ОПЕРАЦИОННАЯ СИСТЕМА АЛЬТ СЕРВЕР 11.0
Описание функциональных характеристик
Содержание
1 Общие сведения об Альт Сервер 11.0....................................................................................4
1.1 Редакции и компоненты..................................................................................................4
1.2 Краткое описание возможностей...................................................................................4
1.3 Структура программных средств...................................................................................5
2 Загрузка операционной системы............................................................................................8
2.1 Настройка загрузки..........................................................................................................8
2.2 Получение доступа к зашифрованным разделам.......................................................10
2.3 Вход и работа в системе в консольном режиме..........................................................10
2.4 Виртуальная консоль.....................................................................................................11
2.5 Вход и работа в системе в графическом режиме........................................................11
2.6 Рабочий стол GNOME...................................................................................................13
2.7 Запуск приложений........................................................................................................18
2.8 Настройка параметров GNOME...................................................................................21
2.9 Полезные комбинации клавиш.....................................................................................22
3 Настройка системы................................................................................................................24
3.1 Центр управления системой.........................................................................................24
3.2 Настройка сети...............................................................................................................30
3.3 Центр приложений.........................................................................................................34
4 Alterator на D-Bus...................................................................................................................39
4.1 Alteratorctl.......................................................................................................................39
4.2 Системная информация.................................................................................................43
4.3 «Альт Компоненты»......................................................................................................47
4.4 Приложение «Пакеты»..................................................................................................51
5 Средства удаленного администрирования..........................................................................59
5.1 Настройка подключения к Интернету.........................................................................59
2
5.2 Развертывание доменной структуры...........................................................................73
5.3 Сетевая установка операционной системы на рабочие места...................................74
5.4 FTP-сервер......................................................................................................................78
5.5 Удостоверяющий центр................................................................................................80
5.6 Соединение удалённых офисов (OpenVPN-сервер)...................................................83
5.7 Доступ к службам сервера из сети Интернет..............................................................89
5.8 Статистика......................................................................................................................91
5.9 Обслуживание сервера..................................................................................................93
5.10 Права доступа к модулям ЦУС..................................................................................122
6 Корпоративная инфраструктура.........................................................................................124
6.1 Альт Домен...................................................................................................................124
6.2 Групповые политики...................................................................................................141
6.3 Samba в режиме файлового сервера...........................................................................153
6.4 SOGo.............................................................................................................................157
6.5 FreeIPA..........................................................................................................................170
6.6 Система мониторинга Zabbix.....................................................................................187
6.7 Отказоустойчивый кластер (High Availability) на основе Pacemaker.....................198
6.8 OpenUDS.......................................................................................................................208
6.9 Система резервного копирования Proxmox Backup Server......................................307
6.10 Система резервного копирования UrBackup.............................................................374
7 Установка дополнительного программного обеспечения...............................................383
7.1 Установка дополнительного ПО в ЦУС....................................................................383
7.2 Установка/обновление программного обеспечения в консоли...............................384
8 Общие принципы работы ОС.............................................................................................394
8.1 Процессы функционирования ОС..............................................................................395
8.2 Файловая система ОС..................................................................................................395
8.3 Организация файловой структуры.............................................................................396
8.4 Разделы, необходимые для работы ОС......................................................................398
3
8.5 Управление системными сервисами и командами...................................................398
9 Работа с наиболее часто используемыми компонентами................................................402
9.1 Командные оболочки (интерпретаторы)...................................................................402
9.2 Стыкование команд в системе....................................................................................412
9.3 Средства управления дискреционными правами доступа.......................................413
9.4 Управление пользователями.......................................................................................423
9.5 Режим суперпользователя...........................................................................................430
9.6 Управление шифрованными разделами....................................................................431
9.7 Поддержка файловых систем.....................................................................................434
9.8 Поддержка сетевых протоколов.................................................................................436
9.9 Механизм аудита......................................................................................................... 444
10 Общие правила эксплуатации............................................................................................480
10.1 Включение компьютера..............................................................................................480
10.2 Выключение компьютера............................................................................................480
4
1 ОБЩИЕ СВЕДЕНИЯ ОБ АЛЬТ СЕРВЕР 11.0
1.1 Редакции и компоненты
В дистрибутиве «Альт Сервер» 11.0 поставляется два продукта в виде редакций:
«Альт Сервер» 11.0
«Альт Домен» 11.0
Редакция – набор компонентов в составе дистрибутива. Редакция определяет список сопро-
вождаемых компонентов, входящих в продукт.
Компонент – группа пакетов, объединенных для выполнения определенной задачи.
Перечень компонентов из пакетов репозитория для всех редакций поставляется в пакете alt-
components-base.
Для каждой редакции определены следующие разделы компонентов:
«Базовые компоненты» – определяют минимальный состав продукта;
«Основные компоненты» – могут быть доустановлены под конкретную задачу;
«Другие компоненты» – дополнительные компоненты.
Для определения текущей редакции используется два источника:
/etc/os-release с опциями VARIANT и VARIANT_ID;
автоматически синхронизируемый с os-release ключ в dconf для приложений – /org/
altlinux/product/edition
Для переключения между редакциями имеется графический и консольный инструменты
(alt-systeminfo и alteratorctl).
1.2 Краткое описание возможностей
Операционная система «Альт Сервер» (далее – ОС «Альт Сервер»), представляет собой
совокупность интегрированных программ, созданных на основе ОС «Linux», и обеспечивает
обработку, хранение и передачу информации в защищенной программной среде в круглосуточном
режиме эксплуатации.
ОС «Альт Сервер» обладает следующими функциональными характеристиками:
обеспечивает возможность обработки, хранения и передачи информации;
обеспечивает возможность функционирования в многозадачном режиме (одновременное
выполнение множества процессов);
обеспечивает возможность масштабирования системы: возможна эксплуатация ОС как на
одной ПЭВМ, так и в информационных системах различной архитектуры;
обеспечивает многопользовательский режим эксплуатации;
обеспечивает поддержку мультипроцессорных систем;
5
обеспечивает поддержку виртуальной памяти;
обеспечивает поддержку запуска виртуальных машин;
обеспечивает сетевую обработку данных, в том числе разграничение доступа к сетевым па-
кетам.
