес вручную и выбрать в выпадающем поле предпочтительную маску сети. Для переноса адреса в пул поля IP-адреса необходимо нажать кнопку Добавить;
  • Шлюз по умолчанию — адрес шлюза, который будет использоваться сетью по умолчанию;
  • DNS-серверы — список предпочтительных DNS-серверов, которые будут получать информацию о доменах, выполнять маршрутизацию почты и управлять обслуживающими узлами для протоколов в домене;
  • Домены поиска — список предпочтительных доменов, по которым будет выполняться поиск.

Примечание

При переключении конфигурации с Использовать DHCP на Вручную в поле IP-адреса может отображаться IP-адрес, полученный по DHCP. Этот адрес никак не используется в дальнейшей настройке. Необходимо удалить отображаемый IP-адрес и задать адрес вручную, иначе сетевому интерфейсу будет назначен IP-адрес локальной заглушки (например, 127.0.0.2).
В окне, открываемом при нажатии кнопки Дополнительно, можно выбрать сетевую подсистему (NetworkManager, Etcnet, systemd-networkd) для интерфейса, а также указать должен ли запускаться данный интерфейс при загрузке системы.
Настройка сети. Выбор сетевой подсистемы для интерфейса

Примечание

Список доступных сетевых подистем зависит от пакетов, выбранных на этапе Установка системы (группа пакетов Система управления сетевыми интерфейсами). Более подробную информацию о сетевых подсистемах вы можете прочитать в главе Конфигурирование сетевых интерфейсов.
Для сохранения настроек сети и продолжения работы программы установки необходимо нажать кнопку Далее.

Глава 17. Администратор системы

На данном этапе загрузчик создает учетную запись администратора. В открывшемся окне необходимо ввести пароль учетной записи администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учетной записи вводится дважды.
Администратор системы

Примечание

Чтобы избежать последствий неверной раскладки клавиатуры можно просмотреть пароль, который будет сохранен. Для этого нажмите на значок глаза в поле ввода:
Просмотр пароля
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В любой системе Linux всегда присутствует один специальный пользователь — администратор системы, он же суперпользователь. Для него зарезервировано стандартное системное имя — root.
Администратор системы отличается от всех прочих пользователей тем, что ему позволено производить любые, в том числе самые разрушительные изменения в системе. Поэтому выбор пароля администратора системы — очень важный момент для безопасности. Любой, кто сможет ввести его правильно (узнать или подобрать), получит неограниченный доступ к системе. Даже ваши собственные неосторожные действия от имени root могут иметь катастрофические последствия для всей системы.

Важно

Стоит запомнить пароль root — его нужно будет вводить для получения права изменять настройки системы с помощью стандартных средств настройки Альт Сервер. Более подробную информацию о режиме суперпользователя вы можете прочитать в главе Режим суперпользователя.
Подтверждение введенного (или сгенерированного) пароля учетной записи администратора (root) и продолжение работы программы установки выполняется нажатием кнопки Далее.

Глава 18. Системный пользователь

На данном этапе программа установки создает учетную запись системного пользователя (пользователя) Альт Сервер.
Системный пользователь
Помимо администратора (root) в систему необходимо добавить, по меньшей мере, одного обычного системного пользователя. Работа от имени администратора системы считается опасной, поэтому повседневную работу в Linux следует выполнять от имени ограниченного в полномочиях системного пользователя.
При добавлении системного пользователя предлагается ввести имя учётной записи пользователя. Имя учётной записи всегда представляет собой одно слово, состоящее только из строчных латинских букв (заглавные запрещены), цифр и символа подчёркивания «_» (причём цифра и символ «_» не могут стоять в начале слова).
Для того чтобы исключить опечатки, пароль пользователя вводится дважды. Пароль пользователя можно создать автоматически, по аналогии с автоматическим созданием пароля суперпользователя.
Для автоматической генерации пароля необходимо отметить пункт Создать автоматически. Система предложит пароль, сгенерированный автоматическим образом в соответствии с требованиями по стойкости паролей.
В процессе установки предлагается создать только одну учётную запись системного пользователя — от его имени можно выполнять задачи, не требующие привилегий суперпользователя. Учётные записи для всех прочих пользователей системы можно будет создать в любой момент после установки операционной системы.
Подтверждение введенного (или сгенерированного) пароля учетной записи системного пользователя и продолжение работы программы установки выполняется нажатием кнопки Далее.

Глава 19. Установка пароля на шифрованные разделы

Примечание

Если вы не создавали шифруемые разделы, то этот шаг пропускается автоматически. В этом случае сразу переходите к главе Завершение установки.
На этом этапе требуется ввести пароль для шифруемых разделов. Этот пароль потребуется вводить для того, чтобы получать доступ к информации на данных разделах.
Установка пароля на LUKS-разделы
Например, если вы зашифровали /home, то во время загрузки системы будет необходимо ввести пароль для этого раздела, иначе вы не сможете получить доступ в систему под своим именем пользователя.

Примечание

Впоследствии пароль для шифруемых разделов нельзя будет сменить в Центре управления системой. Для управления шифрованными разделами можно будет воспользоваться командой cryptsetup (см. Управление шифрованными разделами).

Глава 20. Завершение установки

На экране последнего шага установки отображается информация о завершении установки Альт Сервер.
Завершение установки
После нажатия кнопки Завершить автоматически начнется перезагрузка системы.
Не забудьте извлечь установочный DVD (если это не происходит автоматически). Далее можно загружать установленную систему в обычном режиме.

Глава 21. Обновление системы до актуального состояния

После установки системы, её лучше сразу обновить до актуального состояния. Можно не обновлять систему и сразу приступать к работе только в том случае, если вы не планируете подключаться к сети или Интернету, не собираетесь устанавливать дополнительных программ.
Для обновления системы необходимо выполнить команды (с правами администратора):
# apt-get update
# apt-get dist-upgrade
# update-kernel
# apt-get clean
# reboot

Примечание

Получить права администратора можно, выполнив в терминале команду:
$ su -
или зарегистрировавшись в системе (например, на второй консоли Ctrl+Alt+F2) под именем root. Про режим суперпользователя можно почитать в главе Режим суперпользователя.

Примечание

Подробнее про обновление пакетов можно прочитать в главах Обновление системы, Обновление всех установленных пакетов и Обновление ядра.

Глава 22. Автоматическая установка системы (autoinstall)

ОС Альт Сервер можно установить в автоматическом режиме. Для этого нужно иметь установочный диск и доступный по сети (по протоколам HTTP или FTP) каталог с несколькими файлами.

Примечание

Настроить FTP-сервер можно, например, в ЦУС (подробнее см. FTP-сервер).

22.1. Файлы автоустановки

Файлы автоустановки:
  • pkg-groups.tar — архив, содержащий дополнительные к базовой системе группы пакетов;
  • autoinstall.scm — сценарий автоматической установки на языке Scheme;
  • vm-profile.scm — различные варианты автоматической разбивки жёсткого диска на языке Scheme;
  • install-scripts.tar — архив, содержащий дополнительные скрипты для preinstall.d и postinstall.d в одноимённых каталогах. Скрипты должны быть исполняемыми. Скрипты из архива заменяют одноимённые скрипты инсталлятора.
Файлы, описывающие процесс установки, необходимо поместить в каталог (например, metadata), доступный по сети по протоколам HTTP или FTP.

22.1.1. Формат файла vm-profile.scm

Файл vm-profile.scm содержит сценарий на языке Scheme, описывающий формат автоматической разбивки жёсткого диска.
Пример файла vm-profile.scm с одним профилем (server) разбивки жёсткого диска:
((server
  (title . "Setup for server")
  (action . trivial)
  (actiondata  ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
               ("/" (size 16384000 . 16384000 ) (fsim . "Ext4") (methods plain))
               ("/var" (size 4096000 . #t ) (fsim . "Ext4") (methods plain))))
               )
В примере указана разбивка:
  • подкачка (swap) — 1024 МБ;
  • корневой раздел (/) — 8 ГБ;
  • /var — всё остальное, но не меньше 2 ГБ.

Примечание

Все числа в файле vm-profile.scm указываются в виде 512-байтных блоков, поэтому чтобы получить размер в байтах, нужно умножить значения на 512.

Примечание

Добавление записи для /boot/efi не требуется — установщик добавит её сам.
Пример файла vm-profile.scm с тремя профилями разбивки жёсткого диска:
((server
  (title . "Setup for server")
  (action . trivial)
  (actiondata  ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
               ("/" (size 16384000 . 16384000 ) (fsim . "Ext4") (methods plain))
               ("/var" (size 4096000 . #t ) (fsim . "Ext4") (methods plain))))
  (server_lvm
  (title . "Setup for server LVM")
  (action . trivial)
  (actiondata  ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods lvm))
               ("/" (size 16384000 . 16384000 ) (fsim . "Ext4") (methods lvm))
               ("/var" (size 4096000 . #t ) (fsim . "Ext4") (methods lvm))))
  (timeshift
  (title . "Timeshift-compatible setup")
  (action . trivial)
  (actiondata  ("swap" (size 2048000 . 2048000) (fsim . "SWAPFS") (methods plain))
               ("" (size 40632320 . #t) (fsim . "BtrFS") (methods plain) (subvols ("@" . "/") ("@home" . "/home")))))
               )
В примере указаны профили:
  • server — подкачка (swap), корневой раздел и раздел /var;
  • server_lvm — подкачка (swap), корневой раздел и раздел /var в томе LVM;
  • timeshift — подкачка (swap) и раздел BtrFS с разбивкой на подразделы @ и @home.
Имя профиля указывается в файле autoinstall.scm:
("/evms/profiles/server_lvm" action apply commit #f clearall #t exclude ())

22.1.2. Формат файла pkg-groups.tar

Файл pkg-groups.tar представляет собой tar-архив с двумя подкаталогами:
  • groups — содержит описание групп программного обеспечения в файлах *.directory;
  • lists — содержит файлы со списками пакетов для каждой группы и скрытый файл .base, содержащий список пакетов «базовой системы» (то есть те пакеты, которые устанавливаются в любом случае).
Файл pkg-groups.tar проще всего взять из установочного ISO-образа из каталога /Metadata/ и доработать, если необходимо.
Для изменения списка пакетов:
  1. Распаковать архив, например, выполнив команду:
    $ tar xf pkg-groups.tar
    
  2. Перейти в подкаталог lists и добавить или изменить файл группы. Имена пакетов указываются по одному в каждой строке, например, содержимое файла admc:
    admc
    alterator-gpupdate
    gpupdate
    local-policy
    admx-basealt
    samba-dc-common
    admx-firefox
    admx-chromium
    gpui
    
  3. Упаковать архив, например, выполнив команду:
    $ tar cf pkg-groups.tar groups lists
    
Имя файла используемой группы затем указывается через пробел в autoinstall.scm:
(("pkg-install") action "write" lists "group-1 group-2" auto #t)
где group-1 и group-2 — имена файлов со списками пакетов из подкаталога lists.

Важно

В качестве источника пакетов при установке выступает сам диск, поэтому указание пакетов, которых нет на диске, приведёт к сбою установки.

22.1.3. Формат файла autoinstall.scm

Файл autoinstall.scm представляет собой командный скрипт для программы установки, написанный с использованием языка программирования Scheme. Каждая строка скрипта — команда для модуля программы установки.
Пример файла autoinstall.scm:
; установка языка операционной системы (ru_RU)
("/sysconfig-base/language" action "write" lang ("ru_RU"))
; установка переключателя раскладки клавиатуры на Ctrl+Shift
("/sysconfig-base/kbd" language ("ru_RU") action "write" layout "ctrl_shift_toggle")
; установка часового пояса в Europe/Moscow, время в BIOS будет храниться в UTC
("/datetime-installer" action "write" commit #t name "RU" zone "Europe/Moscow" utc #t)
; автоматическая разбивка жёсткого диска в профиле server_lvm
("/evms/control" action "write" control open installer #t)
("/evms/control" action "write" control update)
("/evms/profiles/server_lvm" action apply commit #f clearall #t exclude ())
("/evms/control" action "write" control commit)
("/evms/control" action "write" control close)
; перемонтирование
("/remount-destination" action "write")
; установка пакетов операционной системы
("pkg-init" action "write")
; установка только базовой системы (дополнительные группы пакетов из pkg-groups.tar указываются по именам через пробел)
("/pkg-install" action "write" lists "" auto #t)
("/preinstall" action "write")
; установка загрузчика GRUB в efi
("/grub" action "write" device "efi" passwd #f passwd_1 "*" passwd_2 "*")
; настройка сетевого интерфейса на получение адреса по DHCP
("/net-eth" action "write" reset #t)
("/net-eth" action "write" name "enp0s3" ipv "4" configuration "dhcp" default "" search "" dns "" computer_name "newhost" ipv_enabled #t)
("/net-eth" action "write" commit #t)
; установка пароля суперпользователя root '123'
("/root/change_password" passwd_2 "123" passwd_1 "123")
; задание первого пользователя 'user' с паролем '123'
("/users/create_account" new_name "user" gecos "user" allow_su #t auto #f passwd_1 "123" passwd_2 "123" autologin #f)
;("/postinstall/firsttime" script "ftp://192.168.0.123/metadata/update.sh")
В данном примере будет выполнена установка системы в минимальном профиле (дополнительное ПО в состав устанавливаемых пакетов включаться не будет). Если, например, необходимо установить графический интерфейс MATE, то в список устанавливаемых пакетов нужно добавить группу centaurus/mate:
("/pkg-install" action "write" lists "centaurus/mate" auto #t)
При установке системы в режиме EFI загрузчик устанавливается в специальный раздел efi. Пример установки пароля на загрузчик в режиме EFI (пароль '123'):
("/grub" action "write" device "efi" passwd #t passwd_1 "123" passwd_2 "123")
Если установка происходит в режиме Legacy, то загрузчик GRUB необходимо установить на первый жёсткий диск, например:
("/grub" action "write" device "/dev/sda" passwd #f passwd_1 "*" passwd_2 "*")
Пример настройки сетевого интерфейса на статический IP-адрес:
("/net-eth" action "write" reset #t)
("/net-eth" action "write" name "enp0s3" ipv "4" configuration "static" default "192.168.0.1" search "" dns "8.8.8.8" computer_name "newhost" ipv_enabled #t)
("/net-eth" action "add_iface_address" name "enp0s3" addip "192.168.0.25" addmask "24" ipv "4")
("/net-eth" action "write" commit #t)
где:
  • addip "192.168.0.25" — IP-адрес;
  • default "192.168.0.1" — шлюз по умолчанию;
  • dns "8.8.8.8" — DNS-сервер;
  • computer_name "newhost" — имя хоста.
В конец файла autoinstall.scm можно добавить шаг /postinstall, который позволяет в конце установки или при первом запуске ОС выполнить команду или скрипт. Например:
("/postinstall/firsttime" script "ftp://192.168.0.123/metadata/update.sh")
У шага /postinstall есть два уровня запуска:
  • laststate — скрипт запускается перед перезагрузкой после установки ОС;
  • firsttime — скрипт запускается во время первого запуска ОС.
И два метода (method) указания скрипта запуска:
  • script — скрипт скачивается с сервера и выполняется;
  • run — выполняется заданная команда или набор команд (возможно указание перенаправления).
Примеры:
("/postinstall/firsttime" script "http://server/script.sh")
("/postinstall/firsttime" run "curl --silent --insecure http://server/finish")

("/postinstall/laststate" script "http://server/script.sh")
("/postinstall/laststate" run "curl --silent --insecure http://server/gotoreboot")

Примечание

На уровне laststate для работы с установленной системой требуется указывать пути с $destdir или выполнять команды через run_chroot:
#!/bin/sh

a= . install2-init-functions

run_chroot sh -c "date > /root/STAMP_1"
date > $destdir/root/STAMP_2

22.1.4. Формат файла install-scripts.tar

Файл install-scripts.tar представляет собой tar-архив содержащий дополнительные скрипты.
Скрипты preinstall.d выполняются сразу после установки базовой системы. Как правило, это скрипты для дополнительной настройки базовой системы (перед установкой дополнительного набора ПО) и для переноса настроек из среды инсталлятора. Добавлять сюда свои собственные скрипты стоит только тогда, когда вы чётко представляете свои цели. Скрипты postinstall.d выполняются сразу после последнего шага инсталлятора. Как правило, это скрипты, удаляющие служебные пакеты инсталлятора из базовой системы. Если нужно сделать какие-нибудь специфические настройки системы, то это можно сделать здесь.
Скрипты preinstall.d необходимо поместить в каталог preinstall.d, скрипты postinstall.d — в каталог postinstall.d. Упаковать архив можно, например, выполнив команду:
$ tar cf install-scripts.tar preinstall.d postinstall.d

Примечание

Данные скрипты выполняются в среде установщика, а не в среде установленной системы. Для работы с установленной системой требуется указывать пути с $destdir или выполнять команды через run_chroot:
#!/bin/sh

a= . install2-init-functions

run_chroot sh -c "date > /root/STAMP_1"
date > $destdir/root/STAMP_2

22.2. Запуск автоматической установки

Для включения режима автоматической установки ядру инсталлятора ОС необходимо передать параметр загрузки ai (без значения) и параметр curl с указанием каталога с установочными файлами. Формат адреса в curl должен быть представлен в виде URL:
ai curl=ftp://<IP-адрес>/metadata/
Чтобы начать процесс автоматической установки ОС Альт Сервер, необходимо загрузиться с носителя, на котором записан дистрибутив. Затем клавишами перемещения курсора вверх и вниз выбрать пункт меню Install ALT Server 10.4 и нажать клавишу E. В открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz, в её конец дописать требуемые параметры:
Включение режима автоматической установки
После нажатия клавиши F10 начнётся автоматическая установка системы.
При невозможности получения файлов из указанного источника по сети, программа установки будет смотреть в следующих местах:
  1. На диске в каталоге /Metadata/.
  2. В образе установщика в каталоге /usr/share/install2/metadata/.

Глава 23. Первая помощь

Важно

В случае возникновения каких-либо неприятностей не паникуйте, а спокойно разберитесь в сложившейся ситуации. Linux не так уж просто довести до полной неработоспособности и утраты ценных данных. Поспешные действия отчаявшегося пользователя могут привести к плачевным результатам. Помните, что решение есть, и оно обязательно найдётся!

23.1. Проблемы при установке системы

Важно

При возникновении проблем с UEFI или Legacy/CSM рекомендуется изменить выбор используемого вида прошивки на другой. Не следует выбирать режим смешанной загрузки Legacy/UEFI! Рекомендуется отключить всевозможные оптимизации и ускорение UEFI-загрузки, а также отключить на время установки SecureBoot.
Если в системе не произошла настройка какого-либо компонента после стадии установки пакетов, не отчаивайтесь, доведите установку до конца, загрузитесь в систему и попытайтесь в спокойной обстановке повторить настройку.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. В открывшемся редакторе следует найти строку, начинающуюся с linux /boot/vmlinuz, в её конец дописать требуемые параметры, отделив пробелом и нажать F10.
Редактор параметров пункта загрузки
Примеры параметров пункта загрузки:
  • nomodeset — не использовать modeset-драйверы для видеокарты;
  • vga=normal — отключить графический экран загрузки установщика;
  • xdriver=vesa — явно использовать видеодрайвер vesa. Данным параметром можно явно указать нужный вариант драйвера;
  • acpi=off noapic — отключение ACPI (управление питанием), если система не поддерживает ACPI полностью.
Если вы вообще не смогли установить систему (не произошла или не завершилась стадия установки пакетов), то сначала попробуйте повторить попытку в безопасном режиме (apm=off acpi=off mce=off barrier=off vga=normal). В безопасном режиме отключаются все параметры ядра, которые могут вызвать проблемы при загрузке. В этом режиме установка будет произведена без поддержки APIC. Возможно, у вас какое-то новое или нестандартное оборудование, но может оказаться, что оно отлично настраивается со старыми драйверами.
Если вы хотите получить точный ответ, то сообщите, пожалуйста, подробный состав вашего оборудования и подробное описание возникшей проблемы в нашей системе отслеживания ошибок.

23.2. Проблемы с загрузкой системы

Если не загружается ни одна из установленных операционных систем, то значит, есть проблема в начальном загрузчике. Такие проблемы могут возникнуть после установки системы, в случае если загрузчик все-таки не установлен или установлен с ошибкой. При установке или переустановке Windows на вашем компьютере загрузчик Linux будет перезаписан в принудительном порядке, и станет невозможно запускать Linux.
Повреждение или перезапись загрузчика никак не затрагивает остальные данные на жёстком диске, поэтому в такой ситуации очень легко вернуть работоспособность: для этого достаточно восстановить загрузчик.
Если у вас исчез загрузчик другой операционной системы или другого производителя, то внимательно почитайте соответствующее официальное руководство на предмет его восстановления. Но в большинстве случаев вам это не потребуется, так как загрузчик, входящий в состав Альт Сервер, поддерживает загрузку большинства известных операционных систем.
Для восстановления загрузчика достаточно любым доступным способом загрузить Linux и получить доступ к тому жёсткому диску, на котором находится повреждённый загрузчик. Для этого проще всего воспользоваться восстановительным режимом, который предусмотрен на установочном диске дистрибутива (пункт Восстановление системы).
Загрузка восстановительного режима заканчивается приглашением командной строки: [root@localhost /]#. Начиная с этого момента, система готова к вводу команд.
В большинстве случаев для восстановления загрузчика можно просто воспользоваться командой fixmbr без параметров. Программа попытается переустановить загрузчик в автоматическом режиме.

23.3. Полезные ссылки

Если у вас что-то не получается, вы всегда можете поискать решение на ресурсах, указанных в разделе Техническая поддержка продуктов «Базальт СПО».

Часть III. Начало использования Альт Сервер

В этой части рассматривается загрузка установленной операционной системы и вход в среду рабочего стола.

Глава 24. Загрузка системы

Запуск Альт Сервер выполняется автоматически после запуска компьютера и отработки набора программ BIOS.
На экране появляется меню, в котором перечислены возможные варианты загрузки операционной системы.
Загрузка системы

Важно

При первом старте, в условиях установки нескольких ОС на один компьютер, возможно отсутствие в загрузочном меню пункта/пунктов с другой/другими операционными системами, они будут добавлены в список при последующей перезагрузке. Все перечисленные в меню после перезагрузки варианты могут быть загружены загрузчиком Linux.
Стрелками клавиатуры Вверх и Вниз выберите нужную операционную систему. Дополнительно к основным вариантам запуска ОС из этого меню можно загрузить Linux в безопасном режиме или запустить проверку памяти.
Загрузка операционной системы по умолчанию (первая в списке) начинается автоматически после небольшого времени ожидания (обычно несколько секунд). Нажав клавишу Enter, можно начать загрузку немедленно.
Нажатием клавиши E можно вызвать редактор параметров текущего пункта загрузки. Если система настроена правильно, то редактировать их нет необходимости.
В процессе загрузки Альт Сервер пользователь может следить за информацией процесса загрузки, которая отображает этапы запуска различных служб и программных серверов в виде отдельных строк, на экране монитора.
Информация процесса загрузки системы
При этом каждая строка начинается словом вида [XXXXXXX] (FAILED или OK), являющегося признаком нормального или ненормального завершения этапа загрузки. Слово XXXXXXX=FAILED (авария) свидетельствует о неуспешном завершении этапа загрузки, что требует вмешательства и специальных действий администратора системы.
Загрузка операционной системы может занять некоторое время, в зависимости от производительности компьютера. Основные этапы загрузки операционной системы — загрузка ядра, подключение (монтирование) файловых систем, запуск системных служб — периодически могут дополняться проверкой файловых систем на наличие ошибок. В этом случае время ожидания может быть занять больше времени, чем обычно. Подробную информацию о шагах загрузки можно получить, нажав клавишу Esc.

Глава 25. Получение доступа к зашифрованным разделам

В случае, если вы создали шифрованный раздел, вам потребуется вводить пароль при обращении к этому разделу.
Запрос ввода пароля для LUKS-раздела
Например, если был зашифрован домашний раздел /home, то для того, чтобы войти в систему под своим именем пользователя, вам потребуется ввести пароль этого раздела и затем нажать Enter.

Важно

Если не ввести пароль за отведенный промежуток времени, то загрузка системы завершится ошибкой. В этом случае вам следует перезагрузить систему, нажав для этого два раза Enter, а затем клавиши Ctrl+Alt+Delete.

Глава 26. Вход в систему

26.1. Вход и работа в консольном режиме

Стандартная установка Альт Сервер включает базовую систему, работающую в консольном режиме.
При загрузке в консольном режиме работа загрузчика Альт Сервер завершается запросом на ввод логина и пароля учетной записи. В случае необходимости на другую консоль можно перейти, нажав Ctrl+Alt+F2.

Примечание

Сразу после загрузки в консоли будут показаны имя и IP-адрес компьютера.
Для дальнейшего входа в систему необходимо ввести логин и пароль учетной записи пользователя.
Приглашение для ввода команд
В случае успешного прохождения процедуры аутентификации и идентификации будет выполнен вход в систему. ОС Альт Сервер перейдет к штатному режиму работы и предоставит дальнейший доступ к консоли.

26.2. Виртуальная консоль

В процессе работы ОС Альт Сервер активно несколько виртуальных консолей. Каждая виртуальная консоль доступна по одновременному нажатию клавиш Ctrl, Alt и функциональной клавиши с номером этой консоли от F1 до F6.
При установке системы в профиле по умолчанию на первой виртуальной консоли пользователь может зарегистрироваться и работать в графическом режиме. При нажатии Ctrl+Alt+F1 осуществляется переход на первую виртуальную консоль в графический режим.
Двенадцатая виртуальная консоль (Ctrl+Alt+F12) выполняет функцию системной консоли — на неё выводятся сообщения о происходящих в системе событиях.

26.3. Вход и работа в системе в графическом режиме

В состав ОС Альт Сервер также может входить графическая оболочка MATE. Графическая оболочка состоит из набора различных программ и технологий, используемых для управления ОС и предоставляющих пользователю удобный графический интерфейс для работы в виде графических оболочек и оконных менеджеров.
При загрузке в графическом режиме работа загрузчика ОС заканчивается переходом к окну входа в систему.
Регистрация в системе
Для регистрации в системе необходимо выбрать имя пользователя из выпадающего списка. Далее необходимо ввести пароль, затем нажать Enter или щелкнуть на кнопке Войти. После непродолжительного времени ожидания запустится графическая оболочка операционной системы.
Добавлять новых пользователей или удалять существующих можно после загрузки системы с помощью стандартных средств управления пользователями.
Если систему устанавливали не вы, то имя системного пользователя и его пароль вам должен сообщить системный администратор, отвечающий за настройку данного компьютера.

Важно

Поскольку работа в системе с использованием учётной записи администратора системы небезопасна, вход в систему в графическом режиме для суперпользователя root запрещён. Попытка зарегистрироваться в системе будет прервана сообщением об ошибке.

Часть IV. Рабочий стол MATE

Глава 27. Рабочий стол MATE

Рабочий стол MATE
На рабочем столе MATE есть две особые области. Сверху вниз:
  • область рабочего стола (рабочая площадь в центре, занимающая большую часть экрана);
  • панель MATE (серая полоса внизу экрана).

27.1. MATE: Область рабочего стола

Область рабочего стола включает в себя значки:
  • Компьютер — предоставляет доступ к устройствам хранения данных;
  • Домашняя папка пользователя — предоставляет доступ к домашнему каталогу пользователя /home/<имя пользователя>. В этой папке по умолчанию хранятся пользовательские файлы (например, аудиозаписи, видеозаписи, документы). Домашняя папка есть у каждого пользователя системы, и по умолчанию содержащиеся в ней файлы недоступны для других пользователей (даже для чтения);
  • Сетевые серверы — позволяет просматривать сетевые подключения компьютера;
  • Корзина — доступ к «удаленным файлам». Обычно удаляемый файл не удаляется из системы. Вместо этого он помещается в «Корзину». С помощью этого значка можно просмотреть или восстановить «удаленные файлы». Чтобы удалить файл из системы, нужно очистить «Корзину». Чтобы очистить «Корзину», необходимо щелкнуть правой кнопкой мыши по значку Корзина и выбрать в контекстном меню пункт Очистить корзину.

Примечание

Можно сразу удалить файл из системы, минуя корзину. Для этого необходимо одновременно с удалением файла зажать клавишу Shift.
На область рабочего стола можно перетащить файлы и создать ярлыки программ с помощью меню правой кнопки мыши.
Щелчок правой кнопкой мыши на свободной области рабочего стола открывает контекстное меню рабочего стола, где можно, например, настроить фон рабочего стола (пункт Параметры внешнего вида).

27.2. Панель MATE

Панель MATE расположена в нижней части экрана. Панель MATE универсальна: она может содержать значки загрузчика, панели задач, переключатель окон или любое другое сочетание; и её можно удобно настроить. Для того чтобы увидеть возможные варианты настройки, необходимо щелчком правой кнопки мыши вызвать контекстное меню и переместить, удалить или изменить содержание вашей панели по форме и существу.
Панель MATE
На левой части панели расположены:
  • основное меню — Меню MATE, обеспечивающее доступ ко всем графическим приложениями и изменениям настроек;
  • Кнопка — Свернуть все окна Свернуть все окна — кнопка позволяет свернуть (развернуть) все открытые окна на текущем рабочем месте;
  • Кнопка — Переключатель рабочих мест Переключатель рабочих мест — это группа квадратов в правом нижнем углу экрана. Они позволяют вам переключать рабочие места. Каждое рабочее место предоставляет отдельный рабочий стол, на котором можно расположить приложения. По умолчанию активно два рабочих места. Можно изменить это число, нажав правой кнопкой мыши на переключателе рабочих мест и выбрав в контекстном меню пункт Параметры.

    Примечание

    Для переключения между рабочими столами необходимо использовать комбинацию клавиш Ctrl+Alt+стрелка влево или Ctrl+Alt+стрелка вправо
Любые открытые приложения отображаются как кнопки в средней части окна. Тут отображаются все окна с области рабочего стола вне зависимости от того, видно окно или нет. Кнопка приложения, которое выбрано в данный момент, будет с серым фоном. Чтобы переключиться на другое приложение, можно кликнуть по нему левой кнопкой мыши.

Примечание

Используйте комбинацию клавиш Alt+Tab для переключения между открытыми окнами.
Удерживая нажатой клавишу Alt, нажимайте Tab для последовательного переключения между окнами. Отпустите обе клавиши, чтобы подтвердить свой выбор.
На правой части панели находятся:
  • область уведомлений;
  • регулятор громкости и апплет настройки звука;
  • приложение «Сетевые соединения»;
  • часы и календарь;
  • параметры клавиатуры;
  • параметры управления питанием.

Примечание

Если вы остановите указатель мыши на меню или на значке, то появится короткое описание.

27.3. Запуск приложений

В левой части панели MATE находится Меню MATE. Через Меню MATE осуществляется запуск всех приложений, установленных на компьютер.
Левая часть меню включает раздел Места и раздел Система. Правая часть может иметь вид избранных приложений или всех доступных программ:
Меню MATE — все доступные программы
Щелчок по любому пункту в подменю Места открывает файловый менеджер Caja:
  • Мой компьютер — позволяет увидеть все файлы в компьютере и файлы на подключённых внешних носителях;
  • Домашний каталог — в этой папке по умолчанию хранятся личные файлы пользователя;
  • Сеть — позволяет просматривать сетевые подключения компьютера. Осуществляет получение доступа к файлам и другим ресурсам, доступным в этих сетях;
  • Рабочий стол — папка внутри «Домашней папки», содержащая файлы и папки, отображаемые на рабочем столе;
  • Корзина — позволяет получить доступ к «удаленным файлам».
В разделе Система находятся кнопки, предоставляющие быстрый доступ к важным функциям системы:
  • Центр управления — запускает приложение, позволяющее настроить все аспекты рабочего окружения MATE;
  • Терминал — запускает приложение Терминал, которое позволяет вводить команды непосредственно с клавиатуры;
  • Заблокировать экран — блокирует сеанс доступа пользователя;
  • Завершить сеанс — запускает диалог, который позволяет завершить сеанс или переключить пользователя;
  • Выйти — выводит диалоговое окно, которое позволяет перезагрузить или выключить компьютер.
Установленные приложения доступны в следующих разделах Меню MATE:
  • Все — показывает полный список установленных приложений;
  • Аудио и видео;
  • Графика;
  • Интернет;
  • Офис;
  • Системные;
  • Стандартные;
  • Администрирование — содержит инструменты, позволяющие администрировать систему;
  • Параметры — содержит инструменты, позволяющие конфигурировать систему.
Этот список обновляется при установке или удалении программ.
Раздел Избранное позволяет получить быстрый доступ к выбранным приложениям.
Меню MATE — избранные приложения
Для добавления приложения в раздел Избранное нужно в контекстном меню нужного приложения выбрать пункт Отображать в избранном. Можно также перетащить иконку приложения на кнопку Избранное, находящуюся в верхнем правом углу меню.
Добавление приложения в раздел Избранное
Нажатие правой клавиши мыши позволяет как добавить, так и удалить элементы раздела Избранное (в том числе отступы и разделители).
Поле Поиск позволяет быстро запустить нужное приложение. Для этого достаточно приступить к вводу названия или описания искомого приложения, по мере ввода символов, в меню остаются видны только те приложения, которые соответствуют запросу. Если объект поиска отсутствует в меню, функция Поиск «предложит» другие возможные действия, например, поиск в файлах ОС или поисковой системе:
Поле Поиск

Предупреждение

Если ваш компьютер запрашивает пароль администратора (root), то это значит, что будут производиться важные системные настройки. Будьте предельно внимательны к выводимым сообщениям.

Часть V. Настройка системы

Глава 28. Центр управления системой

28.1. Описание

Для управления настройками установленной системы вы можете воспользоваться Центром управления системой. Центр управления системой (ЦУС) представляет собой удобный интерфейс для выполнения наиболее востребованных административных задач: добавление и удаление пользователей, настройка сетевых подключений, просмотр информации о состоянии системы и т.п.
ЦУС включает также веб-ориентированный интерфейс, позволяющий управлять сервером с любого компьютера сети.
Центр управления системой состоит из нескольких независимых диалогов-модулей. Каждый модуль отвечает за настройку определённой функции или свойства системы.

28.2. Применение центра управления системой

Вы можете использовать ЦУС для разных целей, например:
  • Настройки Даты и времени (datetime);
  • Управления выключением и перезагрузкой компьютера (ahttpd-power, доступно только в веб-интерфейсе);
  • Управления Системными службами (services);
  • Просмотра Системных журналов (logs);
  • Настройки OpenVPN-подключений (openvpn-server и net-openvpn);
  • Конфигурирования Сетевых интерфейсов (net-eth);
  • Изменения пароля Администратора системы (root) (root);
  • Создания, удаления и редактирования учётных записей Пользователей (users);
  • Настройки ограничения Использования диска (квоты) (quota).
Вы всегда можете воспользоваться кнопкой Справка. Модули ЦУС имеют справочную информацию.

28.3. Запуск центра управления системой в графической среде

Центр управления системой можно запустить следующими способами:
  • в графической среде MATE: ПриложенияАдминистрированиеЦентр управления системой;
  • из командной строки: командой acc.
При запуске необходимо ввести пароль администратора системы (root).
Запрос пароля администратора
После успешного входа можно приступать к настройке системы.
Центр управления системой
Кнопка Режим эксперта позволяет выбрать один из режимов:
  • основной режим (кнопка отжата);
  • режим эксперта (кнопка нажата).
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отображаются все модули, а в основном режиме только наиболее используемые.

28.4. Использование веб-ориентированного центра управления системой

ЦУС имеет веб-ориентированный интерфейс, позволяющий управлять данным компьютером с любого другого компьютера сети.
Работа с ЦУС может происходить из любого веб-браузера. Для начала работы необходимо перейти по адресу https://ip-адрес:8080/.
Например, для сервера задан IP-адрес 192.168.0.122. В таком случае:
  • интерфейс управления будет доступен по адресу: https://192.168.0.122:8080/;
  • документация по дистрибутиву будет доступна по адресу https://192.168.0.122/.

Примечание

IP-адрес сервера можно узнать, введя на сервере команду:
$ ip addr
IP-адрес будет указан после слова inet:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 60:eb:69:6c:ef:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.122/24 brd 192.168.0.255 scope global enp0s3
Например, тут мы видим, что на интерфейсе enp0s3 задан IP-адрес 192.168.0.122.
При запуске центра управления системой необходимо ввести в соответствующие поля имя пользователя (root) и пароль пользователя:
Вход в систему
После этого будут доступны все возможности ЦУС на той машине, к которой было произведено подключение через веб-интерфейс.
Веб-интерфейс центра управления системой

Примечание

Если в сети нет компьютера, который вы могли бы использовать для доступа к веб-ориентированному Центру управления системой, то вы можете воспользоваться браузером непосредственно на сервере. Для работы предустановленного браузера firefox следует запустить графическую оболочку. Для этого выполните команду startx, предварительно войдя в консоль сервера, используя имя и пароль созданного при установке непривилегированного пользователя.
Веб-интерфейс ЦУС можно настроить (кнопка Настройка), выбрав один из режимов:
  • основной режим;
  • режим эксперта.
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отображаются все модули, а в основном режиме только наиболее используемые.
Центр управления системой содержит справочную информацию по включённым в него модулям. Об использовании самого интерфейса системы управления можно прочитать, нажав на кнопку Справка на начальной странице центра управления системой.

Предупреждение

После работы с центром управления системой, в целях безопасности, не оставляйте открытым браузер. Обязательно выйдите, нажав на кнопку Выйти.

Примечание

Подробнее об использовании Центра управления системой можно узнать в главе Средства удаленного администрирования.

Глава 29. Настройка сети

29.1. NetworkManager

Для управления настройками сети в Альт Сервер может использоваться программа NetworkManager.
NetworkManager позволяет подключаться к различным типам сетей: проводные, беспроводные, мобильные, VPN и DSL, а также сохранять эти подключения для быстрого доступа к сети. Например, если вы подключались к сети в каком-либо интернет-кафе, то можно сохранить настройки этого подключения и в следующее посещение этого кафе подключиться автоматически.
NetworkManager доступен как апплет, находящийся в системном лотке.
При нажатии левой кнопки мыши на значок Управление сетью, откроется меню, в котором показана информация о текущих соединениях. Здесь также можно выбрать одну из доступных Wi-Fi сетей и подключиться к ней или отключить активное Wi-Fi соединение.
Меню NetworkManger при нажатии левой кнопки мыши

Примечание

При подключении к беспроводной сети в первый раз может понадобиться указать некоторые сведения о защите сети (например, указать аутентификационные данные).
Меню NetworkManger при нажатии правой кнопки мыши
При нажатии правой кнопкой мыши на значок NetworkManager появляется меню, из которого можно получить доступ к изменению некоторых настроек. Здесь можно посмотреть версию программы, получить сведения о соединении, изменить соединения (например, удалить Wi-Fi сеть, чтобы не подключаться к ней автоматически).
Для того чтобы просмотреть информацию о сетевом соединении, следует в меню NetworkManager, вызываемом нажатием правой кнопкой мыши, выбрать пункт Сведения о подключении. Сведения об активных соединениях будут отображены в диалоговом окне, каждое в отдельной вкладке:
Информация о сетевом подключении
Для настройки соединений, следует в меню NetworkManager, вызываемом нажатием правой кнопкой мыши, выбрать пункт Параметры подключений…. В открывшемся окне будет показан сгруппированный по типам список соединений. Необходимо выбрать нужную сеть и нажать кнопку Изменить:
Изменение настроек сетевых подключений
В открывшемся окне можно изменить настройки сетевого интерфейса:
Окно изменения настроек сетевого интерфейса

Примечание

NetworkManager под именем System enp0s3 показывает системное Ethernet-соединение, создаваемое Etcnet. Изменить его в диалоге Сетевые соединения невозможно. Это соединение можно изменить в ЦУС, там же можно выбрать, какой именно интерфейс какой подсистемой обслуживается (подробнее о выборе сетевой подсистемы рассказано в разделе Конфигурирование сетевых интерфейсов).

29.2. Настройка в ЦУС

Настройку сети можно выполнить в Центре управления системой в разделе СетьEthernet интерфейсы. Здесь можно задать как глобальные параметры сети (адрес сервера DNS, имя компьютера), так и настройки конкретного сетевого интерфейса:
Настройка сети в ЦУС
Подробнее о настройке сетевых интерфейсов в ЦУС рассказано в разделе Конфигурирование сетевых интерфейсов.

Часть VI.  Установка дополнительного программного обеспечения

После установки Альт Сервер при первом запуске вам доступен тот или иной набор программного обеспечения. Количество предустановленных программ зависит от набора программ конкретного дистрибутива или от выбора, сделанного вами при установке системы. Если вы не обнаружили в своей системе интересующие вас программы, то вы имеете возможность доустановить их из разных источников.
Дополнительное программное обеспечение может находиться на установочном диске и/или в специальных банках программ (репозиториях), расположенных в сети Интернет и/или в локальной сети. Программы, размещённые в указанных источниках, имеют вид подготовленных для установки пакетов.

Примечание

В установочный комплект Альт Сервер включено наиболее употребительное программное обеспечение. Для установки дополнительных программных пакетов можно использовать репозиторий продукта (p10).

Глава 30. Установка дополнительного ПО

30.1. Введение

Для установки дополнительного ПО вы можете использовать Центр управления системой либо программу управления пакетами Synaptic.

Предупреждение

Не используйте одновременно два менеджера пакетов, так как это может привести к их некорректной работе.

30.2. Установка дополнительного ПО в ЦУС

Центр управления системой содержит модуль установки дополнительных пакетов: Программное обеспечениеУстановка программ. Для облегчения поиска доступные для установки программы разделены на группы, выводимые в левой части окна программы. Справа расположен список самих программ с указанием их текущего состояния:
  • зелёная метка — пакет уже установлен;
  • белая — пакет не установлен.
Установка программ через Центр управления системой
Объяснение всех обозначений можно увидеть, отметив пункт Показать статистику.
Для начала установки двойным щелчком мыши отметьте неустановленный пакет в правой половине окна и нажмите Применить. При необходимости менеджер пакетов попросит вставить установочный диск.

30.3. Программа управления пакетами Synaptic

Запустить программу управления пакетами Synaptic можно, выбрав пункт Меню MATEПриложенияПараметрыПрограмма управления пакетами Synaptic.
При запуске необходимо ввести пароль администратора системы (root).
Synaptic. Запрос пароля администратора
Для облегчения поиска доступные для установки программы разделены на группы, выводимые в левой части окна программы. Справа расположен список самих программ с указанием их текущего состояния:
  • зелёная метка — пакет уже установлен;
  • белая метка — пакет не установлен.
Программа управления пакетами Synaptic
При выборе пакета из списка в нижней части отображаются сведения о нем и его описание.
Перед тем как устанавливать или обновлять пакет, необходимо нажать на кнопку Получить сведения (Ctrl+R), для того чтобы скачать список самых последних версий ПО.
Для начала установки двойным щелчком мыши отметьте неустановленный пакет в правой половине окна и нажмите Применить.

Глава 31. Управление репозиториями

Эта информация может пригодиться вам для установки дополнительного программного обеспечения из внешних репозиториев.

31.1. Программа управления пакетами Synaptic

Программа Synaptic может использоваться для выбора репозитория, совместимого с вашим дистрибутивом. Для указания конкретного репозитория в меню ПараметрыРепозитории отметьте один из предлагаемых вариантов и нажмите кнопку OK. Если вы сомневаетесь, то выбирайте строки, содержащие ftp://ftp.altlinux.org/. К предложенному списку вы можете самостоятельно добавить любые репозитории, нажав на кнопку Создать и введя необходимые данные.
Выбор репозитория в Synaptic

Предупреждение

Внимательно отнеситесь к настройкам источников! Ни в коем случае не стоит выбирать всё подряд!

Важно

После выбора и добавления репозиториев необходимо получить сведения о находящихся в них пакетах. В противном случае, список доступных для установки программ будет не актуален.
Для обновления информации о репозиториях можно выбрать пункт меню: ПравкаПолучить сведения о пакетах или нажать кнопку Получить сведения на панели инструментов.
Непосредственная установка пакетов из добавленных репозиториев ничем не отличается от описанной выше в главе Установка дополнительного ПО .

Примечание

Есть и другие способы работы с репозиториями и пакетами. Некоторые из них описаны в главе Установка пакетов для опытных пользователей .

Глава 32. Обновление системы

32.1. Обновление всех установленных пакетов

Synaptic поддерживает два варианта обновления системы:
Интеллектуальное обновление (рекомендуется)
Интеллектуальное обновление попытается разрешить конфликты пакетов перед обновлением системы. Действие интеллектуального обновления аналогично действию команды apt-get dist-upgrade.
Стандартное обновление
Стандартное обновление обновит только те пакеты, которые не требуют установки дополнительных зависимостей.
По умолчанию Synaptic использует интеллектуальное обновление. Для того чтобы изменить метод обновления системы, откройте диалоговое окно Параметры (ПараметрыПараметры) и на вкладке Основное в списке Обновить систему выберите требуемый способ.
Для обновления системы необходимо:
  1. Нажать кнопку Получить сведения (Ctrl+R), для того чтобы скачать список самых последних версий ПО.
  2. Нажать кнопку Отметить для обновления (Ctrl+G), для того чтобы Synaptic отметил для обновления все пакеты.
  3. Нажать кнопку Применить:
    Обновление всех установленных пакетов в Synaptic
  4. Будет показан список изменений, который произойдет при обновлении пакетов. Тут следует обратить внимание на объём данных, который будет скачан из сети.
    После подтверждения Synaptic начнёт загружать файлы, затем начнётся непосредственно установка.

32.2. Обновление ядра ОС

Для обновления ядра ОС см. разделы Обновление ядра ОС и Обновление ядра.

Часть VII. Средства удаленного администрирования

Альт Сервер в сети организации может быть использован для решения различных задач. Он может предоставлять компьютерам сети общий доступ в Интернет, выступать в роли почтового сервера, файлового хранилища, веб-сервера и т.д. Все эти возможности обеспечиваются соответствующими службами, запускаемыми на сервере.
Дальнейшие разделы описывают некоторые возможности использования Альт Сервер, настраиваемые в ЦУС.

Важно

Эта и последующие главы рекомендуются к прочтению опытным пользователям и системным администраторам.

Глава 33. Вход в систему

Вы можете начать работу по настройке системы сразу после её установки, используя для настройки Центр управления системой — веб-ориентированный интерфейс, позволяющий управлять системой с любого компьютера сети (Использование веб-ориентированного центра управления системой).

Глава 34. Настройка подключения к Интернету

Помимо множества различных служб, которые Альт Сервер может предоставлять компьютерам сети, важно определить, будет ли сервер предоставлять общий доступ в Интернет для компьютеров домена или нет. В зависимости от этого сервер можно рассматривать как:
Сервер без подключения к сети Интернет
Типичный случай — это сервер с одним сетевым интерфейсом (одной сетевой картой), который и связывает его с компьютерами локальной сети. Такой сервер называется также сервер рабочей группы.
Шлюз
В этом случае сервер обычно имеет два сетевых интерфейса (например, две сетевые карты), одна из которых служит для подключения к локальной сети, а другая — для подключения к сети Интернет.
Как для обеспечения доступа в сеть Интернет самого Альт Сервер, так и для настройки общего выхода в Интернет для компьютеров сети необходимо настроить подключение к Интернету на самом сервере. Альт Сервер поддерживает самые разные способы подключения к сети Интернет:
  • Ethernet;
  • PPTP;
  • PPPoЕ;
  • и т.д.
Для настройки подключения воспользуйтесь одним из разделов ЦУС Сеть.
Доступные разделы:
Выберите раздел, соответствующий вашему типу подключения, и приступайте к настройке.

34.1. Конфигурирование сетевых интерфейсов

Конфигурирование сетевых интерфейсов осуществляется в модуле ЦУС Ethernet-интерфейсы (пакет alterator-net-eth) из раздела Сеть:
Настройка Ethernet-интерфейсов
В модуле Ethernet-интерфейсы можно заполнить следующие поля:
  • Имя компьютера — указать сетевое имя ПЭВМ в поле для ввода имени компьютера (это общий сетевой параметр, не привязанный к какому-либо конкретному интерфейсу). Имя компьютера, в отличие от традиционного имени хоста в Unix (hostname), не содержит названия сетевого домена;
  • Интерфейсы — выбрать доступный сетевой интерфейс, для которого будут выполняться настройки;
  • Версия протокола IP — указать в выпадающем списке версию используемого протокола IP (IPv4, IPv6) и убедиться, что пункт Включить, обеспечивающий поддержку работы протокола, отмечен;
  • Конфигурация — выбрать способ назначения IP-адресов (службы DHCP, Zeroconf, вручную);
  • IP-адреса — пул назначенных IP-адресов из поля Добавить ↑ IP, выбранные адреса можно удалить нажатием кнопки Удалить;
  • Добавить ↑ IP — ввести IP-адрес вручную и выбрать в выпадающем поле предпочтительную маску сети, затем нажать кнопку Добавить для переноса адреса в пул назначенных IP-адресов (поле IP-адреса);
  • Шлюз по умолчанию — в поле для ввода необходимо ввести адрес шлюза, который будет использоваться сетью по умолчанию;
  • DNS-серверы — в поле для ввода необходимо ввести список предпочтительных DNS-серверов, которые будут получать информацию о доменах, выполнять маршрутизацию почты и управлять обслуживающими узлами для протоколов в домене;
  • Домены поиска — в поле для ввода необходимо ввести список предпочтительных доменов, по которым будет выполняться поиск. Если в поле Домены поиска перечислить наиболее часто используемые домены (например, domain), то можно пользоваться неполными именами машин (computer вместо computer.domain).
IP-адрес и Маска сети — обязательные параметры каждого узла IP-сети. Первый параметр – уникальный идентификатор машины, от второго напрямую зависит, к каким машинам локальной сети данная машина будет иметь доступ. Если требуется выход во внешнюю сеть, то необходимо указать параметр Шлюз по умолчанию.
В случае наличия DHCP-сервера можно все вышеперечисленные параметры получить автоматически — выбрав в списке Конфигурация пункт Использовать DHCP:
Автоматическое получение настроек от DHCP сервера

Примечание

При переключении конфигурации с Использовать DHCP на Вручную в поле IP-адреса может отображаться IP-адрес, полученный по DHCP. Этот адрес никак не используется в дальнейшей настройке. Необходимо удалить отображаемый IP-адрес и задать адрес вручную, иначе сетевому интерфейсу будет назначен IP-адрес локальной заглушки (например, 127.0.0.2).
Дополнительно для каждого интерфейса можно настроить сетевую подсистему (NetworkManager, Etcnet, systemd-networkd), а также должен ли запускаться данный интерфейс при загрузке системы:
Выбор сетевой подсистемы

Примечание

Список доступных сетевых подистем зависит от пакетов, выбранных на этапе Установка системы (группа пакетов Система управления сетевыми интерфейсами).
В списке Сетевая подсистема можно выбрать следующие режимы:
Etcnet
В этом режиме настройки берутся исключительно из файлов находящихся в каталоге настраиваемого интерфейса /etc/net/ifaces/<интерфейс>. Настройки сети могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование файлов /etc/net/ifaces/<интерфейс>.
NetworkManager (etcnet)
В этом режиме NetworkManager сам инициирует сеть, используя в качестве параметров — настройки из файлов Etcnet. Настройки сети могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование файлов /etc/net/ifaces/<интерфейс>. В этом режиме можно просмотреть настройки сети, например, полученный по DHCP IP-адрес, через графический интерфейс NetworkManager.
NetworkManager (native)
В данном режиме управление настройками интерфейса передаётся NetworkManager и не зависит от файлов Etcnet. Управлять настройками можно через графический интерфейс NetworkManager. Файлы с настройками находятся в каталоге /etc/NetworkManager/system-connections. Этот режим особенно актуален для задач настройки сети на клиенте, когда IP-адрес необходимо получать динамически с помощью DHCP, а DNS-сервер указать явно. Через ЦУС так настроить невозможно, так как при включении DHCP отключаются настройки, которые можно задавать вручную.
systemd-networkd
В данном режиме управление настройками интерфейса передаётся службе systemd-networkd. Настройки сети могут изменяться либо в ЦУС в данном модуле (только настройки физического интерфеса), либо напрямую через редактирование файлов /etc/systemd/network/<имя_файла>.network, /etc/systemd/network/<имя_файла>.netdev, /etc/systemd/network/<имя_файла>.link. Данный режим доступен, если установлен пакет systemd-networkd;
Не контролируется
В этом режиме интерфейс находится в состоянии DOWN (выключен).

Примечание

После смены сетевой подсистемы c Etcnet на systemd-networkd может потребоваться вручную отключить службу network и включить systemd-networkd:
# systemctl disable --now network && systemctl enable --now systemd-networkd
И, наоборот, при смене с systemd-networkd на Etcnet отключить службу systemd-networkd и включить network:
# systemctl disable --now systemd-networkd && systemctl enable --now network

34.2. Объединение сетевых интерфейсов

Модуль Объединение интерфейсов (пакет alterator-net-bond) позволяет объединить несколько физических сетевых интерфейсов в один логический. Это позволяет достичь отказоустойчивости, увеличения скорости и балансировки нагрузки.
Для создания объединения интерфейсов необходимо выполнить следующие действия:
  1. Нажать кнопку Создать объединение…:
    Объединение интерфейсов в веб-интерфейсе alterator-net-eth
  2. Переместить сетевые интерфейсы, которые будут входить в объединение, из списка Доступные интерфейсы в список Используемые интерфейсы.
  3. Выбрать режим объединения:
    • Round-robin — режим циклического выбора активного интерфейса для исходящего трафика;
    • Активный-резервный — активен только один интерфейс, остальные находятся в режиме горячей замены;
    • XOR — один и тот же интерфейс работает с определённым получателем, передача пакетов распределяется между интерфейсами на основе формулы ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов;
    • Широковещательная — трафик идёт через все интерфейсы одновременно;
    • Агрегирование каналов по стандарту IEEE 802.3ad — в группу объединяются одинаковые по скорости и режиму интерфейсы, все физические интерфейсы используются одновременно в соответствии со спецификацией IEEE 802.3ad. Для реализации этого режима необходима поддержка на уровне драйверов сетевых карт и коммутатор, поддерживающий стандарт IEEE 802.3ad (коммутатор требует отдельной настройки);
    • Адаптивная балансировка нагрузки передачи — исходящий трафик распределяется в соответствии с текущей нагрузкой (с учётом скорости) на интерфейсах (для данного режима необходима его поддержка в драйверах сетевых карт). Входящие пакеты принимаются только активным сетевым интерфейсом;
    • Адаптивная балансировка нагрузки — включает в себя балансировку исходящего трафика и балансировку на приём (rlb) для IPv4 трафика и не требует применения специальных коммутаторов. Балансировка на приём достигается на уровне протокола ARP путём перехвата ARP ответов локальной системы и перезаписи физического адреса на адрес одного из сетевых интерфейсов (в зависимости от загрузки).
  4. Указать, если это необходимо, параметры объединения в поле Параметры объединения.
  5. Нажать кнопку Назад:
    Выбор сетевых интерфейсов для объединения
  6. В результате будет создан агрегированный интерфейс bond0. Для данного интерфейса можно задать IP-адрес и, если необходимо, дополнительные параметры:
    Настройки интерфейса bond0
  7. Нажать кнопку Применить.
Информацию о получившемся агрегированном интерфейсе можно посмотреть в /proc/net/bonding/bond0.
Для удаления агрегированного интерфейса необходимо выбрать его в списке Интерфейсы и нажать кнопку Удалить объединение….

34.3. Сетевые мосты

Модуль Сетевые мосты (пакет alterator-net-bridge) позволяет организовать виртуальный сетевой мост.

Предупреждение

Если интерфейсы, входящие в состав моста, являются единственными физически подключенными и настройка моста происходит с удалённого узла через эти интерфейсы, то требуется соблюдать осторожность, так как эти интерфейсы перестанут быть доступны.
Для создания Ethernet-моста необходимо выполнить следующие действия:
  1. У интерфейсов, которые будут входить в мост, удалить IP-адреса и шлюз по умолчанию (если они были установлены).
  2. Нажать кнопку Создать сетевой мост…:
    Настройка сети в веб-интерфейсе
  3. В окне Сетевые мосты в поле Интерфейс-мост ввести имя моста.
  4. В выпадающем списке Тип моста выбрать тип моста: Linux Bridge (по умолчанию) или Open vSwitch.
  5. Переместить сетевые интерфейсы, которые будут входить в мост, из списка Доступные интерфейсы в список Члены.
  6. Нажать кнопку Ок:
    Выбор сетевых интерфейсов для моста
  7. В результате будет создан сетевой интерфейс моста (в примере vmbr0). Для данного интерфейса можно задать IP-адрес и, если необходимо, дополнительные параметры:
    Настройка параметров сетевого интерфейса vmbr0
  8. Нажать кнопку Применить.
Для удаления интерфейса моста необходимо выбрать его в списке Интерфейсы и нажать кнопку Удалить сетевой мост….

34.4. Настройка общего подключения к сети Интернет

Пользователи корпоративных сетей обычно подключаются к сети Интернет через один общий канал. Для организации совместного доступа к сети Интернет стандартными средствами поддерживаются две технологии, которые могут использоваться как по отдельности, так и совместно:
Оба способа предполагают, что соединение с Интернет компьютера, через который предполагается настроить общий выход, предварительно сконфигурировано . Сделать это можно в разделе ЦУС Сеть.

34.4.1. Прокси-сервер

Отличительной особенностью использования прокси-сервера является то, что, помимо предоставления доступа к веб-сайтам, прокси-сервер кэширует загруженные страницы, а при повторном обращении к ним — отдаёт их из своего кэша. Это может существенно снизить потребление трафика.
У прокси-сервера есть два основных режима работы:
  • прозрачный;
  • обычный.
Для работы с прокси-сервером в прозрачном режиме не потребуется специальная настройка рабочих станций. Они лишь должны использовать сервер в качестве шлюза по умолчанию. Этого можно добиться, сделав соответствующие настройки на DHCP-сервере.
Для использования прокси-сервера в обычном режиме потребуется на каждом клиенте в настройках браузера указать данные прокси-сервера (IP-адрес и порт).
Преимуществом обычного режима работы, требующего перенастройки программ локальной сети, является возможность производить аутентификацию пользователей и контролировать их доступ во внешнюю сеть.
В различных браузерах местоположение формы настройки на прокси-сервер различное. Например, в браузере Firefox она доступна через меню ПравкаНастройкиОсновныеНастройки сети кнопка Настроить…. Здесь следует выбрать Ручная настройка прокси и указать IP-адрес и порт прокси-сервера.
По умолчанию прокси-сервер не предоставляет доступ в Интернет никому кроме себя самого. Список сетей, обслуживаемых прокси-сервером можно изменить, нажав на кнопку «Разрешённые сети…» в модуле ЦУС Прокси-сервер (пакет alterator-squid) из раздела Серверы.
Модуль Прокси-сервер
Для того чтобы включить аутентификацию пользователей и контролировать их доступ во внешнюю сеть, необходимо выбрать обычный режим проксирования и способ аутентификации, отличный от Без аутентификации:
Модуль Настройка аутентификации пользователей
Прокси-сервер принимает запросы из локальной сети и, по мере необходимости, передаёт их во внешнюю сеть. Поступление запроса ожидается на определённом порту, который по умолчанию имеет стандартный номер 3128. Если по каким-то причинам не желательно использовать данный порт, то можно поменять его значение на любое другое.
Перед тем как выполнить перенаправление запроса, прокси-сервер проверяет принадлежность сетевого адрес узла, с которого запрос был отправлен к группе внутренних сетевых адресов. Для того чтобы запросы, отправленные из локальной сети, обрабатывались прокси-сервером, необходимо добавить соответствующую группу адресов (адрес подсети и адресную маску) в список внутренних сетей в разделе Разрешённые сети:
Настройка списка внутренних сетей
Вторым условием передачи запроса является принадлежность целевого порта к разрешённому диапазону. Посмотреть и отредактировать список разрешённых целевых портов можно в разделе Разрешённые протоколы:
Настройка списка разрешённых целевых портов
Прокси-сервер позволяет вести статистику посещений страниц в Интернете. Она доступна в модуле ЦУС Прокси-сервер (пакет alterator-squidmill) в разделе Статистика. Основное предназначение статистики — просмотр отчёта об объёме полученных из Интернета данных в привязке к пользователям (если включена аутентификация) или к IP-адресам клиентов.

Примечание

Статистика не собирается по умолчанию. Включить её сбор следует в модуле ЦУС Прокси-сервер (раздел Статистика). Для этого отметьте Включить сбор данных прокси-сервера и нажмите кнопку Применить.

Примечание

Для учёта пользователей в статистике нужно добавить хотя бы одно правило. Самое очевидное — запрет неаутентифицированных пользователей. Только после этого в статистике начнут показываться пользователи.

34.4.2. NAT

NAT (Network Address Translation, преобразование сетевых адресов) — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Таким образом, компьютеры локальной сети, имеющие IP-адреса, зарезервированные для использования исключительно в локальных сетях, могут использовать общий канал доступа к Интернет (общий внешний IP-адрес). При этом на компьютере-шлюзе, непосредственно подключённом к Интернет, выполняется преобразование адресов.
Настройка NAT осуществляется в модуле ЦУС Внешние сети (пакет alterator-net-iptables) из раздела Брандмауэр. Для минимальной настройки достаточно выбрать режим работы Шлюз (NAT), отметить правильный внешний сетевой интерфейс и нажать на кнопку Применить.
Настройка NAT

34.5. Автоматическое присвоение IP-адресов (DHCP-сервер)

DHCP (Dynamic Host Configuration Protocol) — протокол, позволяющий клиенту самостоятельно получить IP-адрес из зарезервированного диапазона адресов, а также дополнительную информацию о локальной сети (DNS-сервер сети, домен поиска, шлюз по умолчанию). Это облегчает администрирование клиентских машин, избавляя администратора домена от необходимости вручную настраивать сетевые интерфейсы на компьютерах локальной сети.
Чтобы настраивать DHCP-сервер, на машине должен быть хотя бы один статически сконфигурированный Ethernet-интерфейс.
Настройка DHCP-сервера осуществляется в модуле ЦУС DHCP-сервер (пакет alterator-dhcp) из раздела Серверы.
Для включения DHCP-сервера необходимо установить флажок Включить службу DHCP, указать начальный и конечный IP-адрес, а также шлюз по умолчанию (обычно это IP-адрес сервера на сетевом интерфейсе, обслуживающем локальную сеть).
Настройка DHCP-сервера
Теперь при включении любой клиентской машины с настройкой получение ip и dns автоматически будет присваиваться шлюз 192.168.0.1, DNS 192.168.0.251 и адреса начиная с 192.168.0.50 по порядку включения до 192.168.0.60.
Иногда бывает полезно выдавать клиенту один и тот же IP-адрес независимо от момента обращения. В этом случае он определяется по аппаратному адресу (MAC-адресу) сетевой карты клиента. Для добавления своих значений в таблицу соответствия статических адресов введите IP-адрес и соответствующий ему MAC-адрес и нажмите кнопку Добавить.
Привязка IP-адреса к MAC-адресу
Выданные IP-адреса можно увидеть в списке Текущие динамически выданные адреса. Здесь также имеется возможность зафиксировать выданные адреса, за данными компьютерами. Для этого необходимо отметить хост, за которым нужно закрепить IP-адрес и нажать кнопку Зафиксировать адрес для выбранных компьютеров.
Список динамически выданных адресов

Глава 35. Развертывание доменной структуры

Для развертывания доменной структуры предназначен модуль ЦУС Домен из раздела Система (пакет alterator-net-domain):
Веб-интерфейс модуля Домен
Модуль поддерживает следующие виды доменов:
  • ALT-домен. Домен, основанный на OpenLDAP и MIT Kerberos. Домен нужно устанавливать только после настройки сервера DHCP. В противном случае придётся выбирать другое имя домена.
  • Active Directory. Домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.
  • FreeIPA. Домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux.
  • DNS. Обслуживание только запросов DNS указанного домена сервисом BIND.

Глава 36. Сетевая установка операционной системы на рабочие места

Одной из удобных возможностей Альт Сервер при разворачивании инфраструктуры является сетевая установка (пакет alterator-netinst). При помощи сетевой установки можно производить установку Альт Сервер не с DVD-диска, а загрузив инсталлятор по сети.

36.1. Подготовка сервера

Перед началом установки рабочих станций следует произвести предварительную настройку сервера: задать имя сервера (модуль Ethernet-интерфейсы в ЦУС) и включить DHCP-сервер (модуль DHCP-сервер).

Примечание

Каталог /var/lib/tftpboot должен быть доступен клиенту через TFTP, каталог /srv/public/netinst должен быть доступен клиенту через NFS.

Примечание

В настоящий момент модуль Сервер сетевых установок не позволяет настроить установку в EFI-режиме для PXE-установки.
Перед активацией сетевой установки потребуется импортировать установочный DVD-диск Альт Сервер, предварительно вставив его в DVD-привод сервера, либо используя образ диска, расположенный на файловой системе на сервере (например, /tmp/alt-workstation-10.2-x86_64.iso). Можно также использовать URL вида http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p10/workstation/x86_64/alt-workstation-10.2-x86_64.iso.

Примечание

Локальный файл должен быть доступен для nobody и должен находиться на сервере, где запущен alterator-netinst.
В разделе Сервер сетевых установок (пакет alterator-netinst) укажите, откуда импортировать новый образ, и нажмите кнопку Добавить.
Выбор источника для импорта установочного образа
Процесс добавления образа занимает какое-то время. Пожалуйста, дождитесь окончания этого процесса.
Процесс добавления установочного образа
После добавления образ появится в списке Доступные образы дисков. Необходимо выбрать из списка один из образов и нажать кнопку Выбрать.
Выбор образа диска из списка доступных
На этом подготовка сервера к сетевой установке рабочих станций завершена.
Дополнительно данный модуль позволяет выбрать вариант загрузки (например, непосредственно загружать ОС некоторых Live-версий дистрибутивов):
Выбор варианта загрузки
Для включения режима автоматической установки (см. Автоматическая установка системы (autoinstall)) необходимо выбрать образ, выбрать вариант загрузки Установка системы, установить отметку в поле Автоматическая установка, в поле Метаданные указать каталог с установочными файлами и сохранить настройки, нажав кнопку Применить:
Включение режима автоматической установки

Примечание

В alterator-netinst до версии 1.9.1-alt7 для включения режима автоматической установки необходимо выбрать образ, выбрать вариант загрузки Установка системы и сохранить настройки, нажав кнопку Применить. Затем в файле /var/lib/tftpboot/pxelinux.cfg/default следует дописать параметр загрузки ai (без значения) и параметр curl с указанием каталога с установочными файлами, например:
label linux
  kernel syslinux//boot/vmlinuz
  append initrd=syslinux//boot/initrd.img fastboot changedisk  stagename=altinst ramdisk_size=648701 showopts vga=normal quiet splash automatic=method:nfs,network:dhcp tz=Europe/Kaliningrad  lang=ru_RU  vnc vncpassword=123 ai curl=ftp://192.168.0.186/metadata/
Если отмечен пункт Включить установку по VNC, то далее следует выбрать направление соединения. Удалённый доступ к компьютеру может быть двух видов:
  • Со стороны клиента. Во время установки администратор может с помощью VNC-клиента подключиться к компьютеру, на которой производится установка, зная его IP-адрес и заданный пароль.
  • Со стороны сервера. Во время установки с каждого компьютера инициируется подключение к запущенному на заданном компьютере VNC-клиенту. Компьютер-приёмник соединений задаётся IP-адресом или именем.
Настройка удалённого доступа
В случае, когда работа с аппаратной подсистемой ввода-вывода невозможна (например, если клавиатура, мышь или монитор отсутствуют), можно использовать вариант Только по VNC.
Если необходимо управлять установкой удалённо, отметьте пункт Включить установку по VNC и пункт Подключение со стороны VNC сервера раздела Направление соединения и укажите в поле IP-адрес или имя компьютера, с которого будет происходить управление. Для приёма подключения можно запустить, например, vncviewer -listen.

Предупреждение

Не забудьте отключить сетевую установку по окончании процесса установки ОС на рабочих станциях. Это можно сделать, выбрав в списке Доступные образы дисков пункт Нет образа и подтвердив действие нажатием кнопки Выбрать.

36.2. Подготовка рабочих станций

Для сетевой установки следует обеспечить возможность загрузки по сети рабочих станций, на которых будет производиться установка ОС.
Большинство современных материнских плат имеют возможность загрузки по сети, однако она по умолчанию может быть отключена в BIOS. Различные производители материнских плат дают разные названия данной возможности, например: «Boot Option ROM» или «Boot From Onboard LAN».

Примечание

Некоторые материнские платы позволяют выбрать источник загрузки во время включения компьютера. Эта возможность может называться, например, «Select boot device» или «Boot menu».
Последовательность установки при установке с DVD-диска и при сетевой установке не отличаются друг от друга. Обратитесь к разделу руководства Последовательность установки.

Глава 37. FTP-сервер

Модуль FTP-сервер (пакет alterator-vsftpd) из раздела Серверы предназначен для настройки FTP-сервера (vsftpd).
Веб-интерфейс модуля FTP-сервер
Чаще всего протокол FTP (File Transfer Protocol) используется для организации файлового сервера с анонимным доступом. Возможность анонимного доступа управляется параметром Разрешить вход анонимному пользователю. Менее распространённый вариант — сервер с возможностью загружать на него файлы, в том числе и анонимным пользователям. Возможность загрузки включается параметром Разрешить запись. Еще один вариант — сервер, позволяющий локальным пользователям скачивать и загружать файлы из своих домашних каталогов. Этот вариант используется редко, что связано с небезопасностью протокола FTP. Возможность работы с локальными пользователями управляется параметром Разрешить вход локальным пользователям. Чтобы пользователи могли загружать файлы, требуется включить параметр Разрешить запись. Разрешение на загрузку файлов можно настраивать индивидуально, для этого необходимо отметить параметр Разрешить настройку локальных пользователей.
Если вам необходимо создать анонимный FTP-сервер, вы можете использовать vsftpd в сочетании с пакетом anonftp. В целях безопасности сервер по умолчанию сконфигурирован именно для предоставления анонимного доступа. Запрещены любые команды записи, а также доступ локально зарегистрированных пользователей.
При установке пакета anonftp автоматически создаётся каталог, который будет корневым при анонимном подключении, — /var/ftp с необходимыми правами доступа. Владельцем этого каталога является пользователь root, а не псевдопользователь, от имени которого работает vsftpd. Это сделано для обеспечения безопасности FTP-сервера и системы в целом. Группой-владельцем каталога является специальная группа ftpadmin, предназначенная для администраторов FTP-сервера.

Примечание

Многие параметры использования FTP-сервера, в том числе относящиеся к безопасности, могут быть заданы при помощи xinetd. В частности, этот сервер позволяет ограничить количество одновременно выполняемых процессов как по системе в целом, так и для каждого отдельного пользователя, указать пользователя, от имени которого будет выполняться служба, задать приоритет процесса (nice), указать адреса, с которых разрешено подключение к данной службе, а также время доступа и множество других параметров. Указать эти настройки можно в модуле Службы xinetd (пакет alterator-xinetd) из раздела Система. Например, установить неограниченный по адресам доступ можно, указав в поле Только с адресов значение 0.0.0.0:
Модуль Службы xinetd — неограниченный по адресам доступ к vsftpd

Глава 38. Удостоверяющий центр

Модуль Удостоверяющий центр (пакет alterator-са) из раздела Система служит для выдачи сертификатов службам на серверах и рабочих станциях.
Для обеспечения безопасности соединения для клиента (в качестве клиентского ПО может выступать, например, веб-браузер) основным является вопрос о принятии сертификата. При принятии сертификата возможны описанные ниже варианты.
Сертификат сервера подписан одним из известных клиенту удостоверяющим центром (УЦ)
В этом случае сертификат принимается и устанавливается безопасное SSL-соединение. Обычно клиентское ПО (например, веб-браузер) содержит список наиболее известных УЦ и предоставляет возможность управления (добавление/удаление) сертификатами таких УЦ.
Сертификат сервера подписан УЦ неизвестным клиенту
В этом случае следует самостоятельно решить вопрос о принятии такого сертификата:
  • можно временно (на время одной сессии) принять сертификат сервера;
  • можно принять сертификат сервера на постоянной основе;
  • если вы доверяете УЦ, подписавшему сертификат, можно добавить сертификат самого УЦ к списку известных сертификатов, и таким образом, в дальнейшем все сертификаты, подписанные этим УЦ, будут приниматься автоматически.
Сертификат сервера является самоподписанным
Это случай, когда сертификат сервера не подтверждён вообще никакой третьей стороной. Такие сертификаты используются в локальных сетях, где вы самостоятельно можете проверить аутентичность сервера. В случае самоподписанных сертификатов вы должны самостоятельно убедиться в том, что сервер является тем, за кого себя выдаёт. Сделать это можно, сверив отпечатки полученного сертификата и реально находящегося на сервере.

Примечание

При первом обращении к модулю Удостоверяющий центр необходимо создать УЦ, указав страну и организацию:
Удостоверяющий центр. Создать УЦ
Модуль Удостоверяющий центр включает две вкладки: Управление УЦ и Управление сертификатами.
Удостоверяющий центр. Вкладка «Управление УЦ»
На вкладке Управление УЦ можно:
  • просмотреть информацию о сертификате УЦ;
  • выгрузить для дальнейшего использования сертификат УЦ (файл ca-root.pem). Этот файл можно будет добавить к списку УЦ, используемому клиентским ПО, после чего все сертификаты, подписанные данным УЦ будут приниматься автоматически;
  • выгрузить, для дальнейшего использования, запрос на подпись сертификата УЦ (файл ca-root.csr). Этот запрос можно подписать сторонним УЦ;
  • перегенерировать сертификат УЦ с другими параметрами (можно изменить параметры: Страна (С) и Организация (O)).
Удостоверяющий центр. Вкладка «Управление сертификатами»
На вкладке Управление сертификатами можно:
  • настроить ежедневное обновление подписей сертификатов, используемых локальными службами и службами подчинённых серверов;
  • подписать произвольный сертификат (запрос на подпись) корневым сертификатом УЦ, настроенным на вкладке Управление УЦ;
  • просмотреть состояния и подпись локальных сертификатов и сертификатов подчинённых серверов:
    Удостоверяющий центр. Локальные сертификаты
Чтобы подписать сертификат необходимо на вкладке Управление сертификатами нажать кнопку Выберите файл, выбрать файл с запросом на подпись и нажать кнопку Загрузить запрос. В результате на экране отобразится запрос на подпись. Далее следует нажать кнопку Подписать:
Удостоверяющий центр. Запрос на подпись
Подписанный сертификат (файл output.pem) будет загружен в каталог загрузок.