Основные преимущества ОС «Альт Сервер»:
русскоязычный пользовательский интерфейс;
графическая рабочая среда GNOME;
установка серверных решений и решений конечных пользователей с одного диска;
возможность как развернуть, так и использовать только определённые службы без Alterator;
широкий выбор различных программ для профессиональной работы в сети Интернет, с до-
кументами, со сложной графикой и анимацией, для обработки звука и видео, разработки
программного обеспечения и образования.
ОС «Альт Сервер» поддерживает клиент-серверную архитектуру и может обслуживать
процессы как в пределах одной компьютерной системы, так и процессы на других ПЭВМ через
каналы передачи данных или сетевые соединения.
1.3 Структура программных средств
ОС «Альт Сервер» состоит из набора компонентов, предназначенных для реализации
функциональных задач, необходимых пользователям (должностным лицам для выполнения
определённых должностных инструкций, повседневных действий), и поставляется в виде
дистрибутива и комплекта эксплуатационной документации.
В структуре ОС «Альт Сервер» можно выделить следующие функциональные элементы:
ядро ОС;
системные библиотеки;
утилиты и драйверы;
средства обеспечения информационной безопасности;
системные приложения;
средства обеспечения облачных и распределенных вычислений, средства виртуализации и
системы хранения данных;
системы мониторинга и управления;
средства подготовки исполнимого кода;
средства версионного контроля исходного кода;
библиотеки подпрограмм (SDK);
среды разработки, тестирования и отладки;
интерактивные рабочие среды;
программные серверы;
6
веб-серверы;
системы управления базами данных;
графическая оболочка GNOME;
командные интерпретаторы;
прикладное программное обеспечение общего назначения;
офисные приложения.
Ядро ОС «Альт Сервер» управляет доступом к оперативной памяти, сети, дисковым и
прочим внешним устройствам. Оно запускает и регистрирует процессы, управляет разделением
времени между ними, реализует разграничение прав и определяет политику безопасности, обойти
которую, не обращаясь к нему, нельзя.
Ядро работает в режиме «супервизора», позволяющем ему иметь доступ сразу ко всей
оперативной памяти и аппаратной таблице задач. Процессы запускаются в «режиме
пользователя»: каждый жестко привязан ядром к одной записи таблицы задач, в которой, в числе
прочих данных, указано, к какой именно части оперативной памяти этот процесс имеет доступ.
Ядро постоянно находится в памяти, выполняя системные вызовы – запросы от процессов на
выполнение этих подпрограмм.
Системные библиотеки – наборы программ (пакетов программ), выполняющие различные
функциональные задачи и предназначенные для динамического подключения к работающим
программам, которым необходимо выполнение этих задач.
Серверные программы и приложения предоставляют пользователю специализированные
услуги (почтовые службы, хранилище файлов, веб-сервер, система управления базой данных,
обеспечение документооборота, хранилище данных пользователей и так далее) в локальной или
глобальной сети и обеспечивают их выполнение.
В состав ОС «Альт Сервер» включены следующие серверные программы и приложения:
приложения, обеспечивающие поддержку сетевого протокола DHCP (Dynamic Host Config-
uration Protocol);
приложения, обеспечивающие поддержку протокола аутентификации LDAP (Lightweight
Directory Access Protocol);
приложения, обеспечивающие поддержку протоколов FTP, SFTP, SSHD;
программы, обеспечивающие работу сервера виртуализации;
программы, обеспечивающие работу SMB-сервера (Сервер файлового обмена);
программы почтового сервера Postfix;
программы прокси-сервера Squid;
программы, обеспечивающие работу сервера совместной работы Sogo;
программы, обеспечивающие работу сервера домена FreeIPA;
7
программы менеджера виртуальных машин libvirt;
программы веб-сервера Apache2 и NGINX;
программы DNS-сервера.
В состав ОС «Альт Сервер» включены следующие дополнительные системные
приложения:
архиваторы;
приложения для управления RPM-пакетами;
приложения резервного копирования;
приложения мониторинга системы;
приложения для работы с файлами;
приложения для настройки системы;
настройка параметров загрузки;
настройка оборудования;
настройка сети.
8
2 ЗАГРУЗКА ОПЕРАЦИОННОЙ СИСТЕМЫ
2.1 Настройка загрузки
Вызов ОС «Альт Сервер», установленной на жесткий диск, происходит автоматически и
выполняется после запуска ПЭВМ и отработки набора программ BIOS. ОС «Альт Сервер»
вызывает специальный загрузчик.
Загрузчик настраивается автоматически и включает в свое меню все системы, установку
которых на ПЭВМ он определил. Поэтому загрузчик также может использоваться для вызова
других ОС, если они установлены на компьютере.
П р и м е ч а н и е . При наличии на компьютере нескольких ОС (или при наличии
нескольких вариантов загрузки), оператор будет иметь возможность выбрать необходимую ОС
(вариант загрузки). В случае если пользователем ни один вариант не был выбран, то по истечении
заданного времени будет загружена ОС (вариант загрузки), заданные по умолчанию.
При стандартной установке ОС «Альт Сервер» в начальном меню загрузчика доступны
несколько вариантов загрузки (Рис. 1): обычная загрузка, загрузка с дополнительными
параметрами (например, «recovery mode» – загрузка с минимальным количеством драйверов),
загрузка в программу проверки оперативной памяти (memtest).
Варианты загрузки
Рис. 1
По умолчанию, если не были нажаты управляющие клавиши на клавиатуре,
загрузка ОС «Альт Сервер» продолжится автоматически после небольшого времени ожидания
(обычно несколько секунд). Нажав клавишу <Enter>, можно начать загрузку немедленно.
9
Для выбора дополнительных параметров загрузки нужно выбрать пункт «Дополнительные
параметры для ALT Server 11.0».
Для выполнения тестирования оперативной памяти нужно выбрать пункт
«Memtest86+-7.20».