Глава 39. Соединение удалённых офисов (OpenVPN-сервер)

Альт Сервер предоставляет возможность безопасного соединения удалённых офисов, используя технологию VPN (англ. Virtual Private Network — виртуальная частная сеть), которая позволяет организовать безопасные шифрованные соединения через публичные сети (например, Интернет) между удалёнными офисами или локальной сетью и удалёнными пользователями. Таким образом, вы можете связать два офиса организации, что делает работу с документами, расположенными в сети удалённого офиса, более удобной.
Помимо соединения целых офисов, также существует возможность организовать доступ в офисную сеть для работы в ней извне. Это означает, например, что сотрудник может работать в своём привычном окружении, даже находясь в командировке или просто из дома.

39.1. Настройка OpenVPN-сервера

Для организации VPN соединения на стороне сервера предусмотрен модуль ЦУС OpenVPN-сервер (пакет alterator-openvpn-server) из раздела Серверы.
Настройка OpenVPN-сервера
Используя модуль OpenVPN-сервер можно:
  • включить/отключить OpenVPN-сервер;
  • настроить параметры сервера: тип, сети сервера, использование сжатия и т.д.;
  • управлять сертификатами сервера;
  • настроить сети клиентов.
Особое внимание при планировании и настройке подключений следует обратить на используемые сети. Они не должны пересекаться.
Для создания соединения необходимо установить флажок Включить службу OpenVPN, выбрать тип подключения: маршрутизируемое (используется TUN) или через мост (используется TAP), и проверить открываемую по соединению сеть (обычно это локальная сеть в виде IP-адреса и маски подсети).
Для настройки сертификата и ключа ssl необходимо нажать на кнопку Сертификат и ключ ssl... Откроется окно модуля Управление ключами SSL (пакет alterator-sslkey):
Модуль Управление ключами SSL
Здесь нужно заполнить поле Общее имя (CN) и поле Страна (С) (прописными буквами), отметить пункт (Пере)создать ключ и запрос на подпись и нажать кнопку Подтвердить. После чего станет активной кнопка Забрать запрос на подпись:
Забрать запрос на подпись
Если нажать на кнопку Забрать запрос на подпись, появится диалоговое окно с предложением сохранить файл openvpn-server.csr. Необходимо сохранить этот файл на диске.
В модуле Управление ключами SSL появился новый ключ openvpn-server (Нет сертификата):
Ключ openvpn-server
Чтобы подписать сертификат, необходимо перейти в модуль Удостоверяющий ЦентрУправление сертификатами, нажать кнопку Выберите файл, указать путь до полученного файла openvpn-server.csr и загрузить запрос:
Запрос на подпись сертификата
В результате на экране появится две группы цифр и кнопка Подписать. Необходимо нажать на кнопку Подписать и сохранить файл output.pem (подписанный сертификат).
Запрос на подпись сертификата
Далее в разделе Управление ключами SSL, необходимо выделить ключ openvpn-server (Нет сертификата) и нажать кнопку Изменить. В появившемся окне, в пункте Положить сертификат, подписанный УЦ нужно нажать кнопку Выберите файл, указать путь до файла output.pem и нажать кнопку Положить:
Сертификат, подписанный УЦ
В модуле Управление ключами SSL, видно, что изменился ключ openvpn-server (истекает_и_дата). Ключ создан и подписан.
Для того чтобы положить сертификат УЦ, необходимо найти его в модуле Удостоверяющий Центр, нажать на ссылку Управление УЦ и забрать сертификат, нажав на ссылку Сертификат: ca-root.pem:
Сертификат УЦ
В модуле OpenVPN-сервер, в графе Положить сертификат УЦ: при помощи кнопки Выберите файл указать путь к файлу ca-root.pem и нажать кнопку Положить:
Выбор сертификата УЦ в модуле OpenVPN-сервер
Появится сообщение: «Сертификат УЦ успешно загружен».
Для включения OpenVPN необходимо отметить пункт Включить службу OpenVPN и нажать кнопку Применить.
Если необходимо организовать защищённое соединение между двумя локальными сетями, воспользуйтесь модулем OpenVPN-соединения (раздел Сеть).

39.2. Настройка клиентов

Со стороны клиента соединение настраивается в модуле ЦУС OpenVPN-соединения (пакет alterator-net-openvpn) из раздела Сеть. Доступ к настроенной приватной сети могут получить пользователи, подписавшие свои ключи и получившие сертификат в удостоверяющем центре на том же сервере.
Для создания нового соединения необходимо отметить пункт Сетевой туннель (TUN) или Виртуальное Ethernet устройство (TAP) и нажать кнопку Создать соединение. Должен быть выбран тот же тип, что и на стороне сервера.
Создание нового OpenVPN-соединения
Обратите внимание, что на стороне клиента, должен быть выбран тот же тип виртуального устройства, что и на стороне сервера. Для большинства случаев подходит маршрутизируемое подключение.
Помимо этого нужно создать ключ (например, openvpn) в модуле Управление ключами SSL и подписать его в модуле Удостоверяющий центр на сервере.
В результате станут доступны настройки соединения. На клиенте в модуле OpenVPN-соединение необходимо указать:
  • Состояние — «запустить»;
  • Сервер — IP адрес сервера или домен;
  • Порт — 1194;
  • Ключ — выбрать подписанный на сервере ключ.
Для применения настроек, нажать кнопку Применить. Состояние с Выключено должно поменяться на Включено.
Настройки OpenVPN-соединения
Проверить, появилось ли соединение с сервером можно, выполнив команду:
$ ip addr
должно появиться новое соединение tun0. При обычных настройках это может выглядеть так:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
   link/none
   inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0

Глава 40. Доступ к службам сервера из сети Интернет

40.1. Внешние сети

Сервер предоставляет возможность организовать доступ к своим службам извне. Например, можно предоставить доступ к корпоративному веб-сайту из сети Интернет. Для обеспечения такой возможности необходимо разрешить входящие соединения на внешних интерфейсах. По умолчанию такие соединения блокируются.
Для разрешения внешних и внутренних входящих соединений предусмотрен раздел ЦУС Брандмауэр. В списке Разрешить входящие соединения на внешних интерфейсах модуля Внешние сети (пакет alterator-net-iptables) перечислены наиболее часто используемые службы, отметив которые, вы делаете их доступными для соединений на внешних сетевых интерфейсах. Если вы хотите предоставить доступ к службе, отсутствующей в списке, задайте используемые этой службой порты в соответствующих полях.
Настройки модуля Внешние сети
Можно выбрать один из двух режимов работы:
  • Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
  • Шлюз (NAT). В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен, по крайней мере, один внешний и один внутренний интерфейс.

Примечание

В любом режиме включено только перенаправление пакетов с внутренних интерфейсов. Перенаправление пакетов с внешних интерфейсов всегда выключено.

Примечание

Все внутренние интерфейсы открыты для любых входящих соединений.

40.2. Список блокируемых хостов

Модуль ЦУС Список блокируемых хостов (пакет alterator-net-iptables) предназначен для блокирования любого трафика с указанными узлами. Данный модуль позволяет блокировать любой сетевой трафик с указанных в списке узлов (входящий, исходящий и пересылаемый).
Блокирование трафика с указанных в списке узлов начинается после установки флажка Использовать чёрный список.
Список блокируемых хостов
Для добавления блокируемого узла необходимо ввести IP-адрес в поле Добавить IP-адрес сети или хоста и нажать кнопку Добавить.
Для удаления узла из списка выберите его и нажмите кнопку Удалить.

Глава 41. Статистика

41.1. Сетевой трафик

Все входящие и исходящие с сервера сетевые пакеты могут подсчитываться, и выводится по запросу для анализа.
Модуль Сетевой трафик (пакет alterator-ulogd) из раздела Статистика предназначен для просмотра статистики входящих и исходящих с сервера сетевых пакетов. Данный модуль позволяет оценить итоговый объём полученных и переданных данных за всё время работы сервера, за определённый период времени и по каждой службе отдельно.
Для включения сбора данных необходимо установить флажок Включить сбор данных, и нажать кнопку Применить.
Веб-интерфейс модуля Сетевой трафик
Для просмотра статистики укажите период (в виде начальной и конечной дат). Дата указывается в формате YYYY-MM-DD (год-месяц-день) или выбирается из календаря справа от поля ввода даты. Из списка доступных сетевых интерфейсов необходимо выбрать интересующий и нажать на кнопку Показать.
Просмотр статистики входящих и исходящих пакетов
Трафик на указанном интерфейсе за заданный период показывается в виде:
  • служба (название протокола);
  • входящий трафик в килобайтах;
  • исходящий трафик в килобайтах.

41.2. Прокси-сервер

Пересылка каждого запроса во внешнюю сеть фиксируется прокси-сервером в специальном журнале. На основании этих данных автоматически формируются отчёты о статистике использования ресурсов сети, в том числе потраченного времени и количества переданных данных (трафика).
Статистика не собирается по умолчанию. Для включения сбора статистики и просмотра отчётов воспользуйтесь модулем ЦУС Прокси-сервер (пакет alterator-squidmill) из раздела Статистика.
Веб-интерфейс модуля Прокси-сервер
Для включения сбора статистики прокси-сервера установите флажок Включить сбор данных прокси-сервера.
В том случае, если на прокси-сервере производилась аутентификация пользователей, отчёты будут содержать данные об обращениях каждого пользователя. Иначе отчёты будут формироваться только на основании адресов локальной сети.
Для показа отчёта задайте условия фильтра и нажмите кнопку Показать. Данные в таблице будут отсортированы по объёму трафика в порядке убывания.
Для учёта пользователей в статистике необходимо добавить хотя бы одно правило. Самое очевидное правило — запрет неаутентифицированных пользователей. Только после этого в статистике начнут показываться пользователи.

Глава 42. Обслуживание сервера

Для безотказной работы всего домена очень важно следить за корректной работой его центрального звена — сервера под управлением Альт Сервер. Регулярный мониторинг состояния сервера, своевременное резервное копирование, обновление установленного ПО являются важной частью комплекса работ по обслуживанию сервера.

42.1. Мониторинг состояния системы

Для обеспечения бесперебойной работы сервера крайне важно производить постоянный мониторинг его состояния. Все события, происходящие с сервером, записываются в журналы, анализ которых помогает избежать сбоев в работе сервера и предоставляет возможность разобраться в причинах некорректной работы сервера.
Для просмотра журналов предназначен модуль ЦУС Системные журналы (пакет alterator-logs) из раздела Система). Интерфейс позволяет просмотреть различные типы журналов с возможностью перехода к более старым или более новым записям.
Различные журналы могут быть выбраны из списка Журналы.
Веб-интерфейс модуля Системные журналы
Доступны следующие виды журналов:
  • Брандмауэр — отображаются события безопасности, связанные с работой межсетевого экрана ОС;
  • Системные сообщения (Journald) — отображаются события процессов ядра и пользовательской области. У каждого сообщения в этом журнале есть приоритет, который используется для пометки важности сообщений. Сообщения в зависимости от уровня приоритета подсвечиваются цветом.
Каждый журнал может содержать довольно большое количество сообщений. Уменьшить либо увеличить количество выводимых строк можно, выбрав нужное значение в списке Показывать.

42.2. Системные службы

Для изменения состояния служб можно использовать модуль ЦУС Системные службы (пакет alterator-services) из раздела Система. Интерфейс позволяет изменять текущее состояние службы и, если необходимо, применить опцию запуска службы при загрузке системы.
Веб-интерфейс модуля Системные службы
После выбора названия службы из списка отображается описание данной службы, а также текущее состояние: Работает/Остановлена/Неизвестно.

42.3. Обновление системы

После установки системы крайне важно следить за обновлениями ПО. Обновления для Альт Сервер могут содержать как исправления, связанные с безопасностью, так и новый функционал или просто улучшение и ускорение алгоритмов. В любом случае настоятельно рекомендуется регулярно обновлять систему для повышения надёжности работы сервера.
Для автоматизации процесса установки обновлений предусмотрен модуль ЦУС Обновление системы (пакет alterator-updates) из раздела Система. Здесь можно включить автоматическое обновление через Интернет с одного из предлагаемых серверов или задать собственные настройки.
Модуль Обновление системы
Источник обновлений указывается явно (при выбранном режиме Обновлять систему автоматически из сети Интернет) или вычисляется автоматически (при выбранном режиме Обновление системы управляемое сервером и наличии в локальной сети настроенного сервера обновлений).

Примечание

Рабочие станции «видят» локальный сервер обновлений, при выборе режима Обновление системы управляемое сервером, если они находятся в домене (при этом сервер обновлений должен быть настроен на Опубликовать как репозиторий для автоматических обновлений).
Процесс обновления системы будет запускаться автоматически согласно заданному расписанию.

Примечание

Чтобы указать в качестве сервера обновлений локально настроенный источник, необходимо выбрать режим Обновлять систему автоматически из Интернет, выбрать в списке Другой адрес и указать адрес локального сервера обновлений, например, http://<ip сервера>/mirror:
Указание источника обновлений

42.4. Обновление ядра ОС

Модуль ЦУС Обновление ядра (пакет alterator-update-kernel) из раздела Система реализует функционал утилиты update-kernel. Данный модуль предоставляет возможность:
  • просматривать список установленных ядер;
  • устанавливать, обновлять и удалять ядра;
  • задавать ядро, загружаемое по умолчанию;
  • устанавливать/удалять отдельные модули ядра.
В главном окне модуля отображается ядро, загруженное по умолчанию, и список установленных модулей ядра:
Модуль Обновление ядра
В дистрибутиве Альт Сервер можно установить несколько версий ядра одного и того же типа одновременно. После установки или обновления ядра старые ядра не удаляются.
В случае возникновения проблем с новым ядром можно переключиться на установленное ранее. Для этого следует выбрать нужное ядро в списке Установленные ядра и нажать кнопку Сделать ядро загружаемым по умолчанию.
Накопленный при обновлениях набор ранее установленных ядер можно удалить для освобождения дискового пространства. Для этого следует выбрать нужное ядро в списке Установленные ядра и нажать кнопку Удалить ядро.
Для того чтобы обновить ядро или установить модули ядра, следует нажать кнопку Обновить ядро….

Примечание

При нажатии кнопки Обновить ядро… локальная база данных пакетов будет синхронизирована с удалённым репозиторием, это может занять некоторое время.
Если в системе уже установлено последнее ядро, сообщение об этом появится в открывшемся окне, иначе в этом окне будет показано доступное к установке ядро.
Доступное к установке ядро
Чтобы обновить ядро, необходимо нажать кнопку Обновить ядро. Далее следует подтвердить желание обновить ядро нажатием кнопки Да.

Примечание

Новое ядро загрузится только после перезагрузки системы.
Если с новым ядром что-то пойдёт не так, вы сможете вернуться к предыдущему варианту, выбрав его в начальном меню загрузчика.
Если ядро не требует обновления, в окне Доступные модули можно отметить модули ядра необходимые к установке и нажать кнопку Установить модули.

42.5. Обновление систем, не имеющих выхода в Интернет

Для систем, не имеющих прямого выхода в Интернет, рекомендуется установка отдельного сервера обновлений на базе ОС Альт Сервер, находящегося вне защищенного контура и организация ограниченного доступа к этому серверу.
Модуль ЦУС Сервер обновлений (пакет alterator-mirror) из раздела Серверы предназначен для зеркалирования репозиториев и публикации их для обновлений рабочих станций и серверов.
Сервер обновлений — технология, позволяющая настроить автоматическое обновление программного обеспечения, установленного на клиентских машинах (рабочих местах), работающих под управлением Альт Рабочая станция.
Настройка сервера обновлений
На странице модуля можно выбрать, как часто выполнять закачку пакетов, можно выставить время, когда начинать зеркалирование.
Здесь также можно выбрать репозитории, локальные срезы которых необходимы. При нажатии на название репозитория, появляются настройки этого репозитория. Необходимо выбрать источник (сайт, откуда будет скачиваться репозиторий), архитектуру процессора (если их несколько, то стоит выбрать соответствующие).

Примечание

При выборе любой архитектуры также будет добавлен источник с noarch.
Настройки репозитория
Сервер обновлений предоставляет возможность автоматически настроить обновление клиентских машин в нужном режиме:
  • Локальное зеркало репозитория
    В этом режиме на сервере создаётся копия удалённого репозитория. Загрузка ПО клиентскими машинами может производится с локального сервера по протоколам HTTP, HTTPS, FTP, rsync (для каждого протокола нужно настроить соответствующие службы, ниже приведён пример настройки HTTP- и FTP-сервера). Наличие на локальном сервере зеркала репозитория при большом количестве машин в сети позволяет существенно сэкономить трафик.

    Важно

    Зеркалирование потребует наличия большого количества места на диске.
    Уменьшить размер скачиваемых файлов и занимаемое репозиторием место на диске можно, указав имена каталогов и файлов, которые будут исключены из синхронизации. Например, не скачивать пакеты с исходным кодом и пакеты с отладочной информацией:
    SRPMS
    *-debuginfo-*
    
    Шаблоны указываются по одному в отдельной строке. Символ «*» используется для подстановки любого количества символов.
  • Публикация репозитория
    В этом случае публикуется или URL внешнего сервера, содержащего репозиторий или, если включено локальное зеркало репозитория, адрес этого сервера. Такая публикация позволяет клиентским машинам автоматически настроить свои менеджеры пакетов на использование внешнего или локального репозитория.
    Со стороны клиентских машин, в этом случае, необходимо настроить модуль Обновление системы, отметив в нём Обновление системы управляемое сервером.
Настройка локального репозитория заканчивается нажатием на кнопку Применить.

Примечание

По умолчанию локальное зеркало репозитория находится в /srv/public/mirror. Для того чтобы зеркалирование происходило в другую папку, необходимо эту папку примонтировать в папку /srv/public/mirror. Для этого в файл /etc/fstab следует вписать строку:
/media/disk/localrepo /srv/public/mirror none rw,bind,auto 0 0
где /media/disk/localrepo — папка-хранилище локального репозитория.

Примечание

Если в каталогах /srv/public/mirror/<репозиторий>/branch/<архитектура>/base/. нет файлов pkglist.* значит зеркалирование не закончено (т.е. не все файлы загружены на ваш сервер).

42.5.1. Настройка веб-сервера

Установить веб-сервер (в данном примере nginx):
# apt-get install nginx
Создать файл конфигурации сервера в /etc/nginx/sites-available.d/repo.conf:
server {
  listen 80;
  server_name localhost .local <ваш ip>;

  access_log /var/log/nginx/repo-access.log;
  error_log /var/log/nginx/repo-error.log;

  location /mirror {
    root /srv/public;
    autoindex on;
   }
}
Сделать ссылку в /etc/nginx/sites-enabled.d/:
# ln -s /etc/nginx/sites-available.d/repo.conf /etc/nginx/sites-enabled.d/repo.conf
Запустить nginx и добавить его в автозагрузку:
# systemctl enable --now nginx
На клиентских машинах необходимо настроить репозитории. Сделать это можно в программе управления пакетами Synaptic (ПараметрыРепозитории) или в командной строке:
# apt-repo rm all
# apt-repo add http://<ip сервера>/mirror/p10/branch
Проверить правильность настройки репозиториев:
# apt-repo
rpm http://192.168.0.185/mirror p10/branch/x86_64 classic
rpm http://192.168.0.185/mirror p10/branch/noarch classic

42.5.2. Настройка FTP-сервера

Установить пакеты vsftpd, lftp, если они еще не установлены:
# apt-get install vsftpd lftp
Настроить параметры использования vsftpd в файле /etc/xinetd.d/vsftpd:
# default: off
# description: The vsftpd FTP server.
service ftp
{
    disable = no # включает службу
    socket_type = stream
    protocol = tcp
    wait = no
    user = root
    nice = 10
    rlimit_as = 200M
    server = /usr/sbin/vsftpd
    only_from = 0.0.0.0 # предоставить доступ для всех IP
}
Перезапустить xinetd:
# systemctl restart xinetd
Изменить настройку прав доступа в файле /etc/vsftpd/conf:
local_enable=YES
Создать каталог /var/ftp/mirror:
# mkdir -p /var/ftp/mirror
Примонтировать каталог /srv/public/mirror в /var/ftp/mirror с опцией --bind:
# mount --bind /srv/public/mirror /var/ftp/mirror

Примечание

Для автоматического монтирования каталога /srv/public/mirror при загрузке системы необходимо добавить следующую строку в файл /etc/fstab:
/srv/public/mirror /var/ftp/mirror none defaults,bind 0 0
На клиентских машинах необходимо настроить репозитории:
# apt-repo rm all
# apt-repo add ftp://<ip сервера>/mirror/p10/branch
# apt-repo
rpm ftp://192.168.0.185/mirror p10/branch/x86_64 classic
rpm ftp://192.168.0.185/mirror p10/branch/noarch classic

42.6. Локальные учётные записи

Модуль Локальные учётные записи (пакет alterator-users) из раздела Пользователи предназначен для администрирования системных пользователей.
Веб-интерфейс модуля alterator-users
Для создания новой учётной записи необходимо ввести имя новой учётной записи и нажать кнопку Создать, после чего имя отобразится в списке слева.
Для дополнительных настроек необходимо выделить добавленное имя, либо, если необходимо изменить существующую учётную запись, выбрать её из списка.

42.7. Администратор системы

В модуле Администратор системы (пакет alterator-root) из раздела Пользователи можно изменить пароль суперпользователя (root), заданный при начальной настройке системы.
В данном модуле (только в веб-интерфейсе) можно добавить публичную часть ключа RSA или DSA для доступа к серверу по протоколу SSH.
Веб-интерфейс модуля Администратор системы

42.8. Дата и время

В модуле Дата и время (пакет alterator-datetime) из раздела Система можно изменить дату и время на сервере, сменить часовой пояс, а также настроить автоматическую синхронизацию часов на самом сервере по протоколу NTP и предоставление точного времени по этому протоколу для рабочих станций локальной сети.
Веб-интерфейс модуля Дата и время
Системное время зависит от следующих факторов:
  • часы в BIOS — часы, встроенные в компьютер. Они работают, даже если он выключен;
  • системное время — часы в ядре операционной системы. Во время работы системы все процессы пользуются именно этими часами;
  • часовые пояса — регионы Земли, в каждом из которых принято единое местное время.
При запуске системы происходит активация системных часов и их синхронизация с аппаратными, кроме того, в определённых случаях учитывается значение часового пояса. При завершении работы системы происходит обратный процесс.
Если настроена синхронизация времени с NTP-сервером, то сервер сможет сам работать как сервер точного времени. Для этого достаточно отметить соответствующий пункт Работать как NTP-сервер.

Примечание

Выбор источника сигналов времени (источника тактовой частоты) доступен в режиме эксперта.

42.9. Агент наблюдения

Модуль Агент наблюдения (пакет alterator-zabbix-agent) из раздела Система позволяет настроить клиентскую часть системы мониторинга Zabbix.
Веб-интерфейс модуля Агент наблюдения
На странице модуля можно задать следующие параметры:
  • Слушать по адресу — IP-адрес, который агент должен прослушивать;
  • Адрес сервера наблюдения — адрес сервера Zabbix, которому разрешено обращаться к агенту;
  • Имя узла — при выборе пункта Системное, узел будет добавлен на сервер Zabbix под системным именем, при выборе пункта Пользовательское, имя узла можно указать в поле Пользовательское имя узла;
  • Пользовательское имя узла — имя узла мониторинга, которое будет указано на сервере Zabbix.

Примечание

Параметр Разрешить выполнение команд использовать не рекомендуется.
Чтобы применить настройки и запустить Zabbix-агент, следует отметить пункт Включить службу агента мониторинга и нажать кнопку Применить.

42.10. Ограничение использования диска

Модуль Использование диска (пакет alterator-quota) в разделе Пользователи позволяет ограничить использование дискового пространства пользователями, заведёнными на сервере в модуле Пользователи.
Веб-интерфейс модуля Использование диска
Модуль позволяет задать ограничения (квоты) для пользователя при использовании определённого раздела диска. Ограничить можно как суммарное количество килобайт, занятых файлами пользователя, так и количество этих файлов.
Для управления квотами файловая система должна быть подключена с параметрами usrquota, grpquota. Для этого следует выбрать нужный раздел в списке Файловая система и установить отметку в поле Включено:
Задание ограничений для пользователя user на раздел /home
Для того чтобы задать ограничения для пользователя, необходимо выбрать пользователя в списке Пользователь, установить ограничения и нажать кнопку Применить.
При задании ограничений различают жёсткие и мягкие ограничения:
  • Мягкое ограничение: нижняя граница ограничения, которая может быть временно превышена. Временное ограничение — одна неделя.
  • Жёсткое ограничение: использование диска, которое не может быть превышено ни при каких условиях.
Значение 0 при задании ограничений означает отсутствие ограничений.

42.11. Выключение и перезагрузка компьютера

Иногда, в целях обслуживания или по организационным причинам необходимо корректно выключить или перезагрузить сервер. Для этого можно воспользоваться модулем ЦУС Выключение компьютера в разделе Система.
Веб-интерфейс модуля Выключение компьютера
Модуль Выключение компьютера позволяет:
  • выключить компьютер;
  • перезагрузить компьютер;
  • приостановить работу компьютера;
  • погрузить компьютер в сон.
Возможна настройка ежедневного применения данных действий в заданное время.
Так как выключение и перезагрузка — критичные для функционирования компьютера операции, то по умолчанию настройка выставлена в значение Продолжить работу. Для выключения, перезагрузки или перехода в энергосберегающие режимы нужно отметить соответствующий пункт и нажать Применить.
Для ежедневного автоматического выключения компьютера, перезагрузки, а также перехода в энергосберегающие режимы необходимо отметить соответствующий пункт и задать желаемое время. Например, для выключения компьютера следует отметить пункт Выключать компьютер каждый день в, задать время выключения в поле ввода слева от этого флажка и нажать кнопку Применить.

Примечание

Для возможности настройки оповещений на e-mail, должен быть установлен пакет state-change-notify-postfix:
# apt-get install state-change-notify-postfix
Для настройки оповещений необходимо отметить пункт При изменении состояния системы отправлять электронное письмо по адресу, ввести e-mail адрес и нажать кнопку Применить:
Веб-интерфейс модуля Выключение компьютера. Настройка оповещений
По указанному адресу, при изменении состоянии системы будут приходить электронные письма. Например, при включении компьютера, содержание письма будет следующее:
Thu Sep 14 11:46:59 EET 2023: The server.test.alt is about to start.
При выключении:
Thu Sep 14 12:27:02 EET 2023: The server.test.alt is about to shutdown.
Кнопка Сбросить возвращает сделанный выбор к безопасному значению по умолчанию: Продолжить работу, перечитывает расписания и выставляет отметки для ежедневного автоматического действия в соответствие с прочитанным.

Глава 43. Прочие возможности ЦУС

Возможности Альт Сервер не ограничиваются только теми, что были описаны выше. Вы всегда можете поискать другие модули, предоставляющие прочие возможности для настройки системы в веб-интерфейсе.
Установленные пакеты, которые относятся к ЦУС, можно посмотреть, выполнив команду:
rpm -qa | grep alterator*
Прочие пакеты для ЦУС можно найти, выполнив команду:
apt-cache search alterator*
Модули можно дополнительно загружать и удалять как обычные программы:
# apt-get install alterator-net-openvpn
# apt-get remove alterator-net-openvpn
После установки модуля, у которого есть веб-интерфейс, для того чтобы он отобразился в веб-интерфейсе, необходимо перезапустить службу ahttpd:
# systemctl restart ahttpd

Глава 44. Права доступа к модулям

Администратор системы (root) имеет доступ ко всем модулям, установленным в системе, и может назначать права доступа для пользователей к определенным модулям.
Для разрешения доступа пользователю к конкретному модулю, администратору в веб-интерфейсе ЦУС необходимо выбрать нужный модуль и нажать ссылку Параметры доступа к модулю, расположенную в нижней части окна модуля:
Ссылка Параметры доступа к модулю
В открывшемся окне, в списке Новый пользователь необходимо выбрать пользователя, который получит доступ к данному модулю, и нажать кнопку Добавить.
Параметры доступа к модулю
Для сохранения настроек необходимо перезапустить HTTP-сервер, для этого достаточно нажать кнопку Перезапустить HTTP-сервер.
Для удаления доступа пользователя к определенному модулю, администратору, в окне этого модуля необходимо нажать ссылку Параметры доступа к модулю, в открывшемся окне в списке пользователей которым разрешен доступ, должен выбрать пользователя, нажать кнопку Удалить и перезапустить HTTP-сервер.
Системный пользователь, пройдя процедуру аутентификации, может просматривать и вызывать модули, к которым он имеет доступ.

Часть VIII. Корпоративная инфраструктура

Глава 45. Samba 4 в роли контроллера домена Active Directory

Использование Samba 4 в роли контроллера домена Active Directory позволяет вводить Windows 7/8 в домен без манипуляций с реестром.
Поддерживаются следующие базовые возможности Active Directory:
  • аутентификация рабочих станций Windows и Linux и служб;
  • авторизация и предоставление ресурсов;
  • групповые политики (GPO);
  • перемещаемые профили (Roaming Profiles);
  • поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows;
  • поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования).

Предупреждение

Samba AD DC функционирует на уровне контроллера доменов Windows 2008 R2 . Можно ввести его в домен Windows 2012 как клиента, но не как контроллер домена.

45.1. Установка

Для установки Samba AD DC выполняются следующие шаги:
  • Установить пакет task-samba-dc, который установит все необходимое:
    # apt-get install task-samba-dc
    
  • Так как Samba в режиме контроллера домена (Domain Controller, DC) использует как свой LDAP, так и свой сервер Kerberos, перед установкой необходимо остановить конфликтующие службы krb5kdc и slapd, а также bind:
    # for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
    

45.2. Создание нового домена

45.2.1. Восстановление к начальному состоянию Samba

Необходимо очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён):
# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Предупреждение

Обязательно удаляйте /etc/samba/smb.conf перед созданием домена: rm -f /etc/samba/smb.conf

45.2.2. Выбор имени домена

Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов, разделённых точкой. При этом должно быть установлено правильное имя узла и домена для сервера:
  • HOSTNAME=dc1.test.alt в /etc/sysconfig/network
  • # hostnamectl set-hostname dc1.test.alt
    
  • # domainname test.alt
    

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.

Предупреждение

При указании домена, имеющего суффикс .local, на сервере и подключаемых компьютерах под управлением Linux потребуется отключить службу avahi-daemon.

45.2.3. Создание домена в ЦУС

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:
  1. В модуле Ethernet-интерфейсы указать имя компьютера и DNS 127.0.0.1:
    Ethernet-интерфейсы
  2. В модуле Домен указать имя домена, отметить пункт Active Directory, указать IP-адреса внешних DNS-серверов, задать пароль администратора домена и нажать кнопку Применить:
    Создание домена в ЦУС

    Примечание

    Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль, не полностью соответствующий требованиям, это одна из причин завершения развертывания домена ошибкой.
  3. После успешного создания домена, будет выведена информация о домене:
    Создание домена в ЦУС
  4. Перезагрузить сервер.

45.2.4. Создание домена одной командой

Создание контроллера домена test.alt:
# samba-tool domain provision --realm=test.alt --domain=test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --server-role=dc
где
  • --realm — задает область Kerberos (LDAP), и DNS имя домена;
  • --domain — задает имя домена (имя рабочей группы);
  • --adminpass — пароль основного администратора домена;
  • dns forwarder — внешний DNS-сервер;
  • --server-role — тип серверной роли.

Примечание

Параметр --use-rfc2307 позволяет поддерживать расширенные атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Если уровень домена не указан, то домен разворачивается на уровне 2008_R2. Для разворачивания домена на другом уровне, уровень необходимо явно указать, например:
# samba-tool domain provision --realm=test.alt --domain=test --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --option="dns forwarder=8.8.8.8" --option="ad dc functional level = 2016" --server-role=dc --function-level=2016

Примечание

Если необходим уровень 2012_R2, то следует сначала развернуть домен на уровне 2008_R2, а затем повысить его до 2012_R2 (см. Повышение уровня схемы, функционального уровня домена).

45.2.5. Интерактивное создание домена

Примечание

У Samba свой собственный DNS-сервер. В DNS forwarder IP address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные имена.
Для интерактивного развертывания запустите samba-tool domain provision, это запустит утилиту развертывания, которая будет задавать различные вопросы о требованиях к установке. В примере показано создание домена test.alt:
# samba-tool domain provision
Realm [TEST.ALT]:
Domain [TEST]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: 8.8.8.8
Administrator password:
Retype password:
Looking up IPv4 addresses
More than one IPv4 address found. Using 192.168.0.122
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=test,DC=alt
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=test,DC=alt
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Merge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              dc1
NetBIOS Domain:        TEST
DNS Domain:            test.alt
DOMAIN SID:            S-1-5-21-80639820-2350372464-3293631772
При запросе ввода нажимайте Enter за исключением запроса пароля администратора («Administrator password:» и «Retype password:»).

Примечание

Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль, не полностью соответствующий требованиям, это одна из причин завершения развертывания домена ошибкой.

45.3. Запуск службы

В файл /etc/resolvconf.conf добавить строку:
name_servers=127.0.0.1
Обновить DNS адреса:
# resolvconf -u
Установить службу по умолчанию и запустите её:
# systemctl enable --now samba

45.4. Настройка Kerberos

Внести изменения в файл /etc/krb5.conf. Следует раскомментировать строку default_realm и содержимое разделов realms и domain_realm и указать название домена (обратите внимание на регистр символов), в строке dns_lookup_realm должно быть установлено значение false:
includedir /etc/krb5.conf.d/

[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_kdc = true
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = TEST.ALT
# default_ccache_name = KEYRING:persistent:%{uid}

[realms]
TEST.ALT = {
  default_domain = test.alt
}

[domain_realm]
dc1 = TEST.ALT

Примечание

В момент создания домена Samba конфигурирует шаблон файла krb5.conf для домена в каталоге /var/lib/samba/private/. Можно просто заменить этим файлом файл, находящийся в каталоге /etc/:
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

45.5. Проверка работоспособности

Просмотр общей информации о домене:
# samba-tool domain info 127.0.0.1
Forest           : test.alt
Domain           : test.alt
Netbios domain   : TEST
DC name          : dc1.test.alt
DC netbios name  : DC
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name
Просмотр предоставляемых служб:
# smbclient -L localhost -Uadministrator
Password for [TEST\administrator]:

	Sharename       Type      Comment
	---------       ----      -------
	sysvol          Disk
	netlogon        Disk
	IPC$            IPC       IPC Service (Samba 4.19.7-alt4)
SMB1 disabled -- no workgroup available
Общие ресурсы netlogon и sysvol создаваемые по умолчанию нужны для функционирования сервера AD и создаются в smb.conf в процессе развертывания/модернизации.
Проверка конфигурации DNS:
  • Убедитесь в наличии nameserver 127.0.0.1 в /etc/resolv.conf:
    # cat /etc/resolv.conf
    # Generated by resolvconf
    # Do not edit manually, use
    # /etc/net/ifaces/<interface>/resolv.conf instead.
    search test.alt
    nameserver 127.0.0.1
    
    # host test.alt
    test.alt has address 192.168.0.122
    
  • Проверьте имена хостов:
    # host -t SRV _kerberos._udp.test.alt.
    _kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt.
    # host -t SRV _ldap._tcp.test.alt.
    _ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt.
    # host -t A dc1.test.alt.
    dc1.test.alt has address 192.168.0.122
    
    Если имена не находятся, проверьте выключение службы named.
Проверка Kerberos (имя домена должно быть в верхнем регистре):
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TEST.ALT

Valid starting       Expires              Service principal
18.10.2024 11:23:18  18.10.2024 21:23:14  krbtgt/TEST.ALT@TEST.ALT
	renew until 25.10.2024 11:23:10

45.6. Повышение уровня схемы, функционального уровня домена

Для повышения уровня домена необходимо выполнить следующие действия:
  1. Указать функциональный уровень AD, который будет поддерживаться контроллером домена в параметре ad dc functional level файла /etc/samba/smb.conf. Возможные значения: 2008_R2, 2012, 2012_R2, 2016.
  2. Обновить схему домена, выполнив команду:
    # samba-tool domain schemaupgrade --schema=<SCHEMA>
    
    где SCHEMA — схема, до которой необходимо выполнить обновление (по умолчанию 2019).
  3. Подготовить функциональный уровень домена, выполнив команду:
    # samba-tool domain functionalprep --function-level=<FUNCTION_LEVEL>
    
    где FUNCTION_LEVEL — функциональный уровень, к которому нужно подготовиться (по умолчанию 2016).
  4. Указать функциональные уровни домена и леса, выполнив команду:
    # samba-tool domain level raise --domain-level=<DOMAIN_LEVEL> --forest-level=<FOREST_LEVEL>
    
    где:
    • FOREST_LEVEL — уровень работы леса. Возможные значения: 2003, 2008, 2008_R2, 2012, 2012_R2, 2016.
    • DOMAIN_LEVEL — уровень работы домена. Возможные значения: 2003, 2008, 2008_R2, 2012, 2012_R2, 2016.

Примечание

При установке значения параметра ad dc functional level в файле /etc/samba/smb.conf вручную, защита от несовпадения функций между контроллерами домена снижается. Поэтому на всех контроллерах домена должна использоваться одна и та же версия Samba, чтобы гарантировать, что поведение, наблюдаемое клиентом, будет одинаковым независимо от того, к какому контроллеру домена осуществляется соединение.
Пример повышения уровня домена до 2016:
  • в раздел [global] файла /etc/samba/smb.conf добавить строку:
    ad dc functional level = 2016
    
  • перезагрузить службу samba:
    # systemctl restart samba.service
    
  • обновить схему домена:
    # samba-tool domain schemaupgrade --schema=2019
    
  • подготовить функциональный уровень домена:
    # samba-tool domain functionalprep --function-level=2016
    
  • повысить функциональные уровни домена и леса до 2016:
    # samba-tool domain level raise --domain-level=2016 --forest-level=2016
    Domain function level changed!
    Forest function level changed!
    All changes applied successfully!
    
  • убедиться, что уровни домена и леса повышены:
    # samba-tool domain level show
    Domain and forest function level for domain 'DC=test,DC=alt'
    
    Forest function level: (Windows) 2016
    Domain function level: (Windows) 2016
    Lowest function level of a DC: (Windows) 2016
    

45.7. Управление пользователями

Создать пользователя с паролем:
samba-tool user create имя пользователя
samba-tool user setexpiry имя пользователя
Удалить пользователя:
samba-tool user delete имя пользователя
Отключить пользователя:
samba-tool user disable имя пользователя
Включить пользователя:
samba-tool user enable имя пользователя
Изменить пароль пользователя:
samba-tool user setpassword имя пользователя
Просмотреть доступных пользователей:
# samba-tool user list
Например, создать и разблокировать пользователя ivanov:
# samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@test.alt'
# samba-tool user setexpiry ivanov --noexpiry

Предупреждение

Не допускайте одинаковых имён для пользователя и компьютера, это может привести к коллизиям (например, такого пользователя нельзя добавить в группу). Если компьютер с таким именем заведён, удалить его можно командой: pdbedit -x -m имя

45.8. Заведение вторичного DC

Присоединение дополнительного Samba DC к существующему AD отличается от инициализации первого DC в лесу AD.
Все действия выполняются на узле dc2.test.alt (192.168.0.106), если не указано иное.
  1. Установить пакет task-samba-dc, который установит все необходимое:
    # apt-get install task-samba-dc
    
  2. Остановить конфликтующие службы krb5kdc и slapd, а также bind:
    # for service in smb nmb krb5kdc slapd bind; do systemctl disable $service; systemctl stop $service; done
    
  3. Очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён):
    # rm -f /etc/samba/smb.conf
    # rm -rf /var/lib/samba
    # rm -rf /var/cache/samba
    # mkdir -p /var/lib/samba/sysvol
    
  4. На Primary Domain Controller (PDC) проверить состояние службы bind:
    # systemctl status bind
    
    И, если она была включена, выключить службу bind и перезапустить службу samba:
    # systemctl stop bind
    # systemctl restart samba
    
  5. На PDC завести IP-адрес для dc2:

    Предупреждение

    Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
    # samba-tool dns add 192.168.0.122 test.alt DC2 A 192.168.0.106 -Uadministrator
    Password for [TEST\administrator]:
    Record added successfully
    
  6. На вторичном DC установить следующие параметры в файле конфигурации клиента Kerberos /etc/krb5.conf):
    [libdefaults]
    default_realm = TEST.ALT
    dns_lookup_realm = false
    dns_lookup_kdc = true
    

    Примечание

    На вторичном DC в /etc/resolv.conf обязательно должен быть добавлен PDC как nameserver:
    # echo "name_servers=192.168.0.122" >> /etc/resolvconf.conf
    # echo "search_domains=test.alt" >> /etc/resolvconf.conf
    # resolvconf -u
    # cat /etc/resolv.conf
    search test.alt
    nameserver 192.168.0.122
    nameserver 8.8.8.8
    
  7. Для проверки настройки запросить билет Kerberos для администратора домена:
    # kinit administrator@TEST.ALT
    Password for administrator@TEST.ALT:
    

    Предупреждение

    Имя домена должно быть указано в верхнем регистре
  8. Убедиться, что билет получен:
    # klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: administrator@TEST.ALT
    
    Valid starting       Expires              Service principal
    18.10.2024 11:28:35  18.10.2024 21:28:35  krbtgt/TEST.ALT@TEST.ALT
    	renew until 25.10.2024 11:28:32
    
  9. Ввести вторичный DC в домен test.alt в качестве контроллера домена (DC):
    # samba-tool domain join test.alt DC -Uadministrator --realm=test.alt --option="dns forwarder=8.8.8.8"
    
    Если всё нормально, в конце будет выведена информация о присоединении к домену:
    Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a DC
    
    Для получения дополнительной информации можно воспользоваться командой:
    # samba-tool domain join --help
    
  10. Сделать службу samba запускаемой по умолчанию и запустить её:
    # systemctl enable --now samba
    

45.9. Репликация

Предупреждение

Без успешной двунаправленной репликации в течение 14 дней DC исключается из Active Directory

Предупреждение

Указание аутентифицирующей информации (имени пользователя и пароля) обязательно!
  1. Реплицируем на вторичном DC (с первичного):
    # samba-tool drs replicate dc2.test.alt dc1.test.alt dc=test,dc=alt -Uadministrator
    
    Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
  2. Реплицируем на вторичном DC (на первичный):
    # samba-tool drs replicate dc1.test.alt dc2.test.alt dc=test,dc=alt -Uadministrator
    
    Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.

    Примечание

    Имя домена в именах серверов можно опустить (если они одинаковые).
  3. Для просмотра статуса репликации на PDC, запустите на Samba DC:
    # samba-tool drs showrepl
    

Примечание

Если репликация на Windows не работает, добавьте в Active Directory Sites and Services новое соединение Active Directory. Реплицируйте на DC, подождите минут 5 и пробуйте реплицировать с Samba на Windows.

45.10. Подключение к домену на рабочей станции

45.10.1. Подготовка

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости (если он еще не установлен):
# apt-get install task-auth-ad-sssd
Синхронизация времени с контроллером домена производится автоматически.
Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.
Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли:
  • В Центре управления системой в разделе СетьEthernet интерфейсы задать имя компьютера, указать в поле DNS-серверы DNS-сервер домена и в поле Домены поиска — домен для поиска:
    Настройка сети
  • В консоли:
    • задать имя компьютера:
      # hostnamectl set-hostname host-15.test.alt
      
    • в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо создать файл /etc/net/ifaces/enp0s3/resolv.conf со следующим содержимым:
      nameserver 192.168.0.122
      
      где 192.168.0.122 — IP-адрес DNS-сервера домена.
    • указать службе resolvconf использовать DNS контроллера домена и домен для поиска. Для этого в файле /etc/resolvconf.conf добавить/отредактировать следующие параметры:
      interface_order='lo lo[0-9]* lo.* enp0s3'
      search_domains=test.alt
      
      где enp0s3 — интерфейс, на котором доступен контроллер домена, test.alt — домен.
    • обновить DNS адреса:
      # resolvconf -u
      

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле /etc/resolv.conf должны появиться строки:
search test.alt
nameserver 192.168.0.122

45.10.2. Ввод в домен

Ввод в домен можно осуществить следующими способами:
  • В командной строке:
    # system-auth write ad test.alt host-15 test 'administrator' 'Pa$$word'
    Joined 'HOST-15' to dns domain 'test.alt'
    
  • В Центре управления системой в разделе ПользователиАутентификация.
    В открывшемся окне следует выбрать пункт Домен Active Directory, заполнить поля и нажать кнопку Применить:
    Ввод в домен в Центре управления системой
    В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК:
    Пароль для учётной записи с правами подключения к домену
    При успешном подключении к домену, отобразится соответствующая информация:
    Успешное подключение к домену
Перезагрузить рабочую станцию.

Глава 46. Групповые политики

Групповые политики — это набор правил и настроек для серверов и рабочих станций, реализуемых в корпоративных решениях. В соответствии с групповыми политиками производится настройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном разделе рассмотрена реализация поддержки групповых политик Active Directory в решениях на базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик, на данный момент, предлагается использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в домен Samba.
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных настроек в рамках домена, возможна привязка к следующим группам объектов:
  • подразделения (OU) — пользователи и компьютеры, хранящиеся в соответствующей части дерева объектов;
  • сайты — группы компьютеров в заданной подсети в рамках одного и того же домена;
  • конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные условия, фильтры и ограничения, на основании которых принимается решение о том, как применять данную групповую политику.
Политики подразделяются на политики для компьютеров (Machine) и политики для пользователей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
  • управления интернет-браузерами Firefox/Chromium/Yandex. Возможно установить при использовании ADMX-файлов Mozilla Firefox (пакет admx-firefox), Google Chrome (пакет admx-chromium) и Yandex (пакет admx-yandex-browser) соответственно;
  • установки запрета на подключение внешних носителей;
  • управления политиками control (реализован широкий набор настроек). Возможно установить при использовании ADMX-файлов ALT;
  • включения или выключения различных служб (сервисов systemd). Возможно установить при использовании ADMX-файлов ALT;
  • настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды MATE. Возможно установить при использовании ADMX-файлов ALT;
  • настройки среды рабочего стола KDE (экспериментальная политика). Возможно установить при использовании ADMX-файлов ALT;
  • подключения сетевых дисков (экспериментальная политика);
  • управления общими каталогами (экспериментальная политика);
  • генерирования (удаления/замены) ярлыков для запуска программ;
  • создания каталогов;
  • управления файлами (экспериментальная политика);
  • управления сценариями запуска и завершения работы компьютера, входа и выхода пользо-вателя из системы (экспериментальная политика);
  • установки и удаления пакетов (экспериментальная политика).

Важно

Модули (настройки), помеченные как экспериментальные, необходимо включать вручную через ADMX-файлы ALT в разделе Групповые политики.

46.1. Развертывание групповых политик

Процесс развёртывание групповых политик:
  1. Развернуть сервер Samba AD DC (см. Samba 4 в роли контроллера домена Active Directory ).
  2. Установить административные шаблоны. Для этого:
    • установить пакеты политик admx-basealt, admx-chromium, admx-firefox, admx-yandex-browser и утилиту admx-msi-setup:
      # apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
      
    • скачать и установить ADMX-файлы от Microsoft:
      # admx-msi-setup
      

      Примечание

      По умолчанию, admx-msi-setup устанавливает последнюю версию ADMX от Microsoft (сейчас это Microsoft Group Policy — Windows 10 October 2020 Update (20H2)). С помощью параметров, можно указать другой источник:
      # admx-msi-setup -h
      admx-msi-setup - download msi files and extract them in <destination-directory> default value is /usr/share/PolicyDefinitions/.
      Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-source>]
      Removing admx-msi-setup temporary files...
      
    • после установки политики будут находиться в каталоге /usr/share/PolicyDefinitions. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/):
      # samba-tool gpo admxload -U Administrator
      
  3. Ввести рабочие станции в домен Active Directory (см. Подключение к домену на рабочей станции).

    Примечание

    Должен быть установлен пакет alterator-gpupdate:
    # apt-get install alterator-gpupdate
    
    Для автоматического включения групповых политик, при вводе в домен, в окне ввода имени и пароля пользователя, имеющего право вводить машины в домен, отметить пункт Включить групповые политики:
    Пункт Включить групповые политики
    Политики будут включены сразу после ввода в домен (после перезагрузки системы).

    Примечание

    Если машина уже находится в домене, можно вручную включить групповые политики с помощью модуля alterator-gpupdate. Для этого в Центре управления системой в разделе СистемаГрупповые политики следует выбрать шаблон локальной политики (Сервер, Рабочая станция или Контроллер домена) и установить отметку в пункте Управление групповыми политиками:
    Модуль ЦУС «Групповые политики»
  4. На рабочей станции, введённой в домен, установить административные инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и модуль редактирования настроек клиентской конфигурации (GPUI)):
    # apt-get install admc gpui
    

    Примечание

    В настоящее время GPUI не умеет читать файлы ADMX с контроллера домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
    # apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser admx-msi-setup
    # admx-msi-setup
    
  5. Настроить, если это необходимо, RSAT на машине с ОС Windows:
    • ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT поддерживается из среды до Windows 2012R2 включительно);
    • включить компоненты удаленного администрирования (этот шаг можно пропустить, если административные шаблоны были установлены на контроллере домена). Для задания конфигурации с помощью RSAT необходимо установить административные шаблоны (файлы ADMX) и зависящие от языка файлы ADML из репозитория http://git.altlinux.org/gears/a/admx-basealt.git (https://github.com/altlinux/admx-basealt) и разместить их в каталоге \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
    • корректно установленные административные шаблоны будут отображены на машине Windows в оснастке Редактор управления групповыми политиками в разделе Конфигурация компьютераПолитикиАдминистративные шаблоныСистема ALT:
      Политики настройки систем ALT в консоли gpme.msc

46.2. Пример создания групповой политики

Для создания групповой политики на машине, введённой в домен, необходимо выполнить следующие шаги:
  1. Добавить доменные устройства (компьютеры/пользователи) в подразделение (OU) (инструмент ADMC или оснастка AD «Пользователи и компьютеры»);
  2. Создать политику и назначить её на OU (инструмент ADMC или оснастка AD «Управление групповой политикой»);
  3. Отредактировать параметры политики (инструмент GPUI или оснастка AD «Редактор управления групповыми политиками»).
В качестве примера, создадим политику, разрешающую запускать команду ping только суперпользователю (root).
Для использования ADMC следует сначала получить билет Kerberos для администратора домена:
$ kinit administrator
Password for administrator@TEST.ALT:
Запустить ADMC можно из меню (Меню MATEПриложенияСистемныеADMC) или командой admc:
$ admc
Интерфейс ADMC
Добавление доменных устройств в группу членства GPO:
  1. Создать новое подразделение:
    • в контекстном меню домена выбрать пункт СоздатьПодразделение:
      ADMC. Создать новое подразделение
    • в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку ОК:
      ADMC. Новое подразделение
  2. Переместить компьютеры и пользователей домена в созданное подразделение:
    • в контекстном меню пользователя/компьютера выбрать пункт Переместить…;
    • в открывшемся диалоговом окне Выбор контейнера – ADMC выбрать контейнер, в который следует переместить учетную запись пользователя.
ADMC. Компьютеры и пользователи в подразделении OU
Создание политики для подразделения:
  1. В контекстном меню подразделения (в папке Объекты групповой политики) выбрать пункт Создать политику и связать с этим подразделением:
    ADMC. Контекстное меню подразделения в объектах групповых политик
  2. В открывшемся окне ввести название политики и нажать кнопку ОК:
    ADMC. Создание объекта групповой политики
Редактирование настроек групповой политики:
  1. В контекстном меню политики выбрать пункт Изменить…:
    ADMC. Контекстное меню объекта групповой политики
  2. Откроется окно редактирования групповых политик (GPUI):
    Модуль редактирования настроек клиентской конфигурации (GPUI)
  3. Перейти в КомпьютерАдминистративные шаблоныСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  4. Щёлкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включено, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку ОК:
    GPUI. Диалоговое окно настройки политики
  5. После обновления политики на клиенте, выполнять команду ping сможет только администратор:
    $ ping localhost
    bash: ping: команда не найдена
    $ /usr/bin/ping localhost
    bash: /usr/bin/ping: Отказано в доступе
    # control ping
    restricted
    
Пример создания групповой политики на машине с ОС Windows:
  1. На машине с установленным RSAT открыть оснастку Управление групповыми политиками (gpmc.msc).
  2. Создать новый объект групповой политики (GPO) и связать его с подразделением (OU), в который входят машины или учетные записи пользователей.
  3. В контекстном меню GPO, выбрать пункт Изменить…. Откроется редактор GPO.
  4. Перейти в Конфигурация компьютераПолитикиАдминистративные шаблоныСистема ALT. Здесь есть несколько разделов, соответствующих категориям control. Выбрать раздел Сетевые приложения, в правом окне редактора отобразится список политик:
    Раздел Сетевые приложения
  5. Дважды щелкнуть левой кнопкой мыши на политике Разрешения для /usr/bin/ping. Откроется диалоговое окно настройки политики. Выбрать параметр Включить, в выпадающем списке Кому разрешено выполнять выбрать пункт Только root и нажать кнопку Применить:
    Раздел Сетевые приложения

Важно

Для диагностики механизмов применения групповых политик на клиенте можно выполнить команду:
# gpoa --loglevel 0
В выводе команды будут фигурировать полученные групповые объекты. В частности, соответствующий уникальный код (GUID) объекта.

Глава 47. Samba в режиме файлового сервера

Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части.

47.1. Настройка smb.conf

Примечание

После редактирования файла /etc/samba/smb.conf, следует запустить команду testparm для проверки файла на синтаксические ошибки:
# testparm /etc/samba/smb.conf
И, в случае отсутствия ошибок, перезапустить службы smb и nmb, чтобы изменения вступили в силу:
# systemctl restart smb
# systemctl restart nmb
Каждый раздел в файле конфигурации (кроме раздела [global]) описывает общий ресурс. Название раздела — это имя общего ресурса. Параметры в разделе определяют свойства общего ресурса.
Общий ресурс состоит из каталога, к которому предоставляется доступ, а также описания прав доступа, которые предоставляются пользователю.
Разделы — это либо общие файловые ресурсы, либо службы печати. Разделам может быть назначен гостевой доступ, в этом случае для доступа к ним не требуется пароль (для определения прав доступа используется специальная гостевая учетная запись). Для доступа к разделам, к которым запрещен гостевой доступ, потребуется пароль.

Примечание

Samba использует отдельную от системной базу данных пользователей. Для возможности доступа пользователя к папке (если запрещен гостевой доступ) необходимо внести его в базу данных Samba и установить пароль для доступа к общим ресурсам (он может совпадать с основным паролем пользователя). Следует учитывать, что в базу данных Samba можно добавлять только тех пользователей, которые уже есть в системе.
Добавить пользователя в базу данных Samba можно, выполнив команду (должен быть установлен пакет samba-common-client):
# smbpasswd -a <имя_пользователя>
В файле конфигурации есть три специальных раздела: [global], [homes] и [printers]:
Раздел [global]
Параметры в этом разделе применяются к серверу в целом или являются значениями по умолчанию для разделов, и могут быть переопределены в разделе.
Раздел [homes]
Используется для подключения домашних каталогов пользователей. При каждом обращении Samba сначала ищет имя запрошенного ресурса в списке общих ресурсов, и если имя не найдено проверяет наличие в конфигурации секции [homes]. Если такая секция есть, то имя трактуется как имя пользователя, и проверяется по базе данных пользователей сервера Samba. Если имя найдено в базе данных пользователей, то Samba предоставляет в качестве общего ресурса домашний каталог этого пользователя. Аналогичный процесс происходит, если имя запрошенного ресурса — «homes», за исключением того, что имя общего ресурса меняется на имя запрашивающего пользователя.
Раздел [printers]
Если в файле конфигурации имеется раздел [printers], пользователи могут подключаться к любому принтеру, указанному в файле printcap локального хоста.

Примечание

В одноранговой сети (т.е. если Samba используется исключительно как файловый сервер, а не как контроллер домена) для возможности использования файлового ресурса [homes], необходимо добавить каждого локального пользователя в список пользователей Samba, например:
# smbpasswd -a user
New SMB password:
Retype new SMB password:
Added user user.

Примечание

Если в разделе [homes] указан гостевой доступ (guest ok = yes), все домашние каталоги будут видны всем клиентам без пароля. Если это действительно нужно (хотя маловероятно), разумно также указать доступ только для чтения (read only = yes).

Примечание

Флаг browseable для домашних каталогов будет унаследован от глобального флага browseable, а не флага browseable раздела [homes]. Таким образом, установка browseable = no в разделе [homes] скроет общий ресурс [homes], но сделает видимыми все автоматические домашние каталоги.
Описание некоторых параметров:
  • browseable — определяет, отображается ли этот общий ресурс в списке доступных общих ресурсов в сетевом окружении и в списке просмотра (по умолчанию: browseable = yes);
  • path — указывает каталог, к которому должен быть предоставлен доступ;
  • read only — если для этого параметра задано значение «yes», то пользователи службы не могут создавать или изменять файлы в каталоге (по умолчанию: read only = yes);
  • writable — инвертированный синоним для read only (по умолчанию: writeable = no);
  • write list — список пользователей, которым будет предоставлен доступ для чтения и записи. Если пользователь находится в этом списке, ему будет предоставлен доступ для записи, независимо от того, какой параметр установлен для параметра read only. Список может включать имена групп с использованием синтаксиса @group;
  • read list — список пользователей, которым будет предоставлен доступ только для чтения. Если пользователь находится в этом списке, ему не будет предоставлен доступ для записи, независимо от того, какой параметр установлен для параметра read only. Список может включать имена групп;
  • guest ok — если этот параметр имеет значение «yes», то для подключения к ресурсу не требуется пароль (по умолчанию: guest ok = no);
  • guest only — разрешить только гостевые соединения к общему ресурсу (по умолчанию: guest only = no);
  • printable — если этот параметр имеет значение «yes», то клиенты могут открывать, писать и ставить задания в очередь печати (по умолчанию: printable = no);
  • map to guest — определяет что делать с запросами, которые не удалось аутентифицировать («Never» — запросы с неправильными паролями будут отклонены; «Bad user» — запросы с неправильными паролями будут отклонены, если такое имя пользователя существует;) (по умолчанию: map to guest = Never).
Пример настройки /etc/samba/smb.conf для работы Samba в режиме файлового сервера с двумя открытыми для общего доступа ресурсами, домашними каталогами пользователей и принтером (закомментированные параметры действуют по умолчанию):
[global]
    workgroup = WORKGROUP
    server string = Samba Server Version %v
    security = user
    log file = /var/log/samba/log.%m
    max log size = 50
    guest ok = yes
    cups options = raw
    map to guest = Bad User
;   idmap config * : backend = tdb

[homes]
    comment = Home Directory for '%u'
    browseable = no
    writable = yes
    guest ok = no

[share]
    comment = Commonplace
    path = /srv/share
    read only = No

[printers]
    comment = All Printers
    path = /var/spool/samba
    browseable = no
;   guest ok = no
;   writable = no
    printable = yes

# Каталог доступный только для чтения, за исключением пользователей
# входящих в группу "staff"
[public]
    comment = Public Stuff
    path = /home/samba
    public = yes
    writable = yes
    write list = +staff
;   browseable = yes

[Free]
    path = /mnt/win/Free
    read only = no
;   browseable = yes
    guest ok = yes
Просмотр ресурсов, доступных пользователю user:
# smbclient -L 192.168.0.157 -Uuser
Password for [WORKGROUP\user]:

	Sharename       Type      Comment
	---------       ----      -------
	share           Disk      Commonplace
	public          Disk      Public Stuff
	Free            Disk
	IPC$            IPC       IPC Service (Samba Server Version 4.19.7-alt4)
	user            Disk      Home Directory for 'user'
Обращение к домашней папке пользователя выполняется по имени пользователя (например, smb://192.168.0.157/user).

Примечание

Для ознакомления с прочими возможностями, читайте руководство по smb.conf. Для этого используйте команду man smb.conf.

47.2. Монтирование ресурса Samba через /etc/fstab

Создать файл /etc/samba/sambacreds (например, командой mcedit /etc/samba/sambacreds), с содержимым:
username=имя_пользователя
password=пароль
Для монтирования ресурса Samba в /etc/fstab необходимо прописать:
//server/public /mnt/server_public cifs users,credentials=/etc/samba/sambacreds 0 0
Для защиты информации, права на файл /etc/samba/sambacreds, надо установить так, чтобы файл был доступен только владельцу:
# chmod 600 /etc/samba/sambacreds
и принадлежать root:
# chown root: /etc/samba/sambacreds

Глава 48. SOGo

SOGo — сервер групповой работы, аналогичный Microsoft Exchange, с веб-интерфейсом и доступом по MAPI для Microsoft Outlook.
SOGo обеспечивает веб-интерфейс на основе AJAX и поддерживает различные нативные клиенты с помощью стандартных протоколов.
Возможности SOGo:
  • общие почтовые папки, календари и адресные книги;
  • веб-интерфейс, аналогичный Outlook Web Access;
  • поддержка протоколов CalDAV, CardDAV, GroupDAV, Microsoft ActiveSync, IMAP и SMTP;
  • доступ по MAPI для Microsoft Outlook, не требующий внешних модулей;
  • делегирование, уведомления, резервирование, поддержка категорий и почтовых фильтров;
  • поддержка нескольких почтовых ящиков в веб-интерфейсе;
  • Single sign-on с помощью CAS, WebAuth или Kerberos.

Предупреждение

MAPI over HTTPS не поддерживается.

48.1. Установка

Для установки стабильной версии SOGo необходимо выполнить команду (драйвер к PostgreSQL будет установлен автоматически):
# apt-get install task-sogo

48.2. Подготовка среды

Подготовить к запуску и настроить службы PostgreSQL:
  • создать системные базы данных:
    # /etc/init.d/postgresql initdb
    
  • запустить службу:
    # systemctl start postgresql
    
  • создать пользователя sogo и базу данных sogo (под правами root):
    # su - postgres -s /bin/sh -c 'createuser --no-superuser --no-createdb --no-createrole sogo'
    # su - postgres -s /bin/sh -c 'createdb -O sogo sogo'
    # systemctl restart postgresql
    
Настройка Samba DC:
  • пользователи расположены в домене Active Directory, расположенном на контроллере с Samba DC. Необходимо предварительно развернуть сервер Samba AD DC (см. Samba 4 в роли контроллера домена Active Directory );
  • создать в домене пользователя sogo с паролем Pa$$word (при запросе дважды ввести пароль):
    # samba-tool user create sogo
    # samba-tool user setexpiry --noexpiry sogo
    
Настройка SOGo (настраивается на домен test.alt):
  • заполнить файл конфигурации /etc/sogo/sogo.conf:
    {
      SOGoProfileURL = "postgresql://sogo@/sogo/sogo_user_profile";
      OCSFolderInfoURL = "postgresql://sogo@/sogo/sogo_folder_info";
      OCSSessionsFolderURL = "postgresql://sogo@/sogo/sogo_sessions_folder";
      OCSEMailAlarmsFolderURL = "postgresql://sogo@/sogo/sogo_alarms_folder";
      SOGoEnableEMailAlarms = YES;
      SOGoDraftsFolderName = Drafts;
      SOGoSentFolderName = Sent;
      SOGoTrashFolderName = Trash;
      SOGoIMAPServer = "imaps://localhost:993/?tlsVerifyMode=allowInsecureLocalhost";
      SOGoMailingMechanism = sendmail;
      SOGoForceExternalLoginWithEmail = NO;
      NGImap4ConnectionStringSeparator = "/";
      SOGoUserSources =  (
        {
            id = sambaLogin;
            displayName = "SambaLogin";
            canAuthenticate = YES;
            type = ldap;
            CNFieldName = cn;
            IDFieldName = cn;
            UIDFieldName = sAMAccountName;
            hostname = "ldaps://127.0.0.1";
            baseDN = "CN=Users,DC=test,DC=alt";
            bindDN = "CN=sogo,CN=Users,DC=test,DC=alt";
            bindPassword = "Pa$$word";
            bindFields = (sAMAccountName);
        },
        {
            id = sambaShared;
            displayName = "Shared Addressbook";
            canAuthenticate = NO;
            isAddressBook = YES;
            type = ldap;
            CNFieldName = cn;
            IDFieldName = mail;
            UIDFieldName = mail;
            hostname = "ldaps://127.0.0.1";
            baseDN = "CN=Users,DC=test,DC=alt";
            bindDN = "CN=sogo,CN=Users,DC=test,DC=alt";
            bindPassword = "Pa$$word";
            filter = "((NOT isCriticalSystemObject='TRUE') AND (mail='*') AND (NOT objectClass=contact))";
        },
        {
            id = sambaContacts;
            displayName = "Shared Contacts";
            canAuthenticate = NO;
            isAddressBook = YES;
            type = ldap;
            CNFieldName = cn;
            IDFieldName = mail;
            UIDFieldName = mail;
            hostname = "ldaps://127.0.0.1";
            baseDN = "CN=Users,DC=test,DC=alt";
            bindDN = "CN=sogo,CN=Users,DC=test,DC=alt";
            bindPassword = "Pa$$word";
            filter = "((((objectClass=person) AND (objectClass=contact) AND ((uidNumber>=2000) OR (mail='*')))
                     AND (NOT isCriticalSystemObject='TRUE') AND (NOT showInAdvancedViewOnly='TRUE') AND (NOT uid=Guest))
                     OR (((objectClass=group) AND (gidNumber>=2000)) AND (NOT isCriticalSystemObject='TRUE') AND (NOT showInAdvancedViewOnly='TRUE')))";
            mapping = {
                displayname = ("cn");
            };
        }
      );
      SOGoSieveScriptsEnabled = YES;
      SOGoLanguage = Russian;
      SOGoTimeZone = Europe/Moscow;
      SOGoFirstDayOfWeek = 1;
    }
    
  • включить службы по умолчанию и перезапустить их:
    # for service in samba postgresql memcached sogo httpd2; do systemctl enable $service; systemctl restart $service; done
    
Возможные ошибки будут записаны в файл журнала /var/log/sogo/sogo.log

48.3. Включение веб-интерфейса

Для включения веб-интерфейса необходимо выполнить команды:
# for mod in proxy proxy_http authn_core authn_file auth_basic authz_user env dav headers rewrite version setenvif; do a2enmod $mod; done 
# a2ensite SOGo
# systemctl restart httpd2 sogo
Теперь можно войти по адресу:
http://<адрес_сервера>/SOGo/
Форма входа в интерфейс SOGo

Примечание

Если при входе в веб-интерфейс возникает ошибка «Неправильный логин или пароль» и в логах /var/log/sogo/sogo.log есть ошибки вида:
Jul 06 16:14:51 sogod [12257]: [ERROR] <0x0x5578db070b40[LDAPSource]>
Could not bind to the LDAP server ldaps://127.0.0.1 (389) using the
bind DN: CN=sogo,CN=Users,DC=test,DC=alt
Следует в файл /etc/openldap/ldap.conf добавить опцию
TLS_REQCERT allow
и перезапустить службы samba и sogo:
# systemctl restart samba sogo

48.4. Настройка электронной почты

Для использования электронной почты в SOGo необходимо настроить аутентификацию в Active Directory для Postfix и Dovecot.
Использования электронной почты в SOGo
В примере используется следующая конфигурация:
  • имя домена: test.alt;
  • размещение почты: /var/mail/<имя_домена>/<имя_пользователя> (формат maildir);
  • доступ на чтение почты: IMAP (порт 993), SSL;
  • доступ на отправку почты: SMTP (порт 465), SSL/STARTTLS;
  • данные аутентификации: email с доменом (например, petrov@test.alt) или имя пользователя.

Примечание

У пользователей SambaDC должен быть указан атрибут mail-address. Указать атрибут mail-address можно, например, при создании учётной записи:
# samba-tool user create petrov --mail-address='petrov@test.alt'

Предупреждение

Доступ к серверу LDAP осуществляется по протоколу ldap без шифрования. На контроллере домена SambaDC необходимо отключить ldaps в /etc/samba/smb.conf в секции [global]:
ldap server require strong auth = no
и перезапустить samba:
# systemctl restart samba
Предварительно необходимо создать пользователя vmail (пароль Pa$$word) с не истекающей учётной записью:
# samba-tool user create -W Users vmail
# samba-tool user setexpiry vmail --noexpiry

48.4.1. Настройка Postfix

Установить пакет postfix-ldap:
# apt-get install postfix-ldap
В каталоге /etc/postfix изменить файлы для домена test.alt:
  • изменить содержимое файла main.cf:
    # Global Postfix configuration file.  This file lists only a small subset
    # of all parameters.  For the syntax, and for a complete parameter list,
    # see the postconf(5) manual page.  For a commented and more complete
    # version of this file see /etc/postfix/main.cf.dist
    mailbox_command = /usr/libexec/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT"
    inet_protocols = ipv4
    
    # Mappings
    virtual_mailbox_base = /var/mail
    virtual_mailbox_domains = test.alt
    virtual_mailbox_maps = ldap:/etc/postfix/ad_local_recipients.cf
    virtual_alias_maps = ldap:/etc/postfix/ad_mail_groups.cf
    virtual_transport = dovecot
    local_transport = virtual
    local_recipient_maps = $virtual_mailbox_maps
    
    # SSL/TLS
    smtpd_use_tls = yes
    smtpd_tls_security_level = encrypt
    #smtpd_tls_security_level = may
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_local_domain = test.alt
    smtpd_sasl_path = private/auth
    smtpd_sasl_type = dovecot
    smtpd_sender_login_maps = ldap:/etc/postfix/ad_sender_login.cf
    smtpd_tls_auth_only = yes
    smtpd_tls_cert_file = /var/lib/ssl/certs/dovecot.cert
    smtpd_tls_key_file = /var/lib/ssl/private/dovecot.key
    smtpd_tls_CAfile = /var/lib/ssl/certs/dovecot.pem
    
    smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, per-mit_sasl_authenticated, reject
    smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch
    default_destination_recipient_limit = 1
    
  • файл /etc/postfix/mydestination должен быть пустым;
  • в файл master.cf необходимо добавить строки:
    dovecot   unix  -       n       n       -       -       pipe
      flags=DRhu user=mail:mail argv=/usr/libexec/dovecot/deliver -d ${recipient}
    smtps     inet  n       -       n       -       -       smtpd
      -o smtpd_tls_wrappermode=yes
      -o smtpd_sasl_auth_enable=yes
      -o smtpd_client_restrictions=permit_sasl_authenticated,reject
    
  • создать файл ad_local_recipients.cf:
    version = 3
    server_host = test.alt:389
    search_base = dc=test,dc=alt
    scope = sub
    query_filter = (&(|(mail=%s)(otherMailbox=%u@%d))(sAMAccountType=805306368))
    result_filter = %s
    result_attribute = mail
    special_result_attribute = member
    
    bind = yes
    bind_dn = cn=vmail,cn=users,dc=test,dc=alt
    bind_pw = Pa$$word
    
  • создать файл ad_mail_groups.cf:
    version = 3
    server_host = test.alt:389
    search_base = dc=test,dc=alt
    timeout = 3
    scope = sub
    query_filter = (&(mail=%s)(sAMAccountType=268435456))
    result_filter = %s
    leaf_result_attribute = mail
    special_result_attribute = member
    
    bind = yes
    bind_dn = cn=vmail,cn=users,dc=test,dc=alt
    bind_pw = Pa$$word
    
  • создать файл ad_sender_login.cf:
    version = 3
    server_host = test.alt:389
    search_base = dc=test,dc=alt
    scope = sub
    query_filter = (&(objectClass=user)(|(sAMAccountName=%s)(mail=%s)))
    result_attribute = mail
    
    bind = yes
    bind_dn = cn=vmail,cn=users,dc=test,dc=alt
    bind_pw = Pa$$word
    
  • перезапустить службу postfix:
    # systemctl restart postfix
    
Проверка конфигурации Postfix (в выводе не должно быть никаких сообщений):
# postconf >/dev/null
Проверка пользователя почты petrov:
# postmap -q petrov@test.alt ldap:/etc/postfix/ad_local_recipients.cf
petrov@test.alt
Проверка входа:
# postmap -q petrov@test.alt ldap:/etc/postfix/ad_sender_login.cf
petrov@test.alt
Проверка общего адреса e-mail:
# samba-tool group add --mail-address=sales@test.alt Sales
Added group Sales
# samba-tool group addmembers Sales ivanov,petrov
Added members to group Sales
# postmap -q sales@test.alt ldap:/etc/postfix/ad_mail_groups.cf
sales@test.alt,ivanov@test.alt,petrov@test.alt

48.4.2. Настройка Dovecot

Установить Dovecot:
# apt-get install dovecot
Изменить файлы для домена test.alt:
  • создать файл /etc/dovecot/dovecot-ldap.conf.ext:
    hosts            = test.alt:3268
    ldap_version     = 3
    auth_bind        = yes
    dn               = cn=vmail,cn=Users,dc=test,dc=alt
    dnpass           = Pa$$word
    base             = cn=Users,dc=test,dc=alt
    scope            = subtree
    deref            = never
    
    user_filter = (&(objectClass=user)(|(mail=%Lu)(sAMAccountName=%Lu)))
    user_attrs  = =uid=8,gid=12,mail=user
    pass_filter = (&(objectClass=user)(|(mail=%Lu)(sAMAccountName=%Lu)))
    pass_attrs = mail=user
    
  • привести файл /etc/dovecot/conf.d/10-auth.conf к виду:
    auth_mechanisms = plain
    !include auth-ldap.conf.ext
    
  • изменить файл /etc/dovecot/conf.d/10-mail.conf:
    mail_location = maildir:/var/mail/%d/%n:UTF-8:INBOX=/var/mail/%d/%n/Inbox
    mail_uid = mail
    mail_gid = mail
    first_valid_uid = 5
    first_valid_gid = 5
    
  • изменить файл /etc/dovecot/conf.d/10-master.conf:
    service imap-login {
      inet_listener imap {
        port = 0
      }
      inet_listener imaps {
      }
    }
    service pop3-login {
      inet_listener pop3 {
        port = 0
      }
      inet_listener pop3s {
        port = 0
      }
    }
    service lmtp {
      unix_listener lmtp {
      }
    }
    service imap {
    }
    service pop3 {
    }
    service auth {
      unix_listener auth-userdb {
      }
      unix_listener /var/spool/postfix/private/auth {
        mode = 0600
        user = postfix
        group = postfix
      }
    }
    service auth-worker {
    }
    service dict {
      unix_listener dict {
      }
    }
    
  • изменить файл /etc/dovecot/conf.d/15-lda.conf:
    protocol lda {
      hostname = test.alt
      postmaster_address = administrator@test.alt
    }
    
  • изменить файл /etc/dovecot/conf.d/15-mailboxes.conf:
    namespace inbox {
      inbox = yes
      mailbox Drafts {
        auto = subscribe
        special_use = \Drafts
      }
      mailbox Junk {
        auto = subscribe
        special_use = \Junk
      }
      mailbox Trash {
        auto = subscribe
        special_use = \Trash
      }
      mailbox Sent {
        auto = subscribe
        special_use = \Sent
      }
      mailbox "Sent Messages" {
        special_use = \Sent
      }
    }
    
  • создать файл /etc/dovecot/conf.d/10-stats.conf:
    service stats {
        unix_listener stats-reader {
            user = mail
            group = mail
            mode = 0660
        }
    
        unix_listener stats-writer {
            user = mail
            group = mail
            mode = 0660
        }
    }
    
  • перезапустить службу dovecot:
    # systemctl restart dovecot
    
Проверка конфигурации Dovecot (в выводе не должно быть никаких сообщений):
# doveconf >/dev/null

48.4.3. Безопасность

Так как конфигурационные файлы содержат пароль пользователя LDAP, их необходимо сделать недоступным для чтения прочим пользователям:
# chown dovecot:root /etc/dovecot/dovecot-ldap.conf.ext
# chmod 0640 /etc/dovecot/dovecot-ldap.conf.ext
# chown root:postfix /etc/postfix/ad_local_recipients.cf /etc/postfix/ad_mail_groups.cf /etc/postfix/ad_sender_login.cf
# chmod 0640 /etc/postfix/ad_local_recipients.cf /etc/postfix/ad_mail_groups.cf /etc/postfix/ad_sender_login.cf
Перезапустить службы:
# systemctl restart dovecot postfix

48.4.4. Проверка конфигурации

Проверка SMTP:
# date | mail -s test petrov@test.alt
# mailq
Mail queue is empty
Проверка IMAP (выход по Ctrl+D):
# openssl s_client -crlf -connect dc1.test.alt:993
...
tag login petrov@test.alt Pa$$word
tag OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE
IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS THREAD=ORDEREDSUBJECT
MULTIAPPEND URL-PARTIAL CATENATE UNSELECT CHILDREN NAMESPACE UIDPLUS
LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES
WITHIN CONTEXT=SEARCH LIST-STATUS BINARY MOVE] Logged in
где dc1.test.alt — имя узла сервера SOGo.

48.5. Настройка автоответчика, переадресации и фильтрации

В данном разделе рассмотрен процесс конфигурирования Dovecot с плагином Sieve, для возможности фильтрации и переадресации писем.
Настройка Dovecot:
  • в файле /etc/dovecot/conf.d/dovecot.conf указать используемые протоколы:
    protocols = imap lmtp submission sieve
    
  • в файл /etc/dovecot/conf.d/10-mail.conf добавить опцию mail_home с указанием пути до каталогов с почтой:
    mail_location = maildir:/var/mail/%d/%n:UTF-8:INBOX=/var/mail/%d/%n/Inbox
    mail_uid = mail
    mail_gid = mail
    first_valid_uid = 5
    first_valid_gid = 5
    mail_home = /var/mail/%d/%n
    
    Переменные %d и %u указывают на имя домена и имя учетной записи.
  • в файле /etc/dovecot/conf.d/15-lda.conf в раздел protocol lda добавить плагин sieve:
    mail_plugins = $mail_plugins sieve
    
  • в файле /etc/dovecot/conf.d/20-lmtp.conf в разделе protocol lmtp также указать плагин sieve:
    mail_plugins = $mail_plugins sieve
    
  • в файле /etc/dovecot/conf.d/20-managesieve.conf раскомментировать строку:
    protocols = $protocols sieve
    
  • в файлe /etc/dovecot/conf.d/90-sieve.conf закомментировать строку sieve = file:~/sieve;active=~/.dovecot.sieve и добавить новое её значение:
    #sieve = file:~/sieve;active=~/.dovecot.sieve
    sieve = file:/var/mail/%Ld/%n/sieve;active=/var/mail/%Ld/%n/active.sieve
    
    В этом же файле раскомментировать опцию sieve_extensions и привести её к виду:
    sieve_extensions = +notify +imapflags +vacation-seconds +vacation +date +relational
    
  • в файле /etc/dovecot/conf.d/10-auth.conf подключить master-users:
    !include auth-master.conf.ext
    
  • в файле /etc/dovecot/master-users создать запись:
    my_master_user@non-exist.com:{PLAIN}password::::::
    
    Должно быть обязательно указано несуществующее имя домена. В реальных условиях необходимо использовать хэш пароля (например, doveadm pw -s SSHA512).
  • в файле /etc/sogo/sieve.creds указать эти данные в виде:
    my_master_user@non-exist.com:password
    
  • в начало файла /etc/cron.d/sogo дописать:
    MAILTO=""
    
    и раскомментировать строку:
    */5 * * * *    _sogo    /usr/sbin/sogo-tool update-autoreply -p /etc/sogo/sieve.creds
    
В SOGo необходимо активировать окно настроек почтовых фильтров (параметр SOGoSieveScriptsEnabled), окно настроек сообщений об отпуске (параметр SOGoVacationEnabled), а также окно настроек адресов электронной почты для пересылки (параметр SOGoForwardEnabled). Для этого в файл конфигурации /etc/sogo/sogo.conf добавить строки:
SOGoSieveScriptsEnabled = YES;
SOGoVacationEnabled = YES;
SOGoForwardEnabled = YES;
SOGoSieveFolderEncoding = UTF-8;
Перезапустить службы:
# systemctl restart postfix dovecot sogo
В результате в веб-интерфейсе SOGo в настройках почты появятся три дополнительные вкладки:
SOGo. Настройки почты
На вкладке Фильтры можно создавать фильтры и устанавливать критерии, по которым они должны работать:
SOGo. Настройка фильтров
На вкладке Отпуск можно настроить автоответ на время отпуска:
SOGo. Настройка автоответа на период отпуска
На вкладке Пересылка настраивается переадресация электронной почты:
SOGo. Настройка переадресации электронной почты

Глава 49. FreeIPA

FreeIPA — это комплексное решение по управлению безопасностью Linux-систем, 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag, состоит из веб-интерфейса и интерфейса командной строки.
FreeIPA является интегрированной системой проверки подлинности и авторизации в сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности, авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах, узлах и других объектах необходимых для обеспечения сетевой безопасности.

49.1. Установка сервера FreeIPA

В качестве примера показана установка сервера FreeIPA со встроенным DNS сервером и доменом EXAMPLE.TEST в локальной сети 192.168.0.0/24. В примере для установки сервера используется узел: ipa.example.test (192.168.0.113).
Во избежание конфликтов с разворачиваемым tomcat необходимо отключить ahttpd, работающий на порту 8080, а также отключить HTTPS в Apache2:
# systemctl stop ahttpd
# a2dissite 000-default_https
# a2disport https
# systemctl condreload httpd2
Установить необходимые пакеты (если во время установки сервера не был выбран пункт сервер FreeIPA):
# apt-get install freeipa-server freeipa-server-dns
Задать имя сервера:
# hostnamectl set-hostname ipa.example.test

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
Команда установки сервера FreeIPA в пакетном режиме:
# ipa-server-install -U --hostname=$(hostname) -r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 --setup-dns --forwarder 8.8.8.8 --auto-reverse
Для пакетной установки необходимо указать следующие параметры:
  • -r REALM_NAME — имя области Kerberos для сервера FreeIPA;
  • -n DOMAIN_NAME — доменное имя;
  • -p DM_PASSWORD — пароль, который будет использоваться сервером каталогов для менеджера каталогов (DM);
  • -a ADMIN_PASSWORD — пароль пользователя admin, администратора FreeIPA;
  • -U — позволить процессу установки выбрать параметры по умолчанию, не запрашивая у пользователя информацию;
  • --hostname=HOST_NAME — полное DNS-имя этого сервера.
Чтобы установить сервер со встроенным DNS, должны также быть добавлены следующие параметры:
  • --setup-dns — создать зону DNS, если она еще не существует, и настроить DNS-сервер;
  • --forwarder или --no-forwarders — в зависимости от того, нужно ли настроить серверы пересылки DNS или нет;
  • --auto-reverse или --no-reverse — в зависимости от того, нужно ли настроить автоматическое обнаружение обратных зон DNS, которые должны быть созданы в FreeIPA DNS, или отключить автоматическое определение обратных зон.

Предупреждение

Если в дальнейшем на данной машине будет настраиваться Fleet Commander Admin, необходимо устанавливать и настраивать FreeIPA сервер, с созданием домашнего каталога (опция --mkhomedir):
# ipa-server-install -U --hostname=$(hostname) -r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 --setup-dns --forwarder 8.8.8.8 --auto-reverse --mkhomedir
Для запуска интерактивной установки следует выполнить команду:
# ipa-server-install
Обратите внимание на ответ на вопрос, не совпадающий с предложенным:
Do you want to configure integrated DNS (BIND)? [no]: yes
Остальные вопросы необходимо выбрать по умолчанию (можно просто нажать Enter). Так же при установке необходимо ввести пароль администратора системы и пароль администратора каталогов (пароли должны быть не менее 8 символов).
Перед началом конфигуририрования система выведет информацию о конфигурации и попросит ее подтвердить:
The IPA Master Server will be configured with:
Hostname: ipa.example.test
IP address(es): 192.168.0.113
Domain name: example.test
Realm name: EXAMPLE.TEST
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=EXAMPLE.TEST
Subject base: O=EXAMPLE.TEST
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 8.8.8.8
Forward policy: only
Reverse zone(s): 0.168.192.in-addr.arpa.
Continue to configure the system with these values? [no]: yes
Далее начнётся процесс конфигурации. После его завершения будет выведена подсказка со следующими шагами.
Для возможности управлять FreeIPA сервером из командной строки необходимо получить билет Kerberos:
# kinit admin
Добавить в DNS запись о сервере времени:
# ipa dnsrecord-add example.test _ntp._udp --srv-priority=0 --srv-weight=100 --srv-port=123 --srv-target=ipa.example.test
Проверить работу ntp сервера можно командой:
# ntpdate -q localhost
server 127.0.0.1, stratum 3, offset 0.000018, delay 0.02568
27 Nov 10:27:00 ntpdate[29854]: adjust time server 127.0.0.1 offset 0.000018 sec
Веб-интерфейс доступен по адресу https://ipa.example.test/ipa/ui/.

Примечание

В случае сбоя установки сервера FreeIPA некоторые файлы конфигурации могут быть уже сконфигурированы. В этом случае дополнительные попытки установить сервер FreeIPA завершатся неудачно. Чтобы решить эту проблему, перед повторной попыткой запуска процесса установки, следует удалить частичную конфигурацию сервера FreeIPA:
# ipa-server-install --uninstall
Если ошибки при установке сервера FreeIPA остаются, следует переустановить ОС. Одним из требований для установки сервера FreeIPA является чистая система без каких-либо настроек.

49.2. Добавление новых пользователей домена

Для добавления новых пользователей можно воспользоваться веб-интерфейсом FreeIPA. Для этого необходимо открыть в веб-браузере адрес https://ipa.example.test и ввести данные администратора для входа в систему.
Веб-интерфейс FreeIPA
После успешной авторизации можно создать нового пользователя домена. Для этого на странице ИдентификацияПользователиАктивные пользователи необходимо нажать кнопку Добавить:
Окно Пользователи домена
В открывшемся окне необходимо ввести данные пользователя и нажать кнопку Добавить:
Окно добавления нового пользователя домена
Созданный пользователь появится в списке пользователей:
Список пользователей домена

49.3. Установка FreeIPA клиента и подключение к серверу

49.3.1. Установка FreeIPA клиента

Установить необходимые пакеты:
# apt-get install freeipa-client libsss_sudo krb5-kinit bind-utils libbind zip task-auth-freeipa 
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом.
В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить как в графическом интерфейсе, так и в консоли:
  • В Центре управления системой в разделе СетьEthernet интерфейсы задать имя компьютера, IP-адрес FreeIPA сервера и в поле Домены поиска — домен для поиска:
    Настройка на использование DNS-сервера FreeIPA
  • В консоли:
    • задать имя компьютера:
      # hostnamectl set-hostname comp01.example.test
      
    • добавить DNS сервер, для этого необходимо создать файл /etc/net/ifaces/eth0/resolv.conf со следующим содержимым:
      nameserver 192.168.0.113
      
      где 192.168.0.113 — IP-адрес FreeIPA сервера.
    • указать службе resolvconf использовать DNS FreeIPA и домен для поиска. Для этого в файле /etc/resolvconf.conf добавить/отредактировать следующие параметры:
      interface_order='lo lo[0-9]* lo.* eth0'
      search_domains=example.test
      
      где eth0 — интерфейс, на котором доступен FreeIPA сервер, example.test — домен.
    • обновить DNS адреса:
      # resolvconf -u
      

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
В результате выполненных действий в файле /etc/resolv.conf должны появиться строки:
search example.test
nameserver 192.168.0.113

49.3.2. Подключение к серверу в ЦУС

Для ввода рабочей станции в домен FreeIPA, необходимо в Центре управления системой перейти в раздел ПользователиАутентификация.
В открывшемся окне следует выбрать пункт Домен FreeIPA, заполнить поля Домен и Имя компьютера, затем нажать кнопку Применить.
Ввод в домен FreeIPA в Центре управления системой
В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку ОК.
Пароль для учётной записи с правами подключения к домену
В случае успешного подключения, будет выведено соответствующее сообщение.
Подключение к серверу FreeIPA
Перезагрузить рабочую станцию.

49.3.3. Подключение к серверу в консоли

Запустить скрипт настройки клиента в пакетном режиме:
# ipa-client-install -U -p admin -w 12345678
или интерактивно:
# ipa-client-install
Если все настроено, верно, скрипт должен выдать такое сообщение:
'''Discovery was successful!'''
Client hostname: comp01.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test
Continue to configure the system with these values? [no]:
Необходимо ответить yes, ввести имя пользователя, имеющего право вводить машины в домен, и его пароль.

Предупреждение

Если при входе в домен возникает такая ошибка:
Hostname (comp01.example.test) does not have A/AAAA record.
Failed to update DNS records.
Необходимо проверить IP-адрес доменного DNS сервера в файле /etc/resolv.conf.
В случае возникновения ошибки, необходимо перед повторной установкой запустить процедуру удаления:
# ipa-client-install -U --uninstall
Для работы sudo-политик для доменных пользователей на клиентской машине необходимо разрешить доступ к sudo:
# control sudo public

49.3.4. Вход пользователя

При первом входе пользователя будет запрошен текущий (установленный администратором) пароль и затем у пользователя запрашивается новый пароль и его подтверждение.
Вход пользователя
Запрос текущего пароля и нового пароля при первом подключении к серверу FreeIPA

Предупреждение

Если машина до этого была в других доменах или есть проблемы со входом пользователей рекомендуется очистить кэш sssd:
# systemctl stop sssd
# rm -f /var/lib/sss/db/*
# rm -f /var/lib/sss/mc/*
# systemctl start sssd

49.4. Удаление клиента FreeIPA

При удалении, клиент удаляется из домена FreeIPA вместе с конфигурацией системных служб FreeIPA.
Для удаления клиента FreeIPA необходимо:
  1. На клиенте ввести команду:
    # ipa-client-install --uninstall
    …
    Client uninstall complete.
    The original nsswitch.conf configuration has been restored.
    You may need to restart services or reboot the machine.
    Do you want to reboot the machine? [no]: yes
    The ipa-client-install command was successful
    
  2. На клиенте удалить, если они есть, старые принципалы Kerberos (кроме /etc/krb5.keytab):
    # ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.TEST
    
  3. На сервере FreeIPA удалить все записи DNS для клиентского узла:
    # ipa dnsrecord-del
    Имя записи: comp01
    Имя зоны: example.test
    Возможность удаления определённой записи не предусмотрена.
    Удалить все? Yes/No (default No): yes
    -----------------------
    Удалена запись "comp01"
    -----------------------
    
  4. На сервере FreeIPA удалить запись узла с сервера LDAP FreeIPA (при этом будут удалены все службы и отозваны все сертификаты, выданные для этого узла):
    # ipa host-del comp01.example.test
    ---------------------------------
    Удалён узел "comp01.example.test"
    ---------------------------------
    

49.5. Настройка репликации

В примере для настройки репликации используется узел: replica.example.test (192.168.0.145).

Примечание

Перед настройкой репликации необходимо настроить систему на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки (см. пример настройки в разделе Установка FreeIPA клиента).
При установке реплики в системе, которая еще не зарегистрирована в домене FreeIPA, утилита ipa-replica-install сначала регистрирует систему в качестве клиента, а затем устанавливает компоненты реплики. В примере, описанном ниже, для авторизации регистрации используется случайный пароль, действительный только для одной регистрации этого клиента.
Установка реплики с использованием случайного пароля:
  1. На сервере FreeIPA получить билет Kerberos:
    $ kinit admin
    
  2. На сервере FreeIPA добавить внешнюю систему в качестве узла FreeIPA:
    $ ipa host-add replica.example.test --random --ip-address=192.168.0.145
    ----------------------------------
    Добавлен узел "replica.example.test"
    ----------------------------------
      Имя узла: replica.example.test
      Случайный пароль: 2AaT0Ix8itDsYugdDGoRtBt
      Пароль: True
      Таблица ключей: False
      Managed by: replica.example.test
    
  3. На сервере FreeIPA добавить систему replica.example.test в группу узлов ipaservers:
    $ ipa hostgroup-add-member ipaservers --hosts replica.example.test
      Группа узлов: ipaservers
      Описание: IPA server hosts
      Узлы-участники: ipa.example.test, replica.example.test
    -----------------------------------
    Количество добавленных участников 1
    -----------------------------------
    
  4. На машине, где будет установлена реплика, установить необходимые пакеты:
    # apt-get install freeipa-server freeipa-server-dns
    
  5. На машине, где будет установлена реплика, запустить утилиту ipa-replica-install, указав сгенерированный пароль в параметре --password (т.к. пароль часто содержит специальные символы, следует заключить его в одинарные кавычки):
    # ipa-replica-install --password='2AaT0Ix8itDsYugdDGoRtBt' --setup-ca --setup-dns --forwarder 192.168.0.113 --forwarder 8.8.8.8
    Configuring client side components
    This program will set up IPA client.
    Version 4.9.11
    
    Discovery was successful!
    Client hostname: replica.example.test
    Realm: EXAMPLE.TEST
    DNS Domain: example.test
    IPA Server: ipa.example.test
    BaseDN: dc=example,dc=test
    …
    The ipa-client-install command was successful
    …
    The ipa-replica-install command was successful
    
После создания реплики можно проверить, реплицирует ли реплика данные должным образом:
  1. Создать пользователя на новой реплике:
    $ kinit admin
    $ ipa user-add test_user
    
  2. Убедиться, что пользователь виден на другой реплике:
    $ kinit admin
    $ ipa user-show test_user
    
После настройки и репликации контроллеров можно посмотреть топологию в веб-интерфейсе FreeIPA (IPA-серверТопологияTopology Graph):
Топология FreeIPA

Глава 50. Fleet Commander

Fleet Commander — это инструмент для управления и развертывания профилей в большой сети пользователей и рабочих станций.
Fleet Commander состоит из трех компонентов:
  • плагин FreeIPA, который позволяет хранить политики на контроллере домена;
  • плагин Cockpit, предоставляющий веб-интерфейс для администрирования;
  • служба на стороне клиента, применяющая политики.
Fleet Commander использует libvirt и KVM для запуска сеанса виртуального рабочего стола, где пользователь в реальном времени может редактировать конфигурацию приложений в системе шаблонов. Данная конфигурация затем будет применена на клиентах.

50.1. Установка и настройка Fleet Commander

50.1.1. Настройка libvirt-хоста

В качестве libvirt-хоста может выступать как отдельная машина, так и машина с Fleet Commander Admin.
Установить libvirt:
# apt-get install libvirt-kvm virt-install
Добавить службу libvirtd в автозапуск и запустить её:
# systemctl enable --now libvirtd.service
Проверить, что default сеть определена, запущена и автозапускаемая:
# virsh net-list --all
 Имя       Статус    Автозапуск   Persistent
 ----------------------------------------------
 default   активен   yes          yes

Примечание

Определить сеть default, если она не определена:
# virsh net-define /etc/libvirt/qemu/networks/default.xml
Отметить default сеть как автозапускаемую:
# virsh net-autostart default
Запустить default сеть:
# virsh net-start default

Примечание

В Альт Сервер по умолчанию отключена парольная аутентификация для root в sshd, поэтому если есть необходимость использовать привилегированного пользователя libvirt-хоста, то следует разрешить root-доступ по ssh. Включить парольную аутентификацию для root можно с помощью control (должен быть установлен пакет control-sshd-permit-root-login):
# control sshd-permit-root-login enabled
и перезагрузить ssh-сервер:
# systemctl restart sshd.service
После того как ключ будет скопирован, рекомендуется отключить парольную аутентификацию:
# control sshd-permit-root-login disabled
# systemctl restart sshd.service
Шаблон это виртуальная машина с запущенным на ней Fleet Commander Logger. Шаблон запускается на «админ» машине в live-сессии. Регистратор (логгер) отслеживает сделанные изменения в шаблоне и сохраняет их.
Для настройки новой виртуальной машины шаблонов, достаточно создать виртуальную машину (ВМ) внутри гипервизора libvirt/KVM, запустить её и установить на этой template-машине Fleet Commander Logger. Регистратор будет автоматически запускаться после входа в систему.
Установка ОС на libvirt домен:
  • Запустить домен, например:
    # virt-install --name alt \
    --ram 4096 --cpu kvm64 --vcpus 2 \
    --disk pool=default,size=20,bus=virtio,format=qcow2 \
    --network network=default --graphics spice,listen=127.0.0.1,password=test \
    --cdrom /var/lib/libvirt/images/alt-workstation-10.0-x86_64.iso --os-variant=alt10.0
    
  • Подключиться к ВМ и произвести установку ОС (на хосте, с которого происходит подключение, должен быть установлен пакет virt-viewer):
    $ virt-viewer --connect qemu+ssh://user@192.168.0.190/system
    
  • После окончания установки ОС, установить на ВМ Fleet Commander Logger:
    # apt-get install fleet-commander-logger
    

Примечание

ВМ, которую планируется использовать как шаблон, должна быть выключена, иначе Fleet Commander не позволит запустить live-сессию на этой машине.

50.1.2. Установка и настройка Fleet Commander Admin

Предварительно необходимо установить и настроить FreeIPA сервер, с созданием домашнего каталога (опция --mkhomedir).
Установить пакет freeipa-desktop-profile:
# apt-get install freeipa-desktop-profile
...
Perform the IPA upgrade. This may take a while.
The IPA upgrade was successful.
Завершено.

Примечание

Пакет freeipa-desktop-profile не входит в состав ISO-образа дистрибутива, его можно установить из репозитория p10. О добавлении репозиториев с использованием графических приложений вы можете почитать в разделе Управление репозиториями.
Проверить, что плагин работает:
# kinit admin
Password for admin@EXAMPLE.TEST:
# ipa deskprofileconfig-show
  Priority of profile application: 1

Примечание

Если на выходе команды ipa deskprofileconfig-show появляется ошибка:
ipa: ERROR: неизвестная команда "deskprofileconfig-show"
необходимо почистить кэш текущему пользователю и повторить команду:
# rm -rf ~/.cache/ipa
# ipa deskprofileconfig-show
  Priority of profile application: 1
Установить Fleet Commander плагин для Cockpit (из репозитория):
# apt-get install fleet-commander-admin

Примечание

Пакет fleet-commander-admin не входит в состав ISO-образа дистрибутива, его можно установить из репозитория p10. О добавлении репозиториев с использованием графических приложений вы можете почитать в разделе Управление репозиториями.
Добавить сервис Cockpit в автозапуск и запустить его:
# systemctl enable --now cockpit.socket
Веб-интерфейс Cockpit будет доступен по адресу https://адрес-сервера:9090/:
Веб-интерфейс Cockpit
Вход осуществляется по логину указанному при установке FreeIPA сервера.
Для доступа к настройке Fleet Commander следует выбрать соответствующую кнопку на левой панели веб-интерфейса.
Вкладка Fleet Commander
При первом запуске Fleet Commander необходимо настроить глобальную политику и информацию о хосте libvirt.

Примечание

Открыть окно настроек можно, нажав кнопку Settings на вкладке Fleet Commander.
Fleet Commander позволяет установить глобальную политику для определения того, как применять несколько профилей: к конкретному пользователю, к группе, к хосту, к группе хостов. По умолчанию это User-Group-Host-Hostgroup.
Для запуска live-сессии необходимо работающее ssh-соединение с libvirt-хостом. В форму настройки необходимо ввести следующие данные:
  • Fleet Commander virtual environment host — адрес libvirt-хоста (если в качестве libvirt-хоста используется FreeIPA сервер, то здесь необходимо указать адрес текущей машины или localhost);
  • Username for connection — имя пользователя libvirt-хоста (пользователь должен быть включён в группу vmusers);
  • Libvirt mode — если пользователь не является привилегированным, то следует переключить данную настройку в режим сеанса.
Окно настроек Fleet Commander
Fleet Commander генерирует свой собственный открытый ключ, который необходимо добавить в .ssh/authorized_keys для соответствующего пользователя на libvirt-хосте. Это можно сделать, нажав кнопку Install public key (Установить открытый ключ), при этом будет необходимо ввести пароль пользователя. Пароль используется только для установки ключа и нигде не хранится.
Fleet Commander. Пароль для установки ключа

Примечание

На хосте libvirt, должен быть запущен SSH-сервер (служба sshd).

50.1.2.1. Работа с профилями

После настройки Fleet Commander Admin необходимо создать и настроить профиль. Для создания профиля нажать кнопку Add Profile на вкладке Fleet Commander. Появится форма настройки профиля:
Fleet Commander. Создание профиля
Форма настройки профиля содержит следующие поля:
  • Name — имя профиля;
  • Description — описание профиля;
  • Priority — приоритет профиля;
  • Users — пользователи, к которым будет применен профиль;
  • Groups — группы, к которым будет применен профиль;
  • Hosts — хосты, к которым будет применен профиль;
  • Host groups — группы хостов, к которым будет применен профиль.
Если не указан ни один хост или группа хостов, то профиль будет применен к каждому хосту состоящему в домене.

50.1.3. Настройка шаблона

Для настройки шаблона в веб-интерфейсе Cockpit необходимо нажать кнопку Edit напротив нужного профиля:
Fleet Commander. Редактирование профиля
и в открывшемся окне нажать кнопку Live session:
Fleet Commander. Кнопка Live session
В появившейся форме будет выведен список доступных шаблонов. При выборе шаблона, он начнет загружаться.

50.1.4. Установка и настройка Fleet Commander Client

Клиентская машина должна быть введена в домен (см. соответствующий раздел), а также должны быть созданы доменные пользователи.
Установить необходимый пакет (из репозитория):
# apt-get install fleet-commander-client
Клиент будет запускаться автоматически, при входе в домен с поддержкой Fleet Commander, и будет настраивать конфигурацию, которая применима к данному пользователю.

50.2. Использование Fleet Commander

Fleet Commander работает со следующими приложениями:
  • GSettings
  • LibreOffice
  • Chromium
  • Chrome
  • Firefox
  • NetworkManager
Администрирование происходит через веб-интерфейс Cockpit.
Порядок работы с Fleet Commander:
  1. Открыть https://адрес-сервера:9090/fleet-commander-admin и запустить live-сессию (EditLive session). Появится окно со списком доступных ВМ, которые можно использовать в качестве шаблона для загрузки в live-сессии:
    Fleet Commander. Список доступных шаблонов
  2. Выбрать машину, на которой установлен Fleet Commander Logger, и запустить ее:
    Fleet Commander. Загруженный шаблон
    Загруженная машина является шаблоном, все сделанные на ней изменения будут отловлены регистратором, сохранены и применены на клиентских системах.
  3. На загруженной машине внести необходимые изменения в настройки.
  4. В веб-интерфейсе Cockpit нажать кнопку Review and submit. Появится окно со списком сделанных изменений:
    Окно со списком сделанных изменений
    В списке изменений можно выбрать как все изменения, так и частичные, установив отметку напротив нужного. После выбора нажать кнопку Save, для сохранения изменений.
  5. Загрузить клиентскую машину, войти в систему под доменным пользователем. Убедиться, что сделанные изменения успешно применились.

Предупреждение

При закрытии вкладки браузера с Cockpit, live-сессия прервется и изменения, внесенные за время ее существования, будут потеряны.

50.3. Устранение неполадок Fleet Commander

Для отлавливания любых ошибок возникших во время работы Fleet Commander Admin необходимо добавить log_level = debug в /etc/xdg/fleet-commander-admin.conf. Возникшие ошибки можно отследить, используя journalctl.

Глава 51. Система мониторинга Zabbix

Zabbix — система мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования.
Для управления системой мониторинга и чтения данных используется веб-интерфейс.

51.1. Установка сервера PostgreSQL

Перед установкой Zabbix должен быть установлен и запущен сервер PostgreSQL, с созданным пользователем zabbix и созданной базой zabbix.
Установить PostgreSQL, Zabbix-сервер и дополнительную утилиту fping:
# apt-get install postgresql15-server zabbix-server-pgsql fping
Подготовить к запуску и настроить службы PostgreSQL, для этого необходимо выполнить следующие действия:
  • создать системные базы данных:
    # /etc/init.d/postgresql initdb
    
  • включить по умолчанию и запустить службу:
    # systemctl enable --now postgresql
    
  • создать пользователя zabbix и базу данных zabbix (под правами root):
    # su - postgres -s /bin/sh -c 'createuser --no-superuser --no-createdb --no-createrole --encrypted --pwprompt zabbix'
    # su - postgres -s /bin/sh -c 'createdb -O zabbix zabbix'
    # systemctl restart postgresql
    
  • добавить в базу данные для веб-интерфейса (последовательность команд важна, в разных версиях Zabbix путь будет отличаться, версия помечена звёздочкой):
    # su - postgres -s /bin/sh -c 'psql -U zabbix -f /usr/share/doc/zabbix-common-database-pgsql-*/schema.sql zabbix'
    # su - postgres -s /bin/sh -c 'psql -U zabbix -f /usr/share/doc/zabbix-common-database-pgsql-*/images.sql zabbix'
    # su - postgres -s /bin/sh -c 'psql -U zabbix -f /usr/share/doc/zabbix-common-database-pgsql-*/data.sql zabbix'
    

51.2. Установка Apache2

Установить пакеты apache2:
# apt-get install apache2 apache2-mod_php8.2
Добавить в автозапуск и запустить apache2:
# systemctl enable --now httpd2

51.3. Установка PHP

Примечание

Начиная с версии php8.0, пакеты модулей именуются следующим образом:
php<мажорная>.<минорная версии>-<имя модуля>
Из репозитория можно установить и эксплуатировать в одной системе одновременно разные версии php. В данном руководстве в качестве примера используется php8.2.
Установить необходимые пакеты:
# apt-get install php8.2 php8.2-mbstring php8.2-sockets php8.2-gd php8.2-xmlreader php8.2-pgsql php8.2-ldap php8.2-openssl
Изменить некоторые опции php в файле /etc/php/8.2/apache2-mod_php/php.ini:
memory_limit = 256M
post_max_size = 32M
max_execution_time = 600
max_input_time = 600
date.timezone = Europe/Moscow
always_populate_raw_post_data = -1
Перезапустить apache2:
# systemctl restart httpd2

51.4. Настройка и запуск Zabbix-сервера

Внести изменения в конфигурационный файл /etc/zabbix/zabbix_server.conf:
DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=Пароль от базы
Добавить Zabbix-сервер в автозапуск и запустить его:
# systemctl enable --now zabbix_pgsql

51.5. Установка веб-интерфейса Zabbix

Установить метапакеты (из репозитория):
# apt-get install zabbix-phpfrontend-apache2 zabbix-phpfrontend-php8.2
Включить аддоны в apache2:
# ln -s /etc/httpd2/conf/addon.d/A.zabbix.conf /etc/httpd2/conf/extra-enabled/
Перезапустить apache2:
# systemctl restart httpd2
Изменить права доступа к конфигурационному каталогу веб-интерфейса, чтобы веб-установщик мог записать конфигурационный файл:
# chown apache2:apache2 /var/www/webapps/zabbix/ui/conf
В браузере перейти на страницу установки Zabbix сервера:
http://<ip-сервера>/zabbix
При первом заходе на страницу запустится мастер, который шаг за шагом проверит возможности веб-сервера, интерпретатора PHP и сконфигурирует подключение к базе данных.
На странице также можно выбрать язык установки Zabbix.
Страница установки zabbix-сервера

Примечание

Если при входе на страницу http://<ip-сервера>/zabbix появляется ошибка: доступ запрещен, следует в файле /etc/httpd2/conf/sites-available/default.conf в секцию <Directory> добавить запись:
Require all granted
и перезапустить apache2:
# systemctl restart httpd2
Для начала установки необходимо нажать кнопку Далее, что осуществит переход на страницу проверки предварительных условий.
Zabbix. Страница проверки предварительных условий
Необходимо доустановить то, что требуется и перейти на следующую страницу.
Здесь необходимо ввести параметры подключения к базе данных (параметры подключения нужно указывать такие же, как у сервера Zabbix). По умолчанию в качестве Database schema необходимо указать public.
Zabbix. Параметры подключения к базе данных

Примечание

Если выбрана опция TLS шифрование базы данных, то в форме появятся дополнительные поля для настройки TLS-соединения с базой данных.
Далее необходимо задать имя сервера и выбрать настройки веб-интерфейса:
Настройки веб-интерфейса zabbix-сервера
На следующей странице следует проверить параметры конфигурации:
Zabbix. Параметры конфигурации
Окончание установки:
Zabbix. Окончание установки
После окончания установки на экране будет отображаться форма входа в интерфейс управления системой мониторинга. Параметры доступа по умолчанию:
Логин: Admin
Пароль: zabbix
Zabbix. Форма входа в интерфейс управления системой мониторинга
Войдя в систему, нужно сменить пароль пользователя, завести других пользователей и можно начать настраивать Zabbix.
Zabbix. Интерфейс управления системой мониторинга

Примечание

В профиле пользователя можно настроить некоторые функции веб-интерфейса Zabbix, такие как язык интерфейса, цветовая тема, количество отображаемых строк в списках и т.п. Сделанные в профиле изменения будут применены только к пользователю, в профиле которого были сделаны эти изменения.
Zabbix. Профиль пользователя
Чтобы собирать информацию с узлов, сервер Zabbix использует информацию, получаемую от агентов. Чтобы добавить новый узел, следует установить на узел, который необходимо мониторить, Zabbix-агент и добавить новый хост на Zabbix-сервере.

51.6. Установка клиента Zabbix

Установить необходимый пакет zabbix-agent (из репозитория):
# apt-get install zabbix-agent
Если Zabbix-агент устанавливается не на сам сервер мониторинга, то в файле конфигурации агента /etc/zabbix/zabbix_agentd.conf нужно задать следующие параметры:
Server=<ip-сервера>
ServerActive=<ip-сервера>
Hostname=comp01.example.test
comp01.example.test — имя узла мониторинга, которое будет указано на сервере Zabbix.

Примечание

Если параметр Hostname будет пустой или закомментирован, то узел добавится под системным именем.
Добавить Zabbix-агент в автозапуск и запустить его:
# systemctl enable --now zabbix_agentd.service

Примечание

Для настройки Zabbix-агента можно воспользоваться модулем Агент наблюдения.

51.7. Добавление нового хоста на сервер Zabbix

Каждый хост необходимо зарегистрировать на сервере Zabbix.
Информация о настроенных узлах сети в Zabbix доступна в разделе НастройкаУзлы сети. Для добавления нового узла сети следует нажать кнопку Создать узел сети:
Zabbix. Создание нового узла сети
В открывшемся окне необходимо заполнить поля Имя узла сети и IP адрес согласно данным добавляемого хоста, выбрать шаблон Linux by Zabbix agent, добавить хост в определенную группу (выбрав одну из них из списка, либо создав новую группу) и нажать кнопку Добавить:
Zabbix. Данные добавляемого хоста

Примечание

В поле Имя узла сети ставится значение, которое указано в настройках агента (/etc/zabbix/zabbix_agentd.conf) в поле Hostname.

Примечание

Все права доступа назначаются на группы узлов сети, не индивидуально узлам сети. Поэтому узел сети должен принадлежать хотя бы одной группе.
Получение первых данных может занять до 60 секунд. Для того чтобы просмотреть собранные данные, необходимо перейти в МониторингПоследние данные, выбрать в фильтре нужный узел сети и нажать кнопку Применить:
Zabbix. Собранные данные

51.8. Авторегистрация узлов

В Zabbix существует механизм, который позволяет Zabbix-серверу начинать мониторинг нового оборудования автоматически, если на этом оборудовании имеется установленный Zabbix-агент. Такой подход позволяет добавлять новые узлы сети на мониторинг без какой-либо настройки Zabbix-сервера вручную по каждому отдельному узлу сети.
Для настройки авторегистрации необходимо перейти в НастройкаДействияДействия авторегистрации и нажать кнопку Создать действие:
Zabbix. Авторегистрация узлов
На открывшейся странице, на вкладке Действия заполнить поле Имя и добавить условия. В поле Условия следует задать правила, по которым будут идентифицироваться регистрируемые хосты:
Zabbix. Условия идентификации узла
На вкладке Операции в поле Операции следует добавить правила, которые необходимо применить при регистрации хоста. Пример правил для регистрации узла, добавления его к группе Discovered hosts с присоединением к шаблону Linux by Zabbix agent:
Zabbix. Правила, применяемые при регистрации узла
В конфигурационном файле агента указать следующие значения:
  • в параметре Hostname — уникальное имя;
  • в параметре ServerActive — IP-адрес сервера;
  • в параметре HostMetadata — значение, которое было указано в настройках сервера (HostMetadata=alt.autoreg).
Перезапустить агент.

Глава 52. Nextcloud — хранение документов в «облаке»

Nextcloud — веб-приложение для синхронизации данных, общего доступа к файлам и удалённого хранения документов в «облаке».
Файлы Nextcloud хранятся в обычных структурах каталогов и могут быть доступны через WebDAV, если это необходимо.
Основной сайт проекта: https://nextcloud.com/.

52.1. Установка

Развернуть Nextcloud можно, используя пакет deploy:
# apt-get install deploy
# deploy nextcloud

Примечание

Nextcloud можно установить при установке системы, выбрав для установки пункт Сервер Nextcloud (подробнее описано в главе Установка системы).
Если при установке системы доступ к сети отсутствует, то Nextcloud не будет развёрнут. В этом случае развернуть Nextcloud можно, выполнив команду:
# deploy nextcloud
Для доступа к административным функциям Nextcloud через веб-интерфейс необходимо установить пароль пользователю ncadmin (пароль должен быть достаточно сложным и содержать не менее 10 символов):
# deploy nextcloud password=5Z4SAq2U28rWyVz
Веб-приложение Nextcloud будет доступно по адресу https://<сервер>/nextcloud/. Где «сервер» — localhost или имя, заданное компьютеру при установке системы на этапе Настройка сети.

Примечание

Просмотреть имя компьютера можно, выполнив команду:
$ hostname

Важно

По умолчанию непоследовательное обновление мажорных версий запрещено (например, с версии 20 сразу до 22), и при попытке доступа к веб-интерфейсу после обновления пакета будет возникать ошибка Exception: Updates between multiple major versions and downgrades are unsupported. Для того чтобы обойти эту ошибку, продолжить обновление и получить доступ к веб-интерфейсу, необходимо:
  • в файле /var/www/webapps/nextcloud/config/config.php в параметре version изменить старую версию на новую;
  • перейти в веб-интерфейс и обновить страницу.

52.2. Настройка Nextcloud

/var/www/webapps/nextcloud/config/config.php — файл конфигурации Nextcloud.

Важно

После внесения изменений в файл конфигурации Nextcloud необходимо перезапустить веб-сервер:
# systemctl restart httpd2
Настроить кэширование можно, добавив следующие строки в файл конфигурации Nextcloud:
'memcache.local' => '\OC\Memcache\Memcached',
'memcache.distributed' => '\OC\Memcache\Memcached',
'memcached_servers' => array(
 array('localhost', 11211),
 ),

Примечание

Для возможности настройки кэширования, должны быть установлены пакеты memcached, php8.2-memcached:
# apt-get install memcached php8.2-memcached
Служба memcached должна быть добавлена в автозагрузку:
# systemctl enable --now memcached
После установки Nextcloud отвечает на запросы, сделанные только из localhost. Поэтому необходимо изменить настройки для того, чтобы получить доступ к Nextcloud при использовании доменного имени или IP-адреса сервера. Для этого следует добавить в файл конфигурации в раздел trusted_domains необходимые имена сервера:
'trusted_domains' =>
array (
0 => 'localhost',
1 => 'host-15',
2 => 'nextcloud.test.alt',
),

52.3. Работа с Nextcloud

Nextcloud доступен через веб-интерфейс по адресу https://localhost/nextcloud/ или по имени сервера https://nextcloud.test.alt/nextcloud/.

Примечание

Если используется самоподписанный сертификат, то на клиентских машинах потребуется добавлять его в список доверенных.
Окно авторизации Nextcloud
После авторизации открывается панель управления Nextcloud, которую можно настроить (с помощью виджетов) так, как хочет пользователь:
Окно Nextcloud

52.3.1. Администрирование

Основные настройки Nextcloud доступны на странице Параметры сервера. Открыть которую можно, щелкнув левой кнопкой мыши по логину администратора в правом верхнем углу и выбрав в выпадающем меню строку Параметры сервера:
Основные настройки Nextcloud
На странице Активные пользователи можно:
  • просматривать текущих пользователей;
  • создавать новых пользователей;
  • изменять имена и пароли пользователей;
  • просматривать и устанавливать квоты;
  • фильтровать пользователей по группам;
  • удалять пользователей.
Nextcloud. Страница Активные пользователи
Для создания пользователя, следует нажать кнопку Новый пользователь, ввести Имя пользователя, Пароль, при необходимости указать группу и нажать кнопку Создать пользователя:
Nextcloud. Добавление пользователей

52.3.2. Работа с файлами

Меню выбора доступных сервисов расположено в левом верхнем углу веб-интерфейса Nextcloud:
Nextcloud. Меню выбора доступных сервисов
При выборе раздела Файлы отображается структура каталогов пользователя:
Nextcloud. Структура каталогов пользователя
Для того чтобы поделиться файлом или папкой с другими пользователями, необходимо нажать на треугольный значок рядом с названием файла и в открывшемся окне настроить параметры общего доступа:
Nextcloud. Настройка доступа к файлу
Поделиться ссылкой может понадобиться в том случае, если необходимо предоставить доступ к файлу или папке людям, которые не входят в число пользователей Nextcloud.

Глава 53. Сервер видеоконференций на базе Jitsi Meet

Jitsi Meet — веб-приложение с открытым исходным кодом на базе WebRTC, предназначенное для проведения видеоконференций. Сервер Jitsi Meet создает виртуальные залы для видеоконференций на несколько человек, для доступа к которым требуется только браузер. Преимущество конференции Jitsi заключается в том, что все данные передаются только через ваш сервер, а комплексное шифрование TLS обеспечивает защиту от перехвата и несанкционированного прослушивания.
Jicofo — XMPP-компонент, модератор видеоконференций. Клиенты договариваются о связи, заходя в общую XMPP-комнату, и обмениваются там XMPP-сообщениями. Имеет HTTP API /about/health для опроса о состоянии сервиса.
Jitsi Videobridge — механизм медиасервера, который поддерживает все многосторонние видеоконференции Jitsi. Он передаёт видео и аудио между участниками, осуществляя роль посредника, терминирует RTP/RTCP, определяет доступные рамки битрейта в обе стороны на конкретного клиента. Имеет свой внутренний HTTP API для мониторинга (/colibri/debug).
Jigasi — шлюз для участия в Jitsi-конференциях через SIP-телефонию.
Jibri — вещатель и рекордер, используемые для сохранения записей видеозвонков и потоковой передачи на YouTube Live.
Ниже приведена инструкция по настройке сервера Jitsi Meet в Альт Сервер.

Примечание

Jitsi Meet нельзя развернуть на архитектуре aarch64.

53.1. Требования к системе

Для размещения нужны:
  • jitsi-videobridge: хост с доступными портами 10000/udp, 4443/tcp и хорошей пропускной способностью (рекомендуется минимум 100Mbps симметрично);
  • веб-сервер: хост с доступным портом 443/tcp. Веб-сервер должен поддерживать HTTPS;
  • xmpp-сервер: хост с доступным портом 5280/tcp для работы XMPP-over-HTTP (BOSH).

Примечание

Теоретически компоненты могут размещаться на разных машинах; на практике не рекомендуется устанавливать prosody и jicofo на разные машины — это может привести к низкой производительности сервиса и большим колебаниям задержки связи.

53.2. Установка

Установить пакеты:
# apt-get install prosody jitsi-meet-prosody jitsi-meet-web jitsi-meet-web-config jicofo jitsi-videobridge

Примечание

Компоненты Jitsi Meet можно установить при установке системы, выбрав для установки пункт «Сервер видеоконференций Jitsi Meet» (см. Установка системы).
Установка Jitsi Meet при установке системы

Примечание

В примере ниже указан DNS адрес сервера jitsi2.test.alt, следует заменить его на свой.

53.3. Конфигурация

53.3.1. Настройка имени хоста системы

Установить имя хоста системы на доменное имя, которое будет использоваться для Jitsi:
# hostnamectl set-hostname jitsi2
Установить локальное сопоставление имени хоста сервера с IP-адресом 127.0.0.1, для этого дописать в файл /etc/hosts строку:
127.0.0.1    jitsi2.test.alt jitsi2

Примечание

После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.
Проверить правильность установленного имени можно, выполнив команды:
# hostname
jitsi2
# hostname -f
jitsi2.test.alt
$ ping "$(hostname)"
PING jitsi2.test.alt (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.053 ms
[...]

53.3.2. Настройка XMPP-сервера (prosody)

Создать каталог /etc/prosody/conf.d для хранения пользовательских конфигураций:
# mkdir -p /etc/prosody/conf.d
В конец файла /etc/prosody/prosody.cfg.lua дописать строку:
Include "conf.d/*.cfg.lua"
Создать конфигурационный файл prosody для вашего домена (например, /etc/prosody/conf.d/jitsi2.test.alt.cfg.lua) со следующим содержимым:
plugin_paths = { "/usr/share/jitsi-meet/prosody-plugins/" }

-- domain mapper options, must at least have domain base set to use the mapper
muc_mapper_domain_base = "jitsi2.test.alt";

cross_domain_bosh = false;
consider_bosh_secure = true;

----------- Virtual hosts -----------
VirtualHost "jitsi2.test.alt"
    authentication = "anonymous"
    ssl = {
       key = "/var/lib/prosody/jitsi2.test.alt.key";
       certificate = "/var/lib/prosody/jitsi2.test.alt.crt";
    }
    speakerstats_component = "speakerstats.jitsi2.test.alt"
    conference_duration_component = "conferenceduration.jitsi2.test.alt"
         -- we need bosh
    modules_enabled = {
        "bosh";
        "pubsub";
        "ping"; -- Enable mod_ping
        "speakerstats";
        "turncredentials";
        "conference_duration";
    }
    c2s_require_encryption = false


Component "conference.jitsi2.test.alt" "muc"
    storage = "memory"
    modules_enabled = {
        "muc_meeting_id";
        "muc_domain_mapper";
        -- "token_verification";
    }
    admins = { "focus@auth.jitsi2.test.alt" }
    muc_room_locking = false
    muc_room_default_public_jids = true

VirtualHost "auth.jitsi2.test.alt"
    ssl = {
        key = "/var/lib/prosody/auth.jitsi2.test.alt.key";
        certificate = "/var/lib/prosody/auth.jitsi2.test.alt.crt";
    }
    authentication = "internal_plain"

-- internal muc component, meant to enable pools of jibri and jigasi clients
Component "internal.auth.jitsi2.test.alt" "muc"
    storage = "memory"
    modules_enabled = {
        "ping";
    }
    admins = { "focus@auth.jitsi2.test.alt", "jvb@auth.jitsi2.test.alt" }
    muc_room_locking = false
    muc_room_default_public_jids = true

Component "focus.jitsi2.test.alt"
    component_secret = "secret1" -- достаточно длинный пароль, он же JICOFO_SECRET

Component "speakerstats.jitsi2.test.alt" "speakerstats_component"
    muc_component = "conference.jitsi2.test.alt"

Component "conferenceduration.jitsi2.test.alt" "conference_duration_component"
    muc_component = "conference.jitsi2.test.alt"
Сгенерировать сертификаты для виртуальных хостов jitsi2.test.alt и auth.jitsi2.test.alt:
# prosodyctl cert generate jitsi2.test.alt
Choose key size (2048):
countryName (GB): RU
localityName (The Internet): 
organizationName (Your Organisation): 
organizationalUnitName (XMPP Department): 
commonName (jitsi2.test.alt): 
emailAddress (xmpp@jitsi2.test.alt): 

Config written to /var/lib/prosody/jitsi2.test.alt.cnf
Certificate written to /var/lib/prosody/jitsi2.test.alt.crt

# prosodyctl cert generate auth.jitsi2.test.alt
Choose key size (2048): 
countryName (GB): RU
localityName (The Internet): 
organizationName (Your Organisation):
organizationalUnitName (XMPP Department): 
commonName (auth.jitsi2.test.alt): 
emailAddress (xmpp@auth.jitsi2.test.alt): 

Config written to /var/lib/prosody/auth.jitsi2.test.alt.cnf
Certificate written to /var/lib/prosody/auth.jitsi2.test.alt.crt
В ответах можно принять значения по умолчанию (можно просто нажать Enter) или ввести свои ответы. Важно в ответе на запрос commonName (jitsi2.test.alt): указать доменное имя сервера Prosody.
Зарегистрировать сертификаты в системе, как доверенные (сертификаты нужно регистрировать там, где устанавливается Jicofo):
# ln -s /var/lib/prosody/jitsi2.test.alt.crt /etc/pki/ca-trust/source/anchors/
# ln -s /var/lib/prosody/auth.jitsi2.test.alt.crt /etc/pki/ca-trust/source/anchors/
# update-ca-trust
Зарегистрировать пользователя focus (аккаунт focus@auth.jitsi2.test.alt):
# prosodyctl register focus auth.jitsi2.test.alt secret2
где secret2 — достаточно длинный пароль.
Запустить prosody:
# prosodyctl start

53.3.3. Настройка jicofo

Jicofo подключается к XMPP-серверу и как внешний XMPP-компонент, и как пользовательский аккаунт с JID focus@auth.jitsi2.test.alt.
В файле /etc/jitsi/jicofo/config следует указать:
# Jitsi Conference Focus settings
# sets the host name of the XMPP server
JICOFO_HOST=localhost

# sets the XMPP domain (default: none)
JICOFO_HOSTNAME=jitsi2.test.alt

# sets the secret used to authenticate as an XMPP component
JICOFO_SECRET=secret1

# overrides the prefix for the XMPP component domain. Default: "focus"
#JICOFO_FOCUS_SUBDOMAIN=focus

# sets the port to use for the XMPP component connection
JICOFO_PORT=5347

# sets the XMPP domain name to use for XMPP user logins
JICOFO_AUTH_DOMAIN=auth.jitsi2.test.alt

# sets the username to use for XMPP user logins
JICOFO_AUTH_USER=focus

# sets the password to use for XMPP user logins
JICOFO_AUTH_PASSWORD=secret2

# extra options to pass to the jicofo daemon
JICOFO_OPTS="${JICOFO_FOCUS_SUBDOMAIN:+ --subdomain=$JICOFO_FOCUS_SUBDOMAIN}"

# adds java system props that are passed to jicofo (default are for home and logging config file)
JAVA_SYS_PROPS="-Dnet.java.sip.communicator.SC_HOME_DIR_LOCATION=/etc/jitsi
-Dnet.java.sip.communicator.SC_HOME_DIR_NAME=jicofo
-Dnet.java.sip.communicator.SC_LOG_DIR_LOCATION=/var/log/jitsi
-Djava.util.logging.config.file=/etc/jitsi/jicofo/logging.properties"

Важно

В строке
JICOFO_SECRET=secret1
должен быть указан пароль, установленный в файле /etc/prosody/conf.d/jitsi2.test.alt.cfg.lua.
В строке
JICOFO_AUTH_PASSWORD=secret2
должен быть указан пароль пользователя focus.
В файле /etc/jitsi/jicofo/sip-communicator.properties следует указать:
org.jitsi.jicofo.health.ENABLE_HEALTH_CHECKS=true
org.jitsi.jicofo.BRIDGE_MUC=JvbBrewery@internal.auth.jitsi2.test.alt
Запустите jicofo:
# systemctl start jicofo
Убедитесь, что jicofo подключается к XMPP-серверу:
# curl -i localhost:8888/about/health
HTTP/1.1 500 Internal Server Error
Date: Wed, 27 Sep 2023 09:32:05 GMT
Content-Type: application/json
Content-Length: 56
Server: Jetty(9.4.15.v20190215)

No operational bridges available (total bridge count: 0)
Так как пока ни одного Jitsi Videobridge к серверу не подключено, jicofo ответит кодом ответа 500 и сообщением No operational bridges available. Если в ответе сообщение об ошибке иного рода — следует проверить настройки и связь между prosody и jicofo.

53.3.4. Настройка jitsi-videobridge

Завести на XMPP-сервере аккаунт jvb@auth.jitsi2.test.alt:
# prosodyctl register jvb auth.jitsi2.test.alt secret3
Заменить содержимое файла /etc/jitsi/videobridge/config на следующее:
# Jitsi Videobridge settings

# extra options to pass to the JVB daemon
JVB_OPTS="--apis=,"


# adds java system props that are passed to jvb (default are for home and logging config file)
JAVA_SYS_PROPS="-Dnet.java.sip.communicator.SC_HOME_DIR_LOCATION=/etc/jitsi
-Dnet.java.sip.communicator.SC_HOME_DIR_NAME=videobridge
-Dnet.java.sip.communicator.SC_LOG_DIR_LOCATION=/var/log/jitsi
-Djava.util.logging.config.file=/etc/jitsi/videobridge/logging.properties
-Dconfig.file=/etc/jitsi/videobridge/application.conf"
В качестве файлов конфигурации jitsi-videobridge используются файлы /etc/jitsi/videobridge/application.conf и /etc/jitsi/videobridge/sip-communicator.properties.
В файле /etc/jitsi/videobridge/application.conf необходимо указать:
videobridge {
    stats {
        enabled = true
        transports = [
            { type = "muc" }
        ]
    }
    apis {
        xmpp-client {
            configs {
                shard {
                    hostname = "localhost"
                    domain = "auth.jitsi2.test.alt"
                    username = "jvb"
                    password = "secret3"
                    muc_jids = "JvbBrewery@internal.auth.jitsi2.test.alt"
                    # The muc_nickname must be unique across all instances
                    muc_nickname = "jvb-mid-123"
                }
            }
        }
    }
}

Важно

В строке
password = "secret3"
должен быть указан пароль пользователя jvb.
Вместо слова shard можно использовать любой идентификатор (оно идентифицирует подключение к xmpp-серверу и jicofo).
Измените содержимое файла /etc/jitsi/videobridge/sip-communicator.properties:
org.ice4j.ice.harvest.DISABLE_AWS_HARVESTER=true
org.ice4j.ice.harvest.STUN_MAPPING_HARVESTER_ADDRESSES=meet-jit-si-turnrelay.jitsi.net:443
org.jitsi.videobridge.ENABLE_STATISTICS=true
org.jitsi.videobridge.STATISTICS_TRANSPORT=muc
org.jitsi.videobridge.xmpp.user.shard.HOSTNAME=localhost
org.jitsi.videobridge.xmpp.user.shard.DOMAIN=auth.jitsi2.test.alt
org.jitsi.videobridge.xmpp.user.shard.USERNAME=jvb
org.jitsi.videobridge.xmpp.user.shard.PASSWORD=secret3
org.jitsi.videobridge.xmpp.user.shard.MUC_JIDS=JvbBrewery@internal.auth.jitsi2.test.alt
org.jitsi.videobridge.xmpp.user.shard.MUC_NICKNAME=6d8b40cb-fe32-49f5-a5f6-13d2c3f95bba

Примечание

Если JVB-машина отделена от клиентов при помощи NAT, то потребуется донастройка.
Запустите JVB:
# systemctl start jitsi-videobridge
Убедитесь, что между JVB и jicofo есть связь:
# curl -i localhost:8888/about/health
HTTP/1.1 200 OK
Date: Wed, 27 Sep 2023 09:39:28 GMT
Content-Length: 0
Server: Jetty(9.4.15.v20190215)
Если всё сделано правильно, jicofo на healthcheck-запрос будет отдавать HTTP-код 200.

53.3.5. Настройка веб-приложения Jitsi Meet

Получить SSL/TLS-сертификат для домена.

Примечание

Можно создать сертификат без обращения к УЦ. При использовании такого сертификата в браузере будут выводиться предупреждения.
Для создания самоподписанного сертификата следует:
  • создать корневой ключ:
    # openssl genrsa -out rootCA.key 2048
    
  • создать корневой сертификат:
    # openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt -subj "/C=RU/ST=Russia/L=Moscow/CN=SuperPlat CA Root"
    
  • сгенерировать ключ:
    # openssl genrsa -out jitsi2.test.alt.key 2048
    
  • создать запрос на сертификат (тут важно указать имя сервера: домен или IP):
    # openssl req -new -key jitsi2.test.alt.key -out jitsi2.test.alt.csr -subj "/C=RU/L=Moscow/CN=jitsi2.test.alt"
    
  • подписать запрос на сертификат корневым сертификатом:
    # openssl x509 -req -in jitsi2.test.alt.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out jitsi2.test.alt.crt -days 5000
    Signature ok
    subject=C = RU, CN = jitsi2.test.alt
    Getting CA Private Key
    
Положить ключ и сертификат в папку /etc/jitsi/meet/:
# cp jitsi2.test.alt.crt /etc/jitsi/meet/
# cp jitsi2.test.alt.key /etc/jitsi/meet/
В пакете jitsi-meet-web-config есть примеры конфигурации для веб-клиента (*-config.js) и веб-сервера (*.example.apache, *.example).
Создать файл /etc/jitsi/meet/jitsi2.test.alt-config.js на основе /usr/share/jitsi-meet-web-config/config.js:
# cp /usr/share/jitsi-meet-web-config/config.js /etc/jitsi/meet/jitsi2.test.alt-config.js
Внести изменения в файл /etc/jitsi/meet/jitsi2.test.alt-config.js в соответствии с настройками серверной части:
var config = {
    // Connection
    //

    hosts: {
        // XMPP domain.
        domain: 'jitsi2.test.alt',

        muc: 'conference.jitsi2.test.alt'
    },

    // BOSH URL. FIXME: use XEP-0156 to discover it.
    bosh: '//jitsi2.test.alt/http-bind',

    // Websocket URL
    // websocket: 'wss://jitsi-meet.example.com/xmpp-websocket',

    // The name of client node advertised in XEP-0115 'c' stanza
    clientNode: 'http://jitsi.org/jitsimeet',

[...]

}
Так как в Альт Сервер по умолчанию установлен веб-сервер apache, то ниже рассмотрена настройка именно этого веб-сервера. Пример конфигурации можно взять в файле /usr/share/doc/jitsi-meet-web-config-4109/jitsi-meet/jitsi-meet.example-apache
Создать файл /etc/httpd2/conf/sites-available/jitsi2.test.alt.conf на основе /usr/share/doc/jitsi-meet-web-config-4109/jitsi-meet/jitsi-meet.example-apache:
# cp /usr/share/doc/jitsi-meet-web-config-4109/jitsi-meet/jitsi-meet.example-apache /etc/httpd2/conf/sites-available/jitsi2.test.alt.conf
Внести изменения в файл /etc/httpd2/conf/sites-available/jitsi2.test.alt.conf (изменить имя, указать сертификат):
<VirtualHost *:80>
    ServerName jitsi2.test.alt
    Redirect permanent / https://jitsi2.test.alt/
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</VirtualHost>

<VirtualHost *:443>

  ServerName jitsi2.test.alt

  SSLProtocol TLSv1 TLSv1.1 TLSv1.2
  SSLEngine on
  SSLProxyEngine on
  SSLCertificateFile /etc/jitsi/meet/jitsi2.test.alt.crt
  SSLCertificateKeyFile /etc/jitsi/meet/jitsi2.test.alt.key
  SSLCipherSuite "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED"
  SSLHonorCipherOrder on
  Header set Strict-Transport-Security "max-age=31536000"

  DocumentRoot "/usr/share/jitsi-meet"
  <Directory "/usr/share/jitsi-meet">
    Options Indexes MultiViews Includes FollowSymLinks
    AddOutputFilter Includes html
    AllowOverride All
    Order allow,deny
    Allow from all
  </Directory>

  ErrorDocument 404 /static/404.html

  Alias "/config.js" "/etc/jitsi/meet/jitsi2.test.alt-config.js"
  <Location /config.js>
    Require all granted
  </Location>

  Alias "/external_api.js" "/usr/share/jitsi-meet/libs/external_api.min.js"
  <Location /external_api.js>
    Require all granted
  </Location>

  ProxyPreserveHost on
  ProxyPass /http-bind http://localhost:5280/http-bind/
  ProxyPassReverse /http-bind http://localhost:5280/http-bind/

  RewriteEngine on
  RewriteRule ^/([a-zA-Z0-9]+)$ /index.html
 </VirtualHost>
Установить пакет apache2-mod_ssl, если он еще не установлен:
# apt-get install apache2-mod_ssl
Выполнить команды:
# for mod in rewrite ssl headers proxy proxy_http; do a2enmod $mod; done
# a2enport https
# a2dissite 000-default
# a2dissite 000-default_https
Включить конфигурацию Apache:
# a2ensite jitsi2.test.alt
Запустить веб-сервер Apache2 и добавить его в автозагрузку:
# systemctl enable --now httpd2

53.4. Работа с сервисом

Для общения достаточно запустить веб-браузер и перейти на сайт. В нашем примере сервис доступен по адресу: https://jitsi2.test.alt:
Главная страница Jitsi Meet
Для того чтобы начать новую конференцию, достаточно придумать и ввести название будущей конференции (в имени можно использовать буквы на любом языке и пробелы). Чуть ниже будет отображаться список прошлых созданных конференций.

Примечание

Зная URL конференции, в неё может зайти любой желающий. Конференция создаётся, когда в неё заходит первый участник, и существует до выхода последнего. Предотвратить случайных посетителей можно выбрав достаточно длинный URL на главной странице веб-портала, генератор по умолчанию с этим справляется.
Можно предотвратить неавторизованное создание новых конференций подробнее в Отключение возможности неавторизованного создания новых конференций.
Ввести название конференции и нажать кнопку ОК. Будет создана конференция:
Конференция Jitsi Meet

Примечание

После создания конференции браузер попросит дать ему разрешение на использование веб-камеры и микрофона:
Запрос на использование веб-камеры и микрофона
После создания конференции её администратором становится только тот, кто её создал. Администратор может удалять пользователей из конференции, выключать их микрофоны, давать пользователю слово. В случае если администратор покинул конференцию, то её администратором становится тот, кто подключился следующий после него.
Конференция существует до тех пор, пока в ней есть хотя бы один человек.
Внизу окна конференции находится панель управления:
Панель управления Jitsi Meet
Первая кнопка на панели управления кнопка Показать экран. Если нажать на эту кнопку, откроется окно, в котором можно выбрать, что будет демонстрироваться другим участникам конференции. Доступны следующие опции:
  • экран монитора;
  • окно приложения;
  • определённая вкладка браузера.
Выбор окна экрана
Нажатие на кнопку Хочу говорить сигнализирует организатору, что участник хочет говорить. В окне, соответствующем персонажу (справа), появится такой же значок ладони.
Кнопка Чат запускает чат в данной конференции:
Чат конференции Jitsi Meet
Следующие кнопки на панели управления и их назначение:
  • Микрофон — позволяет включать и отключать микрофон;
  • Завершить — выход из конференции;
  • Камера — включение и выключение веб-камеры;
  • Вкл/Выкл плитку — вывести окна собеседников в центр чата;
  • Информация о чате — всплывающее окно, в котором приведена ссылка на конференцию. Здесь же администратор конференции может установить пароль для доступа к конференции:
    Установка пароля для доступа к конференции
  • Больше — настройка дополнительных функций Jitsi Meet:
    Установка дополнительных функций Jitsi Meet

53.5. Отключение возможности неавторизованного создания новых конференций

Можно разрешить создавать новые конференции только авторизованным пользователям. При этом каждый раз, при попытке создать новую конференцию, Jitsi Meet запросит имя пользователя и пароль. После создания конференции другие пользователи смогут присоединиться к ней анонимно.
Для отключения возможности неавторизованного создания новых конференций, необходимо выполнить следующие действия:
  • отредактировать файл /etc/prosody/conf.d/jitsi2.test.alt.cfg.lua, изменив в нем запись:
    VirtualHost "jitsi2.test.alt"
    authentication = "anonymous"
    
    на:
    VirtualHost "jitsi2.test.alt"
    authentication = "internal_hashed"
    
  • добавить в конец файла /etc/prosody/conf.d/jitsi2.test.alt.cfg.lua строки:
    VirtualHost "guest.jitsi2.test.alt"
    authentication = "anonymous"
    c2s_require_encryption = false
    
    Эти настройки позволят анонимным пользователям присоединяться к конференциям, созданным пользователем, прошедшим аутентификацию. При этом у гостя должен иметься уникальный адрес и пароль конференции (если этот пароль задан);
  • в файле /etc/jitsi/meet/jitsi2.test.alt-config.js указать параметры анонимного домена:
    domain: 'jitsi2.test.alt',
    anonymousdomain: 'guest.jitsi2.test.alt',
    
  • в файл /etc/jitsi/jicofo/sip-communicator.properties добавить строку:
    org.jitsi.jicofo.auth.URL=XMPP:jitsi2.test.alt
    
  • перезапустить процессы Jitsi Meet для загрузки новой конфигурации:
    # prosodyctl restart
    # systemctl restart jicofo
    # systemctl restart jitsi-videobridge
    
Команда для регистрации пользователей:
prosodyctl register <ПОЛЬЗОВАТЕЛЬ> jitsi2.test.alt <ПАРОЛЬ>
Изменить пароль пользователя:
prosodyctl passwd <ПОЛЬЗОВАТЕЛЬ>
Удалить пользователя:
prosodyctl deluser <ПОЛЬЗОВАТЕЛЬ>
Например, создадим пользователя admin:
# prosodyctl register admin jitsi2.test.alt secret4
Теперь при создании конференции сервер Jitsi Meet будет требовать ввести имя пользователя и пароль:
Запрос пароля при создании конференции

Глава 54. Отказоустойчивый кластер (High Availability) на основе Pacemaker

Pacemaker — менеджер ресурсов кластера (Cluster Resource Manager), задачей которого является достижение максимальной доступности управляемых им ресурсов и защита их от сбоев как на уровне самих ресурсов, так и на уровне целых узлов кластера. Ключевые особенности Pacemaker:
  • обнаружение и восстановление сбоев на уровне узлов и сервисов;
  • возможность гарантировать целостность данных путем ограждения неисправных узлов;
  • поддержка одного или нескольких узлов на кластер;
  • поддержка нескольких стандартов интерфейса ресурсов (все, что может быть написано сценарием, может быть кластеризовано);
  • независимость от подсистемы хранения — общий диск не требуется;
  • поддержка и кворумных и ресурсозависимых кластеров;
  • автоматически реплицируемая конфигурация, которую можно обновлять с любого узла;
  • возможность задания порядка запуска ресурсов, а также их совместимости на одном узле;
  • поддерживает расширенные типы ресурсов: клоны (когда ресурс запущен на множестве узлов) и дополнительные состояния (master/slave и подобное);
  • единые инструменты управления кластером с поддержкой сценариев.
Архитектура Pacemaker представляет собой три уровня:
  • кластеронезависимый уровень — на этом уровне располагаются ресурсы и их скрипты, которыми они управляются и локальный демон, который скрывает от других уровней различия в стандартах, использованных в скриптах;
  • менеджер ресурсов (Pacemaker) — реагирует на события, происходящие в кластере: отказ или присоединение узлов, ресурсов, переход узлов в сервисный режим и другие административные действия. Pacemaker, исходя из сложившейся ситуации, делает расчет наиболее оптимального состояния кластера и дает команды на выполнение действий для достижения этого состояния (остановка/перенос ресурсов или узлов);
  • информационный уровень (Corosync) — на этом уровне осуществляется сетевое взаимодействие узлов, т.е. передача сервисных команд (запуск/остановка ресурсов, узлов и т.д.), обмен информацией о полноте состава кластера (quorum) и т.д.
Узел (node) кластера представляет собой физический сервер или виртуальную машину с установленным Pacemaker. Узлы, предназначенные для предоставления одинаковых сервисов, должны иметь одинаковую конфигурацию.
Ресурсы, с точки зрения кластера, это все используемые сущности — сервисы, службы, точки монтирования, тома и разделы. При создании ресурса потребуется задать его класс, тип, провайдера и собственно имя с дополнительными параметрами. Ресурсы поддерживают множество дополнительных параметров: привязку к узлу (resource-stickiness), роли по умолчанию (started, stoped, master) и т.д. Есть возможности по созданию групп ресурсов, клонов (работающих на нескольких узлах) и т.п.
Связи определяют привязку ресурсов к узлу (location), порядок запуска ресурсов (ordering) и совместное их проживание на узле (colocation).
Ниже приведена инструкция по установке и настройке кластера в Альт Сервер.

54.1. Настройка узлов кластера

Для функционирования отказоустойчивого кластера необходимо, чтобы выполнялись следующие требования:
  • дата и время между узлами в кластере должны быть синхронизированы;
  • должно быть обеспечено разрешение имён узлов в кластере;
  • сетевые подключения должны быть стабильными;
  • у узлов кластера для организации изоляции узла (fencing) должны присутствовать функции управления питанием/перезагрузкой с помощью IPMI(ILO);
  • следующие порты могут использоваться различными компонентами кластеризации: TCP-порты 2224, 3121 и 21064 и UDP-порт 5405 и должны быть открыты/доступны.

Примечание

В примере используется следующая конфигурация:
  • node01 — первый узел кластера (IP 192.168.0.113/24);
  • node02 — второй узел кластера (IP 192.168.0.145/24);
  • node03 — третий узел кластера (IP 192.168.0.132/24);
  • 192.168.0.251 — виртуальный IP по которому будет отвечать один из узлов.
Дальнейшие действия следует выполнить на всех узлах кластера.

Примечание

Рекомендуется использовать короткие имена узлов. Для изменения имени хоста без перезагрузки, можно воспользоваться утилитой hostnamctl:
# hostnamectl set-hostname node01

54.1.1. Настройка разрешений имён узлов

Следует обеспечить взаимно-однозначное прямое и обратное преобразование имён для всех узлов кластера. Желательно использовать DNS, в крайнем случае, можно обойтись соответствующими записями в локальных файлах /etc/hosts на каждом узле:
# echo "192.168.0.113 node01" >> /etc/hosts 
# echo "192.168.0.145 node02" >> /etc/hosts 
# echo "192.168.0.132 node03" >> /etc/hosts 
Проверка правильности разрешения имён:
# ping node01
PING node01 (192.168.0.113) 56(84) bytes of data.
64 bytes from node01 (192.168.0.113): icmp_seq=1 ttl=64 time=0.352 ms
# ping node02
PING node02 (192.168.0.145) 56(84) bytes of data.
64 bytes from node02 (192.168.0.145): icmp_seq=1 ttl=64 time=0.635 ms

54.1.2. Настройка ssh-подключения между узлами

При настройке ssh-подключения для root по ключу необходимо убрать комментарии в файле /etc/openssh/sshd_config для строк:
PermitRootLogin without-password
PubkeyAuthentication yes
AuthorizedKeysFile  /etc/openssh/authorized_keys/%u /etc/openssh/authorized_keys2/%u .ssh/authorized_keys .ssh/authorized_keys2
PasswordAuthentication yes
Кроме того, полезно добавить в /etc/openssh/sshd_config директиву:
AllowGroups sshusers
создать группу sshusers:
# groupadd sshusers
и добавить туда пользователей, которым разрешено подключаться по ssh:
# gpasswd -a <username> sshusers

Примечание

После редактирования файла /etc/openssh/sshd_config следует перезапустить службу sshd:
# systemctl restart sshd
Создать новый ключ SSH без пароля (параметр -N):
# ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -N ""

Важно

Незащищенные ключи SSH (без пароля) не рекомендуются для серверов, открытых для внешнего мира.
Скопировать публичную часть SSH-ключа на другие узелы кластера:
# ssh-copy-id -i ~/.ssh/id_ed25519.pub user@node02
# ssh-copy-id -i ~/.ssh/id_ed25519.pub user@node03
В результате получаем возможность работы с домашними каталогами пользователя user удалённого узла — копировать к себе и от себя, удалять, редактировать и т.д.
Скопировать публичную часть SSH-ключа на все узлы кластера для администратора. Для этого подключиться к каждому узлу и под root скопировать публичную часть ключа:
# ssh user@node02
user@node02 $ su -
node02 # cat /home/user/.ssh/authorized_keys >> /root/.ssh/authorized_keys
node02 # exit
user@node02 $ exit

Важно

Каталог /root/.ssh при этом должен существовать.
Убедиться, что теперь можно запускать команды удалённо, без пароля:
# ssh node02 -- uname -n
node02

54.2. Установка кластерного ПО и создание кластера

Для управления кластером Pacemaker можно использовать утилиты pcs или crm (пакет crmsh).
Установить на всех узлах необходимые пакеты:
# apt-get install corosync resource-agents pacemaker pcs

Примечание

Данные пакеты не входят в состав ISO-образа дистрибутива, их можно установить из репозитория p10. О добавлении репозиториев с использованием графических приложений вы можете почитать в разделе Управление репозиториями.