Нажатием клавиши <E> можно вызвать редактор параметров загрузчика GRUB и указать
параметры, которые будут переданы ядру ОС при загрузке.
П р и м е ч а н и е . Если при установке системы был установлен пароль на загрузчик
потребуется ввести имя пользователя «boot» и заданный на шаге «Установка загрузчика» пароль.
В процессе загрузки ОС «Альт Сервер» пользователь может следить за информацией
процесса загрузки, которая отображает этапы запуска различных служб и программных серверов в
виде отдельных строк (Рис. 2), на экране монитора.
Загрузка ОС
Рис. 2
При этом каждая строка начинается словом вида [XXXXXXX] (FAILED или OK),
являющегося признаком нормального или ненормального завершения этапа загрузки. Слово
XXXXXXX=FAILED (авария) свидетельствует о неуспешном завершении этапа загрузки, что
требует вмешательства и специальных действий администратора системы.
Загрузка ОС может занять некоторое время, в зависимости от производительности
компьютера. Основные этапы загрузки операционной системы – загрузка ядра, подключение
(монтирование) файловых систем, запуск системных служб – периодически могут дополняться
10
проверкой файловых систем на наличие ошибок. В этом случае время ожидания может занять
больше времени, чем обычно.
2.2 Получение доступа к зашифрованным разделам
В случае если был создан шифрованный раздел, потребуется вводить пароль при
обращении к этому разделу.
Например, если был зашифрован домашний раздел /home, то для того, чтобы войти в
систему, потребуется ввести пароль этого раздела (Рис. 3) и затем нажать <Enter>.
Запрос пароля на зашифрованный раздел
Рис. 3
Если не ввести пароль за отведенный промежуток времени, то загрузка системы завершится
ошибкой. В этом случае следует перезагрузить систему, нажав для этого два раза <Enter>, а затем
клавиши <Ctrl>+<Alt>+<Delete>.
2.3 Вход и работа в системе в консольном режиме
Стандартная установка ОС «Альт Сервер» включает базовую систему, работающую в
консольном режиме.
При загрузке в консольном режиме работа загрузчика ОС «Альт Сервер» завершается
запросом на ввод логина и пароля учетной записи. В случае необходимости на другую консоль
можно перейти, нажав <Ctrl>+<Alt>+<F2>.
П р и м е ч а н и е . Сразу после загрузки в консоли будут показаны имя и IP-адрес
компьютера.
Для дальнейшего входа в систему необходимо ввести логин и пароль учетной записи
пользователя.
В случае успешного прохождения процедуры аутентификации и идентификации будет
выполнен вход в систему. ОС «Альт Сервер» перейдет к штатному режиму работы и предоставит
дальнейший доступ к консоли (Рис. 4).
Приглашение для ввода команд
Рис. 4
11
2.4 Виртуальная консоль
В процессе работы ОС «Альт Сервер» активно несколько виртуальных консолей. Каждая
виртуальная консоль доступна по одновременному нажатию клавиш <Ctrl>, <Alt> и
функциональной клавиши с номером этой консоли от <F1> до <F6>.
На первых шести виртуальных консолях (от <Ctrl>+<Alt>+<F1> до <Ctrl>+<Alt>+<F6>)
пользователь может зарегистрироваться и работать в текстовом режиме. Двенадцатая виртуальная
консоль (<Ctrl>+<Alt>+<F12>) выполняет функцию системной консоли – на нее выводятся
сообщения о происходящих в системе событиях.
Если при установке системы была выбрана графическая оболочка GNOME, то первую
виртуальную консоль (<Ctrl>+<Alt>+<F1>) будет занимать gdm (графический менеджер входа), а
на второй виртуальной консоли (<Ctrl>+<Alt>+<F2>) будет запущена графическая сессия.
2.5 Вход и работа в системе в графическом режиме
В состав ОС «Альт Сервер» также может входить графическая оболочка GNOME.
Графическая оболочка состоит из набора различных программ и технологий, используемых для
управления ОС и предоставляющих пользователю удобный графический интерфейс для работы в
виде графических оболочек и оконных менеджеров.
При загрузке в графическом режиме работа загрузчика ОС заканчивается переходом к окну
входа в систему (Рис. 5)
Окно входа в систему
Рис. 5
12
Для регистрации в системе необходимо выбрать имя пользователя, ввести пароль (Рис. 6),
соответствующий этой учетной записи, затем нажать <Enter>.
Регистрация в системе
Рис. 6
После непродолжительного времени ожидания запустится графическая оболочка
операционной системы.
В результате успешного прохождения процедуры аутентификации и идентификации будет
выполнен вход в систему. ОС «Альт Сервер» перейдет к штатному режиму работы и предоставит
дальнейший доступ к графическому интерфейсу.
Добавлять новых пользователей или удалять существующих можно после загрузки системы
с помощью стандартных средств управления пользователями.
Поскольку работа в системе с использованием учётной записи администратора системы
небезопасна, вход в систему в графическом режиме для суперпользователя root запрещён. Попыт-
ка зарегистрироваться в системе будет прервана сообщением об ошибке.
GNOME поддерживает две графические подсистемы – Wayland и X11 (Xorg). По умолча-
нию в ОС «Альт Сервер» используется Wayland.
Графическую подсистему можно выбрать при входе в систему:
1) в окне ввода пароля нажать значок шестеренки;
2) выбрать графический сервер (Рис. 7):
«GNOME» – для запуска сессии с использованием Wayland;
«GNOME на Xorg» – для запуска сессии с использованием Xorg;
3) войти в систему. GNOME запустится с выбранным графическим сервером.
13
Выбор типа графической сессии
Рис. 7
Просмотреть какой графический сервер используется в сессии можно, выполнив команду:
$ echo $XDG_SESSION_TYPE
wayland
2.6 Рабочий стол GNOME
На рабочем столе GNOME есть две особые области (Рис. 8):
область рабочего стола (рабочая площадь в центре, занимающая большую часть экрана);
панель GNOME (полоса внизу экрана).
Область рабочего стола включает в себя значки:
«Домашняя папка пользователя» – предоставляет доступ к домашнему каталогу пользова-
теля /home/<имя пользователя>. В этой папке по умолчанию хранятся пользователь-
ские файлы (например, аудиозаписи, видеозаписи, документы). Домашняя папка есть у
каждого пользователя системы, и по умолчанию содержащиеся в ней файлы недоступны
для других пользователей (даже для чтения);
«Корзина» – доступ к «удаленным файлам». Обычно удаляемый файл не удаляется из си-
стемы. Вместо этого он помещается в «Корзину». С помощью этого значка можно просмот-
реть или восстановить «удаленные файлы». Чтобы удалить файл из системы, нужно очи-
стить «Корзину». Чтобы очистить «Корзину», необходимо щелкнуть правой кнопкой мыши
по значку «Корзина» и выбрать в контекстном меню пункт «Очистить корзину». Можно
сразу удалить файл из системы, минуя корзину. Для этого необходимо одновременно с уда-
лением файла зажать клавишу <Shift>.
14
Рабочий стол GNOME
Рис. 8
На область рабочего стола можно перетащить файлы и создать ярлыки программ.
Для добавления ярлыка на рабочий стол необходимо открыть «Меню GNOME» и в
контекстном меню нужного приложения выбрать пункт «Создать ярлык на рабочем столе» (Рис.
9).
Создать ярлык на рабочем столе
Рис. 9
15
Панель GNOME (Рис. 10) расположена в нижней части экрана.
Панель GNOME
Рис. 10
На панели GNOME расположены:
основное меню – «Меню GNOME», обеспечивающее доступ ко всем графическим прило-
жениями и изменениям настроек;
кнопка «Обзор»;
«Панель задач» с кнопками избранных приложений;
раскладка клавиатуры;
текущие дата и время;
системное меню для управления звуком, сетевыми соединениями и питанием системы;
кнопка «Показать рабочий стол» – позволяет свернуть (развернуть) все открытые окна на
текущем рабочем месте.
Через «Меню GNOME» (Рис. 11) осуществляется запуск всех приложений, установленных
на компьютер.
Меню GNOME
Рис. 11
П р и м е ч а н и е . Открыть меню также можно, нажав клавишу <Super>.
16
Кнопка «Обзор» позволяет переключаться между режимами «Обзор» и «Рабочий стол».
Режим «Обзор» (Рис. 12) позволяет получить доступ к открытым окнам и приложениям. В этом
режиме для поиска приложений, файлов, папок можно просто начать набирать текст.
Чтобы переключиться на окно, следует в режиме «Обзор» нажать на это окно. Если у вас
открыто несколько виртуальных рабочих столов, можно нажать на любой из них, чтобы
посмотреть, какие окна открыты на этом виртуальном рабочем столе.
Режим «Обзор»
Рис. 12
На панели задач отображаются избранные и запущенные приложения. Для открытия
приложения достаточно щёлкнуть мышью по значку на панели задач. Если приложение уже
запущено, под его значком будет показана белая полоса. Нажатие правой кнопки мыши на значке
открывает меню (Рис. 13), в котором можно выбрать любое из уже открытых окон запущенного
приложения или открыть новое окно.
Меню значка
Рис. 13
17
П р и м е ч а н и е . Для добавления приложения на «Панель приложений» необходимо в
контекстном меню нужного приложения выбрать пункт «Прикрепить к панели приложений» (Рис.
14). Чтобы удалить значок приложения из «Панели приложений», необходимо в контекстном ме-
ню значка приложения выбрать пункт «Открепить».
Добавление приложения на «Панель задач»
Рис. 14
При нажатии на строку даты и времени (<Super>+<V>) открывается календарь со списком
предстоящих событий и уведомлений (Рис. 15).
Нажатие на кнопку, расположенную в правом углу панели, открывает системное меню
(Рис. 16). Системное меню также можно открыть, нажав <Super>+<S>.
В системном меню отображается индикатор состояния батареи и кнопки:
кнопка для запуска инструмента создания снимков экрана;
кнопка для запуска приложения «Настройки GNOME»;
кнопка блокировки сеанса доступа;
кнопка позволяющая приостановить или выключить компьютер, предоставить доступ к
компьютеру другому пользователю без полного выхода из системы.
С помощью ползунков можно регулировать громкость звука или яркость экрана.
Остальная часть меню содержит кнопки быстрых настроек, с помощью которых можно
управлять доступными службами и устройствами (например, Wi-Fi, Bluetooth).
19
«Настройки»;
«Офис»;
«Сеть»;
«Системные».
Этот список обновляется при установке или удалении программ.
Поле «Поиск» позволяет быстро запустить нужное приложение. Для этого достаточно
приступить к вводу названия или описания искомого приложения, по мере ввода символов, в
меню остаются видны только те приложения, которые соответствуют запросу (Рис. 17). Если
объект поиска отсутствует в меню, функция «Поиск» «предложит» другие возможные действия,
например, поиск в файлах ОС или поисковой системе.
Добавление приложения на «Панель задач»
Рис. 17
Если у приложения есть кнопка на панели задач, его можно запустить, нажав эту кнопку.
При нажатии на <Super>+<A> будут показаны значки всех установленных приложений
(Рис. 18).
21
Для запуска приложения также можно нажать <Alt>+<F2>, в открывшемся окне ввести ко-
манду (Рис. 20) и нажать <Enter>.
Установленные приложения
Рис. 20
2.8 Настройка параметров GNOME
Самые широкие возможности по настройке графической среды GNOME предлагает диалог
«Настройки GNOME» (Рис. 21). Здесь можно изменять фон рабочего стола, внешний вид, а также
настраивать различные системные параметры.
Настройки GNOME
Рис. 21
«Настройки GNOME» можно запустить как любое другое приложение (см. «Запуск прило-
жений»). «Настройки GNOME» также можно запустить из системного меню, нажав на значок «На-
стройка», или из командной строки:
$ gnome-control-center
22
2.9 Полезные комбинации клавиш
В GNOME есть множество полезных сочетаний клавиш, которые ускоряют работу с систе-
мой. В талицах Таблица 1 – Таблица 4 приведён обзор комбинаций клавиш, которые помогут бо-
лее эффективно использовать рабочий стол и приложения.