Примечание

Пакет resource-agent — содержит агенты ресурсов (набор скриптов) кластера, соответствующие спецификации Open Cluster Framework (OCF), используемые для взаимодействия с различными службами в среде высокой доступности, управляемой менеджером ресурсов Pacemaker. Если есть необходимость управлять дополнительными ресурсами, следует установить недостающий пакет resource-agents-*:
$ apt-cache search resource-agents*
Пакет pcs (pacemaker/corosync configuration system) — утилита для управления, настройки и мониторинга кластера. Управляется как через командную строку, так и через веб-интерфейс.
При установке Pacemaker автоматически будет создан пользователь hacluster. Для использования pcs, а также для доступа в веб-интерфейс нужно задать пароль пользователю hacluster (одинаковый на всех узлах):
# passwd hacluster
Запустить и добавить в автозагрузку службу pcsd:
# systemctl enable --now pcsd
Настроить аутентификацию (на одном узле):
# pcs host auth node01 node02 node03 -u hacluster
Password:
node02: Authorized
node01: Authorized
node03: Authorized
После этого кластером можно управлять с одного узла.
Создать кластер:
# pcs cluster setup newcluster node01 node02 node03
Destroying cluster on hosts: 'node01', 'node02', 'node03'...
node03: Successfully destroyed cluster
node01: Successfully destroyed cluster
node02: Successfully destroyed cluster
Requesting remove 'pcsd settings' from 'node01', 'node02', 'node03'
node01: successful removal of the file 'pcsd settings'
node03: successful removal of the file 'pcsd settings'
node02: successful removal of the file 'pcsd settings'
Sending 'corosync authkey', 'pacemaker authkey' to 'node01', 'node02', 'node03'
node01: successful distribution of the file 'corosync authkey'
node01: successful distribution of the file 'pacemaker authkey'
node03: successful distribution of the file 'corosync authkey'
node03: successful distribution of the file 'pacemaker authkey'
node02: successful distribution of the file 'corosync authkey'
node02: successful distribution of the file 'pacemaker authkey'
Sending 'corosync.conf' to 'node01', 'node02', 'node03'
node01: successful distribution of the file 'corosync.conf'
node02: successful distribution of the file 'corosync.conf'
node03: successful distribution of the file 'corosync.conf'
Cluster has been successfully set up.
Запустить кластер:
# pcs cluster start --all
node02: Starting Cluster...
node03: Starting Cluster...
node01: Starting Cluster...
Настройка автоматического включения кластера при загрузке:
# pcs cluster enable --all
node01: Cluster Enabled
node02: Cluster Enabled
node03: Cluster Enabled
Проверка состояния кластера:
# pcs status cluster
Cluster Status:
 Status of pacemakerd: 'Pacemaker is running' (last updated 2023-09-27 16:59:12 +02:00)
 Cluster Summary:
   * Stack: corosync
   * Current DC: node01 (version 2.1.5-alt1-a3f44794f) - partition with quorum
   * Last updated: Wed Sep 27 16:59:13 2023
   * Last change:  Wed Sep 27 16:59:09 2023 by hacluster via crmd on node01
   * 3 nodes configured
   * 0 resource instances configured
 Node List:
   * Online: [ node01 node02 node03 ]

PCSD Status:
  node02: Online
  node01: Online
  node03: Online
Проверка синхронизации узлов кластера:
# corosync-cmapctl | grep members
runtime.members.1.config_version (u64) = 0
runtime.members.1.ip (str) = r(0) ip(192.168.0.113)
runtime.members.1.join_count (u32) = 1
runtime.members.1.status (str) = joined
runtime.members.2.config_version (u64) = 0
runtime.members.2.ip (str) = r(0) ip(192.168.0.145)
runtime.members.2.join_count (u32) = 1
runtime.members.2.status (str) = joined
runtime.members.3.config_version (u64) = 0
runtime.members.3.ip (str) = r(0) ip(192.168.0.132)
runtime.members.3.join_count (u32) = 1
runtime.members.3.status (str) = joined

54.3. Настройка параметров кластера

Настройки кластера можно просмотреть, выполнив команду:
# pcs property
Cluster Properties:
 cluster-infrastructure: corosync
 cluster-name: newcluster
 dc-version: 2.1.5-alt1-a3f44794f
 have-watchdog: false

54.3.1. Кворум

Кворум определяет минимальное число работающих узлов в кластере, при котором кластер считается работоспособным. По умолчанию, кворум считается неработоспособным, если число работающих узлов меньше половины от общего числа узлов.
Кластер, состоящий из двух узлов, будет иметь кворум только тогда, когда оба узла работают. По умолчанию, если нет кворума, Pacemaker останавливает ресурсы. Чтобы этого избежать, можно при настройке Pacemaker указать, чтобы наличие или отсутствие кворума не учитывалось:
# pcs property set no-quorum-policy=ignore

54.3.2. Настройка STONITH

Для корректной работы узлов с общим хранилищем, необходимо настроить механизм STONITH. Этот механизм позволяет кластеру физически отключить не отвечающий на запросы узел, чтобы не повредить данные на общем хранилище.
Пока STONITH не настроен, его можно отключить, выполнив команду:
# pcs property set stonith-enabled=false

Важно

В реальной системе нельзя использовать конфигурацию с отключенным STONITH. Отключенный параметр на самом деле не отключает функцию, а только лишь эмулирует ее срабатывание при определенных обстоятельствах.

54.4. Настройка ресурсов

Настроим ресурс, который будет управлять виртуальным IP-адресом. Этот адрес будет мигрировать между узлами, предоставляя одну точку входа к ресурсам, заставляя работать несколько узлов как одно целое устройство для сервисов.
Команда создания ресурса виртуального IP-адреса с именем ClusterIP с использованием алгоритма ресурсов ocf (каждые 20 секунд производить мониторинг работы, в случае выхода из строя узла необходимо виртуальный IP переключить на другой узел):
# pcs resource create ClusterIP ocf:heartbeat:IPaddr2 ip=192.168.0.251 cidr_netmask=24 op monitor interval=20s
Список доступных стандартов ресурсов:
# pcs resource standards
lsb
ocf
service
systemd
Список доступных поставщиков сценариев ресурсов OCF:
# pcs resource providers
heartbeat
pacemaker
redhat
Список всех агентов ресурсов, доступных для определённого поставщика OCF:
# pcs resource agents ocf:heartbeat
aliyun-vpc-move-ip
anything
AoEtarget
apache
asterisk
…
Xinetd
zabbixserver
ZFS
Статус кластера с добавленным ресурсом:
# pcs status
Cluster name: newcluster
Status of pacemakerd: 'Pacemaker is running' (last updated 2023-09-27 17:14:58 +02:00)
Cluster Summary:
  * Stack: corosync
  * Current DC: node01 (version 2.1.5-alt1-a3f44794f) - partition with quorum
  * Last updated: Wed Sep 27 17:14:58 2023
  * Last change:  Wed Sep 27 17:14:46 2023 by root via cibadmin on node01
  * 3 nodes configured
  * 1 resource instance configured

Node List:
  * Online: [ node01 node02 node03 ]

Full List of Resources:
  * ClusterIP	(ocf:heartbeat:IPaddr2):	 Started node01

Daemon Status:
  corosync: active/enabled
  pacemaker: active/enabled
  pcsd: active/enabled
Если остановить кластер на узле node01:
# pcs cluster stop node01
node01: Stopping Cluster (pacemaker)...
node01: Stopping Cluster (corosync)...
ClusterIP начнёт работать на node02 (переключение произойдёт автоматически). Проверка статуса на узле node02:
# pcs status
Cluster name: newcluster
Status of pacemakerd: 'Pacemaker is running' (last updated 2023-09-27 17:16:30 +02:00)
Cluster Summary:
  * Stack: corosync
  * Current DC: node02 (version 2.1.5-alt1-a3f44794f) - partition with quorum
  * Last updated: Wed Sep 27 17:16:30 2023
  * Last change:  Wed Sep 27 17:14:46 2023 by root via cibadmin on node01
  * 3 nodes configured
  * 1 resource instance configured

Node List:
  * Online: [ node02 node03 ]
  * OFFLINE: [ node01 ]

Full List of Resources:
  * ClusterIP	(ocf:heartbeat:IPaddr2):	 Started node02

Daemon Status:
  corosync: active/enabled
  pacemaker: active/enabled
  pcsd: active/enabled

Глава 55. OpenUDS

OpenUDS это многоплатформенный брокер подключений для создания и управления виртуальными рабочими местами и приложениями.
Основные компоненты решения VDI на базе OpenUDS:
  • OpenUDS Server (openuds-server) — брокер подключений пользователей, а так же интерфейс администратора для настройки;
  • SQL Server. Для работы django-приложения, которым является openuds-server, необходим SQL сервер, например, mysql или mariadb. SQL Server может быть установлен как на отдельном сервере, так и совместно с openuds-server;
  • Платформа для запуска клиентских окружений и приложений. OpenUDS совместима со множеством систем виртуализации: PVE, OpenNebula, oVirt, OpenStack. Так же возможно использование с отдельным сервером без виртуализации (аналог терминального решения);
  • OpenUDS Client (openuds-client) — клиентское приложение для подключения к брокеру соединений и дальнейшего получения доступа к виртуальному рабочему окружению;
  • OpenUDS Tunnel (openuds-tunnel) — решение для туннелирования обращений от клиента к виртуальному рабочему окружению. OpenUDS Tunnel предназначен для предоставления доступа из недоверенных сегментов сети, например, из сети Интернет. Устанавливается на отдельный сервер;
  • OpenUDS Actor (openuds-actor) — ПО для гостевых виртуальных машин, реализует связку виртуальной машины и брокера соединений.

Таблица 55.1. Системные требования

Компонент
ОЗУ
ЦП
Диск
OpenUDS Server
2 ГБ
2 vCPUs
8 ГБ
SQL Server
1 ГБ
2 vCPUs
10 ГБ
OpenUDS Tunnel
2 ГБ
2 vCPUs
13 ГБ

Примечание

Если сервер с базой данных установлен на той же машине, где и OpenUDS Server, требуемое количество памяти нужно просуммировать.

55.1. Установка

55.1.1. Установка MySQL (MariaDB)

Установить MySQL (MariaDB):
# apt-get install mariadb
Запустить сервер mariadb и добавить его в автозагрузку:
# systemctl enable --now mariadb.service
Задать пароль root для mysql и настройки безопасности:
# mysql_secure_installation
Создать базу данных dbuds, пользователя базы данных dbuds с паролем password и предоставить ему привилегии в базе данных dbuds:
$ mysql -u root -p
Enter password:

MariaDB> CREATE DATABASE dbuds CHARACTER SET utf8 COLLATE utf8_general_ci;
MariaDB> CREATE USER 'dbuds'@'%' IDENTIFIED BY 'password';
MariaDB> GRANT ALL PRIVILEGES ON dbuds.* TO 'dbuds'@'%';
MariaDB> FLUSH PRIVILEGES;
MariaDB> exit;

55.1.2. Установка OpenUDS Server

OpenUDS Server можно установить при установке системы, выбрав для установки пункт Сервер виртуальных рабочих столов OpenUDS (подробнее описано в главе Установка системы).
Установка OpenUDS Server при установке системы
При этом будут установлены:
  • openuds-server — django приложение;
  • gunicorn — сервер приложений (обеспечивает запуск django как стандартного WSGI приложения);
  • nginx — http-сервер, используется в качестве reverse-proxy для доступа к django приложению, запущенному с помощью gunicorn.

Примечание

В уже установленной системе можно установить пакет openuds-server-nginx:
# apt-get install openuds-server-nginx
Настройка OpenUDS Server:
  • отредактировать файл /etc/openuds/settings.py, указав корректные данные для подключения к SQL серверу:
    DATABASES = {
        'default': {
            'ENGINE': 'django.db.backends.mysql',
            'OPTIONS': {
                'isolation_level': 'read committed',
            },
            'NAME': 'dbuds',
            'USER': 'dbuds',
            'PASSWORD': 'password',
            'HOST': 'localhost',
            'PORT': '3306',
        }
    }
    
  • заполнить базу данных начальными данными:
    # su -s /bin/bash - openuds
    $ cd /usr/share/openuds
    $ python3 manage.py migrate
    $ exit
    
  • запустить gunicorn:
    # systemctl enable --now openuds-web.service
    
  • запустить nginx:
    # ln -s ../sites-available.d/openuds.conf /etc/nginx/sites-enabled.d/openuds.conf
    # systemctl enable --now nginx.service
    
  • запустить менеджер задач OpenUDS:
    # systemctl enable --now openuds-taskmanager.service
    

Важно

Перед запуском nginx, необходимо остановить, если она запущена, службу apache2:
# systemctl disable --now httpd2
Веб-интерфейс OpenUDS будет доступен по адресу https://адрес-сервера/:
Форма входа в интерфейс OpenUDS

Примечание

Имя/пароль по умолчанию: root/udsmam0

Примечание

Для получения доступа к панели администрирования OpenUDS, следует в меню пользователя выбрать пункт Панель управления:
OpenUDS. Меню пользователя

55.1.3. OpenUDS Tunnel

55.1.3.1. Установка OpenUDS Tunnel

Установка OpenUDS Tunnel должна выполняться на отдельной от OpenUDS Server системе.
OpenUDS Tunnel можно установить при установке системы, выбрав для установки пункт Сервер туннелирования виртуальных рабочих столов OpenUDS (подробнее описано в главе Установка системы).
Установка OpenUDS Tunnel при установке системы

Примечание

В уже установленной системе можно установить пакет openuds-tunnel:
# apt-get install openuds-tunnel

Примечание

При установке openuds-tunnel в /etc/openuds-tunnel/ssl генерируются сертификаты. Их можно заменить на свои, выпущенные внутри организации или Удостоверяющим Центром.

55.1.3.2. Настройка OpenUDS Tunnel

На OpenUDS Tunnel:
  • указать адрес сервера OpenUDS (брокера) в файле /etc/openuds-tunnel/udstunnel.conf :
    uds_server = http://192.168.0.53/uds/rest/tunnel/ticket
    uds_token = 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
    
    где 192.168.0.53 — адрес OpenUDS сервера (брокера);
  • запустить и добавить в автозагрузку сервис OpenUDS Tunnel:
    # systemctl enable --now openuds-tunnel.service
    
На сервере OpenUDS зарегистрировать туннельный сервер, выполнив команду:
# openuds_tunnel_register.py -H 192.168.0.88 -n Tunnel -t 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
Tunnel token register success. (With token: 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b)
где:
  • -H — задаёт IP-адрес туннельного сервера;
  • -n — задаёт название туннеля;
  • -t — позволяет указать токен туннельного сервера (из файла udstunnel.conf).
При создании туннельного транспорта, на вкладке Туннель указать IP-адрес и порт туннельного-сервера: 192.168.0.88:7777

55.1.3.3. Настройка HTML5

На OpenUDS Tunnel:
  1. В файле /etc/guacamole/guacamole.properties привести значение параметра uds-base-url к виду:
    http://<IP openuds сервера>/uds/guacamole/auth/<Токен из файла udstunnel.conf>/
    
    Например:
    uds-base-url=http://192.168.0.53/uds/guacamole/auth/5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
    
  2. Настроить tomcat:
    • для подключения по http: так как tomcat по умолчанию работает на порту 8080, то перед запуском tomcat необходимо, либо остановить службу ahttpd:
      # systemctl disable --now ahttpd
      
      либо изменить в файле /etc/tomcat/server.xml порт 8080 на другой допустимый номер порта, например, 8081:
      <Connector port="8081" protocol="HTTP/1.1"
                     connectionTimeout="20000"
                     redirectPort="8443" />
      
    • для подключения по https: в файл /etc/tomcat/server.xml добавить новый Connector, в котором указать порт (в примере 10443), сертификат (файл .crt, .pem и т.д.), закрытый ключ (.key, .pem и т.д.):
      <Connector port="10443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
                    ciphers="A-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,
      ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,
      ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,
      DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-GCM-SHA384,
      ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,
      ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-SHA384,
      ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES256-SHA384,
      ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-AES256-SHA,
      DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,
      DHE-RSA-AES256-SHA256,DHE-RSA-AES256-SHA,
      ECDHE-ECDSA-DES-CBC3-SHA,ECDHE-RSA-DES-CBC3-SHA,
      EDH-RSA-DES-CBC3-SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,
      AES128-SHA256,AES256-SHA256,AES128-SHA,AES256-SHA,DES-CBC3-SHA"
                    maxThreads="500" scheme="https" secure="true"
                    SSLCertificateFile="/etc/openuds-tunnel/ssl/certs/openuds-tunnel.pem"
                    SSLCertificateKeyFile="/etc/openuds-tunnel/ssl/private/openuds-tunnel.key"
                    maxKeepAliveRequests="1000"
                    clientAuth="false" sslProtocol="TLSv1+TLSv1.1+TLSv1.2" />
      
  3. Запустить сервисы guacd и tomcat:
    # systemctl enable --now guacd tomcat
    
На сервере OpenUDS при создании нового туннельного транспорта HTML5RDP на вкладке Туннель указать IP-адрес и порт туннельного-сервера:
  • http://192.168.0.88:8080 — для подключения по http;
  • https://192.168.0.88:10443 — для подключения по https.

55.2. Обновление OpenUDS

После обновления openuds-server до новой версии необходимо выполнить следующие действия:
  1. Перенести изменения, если они есть, из нового конфигурационного файла /etc/openuds/settings.py.rpmnew в файл /etc/openuds/settings.py. Проверить, что изменилось можно, выполнив команду:
    # diff -u --color /etc/openuds/settings.py /etc/openuds/settings.py.rpmnew
    
  2. Выполнить миграцию базы данных:
    # su -s /bin/bash - openuds -c "cd /usr/share/openuds; python3 manage.py migrate"
    
  3. Перезагрузить систему, так как при обновлении не создаётся файл /run/openuds/socket.

55.3. Настройка OpenUDS

55.3.1. Поставщики услуг

В разделе Поставщики услуг подключить один из поставщиков («Service providers»):
  • Поставщик платформы Proxmox;
  • Поставщик платформы OpenNebula;
  • Отдельный сервер без виртуализации: Поставщик машин статических IP.
OpenUDS. Поставщики услуг

55.3.1.1. OpenNebula

Минимальные параметры для настройки Поставщик платформы OpenNebula:
  • Вкладка Основной:
    • Имя — название поставщика;
    • Хост —  IP-адрес сервера OpenNebula;
    • Порт — порт подключения;
    • Имя пользователя — имя пользователя OpenNebula (с правами администратора);
    • Пароль — пароль пользователя.
    OpenUDS. Подключение системы виртуализации OpenNebula
  • Вкладка Расширенный:
    • Одновременное создание — максимальное количество одновременно создаваемых ВМ;
    • Одновременное удаление — максимальное количество одновременно удаляемых ВМ;
    • Таймаут — таймаут подключения к OpenNebula в секундах.
    OpenUDS. Подключение системы виртуализации OpenNebula
Используя кнопку Проверить, можно убедиться, что соединение установлено правильно.
После интеграции платформы OpenNebula в OpenUDS необходимо создать базовую службу типа Действующие образы OpenNebula. Для этого дважды щелкнуть мышью по строке созданного поставщика услуг или в контекстном меню поставщика выбрать пункт Подробность:
OpenUDS. Контекстное меню Service providers

Примечание

Выбрав пункт Обслуживание, можно приостановить все операции, выполняемые сервером OpenUDS для данного поставщика услуг. Поставщик услуг рекомендуется переводить в режим обслуживания в случаях, когда связь с этим поставщиком была потеряна или запланирован перерыв в обслуживании.
В открывшемся окне, на вкладке Поставщики услуг нажать кнопку НовыйДействующие образы OpenNebula:
OpenUDS. Создание новой службы
Заполнить минимальные параметры конфигурации:
  • Вкладка Основной:
    • Имя — название службы;
    • Хранилище — место, где будут храниться сгенерированные виртуальные рабочие столы.
    OpenUDS. Создание службы типа «Действующие образы OpenNebula»
  • Вкладка Машина:
    • Базовый шаблон — шаблон ВМ, используемый системой OpenUDS для развёртывания виртуальных рабочих столов (см. Подготовка шаблона виртуальной машины);
    • Имена машин — базовое название для клонов с этой машины (например, Desk-work-);
    • Длина имени — количество цифр счетчика, прикрепленного к базовому имени рабочих столов (например, если Длина имени = 3, названия сгенерированных рабочих столов будут: Desk-work-000, Desk-work-001 ... Desk-work-999).
    OpenUDS. Создание службы типа «Действующие образы OpenNebula»

55.3.1.2. PVE

Минимальные параметры для настройки Поставщик платформы Proxmox:
  • Вкладка Основной:
    • Имя — название поставщика;
    • Хост —  IP-адрес/имя сервера или кластера;
    • Порт — порт подключения;
    • Имя пользователя — имя пользователя с достаточными привилегиями в PVE (в формате пользователь@аутентификатор);
    • Пароль — пароль пользователя.
    OpenUDS. Подключение системы виртуализации PVE
  • Вкладка Расширенный:
    • Одновременное создание — максимальное количество одновременно создаваемых ВМ;
    • Одновременное удаление — максимальное количество одновременно удаляемых ВМ;
    • Таймаут — таймаут подключения к PVE в секундах;
    • Начальный VmId — идентификатор ВМ, с которым OpenUDS начнет генерировать ВМ на PVE (>=10000);
    • Диапазон MAC-адресов — диапазон MAC-адресов, которые будут использоваться рабочими столами.
    OpenUDS. Подключение системы виртуализации PVE
Используя кнопку Проверить, можно убедиться, что соединение установлено правильно.
После интеграции платформы PVE в OpenUDS необходимо создать базовую службу типа Связанный клон Proxmox. Для этого дважды щелкнуть мышью по строке созданного поставщика услуг или в контекстном меню поставщика выбрать пункт Подробность:
OpenUDS. Контекстное меню поставщика услуг

Примечание

Выбрав пункт Обслуживание, можно приостановить все операции, выполняемые сервером OpenUDS для данного поставщика услуг. Поставщик услуг рекомендуется переводить в режим обслуживания в случаях, когда связь с этим поставщиком была потеряна или запланирован перерыв в обслуживании.
В открывшемся окне, на вкладке Поставщики услуг нажать кнопку НовыйСвязанный клон Proxmox:
OpenUDS. Создание новой услуги «Связанный клон Proxmox»
Заполнить минимальные параметры конфигурации:
  • Вкладка Основной:
    • Имя — название службы;
    • Пул — пул, в котором будут находиться ВМ, созданные OpenUDS;
    • Высокая доступность — включать созданные ВМ в группу HA PVE;
    • Сначала попробовать SOFT Shutdown — если активно, OpenUDS попытается, перед уничтожением автоматически сгенерированного виртуального рабочего стола, выполнить контролируемое отключение машины.
    OpenUDS. Создание службы типа «Связанный клон Proxmox»
  • Вкладка Машина:
    • Базовая машина — шаблон ВМ, используемый системой OpenUDS для развёртывания виртуальных рабочих столов (см. Подготовка шаблона виртуальной машины);
    • Хранилище — место, где будут храниться сгенерированные виртуальные рабочие столы (поддерживаются хранилища, позволяющие создавать «Снимки»);
    • Имена машин — базовое название для клонов с этой машины (например, Desk-SL-);
    • Длина имени — количество цифр счетчика, прикрепленного к базовому имени рабочих столов (например, если Длина имени = 3, названия сгенерированных рабочих столов будут: Desk-SL-000, Desk-SL-001 ... Desk-SL-999).
    OpenUDS. Создание службы типа «Связанный клон Proxmox»
После того, как среда OpenUDS будет настроена и будет создан первый «пул услуг», в среде PVE можно будет наблюдать, как разворачиваются рабочие столы. Сначала будет создан шаблон («UDS-Publication-pool_name-publishing-number») — клон ВМ, выбранной при регистрации службы. После завершения процесса создания клона будут созданы рабочие столы («Machine_Name-Name_Length»):
PVE. Созданные шаблоны и рабочие столы

55.3.1.3. Удалённый доступ к отдельному серверу

В OpenUDS есть возможность предоставить доступ к постоянным устройствам (физическим или виртуальным). Доступ к отдельному серверу осуществляется путем назначения IP-адресов пользователям.
Для регистрации поставщика данного типа следует в разделе Поставщики услуг нажать кнопку Новый и выбрать пункт Поставщик машин статических IP.
Для настройки Поставщика машин статических IP достаточно задать название поставщика:
OpenUDS. Поставщик машин статических IP
Для создания базовых услуг Поставщика машин статических IP следует дважды щелкнуть мышью по строке созданного поставщика или в контекстном меню поставщика выбрать пункт Подробность:
OpenUDS. Контекстное меню поставщика услуг
OpenUDS позволяет создавать два типа услуг Поставщика машин статических IP:
  • Статический множественный IP-адрес — используется для подключения одного пользователя к одному компьютеру. Поддерживается неограниченное количество IP-адресов (можно включить в список все устройства, которые должны быть доступны удалённо). По умолчанию система будет предоставлять доступ к устройствам в порядке очереди (первый пользователь получивший доступ к этому пулу, получает доступ к машине с первым IP-адресом из списка). Можно также настроить выборочное распределение, чтобы определённому пользователю назначался определенный компьютер (IP-адрес).

    Примечание

    Для настройки привязки конкретного пользователя к конкретному IP необходимо в разделе Пулы услуг (см. раздел Пулы услуг) для созданной услуги на вкладке Назначенные сервисы нажать кнопку Назначить услугу и задать привязку пользователя устройству:
    OpenUDS. Привязка пользователю устройству
  • Статический одиночный IP-адрес — используется для подключения нескольких пользователей к одному компьютеру. При обращении каждого нового пользователя будет запускаться новый сеанс.
Для создания новой услуги типа Поставщик машин статических IP, на вкладке Поставщики услуг следует нажать кнопку НовыйСтатический множественный IP-адрес или НовыйСтатический одиночный IP-адрес:
OpenUDS. Создание новой услуги Статический IP-адрес
Параметры конфигурации для услуги Статический множественный IP-адрес:
  • Вкладка Основной:
    • Имя — название службы;
    • Список серверов — один или несколько IP-адресов машин, к которым будет осуществляться доступ (машины должны быть включены и настроены см. Подготовка шаблона виртуальной машины);
    • Ключ услуги — токен, который будет использоваться клиентами для связи с сервисом. Если в этом поле не указан токен (пусто), система не будет контролировать сеансы пользователей на компьютерах. Таким образом, когда компьютер назначается пользователю, это назначение будет сохраняться до тех пор, пока администратор не удалит его вручную. При наличии токена сеансы пользователей будут контролироваться (при выходе из сеанса, компьютеры снова становятся доступными для доступа других пользователей). Если токен указан, необходимо, чтобы на компьютерах (IP-адрес, которых указан в поле Список серверов) был установлен Unmanaged UDS Actor.
    OpenUDS. Создание службы «Статический множественный IP-адрес»
  • Вкладка Расширенный:
    • Проверьте порт — порт, по которому система может проверить, доступен ли компьютер. Если компьютер не доступен, система автоматически предоставит следующее устройство в списке. 0 — не проверять доступность компьютера;
    • Пропустить время — период, в течение которого не будет проверяться доступность недоступной машины;
    • Максимальное количество сеансов на машину —  максимальная продолжительность сеанса (в часах), прежде чем OpenUDS решит, что эта машина заблокирована и освободит её (0 означает «никогда»).
    OpenUDS. Создание службы «Статический множественный IP-адрес»

Примечание

Назначение IP-адресов будет осуществляться в порядке доступа, то есть первому пользователю, который обращается к службе, будет назначен первый IP-адрес в списке. IP-адрес будет привязан пользователю, даже после выхода пользователя из системы (пока администратор не удалит привязку вручную).
Просмотреть/изменить привязанные сеансы можно в разделе Пулы услуг (см. раздел Пулы услуг) на вкладке Назначенные сервисы:
OpenUDS. Привязанные сервисы службы «Static Multiple IP»
Параметры конфигурации для услуги Статический одиночный IP-адрес:
OpenUDS. Создание службы типа «Статический одиночный IP-адрес»

55.3.2. Настройка аутентификации пользователей

Аутентификатор проверяет подлинность пользователей и предоставляет пользователям и группам пользователей разрешения на подключение к различным виртуальным рабочим столам.
Аутентификатор не является обязательным компонентом для создания «пула услуг», но если не создан хотя бы один аутентификатор, не будет пользователей, которые смогут подключаться к службам на платформе OpenUDS.

Примечание

Если в системе зарегистрировано более одного аутентификатора, и они не отключены, на экран входа будет добавлено поле Аутентификатор с раскрывающимся списком. В этом списке можно выбрать аутентификатор, который система будет использовать для проверки пользователя:
OpenUDS. Выбор типа аутентификации пользователей
При создании любого аутентификатора заполняется поле Метка. Пользователь может пройти проверку подлинности с помощью указанного аутентификатора, даже если в среде OpenUDS настроено несколько аутентификаторов. Для этого нужно получить доступ к экрану входа OpenUDS в формате: OpenUDS-server/uds/page/login/метка (например, https://192.168.0.53/uds/page/login/AD).
Для настройки аутентификации в разделе Аутентификаторы (Autentificators) необходимо выбрать тип аутентификации пользователей. Можно выбрать как внешние источники (Active Directory, OpenLDAP и т.д.), так и внутренние (внутренняя база данных, IP-аутентификация):
OpenUDS. Выбор типа аутентификации пользователей

55.3.2.1. Внутренняя БД

При аутентификации Внутренняя БД данные пользователей и групп хранятся в базе данных, к которой подключен сервер OpenUDS.
Для создания аутентификации типа Внутренняя БД в разделе Аутентификаторы следует нажать кнопку: НовыйВнутренняя БД.
Минимальные параметры конфигурации (вкладка Основной): имя аутентификатора, приоритет и метка.
OpenUDS. Внутренняя база данных
После того, как аутентификатор типа Внутренняя БД создан, нужно зарегистрировать пользователей и группы пользователей. Для этого следует выбрать созданный аутентификатор, затем во вкладке Группы создать группы пользователей, во вкладке Пользователи создать пользователей.
OpenUDS. Внутренняя база данных — пользователи

55.3.2.2. Аутентификатор Regex LDAP

Этот аутентификатор позволяет пользователям и группам пользователей, принадлежащих практически любому аутентификатору на основе LDAP, получать доступ к виртуальным рабочим столам и приложениям.

Важно

На сервере LDAP должна быть настроена отдельная учётная запись с правами чтения LDAP. От данной учетной записи будет выполняться подключение к серверу каталогов.
55.3.2.2.1. FreeIPA
Настройка интеграции с FreeIPA (сервер ipa.example.test):
  1. В разделе Аутентификаторы нажать кнопку: НовыйАутентификатор Regex LDAP.
  2. Заполнить поля первых трёх вкладок.
    Вкладка Основной: имя аутентификатора, приоритет, метка, IP-адрес FreeIPA-сервера, порт (обычно 389 без ssl, 636 с ssl):
    OpenUDS. Интеграция с FreeIPA
    Вкладка Учётные данные: имя пользователя (в формате uid=user_freeipa,cn=users,cn=accounts,dc=example,dc=test) и пароль:
    OpenUDS. Интеграция с FreeIPA — учетные данные пользователя
    Вкладка LDAP информация: общая база пользователей, класс пользователей LDAP, идентификатор атрибута пользователя, атрибут имени пользователя, атрибут имени группы:
    OpenUDS. Интеграция с FreeIPA — LDAP информация

    Примечание

    Используя кнопку Проверить, можно проверить соединение с FreeIPA-сервером.
  3. Добавить группу LDAP, в которую входят пользователи. Для этого следует выбрать созданный аутентификатор, затем в открывшемся окне на вкладке Группы нажать НовыйГруппа.
    Заполнить dn существующей группы (для FreeIPA по умолчанию это группа cn=ipausers,cn=groups,cn=accounts,dc=ipa,dc=example,dc=test), можно также указать разрешённые пулы:
    OpenUDS. Интеграция с FreeIPA — добавление группы LDAP
55.3.2.2.2. Active Directory
Настройка аутентификации в Active Directory (домен test.alt):
  1. В разделе Аутентификаторы нажать кнопку: НовыйАутентификатор Regex LDAP.
  2. Заполнить поля первых трёх вкладок.
    Вкладка Основной: имя аутентификатора, приоритет, метка, IP-адрес сервера AD, порт (обычно 389 без ssl, 636 с ssl):
    OpenUDS. Интеграция с Active Directory
    Вкладка Учётные данные: имя пользователя (можно указать в виде имя@домен) и пароль:
    OpenUDS. Интеграция с Active Directory — учетные данные пользователя
    Вкладка LDAP информация: общая база пользователей, класс пользователей LDAP, идентификатор атрибута пользователя, атрибут имени пользователя, атрибут имени группы:
    OpenUDS. Интеграция с Active Directory — LDAP информация

    Примечание

    Если в поле Идентификатор атрибута пользователя указано userPrincipalName, то пользователь при входе должен указать логин в формате имя_пользователя@домен, если указано sAMAccountName, то в качестве логина используется имя_пользователя без указания домена.

    Примечание

    Используя кнопку Проверить, можно проверить соединение с Active Directory.
  3. Добавить группу LDAP, в которую входят пользователи. Для этого следует выбрать созданный аутентификатор, затем в открывшемся окне на вкладке Группы нажать НовыйГруппа.
    Заполнить dn существующей группы (например, cn=UDS,cn=Users,dc=test,dc=alt), можно также указать разрешённые пулы:
    OpenUDS. Интеграция с Active Directory — добавление группы LDAP

Примечание

На вкладке Пользователи аутентификатора пользователи будут добавляться автоматически после первого входа в систему OpenUDS (пользователи должны входить в группы, указанные в аутентификаторе на вкладке Группа):
OpenUDS. Интеграция с Active Directory — пользователи LDAP
Пользователя, чтобы назначить ему специальные права перед первым подключением, можно зарегистрировать вручную. Для этого на вкладке Пользователи необходимо нажать кнопку Новый и указать имя пользователя, его статус (включен или отключен) и уровень доступа (поле Роль). Не рекомендуется заполнять поле Группы, так как система должна автоматически добавить пользователя в группу участников:
OpenUDS. Интеграция с AD — регистрация пользователя вручную

55.3.2.3. IP аутентификатор

Этот тип аутентификации обеспечивает доступ клиентов к рабочим столам и виртуальным приложениям по IP-адресу.
Для создания аутентификации типа IP аутентификатор в разделе Аутентификаторы следует нажать кнопку: НовыйIP аутентификатор.
Минимальные параметры конфигурации (вкладка Основной): имя аутентификатора, приоритет и метка.
OpenUDS. IP аутентификатор
После того, как аутентификатор типа «IP аутентификатор» создан, следует создать группы пользователей. Группа может представлять собой диапазон IP-адресов (192.168.0.1-192.168.0.55), подсеть (192.168.0.0/24) или отдельные IP-адреса (192.168.0.33,192.168.0.110):
OpenUDS. IP аутентификатор — создание группы пользователей

55.3.3. Настройка менеджера ОС

OpenUDS Actor, размещенный на виртуальном рабочем столе, отвечает за взаимодействие между ОС и OpenUDS Server на основе конфигурации или выбранного типа Менеджера ОС.

Примечание

Для каждой службы, развернутой в OpenUDS, потребуется Менеджер ОС, за исключением случаев, когда используется Поставщик машин статических IP.
OpenUDS. Настройка Менеджеров ОС
Менеджер ОС запускает ранее настроенные службы:
  • Linux OS Active Directory Manager используется для виртуальных рабочих столов на базе Linux, которые являются членами домена AD;
  • Linux OS FreeIPA Manager используется для виртуальных рабочих столов на базе Linux, которые являются членами домена FreeIPA;
  • Linux ОС менеджер используется для виртуальных рабочих столов на базе Linux, которые не являются частью домена. Он выполняет задачи переименования и управления сеансами виртуальных рабочих столов;
  • Windows Basic ОС менеджер используется для виртуальных рабочих столов на базе Windows, которые не являются частью домена AD;
  • Windows Domain ОС менеджер используется для виртуальных рабочих столов на базе Windows, которые являются членами домена AD.

55.3.3.1. Linux ОС менеджер/Windows Basic ОС менеджер

Минимальные настройки для Linux ОС менеджер и Windows Basic ОС менеджер:
  • вкладка Основной:
    • Имя — название менеджера;
    • Действие при выходе из системы — действие, которое OpenUDS будет выполнять на виртуальном рабочем столе при закрытии сеанса пользователя. Держать сервис привязанным — постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается заново, при повторном входе пользователю будет назначен тот же рабочий стол. Удалить сервис — непостоянный пул, при выходе пользователя из системы, ВМ удаляется и создается заново. Держать сервис привязанным даже в новой публикации — сохранение назначенной службы даже при создании новой публикации;
    • Максимальное время простоя — время простоя виртуального рабочего стола (в секундах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрицательные значения и значения менее 300 секунд отключают эту опцию.
    OpenUDS. Настройка «OS Manager»
  • вкладка Расширенный:
    • Выход по календарю — если этот параметр установлен, OpenUDS попытается завершить сессию пользователя, когда для текущего соединения истечет время доступа (если параметр не установлен, пользователю будет разрешено продолжить работу).

55.3.3.2. Linux OS Active Directory Manager

Примечание

Для возможности ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory.
Минимальные настройки для Linux OS Active Directory Manager:
  • вкладка Основной:
    • Имя — название менеджера;
    • Домен — домен, к которому будут присоединены виртуальные рабочие столы. Необходимо использовать формат FQDN (например, test.alt);
    • Аккаунт — пользователь с правами на добавление машин в домен;
    • Пароль — пароль пользователя указанного в поле Аккаунт;
    • OU — организационная единица, в которую будут добавлены виртуальные хосты (если не указано, хосты будут зарегистрированы в подразделении по умолчанию — Computers). Формат поддерживаемых OU: OU = name_OU_last_level, … OU = name_OU_first_level, DC = name_domain, DC = extension_domain. Во избежание ошибок, рекомендуется сверяться с полем distinguishedName в свойствах атрибута OU;
    • Действие при выходе из системы — действие, которое OpenUDS будет выполнять на виртуальном рабочем столе при закрытии сеанса пользователя. Держать сервис привязанным — постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается заново, при повторном входе пользователю будет назначен тот же рабочий стол. Удалить сервис — непостоянный пул, при выходе пользователя из системы, ВМ удаляется и создается заново. Держать сервис привязанным даже в новой публикации — сохранение назначенной службы даже при создании новой публикации;
    • Максимальное время простоя — время простоя виртуального рабочего стола (в секундах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрицательные значения и значения менее 300 секунд отключают эту опцию.
    OpenUDS. Настройка «Linux OS Active Directory Manager»
  • вкладка Расширенный:
    • Client software — позволяет указать, если это необходимо, способ подключения (SSSD или Winbind);
    • Membership software — позволяет указать, если это необходимо, утилиту, используемую для подключения к домену (Samba или adcli);
    • Убрать машину — если этот параметр установлен, OpenUDS удалит запись о виртуальном рабочем столе в указанном подразделении после удаления рабочего стола (пользователь, указанный в поле Аккаунт, должен иметь права на выполнение данного действия в OU);
    • Использовать SSL — если этот параметр установлен, будет использоваться SSL-соединение;
    • Automatic ID mapping — автоматический маппинг ID;
    • Выход по календарю — если этот параметр установлен, OpenUDS попытается завершить сессию пользователя, когда для текущего соединения истечет время доступа (если параметр не установлен, пользователю будет разрешено продолжить работу).
    OpenUDS. Настройка «Linux OS Active Directory Manager»

55.3.3.3. Linux OS FreeIPA Manager

Примечание

Для возможности ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про сервер FreeIPA.
Минимальные настройки для Linux OS FreeIPA Manager:
  • вкладка Основной:
    • Имя — название менеджера;
    • Домен — домен, к которому будут присоединены виртуальные рабочие столы. Необходимо использовать формат FQDN (например, example.test);
    • Аккаунт — пользователь с правами на добавление машин в домен;
    • Пароль — пароль пользователя указанного в поле Аккаунт;
    • Действие при выходе из системы — действие, которое OpenUDS будет выполнять на виртуальном рабочем столе при закрытии сеанса пользователя. Держать сервис привязанным — постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается заново, при повторном входе пользователю будет назначен тот же рабочий стол. Удалить сервис — непостоянный пул, при выходе пользователя из системы, ВМ удаляется и создается заново. Держать сервис привязанным даже в новой публикации — сохранение назначенной службы даже при создании новой публикации;
    • Максимальное время простоя — время простоя виртуального рабочего стола (в секундах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрицательные значения и значения менее 300 секунд отключают эту опцию.
    OpenUDS. Настройка «Linux OS FreeIPA Manager»
  • вкладка Расширенный:
    • Client software — позволяет указать, если это необходимо, способ подключения (SSSD или Winbind);
    • Membership software — позволяет указать, если это необходимо, утилиту, используемую для подключения к домену (Samba или adcli);
    • Убрать машину — если этот параметр установлен, OpenUDS удалит запись о виртуальном рабочем столе в указанном подразделении после удаления рабочего стола (пользователь, указанный в поле Аккаунт, должен иметь права на выполнение данного действия в OU);
    • Использовать SSL — если этот параметр установлен, будет использоваться SSL-соединение;
    • Automatic ID mapping — автоматический маппинг ID;
    • Выход по календарю — если этот параметр установлен, OpenUDS попытается завершить сессию пользователя, когда для текущего соединения истечет время доступа (если параметр не установлен, пользователю будет разрешено продолжить работу).
    OpenUDS. Настройка «Linux OS FreeIPA Manager»

55.3.3.4. Windows Domain ОС менеджер

Минимальные настройки для Windows Domain ОС менеджер:
  • вкладка Основной:
    • Имя — название менеджера;
    • Домен — домен, к которому будут присоединены виртуальные рабочие столы. Необходимо использовать формат FQDN (например, test.alt);
    • Аккаунт — пользователь с правами на добавление машин в домен;
    • Пароль — пароль пользователя указанного в поле Аккаунт;
    • OU — организационная единица, в которую будут добавлены виртуальные хосты (если не указано, хосты будут зарегистрированы в подразделении по умолчанию — Computers). Формат поддерживаемых OU: OU = name_OU_last_level, … OU = name_OU_first_level, DC = name_domain, DC = extension_domain. Во избежание ошибок, рекомендуется сверяться с полем distinguishedName в свойствах атрибута OU;
    • Действие при выходе из системы — действие, которое OpenUDS будет выполнять на виртуальном рабочем столе при закрытии сеанса пользователя. Держать сервис привязанным (Keep service assigned) — постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается заново, при повторном входе пользователю будет назначен тот же рабочий стол. Удалить сервис (Remove service) — непостоянный пул, при выходе пользователя из системы, ВМ удаляется и создается заново. Держать сервис привязанным даже в новой публикации (Keep service assigned even on new publication) — сохранение назначенной службы даже при создании новой публикации;
    • Максимальное время простоя — время простоя виртуального рабочего стола (в секундах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрицательные значения и значения менее 300 секунд отключают эту опцию.
    OpenUDS. Windows Domain ОС менеджер
  • вкладка Расширенный:
    • Группа машин — указывает, к какой группе машин AD будут добавлены виртуальные рабочие столы, созданные UDS;
    • Убрать машину — если этот параметр установлен, OpenUDS удалит запись о виртуальном рабочем столе в указанном подразделении после удаления рабочего стола (необходимо, чтобы пользователь, указанный в поле Аккаунт, имел права на выполнение данного действия в OU);
    • Предпочитаемый сервер — если серверов AD несколько, можно указать, какой из них использовать предпочтительнее;
    • Использовать SSL — если этот параметр установлен, будет использоваться SSL-соединение;
    • Выход по календарю — если этот параметр установлен, OpenUDS попытается завершить сессию пользователя, когда для текущего соединения истечет время доступа (если параметр не установлен, пользователю будет разрешено продолжить работу).
    OpenUDS. Windows Domain ОС менеджер

55.3.4. Транспорт

Для подключения к виртуальным рабочим столам необходимо создать транспорт. Транспорт — это приложение, которое выполняется на клиенте и отвечает за предоставление доступа к реализованной службе.
Можно создать один транспорт для различных «пулов» или установить по одному транспорту для каждого «пула».
При создании транспорта необходимо выбрать его тип:
  • Прямой — используется, если пользователь имеет доступ к виртуальным рабочим столам из внутренней сети (например, LAN, VPN и т.д.);
  • Туннельный — используется, если у пользователя нет прямого подключения к рабочему столу.
OpenUDS. Настройка «Транспорт»

55.3.4.1. RDP (прямой)

Данный транспорт позволяет пользователям получать доступ к виртуальным рабочим столам Windows/Linux. И на клиентах подключения, и на виртуальных рабочих столах должен быть установлен и включен протокол RDP (для виртуальных рабочих столов Linux необходимо использовать XRDP).
Параметры конфигурации для настройки транспорта RDP:
  • Вкладка Основной:
    • Имя — название транспорта;
    • Приоритет — приоритет, чем меньше значение приоритета, тем выше данный транспорт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низким приоритетом, будет транспортом по умолчанию;
    • Сетевой доступ — разрешает или запрещает доступ пользователей к службе, в зависимости от сети из которой осуществляется доступ;
    • Сети — сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе Сети). Пустое поле означает «все сети». Используется вместе с параметром Сетевой доступ;
    • Разрешенные устройства — разрешает доступ к службе только с выбранных устройств. Пустое поле означает «все устройства»;
    • Сервис-пулы — позволяет назначить транспорт одному или нескольким ранее созданным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения при создании пула услуг.
    Настройка RDP. Вкладка Основной
  • Вкладка Учётные данные:
    • Пропустить данные аккаунта — если установлено значение Да, учётные данные для доступа к виртуальному рабочему столу будут запрашиваться при подключении к серверу. Если установлено значение Нет, будут использоваться данные OpenUDS (см. ниже);
    • Имя пользователя — имя пользователя, которое будет использоваться для доступа к рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое, будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
    • Пароль — пароль пользователя, указанного в поле Имя пользователя;
    • Без домена — указывает, перенаправляется ли доменное имя вместе с пользователем. Значение Да равносильно пустому полю Домен;
    • Домен — домен. Если поле не пустое, то учётные данные будут использоваться в виде DOMAIN\user.
    Настройка RDP. Вкладка Учётные данные
  • На вкладке Параметры можно разрешить/запретить перенаправления дисков, принтеров и других устройств:
    Настройка RDP. Вкладка Параметры
  • На вкладке Экран/Дисплей настраиваются параметры окна рабочего стола:
    Настройка RDP. Вкладка Экран/Дисплей
  • Вкладка Linux Client:
    • Мультимедийная синхронизация —  включает параметр мультимедиа на клиенте FreeRDP;
    • Использовать Alsa — использовать звук через Alsa;
    • Строка принтера — принтер, используемый клиентом FreeRDP (если включено перенаправление принтера). Пример: «HP_LaserJet_M1536dnf_MFP» (названия подключенных принтеров можно вывести командой lpstat -a);
    • Строка Smartcard — токен, используемый клиентом FreeRDP (если включено перенаправление смарт-карт). Пример: «Aktiv Rutoken ECP 00 00»;
    • Пользовательские параметры — здесь можно указать любой параметр, поддерживаемый клиентом FreeRDP.
    Настройка RDP. Вкладка Linux Client
  • Вкладка Расширенный:
    • Метка — метка транспорта метапула (используется для того, чтобы назначить несколько транспортов метапулу).

55.3.4.2. RDP (туннельный)

Все настройки аналогичны настройке RDP, за исключением настроек на вкладке Туннель.
Вкладка Туннель:
  • Туннельный сервер — IP-адрес/имя OpenUDS Tunnel. Если доступ к рабочему столу осуществляется через глобальную сеть, необходимо ввести общедоступный IP-адрес сервера OpenUDS Tunnel. Формат: IP_Tunneler:Port;
  • Время ожидания туннеля — максимальное время ожидания туннеля;
  • Принудительная проверка SSL-сертификата — принудительная проверка сертификата туннельного сервера.
Настройка RDP. Вкладка Туннель

55.3.4.3. X2Go (прямой)

X2Go позволяет пользователям получать доступ к виртуальным рабочим столам Linux. На клиентах подключения должен быть установлен клиент X2Go, и на виртуальных рабочих столах (сервере) должен быть установлен и включен сервер X2Go.
Параметры конфигурации для настройки транспорта X2Go:
  • Вкладка Основной:
    • Имя — название транспорта;
    • Приоритет — приоритет, чем меньше значение приоритета, тем выше данный транспорт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низким приоритетом, будет транспортом по умолчанию;
    • Сетевой доступ — разрешает или запрещает доступ пользователей к службе, в зависимости от сети из которой осуществляется доступ;
    • Сети — сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе Сети). Пустое поле означает «все сети». Используется вместе с параметром Сетевой доступ;
    • Разрешенные устройства — разрешает доступ к службе только с выбранных устройств. Пустое поле означает «все устройства»;
    • Сервис-пулы — позволяет назначить транспорт одному или нескольким ранее созданным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения при создании пула услуг.
    Настройка X2Go. Вкладка Основной
  • Вкладка Учётные данные:
    • Имя пользователя — имя пользователя, которое будет использоваться для доступа к рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое, будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя.
    Настройка X2Go. Вкладка Учётные данные
  • Вкладка Параметры:
    • Размер экрана — размер окна рабочего стола;
    • Экран — менеджер рабочего стола (Xfce, Mate и др.) или виртуализация приложений Linux (UDS vAPP);
    • vAPP — полный путь до приложения (если в поле Экран выбрано значение UDS vAPP);
    • Включить звук — включить звук;
    • Перенаправить домашнюю папку — перенаправить домашнюю папку клиента подключения на виртуальный рабочий стол (на Linux также перенаправлять /media);
    • Скорость — скорость подключения.
    Настройка X2Go. Вкладка Параметры
  • Вкладка Расширенный:
    • Звук — тип звукового сервера;
    • Клавиатура — раскладка клавиатуры;
    • Метка — метка транспорта метапула (используется для того, чтобы назначить несколько транспортов метапулу).
    Настройка X2Go. Вкладка Расширенный

55.3.4.4. X2Go (туннельный)

Все настройки аналогичны настройке X2Go, за исключением настроек на вкладке Туннель.
Вкладка Туннель:
  • Туннельный сервер — IP-адрес/имя OpenUDS Tunnel. Если доступ к рабочему столу осуществляется через глобальную сеть, необходимо ввести общедоступный IP-адрес сервера OpenUDS Tunnel. Формат: IP_Tunneler:Port;
  • Время ожидания туннеля — максимальное время ожидания туннеля;
  • Принудительная проверка SSL-сертификата — принудительная проверка сертификата туннельного сервера.
Настройка X2Go. Вкладка Туннель

55.3.4.5. SPICE (прямой)

Примечание

Транспортный протокол SPICE может использоваться только с oVirt/RHEV, OpenNebula и PVE.
SPICE позволяет пользователям получать доступ к виртуальным рабочим столам Windows/Linux. На клиентах подключения должен быть установлен клиент SPICE (virt-manager).

Важно

Для работы прямого подключения по протоколу SPICE на сервере OpenUDS и клиентах OpenUDS, откуда осуществляется подключение, имена узлов платформы виртуализации должны корректно разрешаться в IP-адреса этих узлов.
Параметры конфигурации для настройки транспорта SPICE:
  • Вкладка Основной:
    • Имя — название транспорта;
    • Приоритет — приоритет, чем меньше значение приоритета, тем выше данный транспорт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низким приоритетом, будет транспортом по умолчанию;
    • Сертификат — сертификат, сгенерированный в ovirt-engine/RHV-manager или в OpenNebula. Требуется для подключения к виртуальным рабочим столам;
    • Сетевой доступ — разрешает или запрещает доступ пользователей к службе, в зависимости от сети из которой осуществляется доступ;
    • Сети — сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе Сети). Пустое поле означает «все сети». Используется вместе с параметром Сетевой доступ;
    • Разрешенные устройства — разрешает доступ к службе только с выбранных устройств. Пустое поле означает «все устройства»;
    • Сервис-пулы — позволяет назначить транспорт одному или нескольким ранее созданным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения при создании пула услуг.
    Настройка SPICE. Вкладка Основной
  • Вкладка Расширенный:
    • Полноэкранный режим — включает полноэкранный режим виртуального рабочего стола;
    • Перенаправление смарткарты — включает перенаправление смарт-карт;
    • Включить USB — разрешает перенаправление устройств, подключенных к USB-порту;
    • Новый USB автообмен — позволяет перенаправлять PnP-устройства, подключенные к USB-порту;
    • SSL Connection — использовать SSL-соединение;
    • Метка — метка транспорта метапула (используется для того, чтобы назначить несколько транспортов метапулу).
    Настройка SPICE. Вкладка Расширенный

55.3.4.6. HTML5 RDP (туннельный)

HTML5 RDP позволяет пользователям получать доступ к виртуальным рабочим столам Windows/Linux через протокол RDP с использованием браузера, поддерживающего HTML5. На виртуальных рабочих столах должен быть установлен и включен протокол RDP (для виртуальных рабочих столов Linux необходимо использовать XRDP).
Параметры конфигурации для настройки транспорта HTML5 RDP:
  • Вкладка Основной:
    • Имя — название транспорта;
    • Приоритет — приоритет, чем меньше значение приоритета, тем выше данный транспорт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низким приоритетом, будет транспортом по умолчанию;
    • Сетевой доступ — разрешает или запрещает доступ пользователей к службе, в зависимости от сети из которой осуществляется доступ;
    • Сети — сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе Сети). Пустое поле означает «все сети». Используется вместе с параметром Сетевой доступ;
    • Разрешенные устройства — разрешает доступ к службе только с выбранных устройств. Пустое поле означает «все устройства»;
    • Сервис-пулы — позволяет назначить транспорт одному или нескольким ранее созданным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения при создании пула услуг.
    Настройка HTML5 RDP. Вкладка Основной
  • Вкладка Туннель:
    • Туннельный сервер — IP-адрес или имя OpenUDS Tunnel. Формат: http(s)://IP_Tunneler:[Port] (8080 — порт по умолчанию для http, 443 — для https).
    Настройка HTML5 RDP. Вкладка Туннель
  • Вкладка Учётные данные:
    • Пропустить данные аккаунта — если установлено значение Да, учётные данные для доступа к виртуальному рабочему столу будут запрашиваться при подключении к серверу. Если установлено значение Нет, будут использоваться данные OpenUDS (см. ниже);
    • Имя пользователя — имя пользователя, которое будет использоваться для доступа к рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое, будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
    • Пароль — пароль пользователя, указанного в поле Имя пользователя;
    • Без домена — указывает, перенаправляется ли доменное имя вместе с пользователем. Значение Да равносильно пустому полю Домен;
    • Домен — домен. Если поле не пустое, то учётные данные будут использоваться в виде DOMAIN\user.
    Настройка HTML5 RDP. Вкладка Учётные данные
  • Вкладка Параметры:
    • Показать обои — отображать обои рабочего стола;
    • Разрешить композицию рабочего стола — включить «Desktop Composition»;
    • Сглаживание шрифтов — активирует сглаживание шрифтов;
    • Включить аудио — перенаправлять звук с рабочего стола на клиент подключения;
    • Включить микрофон — включить микрофон на виртуальном рабочем столе;
    • Включить печать — включить печать на виртуальном рабочем столе;
    • Обмен файлами — политика обмена файлами между виртуальным рабочим столом и клиентом подключения. Позволяет создать временный каталог (расположенный на сервере OpenUDS Tunnel), для возможности обмена файлами между виртуальным рабочим столом и клиентом подключения;
    • Буфер обмена —настройка общего буфера обмена;
    • Раскладка — раскладка клавиатуры, которая будет включена на рабочем столе.
    Настройка HTML5 RDP. Вкладка Параметры
  • Вкладка Расширенный:
    • Срок действия билета — допустимое время (в секундах) для клиента HTML5 для перезагрузки данных из OpenUDS Broker (рекомендуется использовать значение по умолчанию — 60);
    • Открывать HTML в новом окне — позволяет указать, открывать ли подключение в новом окне;
    • Безопасность — позволяет задать уровень безопасности соединения;
    • Порт RDP — порт RDP (по умолчанию — 3389);
    • Метка — метка транспорта метапула (используется для того, чтобы назначить несколько транспортов метапулу).
    Настройка HTML5 RDP. Вкладка Расширенный

55.3.4.7. HTML5 SSH (туннельный)

HTML5 SSH позволяет пользователям получать доступ к виртуальным рабочим столам Linux по протоколу SSH с использованием браузера, поддерживающего HTML5 (на машинах должен быть запущен сервер SSH). Используя данный транспорт можно подключаться к серверам Linux, на которых не установлен оконный менеджер или среда рабочего стола.
Параметры конфигурации для настройки транспорта HTML5 SSH:
  • Вкладка Основной:
    • Имя — название транспорта;
    • Приоритет — приоритет, чем меньше значение приоритета, тем выше данный транспорт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низким приоритетом, будет транспортом по умолчанию;
    • Сетевой доступ — разрешает или запрещает доступ пользователей к службе, в зависимости от сети из которой осуществляется доступ;
    • Сети — сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе Сети). Пустое поле означает «все сети». Используется вместе с параметром Сетевой доступ;
    • Разрешенные устройства — разрешает доступ к службе только с выбранных устройств. Пустое поле означает «все устройства»;
    • Сервис-пулы — позволяет назначить транспорт одному или нескольким ранее созданным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения при создании пула услуг.
    Настройка HTML5 SSH. Вкладка Основной
  • Вкладка Туннель:
    • Туннельный сервер —  IP-адрес или имя OpenUDS Tunnel. Формат: http(s)://IP_Tunneler:[Port] (8080 — порт по умолчанию для http, 443 — для https).
    Настройка HTML5 SSH. Вкладка Туннель
  • Вкладка Учётные данные:
    • Имя пользователя — имя пользователя, которое будет использоваться для доступа к рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое, будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
    Настройка HTML5 SSH. Вкладка Учётные данные
  • Вкладка Параметры:
    • SSH-команда — команда, которая будет выполнена на удалённом сервере. Если команда не указана, будет запущена интерактивная оболочка:
      OpenUDS. Подключение по HTML5 SSH
    • Обмен файлами — политика обмена файлами между удалённым сервером и клиентом подключения;
    • Корень общего доступа к файлам — корневой каталог для доступа к файлам. Если не указан, будет использоваться корневой каталог (/);
    • Порт SSH-сервера — порт SSH-сервера (по умолчанию — 22);
    • Ключ хоста SSH — ключ хоста SSH. Если ключ не указан, проверка подлинности хоста выполняться не будет;
    • Поддержка сервера в рабочем состоянии — время (в секундах) между сообщениями проверки активности, отправляемых на сервер. Если не указано, сообщения проверки активности не отправляются.
    Настройка HTML5 SSH. Вкладка Параметры
  • Вкладка Расширенный:
    • Срок действия билета — допустимое время (в секундах) для клиента HTML5 для перезагрузки данных из OpenUDS Broker (рекомендуется использовать значение по умолчанию — 60);
    • Открывать HTML в новом окне — позволяет указать, открывать ли подключение в новом окне;
    • Метка — метка транспорта метапула (используется для того, чтобы назначить несколько транспортов метапулу).
    Настройка HTML5 SSH. Вкладка Расширенный

Примечание

После входа на удалённый сервер, в зависимости от настроек политики обмена файлами, можно скачивать/загружать файлы.
Для загрузки файлов можно открыть окно настроек (Ctrl+Shift+Alt), выбрать устройство в поле Устройства, нажать кнопку Загрузка файлов и выбрать файл (ход передачи файла будет показан в левом нижнем углу окна):
HTML5 SSH. Передача файлов

55.3.5. Сети

В OpenUDS можно зарегистрировать различные сети для управления доступом клиентов к виртуальным рабочим столам или приложениям. Эти сети совместно с транспортом будут определять, какой тип доступа будет доступен пользователям для подключения к виртуальным рабочим столам.
Чтобы добавить сеть следует в разделе Сети нажать кнопку Новый:
OpenUDS. Добавление новой сети
В открывшемся окне следует указать название сети и сетевой диапазон. В качестве сетевого диапазона можно указать:
  • одиночный IP-адрес: xxx.xxx.xxx.xxx (например, 192.168.0.33);
  • подсеть: xxx.xxx.xxx.xxx/x (например, 192.168.0.0/24);
  • диапазон IP-адресов: xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx (например, 192.168.0.1-192.168.0.50).
OpenUDS. Добавление новой сети
После создания сетей появится возможность указать их при создании/редактировании транспорта. Можно настроить, будет ли данный транспорт отображаться у клиента, в зависимости от сети, в которой находится клиент:
OpenUDS. Выбор сети при редактировании транспорта
Если сети для транспорта не определены, доступ к службам рабочего стола и виртуальным приложениям будет возможен из любой сети.

55.3.6. Пулы услуг

После того, как был создан и настроен хотя бы один поставщик услуг с соответствующей службой/услугой, аутентификатор (с пользователем и группой), менеджер ОС и транспорт, можно создать пул услуг (Сервис-пул) для публикации виртуальных рабочих столов.
Для создания пула услуг необходимо в разделе Сервис-пулы нажать кнопку Новый:
OpenUDS. Новый Service Pool
Заполнить параметры конфигурации:
  • Вкладка Основной:
    • Имя — название службы (это имя будет показано пользователю для доступа к рабочему столу или виртуальному приложению). В этом поле можно использовать переменные для отображения информации об услугах:
      • {use} — указывает процент использования пула (рассчитывается на основе поля Максимальное количество предоставляемых сервисов и назначенных услуг);
      • {total} — общее количество машин (данные извлечены из поля Максимальное количество предоставляемых сервисов);
      • {usec} — количество машин, используемых пользователями в пуле;
      • {left} — количество машин, доступных в пуле для подключения пользователей;
    • Базовый сервис — служба, созданная ранее в поставщике услуг (состоит из поставщика услуг и базовой услуги);
    • ОС Менеджер — ранее созданный менеджер ОС, конфигурация которого будет применяться к каждому из созданных виртуальных рабочих столов или приложений. Если выбрана услуга типа Статический IP, это поле не используется;
    • Публиковать при создании — если этот параметр включен, при сохранении пула услуг система автоматически запустит первую публикацию. Если установлено значение Нет, будет необходимо запустить публикацию сервиса вручную (из вкладки Публикации).
    OpenUDS. Новый Service Pool. Вкладка «Основной»
  • Вкладка Экран/Дисплей:
    • Видимый — если этот параметр отключен, пул не будет отображаться у пользователей;
    • Привязанный образ — изображение, связанное с услугой. Изображение должно быть предварительно добавлено в репозиторий изображений (раздел ИнструментыГалерея);
    • Пул-группа — позволяет группировать различные службы. Группа должна быть предварительно создана в разделе ПулыГруппа;
    • Доступ к календарю запрещён — позволяет указать сообщение, которое будет показано пользователю, если доступ к сервису ограничен правилами календаря.
    OpenUDS. Новый Service Pool. Вкладка «Экран/Дисплей»
  • Вкладка Расширенный:
    • Разрешить удаление пользователями — если этот параметр включен, пользователи могут удалять назначенные им службы. Если сервис представляет собой виртуальный рабочий стол, автоматически сгенерированный OpenUDS, он будет удален, и при следующем подключении ему будет назначен новый. Если это другой тип сервиса (vAPP/статический IP), будет удалено только назначение, а новое будет назначено на следующее подключение;
    • Разрешить сброс пользователям — если этот параметр включен, пользователь сможет перезапускать или сбрасывать назначенные ему службы (относится только к виртуальным рабочим столам, автоматически созданным OpenUDS);
    • Игнорирует неиспользуемые — если этот параметр включен, непостоянные пользовательские службы, которые не используются, не будут удаляться;
    • Показать транспорты — если этот параметр включен, будут отображаться все транспорты, назначенные услуге. Если параметр не активирован, будет отображаться только транспорт по умолчанию (с наивысшим приоритетом);
    • Учётные записи — назначение услуги ранее созданным «Аккаунтам» (ПулыАккаунты).
    OpenUDS. Новый Service Pool. Вкладка «Расширенный»
  • Вкладка Доступность:
    • Первоначально доступные сервисы — минимальное количество виртуальных рабочих столов, созданных, настроенных и назначенных/доступных для службы;
    • Сервисы для удержания в кэше — количество доступных виртуальных рабочих мест. Эти ВМ всегда будут настроены и готовы к назначению пользователю (они будут автоматически создаваться до тех пор, пока не будет достигнуто максимальное количество машин, указанное в поле Максимальное количество предоставляемых сервисов);
    • Сервисы, хранящиеся в L2 кэше — количество виртуальных рабочих столов в спящем или выключенном состоянии. Виртуальные рабочие столы, сгенерированные на уровне кэша L2, будут помещены в кэш, как только система потребует их (они никогда не будут напрямую назначены пользователям);
    • Максимальное количество предоставляемых сервисов — максимальное количество виртуальных рабочих столов, созданных системой в данном пуле (рабочие столы, созданные в кэше L2, не учитываются).
    OpenUDS. Новый Service Pool. Вкладка «Доступность»
После нажатия кнопки Сохранить система начнет создавать виртуальные рабочие столы на основе настроенного кэша.
После создания пула, в настройках (дважды щелкнуть мышью по строке созданного пула или в контекстном меню пула выбрать пункт Подробность) необходимо:
  • на вкладке Группы назначить группы доступа (выбрать аутентификатор и группу, которая будет иметь доступ к этому пулу служб):
    OpenUDS. Назначение группы пулу служб
  • на вкладке Транспорты выбрать способы подключения пользователей к рабочему столу:
    OpenUDS. Выбор способов подключения к пулу служб

55.3.7. Мета-пулы

Виртуальные рабочие столы можно сгруппировать в пулы рабочих столов («Мета-пулы»), что упрощает управление и организацию. Создание Мета-пула позволит получить доступ к виртуальным рабочим столам или приложениям из разных Пулов услуг. Эти пулы будут работать вместе, предоставляя различные услуги абсолютно прозрачным для пользователей способом.
Пулы услуг, образующие Мета-пул, будут работать в соответствии с политикой, которая позволит предоставлять услуги в соответствии с потребностями пула.
Чтобы создать Мета-пул необходимо в разделе Мета-пулы нажать кнопку Новый:
OpenUDS. Новый Мета-пул
Заполнить параметры конфигурации:
  • Вкладка Основной:
    • Имя — название мета-пула (это будет видеть пользователь для доступа к службе):
    • Короткое имя — если указано, то это будет видеть пользователь для доступа к службе (при наведении на него указателя появится содержимое поля Имя);
    • Политика — политика, которая будет применяться при создании сервисов в пулах услуг, являющихся частью мета-пула:
      • Eventy distributed — услуги будут создаваться и использоваться равномерно во всех пулах услуг, составляющих мета-пул;
      • Priority — услуги будут создаваться и использоваться из пула услуг с наибольшим приоритетом (приоритет определяется значением поля Приоритет, чем ниже значение этого поля, тем выше приоритет у элемента). Когда будет достигнуто максимальное количество сервисов данного пула услуг, будут использоваться сервисы следующего;
      • Greater % available — службы будут создаваться и использоваться из пула услуг, который имеет самый высокий процент свободных услуг.
    OpenUDS. Новый мета-пула — Вкладка «Основной»
  • Вкладка Экран/Дисплей:
    • Привязанный образ — изображение, связанное с мета-пулом. Изображение должно быть предварительно добавлено в репозиторий изображений (раздел ИнструментыГалерея);
    • Пул-группа — позволяет группировать различные службы. Группа должна быть предварительно создана в разделе ПулыГруппа;
    • Видимый — если этот параметр отключен, пул не будет отображаться у пользователей;
    • Доступ к календарю запрещён — позволяет указать сообщение, которое будет показано пользователю, если доступ к сервису ограничен правилами календаря;
    • Выбор транспорта — указывает как на мета-пул будет назначен транспорт:
      • Automatic selection — будет доступен транспорт с самым низким приоритетом, назначенным пулу услуг. Выбор транспорта не допускается;
      • Use only common transports — в мета-пуле будет доступен транспорт, который является общим для всего пула услуг;
      • Group Transports by label — в мета-пуле будет доступен транспорт, которому назначены метки (это поле находится в настройках транспорта на вкладке Дополнительно).
    OpenUDS. Новый мета-пула — Вкладка «Экран/Дисплей»
После создания мета-пула, в настройках (дважды щелкнуть мышью по строке созданного пула или в контекстном меню пула выбрать пункт Подробность) необходимо на вкладке Пулы услуг добавить пул услуг в мета-пул:
OpenUDS. Добавление пула служб в мета-пул
Для добавления пула услуг необходимо указать:
  • Приоритет — приоритет, который будет иметь данный пул услуг в мета-пуле (чем ниже значение, тем больше приоритет);
  • Пул услуг — пул услуг, который будет добавлен в мета-пул (пул услуг должен быть предварительно создан);
  • Включено — включает или отключает видимость пула услуг в мета-пуле.
Можно добавить столько пулов услуг, сколько необходимо, комбинируя службы, размещенные на разных платформах виртуализации (PVE, KVM, OpenNebula и т.д.), серверах приложений и статических устройствах.
Как и при создании пула услуг, здесь есть следующие вкладки с информацией и конфигурацией:
  • Назначенные сервисы — показывает службы, назначенные пользователям (можно вручную удалить назначение и переназначить другому пользователю);
  • Группы — указывает, какие группы пользователей будут иметь доступ к услуге;
  • Доступ к календарям — позволяет применить ранее созданный календарь доступа;
  • Журналы — журналы мета-пула.

55.3.8. Управление доступом по календарю

В OpenUDS можно настроить ограничение доступа пользователей к удаленным рабочим столам и виртуальным приложениям по дате и времени.
С помощью календаря также можно автоматизировать определенные задачи в Пуле услуг, такие, как создание новых публикаций, настройка значений системного кэша, добавление/удаление групп и транспорта, изменение максимального количества услуг.
Для создания календаря необходимо в разделе Календари нажать кнопку Новый:
OpenUDS. Новый календарь
В Календаре можно зарегистрировать правила, чтобы запланировать доступность услуги в определенное время. Для создания правила следует выбрать календарь (дважды щелкнуть мышью по строке созданного календаря или в контекстном меню календаря выбрать пункт Подробность) и нажать кнопку Новый:
OpenUDS. Создать новое правило
Минимальные параметры для настройки правила:
  • Имя — название правила;
  • Событие — настройка времени выполнения. Необходимо указать время начала и продолжительность события (в минутах/часах/днях/неделях);
  • Repetition (Периодичность) — настройка периодичности выполнения. Необходимо указать дату начала, частоту повторения правила (ежедневно/еженедельно/ежемесячно/ежегодно/по будням) и интервал повторения (в днях);
  • Панель — показывает сводные данные (резюме) всех ранее указанных настроек.
OpenUDS. Создание правила
После нажатия кнопки Хорошо будет создано правило, которое будет назначено Пулу услуг (виртуальному рабочему столу и/или приложению):
OpenUDS. Список правил

55.3.8.1. Разрешение/запрет доступа

После настройки правил в календарях их можно использовать для управления доступом пользователей к службам рабочего стола или приложениям. Для этого следует выбрать Пул услуг, перейти на вкладку Доступ к календарям и нажать кнопку Новый:
OpenUDS. Вкладка «Доступ к календарям»
В открывшемся окне необходимо указать приоритет доступа, выбрать календарь и указать действие, которое будет применяться при доступе к сервису:
OpenUDS. Новое ограничение доступа по календарю

Примечание

Правило по умолчанию (FallBack») должно разрешать или запрещать доступ к сервису, когда календарь не применяется:
OpenUDS. Ограничение доступа к сервису по календарю

55.3.8.2. Запланированные действия

После настройки правил в календарях их можно использовать для планирования определенные задач в Пуле услуг. Для этого следует выбрать Пул услуг, перейти на вкладку Запланированные действия и нажать кнопку Новый:
OpenUDS. Вкладка «Запланированные действия»
В открывшемся окне необходимо указать календарь, время, в течение которого будет выполняться действие, выбрать действие:
OpenUDS. Новое запланированное действие
Список возможных действий зависит от поставщика услуг данного пула:
  • Установить начальные сервисы — сбрасывает минимальное количество созданных и настроенных виртуальных рабочих столов;
  • Установить размер кеша — сбрасывает виртуальные рабочие столы, доступные в системном кеше. Эти рабочие столы будут настроены и готовы к назначению пользователю;
  • Установить максимальное количество сервисов — изменяет максимальное количество виртуальных рабочих столов в Пуле услуг;
  • Установить размер L2 кэша — сбрасывает виртуальные рабочие столы, доступные в кэше L2;
  • Публикация — создание новой публикации в Пуле услуг;
  • Добавить транспорт — добавляет существующий транспорт в Пул услуг;
  • Удалить транспорт — удаляет транспорт из Пула услуг;
  • Удалить все транспорты — удаляет весь транспорт из Пула услуг;
  • Добавить группу — добавляет существующую группу в Пул услуг;
  • Удалить группу — удаляет группу из Пула услуг;
  • Удалить все группы — удаляет все группы из Пула услуг;
  • Устанавливает игнорирование неиспользуемых — устанавливает параметр Игнорировать неиспользуемые;
  • Удалить ВСЕ назначенные пользовательские сервисы — удаляет все службы, назначенные пользователям;
  • Удалить СТАРЫЕ назначенные пользовательские сервисы — удаляет службы, назначенные пользователям, которые не использовались заданное время.
После сохранения появится запланированная задача, выполняющая конкретное действие в данном Пуле услуг.