Т а б л и ц а 1 – Управление рабочим столом
Комбинация клавиш Описание
<Super> Показать/скрыть меню GNOME
<Super>+<A> Показать экран приложений
<Super>+<Page Up>
<Super>+<Page Down>
Переключение между рабочими пространствами
<Super>+<Shift>+<←>
<Super>+<Shift>+<→>
Переместить текущее окно на другой монитор
<Super>+<L> Блокировка экрана
<Super>+<V> Показать календарь и список уведомлений
<Super>+<S> Показать системное меню
<Alt>+<F2> Открыть окно для запуска команд (в окне можно использовать
стрелки)
Т а б л и ц а 2 – Управление окнами
Комбинация клавиш Описание
<Alt>+<F4> Закрыть окно
<Super>+<H> Свернуть окно
<Super>+<↑> Развернуть окно
<Super>+<↓> Восстановить размер
<Super>+<←>
<Super>+<→>
Переместить окно влево/вправо (половина экрана)
<Super>+<Tab> Переключение между окнами
<Super>+<Shift>+<Tab> Переключение между окнами в обратном порядке
<Super>+<`> Переключение между окнами одного приложения
Т а б л и ц а 3 – Общие комбинации клавиш для редактирования
Комбинация клавиш Описание
<Ctrl>+<A> Выделение всего текста или всех объектов в списке
<Ctrl>+<X> Вырезать (удалить) выделенный текст или объекты и поместить
их в буфер обмена
<Ctrl>+<C> Копировать выделенный текст или объекты в буфер обмена
<Ctrl>+<V> Вставить содержимого буфера обмена
<Ctrl>+<Z> Отменить последнее выполненное действие
<Ctrl>+<Shift>+<C> Копировать в терминале (консоли) выделенный текст или ко-
манду в буфер обмена
<Ctrl>+<Shift>+<V> Вставить содержимое буфера обмена в терминал (консоль)
Т а б л и ц а 4 – Снимки и запись экрана
Комбинация клавиш Описание
<PrtSc> (Print Screen) Запуск инструмента создания снимков экрана
<Alt>+<PrtSc> Сделать снимок активного окна
<Shift>+<PrtSc> Сделать снимок всего экрана
<Shift>+<Ctrl>+<R> Запись экрана (включить/выключить)
24
3 НАСТРОЙКА СИСТЕМЫ
3.1 Центр управления системой
Для управления настройками установленной системы можно использовать Центр управле-
ния системой. Центр управления системой (ЦУС) представляет собой удобный интерфейс для вы-
полнения наиболее востребованных административных задач: добавление и удаление пользова-
телей, настройка сетевых подключений, просмотр информации о состоянии системы и т.п. ЦУС
включает также веб-ориентированный интерфейс, позволяющий управлять сервером с любого
компьютера сети.
Центр управления системой состоит из нескольких независимых диалогов-модулей.
Каждый модуль отвечает за настройку определённой функции или свойства системы. Модули
центра управления системой имеют справочную информацию.
3.1.1 Применение ЦУС
ЦУС можно использовать для разных целей, например:
настройки даты и времени;
управления системными службами;
просмотра системных журналов;
управления выключением удаленного компьютера (доступно только в веб-интерфейсе);
настройки ограничений выделяемых ресурсов памяти пользователям (квоты): («Использо-
вание диска»);
настройки ограничений на использование внешних носителей (доступно только в веб-
интерфейсе);
конфигурирования сетевых интерфейсов;
настройки межсетевого экрана;
изменения пароля администратора системы (root);
создания, удаления и редактирования учётных записей пользователей.
3.1.2 Запуск ЦУС в графической среде
ЦУС можно запустить следующими способами:
в графической среде GNOME: «Меню GNOME» → «Настройки» → «Центр управления си-
стемой»;
нажав кнопку , расположенную на панели задач;
из командной строки: командой acc.
По умолчанию запускается «Alterator на D-Bus» (Рис. 23) – альтернативная реализация
ЦУС, основанная на взаимодействии модулей и шины D-Bus (см. «Alterator на D-Bus»).
25
Alterator на D-Bus
Рис. 23
Для запуска ЦУС в ОС «Альт Сервер» по умолчанию достаточно прав системного пользо-
вателя. Часть модулей ЦУС допускают работу под такими правами, например, модуль «О систе-
ме». Для доступа к модулям, требующим административных привилегий, будет запрошен пароль
администратора системы (Рис. 24). В некоторых случаях пароль администратора системы потребу-
ется ввести для выполнения отдельных действий (например, для удаления или установки пакета).
Запрос пароля администратора
Рис. 24
26
При необходимости можно переключиться на предыдущую версию Alterator («Alterator
legacy»), для этого необходимо нажать кнопку «Переключиться на старую версию».
При запуске «Alterator legacy» будет запрошен пароль администратора системы (root) (Рис.
25) и после успешного входа запущен Alterator (Рис. 26).
Запуск «Alterator legacy»
Рис. 25
Центр управления системой («Alterator legacy»)
Рис. 26
П р и м е ч а н и е . Запустить «Alterator legacy» можно, выполнив команду:
$ acc-legacy
27
3.1.3 Использование веб-ориентированного ЦУС
ЦУС имеет веб-ориентированный интерфейс, позволяющий управлять данным компьюте-
ром с любого другого компьютера сети.
3.1.3.1 Установка
Веб-интерфейс ЦУС будет доступен в системе, если при установке системы были выбраны
группы приложений «Поддержка графической подсистемы (GNOME)» или «Поддержка управле-
ния через web-интерфейс».
Веб-интерфейс ЦУС можно установить, установив компонент alterator-legacy-web или па-
кет alterator-fbi.