55.3.9. Настройка разрешений

В OpenUDS можно назначать пользователям и группам пользователей права доступа к различным элементам администрирования. Разрешения будут назначены непосредственно для каждого элемента, а также будут применяться к его подэлементам.

Примечание

Чтобы пользователь мог получить доступ к администрированию, ему должна быть назначена роль Штатный сотрудник:
OpenUDS. Роль пользователя
Для предоставления разрешения к элементу администрирования следует выбрать элемент и нажать кнопку Разрешения:
OpenUDS. Предоставление разрешения к сервису «Desktop Alt»
В окне разрешений следует нажать ссылку Новое разрешение… для групп или пользователей, выбрать аутентификатор и группу/пользователя, к которым будет применяться разрешение. Нужно также указать, будет ли пользователь/группа иметь доступ для чтения к элементу (Только чтение) или полный доступ (Полный доступ):
OpenUDS. Новое разрешение для «Desktop Alt»
После сохранения настроек, пользователи, которым назначена роль Штатный сотрудник, смогут получить доступ к этому элементу администрирования с назначенными разрешениями.

Примечание

Разрешения типа Полный доступ (Управление) могут применяться только к элементам второго уровня (Календари, Пулы услуг и т.д.).

55.3.10. Конфигурация OpenUDS

В разделе Конфигурация можно настроить ряд параметров, которые будут определять работу системы. Эти параметры отвечают за определение таких аспектов, как безопасность, режим работы, подключение и т.д. как самой системы OpenUDS, так и её связи с виртуальными платформами, зарегистрированными в OpenUDS.

Важно

В данном разделе описаны некоторые системные переменные для управления виртуальными рабочими столами. Не рекомендуется изменять значения других переменных, так как некоторые из них указывают системе, как она должна работать (количество одновременных задач, время выполнения задач, плановые проверки и т.д.). Изменение этих параметров может привести к неправильной работе или к полной остановке системы.

Примечание

Для применения изменений, после редактирования значений любой из переменных конфигурации OpenUDS, необходимо перезапустить сервер OpenUDS.
Конфигурация OpenUDS
Вкладка UDS:
  • autorunService — выполнять прямой доступ к службе пользователя, если пользователю назначена только одна служба. Если этот параметр активирован, пользователи, которым назначен один сервис, будут подключаться к нему напрямую, минуя экран выбора сервиса и используя предварительно настроенный «Транспорт». По умолчанию: нет;
  • disallowGlobalLogin — если включено, на странице входа не будет отображаться список аутентификаторов. В этом случае будет использоваться аутентификатор по умолчанию. Для предоставления пользователю доступа к системе с помощью других аутентификаторов необходимо использовать Метку, определенную в аутентификаторе, в URL-адресе доступа. По умолчанию: нет;
  • keepinfoTime — время (в секундах), в течение которого завершенные события «пула услуг» остаются видимыми. По умолчанию: 14401 секунд (4 часа);
  • redirectToHttps — автоматически перенаправлять доступ к OpenUDS с http на https. По умолчанию: нет;
  • sessionExpireTime — максимальное время, в течение которого сеанс пользователя будет открыт после создания новой публикации. По истечении этого времени система закроет сеанс пользователя и продолжит удаление службы. Если у службы есть Менеджер ОС с параметром Держать сервис привязанным даже в новой публикации, этот параметр не будет применяться. По умолчанию: 24 часа;
  • statsDuration — время, в течение которого система хранит статистику. По умолчанию: 365 дней.
Вкладка Security:
  • allowRootWebAccess —  разрешить суперпользователю (пользователю, созданному при разворачивании OpenUDS-сервера) входить в панель управления OpenUDS. По умолчанию: да;
  • Behind a proxy — указывает системе, что серверы OpenUDS находятся «за» прокси-сервером (например, среда OpenUDS с HA Proxy). По умолчанию: нет;
  • Block ip on login failure — заблокировать пользователя при неправильном вводе пароля (также блокируется IP-адрес). Количество попыток указывается в переменной maxLoginTries. По умолчанию: нет;
  • Enforce Zero-Trust Mode — включение режима нулевого доверия (запретить системе хранить пароли). По умолчанию: нет;
  • loginBlockTime — время (в секундах), в течение которого после неправильного ввода пароля пользователь будет заблокирован. Количество попыток указывается в переменной maxLoginTries. По умолчанию: 300 секунд (5 минут);
  • maxLoginTries — количество попыток, за которые пользователь должен ввести свой пароль, прежде чем система заблокирует его;
  • Session timeout for Admin — время бездействия (в секундах) для администраторов платформы. По умолчанию: 14400 секунд (4 часа);
  • Session timeout for User — время бездействия (в секундах) для пользователей. По умолчанию: 14400 секунд (4 часа);
  • Trusted Hosts — узлы, которые OpenUDS считает безопасными. Эти узлы могут делать «sensitive» запросы к OpenUDS. Допустимые значения: подсеть, диапазон IP-адресов, конкретные IP-адреса. По умолчанию: "*" (всё разрешено).
Вкладка Admin:
  • Trusted Hosts for Admin — узлы, с которых можно управлять OpenUDS (как с помощью веб-доступа, так и администрирование с помощью API). Допустимые значения: подсеть, диапазон IP-адресов, конкретные IP-адреса. По умолчанию: "*" (всё разрешено).
Вкладка Custom (параметры, связанные с графической настройкой OpenUDS):
  • CSS — CSS код для изменения стиля страниц OpenUDS;
  • Logo name — текст, который отображается рядом с логотипом;
  • Min. Services to show filter — минимальное количество служб, которые должны существовать у пользователя (в режиме пользователя), чтобы отображался фильтр;
  • Show Filter on Top — расположение панели поиска на странице пользовательских служб;
  • Site copyright info — текст копирайт;
  • Site copyright link — веб-адрес, на который будет вести ссылка с копирайта;
  • Site information — HTML-код для частичной настройки страницы входа в OpenUDS. Введенный код появится под полем входа пользователя;
  • Site name — текст, который будет отображаться в верхней части поля входа пользователя на странице входа OpenUDS.

55.4. Подготовка шаблона виртуальной машины

Для возможности использования ВМ в качестве шаблона OpenUDS, на машине необходимо включить и настроить удаленный рабочий стол, установить OpenUDS Actor и зарегистрировать его на сервере OpenUDS.

55.4.1. Шаблон ВМ с ОС Альт

Подготовить шаблон ВМ (все действия выполняются на ВМ):
  1. Установить openuds-actor:
    # apt-get install openuds-actor
    
  2. Включить автозапуск сервиса udsactor.service:
    # systemctl enable udsactor.service
    
  3. Зарегистрировать OpenUDS Actor на сервере OpenUDS:
    • запустить OpenUDS Actor из меню НастройкиUDS Actor Configuration или командой:
      $ /usr/sbin/UDSActorConfig-pkexec
      
      Потребуется ввести пароль пользователя, входящего в группу wheel.
    • на вкладке UDS Server необходимо указать:
      • SSL Validation — уровень безопасности для связи с сервером OpenUDS;
      • UDS Server — имя или IP-адрес сервера OpenUDS;
      • Authenticator — аутентификатор, которому принадлежит указанный пользователь-администратор (аутентификатор Administration соответствует суперпользователю). Чтобы отображались различные аутентификаторы должна быть установлена связь с сервером OpenUDS;
      • Username — имя пользователя, имеющего права администратора в среде OpenUDS (должен принадлежать аутентификатору, выбранному в поле Authenticator);
      • Password — пароль пользователя;
    • нажать кнопку Register with UDS (Зарегистрироваться в UDS):
      OpenUDS. UDS Actor Configuration
    • на вкладке Advanced можно указать дополнительные параметры:
      • Preconnect — сценарий, который будет запущен непосредственно перед тем, как пользователь подключится к виртуальному рабочему столу. Брокер OpenUDS автоматически передаёт следующие параметры: имя пользователя, протокол, IP-адрес клиента, имя хоста клиента, которые можно использовать в скрипте;
      • Runonce — сценарий, который будет запущен только один раз перед настройкой UDS Actor. После выполнения скрипт удаляется из конфигурации. Параметры можно передать непосредственно скрипту. Необходимо, чтобы выполняемый скрипт завершился перезапуском виртуального рабочего стола;
      • Postconfig — сценарий, который будет запущен после того, как UDS Actor завершит настройку. Параметры можно передать непосредственно скрипту. Скрипт запускается только один раз, но в отличие от режима Runonce перезапускать виртуальный рабочий стол не нужно;
      • Log Level — уровень журналирования;
      Для применения настроек, указанных на этой вкладке, необходимо выполнить перерегистрацию UDSActor.
  4. Настроить один из вариантов удаленного доступа:
    • XRDP:
      • установить пакет xrdp:
        # apt-get install xrdp
        
      • включить сервисы xrdp и xrdp-sesman:
        # systemctl enable --now xrdp
        # systemctl enable --now xrdp-sesman
        
      • для доступа к терминальному сеансу включить пользователя в группу tsusers:
        # gpasswd -a user tsusers
        
    • X2Go:
      • установить пакет x2goserver:
        # apt-get install x2goserver
        
      • включить сервис x2goserver:
        # systemctl enable --now x2goserver
        
Зарегистрировать UDS Actor можно в командной строке, например:
# UDSActorRegister
SSL validation (yes/no): no
Hostname: 192.168.0.53
Authenticator ['Internal', 'radiusauth', 'freeipa', 'AD', 'admin']: admin
Username: root
Password:
Pre connect:
Run once:
Post config:
Log level ['debug', 'info', 'error', 'fatal']: error
Registration with UDS completed.
Можно также использовать переменные окружения, например:
# export OPENUDS_ACTOR_SSL_VALIDATION=no
# export OPENUDS_HOST=192.168.0.53
# export OPENUDS_AUTHENTICATOR=admin
# export OPENUDS_ACTOR_POST_CONFIG=/home/user/test.sh
# export OPENUDS_ACTOR_LOG_LEVEL=error
# UDSActorRegister
Username: root
Password:
Pre connect:
Run once:
Registration with UDS completed.
При регистрации UDS Actor в командной строке необходимо указать (в скобках приведены соответствующие переменные окружения):
  • SSL Validation — уровень безопасности для связи с сервером OpenUDS (OPENUDS_ACTOR_SSL_VALIDATION);
  • Hostname — имя или IP-адрес сервера OpenUDS (OPENUDS_HOST);
  • Authenticator — аутентификатор, которому принадлежит пользователь-администратор (OPENUDS_AUTHENTICATOR). Аутентификатор «admin» соответствует суперпользователю, другие типы аутентификаторв будут присутствовать в списке, если настроены в брокере. Чтобы отображались возможные аутентификаторы должна быть установлена связь с сервером OpenUDS;
  • Username — имя пользователя, имеющего права администратора в среде OpenUDS (OPENUDS_USERNAME);
  • Password — пароль пользователя (OPENUDS_PASSWORD);
  • Pre connect — сценарий в формате /path/to/script, который будет запущен непосредственно перед тем, как пользователь подключится к виртуальному рабочему столу (OPENUDS_ACTOR_PRE_CONNECT);
  • Run once — сценарий в формате /path/to/script, который будет запущен только один раз перед настройкой UDS Actor (OPENUDS_ACTOR_RUN_ONCE);
  • Post config — сценарий в формате /path/to/script, который будет запущен после того, как UDS Actor завершит настройку (OPENUDS_ACTOR_POST_CONFIG);
  • Log Level — уровень журналирования (OPENUDS_ACTOR_LOG_LEVEL).

55.4.2. Шаблон ВМ с ОС Windows

Примечание

В данном разделе рассмотрен процесс настройки ВМ с ОС Windows x64 10 Pro для использования в качестве шаблона OpenUDS.
Требования к шаблону ВМ с ОС Windows:
  • рекомендуется отключить автоматические обновления, чтобы предотвратить выполнение этого процесса на создаваемых виртуальных рабочих столах;
  • машина должна получать IP-адрес по DHCP;
  • шаблон не нужно добавлять в домен Active Directory. Если нужны виртуальные рабочие столы, включенные в домен AD, настройка должна быть выполнена в панели управления OpenUDS;
  • автоматический вход пользователя должен быть отключён (учетные данные всегда должны запрашиваться у пользователя).

Примечание

Для возможности ввода ВМ в домен, в шаблоне ВМ должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory.
Для настройки удаленного рабочего стола, необходимо выполнить следующие действия в шаблоне ВМ:
  1. Открыть окно Параметры (Win+I).
  2. Выбрать раздел Система, а затем слева в списке — Удаленный рабочий стол.
  3. Ползунок Включить удаленный рабочий стол установить в положение Вкл.:
    Включить удаленный рабочий стол
  4. Выбрать учетные записи, которым разрешено удаленное подключение. Для этого нажать ссылку Выберите пользователей, которые могут получить доступ к этому компьютеру и добавить пользователей:
    Удаленный рабочий стол. Пользователи
  5. Проверить возможность подключения к машине удаленно.

Примечание

Для возможности подключения клиентов Linux может потребоваться снять отметку с пункта Требовать использование компьютерами аутентификации на уровне сети для подключения в дополнительных параметрах:
Удаленный рабочий стол. Дополнительные параметры

Важно

Необходимо убедиться, что межсетевой экран не блокирует соединения по 3389 порту.
Настройка OpenUDS Actor:
  1. Загрузить OpenUDS Actor. Для этого в панели управления OpenUDS Server выбрать пункт Загрузки (пункт доступен пользователям с правами администратора):
    Загрузка OpenUDS Actor
    На открывшейся странице выбрать нужный UDS Actor:
    Загрузка OpenUDS Actor

    Примечание

    Для машин с ОС Windows есть два вида OpenUDS Actor:
    • UDSActorSetup — для управляемых Windows машин;
    • UDSActorUnmanagedSetup — для неуправляемых Windows машин. Используется только для отдельных серверов без виртуализации.
  2. Установить OpenUDS Actor (установка OpenUDS Actor ничем не отличается от инсталляции большинства других программ в ОС Windows).
  3. Запустить UDSActorConfig от имени администратора. Для этого в контекстном меню пункта UDSActorConfig выбрать ДополнительноЗапуск от имени администратора:
    Запуск UDSActorConfig
  4. Регистрация OpenUDS Actor на сервере:
    • для регистрации Managed OpenUDS Actor на вкладке UDS Server необходимо указать имя или IP-адрес сервера OpenUDS, аутентификатор (значение Administration соответствует суперпользователю), имя и пароль пользователя, имеющего права администратора в среде OpenUDS и нажать кнопку Register with UDS (Зарегистрироваться в UDS):
      UDSActorConfig for Microsoft Windows. Вкладка «UDS Server»
    • для регистрации Unmanaged OpenUDS Actor необходимо указать имя или IP-адрес сервера OpenUDS, тот же ключ, который был указан при настройке услуги Статический множественный IP-адрес и нажать кнопку Save Configuration (Сохранить конфигурацию):
      Регистрация Unmanaged OpenUDS Actor for Microsoft Windows

      Примечание

      Unmanaged OpenUDS Actor уведомляет OpenUDS, когда пользователь входит в систему и выходит из нее. Благодаря этой функции система может освободить компьютер, при выходе пользователя из системы. Для использования этой функции при регистрации услуги Статический множественный IP-адрес кроме названия услуги следует указать один или несколько IP-адресов машин, к которым будет осуществляться доступ и ключ в поле Ключ услуги:
      Регистрация услуги «Static Multiple IP» на сервере OpenUDS
      Если оставить поле Ключ услуги пустым, сеанс останется назначенным пользователю, пока администратор не удалит его вручную.

55.5. Настройка клиента OpenUDS

Для возможности подключения к брокеру соединений и дальнейшего получения доступа к виртуальному рабочему окружению на клиентской машине должны быть установлены OpenUDS Client и клиенты каждого используемого протокола удаленного доступа.

55.5.1. Клиент с ОС Альт

На клиенте должен быть установлен пакет openuds-client:
# apt-get install openuds-client
Для возможности подключения к виртуальному рабочему столу, должны быть установлены клиенты протоколов удаленного доступа:
  • xfreerdp — для подключения по протоколу RDP;
  • x2goclient — для подключения к серверу X2Go;
  • remote-viewer из пакета virt-viewer — для подключения по протоколу SPICE.

55.5.2. Клиент с ОС Windows

Установка клиента OpenUDS:
  1. Скачать OpenUDS Client для компьютеров с ОС Windows. Для этого в панели управления OpenUDS Server выбрать пункт Клиент UDS и на открывшейся странице выбрать клиент Windows:
    Загрузка OpenUDS Client for Microsoft Windows
  2. Установить OpenUDS Client (установка ничем не отличается от инсталляции большинства других программ в ОС Windows).
Чтобы иметь возможность подключаться к виртуальному рабочему столу, должны быть установлены клиенты каждого используемого протокола удаленного доступа: RDP (стандартный клиент RDP установлен в Windows по умолчанию), X2Go, SPICE.

Примечание

Для установки клиента X2Go на ОС Windows достаточно загрузить клиент X2Go и установить его.
Для установки клиента SPICE на ОС Windows необходимо установить virt-viewer.

55.6. Подключение пользователя к виртуальному рабочему месту

Подключиться к серверу OpenUDS с помощью браузера http://openuds_address, ввести имя пользователя и пароль, выбрать средство проверки подлинности, если доступно несколько:
OpenUDS. Аутентификация пользователя
На панели управления будут отображены все ВМ (или шаблоны), к которым у пользователя есть доступ:
OpenUDS. Подключение пользователя к виртуальному рабочему месту
После выбора пула, автоматически стартует OpenUDS Client, который обрабатывает URL, получает необходимые настройки протокола удаленного доступа для предоставленной (свободной) ВМ, формирует файл описания сессии и передает его приложению-клиенту удалённого доступа, которое и устанавливает соединение с указанной ВМ. Как только соединение будет установлено, виртуальный рабочий стол будет доступен для использования.
OpenUDS. Виртуальный рабочий стол

Примечание

Если для подключения к ВМ настроено более одного типа транспорта, то в правом верхнем углу службы будет отображена кнопка. Если выбрать непосредственно ВМ, будет вызван транспорт по умолчанию (транспорт с меньшим значением в поле приоритет). Для того чтобы использовать другой транспорт, нужно выбрать его в раскрывающемся списке.
По завершении сеанса пользователь ВМ выходит из нее, что приводит к остановке OpenUDS Actor. Брокер OpenUDS считает, что ВМ стала недоступной и, если пул постоянный, то он запускает ВМ, а если пул временный, то происходит удаление файлов ВМ в хранилище и создается новая ВМ из мастер-образа.

Примечание

При подключении пользователя к виртуальному рабочему месту OpenUDS фиксирует доступ и отображает информацию о привязанном сервисе на вкладке Назначенные услуги соответствующего пула.
OpenUDS. Подключение пользователя к виртуальному рабочему месту

55.7. Отказоустойчивое решение

Компоненты OpenUDS можно настроить в режиме высокой доступности (HA).
Для обеспечения высокой доступности OpenUDS, кроме настройки нескольких OpenUDS Server и Tunnel, необходимо настроить репликацию базы данных. Следует также настроить балансировщик нагрузки, который будет распределять подключения к компонентам OpenUDS Server и Tunnel.
Основные компоненты отказоустойчивого решения OpenUDS:
  • Сервер MySQL — база данных (БД) является одним из наиболее существенных компонентов OpenUDS. Поэтому настоятельно рекомендуется иметь резервную копию этого компонента, либо посредством полной резервной копии машины, либо посредством конфигурации активной/пассивной реплики. В данном руководстве описана настройка двух серверов MySQL в режиме активной/пассивной репликации;
  • HAProxy-сервер — сервер, отвечающий за распределение подключений к OpenUDS Server и Tunnel. Через него осуществляется доступ пользователей к OpenUDS, и выполняются подключения к различным сервисам. На серверах HAProxy также следует настроить виртуальный IP-адрес, который будет активен только на основном сервере. В случае отказа основного сервера виртуальный IP-адрес будет автоматически активирован на другом сервере HAProxy;
  • OpenUDS Server — наличие нескольких машин OpenUDS Server обеспечит непрерывный доступ пользователей к OpenUDS, даже при отказе одного из OpenUDS Server;
  • OpenUDS Tunnel — наличие нескольких машин OpenUDS Tunnel позволит получить доступ к службам (рабочим столам или приложениям) через туннелированные соединения и HTML5, даже при отказе одного из OpenUDS Tunnel.

    Примечание

    Если пользователь подключается к сервису (рабочему столу или приложению) и сервер OpenUDS Tunnel, через который он подключен, падает, соединение будет потеряно. Но при повторном подключении доступ будет автоматически восстановлен через другой активный сервер OpenUDS Tunnel.
Основные элементы отказоустойчивого решения OpenUDS

Таблица 55.2. Системные требования

Компонент
Количество
ОЗУ
ЦП
Диск
SQL Server
2
1 ГБ
2 vCPUs
10 ГБ
HAProxy
2
1 ГБ
2 vCPUs
10 ГБ
OpenUDS Server
2
2 ГБ
2 vCPUs
8 ГБ
OpenUDS Tunnel
2
2 ГБ
2 vCPUs
13 ГБ

Примечание

Для HAProxy необходимо 3 IP-адреса, по одному для каждого сервера (Master-Slave) и общий виртуальный IP-адрес, который будет использоваться для балансировки.

55.7.1. Конфигурация серверов MySQL

На обоих серверах установить MySQL (MariaDB):
# apt-get install mariadb
Запустить сервер MySQL и добавить его в автозагрузку:
# systemctl enable --now mariadb.service
Задать пароль root и настройки безопасности для MySQL:
# mysql_secure_installation

55.7.1.1. Настройка репликации между серверами

55.7.1.1.1. Главный узел (Master)
В файле /etc/my.cnf.d/server.cnf:
  • закомментировать параметр skip-networking;
  • раскомментировать параметры server-id и log-bin;
  • убедиться, что для параметра server-id установлено значение 1;
  • раскомментировать параметр bind-address и указать IP-адрес сервера (главного):
    bind-address 192.168.0.128
    
Перезагрузить службу MySQL:
# systemctl restart mariadb
Создать нового пользователя, c правами которого будет производиться репликация:
  1. Войти в консоль MySQL с правами root:
    $ mysql -p
    
  2. Создать пользователя (в примере пользователь «replica» с паролем «uds»):
    MariaDB [(none)]> CREATE USER 'replica'@'%' IDENTIFIED BY 'uds';
    Query OK, 0 rows affected (0.009 sec)
    
  3. Предоставить права replication slave пользователю:
    MariaDB [(none)]> GRANT REPLICATION SLAVE ON *.* TO 'replica'@'%' IDENTIFIED BY 'uds';
    Query OK, 0 rows affected (0.002 sec)
    
  4. Получить информацию об имени двоичного файла и его позиции:
    MariaDB [(none)]> SHOW MASTER STATUS\G
    *************************** 1. row ***************************
                File: mysql-bin.000002
            Position: 328
        Binlog_Do_DB:
    Binlog_Ignore_DB:
    1 row in set (0.001 sec)
    
    В данном примере:
    • mysql-bin.000002 — имя файла;
    • 328 — позиция двоичного файла.
    Эти данные будут необходимы для настройки Slave-сервера.
55.7.1.1.2. Вторичный узел (Slave)
В файле /etc/my.cnf.d/server.cnf:
  • закомментировать параметр skip-networking;
  • раскомментировать параметры server-id и log-bin;
  • в параметре server-id установить значение 2;
  • раскомментировать параметр bind-address и указать IP-адрес сервера (вторичного):
    bind-address 192.168.0.129
    
Перезагрузить службу MySQL:
# systemctl restart mariadb
Настроить параметры, которые вторичный сервер (Slave) будет использовать для подключения к основному серверу (Master):
  1. Войти в консоль MySQL с правами root:
    $ mysql -p
    
  2. Остановить репликацию:
    MariaDB [(none)]> STOP SLAVE;
    Query OK, 0 rows affected, 1 warning (0.001 sec)
    
  3. Настроить репликацию между основным сервером и вторичным сервером:
    MariaDB [(none)]> CHANGE MASTER TO MASTER_HOST='192.168.0.128', MASTER_USER='replica', MASTER_PASSWORD='uds', MASTER_LOG_FILE='mysql-bin.000002', MASTER_LOG_POS=328;
    Query OK, 0 rows affected (0.020 sec)
    
    где:
    • 192.168.0.128 — IP-адрес основного сервера;
    • replica — пользователь, с правами которого будет производиться репликация;
    • uds — пароль пользователя replica;
    • mysql-bin.000002 — имя файла, полученного на предыдущем шаге;
    • 328 — позиция двоичного файла.
  4. Запустить репликацию:
    MariaDB [(none)]> START SLAVE;
    Query OK, 0 rows affected (0.001 sec)
    
  5. Убедиться, что конфигурация верна:
    MariaDB [(none)]> SHOW SLAVE STATUS\G
    *************************** 1. row ***************************
                    Slave_IO_State: Waiting for master to send event
                       Master_Host: 192.168.0.128
                       Master_User: replica
                       Master_Port: 3306
                     Connect_Retry: 60
                   Master_Log_File: mysql-bin.000004
               Read_Master_Log_Pos: 328
                    Relay_Log_File: mysqld-relay-bin.000006
                     Relay_Log_Pos: 555
             Relay_Master_Log_File: mysql-bin.000004
                  Slave_IO_Running: Yes
                 Slave_SQL_Running: Yes
    …
    
    IP-адрес основного сервера должен быть указан корректно, параметры Slave_IO_Running и Slave_SQL_Running должны быть установлены в значение «Yes».

55.7.1.2. Проверка репликации

Для проверки репликации можно создать БД на главном сервере и убедиться, что она автоматически реплицируется на вторичном сервере:
  1. Получить доступ к консоли MySQL главного сервера и создать новую тестовую БД «replicatest»:
    MariaDB [(none)]> CREATE DATABASE replicatest;
    Query OK, 1 row affected (0.001 sec)
    
  2. Убедиться, что БД создана:
    MariaDB [(none)]> SHOW DATABASES;
    +--------------------+
    | Database           |
    +--------------------+
    | information_schema |
    | mysql              |
    | performance_schema |
    | replicatest        |
    +--------------------+
    4 rows in set (0.001 sec)
    
  3. Получить доступ к консоли MySQL вторичного сервера и убедиться, что БД, созданная на основном сервере, успешно реплицировалась на этот сервер:
    MariaDB [(none)]> SHOW DATABASES;
    +--------------------+
    | Database           |
    +--------------------+
    | information_schema |
    | mysql              |
    | performance_schema |
    | replicatest        |
    +--------------------+
    4 rows in set (0.002 sec)
    
  4. После проверки работы репликации можно удалить БД «replicatest», выполнив команду на основном сервере:
    MariaDB [(none)]> DROP DATABASE replicatest;
    

55.7.1.3. Создание БД

Создать на основном сервере БД:
$ mysql -p
Enter password:

MariaDB [(none)]> CREATE DATABASE dbuds CHARACTER SET utf8 COLLATE utf8_general_ci;
MariaDB [(none)]> CREATE USER 'dbuds'@'%' IDENTIFIED BY 'password';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON dbuds.* TO 'dbuds'@'%';
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> exit;
Подключить серверы OpenUDS к БД основного сервера.

55.7.1.4. Отказ сервера

При недоступности одного из серверов БД необходимо выполнить ряд задач. Задачи, которые следует выполнить, зависят от того к какому серверу (Master или Slave) нет доступа.
55.7.1.4.1. Главный узел (Master)
Если недоступен основной сервер БД (Master), то будет потерян доступ к среде VDI. В этом случае необходимо вручную подключить OpenUDS Server к вторичной БД (Slave), в которой находится вся информация среды VDI до момента падения основной БД. Чтобы настроить новое подключение к БД на OpenUDS Server следует в конфигурационном файле /var/server/server/settings.py указать параметры новой БД (это необходимо сделать на всех серверах OpenUDS-Server).
После изменения IP-адреса БД необходимо перезапустить сервер OpenUDS (это необходимо сделать на всех серверах OpenUDS Server). После перезапуска сервера доступ к среде VDI будет восстановлен
Затем необходимо настроить новый сервер для репликации БД. Это можно сделать разными способами, например:
  1. Настроить текущий сервер БД как главный и создать новый сервер-реплику, который нужно настроить и восстановить БД из резервной копии с существующими данными (поскольку реплицируются только новые данные).
  2. Напрямую сделать резервную копию текущего сервера БД (предварительно остановив все машины OpenUDS Server). Создать новый сервер БД Master, восстановить туда резервную копию БД и перенастроить репликацию.

Примечание

Чтобы не потерять данные, перед применением любого метода перестроения репликации, рекомендуется сделать резервную копию БД. Для получения резервной копии можно использовать следующую команду:
# mysqldump -u dbuds -ppassword --databases dbuds > dbuds_dump.sql
При создании резервной копии все машины OpenUDS Server должны быть выключены. Таким образом, обеспечивается согласованность данных и отсутствие различий в данных между главным и подчиненным серверами перед настройкой реплики.
55.7.1.4.2. Вторичный узел (Slave)
Если недоступен вторичный сервер БД (Slave), доступ к среде VDI сохранится, но будет необходимо перенастроить вторичный сервер-реплику. Перед выполнением данной настройки необходимо восстановить резервную копию с текущим состоянием основной БД, так как будут синхронизированы только новые данные реплики (существующие данные не будут реплицированы в базе данных).
Важно, чтобы во время всего этого процесса машины OpenUDS Server были выключены, чтобы не возникало различий между БД Master и Slave серверов.

55.7.2. Настройка серверов HAProxy

Конфигурация балансировщика нанрузки
В данной конфигурации используется служба Keepalived и виртуальный IP-адрес, общий для главного (Master) и резервного (Slave) узлов. Служба Keepalived связывает виртуальный IP-адрес с главным узлом и отслеживает доступность HAProxy. Если служба обнаруживает, что HAProxy не отвечает, то она связывает виртуальный адрес с вспомогательным узлом, что минимизирует время недоступности сервера. Пользователи при обращении к OpenUDS должны использовать этот виртуальный IP-адрес. Этот же виртуальный IP-адрес следует использовать при регистрации OpenUDS Actor (см. Подготовка шаблона виртуальной машины).
На основном узле сгенерировать сертификат:
# openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /root/ssl.key -out /root/ssl.crt
Создать файл .pem, выполнив команду (предварительно может понадобиться создать каталог /etc/openssl/private):
# cat /root/ssl.crt /root/ssl.key > /etc/openssl/private/haproxy.pem

Примечание

Сертификат, созданный на первичном сервере HAProxy, необходимо скопировать в каталог /etc/openssl/private на вторичном сервере. Если используется собственный сертификат, его необходимо скопировать на оба сервера (основной и дополнительный).

Важно

Порты, используемые HAProxy (в примере 80, 443, 1443, 10443), должны быть свободны.
На обоих узлах:
  1. Установить пакеты haproxy и keepalived:
    # apt-get install haproxy keepalived
    
  2. Заменить содержимое файла /etc/haproxy/haproxy.cfg следующим:
    global
            log /dev/log    local0
            log /dev/log    local1 notice
            chroot /var/lib/haproxy
            stats socket /var/lib/haproxy/admin.sock mode 660 level admin
            stats timeout 30s
            maxconn 2048
            user _haproxy
            group _haproxy
            daemon
    
            # Default SSL material locations
            # ca-base /etc/openssl/certs
            # crt-base /etc/openssl/private
    
            # Default ciphers to use on SSL-enabled listening sockets.
            # For more information, see ciphers(1SSL). This list is from:
            #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
            ssl-default-bind-options ssl-min-ver TLSv1.2 prefer-client-ciphers
            # ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA267:TLS_AES_267_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA267
            ssl-default-bind-ciphers ECDH+AESGCM:ECDH+CHACHA20:ECDH+AES267:ECDH+AES128:!aNULL:!SHA1:!AESCCM
    
            # ssl-default-server-options ssl-min-ver TLSv1.2
            # ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA267:TLS_AES_267_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA267
            # ssl-default-server-ciphers ECDH+AESGCM:ECDH+CHACHA20:ECDH+AES267:ECDH+AES128:!aNULL:!SHA1:!AESCCM
    
           tune.ssl.default-dh-param 2048
    
    
    defaults
            log     global
            mode    http
            option  httplog
            option  dontlognull
            option  forwardfor
            retries 3
            option  redispatch
    
            stats enable
            stats uri /haproxystats
            stats realm Strictly\ Private
            stats auth stats:haproxystats
    
            timeout connect 5000
            timeout client  50000
            timeout server  50000
    
    frontend http-in
            bind *:80
            mode http
            http-request set-header X-Forwarded-Proto http
            default_backend openuds-backend
    frontend https-in
            bind *:443 ssl crt /etc/openssl/private/haproxy.pem
            mode http
            http-request set-header X-Forwarded-Proto https
            default_backend openuds-backend
    
    frontend tunnel-in
            bind *:1443
            mode tcp
            option tcplog
            default_backend tunnel-backend-ssl
    
    frontend tunnel-in-guacamole    # HTML5
            bind *:10443
            mode tcp
            option tcplog
            default_backend tunnel-backend-guacamole
    backend openuds-backend
            option http-keep-alive
            balance roundrobin
            server udss1 192.168.0.85:80 check inter 2000 rise 2 fall 5
            server udss2 192.168.0.86:80 check inter 2000 rise 2 fall 5
    backend tunnel-backend-ssl
            mode tcp
            option tcplog
            balance roundrobin
            server udst1 192.168.0.87:7777 check inter 2000 rise 2 fall 5
            server udst2 192.168.0.88:7777 check inter 2000 rise 2 fall 5
    
    backend tunnel-backend-guacamole
            mode tcp
            option tcplog
            balance source
            server udstg1 192.168.0.87:10443 check inter 2000 rise 2 fall 5
            server udstg2 192.168.0.88:10443 check inter 2000 rise 2 fall 5
    
  3. Включить в ядре поддержку двух IP-адресов:
    # echo "net.ipv4.ip_nonlocal_bind = 1" >> /etc/sysctl.conf
    # sysctl -p
    
  4. Настроить службу Keepalived. Для этого создать файл /etc/keepalived/keepalived.conf. Содержимое файла зависит от узла, который настраивается:
    • на главном узле:
      global_defs {
          # Keepalived process identifier
          lvs_id haproxy_DH
      }
      # Script used to check if HAProxy is running
      vrrp_script check_haproxy {
          script "killall -0 haproxy"
          interval 2
          weight 2
      }
      # Виртуальный интерфейс
      # The priority specifies the order in which the assigned interface to take over in a failover
      vrrp_instance VI_01 {
          state MASTER
          interface enp0s3
          virtual_router_id 51
          priority 101
          # Виртуальный IP-адрес
          virtual_ipaddress {
              192.168.0.49
          }
          track_script {
              check_haproxy
          }
      }
      
      где enp0s3 — интерфейс, для виртуального IP (узнать имя сетевого интерфейса можно, выполнив команду ip a).
    • на вспомогательном узле:
      global_defs {
          # Keepalived process identifier
          lvs_id haproxy_DH_passive
      }
      # Script used to check if HAProxy is running
      vrrp_script check_haproxy {
          script "killall -0 haproxy"
          interval 2
          weight 2
      }
      # Виртуальный интерфейс
      # The priority specifies the order in which the assigned interface to take over in a failover
      vrrp_instance VI_01 {
          state SLAVE
          interface eth0
          virtual_router_id 51
          priority 100
          # Виртуальный IP-адрес
          virtual_ipaddress {
              192.168.0.49
          }
          track_script {
              check_haproxy
          }
      }
      
      где eth0 — интерфейс, для виртуального IP (узнать имя сетевого интерфейса можно, выполнив команду ip a).
  5. Запустить службы haproxy и keepalived:
    # systemctl enable --now haproxy
    # systemctl enable --now keepalived
    
  6. Убедиться, что виртуальный IP активен на основном сервере:
    $ ip a |grep enp0s3
    2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
        inet 192.168.0.52/24 brd 192.168.0.255 scope global noprefixroute enp0s3
        inet 192.168.0.49/32 scope global enp0s3
    

55.7.3. Настройка OpenUDS

После настройки серверов MySQL и HAProxy можно приступить к установке и настройке компонентов OpenUDS Server и Tunnel.

55.7.3.1. Настройка OpenUDS Server

На обоих узлах OpenUDS Server:
  1. Установить OpenUDS Server:
    # apt-get install openuds-server-nginx
    
  2. Отредактировать содержимое файла /etc/openuds/settings.py, указав корректные данные для подключения к главному MySQL-серверу:
    DATABASES = {
        'default': {
            'ENGINE': 'django.db.backends.mysql',
            'OPTIONS': {
                'isolation_level': 'read committed',
            },
            'NAME': 'dbuds',  # Or path to database file if using sqlite3.
            'USER': 'dbuds',  # Not used with sqlite3.
            'PASSWORD': 'password',  # Not used with sqlite3.
            'HOST': '192.168.0.128',  # Set to empty string for localhost. Not used with sqlite3.
            'PORT': '3306',  # Set to empty string for default. Not used with sqlite3.
        }
    }
    
  3. Заполнить базу данных начальными данными (этот пункт следует выполнить только на одном узле!):
    # su -s /bin/bash - openuds
    $ cd /usr/share/openuds
    $ python3 manage.py migrate
    $ exit
    
  4. Запустить gunicorn:
    # systemctl enable --now openuds-web.service
    
  5. Запустить nginx:
    # ln -s ../sites-available.d/openuds.conf /etc/nginx/sites-enabled.d/openuds.conf
    # systemctl enable --now nginx.service
    
  6. Запустить менеджер задач OpenUDS:
    # systemctl enable --now openuds-taskmanager.service
    
  7. Подключиться к серверу OpenUDS (http://Виртуальный_IP-адрес).

55.7.3.2. Настройка OpenUDS Tunnel

На каждом узле OpenUDS Tunnel:
  1. Установить OpenUDS Tunnel:
    # apt-get install openuds-tunnel
    
  2. Настроить туннель:
    • указать виртуальный IP-адрес в файле /etc/openuds-tunnel/udstunnel.conf :
      uds_server = http://192.168.0.49/uds/rest/tunnel/ticket
      uds_token = 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
      
    • запустить и добавить в автозагрузку сервис OpenUDS Tunnel:
      # systemctl enable --now openuds-tunnel.service
      
  3. Настроить HTML5:
    • в файле /etc/guacamole/guacamole.properties привести значение параметра uds-base-url к виду:
      uds-base-url=http://192.168.0.49/uds/guacamole/auth/5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
      
      где 192.168.0.49 — виртуальный IP-адрес;
    • настроить tomcat, для этого в файл /etc/tomcat/server.xml добавить новый Connector, в котором указать порт (в примере 10443), сертификат (файл .crt, .pem и т.д.), закрытый ключ (.key, .pem и т.д.):
      <Connector port="10443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
                    ciphers="A-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,
      ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,
      DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-GCM-SHA384,
      ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,
      ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-SHA384,
      ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES256-SHA384,
      ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-AES256-SHA,
      DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,
      DHE-RSA-AES256-SHA256,DHE-RSA-AES256-SHA,
      ECDHE-ECDSA-DES-CBC3-SHA,ECDHE-RSA-DES-CBC3-SHA,
      EDH-RSA-DES-CBC3-SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,
      AES128-SHA256,AES256-SHA256,AES128-SHA,AES256-SHA,DES-CBC3-SHA"
                    maxThreads="500" scheme="https" secure="true"
                    SSLCertificateFile="/etc/openuds-tunnel/ssl/certs/openuds-tunnel.pem"
                    SSLCertificateKeyFile="/etc/openuds-tunnel/ssl/private/openuds-tunnel.key"
                    maxKeepAliveRequests="1000"
                    clientAuth="false" sslProtocol="TLSv1+TLSv1.1+TLSv1.2" />
      
    • запустить сервисы guacd и tomcat:
      # systemctl enable --now guacd tomcat
      
На главном узле (Master) MySQL добавить в БД информацию о каждом OpenUDS Tunnel:
INSERT INTO `uds_tunneltoken` VALUES (ID,'автор добавления','IP-адрес туннеля','IP-адрес туннеля'
'название туннеля','Токен из файла udstunnel.conf','дата добавления');
Например:
# mysql -u root -p
MariaDB> USE dbuds;
MariaDB> INSERT INTO `uds_tunneltoken` VALUES (ID,'admin','192.168.0.87','192.168.0.87','Tunnel','5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b','2022-11-15');
MariaDB> INSERT INTO `uds_tunneltoken` VALUES (ID,'admin','192.168.0.88','192.168.0.88','Tunnel','9ba4bdc03440b726aa8b5ba9d52bb381196c2a22e495ff1c','2022-11-15');
MariaDB> exit;
Оба сервера OpenUDS-Tunnel будут работать в активном режиме. Пользователи, использующие подключение через туннель, будут подключаться к этим серверам случайным образом. При падении одного из серверов, соединения пользователей, которые используют этот сервер, будут прерваны, но при повторном установлении соединения они автоматически получат доступ через другой активный туннельный сервер.

Примечание

При создании туннельного транспорта (X2Go, RDP) в поле Туннельный сервер (вкладка Туннель) следует указывать виртуальный IP-адрес и порт, указанный в разделе frontend tunnel-in файла /etc/haproxy/haproxy.cfg (в данном примере: 1443):
OpenUDS. Поле Туннельный сервер
При создании транспорта «HTML5 RDP (туннельный)» в поле Туннельный сервер (вкладка Туннель) следует указывать виртуальный IP-адрес и порт, указанный в разделе frontend tunnel-in-guacamole файла /etc/haproxy/haproxy.cfg (в данном примере: 10443):
OpenUDS. HTML5 RDP — вкладка Туннель
Пример подключения с использованием HTML5:
OpenUDS. Пример подключения с использованием HTML5

Глава 56. Система резервного копирования Proxmox Backup Server

Proxmox Backup Server (PBS) — клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов. Решение оптимизировано для проекта Proxmox VE (PVE). PBS поддерживает инкрементное резервное копирование с полной дедупликацией, что значительно снижает нагрузку на сеть и экономит пространство для хранения.
Все взаимодействия между клиентом и сервером шифруются, с использованием TLS, кроме того данные могут быть зашифрованы на стороне клиента перед отправкой на сервер. Это позволяет сделать резервное копирование более безопасным.
Сервер резервного копирования хранит данные резервного копирования и предоставляет API для создания хранилищ данных и управления ими. С помощью API также можно управлять дисками и другими ресурсами на стороне сервера.
Клиент резервного копирования использует API для доступа к резервным копиям. С помощью инструмента командной строки proxmox-backup-client можно создавать резервные копии и восстанавливать данные (в PVE клиент встроен).
Для управления настройкой резервного копирования и резервными копиями используется веб-интерфейс. Все административные задачи можно выполнять в веб-браузере. Веб-интерфейс также предоставляет встроенную консоль.

56.1. Установка PBS

56.1.1. Установка сервера PBS

Установить сервер PBS:
# apt-get install proxmox-backup-server

Примечание

Сервер PBS можно установить при установке системы, выбрав для установки пункт Сервер резервного копирования от проекта Proxmox (подробнее описано в главе Установка системы).
Установка сервера PBS при установке системы
Запустить и добавить в автозагрузку Proxmox Backup API Proxy Server:
# systemctl enable --now proxmox-backup-proxy.service
Служба proxmox-backup-proxy предоставляет API управления PBS по адресу 127.0.0.1:82. Она имеет разрешение на выполнение всех привилегированных операций.

Примечание

Для работы с локальным ZFS хранилищем должен быть установлен модуль ядра с поддержкой ZFS (пакет kernel-modules-zfs-std-def или kernel-modules-zfs-un-def в зависмости от типа ядра, установленного в системе).
Модуль ядра с поддержкой ZFS не входит в состав ISO-образа дистрибутива, его можно установить из репозитория p10.
Включить модуль:
# modprobe zfs
Чтобы не вводить эту команду каждый раз после перезагрузки, следует раскомментировать строку:
#zfs
в файле /etc/modules-load.d/zfs.conf.

56.1.2. Установка клиента PBS

Установить клиент PBS:
# apt-get install proxmox-backup-client

56.2. Веб-интерфейс PBS

Веб-интерфейс PBS доступен по адресу https://<имя-компьютера|IP-адрес>:8007. Потребуется пройти аутентификацию (логин по умолчанию: root, пароль указывается в процессе установки ОС):
Аутентификация в веб-интерфейсе PBS
Веб-интерфейс PBS:
Веб-интерфейс PBS

56.3. Настройка хранилища данных

56.3.1. Управление дисками

В веб-интерфейсе на вкладке УправлениеХранилище/Диски можно увидеть диски, подключённые к системе:
PBS. Диски, подключенные к системе
Просмотр списка дисков в командной строке:
# proxmox-backup-manager disk list
Создание файловой системы ext4 или xfs на диске в веб-интерфейсе:
PBS. Создание файловой системы на диске
Пример создания файловой системы в командной строке (будет создана файловая система ext4 и хранилище данных на диске nvme0n3, хранилище данных будет создано по адресу /mnt/datastore/store1):
# proxmox-backup-manager disk fs create store1 --disk nvme0n3 --filesystem ext4 --add-datastore true
create datastore 'store1' on disk nvme0n3
Chunkstore create: 1%
Chunkstore create: 2%
…
Chunkstore create: 99%
TASK OK
Для создания zpool в веб-интерфейсе, следует перейти в раздел Хранилище/Диски, открыть вкладку ZFS и нажать кнопку Создать: ZFS. В открывшемся окне Создать: ZFS следует указать параметры zpool (задать имя хранилища, выбрать необходимые диски, выбрать уровень RAID) и нажать кнопку Создать:
PBS. Создание zpool
Команда для создания зеркального zpool с использованием двух дисков и монтированием в /mnt/datastore/zfs_st:
# proxmox-backup-manager disk zpool create zfs_st --devices nvme0n1,nvme0n2 --raidlevel mirror
Для мониторинга состояния локальных дисков используется пакет smartmontools. Он содержит набор инструментов для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Если диск поддерживает S.M.A.R.T. и поддержка SMART для диска включена, просмотреть данные S.M.A.R.T. можно в веб-интерфейсе или с помощью команды:
# proxmox-backup-manager disk smart-attributes sdX

56.3.2. Создание хранилища данных

Хранилище данных — это место, где хранятся резервные копии. Текущая реализация PBS использует каталог внутри стандартной файловой системы (ext4, xfs или zfs) для хранения данных резервного копирования. Информация о конфигурации хранилищ данных хранится в файле /etc/proxmox-backup/datastore.cfg.
Необходимо настроить как минимум одно хранилище данных. Хранилище данных идентифицируется именем и указывает на каталог в файловой системе. С каждым хранилищем связаны настройки хранения, определяющие, сколько снимков резервных копий для каждого интервала времени (ежечасно, ежедневно, еженедельно, ежемесячно, ежегодно) хранить в этом хранилище.
Для создания хранилища в веб-интерфейсе, необходимо нажать кнопку Добавить хранилище данных в боковом меню (в разделе Хранилище данных). В открывшемся окне необходимо указать:
  • Имя — название хранилища данных;
  • Путь к каталогу хранилища — путь к каталогу, в котором будет создано хранилище данных;
  • Расписание сборщика мусора — частота, с которой запускается сборка мусора;
  • Расписание удаления — частота, с которой происходит удаление ранее созданных резервных копий;
  • Параметры удаления — количество резервных копий, которые необходимо хранить.
PBS. Создание хранилища данных
Создание хранилища данных в командной строке:
# proxmox-backup-manager datastore create store2 /mnt/backup/disk1
После создания хранилища данных в каталоге появляется следующий макет:
# ls -arilh /mnt/backup/disk1/
итого 1,1M
665243 -rw-r--r-- 1 backup backup    0 мар 31 14:05 .lock
665242 drwxr-x--- 1 backup backup 1,1M мар 31 14:05 .chunks
665240 drwxr-xr-x 3 root   root   4,0K мар 31 13:56 ..
665241 drwxr-xr-x 3 backup backup 4,0K мар 31 14:05
где:
  • .lock — пустой файл, используемый для блокировки процесса;
  • каталог .chunks — содержит подкаталоги, с именами от 0000 до ffff. В этих каталогах будут храниться фрагментированные данные, полученные после выполнения операции резервного копирования.

56.3.3. Управление хранилищами данных

Вывести список существующих хранилищ:
# proxmox-backup-manager datastore list
Изменить расписание сборки мусора и вывести настройки хранилища данных:
# proxmox-backup-manager datastore update store2 --gc-schedule 'Tue 04:27'
# proxmox-backup-manager datastore show store2
Удалить хранилище данных:
# proxmox-backup-manager datastore remove store2
Данная команда удалит только конфигурацию хранилища данных, данные из базового каталога удалены не будут.

56.4. Управление трафиком

Создание и восстановление резервных копий может привести к большому трафику и повлиять на работу других пользователей сети или общих хранилищ.
PBS позволяет ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей. При этом можно настроить определенные периоды, в которые будут применяться ограничения.

Примечание

Ограничение скорости не влияет на задания синхронизации. Чтобы ограничить входящий трафик, создаваемый заданием синхронизации, необходимо настроить ограничение скорости входящего трафика для конкретного задания.
Настройка правила управления трафиком в веб-интерфейсе (в разделе КонфигурацияУправление трафиком нажать кнопку Добавить):
PBS. Настройка правила управления трафиком
Управление трафиком в консоли:
  • создать правило управления трафиком для ограничения всех клиентов IPv4 (сеть 0.0.0.0/0) до 100 МБ/с:
    # proxmox-backup-manager traffic-control create rule0  --network 0.0.0.0/0 \
      --rate-in 100MB --rate-out 100MB \
      --comment "Default rate limit (100MB/s) for all clients"
    
  • ограничить правило временными рамками:
    # proxmox-backup-manager traffic-control update rule0 \
      --timeframe "mon..fri 8-19"
    
  • вывести список текущих правил:
    # proxmox-backup-manager traffic-control list
    
  • удалить правило:
    # proxmox-backup-manager traffic-control remove rule0
    
  • показать состояние (текущую скорость передачи данных) всех настроенных правил:
    # proxmox-backup-manager traffic-control traffic
    

56.5. Управление пользователями

PBS поддерживает несколько источников аутентификации:
Выбор типа аутентификации в веб-интерфейсе
PBS хранит данные пользователей в файле /etc/proxmox-backup/user.cfg.
Пользователя часто внутренне идентифицируют по его имени и области аутентификации в форме <user>@<realm>.
После установки PBS существует один пользователь root@pam, который соответствует суперпользователю ОС. Этого пользователя нельзя удалить, все системные письма будут отправляться на адрес электронной почты, назначенный этому пользователю. Суперпользователь имеет неограниченные права, поэтому рекомендуется добавить других пользователей с меньшими правами.

56.5.1. Области аутентификации

PBS поддерживает следующие области (методы) аутентификации:
  • Стандартная аутентификация Linux PAM (Linux PAM standart authentication) — пользователь аутентифицируется с помощью своего обычного системного пароля;
  • Сервер аутентификации Proxmox Backup (Proxmox Backup authentication server) — аутентификация Proxmox Backup Server. Хэшированные пароли хранятся в файле /etc/proxmox-backup/shadow.json;
  • Сервер LDAP — позволяет использовать внешний LDAP-сервер для аутентификации пользователей (например, OpenLDAP);
  • Сервер OpenID Connect — уровень идентификации поверх протокола OATH 2.0. Позволяет аутентифицировать пользователей на основе аутентификации, выполняемой внешним сервером авторизации.

56.5.1.1. Стандартная аутентификация Linux PAM

При использовании аутентификации Linux PAM системный пользователь должен существовать (должен быть создан, например, с помощью команды adduser) на всех узлах, на которых пользователю разрешено войти в систему.
Область Linux PAM создается по умолчанию и не может быть удалена.

56.5.1.2. Сервер аутентификации PBS

Область аутентификации PBS представляет собой хранилище паролей в стиле Unix (/etc/proxmox-backup/shadow.json). Пароль шифруется с использованием метода хеширования SHA-256.
Область создается по умолчанию.
Для добавления пользователя в веб-интерфейсе следует в разделе КонфигурацияУправление доступом перейти на вкладку Управление пользователями и нажать кнопку Добавить:
PBS. Добавление пользователя
Примеры использования командной строки для управления пользователями PBS:
  • просмотреть список пользователей:
    # proxmox-backup-manager user list
    
  • создать пользователя:
    # proxmox-backup-manager user create backup_u@pbs --email backup_u@test.alt
    
  • обновить или изменить любые свойства пользователя:
    # proxmox-backup-manager user update backup_u@pbs --firstname Дмитрий --lastname Иванов
    
  • отключить учетную запись пользователя:
    # proxmox-backup-manager user update backup_u@pbs --enable 0
    
  • удалить учетную запись пользователя:
    # proxmox-backup-manager user remove backup_u@pbs
    

56.5.1.3. LDAP аутентификация (FreeIPA)

В данном разделе приведён пример настройки аутентификации LDAP для аутентификации на сервере FreeIPA. В примере используются следующие исходные данные:
  • ipa.example.test, 192.168.0.113 — сервер FreeIPA;
  • admin@example.test — учётная запись с правами чтения LDAP;
  • pve — группа, пользователи которой имеют право аутентифицироваться в PBS.
Для настройки LDAP аутентификации необходимо выполнить следующие шаги:
  1. Создать область аутентификации LDAP. Для этого в разделе КонфигурацияУправление доступомСферы нажать кнопку ДобавитьСервер LDAP:
    Создать область аутентификации LDAP
  2. В открывшемся окне на вкладке Общее указать следующие данные:
    • Сфера — идентификатор области;
    • Имя основного домена (base_dn) — каталог, в котором выполняется поиск пользователей (cn=accounts,dc=example,dc=test);
    • Имя пользовательского атрибута (user_attr) — атрибут LDAP, содержащий имя пользователя, с которым пользователи будут входить в систему (uid);
    • Bind Domain Name — имя пользователя (uid=admin,cn=users,cn=accounts,dc=example,dc=test);
    • Пароль (bind) — пароль пользователя;
    • Сервер — IP-адрес или имя FreeIPA-сервера (ipa.example.test или 192.168.0.113);
    • Резервный сервер (опционально) — адрес резервного сервера на случай, если основной сервер недоступен;
    • Порт — порт, который прослушивает сервер LDAP (обычно 389 без ssl, 636 с ssl).
    Настройка аутентификации FreeIPA (вкладка Общее)
  3. На вкладке Параметры синхронизации заполнить следующие поля (в скобках указаны значения, используемые в данном примере):
    • Атрибут имени пользователя (First Name attribute) (опционально) — атрибут LDAP, содержащий имя пользователя (givenname);
    • Атрибут фамилии пользователя (Last Name attribute) (опционально) — атрибут LDAP, содержащий фамилию пользователя (sn);
    • Атрибут электронной почты (опционально) — атрибут LDAP, содержащий электронную почту пользователя (mail);
    • Классы пользователей — класс пользователей LDAP (inetOrgPerson);
    • Фильтр пользователей — фильтр пользователей (memberOf=cn=pve,cn=groups,cn=accounts,dc=example,dc=test).
    Настройка аутентификации FreeIPA (вкладка Параметры синхронизации)
  4. Нажать кнопку OK.
  5. Выбрать добавленную область и нажать кнопку Синхронизировать:
    Кнопка Синхронизировать
  6. Указать, если необходимо, параметры синхронизации и нажать кнопку Синхронизировать:
    Параметры синхронизации области аутентификации
    В результате синхронизации пользователи PBS будут синхронизированы с сервером FreeIPA LDAP. Сведения о пользователях можно просмотреть на вкладке Управление пользователями.
  7. Настроить разрешения для пользователя на вкладке Разрешения.

Примечание

Команда синхронизации пользователей:
# proxmox-backup-manager ldap sync example.test
Для автоматической синхронизации пользователей и групп можно добавить команду синхронизации в планировщик задач.

56.5.1.4. LDAP аутентификация (AD)

В данном разделе приведён пример настройки аутентификации LDAP для аутентификации на сервере AD. В примере используются следующие исходные данные:
  • dc1.test.alt, 192.168.0.122 — сервер AD;
  • administrator@test.alt — учётная запись администратора (для большей безопасности рекомендуется создать отдельную учетную запись с доступом только для чтения к объектам домена и не использовать учётную запись администратора);
  • office — группа, пользователи которой имеют право аутентифицироваться в PBS.
Для настройки LDAP аутентификации необходимо выполнить следующие шаги:
  1. Создать область аутентификации LDAP. Для этого в разделе КонфигурацияУправление доступомСферы нажать кнопку ДобавитьСервер LDAP:
    Создать область аутентификации LDAP
  2. На вкладке Общее указать следующие данные:
    • Сфера — идентификатор области;
    • Имя основного домена (base_dn) — каталог, в котором выполняется поиск пользователей (dc=test,dc=alt);
    • Имя пользовательского атрибута (user_attr) — атрибут LDAP, содержащий имя пользователя, с которым пользователи будут входить в систему (sAMAccountName);
    • Bind Domain Name — имя пользователя (cn=Administrator,cn=Users,dc=test,dc=alt);
    • Пароль (bind) — пароль пользователя;
    • Сервер — IP-адрес или имя AD-сервера (dc1.test.alt или 192.168.0.122);
    • Резервный сервер (опционально) — адрес резервного сервера на случай, если основной сервер недоступен;
    • Порт — порт, который прослушивает сервер LDAP (обычно 389 без ssl, 636 с ssl).
    Настройка аутентификации AD (вкладка Общее)
  3. На вкладке Параметры синхронизации заполнить следующие поля (в скобках указаны значения, используемые в данном примере):
    • Атрибут имени пользователя (First Name attribute) (опционально) — атрибут LDAP, содержащий имя пользователя (givenname);
    • Атрибут фамилии пользователя (Last Name attribute) (опционально) — атрибут LDAP, содержащий фамилию пользователя (sn);
    • Атрибут электронной почты (опционально) — атрибут LDAP, содержащий электронную почту пользователя (mail);
    • Классы пользователей — класс пользователей LDAP (user);
    • Фильтр пользователей — фильтр пользователей ((&(objectclass=user)(samaccountname=*)(MemberOf=CN=office,cn=Users,dc=TEST,dc=ALT))).
    Настройка аутентификации AD (вкладка Параметры синхронизации)
  4. Нажать кнопку OK.
  5. Выбрать добавленную область и нажать кнопку Синхронизировать.
  6. Указать, если необходимо, параметры синхронизации и нажать кнопку Синхронизировать:
    Параметры синхронизации области аутентификации
    В результате синхронизации пользователи PBS будут синхронизированы с сервером AD. Сведения о пользователях можно просмотреть на вкладке Управление пользователями.
  7. Настроить разрешения для пользователя на вкладке Разрешения.

Примечание

Команда синхронизации пользователей:
# proxmox-backup-manager ldap sync test.alt
Для автоматической синхронизации пользователей и групп можно добавить команду синхронизации в планировщик задач.

56.5.2. API-токены

Любой аутентифицированный пользователь может генерировать API-токены, которые, в свою очередь, можно использовать для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля.
Назначение API-токенов:
  • простой отзыв в случае компрометации клиента;
  • возможность ограничить разрешения для каждого клиента/токена в рамках разрешений пользователей.
Генерация API-токена в веб-интерфейсе:
PBS. Добавление API-токена
API-токен состоит из двух частей:
  • идентификатор (Token ID), который состоит из имени пользователя, области и имени токена (user@realm!имя токена);
  • секретное значение.
Обе части должны быть предоставлены клиенту вместо идентификатора пользователя и его пароля.
PBS. API-токен

Примечание

Отображаемое секретное значение необходимо сохранить, так как после создания токена его нельзя будет отобразить снова.
Создание API-токена в консоли:
# proxmox-backup-manager user generate-token backup_u@pbs client1
Result: {
  "tokenid": "backup_u@pbs!client1",
  "value": "ff13e5e0-30df-4a70-99f1-c62b13803769"
}

56.5.3. Управление доступом

По умолчанию новые пользователи и API-токены не имеют никаких разрешений. Добавить разрешения можно, назначив роли пользователям/токенам для определенных объектов, таким как хранилища данных или удаленные устройства.
Роль — это список привилегий. В PBS предопределён ряд ролей:
  • NoAccess — нет привилегий (используется для запрета доступа);
  • Admin — все привилегии;
  • Audit — доступ только для чтения;
  • DatastoreAdmin — все привилегии для хранилищ данных;
  • DatastoreAudit — просмотр настроек хранилищ и их содержимых без возможности чтения фактических данных;
  • DatastoreReader — просмотр содержимого хранилища, восстановление данных;
  • DatastoreBackup — создание и восстановление собственных резервных копий;
  • DatastorePowerUser — создание, восстановление и удаление собственных резервных копий;
  • RemoteAdmin — все привилегии для удалённых PBS;
  • RemoteAudit — просмотр настроек удалённых PBS;
  • RemoteSyncOperator — чтение данных с удалённых PBS;
  • TapeAdmin — все привилегии для резервного копирования на ленту;
  • TapeAudit — просмотр настроек, показателей и состояние ленты;
  • TapeOperator — создание и восстановление резервных копий на ленте без возможности изменения конфигурации;
  • TapeReader — чтение и проверка конфигурации ленты.
PBS использует систему управления разрешениями на основе ролей и путей. Запись в таблице разрешений позволяет пользователю играть определенную роль при доступе к объекту или пути. Такое правило доступа может быть представлено как тройка (путь, пользователь, роль) или (путь, API-токен, роль), причем роль содержит набор разрешенных действий, а путь представляет цель этих действий.
Информация о правах доступа хранится в файле /etc/proxmox-backup/acl.cfg. Файл содержит 5 полей, разделенных двоеточием (':'):
acl:1:/datastore:backup_u@pbs!client1:DatastoreAdmin
В каждом поле представлены следующие данные:
  • идентификатор acl;
  • 1 или 0 — включено или отключено;
  • объект, на который установлено разрешение;
  • пользователи/токены, для которых установлено разрешение;
  • устанавливаемая роль.
Добавление разрешения в веб-интерфейсе (КонфигурацияУправление доступом вкладка Разрешения):
PBS. Добавление разрешения
Управление разрешениями в консоли:
  • добавить разрешение (добавить пользователя backup_u@pbs в качестве администратора хранилища данных для хранилища данных store2, расположенного в /mnt/backup/disk1/store2):
    # proxmox-backup-manager acl update /datastore/store2 DatastoreAdmin --auth-id backup_u@pbs
    
  • вывести список разрешений:
    # proxmox-backup-manager acl list
    
  • отобразить действующий набор разрешений пользователя или API-токена:
    # proxmox-backup-manager user permissions backup_u@pbs --path /datastore/store2
    Privileges with (*) have the propagate flag set
    
    Path: /datastore/store2
    - Datastore.Audit (*)
    - Datastore.Backup (*)
    - Datastore.Modify (*)
    - Datastore.Prune (*)
    - Datastore.Read (*)
    - Datastore.Verify (*)
    

Примечание

Для токенов требуются собственные записи ACL. Токены не могут делать больше, чем их соответствующий пользователь.

56.5.4. Двухфакторная аутентификация

Примечание

Двухфакторная аутентификация реализована только для веб-интерфейса.
PBS. Двухфакторная аутентификация
PBS поддерживает три метода двухфакторной аутентификации:
  • TOTP (одноразовый пароль на основе времени) — для создания этого кода используется алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд);
  • WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS;
  • Ключи восстановления — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей.
Настройка аутентификации TOTP:
  • Добавление аутентификации TOTP на сервере:
    PBS. Настройка аутентификации TOTP
  • Использование TOTP при аутентификации пользователя:
    PBS. Запрос второго фактора (TOTP) при аутентификации пользователя в веб-интерфейсе
Настройка аутентификации Ключи восстановления:
  • Создание набора ключей:
    PBS. Настройка аутентификации Ключи восстановления
  • Использование Ключей восстановления при аутентификации пользователя:
    PBS. Запрос второго фактора (Recovery Key) при аутентификации пользователя в веб-интерфейсе

Примечание

8 неудачных попыток ввода кода TOTP отключат факторы TOTP пользователя. Они разблокируются при входе в систему с ключом восстановления. Если TOTP был единственным доступным фактором, потребуется вмешательство администратора, и настоятельно рекомендуется потребовать от пользователя немедленно изменить свой пароль.
Администратор может разблокировать двухфакторную аутентификацию пользователя в веб-интерфейсе:
PBS. Разблокировка двухфакторной аутентификации
или в командной строке:
# proxmox-backup-manager user tfa unlock backup_u@pbs

56.6. Управление удалёнными PBS

Хранилища данных с удалённого сервера можно синхронизировать с локальным хранилищем с помощью задачи синхронизации.
Информация о конфигурации удалённых PBS хранится в файле /etc/proxmox-backup/remote.cfg.
Для добавления удалённого PBS в веб-интерфейсе следует перейти в раздел КонфигурацияУдалённые хранилища и нажать кнопку Добавить:
PBS. Добавление удалённого PBS

Примечание

Отпечаток TLS-сертификата можно получить в веб-интерфейсе удалённого PBS:
PBS. Отпечаток TLS-сертификата
Получить отпечаток в командной строке:
# proxmox-backup-manager cert info | grep Fingerprint
Для настройки задачи синхронизации, необходимо в разделе Хранилище данных перейти на вкладку Задания синхронизации и нажать кнопку Добавить:
PBS. Добавление задачи синхронизации
После того, как задание синхронизации создано, оно будет запускаться по заданному расписанию, а также его можно запустить вручную из веб-интерфейса (кнопка Запустить сейчас).
Управление удалёнными PBS в консоли:
  • добавить удалённый PBS:
    # proxmox-backup-manager remote create pbs2 --host pbs2.test.alt \
    --auth-id root@pam --password 'SECRET' --fingerprint 42:5d:ff:3a:50:38:53:5a:9b:f7:50:...:ab:1b
    
  • вывести список удалённых PBS:
    # proxmox-backup-manager remote list
    
  • удалить удалённый PBS:
    # proxmox-backup-manager remote remove pbs2
    

Примечание

Удалённый PBS можно удалить, только если с ним не связано ни одно задание синхронизации.
Управление задачами синхронизации в консоли:
  • добавить задачу синхронизации:
    # proxmox-backup-manager sync-job create test_job --remote pbs2 \
    --remote-store remotestore --store zfs_st --schedule 'Sat 18:15'
    
  • вывести список задач синхронизации:
    # proxmox-backup-manager sync-job list
    
  • изменить задачу синхронизации:
    # proxmox-backup-manager sync-job update test_job --comment 'offsite'
    
  • удалить задачу синхронизации:
    # proxmox-backup-manager remote remove pbs2
    

56.7. Клиент резервного копирования

Клиент резервного копирования использует следующий формат для указания репозитория хранилища данных на сервере резервного копирования (где имя пользователя указывается в виде user@realm):
[[пользователь@]сервер[:порт]:]datastore
Значение по умолчанию для пользователя — root@pam. Если сервер не указан, используется — localhost.
Указать репозиторий можно, передав его в параметре --repository, или установив переменную окружения PBS_REPOSITORY, например:
# export PBS_REPOSITORY=pbs.test.alt:store1

Таблица 56.1. Примеры репозиториев

Пример
Пользователь
Хост:Порт
Хранилище
store1
root@pam
localhost:8007
store1
pbs.test.alt:store1
root@pam
pbs.test.alt:8007
store1
backup_u@pbs@pbs.test.alt:store1
backup_u@pbs
pbs.test.alt:8007
store1
backup_u@pbs!client1@pbs.test.alt:store1
backup_u@pbs!client1
pbs.test.alt:8007
store1
192.168.0.123:1234:store1
root@pam
192.168.0.123:1234
store1

56.7.1. Создание резервной копии

В этом разделе рассмотрено, как создать резервную копию внутри машины (физического хоста, ВМ или контейнера). Такие резервные копии могут содержать архивы файлов и образов.
Создать резервную копию домашнего каталога пользователя user (будет создан архив user.pxar):
$ proxmox-backup-client backup user.pxar:/home/user/ --repository pbs.test.alt:store1
Starting backup: host/host-01/2024-11-08T10:27:26Z
Client name: host-01
Starting backup protocol: Fri Nov  8 12:27:28 2024
fingerprint: 5b:ed:9e:af:a5:ac:48:5b:4a:64:5d:05:10:b0:fb:02:75:0f:f3:fe:e8:6b:82:51:a0:aa:5f:aa:68:90:3d:f1
Are you sure you want to continue connecting? (y/n): y
No previous manifest available.
Upload directory '/home/user/' to 'pbs.test.alt:store1' as user.pxar.didx
user.pxar: had to backup 667.04 MiB of 667.04 MiB (compressed 190.182 MiB) in 26.22s
user.pxar: average backup speed: 25.436 MiB/s
Uploaded backup catalog (109.948 KiB)
Duration: 9.59s
End Time: Fri Nov  8 12:27:38 2024
Команда proxmox-backup-client backup принимает список параметров резервного копирования, включая имя архива на сервере, тип архива и источник архива на клиенте, в формате:
<archive-name>.<type>:<source-path>
Тип архива .pxar используется для файловых архивов, а .img — для образов блочных устройств.
Команда создания резервной копии блочного устройства:
$ proxmox-backup-client backup mydata.img:/dev/mylvm/mydata --repository pbs.test.alt:zfs_st
Starting backup: host/host-01/2024-11-08T12:48:58Z
Client name: host-01
Starting backup protocol: Fri Nov  8 14:49:00 2024
storing login ticket failed: $XDG_RUNTIME_DIR must be set
No previous manifest available.
Upload image '/dev/mylvm/mydata' to 'pbs.test.alt:zfs_st' as mydata.img.fidx
mydata.img: had to backup 4.355 GiB of 20.43 GiB (compressed 2.018 GiB) in 77.94s
mydata.img: average backup speed: 57.226 MiB/s
mydata.img: backup was done incrementally, reused 16.074 GiB (78.7%)
Duration: 81.86s
End Time: Fri Nov  8 14:50:22 2024

Примечание

При запуске команды резервного копирования может быть получен такой вывод:
'Previous manifest does not contain an archive called 'mydata.img.fidx', skipping download..'
Это не является ошибкой, следует дождаться окончания процесса создания резервной копии.

Примечание

Создание резервной копии может занять продолжительное время, необходимо дождаться окончания процесса.
Убедиться в том, что резервное копирование выполняется можно в веб-интерфейсе PBS, нажав кнопку Задачи:
PBS. Выполняется резервное копирование

56.7.2. Создание зашифрованной резервной копии

PBS поддерживает шифрование на стороне клиента с помощью AES-256 в режиме GCM.
Cначала следует создать ключ шифрования:
$ proxmox-backup-client key create my-backup.key
Encryption Key Password: ******
Verify Password: ******
Создание зашифрованной резервной копии:
$ proxmox-backup-client backup user_s.pxar:/home/user/ --repository pbs.test.alt:store1 --keyfile ./my-backup.key
Password for "root@pam": ***
Starting backup: host/host-01/2024-11-08T10:29:25Z
Client name: host-01
Starting backup protocol: Fri Nov  8 12:29:25 2024
Using encryption key from './my-backup.key'..
Encryption Key Password: ********
Encryption key fingerprint: 31:96:7f:6f:80:1f:0c:b4
Downloading previous manifest (Fri Nov  8 12:27:26 2024)
Upload directory '/home/user/' to '192.168.0.123:store1' as user_s.pxar.didx
user_s.pxar: had to backup 667.04 MiB of 667.04 MiB (compressed 190.028 MiB) in 21.16s
user_s.pxar: average backup speed: 31.518 MiB/s
Uploaded backup catalog (109.971 KiB)
Duration: 5.77s
End Time: Fri Nov  8 12:29:31 2024
Содержимое хранилища store1:
PBS. Содержимое хранилища store1

56.7.3. Восстановление данных

Просмотреть список снимков на сервере:
$ proxmox-backup-client snapshot list --repository pbs.test.alt:store1
Password for "root@pam": ******

┌─────────────────────────────────────┬────────────┬─────────────────────────────────────┐
│ snapshot                            │       size │ files                               │
╞═════════════════════════════════════╪════════════╪═════════════════════════════════════╡
│ host/host-01/2024-11-08T10:27:26Z   │ 25.359 KiB │ catalog.pcat1 index.json user.pxar  │
├─────────────────────────────────────┼────────────┼─────────────────────────────────────┤
│ host/host-01/2024-11-08T10:23:34Z   │ 25.989 KiB │ catalog.pcat1 index.json user_s.pxar│
└─────────────────────────────────────┴────────────┴─────────────────────────────────────┘
Просмотреть содержимое снимка:
$ proxmox-backup-client catalog dump host/host-01/2024-11-08T10:27:26Z --repository pbs.test.alt:store1
Команда восстановления архива из резервной копии:
proxmox-backup-client restore <снимок> <имя-архива> <целевой-путь> [ОПЦИИ]
Восстановить архив user.pxar в каталог /home/user/restore:
$ proxmox-backup-client restore host/host-01/2024-11-08T10:27:26Z user.pxar /home/user/restore --repository pbs.test.alt:store1
Получить содержимое любого архива можно, восстановив файл index.json в репозитории по целевому пути «-»:
$ proxmox-backup-client restore host/host-01/2024-11-08T10:27:26Z index.json - --repository pbs.test.alt:store1
При этом содержимое архива будет выведено на стандартный вывод.
Если необходимо восстановить несколько отдельных файлов, можно использовать интерактивную оболочку восстановления:
$ proxmox-backup-client catalog shell host/host-01/2024-11-08T10:27:26Z user.pxar --repository pbs.test.alt:store1
Starting interactive shell
pxar:/ > ls
…
Пример поиска в содержимом архива и восстановление данных:
pxar:/ > find  *.txt --select
/test/connection_trace.txt
/Рабочий стол/1.txt
pxar:/ > list-selected
/test/connection_trace.txt
/Рабочий стол/1.txt
pxar:/ > restore-selected /home/user/restore/
pxar:/ > restore /home/user/conf/ --pattern *.conf
pxar:/ > exit
где:
  • find *.txt --select — найти все файлы с расширением .txt и добавить соответствующие шаблоны в список для последующего восстановления;
  • list-selected — вывести шаблоны на экран;
  • restore-selected /home/user/restore/ — восстановить все файлы в архиве, соответствующие шаблонам в /home/user/restore/ на локальном хосте;
  • restore /home/user/conf/ --pattern *.conf — восстановить все файлы с расширением .conf в /home/user/conf/ на локальном хосте.