Перед установкой можно проверить статус компонента:
$ alteratorctl components status alterator-legacy-web
Компонент: Web-интерфейс - Альтератор (legacy)
Категория: Альтератор (legacy)
Статус: не установлен
Список пакетов, входящих в компонент:
[ ] alterator-fbi
Если компонент не установлен, необходимо установить его, выполнив команду:
# alteratorctl components install alterator-legacy-web
После установки компонента необходимо запустить веб-службу сервера ЦУС:
# systemctl enable --now ahttpd.service
3.1.3.2 Запуск
Работа с ЦУС может происходить из любого веб-браузера. Для начала работы необходимо
перейти по адресу https://ip-адрес:8080/.
Например, для сервера задан IP-адрес 192.168.0.122. В таком случае:
интерфейс управления будет доступен по адресу: https://192.168.0.122:8080/
документация по дистрибутиву будет доступна по адресу: https://192.168.0.122/
IP-адрес сервера можно узнать, введя команду:
$ ip addr
IP-адрес будет указан после слова inet:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state
UP qlen 1000
28
link/ether 60:eb:69:6c:ef:47 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.122/24 brd 192.168.0.255 scope global enp0s3
Тут видно, что на интерфейсе enp0s3 задан IP-адрес 192.168.0.122.
При запуске ЦУС необходимо ввести в соответствующие поля имя пользователя (root) и
пароль пользователя root (Рис. 27).
Запуск веб-ориентированного центра управления системой
Рис. 27
После этого будут доступны все возможности ЦУС на той машине, к которой было произ-
ведено подключение через веб-интерфейс.
Веб-интерфейс ЦУС можно настроить (кнопка «Настройка»), выбрав один из режимов:
основной режим;
режим эксперта.
Выбор режима влияет на количество отображаемых модулей. В режиме эксперта отобража-
ются все модули, а в основном режиме только наиболее используемые.
ЦУС содержит справочную информацию по включённым в него модулям. Об использова-
нии самого интерфейса системы управления можно прочитать, нажав на кнопку «Справка» на на-
чальной странице ЦУС (Рис. 28).
После работы с ЦУС, в целях безопасности, не следует оставлять открытым браузер. Необ-
ходимо обязательно выйти из сеанса работы с ЦУС, нажав на кнопку «Выйти».
Подробнее об использовании ЦУС можно узнать в главе «Средства удаленного админи-
стрирования».
29
Веб-ориентированный центр управления системой
Рис. 28
3.1.4 Модули ЦУС
Установленные пакеты, которые относятся к ЦУС, можно посмотреть, выполнив команду:
$ rpm -qa | grep alterator*
Пакеты для ЦУС можно найти, выполнив команду:
$ apt-cache search alterator*
Модули можно дополнительно загружать и удалять как обычные программы:
# apt-get install alterator-net-openvpn
# apt-get remove alterator-net-openvpn
Установленные компоненты, относящиеся к ЦУС, можно просмотреть, выполнив команду:
$ alteratorctl components list -i |grep alterator
Все компоненты ЦУС можно найти, выполнив команду:
$ alteratorctl components list | grep alterator
│ └─[*] Альтератор (alterator)
│ └─[*] Альтератор - базовое управление системой (alterator-base)
30
│ ├─[~] Альтератор (alterator)
│ │ ├─[~] Альтератор (legacy) (alterator-legacy)
│ │ │ ├─[ ] Web-интерфейс - Альтератор (legacy) (alterator-legacy-
web)
│ │ │ ├─[ ] Альтератор - графический браузер (legacy) (alterator-
browser)
│ │ │ ├─[~] Базовое системное управление - Альтератор (legacy)
(alterator-legacy-system)
│ │ │ │ ├─[ ] USBGuard - Альтератор (legacy) (alterator-legacy-
usbguard)
│ │ │ │ ├─[ ] USB mount - Альтератор (legacy) (alterator-legacy-
usbmount)
…
Пример установки компонента alterator-legacy-usbguard:
# alteratorctl components install alterator-legacy-usbguard
П р и м е ч а н и е . После установки модуля, у которого есть веб-интерфейс, для того чтобы
он отобразился в веб-интерфейсе, необходимо перезапустить службу ahttpd:
# systemctl restart ahttpd
3.2 Настройка сети
3.2.1 NetworkManager
Для управления настройками сети в ОС «Альт Сервер» может использоваться программа
NetworkManager. NetworkManager позволяет подключаться к различным типам сетей: проводные,
беспроводные, мобильные, VPN и DSL, а также сохранять эти подключения для быстрого доступа
к сети.
NetworkManager доступен как апплет, находящийся в системном меню.
В системном меню есть две кнопки «Проводное» и Wi-Fi», которые отображают состояние
(включено/отключено) соответственно проводного и беспроводного соединения. (Рис. 29). Нажа-
тие на кнопку меняет состояние соответствующего соединения.
Для подключения к беспроводной сети, необходимо нажать на стрелку рядом с кнопкой
«Wi-Fi». Будет раскрыт раздел Wi-Fi, в котором можно выбрать нужную Wi-Fi сеть: (Рис. 30).
П р и м е ч а н и е . При подключении к беспроводной сети в первый раз может понадобиться
указать некоторые сведения о защите сети (например, указать аутентификационные данные).
31
Системное меню
Рис. 29
Выбор Wi-Fi сети
Рис. 30
32
При нажатии на стрелку рядом с кнопкой «Проводное» открывается окно с выбором до-
ступных проводных подключений (Рис. 31). Для того чтобы просмотреть информацию о сетевом
соединении или изменить его настройки, следует нажать кнопку «Настройки подключения». Будет
открыт модуль «Сеть» настроек GNOME (Рис. 32).
Проводные подключения
Рис. 31
Модуль «Сеть»
Рис. 32
33
Для просмотра/изменения настроек необходимо нажать кнопку «Параметры сети» . В
открывшемся окне можно просмотреть настройки сетевого интерфейса (Рис. 33).
П р и м е ч а н и е . Для соединения Wi-Fi кнопка будет расположена рядом с активной се-
тью.