56.7.4. Вход и выход

При первой попытке получить доступ к серверу с использованием команды proxmox-backup-client, потребуется ввести пароль пользователя. Сервер проверяет учётные данные и отправляет билет, действительный в течение двух часов. Клиент использует этот билет для последующих запросов к этому серверу.
Можно вручную инициировать вход/выход. Команда входа:
$ proxmox-backup-client login --repository pbs.test.alt:store1
Password for "root@pam": ******
Удалить билет:
$ proxmox-backup-client logout --repository pbs.test.alt:store1

56.8. Интеграция с PVE

PBS можно интегрировать в автономную или кластерную установку PVE, добавив его в качестве хранилища:
PVE. Добавление хранилища Proxmox Backup Server
Диалог создания хранилища pbs_backup типа Proxmox Backup Server для хранения резервных копий:
PVE. Диалог создания хранилища Proxmox Backup Server

Примечание

Отпечаток TLS-сертификата можно получить в веб-интерфейсе сервера резервного копирования:
PBS. Отпечаток TLS-сертификата
Или, выполнив следующую команду на сервере резервного копирования:
# proxmox-backup-manager cert info | grep Fingerprint
Fingerprint (sha256): c8:26:af:4a:c3:dc:60:72:4a:0b:4d:c1:e6:58:02:62:90:39:cb:fc:75:5d:00:9a:57:ca:3d:28:a0:2c:99:a5
Добавление хранилища в командной строке:
# pvesm add pbs pbs_backup --server pbs.test.alt --datastore store1 --fingerprint c8:26:af:4a:c3:dc:60:72:...:99:a5 --username root@pam --password
Просмотреть состояние хранилища:
# pvesm status --storage pbs_backup
Name              Type     Status           Total            Used       Available        %
pbs_backup         pbs     active        30786448         3097752        26099504   10.06%
Добавив хранилище данных типа Proxmox Backup Server в PVE, можно создавать резервные копии ВМ и контейнеров в это хранилище так же, как и в любые другие хранилища.

56.9. Резервное копирование на ленту

Резервное копирование на ленту обеспечивает простой способ хранения содержимого хранилища данных на магнитных лентах. Это повышает безопасность данных, за счёт получения дополнительной копии данных, на другом типе носителя (лента), в другом расположении (можно переместить ленты за пределы объекта).
При восстановлении данных из резервных копий чаще всего восстанавливаются данные последнего задания резервного копирования. Запросы на восстановление уменьшаются по мере старения данных. Учитывая это, резервное копирование на ленту может сократить использование дискового пространства, поскольку можно удалить данные с диска после их архивации на ленте. Это особенно актуально, если необходимо хранить данные в течение нескольких лет.
Резервные копии на ленте не обеспечивают произвольный доступ к хранящимся данным. Для получения доступа к данным, необходимо предварительно восстановить данные на диск. Кроме того, если ленты хранятся за пределами объекта, необходимо вернуть их на место, прежде чем выполнять какие-либо операции по восстановлению. Поэтому восстановление с ленты может занять гораздо больше времени, чем восстановление с диска.

Примечание

PBS хранит сжатые данные, поэтому использование функции сжатия ленты не даёт преимуществ.

56.9.1. Поддерживаемое оборудование

PBS поддерживает Linear Tape-Open 5-го поколения (LTO-5) или новее, а также обеспечивает максимальную поддержку 4-го поколения (LTO-4).
Смена лент осуществляется по протоколу SCSI Medium Changer, поэтому все современные ленточные библиотеки должны работать.
Современные ленты LTO-8 обеспечивают скорость чтения/записи до 360 МБ/с Для полной записи или чтения одной ленты требуется минимум 9 часов (даже на максимальной скорости).
Единственный способ увеличить скорость передачи данных — использовать более одного привода. Таким образом, можно запускать несколько заданий резервного копирования параллельно или запускать задания восстановления, в то время как другие приводы используются для резервного копирования.
Необходимо также учитывать, что сначала необходимо прочитать данные из хранилища данных (диска). Однако жёсткий диск не может доставлять данные с такой скоростью. На практике скорость может быть от 60 до 100 МБ/с, поэтому для чтения 12 ТБ, необходимых для заполнения ленты LTO-8, требуется 33 часа. Для того чтобы записывать на ленту на полной скорости, необходимо убедиться, что исходное хранилище данных способно обеспечить такую производительность (например, использовать SSD).
Начиная с LTO-9, при первом использовании необходимо обязательно калибровать (инициализировать) любой новый носитель в ленточном приводе, для получения максимальной емкости хранения и надежности записи. Калибровка занимает от 40 до 120 минут на каждый носитель. Рекомендуется инициализировать носитель с помощью инструментов, предоставленных поставщиком оборудования накопителя или чейнджера. Некоторые устройства смены лент имеют метод «массовой» инициализации носителя.
Форматирование лент на PBS обрабатывается по-разному, чтобы избежать повторной оптимизации для каждого формата/маркировки. Если нужно отформатировать носитель для использования с PBS в первый раз или после использования с другой программой, следует либо использовать функциональные возможности привода/чейнджера, либо использовать «медленное» форматирование в командной строке:
# proxmox-tape format --drive your-drive --fast 0
При этом будут полностью удалены все ранее существовавшие данные и будет запущен этап оптимизации.
Если носитель LTO-9 форматируется с помощью «быстрого» метода (по умолчанию или с параметром --fast 1), будет отформатирован только первый раздел.

56.9.2. Быстрый старт

Для резервного копирования на ленту необходимо выполнить следующие действия:
  • настроить оборудование (приводы и устройства смены лент);
  • настроить один или несколько пулов носителей;
  • промаркировать картриджи с лентой;
  • запустить задание резервного копирования на ленту.
Дополнительно рекомендуется выполнить следующие настройки:
  1. Убедиться, что присутствует загруженный в ядро модуль (драйвер) sg:
    # lsmod | grep sg
    
    Если команда не вывела результата, необходимо загрузить модуль sg:
    # modprobe sg
    
    Чтобы модуль sg загружался при загрузке системы, необходимо создать файл /etc/modules-load.d/sg.conf, в который добавить имя модуля sg:
    # echo sg > /etc/modules-load.d/sg.conf
    
  2. Установить пакеты mt-st и mtx, если они еще не установлены:
    # apt-get install mt-st mtx
    
  3. Для удобства отображения устройств на шине SCSI можно также установить пакет lsscsi и выполнить поиск устройств на шине:
    # apt-get install lsscsi
    # lsscsi -g
    
    либо:
    # lsscsi -vd
    
    В выводе должны присутствовать наименования устройств, с указанием устройств в служебной ФС ядра /dev, например:
    # lsscsi -g
    [1:2:0:0] tape HP Ultrium 5-SCSI Z39W /dev/st0 /dev/sg4 (ленточный привод)
    [1:2:0:1] mediumx HP MSL G3 Series 6.20 /dev/sch0 /dev/sg5 (устройство смены лент)
    
  4. Использовать программу mtx для управления роботом:
    # mtx <устройство> команда
    
    Например:
    # mtx -f /dev/sg5 status
    Storage Changer /dev/sg5:1 Drives, 16 Slots (
    0 Import/Export ) Data Transfer Element 0:Empty Storage Element 1:Empty
    Storage Element 2:Empty Storage Element 3:Empty Storage Element 4:Empty
    Storage Element 5:Empty Storage Element 6:Empty Storage Element 7:Empty
    Storage Element 8:Empty Storage Element 9:Empty Storage Element
    10:Empty Storage Element 11:Empty Storage Element 12:Empty Storage
    Element 13:Empty Storage Element 14:Empty Storage Element 15:Empty
    Storage Element 16:Empty
    
    Возможные команды:
    • status — осуществляет опрос статуса;
    • inventory — осуществляет инвентаризацию лент;
    • load <номер_слота> [<номер_привода>] — загрузжает ленту из указанного слота в указанный привод;
    • unload [<номер_слота>] [<номер_привода>] — выгрузжает ленту из указанного слота.

    Примечание

    • mtx — низкоуровневый интерфейс управления устройством смены лент
    • mt — низкоуровневый интерфейс управления ленточным приводом

Примечание

Пакеты mt-st, mtx и lsscsi не входят в состав ISO-образа дистрибутива, их можно установить из репозитория p10. О добавлении репозиториев можно почитать в разделе Управление репозиториями.

56.9.3. Настройка резервного копирования

Все настройки можно выполнять как в веб-интерфейсе, так и в командной строке.

Примечание

Если при работе с новой лентой возникает ошибка
TASK ERROR: media read error - read failed - Blank Check, Additional sense: End-of-data not found
необходимо выполнить команду:
# pmt rewind

56.9.3.1. Устройства смены лент (Tape changers)

Этот шаг можно пропустить, если используется автономный диск.
Устройства смены лент (роботы) являются частью ленточной библиотеки. Они содержат несколько слотов для картриджей с лентой, считыватель штрих-кода для идентификации картриджей с лентой и автоматизированный метод загрузки лент.
Получить список доступных устройств:
# proxmox-tape changer scan
┌─────────────────────────────┬─────────┬──────────────┬────────┐
│ path                        │ vendor  │ model        │ serial │
╞═════════════════════════════╪═════════╪══════════════╪════════╡
│ /dev/tape/by-id/scsi-CC2C52 │ Quantum │ Superloader3 │ CC2C52 │
└─────────────────────────────┴─────────┴──────────────┴────────┘
Чтобы использовать устройство с PBS, необходимо создать запись конфигурации, например:
# proxmox-tape changer create CHGR1 --path /dev/tape/by-id/scsi-CC2C52
где CHGR1 — произвольное имя.

Примечание

Так как имена типа /dev/sg* могут после перезагрузки указывать на другое устройство, необходимо использовать постоянные имена путей к устройствам, например, /dev/tape/by-id/.
Операцию добавления устройства смены лент также можно выполнить в веб-интерфейсе. Для этого в разделе Tape BackupСменщики, необходимо нажать кнопку Добавить:
Резервное копирование на ленту. Устройства смены лент
Откроется диалоговое окно, в котором необходимо указать имя и выбрать устройство:
Резервное копирование на ленту. Добавление нового устройства смены ленты
Просмотреть получившуюся конфигурацию можно, выполнив команду:
# proxmox-tape changer config CHGR1
┌──────┬─────────────────────────────┐
│ Name │ Value                       │
╞══════╪═════════════════════════════╡
│ name │ CHGR1                       │
├──────┼─────────────────────────────┤
│ path │ /dev/tape/by-id/scsi-CC2C52 │
└──────┴─────────────────────────────┘
Вывести все настроенные устройства:
# proxmox-tape changer list
┌──────┬─────────────────────────────┬─────────┬──────────────┬────────────┐
│ name │ path                        │ vendor  │ model        │ serial     │
╞══════╪═════════════════════════════╪═════════╪══════════════╪════════════╡
│ CHGR1│ /dev/tape/by-id/scsi-CC2C52 │ Quantum │ Superloader3 │ CC2C52     │
└──────┴─────────────────────────────┴─────────┴──────────────┴────────────┘
Производитель, модель и серийный номер определяются автоматически, но отображаются только в том случае, если устройство подключено к сети.
Чтобы проверить настройку, можно также запросить статус устройства:
# proxmox-tape changer status CHGR1
┌───────────────┬──────────┬────────────┬─────────────┐
│ entry-kind    │ entry-id │ label-text │ loaded-slot │
╞═══════════════╪══════════╪════════════╪═════════════╡
│ drive         │        0 │ vtape1     │           1 │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        1 │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        2 │ vtape2     │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ ...           │      ... │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │       16 │            │             │
└───────────────┴──────────┴────────────┴─────────────┘
Ленточные библиотеки обычно предоставляют несколько специальных слотов импорта/экспорта (также называемых «почтовыми слотами»). Ленты внутри этих слотов доступны снаружи, что упрощает добавление/удаление лент в/из библиотеки. Эти ленты считаются «автономными», поэтому задания резервного копирования не используют их. Эти специальные слоты определяются автоматически и помечаются как слоты import-export в выводе команды proxmox-tape changer status.
Некоторые небольшие ленточные библиотеки не имеют таких слотов. Они не могут удерживать медиафайлы, пока робот занимается другими делами. Они также не предоставляют доступ к этому «почтовому слоту» через интерфейс SCSI, поэтому их нельзя увидеть в выводе команды proxmox-tape changer status.
В качестве обходного пути можно пометить некоторые обычные слоты как слоты экспорта. Программное обеспечение рассматривает эти слоты как настоящие слоты import-export, а носители внутри этих слотов считаются «автономными» (недоступными для резервного копирования):
# proxmox-tape changer update CHGR1 --export-slots 15,16
Теперь можно увидеть эти искусственные слоты import-export в выводе команды:
# proxmox-tape changer status CHGR1
┌───────────────┬──────────┬────────────┬─────────────┐
│ entry-kind    │ entry-id │ label-text │ loaded-slot │
╞═══════════════╪══════════╪════════════╪═════════════╡
│ drive         │        0 │ vtape1     │           1 │
├───────────────┼──────────┼────────────┼─────────────┤
│ import-export │       15 │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ import-export │       16 │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        1 │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        2 │ vtape2     │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ ...           │      ... │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │       14 │            │             │
└───────────────┴──────────┴────────────┴─────────────┘
Поскольку не все устройства смены ленты ведут себя одинаково, иногда возникает необходимость в настройке дополнительных параметров. Например, можно указать дополнительный параметр --eject-before-unload (необходим для некоторых устройств, которым требуется извлечение ленты перед выгрузкой из привода):
# proxmox-tape changer update CHGR1 --eject-before-unload true

56.9.3.2. Ленточные накопители (приводы)

Получить список доступных ленточных приводов:
# proxmox-tape drive scan
┌────────────────────────────────┬────────┬─────────────┬────────┐
│ path                           │ vendor │ model       │ serial │
╞════════════════════════════════╪════════╪═════════════╪════════╡
│ /dev/tape/by-id/scsi-12345-sg  │ IBM    │ ULT3580-TD4 │  12345 │
└────────────────────────────────┴────────┴─────────────┴────────┘
Чтобы использовать этот привод с PBS, необходимо создать запись конфигурации. Это можно сделать в веб-интерфейсе Tape BackupДиски:
Резервное копирование на ленту. Добавление нового ленточного привода
Или с помощью команды:
# proxmox-tape drive create TAPELIB1 --path /dev/tape/by-id/scsi-<цифры>-sg

Примечание

Так как имена типа /dev/sg* могут после перезагрузки указывать на другое устройство, необходимо использовать постоянные имена путей к устройствам, например, /dev/tape/by-id/.
При наличии ленточной библиотеки, также необходимо настроить соответствующее устройство смены лент:
# proxmox-tape drive update TAPELIB1 --changer CHGR1 --changer-drivenum 0
Параметр --changer-drivenum необходим только в том случае, если ленточная библиотека включает более одного привода (команда proxmox-tape changer status выводит список всех номеров накопителей).
Просмотреть полученную конфигурацию:
# proxmox-tape drive config mydrive
┌─────────┬────────────────────────────────┐
│ Name    │ Value                          │
╞═════════╪════════════════════════════════╡
│ name    │ mydrive                        │
├─────────┼────────────────────────────────┤
│ path    │ /dev/tape/by-id/scsi-12345-sg  │
├─────────┼────────────────────────────────┤
│ changer │ CHGR1                          │
└─────────┴────────────────────────────────┘

Примечание

Значение 0, указанное в параметре --changer-drivenum, не сохраняется в конфигурации, поскольку используется по умолчанию.
Вывести список всех настроенных дисков:
# proxmox-tape drive list
┌────────┬──────────────────────────────┬────────┬───────┬────────────┬────────┐
│ name   │ path                         │ changer│ vendor│ model      │ serial │
╞════════╪══════════════════════════════╪════════╪═══════╪════════════╪════════╡
│ mydrive│ /dev/tape/by-id/scsi-12345-sg│ CHGR1  │ IBM   │ ULT3580-TD4│ 12345  │
└────────┴──────────────────────────────┴────────┴───────┴────────────┴────────┘
Производитель, модель и серийный номер определяются автоматически и отображаются только в том случае, если устройство подключено к сети.
Для тестирования можно просто запросить состояние диска:
# proxmox-tape status --drive mydrive
┌────────────────┬──────────────────────────┐
│ Name           │ Value                    │
╞════════════════╪══════════════════════════╡
│ blocksize      │ 0                        │
├────────────────┼──────────────────────────┤
│ density        │ LTO4                     │
├────────────────┼──────────────────────────┤
│ compression    │ 1                        │
├────────────────┼──────────────────────────┤
│ buffer-mode    │ 1                        │
├────────────────┼──────────────────────────┤
│ alert-flags    │ (empty)                  │
├────────────────┼──────────────────────────┤
│ file-number    │ 0                        │
├────────────────┼──────────────────────────┤
│ block-number   │ 0                        │
├────────────────┼──────────────────────────┤
│ manufactured   │ Fri Dec 13 01:00:00 2019 │
├────────────────┼──────────────────────────┤
│ bytes-written  │ 501.80 GiB               │
├────────────────┼──────────────────────────┤
│ bytes-read     │ 4.00 MiB                 │
├────────────────┼──────────────────────────┤
│ medium-passes  │ 20                       │
├────────────────┼──────────────────────────┤
│ medium-wearout │ 0.12%                    │
├────────────────┼──────────────────────────┤
│ volume-mounts  │ 2                        │
└────────────────┴──────────────────────────┘

Примечание

Размер блока всегда должен быть равен 0 (режим переменного размера блока).

56.9.3.3. Медиа-пулы (пулы носителей)

Пул носителей — это логический контейнер для лент. Задание резервного копирования предназначено для одного пула носителей, поэтому задание использует только ленты из этого пула.
Набор носителей — это группа непрерывно записываемых лент, используемых для разделения большего пула на более мелкие восстанавливаемые блоки. Одно или несколько заданий резервного копирования записывают данные на набор носителей, создавая упорядоченную группу лент. Наборы носителей идентифицируются уникальным идентификатором. Этот идентификатор и порядковый номер хранятся на каждой ленте этого набора (метка ленты). Наборы носителей являются основной единицей для задач восстановления. Для восстановления содержимого набора носителей понадобится каждая лента в наборе. Данные полностью дедуплицируются внутри набора носителей.
Резервное копирование на ленту. Пулы носителей
В пуле дополнительно определяется, как долго задания резервного копирования могут добавлять данные в набор носителей (поле Политика выделения в веб-интерфейсе):
  • Попробовать использовать текущий набор носителей (continue).
    Этот параметр создает один большой набор носителей. Это очень эффективно (дедупликация, отсутствие неиспользуемого пространства), но может привести к увеличению времени восстановления, поскольку заданиям восстановления необходимо читать все ленты в наборе.

    Примечание

    Данные полностью дедуплицируются внутри набора носителей. Это также означает, что данные случайным образом распределяются по лентам в наборе. Таким образом, даже если восстанавливается одна ВМ, данные, возможно, придется считать со всех лент внутри набора носителей.
    Наборы носителей большего размера более подвержены ошибкам, поскольку даже одна поврежденная лента приводит к сбою восстановления.
    Сценарий использования: в основном используется с ленточными библиотеками. Создание нового набора запускается вручную, при запуске задания резервного копирования с параметром --export.

    Примечание

    Срок хранения начинается с момента появления нового набора носителей.
  • Всегда создавать новый набор носителей (always).
    При использовании этого параметра каждое задание резервного копирования создает новый набор носителей. Это менее эффективно, поскольку носитель из последнего набора может быть записан не полностью, а оставшееся пространство останется неиспользованным.
    Преимущество такого подхода состоит в том, что при этом создаются наборы носителей минимального размера. С небольшими наборами легче обращаться, их удобнее перемещать в удаленное хранилище, и их можно восстановить гораздо быстрее.

    Примечание

    Срок хранения начинается с момента создания набора носителей.
  • Создать новый набор при срабатывании указанного события календаря.
    Позволяет указывать моменты времени, используя systemd (см. man systemd.time). Например, при указании значения weekly (или Mon *-*-* 00:00:00) новый набор будет создаваться каждую неделю.
    Эта настройка балансирует между эффективностью использования пространства и количеством носителей.

    Примечание

    Срок хранения начинается со времени создания следующего набора мультимедиа или, если такового нет, когда событие календаря в следующий раз инициируется после времени начала текущего набора мультимедиа.
Следующие события также могут выделить новый набор носителей:
  • требуемая лента находится в автономном режиме (и используется ленточная библиотека);
  • текущий набор содержит поврежденные или устаревшие ленты;
  • шифрование пула носителей изменилось;
  • ошибки согласованности базы данных, например, если опись не содержит необходимой информации о носителе или содержит противоречивую информацию (устаревшие данные).
Политика хранения определяет, как будут храниться данные:
  • всегда перезаписывать носитель;
  • защищать данные в течение указанного периода времени;
  • никогда не перезаписывать данные.
Ленточные накопители LTO-4 (или более поздних версий) поддерживают аппаратное шифрование. Если настроить пул носителей на использование шифрования, все данные, записываемые на ленты, шифруются с использованием настроенного ключа. Таким образом, неавторизованные пользователи не смогут прочитать данные с носителя.

Примечание

Если клиент резервного копирования также шифрует данные, то данные на ленте будут зашифрованы дважды.
Защищенный паролем ключ хранится на каждом носителе, поэтому его можно восстановить с помощью пароля.
Для добавления нового пула носителей в Tape BackupПулы носителей следует нажать кнопку Добавить:
Резервное копирование на ленту. Добавление нового пула
Или воспользоваться командой:
# proxmox-tape pool create <Имя> [OPTIONS]
Пример добавления пула:
# proxmox-tape pool create daily
Дополнительные параметры можно установить позже, например:
# proxmox-tape pool update daily --allocation daily --retention 7days
Вывести список всех настроенных пулов:
# proxmox-tape pool list
┌───────┬──────────┬────────────┬───────────┬──────────┐
│ name  │ drive    │ allocation │ retention │ template │
╞═══════╪══════════╪════════════╪═══════════╪══════════╡
│ daily │ mydrive  │ daily      │ 7days     │          │
└───────┴──────────┴────────────┴───────────┴──────────┘

56.9.3.4. Задания резервного копирования на ленту

Чтобы автоматизировать резервное копирование на ленту, можно настроить задания резервного копирования, которые записывают содержимое хранилища данных в пул носителей по определенному расписанию. При создании задания резервного копирования на ленту необходимо указать:
  • store — хранилище данных, резервную копию которого нужно создать;
  • pool — пул носителей (используются только ленточные картриджи из этого пула);
  • drive — ленточный накопитель;
  • schedule — расписание заданий.
Пример настройки задания резервного копирования на ленту для хранилища данных pve-backup:
# proxmox-tape backup-job create myjob --store pve-backup \
  --pool mypool --drive mydrive --schedule daily
По умолчанию резервная копия включает все снимки из группы резервного копирования. Чтобы включать только самые последние снимки можно использовать опцию --latest-only:
# proxmox-tape backup-job update job2 --latest-only
Для отправки уведомлений о запросах на ленту или отчетов об ошибках можно указать пользователя, на электронную почту которого будут отправляться уведомления:
# proxmox-tape backup-job update job2 --notify-user root@pam

Примечание

Для возможности отправки электронной почты должен быть установлен пакет postfix и запущена соответствующая служба:
# systemctl enable --now postfix
Иногда бывает полезно извлечь ленту из привода после резервного копирования:
# proxmox-tape backup-job update job2 --eject-media
Для автономного накопителя опция --eject-media извлекает ленту, гарантируя, что следующая резервная копия не сможет использовать ленту (если только кто-то вручную не загрузит ленту). Для ленточных библиотек этот параметр выгружает ленту в свободный слот.

Примечание

В случае если задание завершается ошибкой, лента остается в приводе.
Для ленточных библиотек параметр --export-media-set перемещает все ленты из набора носителей в слот экспорта, гарантируя, что следующая резервная копия не сможет использовать эти ленты:
# proxmox-tape backup-job update job2 --export-media-set

Примечание

Опцию --export-media-set можно использовать для принудительного запуска нового набора носителей, поскольку ленты из текущего набора больше не находятся в сети.
Запуск задания резервного копирования вручную:
# proxmox-tape backup-job run job2
Удаление задания резервного копирования:
# proxmox-tape backup-job remove job2
По умолчанию все (рекурсивные) пространства имен хранилища данных включаются в резервную копию на ленте. Можно указать одно пространство имен с помощью опции --ns и глубину с помощью опции --max-deep. Например:
# proxmox-tape backup-job update job2 --ns mynamespace --max-depth 3
Если опция --max-deep не указана, резервная копия будет включать все рекурсивные пространства имен.
Операции с заданиями резервного копирования можно также выполнять в веб-интерфейсе на вкладке Tape BackupЗадания резервного копирования. При создании задания резервного копирования в поле Локальное хранилище данных следует указать хранилище данных, для которого будет создаваться резервная копию, а в поле Пул носителей — пул, в который выполняется резервное копирование:
Резервное копирование на ленту. Добавление задания резервного копирования

56.9.4. Администрирование

Во многих подкомандах команды proxmox-tape используется параметр --drive с указанием привода, с которым будет происходить работа. Для удобства можно задать привод в переменной среды:
# export PROXMOX_TAPE_DRIVE=mydrive
В этом случае в команде можно не указывать параметр --drive. Если привод имеет связанное с ним устройство смены лент, также можно опустить параметр --changer в командах, которым требуется устройство смены лент, например:
# proxmox-tape changer status
Вывод этой команды должен отображать статус устройства смены лент, связанного с диском mydrive.

56.9.4.1. Этикетки

По умолчанию все кассеты с лентой выглядят одинаково, поэтому для уникальной идентификации на них необходимо нанести этикетку. Сначала следует наклеить на картридж этикетку с текстом. Затем необходимо записать тот же текст метки на ленту, чтобы программное обеспечение могло однозначно идентифицировать ленту.
Для автономного накопителя необходимо вставить новый ленточный картридж в привод и выполнить команду:
# proxmox-tape label --label-text <текст метки> [--pool <имя пула>]
Аргумент --pool можно опустить, чтобы разрешить использование ленты любым пулом.

Примечание

По соображениям безопасности эта команда не выполняется, если лента содержит какие-либо данные.
Прочитать этикетку:
# proxmox-tape read-label
┌─────────────────┬──────────────────────────────────────┐
│ Name            │ Value                                │
╞═════════════════╪══════════════════════════════════════╡
│ label-text      │ vtape1                               │
├─────────────────┼──────────────────────────────────────┤
│ uuid            │ 7f42c4dd-9626-4d89-9f2b-c7bc6da7d533 │
├─────────────────┼──────────────────────────────────────┤
│ ctime           │ Wed Jul 24 09:13:36 2024             │
├─────────────────┼──────────────────────────────────────┤
│ pool            │ daily                                │
├─────────────────┼──────────────────────────────────────┤
│ media-set-uuid  │ 00000000-0000-0000-0000-000000000000 │
├─────────────────┼──────────────────────────────────────┤
│ media-set-ctime │ Wed Jul 24 09:13:36 2024             │
└─────────────────┴──────────────────────────────────────┘

Примечание

Параметр media-set-uuid, содержащий все нули, указывает на пустую ленту (не используемую ни одним набором носителей).
Если используется ленточная библиотека, сначала необходимо наклеить на ленточные картриджи этикетку со штрих-кодом и загрузить эти пустые ленты в библиотеку. Затем можно пометить все непомеченные ленты с помощью команды:
# proxmox-tape barcode-label [--pool <имя пула>]

56.9.4.2. Запуск резервного копирования на ленту

Для запуска задания резервного копирования вручную необходимо нажать кнопку Запустить сейчас в веб-интерфейсе или использовать команду:
# proxmox-tape backup <хранилище> <пул> [OPTIONS]
Доступны следующие опции:
  • --eject-media — извлечь носитель после завершения работы;
  • --export-media-set — после успешного выполнения задания резервного копирования все ленты из используемого набора носителей перемещаются в слоты импорта-экспорта;
  • --ns — пространство имен для резервного копирования. Используется, если нужно создать резервную копию только определенного пространства имен. Если этот параметр опущен, предполагается корневое пространство имен;
  • --max-depth — глубина рекурсивных пространств имен. 0 означает отсутствие рекурсии вообще (только заданное пространство имен).

56.9.4.3. Восстановление с ленты

Восстановление выполняется с детализацией набора носителей, поэтому сначала необходимо выяснить, какой набор носителей содержит данные которые нужно восстановить. Эта информация хранится в медиа-каталоге. Если медиа-каталогов еще нет, сначала необходимо их восстановить. Следует обратить внимание, что для поиска данных понадобится каталог, но для восстановления полного набора мультимедиа каталоги мультимедиа не нужны.
Следующая команда выводит список медиаконтента (из каталога):
# proxmox-tape media content
Задание восстановления считывает данные с набора носителей и перемещает их обратно на диск данных (хранилище данных):
# proxmox-tape restore <media-set-uuid> <хранилище>
Например:
# proxmox-tape restore 9da37a55-aac7-4deb-91c6-482b3b675f30 pve-backup
Иногда нет необходимости восстанавливать весь носитель, а только некоторые отдельные снимки с ленты. Этого можно добиться с помощью параметра snapshot:
# proxmox-tape restore <media-set-uuid> <хранилище> [<snapshot>]
Например:
# proxmox-tape restore 9da37a55-aac7-4deb-91c6-482b3b675f30 pve-backup sourcestore:host/hostname/2024-04-01T00:01:00Z
При этом снимок сначала восстанавливается во временном расположении, затем восстанавливаются соответствующие архивы фрагментов и, наконец, восстанавливаются данные моментального снимка в целевое хранилище данных.
Параметр snapshot можно передавать несколько раз, чтобы восстановить несколько снимков одним действием восстановления.

Примечание

При использовании восстановления с помощью параметра snapshot ленту необходимо пройти более одного раза, что при одновременном восстановлении нескольких моментальных снимков может занять больше времени, чем восстановление всего хранилища данных.
Во время восстановления также можно выбрать и сопоставить определенные пространства имен из набора носителей. Это возможно с помощью параметра --namespaces. Формат параметра:
store=<source-datastore>[,source=<source-ns>][,target=<target-ns>][,max-depth=<depth>]
Если source или target не указаны, предполагается корневое пространство имен. Если не указан max-depth, исходное пространство имен будет полностью рекурсивно.
Пример команды восстановления:
# proxmox-tape restore 9da37a55-aac7-4deb-91c6-482b3b675f30 pve-backup \
 --namespaces store=sourcedatastore,source=ns1,target=ns2,max-depth=2
Параметр --namespaces может быть указан несколько раз. Его также можно комбинировать с параметром snapshot, чтобы восстанавливать только эти снимки и сопоставлять их с различными пространствами имен.

56.9.4.4. Восстановить каталог

Чтобы восстановить каталог с существующей ленты, достаточно вставить ленту в привод и выполнить:
# proxmox-tape catalog
Восстановить с ленты можно даже без существующего каталога, но только весь набор носителей. В этом случае каталог будет создан автоматически.

56.9.4.5. Управление ключами шифрования

Ключами шифрования можно управлять в разделе Tape BackupКлючи шифрования:
Резервное копирование на ленту. Ключи шифрования
Или с помощью команды proxmox-tape key.
Пример создания нового ключа шифрования:
# proxmox-tape key create --hint "tape pw 2024"
Tape Encryption Key Password: ********
Verify Password: ********
"aa:8e:53:82:9f:b0:37:9b:e5:55:ae:cf:53:1b:2b:54:ac:97:65:f9:43:b6:88:71:dc:71:41:2f:22:db:2e:89"
Вывести список ключей:
# proxmox-tape key list
┌───────────────────────────────────────────────────┬───────────────┐
│ fingerprint                                       │ hint          │
╞═══════════════════════════════════════════════════╪═══════════════╡
│ aa:8e:53:82:9f:b0:37:9b: ...   :41:2f:22:db:2e:89 │ tape pw 2024  │
└───────────────────────────────────────────────────┴───────────────┘
Отобразить сведения о ключе шифрования:
# proxmox-tape key show aa:8e:53:82:9f:b0:37:9b: ... :2f:22:db:2e:89
┌─────────────┬───────────────────────────────────────────────┐
│ Name        │ Value                                         │
╞═════════════╪═══════════════════════════════════════════════╡
│ kdf         │ scrypt                                        │
├─────────────┼───────────────────────────────────────────────┤
│ created     │ Wed Jul 24 09:03:45 2024                      │
├─────────────┼───────────────────────────────────────────────┤
│ modified    │ Wed Jul 24 09:03:45 2024                      │
├─────────────┼───────────────────────────────────────────────┤
│ fingerprint │ aa:8e:53:82:9f:b0:37:9b: ...  :2f:22:db:2e:89 │
├─────────────┼───────────────────────────────────────────────┤
│ hint        │ tape pw 2024                                  │
└─────────────┴───────────────────────────────────────────────┘
Подкоманду paperkey можно использовать для создания QR-кода ключа шифрования ленты. Например, создать QR-код и записать его в текстовый файл для удобной печати:
# proxmox-tape key paperkey <fingerprint> --output-format text > qrkey.txt
Для восстановления ключа шифрования с ленты, необходимо загрузить в привод ленту, которую нужно восстановить и нажать кнопку Восстановить ключ в веб-интерфейсе или запустить команду (потребуется ввести пароль, заданный при создании ключа):
# proxmox-tape key restore
Tape Encryption Key Password: ***********
Если пароль правильный, ключ будет импортирован в базу данных. Задания восстановления автоматически используют любой доступный ключ.

56.9.4.6. Очистка ленты

Ленточные накопители LTO требуют регулярной чистки. Это делается путем загрузки в привод чистящего картриджа, что для автономных накопителей выполняется вручную.
В ленточных библиотеках чистящие картриджи обозначаются специальными этикетками, начинающимися с букв «CLN». Например, в ленточной библиотеке CHGR1 в слоте 3 имеется чистящий картридж:
# proxmox-tape changer status CHGR1
┌───────────────┬──────────┬────────────┬─────────────┐
│ entry-kind    │ entry-id │ label-text │ loaded-slot │
╞═══════════════╪══════════╪════════════╪═════════════╡
│ drive         │        0 │ vtape1     │           1 │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        1 │            │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        2 │ vtape2     │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot          │        3 │ CLN001CU   │             │
├───────────────┼──────────┼────────────┼─────────────┤
│ ...           │      ... │            │             │
└───────────────┴──────────┴────────────┴─────────────┘
Запустить операцию очистки можно, выполнив команду:
# proxmox-tape clean
Эта команда делает следующее:
  • находит чистящую ленту (в слоте 3);
  • выгружает текущий носитель из привода (обратно в слот 1);
  • загружает чистящую ленту в привод;
  • запускает операцию очистки диска;
  • выгружает чистящую ленту (в слот 3).

Глава 57. Система резервного копирования UrBackup

UrBackup — это простое в настройке кроссплатформенное клиент-серверное программное обеспечение, позволяющее управлять резервным копированием для компьютеров и операционных систем различных типов. UrBackup позволяет создавать инкрементные и полные резервные копии, как целых разделов, так и отдельных каталогов, с возможностью выбора файлов, которые попадут в архив, а также делать снапшоты разделов жесткого диска.

Примечание

В настоящее время резервные копии образов (снапшоты) работают только с томами в формате NTFS и с клиентами Windows. Резервное копирование образов предназначено в основном для резервного копирования загрузочного тома (C:) систем Windows. Для архивирования других данных следует воспользоваться резервным копированием файлов.
Для управления настройкой резервного копирования и резервными копиями используется веб-интерфейс.

57.1. Установка UrBackup

57.1.1. Сервер UrBackup

Установить сервер UrBackup:
# apt-get install urbackup-server
Создать каталог для резервных копий:
# mkdir -p /mnt/backups/urbackup
Каталог должен принадлежать пользователю urbackup и у этого пользователя должны быть права на чтение/запись:
# chown -R urbackup:urbackup /mnt/backups/urbackup
Добавить UrBackup-сервер в автозапуск и запустить его:
# systemctl enable --now urbackup-server

Примечание

UrBackup по умолчанию прослушивает порты 55413 и 55414.
Веб-интерфейс UrBackup будет доступен по адресу http://<ip-сервера>:55414:
Веб-интерфейс UrBackup

Важно

Если появляется ошибка: «Каталог, где UrBackup будет сохранять резервные копии, недоступен…», следует изменить путь к каталогу резервных копий, выбрав пункт меню Настройки, либо изменить права доступа к каталогу.

Примечание

Сразу после установки доступ к веб-интерфейсу UrBackup будет возможен без аутентификации. Чтобы в дальнейшем требовался ввод имени пользователя и пароля необходимо создать администратора (перейти на вкладку НастройкиПользователи и нажать кнопку Создать):
UrBackup. Создание пользователя

57.1.2. Клиент UrBackup

Установить клиент UrBackup:
# apt-get install urbackup-client
Добавить UrBackup-клиент в автозапуск и запустить его:
# systemctl enable --now urbackup-client
Локальные клиенты будут обнаружены сервером автоматически и появятся в веб-интерфейсе на вкладке Статус:
Клиент на сервере UrBackup

57.2. Настройка резервного копирования

В веб-интерфейсе на вкладке НастройкиГлавные можно изменять настройки UrBackup. Некоторые настройки влияют только на сервер резервного копирования. Остальные настройки влияют и на клиентов резервного копирования, для этих настроек администратор может установить значения по умолчанию или переопределить настройки клиента.
На вкладке Сервер можно указать каталог для хранения резервных копий:
Настройки UrBackup. Вкладка Сервер
На вкладке Файловые бэкапы можно указать настройки файловых резервных копий, в том числе каталоги, которые будут включены в резервную копию (каталоги перечисляются через «;»). Здесь также настраиваются интервалы резервного копирования.
Настройки UrBackup. Вкладка Файловые бэкапы
На вкладке Клиент (поле Расписание) можно установить окно резервного копирования, в пределах которого сервер будет стараться выполнять задания. Начатое задание будет выполняться до завершения, даже если оно не вписывается в указанное время. Примеры окна резервного копирования:
  • 1-7/0-24 — резервное копирование может производиться в любое время;
  • 1-5/8:00-9:00, 19:30-20:30;6,7/0-24 — резервное копирование в рабочие дни может производиться с 8 до 9 и с 19:30 до 20:30, а в субботу и воскресенье в любое время.
Клиенты могут сами инициировать процесс резервного копирования в любой момент (см. ниже описание утилиты urbackupclientctl).
Для более удобного администрирования можно создать несколько групп, распределить клиенты по группам, и задавать настройки отдельно для каждой группы клиентов:
Настройки UrBackup. Настройка группы клиентов UrBackup

57.3. Создание резервных копий

Инкрементные и полные резервные копии будут создаваться согласно настроенному расписанию.
Процесс создания резервной копии можно запустить вручную, отметив клиента и выбрав тип резервной копии в выпадающем списке:
UrBackup. Запуск резервного копирования
Более подробно отслеживать активность резервного копирования можно на вкладках В работе, Бэкапы, Логи.
UrBackup. Вкладка В работе
Отчёты/содержимое резервных копий можно просмотреть на вкладке Бэкапы:
UrBackup. Вкладка Бэкапы
Выбрав клиента, можно просмотреть список его резервных копий:
Список резервных копий клиента client2.test.alt

Примечание

Если отметка в столбце Архивировано установлена, резервная копия архивируется. Пока резервная копия заархивирована, её нельзя удалить средствами UrBackup.
Выбрав резервную копию, можно просмотреть её содержимое:
Содержимое резервной копии
Резервные копии сохраняются в каталоге, который был указан в веб-интерфейсе. В этом каталоге для каждого клиента создается свой подкаталог. Резервные копии файлов находятся в подкаталогах вида <YYMMDD-HHMM>. Каталог current является ссылкой на последнюю резервную копию. Резервные копии папок с файлами сохраняются в открытом виде. Образы дисковых разделов хранятся в виде файлов в формате vhdz (имя файла будет иметь вид Image_<Drive>_<YYMMDD-HHMM>.vhdz).

57.4. Утилита urbackupclientctl

Для работы с UrBackup на клиенте предназначена утилита urbackupclientctl:
  • urbackupclientctl start — запустить инкрементное/полное резервное копирование;
  • urbackupclientctl status — получить текущий статус резервного копирования;
  • urbackupclientctl browse — просмотр списка резервных копий и файлов в резервных копиях;
  • urbackupclientctl restore-start — восстановить файлы из резервной копии;
  • urbackupclientctl set-settings — установить параметры резервного копирования;
  • urbackupclientctl add-backupdir — добавить новый каталог в список каталогов, для которых выполняется резервное копирование;
  • urbackupclientctl list-backupdirs — вывести список каталогов, для которых выполняется резервное копирование;
  • urbackupclientctl remove-backupdir — удалить каталог из списока каталогов, для которых выполняется резервное копирование.
Справку по конкретной команде можно получить, выполнив команду:
urbackupclientctl <command> --help
Ниже приведены примеры использования утилиты urbackupclientctl.
Вывести список резервных копий:
$ urbackupclientctl browse
[{
"archived": 0,
"backuptime": 1709304813,
"disable_delete": true,
"id": 3,
"incremental": 0,
"size_bytes": 49182025
}
,{
"archived": 0,
"backuptime": 1709304721,
"id": 2,
"incremental": 0,
"size_bytes": 684214036
}
]
Запустить процесс создания полной резервной копии:
$ urbackupclientctl start -f
Waiting for server to start backup... done
Preparing... -
Completed successfully.
Восстановить файлы из резервной копии:
# urbackupclientctl restore-start -b 2
Starting restore. Waiting for backup server...  done
[=============================================================> ] 97% 2.33831 GB/2.41119 GB at 76.024 KBit/s
Restore completed successfully.

Часть IX.  Установка пакетов для опытных пользователей

Введение

В современных системах на базе Linux существует огромное число общих ресурсов: разделяемых библиотек, содержащих стандартные функции, исполняемые файлы, сценарии и стандартные утилиты и т.д. Этими общими ресурсами пользуются сразу несколько программ. Удаление или изменение версии одного из составляющих систему компонентов может повлечь неработоспособность других, связанных с ним компонентов, или может привести к выводу из строя всей системы. В контексте системного администрирования проблемы такого рода называют нарушением целостности системы. Задача администратора — обеспечить наличие в системе согласованных версий всех необходимых программных компонентов (обеспечение целостности системы).
Для установки, удаления и обновления программ, а также поддержания целостности системы в Linux в первую очередь стали использоваться программы менеджеры пакетов (например, такие, как rpm). С точки зрения менеджера пакетов программное обеспечение представляет собой набор компонентов — программных пакетов. Пакеты содержат в себе набор исполняемых программ и вспомогательных файлов, необходимых для корректной работы программного обеспечения. Менеджеры пакетов облегчают установку программ: они позволяют проверить наличие необходимого для работы устанавливаемой программы компонента подходящей версии непосредственно в момент установки. Менеджеры пакетов производят необходимые процедуры для регистрации программы во всех операционных средах пользователя: сразу после установки программа становится доступна пользователю из командной строки и появляется, если это было предусмотрено, в меню приложений всех графических оболочек.
Часто компоненты, используемые различными программами, выделяют в отдельные пакеты и помечают, что для работы ПО, предоставляемого пакетом A, необходимо установить пакет B. В таком случае говорят, что пакет A зависит от пакета B или между пакетами A и B существует зависимость.
Отслеживание зависимостей между такими пакетами представляет собой важную задачу для любого дистрибутива. Некоторые компоненты пакетов могут быть взаимозаменяемыми, т.е. может обнаружиться несколько пакетов, предлагающих затребованный ресурс.
Ещё более сложной является задача контроля целостности и непротиворечивости установленного в системе ПО. Представим, что некие программы A и B требуют наличия в системе компонентов C версии 1.0. Обновление версии пакета A, требующее обновления компонентов C до новой версии (например, до версии 2.0, использующей новый интерфейс доступа), влечёт за собой обязательное обновление и программы B.
На практике менеджеры пакетов оказались неспособны эффективно устранить нарушения целостности системы и предотвратить все коллизии при установке или удалении программ. Особенно остро этот недостаток сказался на обновлении систем из централизованного репозитория, в котором пакеты непрерывно обновляются, дробятся на более мелкие и т.п. Именно этот недостаток стимулировал создание систем управления программными пакетами и поддержания целостности ОС.
Для автоматизации и контроля описанных выше процессов стала применяться Усовершенствованная система управления программными пакетами APT (от англ. Advanced Packaging Tool). Автоматизация и контроль достигаются путём создания одного или нескольких внешних репозиториев. В них хранятся доступные для установки пакеты программ.
В распоряжении APT находятся две базы данных: одна описывает установленные в системе пакеты, вторая — внешний репозиторий. APT отслеживает целостность установленной системы и, в случае обнаружения противоречий в зависимостях пакетов, разрешает конфликты, находит пути их корректного устранения, руководствуясь сведениями из внешних репозиториев.
Система APT состоит из нескольких утилит. Чаще всего используется утилита управления пакетами apt-get. Она автоматически определяет зависимости между пакетами и строго следит за её соблюдением при выполнении любой из следующих операций: установка, удаление или обновление пакетов.

Глава 58. Источники программ (репозитории)

Отличие репозиториев, с которыми работает APT, от простого набора пакетов — наличие метаинформации. В ней содержится индекс находящихся в репозитории пакетов и сведения о них. Поэтому, чтобы получить всю информацию о репозитории, APT достаточно получить его индексы.
APT может пользоваться любым количеством репозиториев одновременно, формируя единую информационную базу обо всех содержащихся в них пакетах. При установке пакетов APT обращает внимание только на название пакета, его версию и зависимости. Для APT не имеет значения расположение пакета в том или ином репозитории.

Важно

Для одновременного подключения нескольких репозиториев необходимо отслеживать их совместимость друг с другом, т.е. их пакетная база должна отражать один определённый этап разработки. Совместное использование репозиториев, относящихся к разным дистрибутивам, или смешивание стабильного репозитория с нестабильной веткой разработки (Sisyphus) может привести к различным неожиданностям и трудностям при обновлении пакетов.
APT осуществляет взаимодействие с репозиториями при помощи различных протоколов доступа. Наиболее популярные — HTTP и FTP.
Для того чтобы APT мог использовать тот или иной репозиторий, информацию о нём необходимо поместить в файл /etc/apt/sources.list, либо в любой файл .list (например, mysources.list) в каталоге /etc/apt/sources.list.d/. Описания репозиториев заносятся в эти файлы в следующем виде:
rpm [подпись] метод:путь база название
rpm-src [подпись] метод:путь база название
Здесь:
  • rpm или rpm-src — тип репозитория (скомпилированные программы или исходные тексты);
  • [подпись] — необязательная строка-указатель на электронную подпись разработчиков. Наличие этого поля подразумевает, что каждый пакет из данного репозитория должен быть подписан соответствующей электронной подписью. Подписи описываются в файле /etc/apt/vendor.list;
  • метод — способ доступа к репозиторию: ftp, http, file, rsh, ssh, cdrom, copy;
  • путь — путь к репозиторию в терминах выбранного метода;
  • база — относительный путь к базе данных репозитория;
  • название — название репозитория.
Непосредственно после установки дистрибутива Альт Сервер в файлах /etc/apt/sources.list.d/*.list обычно указывается интернет-репозиторий, совместимый с установленным дистрибутивом.
После редактирования списка репозиториев в sources.list, необходимо обновить локальную базу данных APT о доступных пакетах. Это делается командой apt-get update.
Если в sources.list присутствует репозиторий, содержимое которого может изменяться (например, постоянно разрабатываемый репозиторий или репозиторий обновлений по безопасности), то прежде чем работать с APT, необходимо синхронизировать локальную базу данных с удалённым сервером командой apt-get update. Локальная база данных создаётся заново при каждом изменении в репозитории: добавлении, удалении или переименовании пакета.
При установке определённого пакета APT производит поиск самой новой версии этого пакета во всех известных ему репозиториях вне зависимости от способа доступа к ним. Так, если в репозитории, доступном в сети Интернет, обнаружена более новая в сравнении с компакт-диском версия программы, то APT начнёт загружать соответствующий пакет из сети Интернет. Поэтому, если подключение к сети Интернет отсутствует или ограничено низкой пропускной способностью канала или высокой стоимостью, то следует закомментировать строчки (добавить в начало строки символ #) в /etc/apt/sources.list, относящиеся к ресурсам в сети Интернет.

58.1. Редактирование репозиториев

Примечание

О добавлении или удалении репозиториев с использованием графических приложений вы можете почитать в Управление репозиториями.

58.1.1. Утилита apt-repo

Для редактирования репозиториев можно воспользоваться утилитой apt-repo:
  • просмотреть список активных репозиториев:
    apt-repo
    
  • добавить репозиторий в список активных репозиториев:
    apt-repo add репозиторий
    
  • удалить или выключить репозиторий:
    apt-repo rm репозиторий
    
  • обновить информацию о репозиториях:
    apt-repo update
    
  • справка о команде apt-repo:
    man apt-repo
    
    или
    apt-repo --help
    

Примечание

Для выполнения большинства команд необходимы права администратора.
Типичный пример использования: удалить все источники и добавить стандартный репозиторий P10 (архитектура выбирается автоматически):
# apt-repo rm all
# apt-repo add p10
Или то же самое одной командой:
# apt-repo set p10

58.1.2. Добавление репозитория на сменном носителе

Для добавления в sources.list репозитория на сменном диске в APT предусмотрена специальная утилита — apt-cdrom.
Чтобы добавить запись о репозитории на сменном диске необходимо:
  1. Создать каталог для монтирования. Точка монтирования указывается в параметре Acquire::CDROM::mount в файле конфигурации APT (/etc/apt/apt.conf), по умолчанию это /media/ALTLinux:
    # mkdir /media/ALTLinux
    
  2. Примонтировать носитель в указанную точку:
    # mount /dev/носитель /media/ALTLinux
    
    где /dev/носитель — соответствующее блочное устройство (например, /dev/dvd — для CD/DVD-диска).
  3. Добавить носитель, выполнив команду:
    # apt-cdrom -m add
    
После этого в sources.list появится запись о подключённом носителе:
rpm cdrom:[ALT Server 10.4 x86_64 build 2024-10-16]/ ALTLinux main

Примечание

Команду mount /dev/носитель /media/ALTLinux необходимо выполнять перед каждой командой apt-get install имя_пакета.

58.1.3. Добавление репозиториев вручную

Для изменения списка репозиториев можно отредактировать в любом текстовом редакторе файлы из каталога /etc/apt/sources.list.d/.

Примечание

Для изменения этих файлов необходимы права администратора.
В файле alt.list может содержаться такая информация:
# ftp.altlinux.org (ALT Linux, Moscow)

# ALT Linux Platform 10
#rpm [p10] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch x86_64 classic
#rpm [p10] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch x86_64-i586 classic
#rpm [p10] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch noarch classic

rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch x86_64 classic
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch x86_64-i586 classic
rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch noarch classic
По сути, каждая строчка соответствует некому репозиторию. Не активные репозитории — строки, начинающиеся со знака #. Для добавления нового репозитория, достаточно дописать его в этот или другой файл.
После обновления списка репозиториев следует обновить информацию о них (выполнить команду apt-get update или apt-repo update).

Глава 59. Поиск пакетов

Если точное название пакета неизвестно, то для его поиска можно воспользоваться утилитой apt-cache. Данная утилита позволяет искать пакет не только по имени, но и по его описанию.
Команда apt-cache search подстрока позволяет найти все пакеты, в именах или описании которых присутствует указанная подстрока. Например:
$ apt-cache search dictionary
stardict-wn - GCIDE - The Collaborative International Dictionary of English
firefox-ru - Russian (RU) Language Pack for Firefox
gnome-dictionary-applet - GNOME panel applet for gnome-dictionary
gnome-utils - Utilities for the GNOME 2.0 desktop
libgdict - GNOME Dictionary Library.
stardict-mueller7 - V.K. Mueller English-Russian Dictionary, 7 Edition: stardict format
stardict-slovnyk_be-en - Dictionary: Slovnyk Belarusian-English
stardict-slovnyk_be-ru - Dictionary: Slovnyk Belarusian-Russian
stardict-slovnyk_be-uk - Dictionary: Slovnyk Belarusian-Ukrainian
stardict-slovnyk_cs-ru - Dictionary: Slovnyk Czech-Russian
stardict-slovnyk_en-be - Dictionary: Slovnyk English-Belarusian
stardict-slovnyk_en-ru - Dictionary: Slovnyk English-Russian
stardict-slovnyk_en-uk - Dictionary: Slovnyk English-Ukrainian
stardict-slovnyk_es-ru - Dictionary: Slovnyk Spanish-Russian
stardict-slovnyk_ru-be - Dictionary: Slovnyk Russian-Belarusian
stardict-slovnyk_ru-cs - Dictionary: Slovnyk Russian-Czech
stardict-slovnyk_ru-en - Dictionary: Slovnyk Russian-English
stardict-slovnyk_ru-es - Dictionary: Slovnyk Russian-Spanish
stardict-slovnyk_ru-uk - Dictionary: Slovnyk Russian-Ukrainian
stardict-slovnyk_uk-be - Dictionary: Slovnyk Ukrainian-Belarusian
stardict-slovnyk_uk-en - Dictionary: Slovnyk Ukrainian-English
stardict-slovnyk_uk-ru - Dictionary: Slovnyk Ukrainian-Russian
words - A dictionary of English words for the /usr/share/dict directory
Для того чтобы подробнее узнать информацию о найденном пакете и получить его подробное описание, воспользуйтесь командой apt-cache show:
$ apt-cache show stardict-mueller7
Package: stardict-mueller7
Section: Text tools
Installed Size: 3095255
Maintainer: Anton V. Boyarshinov <boyarsh@altlinux.ru>
Version: 1.0-alt7
Pre-Depends: rpmlib(PayloadIsLzma)
Depends: stardict (>= 2.4.2)
Provides: stardict-mueller7 (= 1.0-alt7)
Architecture: noarch
Size: 3135276
MD5Sum: ea95c67ca323350b454fbc26533c3548
Filename: stardict-mueller7-1.0-alt7.noarch.rpm
Description: V.K. Mueller English-Russian Dictionary, 7 Edition: stardict format
 Electronic version of V.K. Mueller English-Russian Dictionary, 7 Edition
 in stardict format. You can use it with stardict client.
При поиске с помощью apt-cache можно использовать русскую подстроку. В этом случае будут найдены пакеты, имеющие описание на русском языке. К сожалению, описание на русском языке в настоящее время есть не у всех пакетов, но наиболее актуальные описания переведены.

Глава 60. Установка или обновление пакета

Важно

Для установки пакетов требуются привилегии администратора.
Установка пакета с помощью APT выполняется командой apt-get install имя_пакета.

Важно

Перед установкой и обновлением пакетов необходимо выполнить команду обновления индексов пакетов:
# apt-get update
apt-get позволяет устанавливать в систему пакеты, требующие для работы наличие других, пока ещё не установленных пакетов. В этом случае он определяет, какие пакеты необходимо установить. apt-get устанавливает их, пользуясь всеми доступными репозиториями.
Установка пакета stardict-mueller7 командой apt-get install stardict-mueller7 приведёт к следующему диалогу с APT (если пакет еще не установлен):
# apt-get install stardict-mueller7
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие НОВЫЕ пакеты будут установлены:
  stardict-mueller7
0 будет обновлено, 1 новых установлено, 0 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 0B/3135kB архивов.
После распаковки потребуется дополнительно 3095kB дискового пространства.
Совершаем изменения...
Preparing...                 ####################### [100%]
1: stardict-mueller7         ####################### [100%]
Running /usr/lib/rpm/posttrans-filetriggers
Завершено.
Команда
 apt-get install имя_пакета 
используется также и для обновления уже установленного пакета или группы пакетов. В этом случае apt-get дополнительно проверяет, есть ли обновлённая, в сравнении с установленной в системе, версия пакета в репозитории.
Например, если пакет stardict-mueller7 установлен и в репозитории нет обновлённой версии этого пакета, то вывод команды apt-get install stardict-mueller7 будет таким:
# apt-get install stardict-mueller7
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Последняя версия stardict-mueller7 уже установлена.
0 будет обновлено, 0 новых установлено, 0 пакетов будет удалено и 2262 не будет обновлено.
При помощи APT можно установить и отдельный rpm- пакет, не входящий в состав репозиториев (например, полученный из сети Интернет). Для этого достаточно выполнить команду
# apt-get install /путь/к/файлу.rpm
При этом APT проведёт стандартную процедуру проверки зависимостей и конфликтов с уже установленными пакетами.
Иногда в результате операций с пакетами без использования APT целостность системы нарушается, и apt-get отказывается выполнять операции установки, удаления или обновления. В этом случае необходимо повторить операцию, задав опцию -f, заставляющую apt-get исправить нарушенные зависимости, удалить или заменить конфликтующие пакеты. В этом случае необходимо внимательно следить за сообщениями, выводимыми apt-get. Любые действия в этом режиме обязательно требуют подтверждения со стороны пользователя.

Глава 61. Удаление установленного пакета

Для удаления пакета используется команда apt-get remove имя_пакета. Для того чтобы не нарушать целостность системы, будут удалены и все пакеты, зависящие от удаляемого. В случае удаления пакета, который относится к базовым компонентам системы, apt-get потребует дополнительное подтверждение с целью предотвращения возможной случайной ошибки.

Важно

Для удаления пакетов требуются привилегии администратора.
При попытке с помощью apt-get удалить базовый компонент системы, вы увидите следующий запрос на подтверждение операции:
# apt-get remove filesystem
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
  ...
ВНИМАНИЕ: Будут удалены важные для работы системы пакеты
Обычно этого делать не следует. Вы должны точно понимать возможные последствия!
  ...
0 будет обновлено, 0 новых установлено, 2648 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 0B архивов.
После распаковки будет освобождено 8994MB дискового пространства.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.

Предупреждение

Каждую ситуацию, в которой APT выдаёт такой запрос, необходимо рассматривать отдельно. Вероятность того, что после выполнения этой команды система окажется неработоспособной, очень велика.

Глава 62. Обновление системы

62.1. Обновление всех установленных пакетов

Для обновления всех установленных пакетов необходимо выполнить команды:
# apt-get update && apt-get dist-upgrade
Первая команда (apt-get update) обновит индексы пакетов. Вторая команда (apt-get dist-upgrade) позволяет обновить только те установленные пакеты, для которых в репозиториях, перечисленных в /etc/apt/sources.list, имеются новые версии.

Примечание

Несмотря на то, что команда apt-get upgrade существует, использовать её следует осторожно, либо не использовать вовсе.
Она позволяет обновить только те установленные пакеты, для которых в репозиториях, перечисленных в /etc/apt/sources.list, имеются новые версии.
Никакие другие пакеты при этой операции из системы удалены не будут. Этот способ полезен при работе со стабильными пакетами приложений, относительно которых известно, что они при смене версии изменяются несущественно.
Иногда, однако, происходит изменение в наименовании пакетов или изменение их зависимостей. Такие ситуации не обрабатываются командой apt-get upgrade, в результате чего происходит нарушение целостности системы: появляются неудовлетворённые зависимости. Для разрешения этой проблемы существует режим обновления в масштабе дистрибутива — apt-get dist-upgrade.
В случае обновления всего дистрибутива APT проведёт сравнение системы с репозиторием и удалит устаревшие пакеты, установит новые версии присутствующих в системе пакетов, отследит ситуации с переименованиями пакетов или изменения зависимостей между старыми и новыми версиями программ. Всё, что потребуется поставить (или удалить) дополнительно к уже имеющемуся в системе, будет указано в отчёте apt-get, которым APT предварит само обновление.

Примечание

Команда apt-get dist-upgrade обновит систему, но ядро ОС не будет обновлено.

62.2. Обновление ядра

Для обновления ядра ОС необходимо выполнить команду:
# update-kernel

Примечание

Если индексы сегодня еще не обновлялись перед выполнением команды update-kernel необходимо выполнить команду apt-get update.
Команда update-kernel обновляет и модули ядра, если в репозитории обновилось что-то из модулей без обновления ядра.
Новое ядро загрузится только после перезагрузки системы, которую рекомендуется выполнить немедленно.
Если с новым ядром что-то пойдёт не так, вы сможете вернуться к предыдущему варианту, выбрав его в начальном меню загрузчика.
После успешной загрузки на обновленном ядре можно удалить старое, выполнив команду:
# remove-old-kernels

Глава 63. Единая команда управления пакетами (epm)

Основное назначение единой команды управления пакетами — унифицировать управление пакетами в дистрибутивах с разными пакетными менеджерами. Утилита epm упрощает процедуру управления пакетами, может использоваться в скриптах и установщиках, сервисных программах, в повседневном администрировании различных систем. В epm добавлены типовые операции, которые в случае использования apt потребовали бы ввода более одной команды.
Единая команда управления пакетами включает в себя следующую функциональность:
  • управление пакетами (установка/удаление/поиск);
  • управление репозиториями (добавление/удаление/обновление/список);
  • управление системными сервисами (включение/выключение/список).
Список поддерживаемых форматов пакетов: rpm, deb, tgz, tbz, tbz2, apk, pkg.gz.

Примечание

Установка утилиты epm, если она еще не установлена, выполняется командой:
# apt-get install eepm
Подробную информацию об утилите epm и её опциях можно получить, выполнив команду:
$ epm --help
Ниже описаны лишь некоторые возможности утилиты epm.
Установка пакета из репозитория или из локального файла в систему:
# epm install <имя_пакета>

Важно

Если пакет создан сторонним поставщиком, то при его установке командой epm install не будут выполнены установочные скрипты из пакета. Это предохраняет систему от повреждения, но может привести к тому, что пакет не заработает. Вернуть стандартное поведение можно добавлением --scripts:
# epm install --scripts <имя_пакета>
Установить сторонние программы безопасным и простым способом:
# epm play <имя_программы>
Список программ, которые можно установить данной командой, можно просмотреть, выполнив команду:
$ epm play
Run with a name of a play script to run:
  anydesk              - Install AnyDesk from the official site
  assistant            - Install Assistant (Ассистент) from the official site
  …
  yandex-browser       - Install Yandex browser from the official site
  yandex-disk          - Install Yandex Disk from the official site
  zoom                 - Install Zoom client from the official site
Команда epm play требует наличия доступа в сеть Интернет.

Примечание

Для некоторых сторонних rpm-пакетов написаны дополнительные правила для перепаковки (при перепаковке пакета создаётся пакет, учитывающий, что нужно для работы исходного пакета). Установить такие пакеты можно, выполнив команду:
# epm install --repack <имя_пакета>
Для deb-пакетов ключ --repack применяется автоматически.
Удаление пакета из системы:
# epm remove <имя_пакета>
Поиск пакета в репозитории:
# epm search <текст>
Получить список установленных пакетов:
$ epm list
Удалить пакеты, от которых не зависят какие-либо другие пакеты, установленные в системе:
# epm autoremove
Обновить все установленные пакеты и ядро ОС:
# epm full-upgrade

Часть X. Основы администрирования Linux

Глава 64. Общие принципы работы ОС

64.1. Процессы и файлы

ОС Альт Сервер является многопользовательской интегрированной системой. Это значит, что она разработана в расчете на одновременную работу нескольких пользователей.
Пользователь может либо сам работать в системе, выполняя некоторую последовательность команд, либо от его имени могут выполняться прикладные процессы.
Пользователь взаимодействует с системой через командный интерпретатор. Командный интерпретатор представляет собой прикладную программу, которая принимает от пользователя команды или набор команд и транслирует их в системные вызовы к ядру системы. Интерпретатор позволяет пользователю просматривать файлы, передвигаться по дереву файловой системы, запускать прикладные процессы. Все командные интерпретаторы UNIX имеют развитый командный язык и позволяют писать достаточно сложные программы, упрощающие процесс администрирования системы и работы с ней.

64.1.1. Процессы функционирования ОС

Все программы, которые выполняются в текущий момент времени, называются процессами. Процессы можно разделить на два основных класса: системные процессы и пользовательские процессы.
Системные процессы — программы, решающие внутренние задачи ОС, например, организацию виртуальной памяти на диске или предоставляющие пользователям те или иные сервисы (процессы-службы).
Пользовательские процессы — процессы, запускаемые пользователем из командного интерпретатора для решения задач пользователя или управления системными процессами. Linux изначально разрабатывался как многозадачная система. Он использует технологии, опробованные и отработанные другими реализациями UNIX, которые существовали ранее.
Фоновый режим работы процесса — режим, когда программа может работать без взаимодействия с пользователем. В случае необходимости интерактивной работы с пользователем (в общем случае) процесс будет «остановлен» ядром, и работа его продолжается только после переведения его в «нормальный» режим работы.

64.1.2. Файловая система ОС

В ОС использована файловая система Linux, которая, в отличие от файловых систем DOS и Windows(™), является единым деревом. Корень этого дерева — каталог, называемый root (рут) и обозначаемый /.
Части дерева файловой системы могут физически располагаться в разных разделах разных дисков или вообще на других компьютерах — для пользователя это прозрачно. Процесс присоединения файловой системы раздела к дереву называется монтированием, удаление — размонтированием. Например, файловая система CD-ROM в дистрибутиве монтируется по умолчанию в каталог /media/cdrom (путь в дистрибутиве обозначается с использованием /, а не \, как в DOS/Windows).
Текущий каталог обозначается ./.

64.1.3. Структура каталогов

Корневой каталог /:
  • /bin — командные оболочки (shell), основные утилиты;
  • /boot — содержит ядро системы;
  • /dev — псевдофайлы устройств, позволяющие работать с устройствами напрямую. Файлы в /dev создаются сервисом udev
  • /etc — общесистемные конфигурационные файлы для большинства программ в системе;
  • /etc/rc?.d, /etc/init.d, /etc/rc.boot, /etc/rc.d — каталоги, где расположены командные файлы, выполняемые при запуске системы или при смене её режима работы;
  • /etc/passwd — база данных пользователей, в которой содержится информация об имени пользователя, его настоящем имени, личном каталоге, его зашифрованный пароль и другие данные;
  • /etc/shadow — теневая база данных пользователей. При этом информация из файла /etc/passwd перемещается в /etc/shadow, который недоступен для чтения всем, кроме пользователя root. В случае использования альтернативной схемы управления теневыми паролями (TCB), все теневые пароли для каждого пользователя располагаются в каталоге /etc/tcb/имя пользователя/shadow;
  • /home — домашние каталоги пользователей;
  • /lib — содержит файлы динамических библиотек, необходимых для работы большей части приложений, и подгружаемые модули ядра;
  • /lost+found — восстановленные файлы;
  • /media — подключаемые носители (каталоги для монтирования файловых систем сменных устройств);
  • /mnt — точки временного монтирования;
  • /opt — вспомогательные пакеты;
  • /proc — виртуальная файловая система, хранящаяся в памяти компьютера при загруженной ОС. В данном каталоге расположены самые свежие сведения обо всех процессах, запущенных на компьютере.
  • /root — домашний каталог администратора системы;
  • /run — файлы состояния приложений;
  • /sbin — набор программ для административной работы с системой (системные утилиты);
  • /selinux — виртуальная файловая система SELinux;
  • /srv — виртуальные данные сервисных служб;
  • /sys — файловая система, содержащая информацию о текущем состоянии системы;
  • /tmp — временные файлы.
  • /usr — пользовательские двоичные файлы и данные, используемые только для чтения (программы и библиотеки);
  • /var — файлы для хранения изменяющихся данных (рабочие файлы программ, очереди, журналы).
Каталог /usr:
  • /usr/bin — дополнительные программы для всех учетных записей;
  • /usr/sbin — команды, используемые при администрировании системы и не предназначенные для размещения в файловой системе root;
  • /usr/local — место, где рекомендуется размещать файлы, установленные без использования пакетных менеджеров, внутренняя организация каталогов практически такая же, как и корневого каталога;
  • /usr/man — каталог, где хранятся файлы справочного руководства man;
  • /usr/share — каталог для размещения общедоступных файлов большей части приложений.
Каталог /var:
  • /var/log — место, где хранятся файлы аудита работы системы и приложений;
  • /var/spool — каталог для хранения файлов, находящихся в очереди на обработку для того или иного процесса (очереди печати, непрочитанные или не отправленные письма, задачи cron т.д.).

64.1.4. Организация файловой структуры

Система домашних каталогов пользователей помогает организовывать безопасную работу пользователей в многопользовательской системе. Вне своего домашнего каталога пользователь обладает минимальными правами (обычно чтение и выполнение файлов) и не может нанести ущерб системе, например, удалив или изменив файл.
Кроме файлов, созданных пользователем, в его домашнем каталоге обычно содержатся персональные конфигурационные файлы некоторых программ.
Маршрут (путь) — это последовательность имён каталогов, представляющая собой путь в файловой системе к данному файлу, где каждое следующее имя отделяется от предыдущего наклонной чертой (слешем). Если название маршрута начинается со слеша, то путь в искомый файл начинается от корневого каталога всего дерева системы. В обратном случае, если название маршрута начинается непосредственно с имени файла, то путь к искомому файлу должен начаться от текущего каталога (рабочего каталога).
Имя файла может содержать любые символы за исключением косой черты (/). Однако следует избегать применения в именах файлов большинства знаков препинания и непечатаемых символов. При выборе имен файлов рекомендуется ограничиться следующими символами:
  • строчные и ПРОПИСНЫЕ буквы. Следует обратить внимание на то, что регистр всегда имеет значение;
  • символ подчеркивания (_);
  • точка (.).
Для удобства работы точку можно использовать для отделения имени файла от расширения файла. Данная возможность может быть необходима пользователям или некоторым программам, но не имеет значение для shell.

64.1.5. Имена дисков и разделов

Все физические устройства вашего компьютера отображаются в каталог /dev файловой системы дистрибутива (об этом — ниже). Диски (в том числе IDE/SATA/SCSI/SAS жёсткие диски, USB-диски) имеют имена:
  • /dev/sda — первый диск;
  • /dev/sdb — второй диск;
  • и т.д.
Диски обозначаются /dev/sdX, где X — a, b, c, d, e, … в зависимости от порядкового номера диска на шине.
Раздел диска обозначается числом после его имени. Например, /dev/sdb4 — четвертый раздел второго диска.

64.1.6. Разделы, необходимые для работы ОС

Для работы ОС на жестком диске (дисках) должны быть созданы, по крайней мере, два раздела: корневой (то есть тот, который будет содержать каталог /) и раздел подкачки (swap). Размер последнего, как правило, составляет от однократной до двукратной величины оперативной памяти компьютера. Если на диске много свободного места, то можно создать отдельные разделы для каталогов /usr, /home, /var.

64.2. Работа с наиболее часто используемыми компонентами

64.2.1. Виртуальная консоль

Система Альт Сервер предоставляет доступ к виртуальным консолям, с которых можно осуществлять одновременно несколько сеансов работы в системе (login session).
Только что установленная система Альт Сервер, возможно, предоставляет доступ только к первым шести виртуальным консолям, к которым можно обращаться, нажимая комбинации клавиш Alt+F1Alt+F6 (Ctrl+Alt+F1Ctrl+Alt+F6).

64.2.2. Командные оболочки (интерпретаторы)

Для управления ОС используются командные интерпретаторы (shell).
Зайдя в систему, Вы увидите приглашение — строку, содержащую символ «$» (далее этот символ будет обозначать командную строку). Программа ожидает ваших команд. Роль командного интерпретатора — передавать ваши команды операционной системе. По своим функциям он соответствует command.com в DOS, но несравненно мощнее. При помощи командных интерпретаторов можно писать небольшие программы — сценарии (скрипты). В Linux доступны следующие командные оболочки:
  • bash — самая распространенная оболочка под linux. Она ведет историю команд и предоставляет возможность их редактирования;
  • pdksh — клон korn shell, хорошо известной оболочки в UNIX™ системах.
Проверить, какая оболочка используется в данный момент можно, выполнив команду:
$ echo $SHELL
Оболочкой по умолчанию является Bash (Bourne Again Shell) — самая распространённая оболочка под Linux, которая ведет историю команд и предоставляет возможность их редактирования. В дальнейшем описании работы с Альт Сервер будут использоваться примеры с использованием этой оболочки.

64.2.3. Командная оболочка Bash

В Bash имеется несколько приемов для работы со строкой команд. Например, можно использовать следующие сочетания:
  • Ctrl+A — перейти на начало строки;
  • Ctrl+U — удалить текущую строку;
  • Ctrl+C — остановить текущую задачу.
Для ввода нескольких команд одной строкой можно использовать разделитель «;». По истории команд можно перемещаться с помощью клавиш («вверх») и («вниз»).
Чтобы найти конкретную команду в списке набранных, не пролистывая всю историю, можно нажать Ctrl+R и начать вводить символы ранее введенной команды.
Для просмотра истории команд можно воспользоваться командой history. Команды, присутствующие в истории, отображаются в списке пронумерованными. Чтобы запустить конкретную команду необходимо набрать:
!номер команды
Если ввести:
!!
запустится последняя из набранных команд.
В Bash имеется возможность самостоятельного завершения имен команд из общего списка команд, что облегчает работу при вводе команд, в случае, если имена программ и команд слишком длинны. При нажатии клавиши Tab Bash завершает имя команды, программы или каталога, если не существует нескольких альтернативных вариантов. Например, чтобы использовать программу декомпрессии gunzip, можно набрать следующую команду:
gu
Затем нажать клавишу Tab. Так как в данном случае существует несколько возможных вариантов завершения команды, то необходимо повторно нажать клавишу Tab, чтобы получить список имен, начинающихся с gu.
В предложенном примере можно получить следующий список:
$ gu
guile gunzip gupnp-binding-tool
Если набрать: n (gunzip — это единственное имя, третьей буквой которого является «n»), а затем нажать клавишу Tab, то оболочка самостоятельно дополнит имя. Чтобы запустить команду нужно нажать Enter.
Программы, вызываемые из командной строки, Bash ищет в каталогах, определяемых в системной переменной $PATH. По умолчанию в этот перечень каталогов не входит текущий каталог, обозначаемый ./ (точка слеш) (если только не выбран один из двух самых слабых уровней защиты). Поэтому, для запуска программы из текущего каталога, необходимо использовать команду (в примере запускается команда prog):
./prog

64.2.4. Команда

Простейшая команда состоит из одного «слова», например, команда cal, выводящая календарь на текущий месяц.
$ cal
    Сентябрь 2023
Пн Вт Ср Чт Пт Сб Вс
             1  2  3
 4  5  6  7  8  9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30

64.2.5. Команда и параметры

$ cal 1 2024
     Январь 2024
Пн Вт Ср Чт Пт Сб Вс
 1  2  3  4  5  6  7
 8  9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Команда cal 1 2024 состоит из двух частей — собственно команды cal и «остального». То, что следует за командой называется параметрами (или аргументами) и они вводятся для изменения поведения команды. В большинстве случаев, первое слово считается именем команды, а остальные — её параметрами.