Настройки сетевого интерфейса
Рис. 33
П р и м е ч а н и е . NetworkManager под именем «System enp0s3» показывает системное
Ethernet-соединение, создаваемое Etcnet. Изменить его в модуле «Сеть» невозможно. Это соедине-
ние можно изменить в ЦУС, там же можно выбрать, какой именно интерфейс, какой подсистемой
обслуживается (подробнее о выборе сетевой подсистемы рассказано в разделе «Конфигурирова-
ние сетевых интерфейсов»).
3.2.2 Настройка в ЦУС
Настройку сети можно выполнить в ЦУС в разделе «Сеть» → «Ethernet интерфейсы». Здесь
можно задать как глобальные параметры сети (адрес сервера DNS, имя компьютера), так и на-
стройки конкретного сетевого интерфейса.
Подробнее о настройке сетевых интерфейсов в ЦУС рассказано в разделе «Конфигурирова-
ние сетевых интерфейсов».
34
3.3 Центр приложений
Центр приложений позволяет легко устанавливать и удалять программы из репозиториев
«Альт», совместимых с вашим дистрибутивом. Центр приложений позволяет выполнять поиск по
названиям и описаниям среди доступных приложений.
Для запуска «Центра приложений» следует выбрать «Меню GNOME» → «Системные» →
«Центр приложений».
Вся информация распределена по трем вкладкам (Рис. 34):
на вкладке «Обзор» показаны доступные приложения;
вкладка «Установлено» позволяет просматривать и удалять установленные приложения
(Рис. 35);
на вкладке «Обновления» показана информация о статусе обновления программного обес-
печения.
Центр приложений
Рис. 34
35
Центр приложений. Вкладка «Установлено»
Рис. 35
3.3.1 Установка/удаление программ
На вкладке «Обзор» доступные приложения разбиты на категории. Чтобы найти приложе-
ние, можно выбрать категорию приложения.
Быстро найти необходимое приложение можно используя поиск. Строка поиска открывает-
ся, при нажатии на кнопку в виде лупы, расположенную в левом верхнем углу «Центра приложе-
ний». В строке поиска нужно ввести название приложения (Рис. 36).
Центр приложений. Поиск приложения
Рис. 36
При выборе приложения, в детальном просмотре, доступны кнопки «Установить»/«Запу-
стить»/«Удалить» (в зависимости от того установлено данное приложение или нет), выводятся
снимки экрана, полное описание, а также пользовательские комментарии (Рис. 37). Чтобы устано-
вить какое-либо приложение сначала нужно его найти, затем выбрать из списка и нажать на кноп-
ку «Установить».
36
Центр приложений. Детальный просмотр приложения «Gimp»
Рис. 37
Чтобы установить приложение нужно нажать на кнопку «Установить».
П р и м е ч а н и е . Для удаления программ потребуется ввести пароль пользователя root.
Список подключенных репозиториев можно просмотреть, нажав на кнопку
дополнительных сведений (Рис. 38) и выбрав пункт «Репозитории ПО».
Центр приложений. Кнопка дополнительных сведений
Рис. 38
37
3.3.2 Обновление системы
При наличии обновлений установленных приложений рядом с кнопкой «Обновления» по-
является индикатор обновления (в скобках будет указано количество доступных обновлений).
По умолчанию обновления проверяются и загружаются в автоматическом режиме, а уста-
навливаются при выключении компьютера.
На вкладке «Обновления» можно просмотреть информацию о статусе обновления про-
граммного обеспечения (Рис. 39).
Центр приложений. Вкладка «Обновления»
Рис. 39
Проверить наличие доступных обновлений можно, нажав на кнопку .
Чтобы просмотреть список обновляемых пакетов (Рис. 40), следует дважды щелкнуть мы-
шью по строке «Обновление системы».
Список обновлений
Рис. 40
38
Можно вручную запустить установку обновлений, нажав кнопку «Перезапустить и обно-
вить».
Нажав на кнопку дополнительных сведений (Рис. 38) и выбрав пункт «Параметры» можно
изменить настройки обновления системы (Рис. 41).
Центр приложений. Настройка обновления ПО
Рис. 41
Если выбран ручной способ проверки обновлений, нужно вручную запускать загрузку об-
новлений (кнопка «Загрузить») (Рис. 42).
Кнопка «Загрузить»
Рис. 42
39
4 ALTERATOR НА D-BUS
4.1 Alteratorctl
alteratorctl является компонентом новой реализации проекта Альтератор, Alterator на D-Bus.
Приложение имеет модульную структуру. Каждый модуль предназначен для работы с опре-
деленным интерфейсом объектов на D-Bus. Запуск модулей осуществляется при помощи команды:
$ alteratorctl <имя_модуля> <команда_модуля>
Справку по каждому модулю можно получить, выполнив команду:
$ alteratorctl <имя_модуля> -h
Список модулей можно просмотреть, выполнив команду:
$ alteratorctl -m
manager
editions
components
diag
packages
systeminfo
4.1.1 Модуль manager
Модуль manager использует интерфейс org.altlinux.alterator.manager объекта /org/altlinux/
alterator.
4.1.2 Модуль editions
Модуль editions использует интерфейс org.altlinux.alterator.editions объектов из пакетов с
редакциями.
Модуль предоставляет возможность выбора редакции и получения информации о составе
доступных к выбору редакций.
П р и м е ч а н и е . Для работы некоторых команд модуля могут потребоваться права админи-
стратора.
Примеры использования модуля:
вывести список доступных редакций (звёздочкой отмечена текущая редакция):
$ alteratorctl editions
Альт Домен (edition_domain)
* Альт Сервер (edition_server)
отобразить текущую редакцию:
$ alteratorctl editions get
40
edition_server
вывести информацию о лицензии текущей редакции:
$ alteratorctl editions license
вывести информацию о лицензии редакции «Альт Домен»:
$ alteratorctl editions license edition_domain
установить редакцию Альт Домен:
$ alteratorctl editions set edition_domain
==== AUTHENTICATING FOR org.altlinux.alterator.current-
edition1.Set ====
org.altlinux.alterator.current-edition1.License requires authen-
tication.