64.2.6. Команда и ключи

Для решения разных задач одни и те же действия необходимо выполнять по-разному. Например, для синхронизации работ в разных точках земного шара лучше использовать единое для всех время (по Гринвичу), а для организации собственного рабочего дня — местное время (с учётом сдвига по часовому поясу и разницы зимнего и летнего времени). И то, и другое время показывает команда date, только для работы по Гринвичу ей нужен дополнительный параметр -u (он же --universal).
$ date
Ср 27 сен 2023 18:58:50 EET
$ date -u
Ср 27 сен 2023 16:59:09 UTC
Такого рода параметры называются ключами или модификаторами выполнения. Ключ принадлежит данной конкретной команде и сам по себе смысла не имеет. Этим он отличается от других параметров (например, имён файлов, чисел), имеющих собственный смысл, не зависящий ни от какой команды. Каждая команда может распознавать некоторый набор ключей и соответственно изменять своё поведение. Один и тот же ключ может определять для разных команд совершенно разные значения.
Для формата ключей нет жёсткого стандарта, однако существуют договорённости:
  • Если ключ начинается на -, то это однобуквенный ключ. За -, как правило, следует один символ, чаще всего буква, обозначающая действие или свойство, которое этот ключ придаёт команде. Так проще отличать ключи от других параметров.
  • Если ключ начинается на --, то он называется полнословным ключом. Полнословный формат ключа начинается на два знака --, за которыми следует полное имя обозначаемого этим ключом содержания.
Некоторые ключи имеют и однобуквенный, и полнословный формат, а некоторые — только полнословный.
Информацию о ресурсах каждой команды можно получить, используя ключ --help. К примеру, получить подсказку о том, что делает команда rm, можно, набрав в терминале rm --help.

64.2.7. Обзор основных команд системы

Все команды, приведенные ниже, могут быть запущены в режиме консоли. Для получения более подробной информации используйте команду man. Пример:
$ man ls

Примечание

Параметры команд обычно начинаются с символа «-», и обычно после одного символа «-» можно указать сразу несколько опций. Например, вместо команды ls -l -F можно ввести команду ls -lF

Учетные записи пользователей

Команда su
Команда su позволяет изменить «владельца» текущего сеанса (сессии) без необходимости завершать сеанс и открывать новый.
Синтаксис:
su [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
Команду можно применять для замены текущего пользователя на любого другого, но чаще всего она используется для получения пользователем прав суперпользователя (root).
При вводе команды su - будет запрошен пароль суперпользователя (root), и, в случае ввода корректного пароля, пользователь получит права администратора. Чтобы вернуться к правам пользователя, необходимо ввести команду:
exit
Более подробную информацию о режиме суперпользователя вы можете прочитать в главе Режим суперпользователя.
Команда id
Команда id выводит информацию о пользователе и группах, в которых он состоит, для заданного пользователя или о текущем пользователе (если ничего не указано).
Синтаксис:
id [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
Команда passwd
Команда passwd меняет (или устанавливает) пароль, связанный с входным_именем пользователя.
Обычный пользователь может менять только пароль, связанный с его собственным входным_именем.
Команда запрашивает у обычных пользователей старый пароль (если он был), а затем дважды запрашивает новый. Новый пароль должен соответствовать техническим требованиям к паролям, заданным администратором системы.

Основные операции с файлами и каталогами

Команда ls
Команда ls (list) печатает в стандартный вывод содержимое каталогов.
Синтаксис:
ls [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
  • -a — просмотр всех файлов, включая скрытые;
  • -l — отображение более подробной информации;
  • -R — выводить рекурсивно информацию о подкаталогах.
Команда cd
Команда cd предназначена для смены каталога. Команда работает как с абсолютными, так и с относительными путями. Если каталог не указан, используется значение переменной окружения $HOME (домашний каталог пользователя). Если каталог задан полным маршрутным именем, он становится текущим. По отношению к новому каталогу нужно иметь право на выполнение, которое в данном случае трактуется как разрешение на поиск.
Синтаксис:
cd [-L|-P] [КАТАЛОГ]
Если в качестве аргумента задано «-», то это эквивалентно $OLDPWD. Если переход был осуществлен по переменной окружения $CDPATH или в качестве аргумента был задан «-» и смена каталога была успешной, то абсолютный путь нового рабочего каталога будет выведен на стандартный вывод.
Примеры:
  • находясь в домашнем каталоге перейти в его подкаталог docs/ (относительный путь):
    cd docs/
  • сделать текущим каталог /usr/bin (абсолютный путь):
    cd /usr/bin/
  • сделать текущим родительский каталог:
    cd ..
  • вернуться в предыдущий каталог:
    cd -
  • сделать текущим домашний каталог:
    cd
Команда pwd
Команда pwd выводит абсолютный путь текущего (рабочего) каталога.
Синтаксис:
pwd [-L|-P]
Опции:
  • -P — не выводить символические ссылки;
  • -L — выводить символические ссылки.
Команда rm
Команда rm служит для удаления записей о файлах. Если заданное имя было последней ссылкой на файл, то файл уничтожается.

Предупреждение

Удалив файл, вы не сможете его восстановить!
Синтаксис:
rm [ОПЦИИ...] <ФАЙЛ>
Основные опции:
  • -f —  никогда не запрашивать подтверждения;
  • -i —  всегда запрашивать подтверждение;
  • -r, -R — рекурсивно удалять содержимое указанных каталогов.
Пример. Удалить все файлы html в каталоге ~/html:
rm -i ~/html/*.html
Команда mkdir
mkdir — команда для создания новых каталогов.
Синтаксис:
mkdir [-p] [-m права] <КАТАЛОГ...>
Команда rmdir
Команда rmdir удаляет каталоги из файловой системы. Каталог должен быть пуст перед удалением.
Синтаксис:
rmdir [ОПЦИИ...] <КАТАЛОГ...>
Основные опции:
  • -p — удалить каталог и его потомки.
Команда rmdir часто заменяется командой rm -rf, которая позволяет удалять каталоги, даже если они не пусты.
Команда cp
Команда cp предназначена для копирования файлов из одного в другие каталоги.
Синтаксис:
cp [-fip] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
cp [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
cp [-R] [[-H] | [-L] | [-P]] [-fip] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
Основные опции:
  • -p — сохранять по возможности времена изменения и доступа к файлу, владельца и группу, права доступа;
  • -i — запрашивать подтверждение перед копированием в существующие файлы;
  • -r, -R — рекурсивно копировать содержимое каталогов.
Команда mv
Команда mv предназначена для перемещения файлов.
Синтаксис:
mv [-fi] [ИСХ_ФАЙЛ...] [ЦЕЛ_ФАЙЛ...]
mv [-fi] [ИСХ_ФАЙЛ...] [КАТАЛОГ]
В первой синтаксической форме, характеризующейся тем, что последний операнд не является ни каталогом, ни символической ссылкой на каталог, mv перемещает исх_файл в цел_файл (происходит переименование файла).
Во второй синтаксической форме mv перемещает исходные файлы в указанный каталог под именами, совпадающими с краткими именами исходных файлов.
Основные опции:
  • -f — не запрашивать подтверждения перезаписи существующих файлов;
  • -i — запрашивать подтверждение перезаписи существующих файлов.
Команда cat
Команда cat последовательно выводит содержимое файлов.
Синтаксис:
cat [ОПЦИИ...] [ФАЙЛ...]
Основные опции:
  • -n, --number — нумеровать все строки при выводе;
  • -E, --show-ends — показывать $ в конце каждой строки.
Если файл не указан, читается стандартный ввод. Если в списке файлов присутствует имя «-», вместо этого файла читается стандартный ввод.
Команда head
Команда head выводит первые 10 строк каждого файла на стандартный вывод.
Синтаксис:
head [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • -n, --lines=[-]K — вывести первые К строк каждого файла, а не первые 10;
  • -q, --quiet — не печатать заголовки с именами файлов.
Команда less
Команда less позволяет постранично просматривать текст (для выхода необходимо нажать q).
Синтаксис:
less <ФАЙЛ>
Команда grep
Команда grep имеет много опций и предоставляет возможности поиска символьной строки в файле.
Синтаксис:
grep [шаблон_поиска] <ФАЙЛ>

Поиск файлов

Команда find
Команда find предназначена для поиска всех файлов, начиная с корневого каталога. Поиск может осуществляться по имени, типу или владельцу файла.
Синтаксис:
find [-H] [-L] [-P] [-Oуровень] [-D help|tree|search|stat|rates|opt|exec] [ПУТЬ…] [ВЫРАЖЕНИЕ]
Ключи для поиска:
  • -name — поиск по имени файла;
  • -type — поиск по типу f=файл, d=каталог, l=ссылка(lnk);
  • -user — поиск по владельцу (имя или UID).
Когда выполняется команда find, можно выполнять различные действия над найденными файлами. Основные действия:
  • -exec команда \; — выполнить команду. Запись команды должна заканчиваться экранированной точкой с запятой. Строка «{}» заменяется текущим маршрутным именем файла;
  • execdir команда \; — то же самое что и -exec, но команда вызывается из подкаталога, содержащего текущий файл;
  • -ok команда — эквивалентно -exec за исключением того, что перед выполнением команды запрашивается подтверждение (в виде сгенерированной командной строки со знаком вопроса в конце) и она выполняется только при ответе: «y»;
  • -print — вывод имени файла на экран.
Путем по умолчанию является текущий подкаталог. Выражение по умолчанию -print.
Примеры:
  • найти в текущем каталоге обычные файлы (не каталоги), имя которых начинается с символа «~»:
    find . -type f -name "~*" -print
  • найти в текущем каталоге файлы, измененные позже, чем файл file.bak:
    find . -newer file.bak -type f -print
  • удалить все файлы с именами a.out или *.o, доступ к которым не производился в течение недели:
    find / \( -name a.out -o -name '*.o' \) \ -atime +7 -exec rm {} \;
  • удалить из текущего каталога и его подкаталогов все файлы нулевого размера, запрашивая подтверждение:
    find . -size 0c -ok rm {} \;
Команда whereis
whereis сообщает путь к исполняемому файлу программы, ее исходным файлам (если есть) и соответствующим страницам справочного руководства.
Синтаксис:
whereis [ОПЦИИ...] <ФАЙЛ>
Опции:
  • -b — вывод информации только об исполняемых файлах;
  • -m — вывод информации только о страницах справочного руководства;
  • -s — вывод информации только об исходных файлах.

Мониторинг и управление процессами

Команда ps
Команда ps отображает список текущих процессов.
Синтаксис:
ps [ОПЦИИ...]
По умолчанию выводится информация о процессах с теми же действующим UID и управляющим терминалом, что и у подающего команду пользователя.
Основные опции:
  • -a — вывести информацию о процессах, ассоциированных с терминалами;
  • -f — вывести «полный» список;
  • -l — вывести «длинный» список;
  • -p список  — вывести информацию о процессах с перечисленными в списке PID;
  • -u список — вывести информацию о процессах с перечисленными идентификаторами или именами пользователей.
Команда kill
Команда kill позволяет прекратить исполнение процесса или передать ему сигнал.
Синтаксис:
kill [-s] [сигнал] [идентификатор] [...]
kill [-l] [статус_завершения]
kill [-номер_сигнала] [идентификатор] [...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Основные опции:
  • -l — вывести список поддерживаемых сигналов;
  • -s сигнал, -сигнал — послать сигнал с указанным именем.
Если обычная команда kill не дает желательного эффекта, необходимо использовать команду kill с параметром -9 (kill -9 PID_номер).
Команда df
Команда df показывает количество доступного дискового пространства в файловой системе, в которой содержится файл, переданный как аргумент. Если ни один файл не указан, показывается доступное место на всех смонтированных файловых системах. Размеры по умолчанию указаны в блоках по 1КБ.
Синтаксис:
df [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • --total — подсчитать общий объем в конце;
  • -h, --human-readable — печатать размеры в удобочитаемом формате (например, 1K, 234M, 2G).
Команда du
Команда du подсчитывает использование диска каждым файлом, для каталогов подсчет происходит рекурсивно.
Синтаксис:
du [ОПЦИИ] [ФАЙЛ...]
Основные опции:
  • -a, --all — выводить общую сумму для каждого заданного файла, а не только для каталогов;
  • -c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
  • -d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
  • -S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
  • -s, --summarize — отобразить только сумму для каждого аргумента.
Команда which
Команда which отображает полный путь к указанным командам или сценариям.
Синтаксис:
which [ОПЦИИ] <ФАЙЛ...>
Основные опции:
  • -a, --all — выводит все совпавшие исполняемые файлы по содержимому в переменной окружения $PATH, а не только первый из них;
  • -c, --total — подсчитать общий объем в конце. Может быть использовано для выяснения суммарного использования дискового пространства для всего списка заданных файлов;
  • -d, --max-depth=N — выводить объем для каталога (или файлов, если указано --all) только если она на N или менее уровней ниже аргументов командной строки;
  • -S, --separate-dirs — выдавать отдельно размер каждого каталога, не включая размеры подкаталогов;
  • --skip-dot — пропускает все каталоги из переменной окружения $PATH, которые начинаются с точки.

Использование многозадачности

Альт Сервер — это многозадачная система.
Для того чтобы запустить программу в фоновом режиме, необходимо набрать «&» после имени программы. После этого оболочка даст возможность запускать другие приложения.
Так как некоторые программы интерактивны — их запуск в фоновом режиме бессмысленен. Подобные программы просто остановятся, если их запустить в фоновом режиме.
Можно также запускать нескольких независимых сеансов. Для этого в консоли необходимо набрать Alt и одну из клавиш, находящихся в интервале от F1 до F6. На экране появится новое приглашение системы, и можно открыть новый сеанс. Этот метод также позволяет вам работать на другой консоли, если консоль, которую вы использовали до этого, не отвечает или вам необходимо остановить зависшую программу.
Команда bg
Команда bg позволяет перевести задание на задний план.
Синтаксис:
bg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».
Команда fg
Команда fg позволяет перевести задание на передний план.
Синтаксис:
fg [ИДЕНТИФИКАТОР ...]
Идентификатор — PID ведущего процесса задания или номер задания, предварённый знаком «%».

Сжатие и упаковка файлов

Команда tar
Сжатие и упаковка файлов выполняется с помощью команды tar, которая преобразует файл или группу файлов в архив без сжатия (tarfile).
Упаковка файлов в архив чаще всего выполняется следующей командой:
tar -cf [имя создаваемого файла архива] [упаковываемые файлы и/или каталоги]
Пример использования команды упаковки архива:
tar -cf moi_dokumenti.tar Docs project.tex
Распаковка содержимого архива в текущий каталог выполняется командой:
tar -xf [имя файла архива]
Для сжатия файлов используются специальные программы сжатия: gzip, bzip2 и 7z.

64.3. Стыкование команд в системе Linux

64.3.1. Стандартный ввод и стандартный вывод

Многие команды системы имеют так называемые стандартный ввод (standard input) и стандартный вывод (standard output), часто сокращаемые до stdin и stdout. Ввод и вывод здесь — это входная и выходная информация для данной команды. Программная оболочка делает так, что стандартным вводом является клавиатура, а стандартным выводом — экран монитора.
Пример с использованием команды cat. По умолчанию команда cat читает данные из всех файлов, которые указаны в командной строке, и посылает эту информацию непосредственно в стандартный вывод (stdout). Следовательно, команда:
cat history-final masters-thesis
выведет на экран сначала содержимое файла history-final, а затем — файла masters-thesis.
Если имя файла не указано, команда cat читает входные данные из stdin и возвращает их в stdout. Пример:
cat
Hello there.
Hello there.
Bye.
Bye.
Ctrl-D
Каждую строку, вводимую с клавиатуры, команда cat немедленно возвращает на экран. При вводе информации со стандартного ввода конец текста сигнализируется вводом специальной комбинации клавиш, как правило, Ctrl+D. Сокращённое название сигнала конца текста — EOT (end of text).

64.3.2. Перенаправление ввода и вывода

При необходимости можно перенаправить стандартный вывод, используя символ >, и стандартный ввод, используя символ <.
Фильтр (filter) — программа, которая читает данные из стандартного ввода, некоторым образом их обрабатывает и результат направляет на стандартный вывод. Когда применяется перенаправление, в качестве стандартного ввода и вывода могут выступать файлы. Как указывалось выше, по умолчанию, stdin и stdout относятся к клавиатуре и к экрану соответственно. Команда sort является простым фильтром — она сортирует входные данные и посылает результат на стандартный вывод. Совсем простым фильтром является команда cat — она ничего не делает с входными данными, а просто пересылает их на выход.

64.3.3. Использование состыкованных команд

Стыковку команд (pipelines) осуществляет командная оболочка, которая stdout первой команды направляет на stdin второй команды. Для стыковки используется символ |. Направить stdout команды ls на stdin команды sort:
ls | sort -r
notes
masters-thesis
history-final
english-list
Вывод списка файлов частями:
ls /usr/bin | more
Если необходимо вывести на экран последнее по алфавиту имя файла в текущем каталоге, можно использовать следующую команду:
ls | sort -r | head -1 notes
где команда head -1 выводит на экран первую строку получаемого ей входного потока строк (в примере поток состоит из данных от команды ls), отсортированных в обратном алфавитном порядке.

64.3.4. Недеструктивное перенаправление вывода

Эффект от использования символа > для перенаправления вывода файла является деструктивным; т.е, команда
ls > file-list
уничтожит содержимое файла file-list, если этот файл ранее существовал, и создаст на его месте новый файл. Если вместо этого перенаправление будет сделано с помощью символов >>, то вывод будет приписан в конец указанного файла, при этом исходное содержимое файла не будет уничтожено.

Примечание

Перенаправление ввода и вывода и стыкование команд осуществляется командными оболочками, которые поддерживают использование символов >, >> и |. Сами команды не способны воспринимать и интерпретировать эти символы.

Глава 65. Средства управления дискреционными правами доступа

65.1. Команда chmod

Команда chmod предназначена для изменения прав доступа файлов и каталогов.
Синтаксис:
chmod [ОПЦИИ] РЕЖИМ[,РЕЖИМ]... <ФАЙЛ>
chmod [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Основные опции:
  • -R — рекурсивно изменять режим доступа к файлам, расположенным в указанных каталогах;
  • --reference=ИФАЙЛ — использовать режим файла ИФАЙЛ.
chmod изменяет права доступа каждого указанного файла в соответствии с правами доступа, указанными в параметре режим, который может быть представлен как в символьном виде, так и в виде восьмеричного, представляющего битовую маску новых прав доступа.
Формат символьного режима следующий:
[ugoa...][[+-=][разрешения...]...]
Здесь разрешения — это ноль или более букв из набора «rwxXst» или одна из букв из набора «ugo».
Каждый аргумент — это список символьных команд изменения прав доступа, разделеных запятыми. Каждая такая команда начинается с нуля или более букв «ugoa», комбинация которых указывает, чьи права доступа к файлу будут изменены: пользователя, владеющего файлом (u), пользователей, входящих в группу, к которой принадлежит файл (g), остальных пользователей (o) или всех пользователей (a). Если не задана ни одна буква, то автоматически будет использована буква «a», но биты, установленные в umask, не будут затронуты.
Оператор «+» добавляет выбранные права доступа к уже имеющимся у каждого файла, «-» удаляет эти права. «=» присваивает только эти права каждому указанному файлу.
Буквы «rwxXst» задают биты доступа для пользователей: «r» — чтение, «w» — запись, «x» — выполнение (или поиск для каталогов), «X» — выполнение/поиск только если это каталог или же файл с уже установленным битом выполнения, «s» — задать ID пользователя и группы при выполнении, «t» — запрет удаления.
Числовой режим состоит не более чем из четырех восьмеричных цифр (от нуля до семи), которые складываются из битовых масок с разрядами «4», «2» и «1». Любые пропущенные разряды дополняются лидирующими нулями:
  • первый разряд выбирает установку идентификатора пользователя (setuid) (4) или идентификатора группы (setgid) (2) или sticky-бита (1);
  • второй разряд выбирает права доступа для пользователя, владеющего данным файлом: чтение (4), запись (2) и исполнение (1);
  • третий разряд выбирает права доступа для пользователей, входящих в данную группу, с тем же смыслом, что и у второго разряда;
  • четвертый разряд выбирает права доступа для остальных пользователей (не входящих в данную группу), опять с тем же смыслом.
Примеры:
  • установить права, позволяющие владельцу читать и писать в файл f1, а членам группы и прочим пользователям только читать. Команду можно записать двумя способами:
    $ chmod 644 f1
    $ chmod u=rw,go=r f1
    
  • позволить всем выполнять файл f2:
    $ chmod +x f2
  • запретить удаление файла f3:
    $ chmod +t f3
  • дать всем права на чтение запись и выполнение, а также на переустановку идентификатора группы при выполнении файла f4:
    $ chmod =rwx,g+s f4
    $ chmod 2777 f4
    

65.2. Команда chown

Команда chown изменяет владельца и/или группу для каждого заданного файла.
Синтаксис:
chown [КЛЮЧ]…[ВЛАДЕЛЕЦ][:[ГРУППА]] <ФАЙЛ>
chown [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Основные опции:
  • -R — рекурсивно изменять файлы и каталоги;
  • --reference=ИФАЙЛ — использовать владельца и группу файла ИФАЙЛ.
Изменить владельца может только владелец файла или суперпользователь.
Владелец не изменяется, если он не задан в аргументе. Группа также не изменяется, если не задана, но если после символьного ВЛАДЕЛЬЦА стоит символ «:», подразумевается изменение группы на основную группу текущего пользователя. Поля ВЛАДЕЛЕЦ и ГРУППА могут быть как числовыми, так и символьными.
Примеры:
  • поменять владельца каталога /u на пользователя test:
    chown test /u
  • поменять владельца и группу каталога /u:
    chown test:staff /u
  • поменять владельца каталога /u и вложенных файлов на test:
    chown -hR test /u

65.3. Команда chgrp

Команда chgrp изменяет группу для каждого заданного файла.
Синтаксис:
chgrp [ОПЦИИ] ГРУППА <ФАЙЛ>
chgrp [ОПЦИИ] --reference=ИФАЙЛ <ФАЙЛ>
Основные опции:
  • -R — рекурсивно изменять файлы и каталоги;
  • --reference=ИФАЙЛ — использовать группу файла ИФАЙЛ.

65.4. Команда umask

Команда umask задает маску режима создания файла в текущей среде командного интерпретатора равной значению, задаваемому операндом режим. Эта маска влияет на начальное значение битов прав доступа всех создаваемых далее файлов.
Синтаксис:
umask [-p] [-S] [режим]
Пользовательской маске режима создания файлов присваивается указанное восьмеричное значение. Три восьмеричные цифры соответствуют правам на чтение/запись/выполнение для владельца, членов группы и прочих пользователей соответственно. Значение каждой заданной в маске цифры вычитается из соответствующей «цифры», определенной системой при создании файла. Например, umask 022 удаляет права на запись для членов группы и прочих пользователей (у файлов, создававшихся с режимом 777, он оказывается равным 755; а режим 666 преобразуется в 644).
Если маска не указана, выдается ее текущее значение:
$ umask
0022
или то же самое в символьном режиме:
$ umask -S
u=rwx,g=rx,o=rx
Команда umask распознается и выполняется командным интерпретатором bash.

65.5. Команда chattr

Команда chattr изменяет атрибуты файлов на файловых системах ext3, ext4.
Синтаксис:
chattr [ -RVf ] [+-=aAcCdDeFijmPsStTux] [ -v версия ] <ФАЙЛЫ> …
Опции:
  • -R — рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки игнорируются;
  • -V — выводить расширенную информацию и версию программы;
  • -f — подавлять вывод сообщений об ошибках;
  • -v версия — установить номер версии/генерации файла.
Формат символьного режима:
+-=aAcCdDeFijmPsStTux
Оператор «+» означает добавление выбранных атрибутов к существующим атрибутам; «-» означает их снятие; «=» означает определение только этих указанных атрибутов для файлов.
Символы «aAcCdDeFijmPsStTux» указывают на новые атрибуты файлов:
  • a — только добавление к файлу;
  • A — не обновлять время последнего доступа (atime) к файлу;
  • c — сжатый файл;
  • C — отключение режима «Copy-on-write» для указанного файла;
  • d — не архивировать (отключает создание архивной копии файла командой dump);
  • D — синхронное обновление каталогов;
  • e — включает использование extent при выделении места на устройстве (атрибут не может быть отключён с помощью chattr);
  • F — регистронезависимый поиск в каталогах;
  • i — неизменяемый файл (файл защищен от изменений: не может быть удалён или переименован, к этому файлу не могут быть созданы ссылки, и никакие данные не могут быть записаны в этот файл);
  • j — ведение журнала данных (данные файла перед записью будут записаны в журнал ext3/ext4);
  • m — не сжимать;
  • P — каталог с вложенными файлами является иерархической структурой проекта;
  • s — безопасное удаление (перед удалением все содержимое файла полностью затирается «00»);
  • S — синхронное обновление (аналогичен опции монтирования «sync» файловой системы);
  • t — отключает метод tail-merging для файлов;
  • T — вершина иерархии каталогов;
  • u — неудаляемый (при удалении файла его содержимое сохраняется, это позволяет пользователю восстановить файл);
  • x — прямой доступ к файлам (атрибут не может быть установлен с помощью chattr).

65.6. Команда lsattr

Команда lsattr выводит атрибуты файла расширенной файловой системы.
Синтаксис:
lsattr [ -RVadlpv ] <ФАЙЛЫ> …
Опции:
  • -R — рекурсивно перечислить атрибуты каталогов и их содержимого;
  • -V — выводить расширенную информацию и версию программы;
  • -a — перечислить все файлы в каталоге, включая скрытые файлы (имена которых начинаются с «.»);
  • -d — отобразить каталоги так же, как и файлы вместо того, чтобы просматривать их содержимое;
  • -l — отобразить параметры, используя длинные имена вместо одного символа;
  • -p — выводить номер проекта файла;
  • -v — выводить номер версии/генерации файла.

65.7. Команда getfacl

Команда getfacl выводит атрибуты файла расширенной файловой системы.
Синтаксис:
getfacl [ --aceEsRLPtpndvh ] <ФАЙЛ> …
Опции:
  • -a — вывести только ACL файла;
  • -d — вывести только ACL по умолчанию;
  • -c — не показывать заголовок (имя файла);
  • -e — показывать все эффективные права;
  • -E — не показывать эффективные права;
  • -s — пропускать файлы, имеющие только основные записи;
  • -R — для подкаталогов рекурсивно;
  • -L — следовать по символическим ссылкам, даже если они не указаны в командной строке;
  • -P — не следовать по символическим ссылкам, даже если они указаны в командной строке;
  • -t — использовать табулированный формат вывода;
  • -p — не удалять ведущие «/» из пути файла;
  • -n — показывать числовые значения пользователя/группы.
Формат вывода:
1: # file: somedir/
2: # owner: lisa
3: # group: staff
4: # flags: -s-
5: user::rwx
6: user:joe:rwx			#effective:r-x
7: group::rwx			#effective:r-x
8: group:cool:r-x
9: mask:r-x
10: other:r-x
11: default:user::rwx
12: default:user:joe:rwx	#effective:r-x
13: default:group::r-x
14: default:mask:r-x
15: default:oter:---
Строки 1 — 3 указывают имя файла, владельца и группу владельцев.
В строке 4 указаны биты setuid (s), setgid (s) и sticky (t): либо буква, обозначающая бит, либо тире (-). Эта строка включается, если какой-либо из этих битов установлен, и опускается в противном случае, поэтому она не будет отображаться для большинства файлов.
Строки 5, 7 и 10 относятся к традиционным битам прав доступа к файлу, соответственно, для владельца, группы-владельца и всех остальных. Эти три элемента являются базовыми. Строки 6 и 8 являются элементами для отдельных пользователя и группы. Строка 9 — маска эффективных прав. Этот элемент ограничивает эффективные права, предоставляемые всем группам и отдельным пользователям. Маска не влияет на права для владельца файла и всех других. Строки 11 — 15 показывают ACL по умолчанию, ассоциированный с данным каталогом.

65.8. Команда setfacl

Команда setfacl изменяет ACL к файлам или каталогам. В командной строке за последовательностью команд идет последовательность файлов (за которой, в свою очередь, также может идти последовательность команд и так далее).
Синтаксис:
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] <ФАЙЛ> …
setfacl --restore=file
Опции:
  • -b — удалить все разрешенные записи ACL;
  • -k — удалить ACL по умолчанию;
  • -n — не пересчитывать маску эффективных прав, обычно setfacl пересчитывает маску (кроме случая явного задания маски) для того, чтобы включить ее в максимальный набор прав доступа элементов, на которые воздействует маска (для всех групп и отдельных пользователей);
  • -d — применить ACL по умолчанию;
  • -R — для подкаталогов рекурсивно;
  • -L — переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с -R);
  • -P — не переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с -R);
  • -L — следовать по символическим ссылкам, даже если они не указаны в командной строке;
  • -P — не следовать по символическим ссылкам, даже если они указаны в командной строке;
  • --mask — пересчитать маску эффективных прав;
  • -m — изменить текущий ACL для файла;
  • -M — прочитать записи ACL для модификации из файла;
  • -x — удалить записи из ACL файла;
  • -X — прочитать записи ACL для удаления из файла;
  • --restore=file — восстановить резервную копию прав доступа, созданную командой getfacl –R или ей подобной. Все права доступа дерева каталогов восстанавливаются, используя этот механизм. В случае если вводимые данные содержат элементы для владельца или группы-владельца, и команда setfacl выполняется пользователем с именем root, то владелец и группа-владелец всех файлов также восстанавливаются. Эта опция не может использоваться совместно с другими опциями за исключением опции --test;
  • --set=acl — установить ACL для файла, заменив текущий ACL;
  • --set-file=file — прочитать записи ACL для установления из файла;
  • --test — режим тестирования (ACL не изменяются).
При использовании опций --set, -m и -x должны быть перечислены записи ACL в командной строке. Элементы ACL разделяются одинарными кавычками.
При чтении ACL из файла при помощи опций -set-file, -M и -X команда setfacl принимает множество элементов в формате вывода команды getfacl. В строке обычно содержится не больше одного элемента ACL.
Команда setfacl использует следующие форматы элементов ACL:
  • права доступа отдельного пользователя (если не задан UID, то права доступа владельца файла):
    [d[efault]:] [u[ser]:]uid [:perms]
    
  • права доступа отдельной группы (если не задан GID, то права доступа группы-владельца):
    [d[efault]:] g[roup]:gid [:perms]
    
  • маска эффективных прав:
    [d[efault]:] m[ask][:] [:perms]
    
  • права доступа всех остальных:
    [d[efault]:] o[ther][:] [:perms]
    
Элемент ACL является абсолютным, если он содержит поле perms и является относительным, если он включает один из модификаторов: «+» или «^». Абсолютные элементы могут использоваться в операциях установки или модификации ACL. Относительные элементы могут использоваться только в операции модификации ACL. Права доступа для отдельных пользователей, группы, не содержащие никаких полей после значений UID, GID (поле perms при этом отсутствует), используются только для удаления элементов.
Значения UID и GID задаются именем или числом. Поле perms может быть представлено комбинацией символов «r», «w», «x», «-» или цифр (0 — 7).
Изначально файлы и каталоги содержат только три базовых элемента ACL: для владельца, группы-владельца и всех остальных пользователей. Существует ряд правил, которые следует учитывать при установке прав доступа:
  • не могут быть удалены сразу три базовых элемента, должен присутствовать хотя бы один;
  • если ACL содержит права доступа для отдельного пользователя или группы, то ACL также должен содержать маску эффективных прав;
  • если ACL содержит какие-либо элементы ACL по умолчанию, то в последнем должны также присутствовать три базовых элемента (т. е. права доступа по умолчанию для владельца, группы-владельца и всех остальных);
  • если ACL по умолчанию содержит права доступа для всех отдельных пользователей или групп, то в ACL также должна присутствовать маска эффективных прав.
Для того чтобы помочь пользователю выполнять эти правила, команда setfacl создает права доступа, используя уже существующие, согласно следующим условиям:
  • если права доступа для отдельного пользователя или группы добавлены в ACL, а маски прав не существует, то создается маска с правами доступа группы-владельца;
  • если создан элемент ACL по умолчанию, а трех базовых элементов не было, тогда делается их копия и они добавляются в ACL по умолчанию;
  • если ACL по умолчанию содержит какие-либо права доступа для конкретных пользователя или группы и не содержит маску прав доступа по умолчанию, то при создании эта маска будет иметь те же права, что и группа по умолчанию.
Пример. Изменить разрешения для файла test.txt, принадлежащего пользователю liza и группе docs, так, чтобы:
  • пользователь ivan имел права на чтение и запись в этот файл;
  • пользователь misha не имел никаких прав на этот файл.
Исходные данные
$ ls -l test.txt
-rw-r-r-- 1 liza docs 8 янв 22 15:54 test.txt
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
group::r--
other::r--
Установить разрешения (от пользователя liza):
$ setfacl -m u:ivan:rw- test.txt
$ setfacl -m u:misha:--- test.txt
Просмотреть разрешения (от пользователя liza):
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
user:ivan:rw-
user:misha:---
group::r--
mask::rw-
other::r--

Примечание

Символ «+» (плюс) после прав доступа в выводе команды ls -l указывает на использование ACL:
$ ls -l test.txt
-rw-rw-r--+ 1 liza docs 8 янв 22 15:54 test.txt

Глава 66. Режим суперпользователя

66.1. Какие бывают пользователи?

Linux — система многопользовательская, а потому пользователь — ключевое понятие для организации всей системы доступа в Linux. Файлы всех пользователей в Linux хранятся раздельно, у каждого пользователя есть собственный домашний каталог, в котором он может хранить свои данные. Доступ других пользователей к домашнему каталогу пользователя может быть ограничен.
Суперпользователь в Linux — это выделенный пользователь системы, на которого не распространяются ограничения прав доступа. Именно суперпользователь имеет возможность произвольно изменять владельца и группу файла. Ему открыт доступ на чтение и запись к любому файлу или каталогу системы.
Среди учётных записей Linux всегда есть учётная запись суперпользователя — root. Поэтому вместо «суперпользователь» часто говорят «root». Множество системных файлов принадлежат root, множество файлов только ему доступны для чтения или записи. Пароль этой учётной записи — одна из самых больших драгоценностей системы. Именно с её помощью системные администраторы выполняют самую ответственную работу.

66.2. Для чего может понадобиться режим суперпользователя?

Системные утилиты, например, такие, как Центр управления системой или Программа управления пакетами Synaptic требуют для своей работы привилегий суперпользователя, потому что они вносят изменения в системные файлы. При их запуске выводится диалоговое окно с запросом пароля системного администратора.

66.3. Как получить права суперпользователя?

Для опытных пользователей, умеющих работать с командной строкой, существует два различных способа получить права суперпользователя.
Первый — это зарегистрироваться в системе под именем root.
Второй способ — воспользоваться специальной утилитой su (shell of user), которая позволяет выполнить одну или несколько команд от лица другого пользователя. По умолчанию эта утилита выполняет команду sh от пользователя root, то есть запускает командный интерпретатор. Отличие от предыдущего способа в том, что всегда известно, кто именно запускал su, а значит, ясно, кто выполнил определённое административное действие.
В некоторых случаях удобнее использовать не su, а утилиту sudo, которая позволяет выполнять только заранее заданные команды.

Важно

Для того чтобы воспользоваться командами su и sudo, необходимо быть членом группы wheel. Пользователь, созданный при установке системы, по умолчанию уже включён в эту группу.
В дистрибутивах Альт для управления доступом к важным службам используется подсистема control. control — механизм переключения между неким набором фиксированных состояний для задач, допускающих такой набор.
Команда control доступна только для суперпользователя (root). Для того чтобы посмотреть, что означает та или иная политика control (разрешения выполнения конкретной команды, управляемой control), надо запустить команду с ключом help:
# control su help
Запустив control без параметров, можно увидеть полный список команд, управляемых командой (facilities) вместе с их текущим состоянием и набором допустимых состояний.

66.4. Как перейти в режим суперпользователя?

Для перехода в режим суперпользователя наберите в терминале команду (минус важен!):
su -
Если воспользоваться командой su без ключа, то происходит вызов командного интерпретатора с правами root. При этом значение переменных окружения, в частности $PATH, остаётся таким же, как у пользователя: в переменной $PATH не окажется каталогов /sbin, /usr/sbin, без указания полного имени будут недоступны команды route, shutdown, mkswap и другие. Более того, переменная $HOME будет указывать на каталог пользователя, все программы, запущенные в режиме суперпользователя, сохранят свои настройки с правами root в каталоге пользователя, что в дальнейшем может вызвать проблемы.
Чтобы избежать этого, следует использовать su -. В этом режиме su запустит командный интерпретатор в качестве login shell, и он будет вести себя в точности так, как если бы в системе зарегистрировался root.

Глава 67. Управление пользователями

67.1. Общая информация

Пользователи и группы внутри системы обозначаются цифровыми идентификаторами — UID и GID, соответственно.
Пользователь может входить в одну или несколько групп. По умолчанию он входит в группу, совпадающую с его именем. Чтобы узнать, в какие еще группы входит пользователь, введите команду id, вывод её может быть примерно следующим:
uid=500(test) gid=500(test) группы=500(test),16(rpm)
Такая запись означает, что пользователь test (цифровой идентификатор 500) входит в группы test и rpm. Разные группы могут иметь разный уровень доступа к тем или иным каталогам; чем в большее количество групп входит пользователь, тем больше прав он имеет в системе.

Примечание

В связи с тем, что большинство привилегированных системных утилит в дистрибутивах Альт имеют не SUID-, а SGID-бит, будьте предельно внимательны и осторожны в переназначении групповых прав на системные каталоги.

67.2. Команда useradd

Команда useradd регистрирует нового пользователя или изменяет информацию по умолчанию о новых пользователях.
Синтаксис:
useradd [ОПЦИИ...] <ИМЯ ПОЛЬЗОВАТЕЛЯ>
useradd -D [ОПЦИИ...]
Некоторые опции:
  • -b каталог — базовый каталог для домашнего каталога новой учётной записи;
  • -c комментарий — текстовая строка (обычно используется для указания фамилии и мени);
  • -d каталог — домашний каталог новой учётной записи;
  • -D — показать или изменить настройки по умолчанию для useradd;
  • -e дата — дата устаревания новой учётной записи;
  • -g группа — имя или ID первичной группы новой учётной записи;
  • -G группы — список дополнительных групп (через запятую) новой учётной записи;
  • -m — создать домашний каталог пользователя;
  • -M — не создавать домашний каталог пользователя;
  • -p пароль — зашифрованный пароль новой учётной записи (не рекомендуется);
  • -s оболочка — регистрационная оболочка новой учётной записи (по умолчанию /bin/bash);
  • -u UID — пользовательский ID новой учётной записи.
Команда useradd имеет множество параметров, которые позволяют менять её поведение по умолчанию. Например, можно принудительно указать, какой будет UID или какой группе будет принадлежать пользователь:
# useradd -u 1500 -G usershares new_user

67.3. Команда passwd

Команда passwd поддерживает традиционные опции passwd и утилит shadow.
Синтаксис:
passwd [ОПЦИИ...] [ИМЯ ПОЛЬЗОВАТЕЛЯ]
Возможные опции:
  • -d, --delete — удалить пароль для указанной записи;
  • -f, --force — форсировать операцию;
  • -k, --keep-tokens — сохранить не устаревшие пароли;
  • -l, --lock — блокировать указанную запись;
  • --stdin — прочитать новые пароли из стандартного ввода;
  • -S, --status — дать отчет о статусе пароля в указанной записи;
  • -u, --unlock — разблокировать указанную запись;
  • -?, --help — показать справку и выйти;
  • --usage — дать короткую справку по использованию;
  • -V, --version — показать версию программы и выйти.
Код выхода: при успешном завершении passwd заканчивает работу с кодом выхода 0. Код выхода 1 означает, что произошла ошибка. Текстовое описание ошибки выводится на стандартный поток ошибок.
Пользователь может в любой момент поменять свой пароль. Единственное, что требуется для смены пароля — знать текущий пароль.
Только суперпользователь может обновить пароль другого пользователя.

67.4. Добавление нового пользователя

Для добавления нового пользователя используйте команды useradd и passwd:
# useradd test1

# passwd test1
passwd: updating all authentication tokens for user test1.

You can now choose the new password or passphrase.

A valid password should be a mix of upper and lower case letters, digits, and
other characters.  You can use a password containing at least 7 characters
from all of these classes, or a password containing at least 8 characters
from just 3 of these 4 classes.
An upper case letter that begins the password and a digit that ends it do not
count towards the number of character classes used.

A passphrase should be of at least 3 words, 11 to 72 characters long, and
contain enough different characters.

Alternatively, if no one else can see your terminal now, you can pick this as
your password: "Burst*texas$Flow".

Enter new password:
Weak password: too short.
Re-type new password:
passwd: all authentication tokens updated successfully.
В результате описанных действий в системе появился пользователь test1 с некоторым паролем. Если пароль оказался слишком слабым с точки зрения системы, она об этом предупредит (как в примере выше). Пользователь в дальнейшем может поменять свой пароль при помощи команды passwd — но если он попытается поставить слабый пароль, система откажет ему (в отличие от root) в изменении.
В Альт Сервер для проверки паролей на слабость используется модуль PAM passwdqc.

67.5. Настройка парольных ограничений

Настройка парольных ограничений производится в файле /etc/passwdqc.conf.
Файл passwdqc.conf состоит из 0 или более строк следующего формата:
опция=значение
Пустые строки и строки, начинающиеся со знака решетка («#»), игнорируются. Символы пробела между опцией и значением не допускаются.
Опции, которые могут быть переданы в модуль (в скобках указаны значения по умолчанию): min=N0,N1,N2,N3,N4 (min=disabled,24,11,8,7) — минимально допустимая длина пароля.
Используемые типы паролей по классам символов (алфавит, число, спецсимвол, верхний и нижний регистр) определяются следующим образом:
  • тип N0 используется для паролей, состоящих из символов только одного класса;
  • тип N1 используется для паролей, состоящих из символов двух классов;
  • тип N2 используется для парольных фраз, кроме этого требования длины, парольная фраза должна также состоять из достаточного количества слов;
  • типы N3 и N4 используются для паролей, состоящих из символов трех и четырех классов, соответственно.
Ключевое слово disabled используется для запрета паролей выбранного типа N0 — N4 независимо от их длины.

Примечание

Каждое следующее число в настройке «min» должно быть не больше, чем предыдущее.
При расчете количества классов символов, заглавные буквы, используемые в качестве первого символа и цифр, используемых в качестве последнего символа пароля, не учитываются.
max=N (max=40) — максимально допустимая длина пароля. Эта опция может быть использована для того, чтобы запретить пользователям устанавливать пароли, которые могут быть слишком длинными для некоторых системных служб. Значение 8 обрабатывается особым образом: пароли длиннее 8 символов, не отклоняются, а обрезаются до 8 символов для проверки надежности (пользователь при этом предупреждается).
passphrase=N (passphrase=3) — число слов, необходимых для ключевой фразы (значение 0 отключает поддержку парольных фраз).
match=N (match=4) — длина общей подстроки, необходимой для вывода, что пароль хотя бы частично основан на информации, найденной в символьной строке (значение 0 отключает поиск подстроки). Если найдена слабая подстрока пароль не будет отклонен; вместо этого он будет подвергаться обычным требованиям к прочности при удалении слабой подстроки. Поиск подстроки нечувствителен к регистру и может обнаружить и удалить общую подстроку, написанную в обратном направлении.
similar=permit|deny (similar=deny) — параметр similar=permit разрешает задать новый пароль, если он похож на старый (параметр similar=deny — запрещает). Пароли считаются похожими, если есть достаточно длинная общая подстрока, и при этом новый пароль с частично удаленной подстрокой будет слабым.
random=N[,only] (random=42) — размер случайно сгенерированных парольных фраз в битах (от 26 до 81) или 0, чтобы отключить эту функцию. Любая парольная фраза, которая содержит предложенную случайно сгенерированную строку, будет разрешена вне зависимости от других возможных ограничений. Значение only используется для запрета выбранных пользователем паролей.
enforce=none|users|everyone (enforce=users) — параметр enforce=users задает ограничение задания паролей в passwd на пользователей без полномочий root. Параметр enforce=everyone задает ограничение задания паролей в passwd и на пользователей, и на суперпользователя root. При значении none модуль PAM будет только предупреждать о слабых паролях.
retry=N (retry=3) — количество запросов нового пароля, если пользователь с первого раза не сможет ввести достаточно надежный пароль и повторить его ввод.
Далее приводится пример задания следующих значений в файле /etc/passwdqc.conf:
min=8,7,4,4,4
enforce=everyone
В указанном примере пользователям, включая суперпользователя root, будет невозможно задать пароли:
  • типа N0 (символы одного класса) — длиной меньше восьми символов;
  • типа N1 (символы двух классов) — длиной меньше семи символов;
  • типа N2 (парольные фразы), типа N3 (символы трех классов) и N4 (символы четырех классов) — длиной меньше четырех символов.

67.6. Управление сроком действия пароля

Для управления сроком действия паролей используется команда chage.

Примечание

Должен быть установлен пакет shadow-change:
# apt-get install shadow-change
chage изменяет количество дней между сменой пароля и датой последнего изменения пароля.
Синтаксис команды:
chage [опции] логин
Основные опции:
  • -d, --lastday LAST_DAY — установить последний день смены пароля в LAST_DAY на день (число дней с 1 января 1970). Дата также может быть указана в формате ГГГГ-ММ-ДД;
  • -E, -expiredate EXPIRE_DAYS — установить дату окончания действия учётной записи в EXPIRE_DAYS (число дней с 1 января 1970) Дата также может быть указана в формате ГГГГ-ММ-ДД. Значение -1 удаляет дату окончания действия учётной записи;
  • -I, --inactive INACTIVE — используется для задания количества дней «неактивности», то есть дней, когда пользователь вообще не входил в систему, после которых его учетная запись будет заблокирована. Пользователь, чья учетная запись заблокирована, должен обратиться к системному администратору, прежде чем снова сможет использовать систему. Значение -1 отключает этот режим;
  • -l, --list — просмотр информации о «возрасте» учётной записи пользователя;
  • -m, --mindays MIN_DAYS — установить минимальное число дней перед сменой пароля. Значение 0 в этом поле обозначает, что пользователь может изменять свой пароль, когда угодно;
  • -M, --maxdays MAX_DAYS — установить максимальное число дней перед сменой пароля. Когда сумма MAX_DAYS и LAST_DAY меньше, чем текущий день, у пользователя будет запрошен новый пароль до начала работы в системе. Эта операция может предваряться предупреждением (параметр -W). При установке значения -1, проверка действительности пароля не будет выполняться;
  • -W, --warndays WARN_DAYS — установить число дней до истечения срока действия пароля, начиная с которых пользователю будет выдаваться предупреждение о необходимости смены пароля.
Пример настройки времени действия пароля для пользователя test:
# chage -M 5 test
Получить информацию о «возрасте» учётной записи пользователя test:
# chage -l test
Последний раз пароль был изменён				: дек 27, 2023
Срок действия пароля истекает					: янв 01, 2024
Пароль будет деактивирован через				: янв 11, 2024
Срок действия учётной записи истекает				: никогда
Минимальное количество дней между сменой пароля			: -1
Максимальное количество дней между сменой пароля		: 5
Количество дней с предупреждением перед деактивацией пароля	: -1

Примечание

Задать время действия пароля для вновь создаваемых пользователей можно, изменив параметр PASS_MAX_DAYS в файле /etc/login.defs.

67.7. Настройка неповторяемости пароля

Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля чередовать один и тот же пароль слишком часто.

Предупреждение

В данном случае системный каталог станет доступным для записи пользователям группы pw_users (создайте эту группу и включите туда пользователей).

Предупреждение

База используемых паролей ведется в файле /etc/security/opasswd, в который пользователи должны иметь доступ на чтение и запись. При этом они могут читать хэши паролей остальных пользователей. Не рекомендуется использовать на многопользовательских системах.
Создайте файл /etc/security/opasswd и дайте права на запись пользователям:
# install -Dm0660 -gpw_users /dev/null /etc/security/opasswd
# chgrp pw_users /etc/security
# chmod g+w /etc/security
Для настройки этого ограничения необходимо изменить файл /etc/pam.d/system-auth-local-only таким образом, чтобы он включал модуль pam_pwhistory после первого появления строки с паролем:
password        required        pam_passwdqc.so config=/etc/passwdqc.conf
password        required        pam_pwhistory.so debug use_authtok remember=10 retry=3
После добавления этой строки в файле /etc/security/opasswd будут храниться последние 10 паролей пользователя (содержит хэши паролей всех учетных записей пользователей) и при попытке использования пароля из этого списка будет выведена ошибка:
Password has been already used. Choose another.
В случае если необходимо, чтобы проверка выполнялась и для суперпользователя root, в настройки нужно добавить параметр enforce_for_root:
password        required        pam_pwhistory.so
use_authtok enforce_for_root remember=10 retry=3

67.8. Модификация пользовательских записей

Для модификации пользовательских записей применяется утилита usermod:
# usermod -G audio,rpm,test1 test1
Такая команда изменит список групп, в которые входит пользователь test1 — теперь это audio, rpm, test1.
# usermod -l test2 test1
Будет произведена смена имени пользователя с test1 на test2.
Команды usermod -L test2 и usermod -U test2 соответственно временно блокируют возможность входа в систему пользователю test2 и возвращают всё на свои места.
Изменения вступят в силу только при следующем входе пользователя в систему.
При неинтерактивной смене или задании паролей для целой группы пользователей используйте утилиту chpasswd. На стандартный вход ей следует подавать список, каждая строка которого будет выглядеть как имя:пароль.

67.9. Удаление пользователей

Для удаления пользователей используйте userdel.
Команда userdel test2 удалит пользователя test2 из системы. Если будет дополнительно задан параметр -r, то будет уничтожен и домашний каталог пользователя. Нельзя удалить пользователя, если в данный момент он еще работает в системе.

Глава 68. Система инициализации systemd и sysvinit

68.1. Запуск операционной системы

68.1.1. Запуск системы

Алгоритм запуска компьютера приблизительно такой:
  1. BIOS компьютера.
  2. Загрузчик системы (например, LILO, GRUB или другой). В загрузчике вы можете задать параметры запуска системы или выбрать систему для запуска.
  3. Загружается ядро Linux.
  4. Запускается на выполнение первый процесс в системе — init.
Ядром запускается самая первая программа в системе init. Её задачей является запуск новых процессов и повторный запуск завершившихся. Вы можете посмотреть, где расположился init в иерархии процессов вашей системы, введя команду pstree.
От конфигурации init зависит, какая система инициализации будет использована.

68.1.2. Система инициализации

Система инициализации — это набор скриптов, которые будут выполнены при старте системы.
Существуют разные системы инициализации, наиболее популярной системой являются sysvinit и ее модификации. systemd разрабатывается как замена для sysVinit.
В Альт Сервер используется systemd.

68.2. Системы инициализации systemd и sysvinit

68.2.1. sysvinit

System V — классическая схема инициализации, на которой базируются многие дистрибутивы. Привычна и довольно проста для понимания: init описывает весь процесс загрузки в своем конфигурационном файле /etc/inittab, откуда вызываются другие программы и скрипты на определенном этапе запуска.

68.2.2. systemd

systemd является альтернативной системой инициализации Linux, вобравшей в себя достоинства классического System V init и более современных launchd (OS X), SMF (Solaris) и Upstart (Ubuntu, Fedora), но при этом лишенной многих их недостатков. Он разрабатывался для обеспечения лучшего выражения зависимостей между службами, что позволяет делать одновременно больше работы при загрузке системы, и уменьшить время загрузки системы.
systemd (system daemon) реализует принципиально новый подход к инициализации и контролю работы системы. Одним из ключевых новшеств этого подхода является высокая степень параллелизации запуска служб при инициализации системы, что в перспективе позволяет добиться гораздо более высокой скорости, чем традиционный подход с последовательным запуском взаимозависимых служб. Другим важным моментом является контроль над точками монтирования (не-жизненно-важные файловые системы можно монтировать только при первом обращении к ним, не тратя на это время при инициализации системы) и устройствами (можно запускать и останавливать определенные службы и при появлении или удалении заданных устройств). Для отслеживания групп процессов используется механизм cgroups, который также может быть использован для ограничения потребляемых ими системных ресурсов.
Удобство systemd особенно заметно на компьютерах для домашнего пользования — когда пользователи включают и перезагружают компьютер ежедневно. В отличие от sysvinit, подвисание при запуске одного сервиса не приведет к остановке всего процесса загрузки.

68.3. Примеры команд управления службами, журнал в systemd

Обратите внимание, что команды service и chkconfig продолжат работать в мире systemd практически без изменений. Тем не менее, в этой таблице показано как выполнить те же действия с помощью встроенных утилит systemctl.

Таблица 68.1. Команды управления службами

Команды Sysvinit
Команды Systemd
Примечания
service frobozz start
systemctl start frobozz.service
Используется для запуска службы (не перезагружает постоянные)
service frobozz stop
systemctl stop frobozz.service
Используется для остановки службы (не перезагружает постоянные)
service frobozz restart
systemctl restart frobozz.service
Используется для остановки и последующего запуска службы
service frobozz reload
systemctl reload frobozz.service
Если поддерживается, перезагружает файлы конфигурации без прерывания незаконченных операций
service frobozz condrestart
systemctl condrestart frobozz.service
Перезапускает службу, если она уже работает
service frobozz status
systemctl status frobozz.service
Сообщает, запущена ли уже служба
ls /etc/rc.d/init.d/
systemctl list-unit-files --type=service (preferred)
ls /lib/systemd/system/*.service /etc/systemd/system/*.service
Используется для отображения списка служб, которые можно запустить или остановить.
Используется для отображения списка всех служб.
chkconfig frobozz on
systemctl enable frobozz.service
Включает службу во время следующей перезагрузки, или любой другой триггер
chkconfig frobozz off
systemctl disable frobozz.service
Выключает службу во время следующей перезагрузки, или любой другой триггер
chkconfig frobozz
systemctl is-enabled frobozz.service
Используется для проверки, сконфигурирована ли служба для запуска в текущем окружении
chkconfig --list
systemctl list-unit-files --type=service(preferred)
ls /etc/systemd/system/*.wants/
Выводит таблицу служб. В ней видно, на каких уровнях загрузки они (не)запускаются
chkconfig frobozz --list
ls /etc/systemd/system/*.wants/frobozz.service
Используется, для отображения на каких уровнях служба (не)запускается
chkconfig frobozz --add
systemctl daemon-reload
Используется, когда вы создаете новую службу или модифицируете любую конфигурацию

68.4. Журнал в systemd

В systemd включена возможность ведения системного журнала. Для чтения журнала следует использовать команду journalctl. По умолчанию, больше не требуется запуск службы syslog.
Вы можете запускать journalctl с разными ключами:
  • journalctl -b — покажет сообщения только с текущей загрузки;
  • journalctl -f — покажет только последние сообщения.
Так же вы можете посмотреть сообщения определенного процесса:
  • journalctl _PID=1 — покажет сообщения первого процесса (init).
Для ознакомления с прочими возможностями, читайте руководство по journalctl. Для этого используйте команду man journalctl.

Глава 69. Документация

Каждый объект системы Linux обязательно сопровождается документацией, описывающей их назначение и способы использования. От пользователя системы не требуется заучивать все возможные варианты взаимодействия с ней. Достаточно понимать основные принципы её устройства и уметь находить справочную информацию.
Не пренебрегайте чтением документации: она поможет вам избежать многих сложностей, сэкономить массу времени и усилий при установке, настройке и администрировании системы, поможет найти нужное для работы приложение и быстро разобраться в нём.

69.1. Экранная документация

Почти все системы семейства UNIX, включая систему Linux, имеют экранную документацию. Её тексты содержат документацию по системным командам, ресурсам, конфигурационным файлам и т. д., а также могут быть выведены на экран в процессе работы.

69.1.1. man

Для доступа к экранной документации используется команда man (сокращение от manual). Каждая страница руководства посвящена одному объекту системы. Для того чтобы прочесть страницу руководства по программе, необходимо набрать man название_программы. К примеру, если вы хотите узнать, какие опции есть у команды date, вы можете ввести команду:
 $ man date
Большинство экранной документации написано для пользователей, имеющих некоторое представление о том, что делает данная команда. Поэтому большинство текстов экранной документации содержит исключительно технические детали команды без особых пояснений. Тем не менее, экранная документация оказывается очень ценной в том случае, если вы помните название команды, но её синтаксис просто выпал у вас из памяти.
Поиск по описаниям man осуществляется командой apropos. Если вы точно не знаете, как называется необходимая вам программа, то поиск осуществляется по ключевому слову, к примеру, apropos date или при помощи ввода слова, обозначающего нужное действие, после команды man -k (например, man -k copy). Слово, характеризующее желаемое для вас действие, можно вводить и на русском языке. При наличии русского перевода страниц руководства man результаты поиска будут выведены на запрашиваемом языке.
«Страница руководства» занимает, как правило, больше одной страницы экрана. Для того чтобы читать было удобнее, man запускает программу постраничного просмотра текстов. Страницы перелистывают пробелом, для выхода из режима чтения описания команд man необходимо нажать на клавиатуре q. Команда man man выдаёт справку по пользованию самой командой man.
Документация в подавляющем большинстве случаев пишется на простом английском языке. Необходимость писать на языке, который будет более или менее понятен большинству пользователей, объясняется постоянным развитием Linux. Дело не в том, что страницу руководства нельзя перевести, а в том, что её придётся переводить всякий раз, когда изменится описываемый ею объект! Например, выход новой версии программного продукта сопровождается изменением его возможностей и особенностей работы, а следовательно, и новой версией документации.
Тем не менее, некоторые наиболее актуальные руководства существуют в переводе на русский язык. Свежие версии таких переводов на русский язык собраны в пакете man-pages-ru. Установив этот пакет, вы добавите в систему руководства, для которых есть перевод, и man по умолчанию будет отображать их на русском языке.

69.1.2. info

Другой источник информации о Linux и составляющих его программах — справочная подсистема info. Страница руководства, несмотря на обилие ссылок различного типа, остаётся «линейным» текстом, структурированным только логически. Документ info — это настоящий гипертекст, в котором множество небольших страниц объединены в дерево. В каждом разделе документа info всегда есть оглавление, из которого можно перейти к нужному подразделу, а затем вернуться обратно (ссылки для перемещения по разделам текста помечены *). Для получения вспомогательной информации о перемещении по тексту используйте клавишу h. Полное руководство info вызывается командой info info. Команда info, введённая без параметров, предлагает пользователю список всех документов info, установленных в системе.

69.2. Документация по пакетам

Дополнительным источником информации об интересующей вас программе, в основном на английском языке, является каталог /usr/share/doc — место хранения разнообразной документации.
Каждый пакет также содержит поставляемую вместе с включённым в него ПО документацию, располагающуюся обычно в каталоге /usr/share/doc/имя_пакета. Например, документация к пакету file-5.44 находится в /usr/share/doc/file-5.44. Для получения полного списка файлов документации, относящихся к пакету, воспользуйтесь командой rpm -qd имя_установленного_пакета.
В документации к каждому пакету вы можете найти такие файлы как README, FAQ, TODO, СhangeLog и другие. В файле README содержится основная информация о программе — имя и контактные данные авторов, назначение, полезные советы и пр. FAQ содержит ответы на часто задаваемые вопросы; этот файл стоит прочитать в первую очередь, если у вас возникли проблемы или вопросы по использованию программы, поскольку большинство проблем и сложностей типичны, вполне вероятно, что в FAQ вы тут же найдёте готовое решение. В файле TODO записаны планы разработчиков на реализацию той или иной функциональности. В файле СhangeLog записана история изменений в программе от версии к версии.
Для поиска внешней информации о программе, например, адреса сайта программы в сети Интернет можно использовать команду rpm -qi имя_установленного_пакета. В информационном заголовке соответствующего пакета, среди прочей информации, будет выведена искомая ссылка.

69.3. Документация к программам, имеющим графический интерфейс

Каждая программа, имеющая графический интерфейс, как правило, сопровождается справочной информацией, вызываемой из меню программы. Обычно это разделы меню Справка.
По обыкновению, это меню предоставляет информацию о программе, её версии, лицензии и авторах. В большинстве случаев, справка содержит встроенное руководство, ссылки на локальные сведения и интернет-страницы документации на официальных сайтах программ (традиционная кнопка F1), информацию о сочетании клавиш, а также сообщения о процедурах и отладке в программе.

Часть XI. Функциональность операционной системы

Глава 70. Управление шифрованными разделами

Примечание

Зашифрованный раздел может быть создан, например, при установке системы см. «Создание шифрованных разделов».
В LUKS для одного зашифрованного раздела используются восемь слотов, в каждом из которых может храниться отдельный пароль (ключ). Любой из восьми ключей может быть использован для расшифровки раздела. Любой пароль может быть изменён или удалён необратимо.
Для управления шифрованными разделами можно воспользоваться командой cryptsetup. Ниже описаны лишь некоторые возможности утилиты cryptsetup. Для получения более подробной информации используйте команду man cryptsetup.
Просмотреть текущее состояние всех слотов:
# cryptsetup luksDump /dev/sdb1 | grep Slot
Key Slot 0: DISABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
где /dev/sdb1 — шифрованный раздел.

Примечание

Определить является ли устройство LUKS-разделом можно, выполнив команду:
# cryptsetup isLuks -v /dev/sdb1
Команда выполнена успешно.
Определить какой раздел является шифруемым можно, выполнив команду:
# lsblk
NAME                                          MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0   18G  0 disk
├─sda1                                          8:1    0 1023M  0 part  [SWAP]
└─sda2                                          8:2    0   17G  0 part  /
sdb                                             8:16   0   18G  0 disk
└─sdb1                                          8:17   0   18G  0 part
  └─luks-7853363d-e7e2-1a42-b5b9-0af119e19920 253:0    0   18G  0 crypt /home
sr0                                            11:0    1 1024M  0 rom
Добавить новый пароль на зашифрованный раздел (требуется предоставить уже имеющийся пароль интерактивно или посредством опции --key-file):
# cryptsetup luksAddKey /dev/sdb1
Введите любую существующую парольную фразу:
Введите новую парольную фразу для слота ключа:
Парольная фраза повторно:
Пароль будет назначен в первый свободный слот:
# cryptsetup luksDump /dev/sdb1 | grep Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Можно указать номер определенного слота с помощью опции --key-slot, например:
# cryptsetup luksAddKey /dev/sdb1 --key-slot 5

Примечание

Пароль должен представлять собой смесь заглавных и строчных букв, цифр и других символов. Можно использовать пароль, содержащий не менее 7 символов из всех этих классов, или пароль, содержащий не менее 8 символов только трех классов.
При расчете количества классов символов, заглавные буквы, используемые в качестве первого символа и цифр, используемых в качестве последнего символа пароля, не учитываются.

Важно

Настоятельно рекомендуется выбирать символы парольной фразы только из 7-битного ASCII.
Заменить один из паролей на другой (старый пароль нужно ввести интерактивно или задать опцией --key-file):
# cryptsetup luksChangeKey /dev/sdb1
Введите изменяемую парольную фразу:
Введите новую парольную фразу:
Парольная фраза повторно:
Если задан номер слота (опцией --key-slot), нужно ввести старый пароль именно для заданного слота, и замена пароля произойдёт тоже в этом слоте. Если номер слота не задан и есть свободный слот, то сначала новый пароль будет записан в свободный слот, а потом будет затёрт слот, содержащий старый пароль. Если свободных слотов не окажется, то новый пароль будет записан прямо в слот, ранее содержащий старый пароль.
Удалить заданный пароль (затирает слот):
# cryptsetup luksRemoveKey /dev/sdb1
Введите удаляемую парольную фразу:

Важно

В пакетном режиме (-q) удаление даже последнего пароля будет выполнено без каких-либо предупреждений. Если ни одного пароля не останется (то есть все слоты ключей будут пусты), дешифровать LUKS-раздел станет невозможно.
Сброс забытого пароля на зашифрованный раздел:
  1. Получить зашифрованные пароли всех разделов:
    # dmsetup table --showkey
    luks-7853363d-e7e2-1a42-b5b9-0af119e19920: 0 37730304 crypt aes-cbc-essiv:sha256 b15c22e8d60a37bcd27fb438637a8221fbec66c83be46d33a8331a4002cf3144 0 8:17 4096
    
    Часть поля после «aes-cbc-essiv:sha256» является зашифрованным паролем.
    Сохранить зашифрованный пароль в текстовый файл:
    # echo "b15c22e8d60a37bcd27fb438637a8221fbec66c83be46d33a8331a4002cf3144" > lukskey.txt
    
  2. Преобразовать существующий пароль из текстового файла в двоичный файл:
    # xxd -r -p lukskey.txt lukskey.bin
    luks-7853363d-e7e2-1a42-b5b9-0af119e19920: 0 37730304 crypt aes-cbc-essiv:sha256 b15c22e8d60a37bcd27fb438637a8221fbec66c83be46d33a8331a4002cf3144 0 8:17 4096
    
  3. Добавить новый пароль, используя существующий пароль, извлеченный в бинарный файл:
    # cryptsetup luksAddKey /dev/sdb1 --master-key-file <(cat lukskey.bin)
    Введите новую парольную фразу для слота ключа:
    Парольная фраза повторно:
    

Важно

Сбросить пароль на зашифрованный раздел можно, только если данный раздел уже примонтирован.

Глава 71. Поддержка файловых систем

Файловая система представляет собой набор правил, определяющих то, как хранятся и извлекаются документы, хранящиеся на устройстве.
В Альт Сервер поддерживаются следующие файловые системы:
  • ext2 — нежурналируемая файловая система; относительно проста в восстановлении, но нуждается в относительно долгой проверке целостности после сбоя питания или ядра. Может использоваться для /boot или readonly-разделов;
  • ext3 — журналируемая и достаточно надёжная файловая система, имеет среднюю производительность;
  • ext4 — журналируемая файловая система, логическое продолжение ext3, позволяет полностью отключить журналирование;
  • btrfs — поддерживает снимки (копии файловой системы на определенный момент времени), сжатие и подтома;
  • xfs — высокопроизводительная журналируемая файловая система, имеющая более высокую чувствительность к сбоям. Рекомендуется для активно используемых файловых систем при условии стабильного питания и качественной аппаратной части;
  • jfs — журналируемая файловая система, имеющая поддержку перекодирования имён файлов (iocharset);
  • iso9660 — файловая система ISO 9660 для дисков с данными компакт-дисков;
Файловые системы FAT/FAT32/NTFS поддерживаются в установленной системе, но не для установки на них Linux.
Проверка поддержки файловых систем ext2, ext3, ext4, iso9660, fat16, fat32, ntfs, xfs:
  1. Создать раздел объемом менее 4 Гбайт на flash-накопителе (например, /dev/vdс1).
  2. Для создания ISO-файла установить пакет genisoimage:
    # apt-get install genisoimage
    
  3. Создать каталог /mnt/filesystem, в который будет монтироваться раздел:
    # mkdir /mnt/filesystem
    
  4. Отформатировать раздел в проверяемую файловую систему:
    • для ext2:
      # mkfs.ext2 /dev/vdc1
      
    • для ext3:
      # mkfs.ext3 /dev/vdc1
      
    • для ext4:
      # mkfs.ext4 /dev/vdc1
      
    • для fat16:
      # mkfs.fat -F 16 /dev/vdc1
      
    • для fat32:
      # mkfs.fat -F 32 /dev/vdc1
      
    • для ntfs:
      # mkfs.ntfs /dev/vdc1
      
    • для xfs:
      # mkfs.xfs /dev/vdc1
      
    • для iso9660 — создать ISO-файл из каталога /etc:
      # mkisofs -r -jcharset koi8-r -o /root/cd.iso /etc
      
  5. Для проверки поддержки файловых систем ext2, ext3, ext4, fat16, fat32, ntfs:
    • примонтировать раздел с файловой системой в каталог /mnt/filesystem:
      # mount /dev/vdc1 /mnt/filesystem
      
    • проверить возможность записи файла на текущую файловую систему:
      # echo test_content > /mnt/filesystem/test.fs
      
      убедиться, что файл создан:
      # ls -l /mnt/filesystem/test.fs
      -rw-r--r--. 1 root root 13 май 23 20:10 /mnt/filesystem/test.fs
      
    • проверить возможность чтения файла с текущей файловой системы:
      # cat /mnt/filesystem/test.fs
      
  6. Для проверки поддержки файловой системы iso9660 смонтировать созданный ISO-файл в каталог /mnt/filesystem/ (файл образа диска будет примонтирован в режиме «только для чтения»):
    # mount -o loop,ro /root/cd.iso /mnt/filesystem/
    

Примечание

Для просмотра файловых систем на физических дисках можно воспользоваться командой df:
$ df -Th | grep "^/dev"
или lsblk:
$ lsblk -f
Команда fsck позволяет узнать файловую систему раздела, который ещё не примонтирован:
# fsck -N /dev/sdc1
fsck из util-linux 2.39.2
[/sbin/fsck.xfs (1) -- /dev/sdc1] fsck.xfs /dev/sdc1

Глава 72. Поддержка сетевых протоколов

72.1. SMB

Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части.
Настройка Samba описана в разделе Samba в режиме файлового сервера.

72.2. NFS

72.2.1. Настройка сервера NFS

Установить пакет nfs-server:
# apt-get install nfs-server
Запустить NFS-сервер и включить его по умолчанию:
# systemctl enable --now nfs
В файле /etc/exports следует указать экспортируемые каталоги (каталоги, которые будет разрешено монтировать с других машин):
/mysharedir ipaddr1(rw)
Например, чтобы разрешить монтировать /home на сервере необходимо добавить в /etc/exports строку:
/home 192.168.0.0/24(no_subtree_check,rw)
где 192.168.0.0/24 — разрешение экспорта для подсети 192.168.0.X; rw — разрешены чтение и запись.
Подробную информацию о формате файла можно посмотреть командой:
$ man exports
После внесения изменений в файл /etc/exports необходимо выполнить команду:
# exportfs -r
Проверить список экспортируемых файловых систем можно, выполнив команду:
# exportfs
/home 192.168.0.0/24

72.2.2. Использование NFS

Подключение к NFS-серверу можно производить как вручную, так и настроив автоматическое подключение при загрузке.
Для ручного монтирования необходимо:
  • создать точку монтирования:
    # mkdir /mnt/nfs
    
  • примонтировать файловую систему:
    # mount -t nfs 192.168.0.131:/home /mnt/nfs
    
    где 192.168.0.131 — IP-адрес сервера NFS; /mnt/nfs — локальный каталог, куда монтируется удалённый каталог;
  • проверить наличие файлов в каталоге /mnt/nfs:
    # ls -al /mnt/nfs
    
    Должен отобразиться список файлов каталога /home, расположенного на сервере NFS.
Для автоматического монтирования к NFS-серверу при загрузке необходимо добавить следующую строку в файл /etc/fstab:
192.168.0.131:/home  /mnt/nfs   nfs   intr,soft,nolock,_netdev,x-systemd.automount    0 0

Примечание

Прежде чем изменять /etc/fstab, попробуйте смонтировать вручную и убедитесь, что всё работает.

72.3. FTP

72.3.1. Настройка сервера FTP

В состав Альт Сервер входит vsftpd (Very Secure FTP Daemon) — полнофункциональный FTP-сервер, позволяющий обслуживать как анонимные запросы, так и запросы от пользователей, зарегистрированных на сервере и имеющих полноценный доступ к его ресурсам.

Примечание

Настроить FTP-сервер можно также в ЦУС (подробнее см. FTP-сервер).
Установить пакеты vsftpd и anonftp:
# apt-get install vsftpd anonftp
Изменить настройку прав доступа в файле /etc/vsftpd.conf:
local_enable=YES
chroot_local_user=YES
local_root=/var/ftp/
Запустить vsftpd:
# systemctl start vsftpd.socket
Убедиться в нормальной работе FTP-сервера
# netstat -ant | grep 21 
tcp        0      0 :::21                     :::*                   LISTEN
FTP-сервер запущен и принимает соединения на 21 порту.
Создать файл в каталоге /var/ftp/:
# echo "vsftpd test file" > /var/ftp/test.txt

72.3.2. Подключение рабочей станции

Для создания подключения по протоколу FTP в графической среде MATE можно запустить файловый менеджер, указать в адресной строке протокол и адрес сервера:
Создание подключения по протоколу FTP
Нажать клавишу Enter.
В появившемся окне указать имя пользователя, пароль и нажать кнопку Подключиться:
Создание подключения по протоколу FTP
Должен отобразиться список файлов каталога /var/ftp/, расположенного на сервере FTP:
Файл на FTP сервере

72.4. NTP

72.4.1. Настройка сервера NTP

В качестве NTP сервера/клиента используется сервер времени chrony:
  • chronyd — демон, работающий в фоновом режиме. Он получает информацию о разнице системных часов и часов внешнего сервера времени и корректирует локальное время. Демон реализует протокол NTP и может выступать в качестве клиента или сервера.
  • chronyc — утилита командной строки для контроля и мониторинга программы. Утилита используется для тонкой настройки различных параметров демона, например, позволяет добавлять или удалять серверы времени.
Выполнить настройку NTP-сервера можно следующими способами:
  • в ЦУС настроить модуль Дата и время на получение точного времени с NTP сервера и работу в качестве NTP-сервера и нажать кнопку Применить:
    Настройка модуля Дата и время
  • указать серверы NTP в директиве server или pool в файле конфигурации NTP /etc/chrony.conf:
    allow all #Разрешить NTP-клиенту доступ из локальной сети
    pool pool.ntp.org iburst #параметр iburst используется для ускорения начальной синхронизации
    
    и перезапустить сервис командой:
    # systemctl restart chronyd
    
Убедиться в нормальной работе NTP-сервера, выполнив команду:
# systemctl status chronyd.service

72.4.2. Настройка рабочей станции

Настроить модуль Дата и время на получение точного времени с NTP-сервера (в качестве NTP-сервера указать IP-адрес сервера NTP) и нажать кнопку Применить:
Настройка модуля Дата и время на рабочей станции
Проверить текущие источники времени:
$ chronyc sources
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^? 192.168.0.131                 0  10     0     -     +0ns[   +0ns] +/-    0n

Проверить статус источников NTP:
$ chronyc activity
200 OK
1 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address

72.5. HTTP(S)

72.5.1. Настройка сервера HTTP

В состав Альт Сервер входит как веб-сервер Apache, так и nginx. Пример настройки веб-сервера nginx см. в разделе Настройка веб-сервера). Ниже рассмотрен пример настройки веб-сервера Apache.
Установить пакет apache2-base:
# apt-get install apache2-base
Запустить httpd2:
# systemctl start httpd2
Убедиться, что служба httpd2 запущена:
# systemctl status httpd2
Создать стартовую страницу для веб-сервера:
# echo "Hello, World" >/var/www/html/index.html

72.5.2. Настройка рабочей станции

Запустить браузер, перейти по адресу http://<ip-сервера>:
Обращение к серверу и получение данных по протоколу http
Можно также выполнить команду:
$ curl http://192.168.0.131
Hello, World
Происходит обращение к серверу и получение данных по протоколу http.

Глава 73. Механизм аудита

Механизм аудита состоит из нескольких компонентов:
  • модуль ядра — перехватывает системные вызовы (syscalls) и выполняет регистрацию событий;
  • служба auditd — записывает зарегистрированное событие в файл;
  • служба audispd — осуществляет пересылку сообщений (выступает в роли диспетчера) к другому приложению;
  • ряд вспомогательных программ:
    • auditctl — программа, управляющая поведением системы аудита и позволяющая контролировать текущее состояние системы, создавать или удалять правила;
    • aureport — программа, генерирующая суммарные отчёты о работе системы аудита;
    • ausearch — программа, позволяющая производить поиск событий в журнальных файлах;
    • autrace — программа, выполняющая аудит событий, порождаемых указанным процессом.
Программы отсылают записи, предназначенные для журналирования, системному демону auditd, который идентифицирует тип каждой пришедшей записи и обрабатывает запись способом, определенным для данного типа.
Для каждого из регистрируемых событий в журналах указывается следующая информация:
  • дата и время;
  • субъект, осуществляющий регистрируемое действие;
  • тип события (если регистрируется запрос на доступ, то указываются объект и тип доступа);
  • успешность осуществления события (обслужен запрос на доступ или нет).
Конфигурация аудита хранится в файле /etc/audit/auditd.conf, правила аудита, загружаемые при запуске службы, хранятся в файле /etc/audit/audit.rules.
Для просмотра журналов используются команды ausearch и aureport. Команда auditctl позволяет настраивать правила аудита. Кроме того, при загрузке загружаются правила из файла /etc/audit.rules. Некоторые параметры самой службы можно изменить в файле auditd.conf.

73.1. Команда auditd

Служба auditd — это прикладной компонент системы аудита. Она ведёт журнал аудита на диске.
Синтаксис команды:
auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c <config_file>]
Опции:
  • -f — не переходить в фоновый режим (для отладки). Сообщения программы будут направляться в стандартный вывод для ошибок (stderr), а не в файл;
  • -l — включить следование по символическим ссылкам при поиске конфигурационных файлов;
  • -n — не создавать дочерний процесс (для запуска из inittab или system);
  • -s=ENABLE_STATE — указать, должен ли auditd при старте изменять текущее значение флага ядра — enabled. Допустимые значения ENABLE_STATE: disable, enable и nochange. Значение по умолчанию enable (disable, когда auditd остановлен). Значение флага может быть изменено во время жизненного цикла auditd с помощью команды: auditctl -e;
  • -c — указать альтернативный каталог конфигурационного файла (по умолчанию: /etc/audit/). Этот же каталог будет передан диспетчеру.
Сигналы:
  • SIGHUP — перезагрузить конфигурацию — загрузить файл конфигурации с диска. Если в файле не окажется синтаксических ошибок, внесённые в него изменения вступят в силу. При этом в журнал будет добавлена запись о событии DAEMON_CONFIG. В противном случае действия службы будут зависеть от параметров space_left_action, admin_space_left_action, disk_full_action, disk_error_action в файле auditd.conf;
  • SIGTERM — прекратить обработку событий аудита и завершить работу, о чем предварительно занести запись в журнал;
  • SIGUSR1 — произвести ротацию файлов журналов auditd. Создать новый файл журнала, перенумеровав старые файлы или удалив часть из них, в зависимости от параметра max_log_size_action;
  • SIGUSR2 — попытаться возобновить ведение журналов auditd (необходимо после приостановки ведения журнала);
  • SIGCONT — выгрузить отчёт о внутреннем состоянии auditd в /var/run/auditd.state.
Файлы:
  • /etc/audit/auditd.conf — файл конфигурации службы аудита;
  • /etc/audit/audit.rules — правила аудита (загружается при запуске службы);
  • /etc/audit/rules.d/ — каталог, содержащий отдельные наборы правил, которые будут скомпилированы в один файл утилитой augenrules.
Для того чтобы сделать возможным аудит всех процессов, запущенных до службы аудита, необходимо добавить в строку параметров ядра (в конфигурации загрузчика) параметр audit=1. В противном случае аудит некоторых процессов будет невозможен.
Демон аудита может получать события — сообщения от других приложений через плагин audispd: audisp-remote. Демон аудита может быть связан с tcp_wrappers, чтобы контролировать, какие машины могут подключаться. В этом случае можно добавить запись в hosts.allow и отказать в соединении.

73.2. Файл конфигурации auditd.conf

В файле /etc/audit/auditd.conf определяются параметры службы аудита. Директива состоит из ключевого слова (названия параметра), знака равенства и соответствующих ему данных (значения параметра). На одной строке может быть не больше одной директивы. Все названия и значения параметров чувствительны к регистру. Допустимые ключевые слова перечислены и описаны ниже. Каждая строка должна быть ограничена 160 символами, иначе она будет пропущена. К файлу можно добавить комментарии, начав строку с символа «#».

Таблица 73.1. Описание ключевых слов файла конфигурации auditd.conf

Ключ
Значение
local_events
Ключевое слово yes/no указывающее, следует ли включать запись локальных событий (значение по умолчанию — yes). В случае если необходимо записывать только сообщения из сети, следует установить значение — no. Этот параметр полезен, если демон аудита работает в контейнере. Данный параметр может быть установлен только один раз при запуске аудита. Перезагрузка файла конфигурации никак на него не влияет.
log_file
Полное имя файла, в который следует записывать журнал.
write_logs
Ключевое слово yes/no, указывающее следует ли записывать журналы (значение по умолчанию — yes).
log_format
Оформление данных в журнале. Допустимы два значения: raw и enriched. При указании RAW, данные будут записываться в том виде, в котором они получаются от ядра. Значение ENRICHED разрешает информацию (вместо идентификатора, будет указано значение): идентификатор пользователя (uid), идентификатор группы (gid), системный вызов (syscall), архитектуру и адрес сокета перед записью события на диск. Это помогает осмыслить события, созданные в одной системе, но сообщенные/проанализированные в другой системе. Значение NOLOG устарело, вместо него следует установить параметр write_logs в значение no.
log_group
Указывает группу, на которую распространяются права на файлы журнала (по умолчанию — root). Можно использовать либо идентификатор, либо имя группы.
priority_boost
Неотрицательное число, определяющее повышение приоритета выполнения службы аудита. Значение по умолчанию — 4. Для того чтобы не изменять приоритет, следует указать — 0.
flush
Стратегия работы с дисковым буфером. Допустимые значения:
  • none — отключить какие-либо дополнительные действия со стороны службы по синхронизации буфера с диском;
  • incremental — выполнять запросы на перенос данных из буфера на диск выполняются с частотой, задаваемой параметром freq;
  • incremental_async — тоже, что и incremental, за исключением того, что перенос данных выполняется асинхронно для более высокой производительности;
  • data — немедленно синхронизировать данные файла;
  • sync — немедленно синхронизировать как данные, так и метаданные файла при записи на диск.
Значение по умолчанию — incremental_async.
freq
Максимальное число записей журнала, которые могут храниться в буфере. При достижении этого числа производится запись буферизованных данных на диск. Данный параметр допустим только в том случае, когда flush имеет значение incremental или incremental_async.
num_logs
Максимальное количество файлов журналов. Используется в том случае, если параметр max_log_file_action имеет значение rotate. Если указано число меньше двух, при достижении ограничения на размер файла он обнуляется. Значение параметра не должно превышать 999. Значение по умолчанию — 0 (то есть ротация фалов не происходит). При указании большого числа может потребоваться увеличить ограничение на количество ожидающих запросов (в файле /etc/audit/audit.rules). Если настроена ротация журналов, демон проверяет наличие лишних журналов и удаляет их, чтобы освободить место на диске. Проверка выполняется только при запуске и при проверке изменения конфигурации.
name_format
Контролирует, как имена узлов компьютеров вставляются в поток событий аудита. Допустимые значения:
  • none — имя компьютера не используется в записи аудита;
  • hostname — имя, возвращаемое системным вызовом gethostname;
  • fqd — аудит принимает имя хоста и разрешает его с помощью DNS в полное доменное имя этой машины;
  • numeric — схоже с fqd, за исключением того, что разрешается IP-адрес машины. Чтобы использовать эту опцию, нужно убедиться, что команда hostname -i или domainname -i возвращает числовой адрес. Кроме того, эта опция не рекомендуется, если используется DHCP, поскольку у одной и той же машины в разное время могут быть разные адреса;
  • user — строка, определенная администратором в параметре name.
Значение по умолчанию — none.
name
Строка, определенная администратором, которая идентифицирует компьютер, если в параметре name_format указано значение user.
max_log_file
Ограничение на размер файла журнала в мегабайтах. Действие, выполняемое при достижении размера файла указанного значения, можно настроить с помощью параметра max_log_file_action.
max_log_file_action
Действие, предпринимаемое при достижении размером файла журнала максимального значения. Допустимые значения:
  • ignore — отключить контроль над размером файла;
  • syslog — добавить соответствующую запись в системный журнал;
  • suspend — прекратить вести журнал на диске (служба аудита будет продолжать работать);
  • rotate — произвести ротацию журналов, с удалением самых старых, чтобы освободить место на диске. Текущий файл будет переименован и будет создан новый файл. Имя предыдущего файла журнала будет дополнено числом 1, а номера других файлов (если они имеются) будут увеличены на единицу. Таким образом, чем больше номер у журнала, тем он старше. Максимальное число файлов определяется параметром num_logs (соответствие ему достигается за счет удаления самых старых журналов). Такое поведение аналогично поведению утилиты logrotate;
  • keep_logs — аналогично rotate, но число файлов не ограничено, это предотвращает потерю данных аудита. Протоколы накапливаются и не удаляются, что может вызвать событие space_left_action, если весь объём заполнится. Это значение следует использовать в сочетании с внешним сценарием, который будет периодически архивировать журналы.
verify_email
Определяет, проверяется ли адрес электронной почты, указанный в параметре action_mail_acct, на предмет возможности разрешения доменного имени. Этот параметр должен быть указан до параметра action_mail_acct, иначе будет использовано значение по молчанию — yes.
action_mail_acct
Адрес электронной почты. Значение по умолчанию — root. Если адрес не локальный по отношению к данной системе, необходимо чтобы в ней был настроен механизм отправки почты. В частности, требуется наличие программы /usr/lib/sendmail.
space_left
Минимум свободного пространства в мегабайтах, при достижении которого должно выполняться действие, определяемое параметром space_left_action.
space_left_action
Действие, предпринимаемое при достижении объемом свободного пространства на диске указанного минимума. Допустимые значения:
  • ignore — не производить никаких действий;
  • syslog — добавить соответствующую запись в системный журнал;
  • rotate — произвести ротацию журналов, с удалением самых старых, чтобы освободить место на диске;
  • email — отправить уведомление по адресу, указанному в action_mail_acct;
  • exec — запустить программу по указанному пути (передача параметров не поддерживается);
  • suspend — прекратить вести журнал на диске (служба аудита будет продолжать работать);
  • single — перевести компьютер в однопользовательский режим;
  • halt — выключить компьютер.
admin_space_left
Критический минимум свободного пространства в мегабайтах, при достижении которого должно выполняться действие, определяемое параметром admin_space_left_action. Данное действие следует рассматривать как последнюю меру, предпринимаемую перед тем, как закончится место на диске. Значение настоящего параметра должно быть меньше значения space_left.
admin_space_left_action
Действие, предпринимаемое при достижении объёмом свободного пространства на диске указанного критического минимума. Допустимые значения — ignore, syslog, rotate, email, exec, suspend, single и halt. Описание данных значений см. в описании параметра space_left_action.
disk_full_action
Действие, предпринимаемое при обнаружении отсутствия свободного пространства на диске. Допустимые значения — ignore, syslog, rotate, exec, suspend, single и halt. Описание данных значений см. в описании параметра space_left_action.
disk_error_action
Действие, предпринимаемое при возникновении ошибки в работе с диском. Допустимые значения — ignore, syslog, exec, suspend, single и halt. Описание данных значений см. в описании параметра space_left_action.
tcp_listen_port
Числовое значение в диапазоне 1..65535, при указании которого служба аудита будет прослушивать соответствующий TCP-порт для аудита удаленных систем. Демон аудита может быть связан с tcp_wrappers, чтобы контролировать, какие машины могут подключаться. В этом случае можно добавить запись в hosts.allow и отказать в соединении. Если решение развернуто в ОС на основе systemd может потребоваться изменить параметр After.
tcp_listen_queue
Количество разрешенных ожидающих подключений (запрошенных, но не принятых). Значение по умолчанию — 5. Установка слишком маленького значения может привести к отклонению соединений, при одновременном запуске нескольких хостов (например, после сбоя питания).
tcp_max_per_addr
Количество одновременных подключений с одного IP-адреса. Значение по умолчанию — 1, максимальное значение — 1024. Установка слишком большого значения может привести к атаке типа «отказ в обслуживании» при ведении журнала сервером. Значение по умолчанию подходит в большинстве случаев.
use_libwrap
Следует ли использовать tcp_wrappers для распознавания попыток подключения с разрешенных компьютеров. Допустимые значения yes или no. Значение по умолчанию — yes.
tcp_client_ports
Порты, с которых можно принимать соединение. Значением параметра может быть либо число, либо два числа, разделенные тире (пробелы не допускаются). Если порт не указан, соединения принимаются с любого порта. Допустимые значения 1..65535. Например, для указания клиенту использовать привилегированный порт, следует указать значение 1-1023 для этого параметра, а также установить опцию local_port в файле audisp-remote.conf. Проверка того, что клиенты отправляют сообщения с привилегированного порта, это функция безопасности, предотвращающая атаки с использованием инъекций.
tcp_client_max_idle
Количество секунд, в течение которых клиент может бездействовать (то есть, какое время от него нет никаких данных). Используется для закрытия неактивных соединений, если на компьютере клиенте возникла проблема, из-за которой он не может завершить соединение корректно. Это глобальный параметр, его значение должно быть больше (желательно, в два раза), чем любой параметр клиента heartbeat_timeout. Значение по умолчанию — 0, что отключает эту проверку.
transport
Если установлено значение TCP, будут использоваться только TCP-соединения в виде открытого текста. Если установлено значение KRB5, для аутентификации и шифрования будет использоваться Kerberos 5. Значение по умолчанию — TCP.
enable_krb5
При значении yes — использовать Kerberos 5 для аутентификации и шифрования. Значение по умолчанию — no.
krb5_principal
Принципал для этого сервера. Значение по умолчанию — auditd. При значении по умолчанию, сервер будет искать ключ с именем типа auditd/hostname@EXAMPLE.COM в /etc/audit/audit.key для аутентификации себя, где hostname — имя сервера, возвращаемое запросом DNS-имени по его IP-адресу.
krb5_key_file
Расположение ключа для принципала этого клиента. Файл ключа должен принадлежать пользователю root и иметь права 0400. По умолчанию — файл /etc/audit/audit.key.
distribute_network
При значении yes, события, поступающие из сети, будут передаваться диспетчеру аудита для обработки. Значение по умолчанию — no.
q_depth
Числовое значение, указывающее, насколько большой должна быть внутренняя очередь диспетчера событий аудита. Очередь большего размера позволяет лучше обрабатывать поток событий, но может содержать события, которые не обрабатываются при завершении работы демона. Если вы получаете сообщения в системном журнале об удалении событий, увеличьте это значение. Значение по умолчанию — 2000.
overflow_action
Определяет, как демон должен реагировать на переполнение своей внутренней очереди. Когда это происходит, это означает, что принимается больше событий, чем можно передать дочерним процессам. Эта ошибка означает, что текущее событие, которое он пытается отправить, будет потеряно. Допустимые значения:
  • ignore — не производить никаких действий;
  • syslog — добавить соответствующую запись в системный журнал;
  • suspend — прекратить отправку событий дочерним процессам (служба аудита будет продолжать работать);
  • single — перевести компьютер в однопользовательский режим;
  • halt — выключить компьютер.
max_restarts
Неотрицательное число, которое сообщает диспетчеру событий аудита, сколько раз он может попытаться перезапустить вышедший из строя плагин. По умолчанию — 10.
plugin_dir
Место, где auditd будет искать файлы конфигурации своего плагина.
end_of_event_timeout
Неотрицательное количество секунд, используемое библиотечными процедурами пользовательского пространства auparse() и утилитами aureport(8), ausearch(8) для того, чтобы считать событие завершенным при анализе потока журнала событий. Если для обрабатываемого потока событий время текущего события превышает end_of_event_timeout секунд по сравнению с совмещенными событиями, то событие считается завершенным.

Примечание

Для файла /var/log/audit рекомендуется выделять специальный раздел. Кроме того, параметру flush необходимо присвоить значение sync или data.
Параметры max_log_file и num_logs необходимо настроить так, чтобы была возможность полностью использовать раздел. Следует учитывать, что чем больше файлов необходимо ротировать, тем больше времени потребуется, чтобы вернуться к получению событий аудита. Параметру max_log_file_action рекомендуется присвоить значение keep_logs.
Для параметра space_left должно быть установлено такое значение, которое даст администратору достаточно времени, чтобы отреагировать на предупреждение и освободить дисковое пространство. Обычно это предполагает запуск команды aureport –t и архивирование самых старых журналов. Значение параметра space_left зависит от системы, в частности от частоты поступления сообщений о событиях. Параметр space_left_action рекомендуется установить в значение email. Если требуется отправка сообщения snmp trap, нужно указать вариант exec.
Для параметра admin_space_left должно быть установлено такое значение, чтобы хватило свободного места для хранения записей о действиях администратора. Значение параметра admin_space_left_action следует установить в single, ограничив, таким образом, способ взаимодействия с системой консолью.
Действие, указанное в disk_full_action, выполняется, когда в разделе уже не осталось свободного места. Доступ к ресурсам машины должен быть полностью прекращен, так как больше нет возможности контролировать работу системы. Это можно сделать, указав значение single или halt.
Значение параметра disk_error_action следует установить в syslog, single, либо halt в зависимости от соглашения относительно обработки сбоев аппаратного обеспечения.
Указание единственного разрешённого клиентского порта может затруднить перезапуск подсистемы аудита у клиента, так как он не сможет восстановить соединение с теми же адресами и портами хоста, пока не истечет таймаут закрытия соединения TIME_WAIT.

73.3. Команда auditctl

Команда auditctl используется для настройки параметров ядра, связанных с аудитом, получения состояния и добавления/удаления правил аудита.
Синтаксис команды:
auditctl [опции]

Таблица 73.2. Опции конфигурации команды auditctl

Опция
Описание
-b <количество>
Установить максимальное количество доступных для аудита буферов, ожидающих обработки (значение в ядре по умолчанию — 64). В случае если все буферы заняты, то ядром будет выставлен флаг сбоя.
--backlog_wait_time <время_ожидания>
Установить время ожидания для ядра достижения значения backlog_limit (значение в ядре по умолчанию — 60*HZ), прежде, чем ставить в очередь дополнительные события аудита для их передачи аудиту. Число должно быть больше или равно нулю, но меньше, чем десятикратное значение по умолчанию.
--reset_backlog_wait_time_actual
Сбросить счетчик фактического времени ожидания невыполненной работы, показанный командой состояния.
Продолжать загружать правила, несмотря на ошибку. Суммирует результат загрузки правил. Код завершения будет ошибочным, если какое-либо правило не будет загружено.
-D
Удалить все правила и точки наблюдения. Может также принимать параметр -k.
-e [0..2]
Установить флаг блокировки: 0 — отключить аудит, 1 — включить аудит, 2 — защитить конфигурацию аудита от изменений. Для использования данной возможности необходимо внести данную команду последней строкой в файл audit.rules. После её выполнения все попытки изменить конфигурацию будут отвергнуты с уведомлением в журналах аудита (чтобы задействовать новую конфигурацию аудита, необходимо перезагрузить систему).
-f [0..2]
Установить способ обработки для флага сбоя: 0=silent, 1=printk, 2=panic. Позволяет определить, каким образом ядро будет обрабатывать критические ошибки. Например, флаг сбоя выставляется при следующих условиях: ошибки передачи в пространство службы аудита, превышение лимита буферов, ожидающих обработки, выход за пределы памяти ядра, превышение лимита скорости выдачи сообщений (значение, установленное по умолчанию — 1, для систем с повышенными требованиями к безопасности, значение 2 может быть более предпочтительно).
-h
Краткая помощь по аргументам командной строки.
-i
Игнорировать ошибки при чтении правил из файла.
--loginuid-immutable
Сделать login UID неизменяемым сразу после его установки. Для изменения login UID требуется CAP_AUDIT_CONTROL, поэтому непривилегированный пользователь не может его изменить. Установка этого параметра может вызвать проблемы в некоторых контейнерах.
-q точка-<монтирования,поддерево>
При наличии точки наблюдения за каталогом и объединении или перемещении монтирования другого поддерева в наблюдаемое поддерево, необходимо указать ядру, сделать монтируемое поддерево эквивалентным просматриваемому каталогу. Если поддерево уже смонтировано во время создания точки наблюдения за каталогом, поддерево автоматически помечается для просмотра. Эти два значения разделяет запятая, отсутствие запятой приведет к ошибке.
-r <частота>
Установить ограничение скорости выдачи сообщений в секунду (0 — нет ограничения). В случае если эта частота не нулевая, и она превышается в ходе аудита, флаг сбоя выставляется ядром для выполнения соответствующего действия. Значение, установленное по умолчанию — 0.
--reset-lost
Сбросить счетчик потерянных записей, отображаемых командой статуса.
-R <файл>
Читать правила из файла. Правила должны быть организованы следующим образом: располагаться по одному в строке и в том порядке, в каком должны исполняться. Накладываются следующие ограничения: владельцем файла должен быть root, и доступ на чтение должен быть только у него. Файл может содержать комментарии, начинающиеся с символа «#». Правила, расположенные в файле, идентичны тем, что набираются в командной строке, без указания слова auditctl.
-t
Обрезать поддеревья после команды монтирования.

Таблица 73.3. Опции состояния команды auditctl

Опция
Описание
-l
Вывести список всех правил по одному правилу в строке. Этой команде могут быть предоставлены две опции: ключ фильтрации (-k), чтобы вывести список правил, соответствующих ключу, либо опция (-i) интерпретирующая значения полей от a0 до a3, для корректного определения значений аргументов системных вызовов.
-m <текст>
Послать в систему аудита пользовательское сообщение. Команда может быть выполнена только из-под учетной записи root.
-s
Получить статус аудита. Будут показаны значения, которые можно установить с помощью опций -e, -f, -r и -b. Значение pid — это номер процесса службы аудита. Значение pid 0 указывает, что служба аудита не работает. Поле lost сообщает, сколько записей событий аудита было отброшено из-за переполнения буфера аудита. Поле backlog сообщает, сколько записей событий аудита находится в очереди, ожидая, когда auditd прочитает их. С этим параметром можно использовать опцию -i для интерпретации значений некоторых полей.
-v
Вывести версию auditctl.

Таблица 73.4. Опции правил команды auditctl

Опция
Описание
-a <список,действие| действие,список>
Добавить правило с указанным действием к концу списка. Необходимо учитывать, что значения «список» и «действия» разделены запятой, и её отсутствие вызовет ошибку. Поля могут быть указаны в любом порядке.
-A <список,действие>
Добавить правило с указанным действием в начало списка.
-C <f=f | f!=f>
Создать правило сравнения между полями. Можно передавать несколько сравнений в одной командной строке. Каждое из них должно начинаться с -C. Каждое правило сравнения добавляется друг к другу, а также к правилам, начинающимся с -F для инициирования записи аудита. Поддерживаются два оператора — равно и не равно. Допустимые поля: auid, uid, euid, suid, fsuid, obj_uid; и gid, egid, sgid, fsgid, obj_gid. Две группы uid и gid не могут быть смешаны. Внутри группы может быть сделано любое сравнение.
-d <список,действие>
Удалить правило с указанным действием из списка. Правило удаляется только в том случае, если полностью совпали и имя системного вызова и поля сравнения.
-D
Удалить все правила и точки наблюдения. Может также принимать параметр -k.
-F <n=v | n!=v | n<v | n>v | n<=v | n>=v | n&v | n&=v>
Задать поле сравнения для правила. Атрибуты поля следующие: объект, операция, значение. В одной команде допускается задавать до шестидесяти четырех полей сравнения. Каждое новое поле должно начинаться с -F. Аудит будет генерировать запись, если произошло совпадение по всем полям сравнения. Допустимо использование одного из следующих восьми операторов: равно, не равно, меньше, больше, меньше либо равно, больше либо равно, битовая маска (n&v) и битовая проверка (n&=v). Битовая проверка выполняет операцию «and» над значениями и проверяет, равны ли они. Битовая маска просто выполняет операцию «and». Поля, оперирующие с идентификатором пользователя, могут также работать с именем пользователя — программа автоматически получит идентификатор пользователя из его имени. То же самое можно сказать и про имя группы.
-k <ключ>
Установить на правило ключ фильтрации. Ключ фильтрации — это произвольная текстовая строка длиной не больше 31 символа. Ключ помогает уникально идентифицировать записи, генерируемые в ходе аудита за точкой наблюдения. Поиск значения ключа можно выполнить с помощью команды ausearch. Ключ также можно использовать для удаления всех правил (-D), или правил с определенным ключом (-l). В правиле можно использовать несколько ключей.
-p <r|w|x|a>
Установить фильтр прав доступа для точки наблюдения: r=чтение, w=запись, x=исполнение, a=изменение атрибута. Эти разрешения не являются стандартными разрешениями для файлов, а представляют собой своего рода системный вызов, который может делать подобные вещи (системные вызовы «read» и «write» не включены в этот набор, поскольку логи аудита были бы перегружены информацией о работе этих вызовов).
-S <имя или номер системного вызова|all>
В случае если какой-либо процесс выполняет указанный системный вызов, то аудит генерирует соответствующую запись. В случае если значения полей сравнения заданы, а системный вызов не указан, правило будет применяться ко всем системным вызовам. В одном правиле может быть задано несколько системных вызовов — это положительно сказывается на производительности, поскольку заменяет обработку нескольких правил. Следует указывать по два правила: одно для 32-битной архитектуры, другое для 64-битной, чтобы убедиться, что ядро находит все ожидаемые события.
-w <путь>
Добавить точку наблюдения за файловым объектом, находящимся по указанному пути. Добавление точки наблюдения к каталогу верхнего уровня запрещено ядром. Групповые символы (wildcards) также не могут быть использованы, попытки их использования будут генерировать предупреждающее сообщение. Внутренне точки наблюдения реализованы как слежение за inode. Установка точки наблюдения за файлом аналогична использованию параметра path в правиле системного вызова -F. Установка точки наблюдения за каталогом аналогична использованию параметра dir в правиле системного вызова -F. Единственными допустимыми параметрами при использовании точек наблюдения являются -p и -k.
-W <путь>
Удалить точку наблюдения за файловым объектом.

Таблица 73.5. Объекты поля сравнения

Объект
Описание
a0, a1, a2, a3
Четыре первых аргумента, переданных системному вызову. Строковые аргументы не поддерживаются. Это связано с тем, что ядро должно получать указатель на строку, а проверка поля по значению адреса указателя не желательна. Таким образом, необходимо использовать только цифровые значения.
arch
Архитектура процессора, на котором выполняется системный вызов. Для определения архитектуры необходимо использовать команду uname -m. Можно написать правила, которые в некоторой степени не зависят от архитектуры, потому что тип будет определяться автоматически. Однако системные вызовы могут зависеть от архитектуры, и то, что доступно на x86_64, может быть недоступно на PPC. Опция arch должна предшествовать опции -S, чтобы auditctl знал, какую внутреннюю таблицу использовать для поиска номеров системных вызовов.
auid
Идентификатор пользователя, использованный для входа в систему. Можно использовать либо имя пользователя, либо идентификатор пользователя.
devmajor
Главный номер устройства (Device Major Number).
devminor
Вспомогательный номер устройства (Device Minor Number).
dir
Полный путь к каталогу для создания точки наблюдения. Помещает точку наблюдения в каталог и рекурсивно во всё его поддерево. Можно использовать только в списке exit.
egid
Действительный идентификатор группы.
euid
Действительный идентификатор пользователя.
exe
Абсолютный путь к приложению, к которому будет применяться это правило. Можно использовать только в списке exit.
exit
Значение, возвращаемое системным вызовом при выходе.
fsgid
Идентификатор группы, применяемый к файловой системе.
fsuid
Идентификатор пользователя, применяемый к файловой системе.
filetype
Тип целевого файла: файл, каталог, сокет, ссылка, символ, блок или FIFO.
gid
Идентификатор группы.
inode
Номер inode.
key
Альтернативный способ установить ключ фильтрации.
msgtype
Используется для проверки совпадения с числом, описывающим тип сообщения. Может использоваться только в списках exclude и user.
obj_uid
UID объекта.
obj_gid
GID объекта.
path
Полный путь к файлу для точки наблюдения. Может использоваться только в списке exit.
perm
Фильтр прав доступа для файловых операций. Может использоваться только в списке exit. Можно использовать без указания системного вызова, при этом ядро выберет системные вызовы, которые удовлетворяют запрашиваемым разрешениям.
pers
Персональный номер операционной системы.
pid
Идентификатор процесса.
ppid
Идентификатор родительского процесса.
sessionid
Идентификатор сеанса пользователя.
sgid
Установленный идентификатор группы.
success
Если значение, возвращаемое системным вызовом, больше либо равно 0, данный объект будет равен true/yes, иначе false/no. При создании правила нужно использовать 1 вместо true/yes и 0 вместо false/no.
suid
Установленный идентификатор пользователя.
uid
Идентификатор пользователя.

73.4. Команда aureport

Команда aureport генерирует итоговые отчёты на основе логов службы аудита, также может принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необработанные данные логов. Все отчёты, кроме основного итогового отчёта, содержат номера событий аудита. Используя их, можно получить полные данные о событии с помощью команды ausearch -a <номер события>. В случае, если в отчёте слишком много данных, можно задать время начала и время окончания для уточнения временного промежутка.
Отчёты, генерируемые aureport, могут быть использованы как исходный материал для получения развернутых отчётов.
Синтаксис команды:
aureport [опции]

Таблица 73.6. Опции команды aureport

Опция
Описание
-au, --auth
Отчёт о попытках аутентификации.
-a, --avc
Отчёт о avc сообщениях.
--comm
Отчёт о выполнении команд.
-c, --config
Отчёт об изменениях конфигурации.
-cr, --crypto
Отчёт о событиях, связанных с кодированием.
-e, --event
Отчёт о событиях.
--escape <опция>
Экранировать вывод. Возможные значения: raw, tty, shell и shell_quote. Каждый режим включает в себя символы предыдущего режима и экранирует больше символов. То есть shell включает все символы, экранируемые tty, и добавляет новые. Значение по умолчанию — tty.
-f, --file
Отчёт о файлах и сокетах.
--failed
Для обработки в отчётах выбирать только неудачные события. По умолчанию показываются как удачные, так и неудачные события.
-h, --host
Отчёт о хостах.
-i, --interpret
Транслировать числовые значения в текстовые. Например, идентификатор пользователя будет транслирован в имя пользователя. Трансляция выполняется с использованием данных с той машины, где запущена команда aureport.
-if, --input <файл>|<каталог>
Использовать указанный файл или каталог вместо логов аудита. Это может быть полезно при анализе логов с другой машины или при анализе частично сохраненных логов.
--input-logs
Использовать местоположение файла журнала из auditd.conf как исходные данные для анализа. Применяется при использовании команды aureport в задании cron.
--integrity
Отчёт о событиях целостности.
-k , --key
Отчёт о ключевых словах в правилах.
-l, --login
Отчёт о попытках входа в систему.
-m, --mods
Отчёт об изменениях пользовательских учетных записей.
-n, --anomaly
Отчёт об аномальных событиях. Эти события включают переход сетевой карты в беспорядочный режим и ошибки сегментации.
--node <имя узла>
Отобразить в отчёте только события со строкой <имя узла>. По умолчанию включены все узлы. Допускается перечисление нескольких узлов.
-nc , --no-config
Не включать событие CONFIG_CHANGE. Это особенно полезно для ключевого отчёта, поскольку правила аудита во многих случаях имеют ключевые метки. Использование этой опции избавляет от ложных срабатываний.
-p, --pid
Отчёт о процессах.
-r, --response
Отчёт о реакциях на аномальные события.
-s, --syscall
Отчёты о системных вызовах.
--success
Для обработки в отчётах выбирать только удачные события. По умолчанию показываются как удачные, так и неудачные события.
--summary
Генерировать итоговый отчёт, который дает информацию только о количестве элементов в том или ином отчёте. Такой режим есть не у всех отчётов.
-t, --log
Генерация отчётов о временных рамках каждого отчёта.
--tty
Отчёты о нажатых клавишах.
-te, --end <дата> <время>
Искать события, которые произошли раньше (или во время) указанной временной точки. Формат даты и времени зависит от региональных настроек. В случае если дата не указана, то подразумевается текущий день (today). В случае если не указано время, то подразумевается текущий момент (now).
-tm, --terminal <терминал>
Отчёт о терминалах.
--ts, --start <дата> <время>
Искать события, которые произошли после (или во время) указанной временной точки.
-u, --user
Отчёт о пользователях.
-v, --verbose
Вывести версию программы и выйти.
-x, --executable
Отчёт об исполняемых объектах.
Нотацию времени следует использовать в формате «24 часа», а не «AM/PM». Например, дата может быть задана как «10/24/2005», а время — как «18:00:00». Также допускается использовать следующие ключевые слова:
  • now — сейчас;
  • recent — десять минут назад;
  • boot — время за секунду до того, когда система загружалась в последний раз;
  • today — первая секунда после полуночи текущего дня;
  • yesterday — первая секунда после полуночи предыдущего дня;
  • this-week — первая секунда после полуночи первого дня текущей недели, первый день недели определяется из региональных настроек;
  • week-ago — первая секунда после полуночи ровно 7 дней назад;
  • this-month — первая секунда после полуночи первого числа текущего месяца;
  • this-year — первая секунда после полуночи первого числа первого месяца текущего года.

73.5. Команда ausearch

Команда ausearch является инструментом поиска по журналу аудита. ausearch может также принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необработанные данные логов. Все условия, указанные в параметрах, объединяются логическим «И».
Каждый системный вызов ядра из пользовательского пространства и возвращение данных в пользовательское пространство имеет один уникальный (для каждого системного вызова) идентификатор события.
Различные части ядра могут добавлять дополнительные записи. Например, в событие аудита для системного вызова «open» добавляется запись PATH с именем файла. ausearch показывает все записи события вместе. Это означает, что при запросе определенных записей результат может содержать записи SYSCALL.
Не все типы записей содержат указанную информацию. Например, запись PATH не содержит имя узла или loginuid.
Синтаксис команды:
ausearch [опции]

Таблица 73.7. Опции команды ausearch

Опция
Описание
-a, --event <идентификатор события>
Искать события с заданным идентификатором события. В сообщении: msg=audit(1116360555.329:2401771), идентификатор события — число после «:». Все события аудита, связанные с одним системным вызовом, имеют одинаковый идентификатор.
--arch <CPU>
Искать события на основе определенной архитектуры процессора. Для определения архитектуры необходимо использовать команду uname –m. В случае, если архитектура ПЭВМ неизвестна, необходимо использовать таблицу 32-х битных системных вызовов, если она поддерживается ПЭВМ, можно использовать b32. Аналогичным образом применяется таблица системных вызовов b64.
-c, --comm <comm-name>
Искать события с заданным «comm name», именем исполняемого файла из структуры задачи.
--debug
Вывести сообщения, пропущенные stderr.
--checkpoint <файл контрольной точки>
Контрольная точка — это вывод между последовательными вызовами ausearch, так что в последующих вызовах будут выводиться только события, не попавшие в предыдущий вывод.
Событие auditd состоит из одной или нескольких записей. При обработке события ausearch определяет события как завершенные и незавершенные. Завершенное событие — это одно событие записи или то, которое произошло раньше, чем за две секунды по сравнению с текущим обрабатываемым событием. Контрольная точка обеспечивается путем записи последнего завершенного события вывода вместе с номером устройства и индексом файла последнего завершившегося события в файл контрольной точки. При следующем вызове ausearch загрузит данные контрольной точки и при обработке файлов журнала, будет отбрасывать все завершенные события, пока они не соответствуют контрольной точке, в этот момент ausearch начнет выводить события.
-e, --exit <код>
Искать события на основе кода системного вызова exit или errno.
--escape <опция>
Экранировать вывод. Возможные значения: raw, tty, shell и shell_quote. Каждый режим включает в себя символы предыдущего режима и экранирует больше символов. То есть shell включает все символы, экранируемые tty, и добавляет новые. Значение по умолчанию — tty.
--extra-keys
Если параметр format имеет значение csv, вывести столбец с дополнительной информацией.
Работает только с записями SYSCALL, которые были записаны в результате запуска правила аудита, определенного ключом.
--extra-labels
Если параметр format имеет значение csv, добавить информацию о метках субъекта и объекта (если метки существуют).
--extra-obj2
Если параметр format имеет значение csv, добавить информацию о втором объекте (если он существует). Второй объект иногда является частью записи, например, при переименовании файла или монтировании устройства.
--extra-time
Если параметр format имеет значение csv, добавить информацию о времени простоя.
-f, --file <файл>
Искать события с заданным именем файла.
--format <опции>
Отформатировать события, которые соответствуют критериям поиска. Поддерживаемые форматы: raw, default, interpret, csv и text. Значение raw описано в опции raw. При значении default строки выводятся без форматирования, в выводе используется одна строка в качестве визуального разделителя, далее указывается метка времени, а затем следуют записи события. Значение interpret объясняется в описании опции -i. При значении csv результат поиска выводится в формате CSV. Значение text преобразует вывод к формату предложений, что упрощает понимание вывода, но происходит это за счет потери деталей.
-ga, --gid-all all-<идентификатор группы>
Искать события с заданным эффективным или обычным идентификатором группы.
-ge, --gid-effective <эффективный идентификатор группы>
Искать события с заданным эффективным идентификатором группы или именем группы.
-gi, --gid <группа>
Искать события с заданным идентификатором группы или именем группы.
-h, --help
Справка
-hn, --host <имя узла>
Искать события с заданным именем узла. Имя узла может быть именем узла, полным доменным именем или цифровым сетевым адресом.
-i, --interpret
Транслировать числовые значения в текстовые. Например, идентификатор пользователя будет транслирован в имя пользователя. Трансляция выполняется с использованием данных с той машины, где запущена команда ausearch.
-if, --input <файл>|<каталог>
Использовать указанный файл или каталог вместо логов аудита. Это может быть полезно при анализе логов с другой машины или при анализе частично сохраненных логов.
--input-logs
Использовать местоположение файла журнала из auditd.conf как исходные данные для анализа. Применяется при использовании команды ausearch в задании cron.
--just-one
Остановиться после выдачи первого события, соответствующего критериям поиска.
-k, --key <ключевое слово>
Искать события с заданным ключевым словом.
-l, --line-buffered
Сбрасывать вывод после каждой строки.
-m, --message <тип>|<список типов>
Искать события с заданным типом, при этом можно указать список значений, разделенных запятыми. Можно указать несуществующий в событиях тип «ALL», который позволяет получить все сообщения системы аудита (список допустимых типов будет показан, если указать эту опцию без значения). Тип сообщения может быть строкой или числом. В списке значений этого параметра в качестве разделителя используются запятые и пробелы недопустимы.
-n , --node
Искать события с определенного узла. Допускается указание нескольких узлов (для вывода достаточно совпадение любого узла).
-p, --pid <идентификатор процесса>
Искать события с заданным идентификатором процесса.
-pp, --ppid <идентификатор процесса>
Искать события с заданным идентификатором родительского процесса.
-r, --raw
Необработанный вывод. Используется для извлечения записей для дальнейшего анализа.
-sc, --syscall <системный вызов>
Искать события с заданным системным вызовом. Можно указать номер или имя системного вызова. При указании имени системного вызова, оно будет проверено по таблице системных вызовов на машине, где запущена команда ausearch.
--session <идентификатор сеанса>
Искать события с заданным идентификатором сеанса. Этот атрибут устанавливается, когда пользователь входит в систему и может связать любой процесс с определенным именем пользователя.
-sv, --success <флаг>
Искать события с заданным флагом успешного выполнения. Допустимые значения: yes (успешно) и no (неудачно).
-te, --end <дата> <время>
Искать события, которые произошли раньше (или во время) указанной временной точки. Формат даты и времени зависит от региональных настроек. В случае если дата не указана, то подразумевается текущий день (today). В случае если не указано время, то подразумевается текущий момент (now).
--ts, --start <дата> <время>
Искать события, которые произошли после (или во время) указанной временной точки.
-tm, --terminal <терминал>
Искать события с заданным терминалом. Некоторые службы (такие как cron и atd) используют имя службы как имя терминала.
-ua, --uid-all <идентификатор пользователя>
Искать события, у которых любой из идентификатора пользователя, эффективного идентификатора пользователя или loginuid (auid) совпадают с заданным идентификатором пользователя.
-ue, --uid-effective <эффективный идентификатор пользователя>
Искать события с заданным эффективным идентификатором пользователя.
-ui, --uid <идентификатор пользователя>
Искать события с заданным идентификатором пользователя.
-ul, --loginuid <идентификатор пользователя>
Искать события с заданным идентификатором пользователя. Все программы, которые его используют, должны использовать pam_loginuid.
-uu, --uuid <идентификатор гостя>
Искать события с заданным идентификатором гостя.
-v, --verbose
Показать версию и выйти.
--vm, --vm-name <имя гостя>
Искать события с заданным именем гостя.
-x, --executable <программа>
Искать события с заданным именем исполняемой программы.
Нотацию времени следует использовать в формате «24 часа», а не «AM/PM». Например, дата может быть задана как «10/24/2005», а время — как «18:00:00». Также допускается использовать следующие ключевые слова:
  • now — сейчас;
  • recent — десять минут назад;
  • boot — время за секунду до того, когда система загружалась в последний раз;
  • today — первая секунда после полуночи текущего дня;
  • yesterday — первая секунда после полуночи предыдущего дня;
  • this-week — первая секунда после полуночи первого дня текущей недели, первый день недели определяется из региональных настроек;
  • week-ago — первая секунда после полуночи ровно 7 дней назад;
  • this-month — первая секунда после полуночи первого числа текущего месяца;
  • this-year — первая секунда после полуночи первого числа первого месяца текущего года.

73.6. Команда autrace

Команда autrace добавляет правила аудита для того, чтобы следить за использованием системных вызовов в указанном процессе подобно тому, как это делает strace.
После добавления правил, команда autrace запускает процесс с указанными аргументами. Результаты аудита будут находиться либо в логах аудита (если служба аудита запущена), либо в системных логах. Команда autrace устроена так, что удаляет все предыдущие правила аудита, перед тем как запустить указанный процесс и после его завершения. Поэтому, в качестве дополнительной меры предосторожности, программа не запустится, если перед её использованием правила не будут удалены с помощью команды audtictl — об этом известит предупреждающее сообщение.
Синтаксис команды:
autrace [-r] процесс [аргументы]
Опция -r позволяет ограничить сбор информации о системных вызовах только теми, которые необходимы для анализа использования ресурсов. Это может быть полезно при моделировании внештатных ситуаций, и позволяет уменьшить нагрузку на журналы.
Примеры использования:
  • обычное использование программы:
    # autrace /bin/ls /tmp
    # ausearch --start recent -p 2442 -i
    
  • режим ограниченного сбора информации:
    # autrace -r /bin/ls
    # ausearch --start recent -p 2450 --raw | aureport --file --summary
    # ausearch --start recent -p 2450 --raw | aureport --host –summary
    

73.7. Настройка ротации журналов аудита

Правила ротации журналов аудита настраиваются в файле /etc/audit/auditd.conf.
Например, для того чтобы при нехватке места на диске старые записи затирались новыми, необходимо внести следующие изменения в файл /etc/audit/auditd.conf:
max_log_file = 8
space_left = 100 
space_left_action = ROTATE
где:
  • max_log_file — максимальный размер файла журнала в Мбайт;
  • space_left — минимум свободного пространства в Мбайт;
  • space_left_action — действие (в данном случае старые файлы журналов будут удаляться, освобождая место для новых).
После внесения изменения в файл /etc/audit/auditd.conf, для того чтобы новые настройки вступили в силу необходимо перезапустить auditd:
# /etc/init.d/auditd restart

73.8. Определение правил аудита

Система аудита работает на основе набора правил, определяющих, что должно фиксироваться в файлах журналов. Можно указать следующие типы правил аудита:
  • правила конфигурации — правила позволяющие изменить поведение системы аудита и некоторых её настроек;
  • правила файловой системы — позволяют проверять доступ к определенному файлу или каталогу;
  • правила системных вызовов — регистрируют системные вызовы, выполняемые указанной программой.
Правила аудита могут быть установлены:
  • в командной строке с помощью утилиты auditctl (эти правила не сохраняются после перезагрузки системы);
  • в файле /etc/audit/audit.rules.

73.8.1. Установка правил с помощью auditctl

Команда auditctl позволяет управлять основными функциями системы аудита и определять правила, определяющие, какие события аудита регистрируются.

Примечание

Все команды, которые взаимодействуют со службой аудита и файлами журнала аудита, требуют привилегий root.
Примеры правил изменения конфигурации:
  • установить максимальное количество существующих буферов аудита в ядре:
    # auditctl -b 256
    
  • установить способ обработки для флага сбоя (действие, которое выполняется при обнаружении критической ошибки):
    # auditctl -f 2
    
    в данной конфигурации в случае критической ошибки будет вызван kernel panic;
  • защитить конфигурацию аудита от изменений:
    # auditctl -e 2
    
    в результате все попытки изменить конфигурацию аудита будет отвергнуты:
    The audit system is in immutable mode, no rule changes allowed
    
  • вывести конфигурацию аудита:
    # auditctl -s
    
  • вывести список всех загруженных в данный момент правил аудита:
    # auditctl -l
    
  • удалить все загруженные в данный момент правила аудита:
    # auditctl -D
    
Чтобы определить правило файловой системы, используется следующий синтаксис:
# auditctl -w путь_к_файлу -p разрешения -k имя_ключа
где:
  • путь_к_файлу — файл или каталог, подлежащий аудиту;
  • разрешения — разрешения, которые регистрируются:
    • r — доступ на чтение файла или каталога;
    • w — доступ на запись к файлу или каталогу;
    • x — доступ на исполнение к файлу или каталогу;
    • a — изменение атрибута файла или каталога;
  • имя_ключа — необязательная строка, которая помогает определить, какое правило или набор правил создали конкретную запись в журнале.
Примеры правил файловой системы:
  • записывать все попытки изменения файла /etc/shadow:
    # auditctl -w /etc/shadow -p wa
    
  • записывать все попытки изменения файлов в каталоге /etc/httpd2/:
    # auditctl -w /etc/httpd2/ -p wa -k apache
    
  • регистрировать выполнение команды /sbin/modprobe:
    # auditctl -w /sbin/modprobe -p x -k modules
    
Для добавления правил системных вызовов используется следующая форма записи:
# auditctl -a список,действие -S имя_системного_вызова -F фильтры -k имя_ключа
Здесь список — это список событий, в который следует добавить правило. Доступные списки:
  1. task — добавить правило к списку, отвечающему за процессы. Этот список правил используется только во время создания процесса — когда родительский процесс вызывает fork() или clone(). При использовании этого списка можно использовать только те поля, которые известны во время создания процесса (uid, gid и так далее);
  2. exit — добавить правило к списку, отвечающему за точки выхода из системных вызовов. Этот список применяется, когда необходимо создать событие для аудита, привязанное к точкам выхода из системных вызовов;
  3. user — добавить правило, отвечающее за список фильтрации пользовательских сообщений. Этот список используется ядром, чтобы отфильтровать события, приходящие из пользовательского пространства, перед тем как они будут переданы службе аудита. Могут быть использованы только следующие поля: uid, auid, gid, pid, subj_user, subj_role, subj_type, subj_sen, subj_clr, и msgtype. Все остальные поля будут обработаны, как если бы они не совпали;
  4. exclude — добавить правило к списку, отвечающего за фильтрацию событий определенного типа. Этот список используется, чтобы отфильтровывать ненужные события. События могут быть исключены по идентификатору процесса, идентификатору пользователя, идентификатору группы, идентификатору логина пользователя, типу сообщения или контексту предмета.
Второй параметр опции -a — это действие, которое должно произойти в ответ на возникшее событие:
  1. never — аудит не будет генерировать никаких записей. Может использоваться для подавления генерации событий. Обычно необходимо подавлять генерацию сверху списка, а не снизу, поскольку событие инициируется на первом совпавшем правиле;
  2. always — установить контекст аудита. Всегда заполнять его во время входа в системный вызов, и всегда генерировать запись во время выхода из системного вызова.
Далее указывается опция -S, задающая имя системного вызова, при обращении к которому должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано числовое значение.
Необязательная опция -F используется для указания дополнительных параметров фильтрации события.
Примеры правил системных вызовов:
  • вести журнала событий, связанных с использованием системного вызова open(), и регистрировать при этом только обращения к файлам каталога /etc:
    # auditctl -a always,exit -S open -F path=/etc/
    
  • регистрировать только те события, при которых файл открывается только на запись и изменение атрибутов:
    # auditctl -a always,exit -S open -F path=/etc/ -F perm=aw
    
  • записывать все системные вызовы, используемые определённым процессом:
    # auditctl -a always,exit -S all -F pid=1005
    
  • Ззаписывать все файлы, открытые определённым пользователем:
    # auditctl -a always,exit -S openat -F auid=510
    
  • записывать неудачные попытки вызова системной функции openat:
    # auditctl -a exit,always -S openat -F success!=0
    
  • Записывать попытки изменения файла /etc/shadow:
    # auditctl -a always,exit -F path=/etc/shadow -F perm=wa
    
Чтобы определить правило для исполняемого файла, необходимо использовать следующий синтаксис:
# auditctl -a список,действие [ -F arch=cpu -S имя_системного_вызова] -F exe=путь_к_файлу -k имя_ключа
Например, правило для файла /usr/bin/ping:
# auditctl -a always,exit -F exe=/usr/bin/ping -F arch=b64 -S execve -k execution_ping

73.8.2. Установка постоянных правил в файле /etc/audit/audit.rules

Чтобы определить правила аудита, сохраняющиеся при перезагрузках, необходимо либо напрямую включить их в файл /etc/audit/audit.rules, либо использовать программу augenrules, которая считывает правила, расположенные в каталоге /etc/audit/rules.d/.
Скрипт augenrules считывает правила, расположенные в каталоге /etc/audit/rules.d/, и компилирует их в файл /etc/audit/audit.rules. Этот скрипт обрабатывает файлы *.rules, в определенном порядке, основанном на их естественном порядке сортировки.
Во время старта служба auditd читает файл /etc/audit/audit.rules, который содержит правила аудита в формате auditctl. Пустые строки и текст после знака решетки (#) игнорируются. В файл записываются правила без имени команды. Например:
-w /etc/passwd -p wa
Команду auditctl также можно использовать для чтения правил из указанного файла с помощью опции -R, например:
# auditctl -R /home/user/audit/rules/30-net.rules
Файл /etc/audit/audit.rules может содержать только следующие правила контроля, изменяющие поведение системы аудита: -b, -D, -e, -f, -r, --loginuid-immutable и --backlog_wait_time. Например:
# Удалить все предыдущие правила
-D

# Установить размер буфера
-b 8192

# Защитить конфигурацию аудита от изменений
-e 2
Правила файловой системы и системных вызовов определяются в файле /etc/audit/audit.rules с использованием синтаксиса auditctl. Например:
-w /etc/shadow -p wa
-w /sbin/modprobe -p x -k modules

-a always,exit -S openat -F auid=510
Чтобы загрузить правила из каталога /etc/audit/rules.d/ следует запустить команду augenrules с параметром --load:
# augenrules --load
Эти правила также будут загружены при запуске службы auditd.

73.8.3. Файлы журнала аудита

По умолчанию система аудита сохраняет записи журнала в файле /var/log/audit/audit.log.
Для примера создадим правило аудита, которое регистрирует каждую попытку чтения или изменения файла /etc/autofs.conf:
# auditctl -w /etc/autofs.conf -p warx -k autofs
Если служба auditd запущена, выполнение следующей команды создаст новое событие в файле журнала аудита:
$ cat /etc/autofs.conf
Событие в /var/log/audit/audit.log:
type=SYSCALL msg=audit(1699990009.349:368): arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=7ffc39880600 a2=0 a3=0 items=1 ppid=5701 pid=8223 auid=501 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts1 ses=11 comm="cat" exe="/bin/cat" key="autofs"ARCH=x86_64 SYSCALL=openat AUID="test" UID="test" GID="test" EUID="test" SUID="test" FSUID="test" EGID="test" SGID="test" FSGID="test"
type=CWD msg=audit(1699990009.349:368): cwd="/home/test"
type=PATH msg=audit(1699990009.349:368): item=0 name="/etc/autofs.conf" inode=1354087 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID="root" OGID="root"
type=PROCTITLE msg=audit(1699990009.349:368): proctitle=636174002F6574632F6175746F66732E636F6E66
Данное событие состоит из четырех записей, имеющих один серийный номер и одну и ту же отметку времени. Каждая запись состоит из нескольких пар имя=значение, разделенных пробелом или запятой. Ниже каждая запись рассмотрена подробнее.

Примечание

Некоторые значения в журнале закодированы в шестнадцатеричном формате. При поиске записей аудита с помощью команды ausearch можно использовать параметр -i для автоматического преобразования шестнадцатеричных значений в удобочитаемые эквиваленты.
Первая запись:
  • type=SYSCALL — тип записи. Значение SYSCALL указывает, что запись была вызвана системным вызовом ядра;
  • msg=audit(1699990009.349:368) — в поле msg записывается:
    • отметка времени и уникальный идентификатор записи в формате audit(time_stamp:ID). Несколько записей могут иметь одну и ту же отметку времени и идентификатор, если они были созданы в рамках одного и того же события аудита. Отметка времени использует формат времени Unix (секунды с 00:00:00 UTC 1 января 1970 года);
    • различные пары имя=значение, зависящие от события, предоставляемые приложениями ядра или пользовательского пространства;
  • arch=c000003e — содержит информацию об архитектуре ЦП системы. Значение c000003e закодировано в шестнадцатеричном формате (c000003e интерпретируется как x86_64);
  • syscall=257 — тип системного вызова, отправленного ядру. Утилита ausyscall позволяет преобразовывать номера системных вызовов в их удобочитаемые эквиваленты. В данном примере 257 — системный вызов openat;
  • success=yes — указывает, был ли системный вызов, записанный в этом конкретном событии, успешным или неудачным. В данном примере вызов успешный;
  • exit=3 — значение, указывающее код выхода, возвращаемый системным вызовом. Это значение варьируется для разных системных вызовов;
  • a0=ffffff9c a1=7ffc39880600 a2=0 a3=0 — первые четыре аргумента системного вызова в этом событии, закодированные в шестнадцатеричной системе счисления;
  • items=1 — количество вспомогательных записей PATH, следующих за записью системного вызова;
  • ppid=5701 — идентификатор родительского процесса;
  • pid=8223 — идентификатор процесса (PID);
  • auid=501 — идентификатор пользователя аудита, то есть логин. Этот идентификатор присваивается пользователю при входе в систему и наследуется каждым процессом, даже если личность пользователя меняется, например, при переключении учетных записей пользователей с помощью команды su -;
  • uid=501 — идентификатор пользователя, запустившего анализируемый процесс. Идентификатор пользователя можно интерпретировать в имя пользователя с помощью команды ausearch -i --uid UID;
  • gid=501 — идентификатор группы пользователя, запустившего анализируемый процесс;
  • euid=501 — эффективный идентификатор пользователя, запустившего анализируемый процесс;
  • suid=501 — установленный идентификатор пользователя, запустившего анализируемый процесс;
  • fsuid=501 — идентификатор пользователя файловой системы, запустившего анализируемый процесс;
  • egid=501 — эффективный идентификатор группы пользователя, запустившего анализируемый процесс;
  • sgid=501 — заданный групповой идентификатор пользователя, запустившего анализируемый процесс;
  • fsgid=501 — идентификатор группы файловой системы пользователя, запустившего анализируемый процесс;
  • tty=pts1 — терминал, с которого был вызван анализируемый процесс;
  • ses=11 — идентификатор сеанса, из которого был вызван анализируемый процесс;
  • comm="cat" — имя команды, которая использовалась для вызова анализируемого процесса;
  • exe="/bin/cat" — путь к исполняемому файлу, который использовался для запуска анализируемого процесса;
  • key="autofs" — определенная администратором строка, связанная с правилом, создавшим это событие в журнале аудита;
Вторая запись:
  • type=CWD — тип записи. Значение CWD используется для записи рабочего каталога, из которого был выполнен процесс, вызвавший системный вызов, указанный в первой записи. Цель этой записи — записать местоположение текущего процесса на случай, если относительный путь будет зафиксирован в связанной записи PATH. Так можно восстановить абсолютный путь;
  • cwd="/home/test" — путь к каталогу, в котором был вызван системный вызов.
Третья запись:
  • type=PATH — событие аудита содержит запись типа PATH для каждого пути, который передается системному вызову в качестве аргумента. В этом событии аудита в качестве аргумента использовался только один путь (/etc/autofs.conf);
  • item=0 — указывает, какой элемент из общего числа элементов, указанных в записи типа SYSCALL, является текущей записью. Это число начинается с нуля; значение 0 означает, что это первый элемент;
  • name="/etc/autofs.conf" — путь к файлу или каталогу, который был передан системному вызову в качестве аргумента;
  • inode=1354087 — номер индексного дескриптора, связанный с файлом или каталогом, записанным в этом событии. Отобразить файл или каталог, связанный с номером индексного дескриптора можно, выполнив команду:
    # find / -inum 1354087 -print
    /etc/autofs.conf
    
  • dev=08:02 — вспомогательный и основной идентификатор устройства, которое содержит файл или каталог, записанный в этом событии (в данном примере /dev/08/02);
  • mode=0100644 — права доступа к файлу или каталогу, закодированные в числовой форме, возвращаемые командой stat в поле st_mode (в данном примере -rw-r--r--);
  • ouid=0 — идентификатор пользователя владельца объекта;
  • ogid=0 — идентификатор группы владельца объекта;
  • rdev=00:00 — записанный идентификатор устройства только для специальных файлов. В данном случае он не используется, поскольку записанный файл является обычным файлом;
  • cap_fp=0 — данные, относящиеся к настройке разрешенных возможностей файловой системы для объекта файла или каталога;
  • cap_fi=0 — данные, относящиеся к настройке унаследованных возможностей файловой системы для объекта файла или каталога;
  • cap_fe=0 — установка эффективного бита возможностей файловой системы объекта файла или каталога;
  • cap_fver=0 — версия возможностей файловой системы объекта файла или каталога.
Четвёртая запись:
  • type=PROCTITLE — тип записи. Значение PROCTITLE указывает, что эта запись содержит полную командную строку, которая инициировала это событие аудита, вызванное системным вызовом ядра;
  • proctitle — полная командная строка, которая использовалась для запуска анализируемого процесса. Поле закодировано в шестнадцатеричном формате. Текст декодируется в команду, которая вызвала это событие аудита. При поиске записей аудита с помощью команды ausearch следует использовать параметр -i для автоматического преобразования шестнадцатеричных значений в удобочитаемые эквиваленты. Значение 636174002F6574632F6175746F66732E636F6E66 интерпретируется в «cat /etc/autofs.conf».
Эти же записи в выводе команды ausearch -i:
# ausearch -i -k autofs
----
type=PROCTITLE msg=audit(14.11.2023 21:26:49.349:368) : proctitle=cat /etc/autofs.conf
type=PATH msg=audit(14.11.2023 21:26:49.349:368) : item=0 name=/etc/autofs.conf inode=1354087 dev=08:02 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(14.11.2023 21:26:49.349:368) : cwd=/home/test
type=SYSCALL msg=audit(14.11.2023 21:26:49.349:368) : arch=x86_64 syscall=openat success=yes exit=3 a0=AT_FDCWD a1=0x7ffc39880600 a2=O_RDONLY a3=0x0 items=1 ppid=5701 pid=8223 auid=test uid=test gid=test euid=test suid=test fsuid=test egid=test sgid=test fsgid=test tty=pts1 ses=11 comm=cat exe=/bin/cat key=autofs

73.8.4. Примеры

73.8.4.1. Запуск и завершение выполнения функций аудита

Поиск записей аудита, связанных с запуском и завершением функции аудита:
# ausearch -m DAEMON_START -m DAEMON_END
----
time->Mon Nov 13 08:46:48 2023
type=DAEMON_START msg=audit(1699858008.579:1767): op=start ver=3.1.2
format=enriched kernel=5.10.194-std-def-alt1 auid=4294967295 pid=2524 uid=0 ses=4294967295 res=success
----
time->Mon Nov 13 09:47:31 2023
type=DAEMON_END msg=audit(1699861651.992:1768): op=terminate
auid=0 uid=0 ses=4294967295 pid=1 res=success
----
time->Tue Nov 14 09:38:26 2023
type=DAEMON_START msg=audit(1699947506.800:4888): op=start ver=3.1.2
format=enriched kernel=5.10.194-std-def-alt1 auid=4294967295 pid=2525 uid=0 ses=4294967295 res=success

73.8.4.2. Модификация конфигурации аудита

События модификации конфигурации аудита, происходящие во время сбора данных аудита записываются в файл журнала аудита /var/log/audit/audit.log.
Поиск записей аудита, связанных с модификацией конфигурации аудита:
# ausearch -m CONFIG_CHANGE
----
time->Tue Nov 14 09:38:26 2023
type=CONFIG_CHANGE msg=audit(1699947506.822:5): op=set
audit_backlog_wait_time=60000 old=60000 auid=4294967295 ses=4294967295 res=1
----
time->Tue Nov 14 16:43:14 2023
type=CONFIG_CHANGE msg=audit(1699972994.820:1207):
auid=500 ses=3 op=add_rule key="audit_config" list=4 res=1
Можно также создать правило аудита, которое будет отслеживать изменения конфигурации аудита:
# auditctl -w /etc/audit -p w -k audit_config
Найти такие записи аудита можно, выполнив команду:
# ausearch -k audit_config
----
time->Tue Nov 14 16:43:14 2023
type=CONFIG_CHANGE msg=audit(1699972994.820:1207): auid=500 ses=3 op=add_rule key="audit_config" list=4 res=1

73.8.4.3. События, связанные с операцией чтения записей аудита

Можно создать правило аудита, связанное с неуспешными попытками чтения записей аудита:
# auditctl -a always,exit -F arch=b64 -S open -F exit=-EACCES -F key=open -k audit_log_EACCES
# auditctl -a always,exit -F arch=b64 -S open -F exit=-EPERM -F key=open -k audit_log_EPERM
После попыток прочитать данные аудита напрямую из файла /var/log/audit/audit.log и с помощью команды ausearch от имени обычного пользователя:
$ cat /var/log/audit/audit.log
cat: /var/log/audit/audit.log: Отказано в доступе
$ /sbin/ausearch -i -k audit_log
Error opening config file (Отказано в доступе)
NOTE - using built-in logs: /var/log/audit/audit.log
Error opening /var/log/audit/audit.log (Отказано в доступе)
Будут созданы следующие записи, связанные с операцией чтения записей аудита:
# ausearch -i -k audit_log
----
type=PROCTITLE msg=audit(24.05.2018 18:13:11.849:216) :
proctitle=auditctl -a always,exit -F arch b64 -S open -F exit -EPERM -F key=open -k audit_log_EPERM
type=SOCKADDR msg=audit(24.05.2018 18:13:11.849:216) :
saddr={ saddr_fam=netlink nlnk-fam=16 nlnk-pid=0 }
type=SYSCALL msg=audit(24.05.2018 18:13:11.849:216) :
arch=x86_64 syscall=sendto success=yes exit=1076 a0=0x4 a1=0x7ffd13ee81e0 a2=0x434 a3=0x0 items=0 ppid=5423 pid=5919 auid=user uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=3 comm=auditctl exe=/sbin/auditctl key=(null)
type=CONFIG_CHANGE msg=audit(24.05.2018 18:13:11.849:216) :
auid=user ses=3 op=add_rule key=open key=audit_log_EPERM list=exit res=yes

73.8.4.4. Хранение журнала аудита

Аудит регистрирует события следующего типа:
  • DAEMON_ERR — служба аудита остановилась из-за внутренней ошибки;
  • DAEMON_RESUME — служба аудита возобновила ведение журнал;
  • DAEMON_ROTATE — произошла ротация файлов журнала аудита;
  • DAEMON_ABORT — служба аудита остановилась из-за ошибки.
Поиск записей аудита, сделанных при ротации файлов журнала аудита:
# ausearch -m DAEMON_ROTATE

73.8.4.5. Аудит попыток экспорта информации

Создание правила для записей аудита, связанных с попытками экспортировать информацию:
# auditctl -a always,exit -F arch=b64 -S open,openat
Поиск записей аудита, связанных с попытками экспортировать информацию:
# ausearch -x /usr/bin/rsync | head

73.8.4.6. Аудит событий, связанных с достижением ограничения неуспешных попыток аутентификации

Примечание

Должна быть настроена блокировка учётной записи после последовательных неудачных входов в систему. Например, блокирование учётной записи после четырёх последовательных неудачных входов в систему в течение пяти минут (файл /etc/pam.d/system-auth-local-only):
auth            requisite       pam_faillock.so preauth deny=4 unlock_time=300
auth            sufficient      pam_tcb.so shadow fork nullok
auth            [default=die]   pam_faillock.so authfail deny=4 unlock_time=300
account         required        pam_faillock.so
account         required        pam_tcb.so shadow fork
password        required        pam_passwdqc.so config=/etc/passwdqc.conf
password        required        pam_tcb.so use_authtok shadow fork nullok write_to=tcb
session         required        pam_tcb.so
Поиск записей, связанных с достижением ограничения неуспешных попыток аутентификации:
# ausearch -i -m RESP_ACCT_LOCK -m ANOM_LOGIN_FAILURES
----
type=ANOM_LOGIN_FAILURES msg=audit(14.11.2023 17:36:01.837:123232) :
pid=26656 uid=root auid=unset ses=unset msg='pam_faillock uid=root  exe=/bin/login hostname=pbs addr=? terminal=tty2 res=success'
----
type=RESP_ACCT_LOCK msg=audit(14.11.2023 17:36:01.837:123233) :
pid=26656 uid=root auid=unset ses=unset msg='pam_faillock uid=root  exe=/bin/login hostname=pbs addr=? terminal=tty2 res=success'
Событие разблокировки пользователя (faillock --user test --reset) попадает в аудит с типом USER_ACCT и msg=pam_faillock:
# ausearch -i -m USER_ACCT

73.8.4.7. Использование механизма идентификации и аутентификации

Поиск записей аудита, связанных с использованием механизма аутентификации:
# ausearch -m USER_AUTH
----
time->Tue Nov 14 17:37:28 2023
type=USER_AUTH msg=audit(1699976248.331:123242):
pid=27368 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication grantors=?
acct="?" exe="/bin/login" hostname=pbs addr=? terminal=/dev/tty2 res=failed'

----
time->Tue Nov 14 17:56:28 2023
type=USER_AUTH msg=audit(1699977388.507:123325):
pid=27621 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication
grantors=pam_userpass,pam_tcb acct="test" exe="/usr/sbin/sshd" hostname=192.168.0.177 addr=192.168.0.177 terminal=ssh res=success'
Поиск записей аудита, связанных с использованием механизма идентификации:
# ausearch -m USER_LOGIN -i
----
type=USER_LOGIN msg=audit(14.11.2023 17:36:10.321:123241) :
pid=27368 uid=root auid=unset ses=unset msg='op=login acct=test
exe=/bin/login hostname=pbs addr=? terminal=/dev/tty2 res=failed'
----

type=USER_LOGIN msg=audit(14.11.2023 17:56:28.569:123331) :
pid=27621 uid=root auid=test ses=145 msg='op=login id=test
exe=/usr/sbin/sshd hostname=192.168.0.177 addr=192.168.0.177 terminal=/dev/pts/7 res=success
Команда aureport позволяет вывести отчёт обо всех попытках входа в систему:
# aureport -l
Login Report
============================================
# date time auid host term exe success event
============================================
1. 24.10.2023 21:58:15 user 192.168.0.177 sshd /usr/sbin/sshd no 394615
…
43. 14.11.2023 17:49:59 test 192.168.0.177 sshd /usr/sbin/sshd no 123267
44. 14.11.2023 17:50:01 501 192.168.0.177 /dev/pts/6 /usr/sbin/sshd yes 123280
45. 14.11.2023 17:56:22 test 192.168.0.177 sshd /usr/sbin/sshd no 123322
46. 14.11.2023 17:56:24 test 192.168.0.177 sshd /usr/sbin/sshd no 123324
47. 14.11.2023 17:56:28 501 192.168.0.177 /dev/pts/7 /usr/sbin/sshd yes 123331
Отчёт о неудачных попытках входа в систему:
# aureport -l --failed
Отчёт об изменениях пользовательских учетных записей:
# aureport -m

73.8.4.8. Регистрация изменений даты и времени

Для регистрации изменений даты и времени, необходимо включить контроль над изменением значения времени.
Запись событий, изменяющих время через clock_settime, settimeofday и adjtimex с правилом в зависимости от архитектуры, в примере для 64 бит (AMD, Intel):
# auditctl -a exit,always -F arch=b64 -S clock_settime -S settimeofday -S adjtimex -k FPT_STM
Изменить время с помощью модуля центра управления системой или в системной консоли, командой date.
Поиск записей аудита, связанных с операцией изменения даты и времени:
# ausearch -k FPT_STM
----
time->Tue Nov 14 18:07:27 2023
type=PROCTITLE msg=audit(1699978047.591:188): proctitle=6461746500303532343138303832303138
type=TIME_INJOFFSET msg=audit(1699978047.591:188): sec=-172799968 nsec=406875048
type=SYSCALL msg=audit(1699978047.591:188): arch=c000003e syscall=227 success=yes exit=0 a0=0 a1=7ffc85a10900 a2=0 a3=0 items=0 ppid=5423 pid=5879 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=3 comm="date" exe="/bin/date" key="FPT_STM"
Пример удаления правила:
# auditctl -d exit,always -F arch=b64 -S clock_settime -S settimeofday -S adjtimex -k FPT_STM

73.8.4.9. Регистрация событий, изменяющих информацию о пользователях/группах

Для фиксации событий, которые вносят изменения в пользовательские аккаунты, можно создать файл /etc/audit/rules.d/20-account_changes.rules со следующим содержимым:
# audit_account_changes
-w /etc/group -p wa -k audit_account_changes
-w /etc/passwd -p wa -k audit_account_changes
-w /etc/gshadow -p wa -k audit_account_changes
-w /etc/shadow -p wa -k audit_account_changes
-w /etc/security/opasswd -p wa -k audit_account_changes
Поиск записей аудита, связанных с операциями изменения информации о пользователях/группах:
# ausearch -k audit_account_changes

73.8.4.10. Регистрация запуска ПО

Для аудита запуска ПО создать файл /etc/audit/rules.d/50-execprog.rules с правилами в зависимости от архитектуры, в примере 64 бит (AMD, Intel):
-a  always,exit -F arch=b64 -S open,openat,execve -F exit=-EACCES -F key="AVC"
-a  always,exit -F arch=b64 -S open,openat,execve -F exit=-EPERM -F key="AVC"
Поиск записей аудита:
# ausearch -k AVC

Часть XII. Техническая поддержка продуктов «Базальт СПО»

Глава 74. Покупателям нашей продукции

«Базальт СПО» предоставляет следующие виды технической поддержки:
  • Поддержка продукта входит в стоимость лицензии и включает регулярный выпуск обновлений, исправление ошибок, устранение уязвимостей в течение всего срока жизни дистрибутива.
  • Поддержка пользователей обеспечивает качественную эксплуатацию продукта. Техническая поддержка эксплуатации продуктов «Базальт СПО» оказывается в объеме SLA. Доступны три уровня SLA («Базовый», «Стандартный» и «Расширенный»).
Право на получение консультационной и технической поддержки вы приобретаете при покупке большинства продуктов торговой марки Альт. Сроки и объём помощи указаны в сертификате технической поддержки.
Условия технической поддержки можно найти на странице сайта «Базальт СПО»: http://www.basealt.ru/support.

Глава 75. Пользователям нашей продукции

Вне зависимости от того, скачали вы или же приобрели наш дистрибутив, задавать вопросы или обсуждать их с сообществом пользователей дистрибутивов «Альт» вы можете на форуме или в списках рассылки.
Помощь сообщества:
Ресурсы компании «Базальт СПО»:
Форум и списки рассылки читают опытные пользователи, профессиональные системные администраторы и разработчики «Базальт СПО». Сообщество пользователей и специалистов окажет содействие в поиске ответа на ваш вопрос или посоветует выход из сложной ситуации. При обращении к данному виду помощи у вас нет гарантии на полноту и своевременность ответа, но мы стараемся не оставлять без ответа вопросы, задаваемые в списках.