Authenticating as: System Administrator (root)
Password:
==== AUTHENTICATION COMPLETE ====
П р и м е ч а н и е . Переключение редакции – это безопасная операция, при которой установ-
ка или удаление компонентов не выполняется. После смены редакции можно выбрать компонен-
ты, входящие в базовый раздел, и установить их, используя графический (alt-components) или кон-
сольный (alteratorctl components) инструмент.
4.1.3 Модуль components
Модуль components использует интерфейс org.altlinux.alterator.component1 объектов уста-
новленных компонентов.
Компонент – набор пакетов, предоставляющих определённую функциональность, и некото-
рую последовательность действий (deploy) для их конфигурации.
Модуль позволяет:
просматривать список компонентов;
просматривать информацию о компонентах (статус, описание, состав);
устанавливать/удалять компоненты.
П р и м е ч а н и е . Для работы некоторых команд модуля могут потребоваться права админи-
стратора.
Примеры использования модуля:
вывести компоненты в виде дерева с псевдографикой:
$ alteratorctl components -g
вывести компоненты в виде простого дерева:
$ alteratorctl components -t
вывести список компонентов с отображением их имён, а не только имён объектов:
$ alteratorctl components -l --show-display-name
вывести пути объектов компонентов на D-Bus в виде дерева с псевдографикой:
41
$ alteratorctl components list -p
вывести список установленных компонентов:
$ alteratorctl components list -l -i
вывести список неустановленных компонентов:
$ alteratorctl components list -l -u
вывести описание компонента samba-dc:
$ alteratorctl components description samba-dc
Компонент samba-dc
Контроллер домена (Active Directory).
Обеспечивает централизованное управление учётными записями поль-
зователей,
доступ к сетевым ресурсам, а также безопасность корпоративной се-
ти.
установить компонент samba-dc:
$ alteratorctl components install samba-dc
==== AUTHENTICATING FOR org.altlinux.alterator.apt1.Update ====
org.altlinux.alterator.apt1.Update requires authentication.
Authenticating as: System Administrator (root)
Password:
==== AUTHENTICATION COMPLETE ====
Устанавливаемые пакеты:
bind-utils
task-samba-dc
samba-winbind-clients
==== AUTHENTICATING FOR org.altlinux.alterator.apt1.Install ====
org.altlinux.alterator.apt1.Install requires authentication.
Authenticating as: System Administrator (root)
Password:
==== AUTHENTICATION COMPLETE ====
удалить компонент samba-dc:
$ alteratorctl components remove samba-dc
4.1.4 Модуль diag
Модуль diag использует интерфейс org.altlinux.alterator.diag1 объектов установленных
инструментов диагностики.
4.1.5 Модуль packages
Модуль packages использует интерфейсы org.altlinux.alterator.rpm1, org.altlinux.alterator.apt1,
org.altlinux.alterator.repo объектов /org/altlinux/alterator/rpm, /org/altlinux/alterator/apt, /org/altlinux/
alterator/repo соответственно.
П р и м е ч а н и е . Для работы некоторых команд модуля могут потребоваться права админи-
стратора.
42
Примеры использования модуля:
вывести список подключенных репозиториев:
$ alteratorctl packages repo list
rpm [p11] http://ftp.altlinux.org/pub/distributions/ALTLinux
p11/branch/noarch classic
rpm [p11] http://ftp.altlinux.org/pub/distributions/ALTLinux
p11/branch/x86_64 classic
rpm [p11] http://ftp.altlinux.org/pub/distributions/ALTLinux
p11/branch/x86_64-i586 classic
установить пакет alterator-usbguard:
$ alteratorctl packages apt install alterator-usbguard
==== AUTHENTICATING FOR org.altlinux.alterator.apt1.Install ====
org.altlinux.alterator.apt1.Install requires authentication.
Authenticating as: System Administrator (root)
Password:
==== AUTHENTICATION COMPLETE ====
вывести список файлов установленного пакета:
$ alteratorctl packages rpm files alterator-usbguard
/etc/usbguard/android_vidpid.json
/usr/lib/alterator/backend3/usbguard
/usr/share/alterator/applications/USBGuard.desktop
/usr/share/alterator/design/scripts/alt-usb-guard.js
/usr/share/alterator/design/styles/alt_usb_guard.css
/usr/share/alterator/help/ru_RU/usbguard.html
/usr/share/alterator/ui/usbguard/ajax.scm
/usr/share/alterator/ui/usbguard/index.html
/usr/share/locale/ru/LC_MESSAGES/alterator-usbguard.mo
вывести информацию о пакете:
$ alteratorctl packages rpm packageinfo alterator-usbguard
Name : alterator-usbguard
Version : 0.2.2
Release : alt1
DistTag : p11+374626.100.4.1
Architecture: x86_64
Install Date: Вт 08 апр 2025 17:40:36
Group : System/Configuration/Other
Size : 567749
License : GPLv2+
Signature : RSA/SHA512, Вт 25 фев 2025 16:44:24, Key ID
e1130f0e925e1ff4
Source RPM : alterator-usbguard-0.2.2-alt1.src.rpm
Build Date : Вт 25 фев 2025 16:44:20
Build Host : proskur-p11.hasher.altlinux.org
Relocations : (not relocatable)
Packager : Oleg Proskurin <proskur@altlinux.org>
Vendor : ALT Linux Team
43
URL :
https://gitlab.basealt.space/proskurinov/alterator_usbguard
Summary : alterator module to control usb devices
Description :
Alterator Module to control USB devices via USBGuard
вывести список всех установленных пакетов:
$ alteratorctl packages rpm list
переустановить пакет:
$ alteratorctl packages apt reinstall alterator-usbguard
==== AUTHENTICATING FOR org.altlinux.alterator.apt1.Reinstall
====
org.altlinux.alterator.apt1.Reinstall requires authentication.
Authenticating as: System Administrator (root)
Password:
==== AUTHENTICATION COMPLETE ====
4.1.6 Модуль systeminfo
Модуль systeminfo использует интерфейс org.altlinux.alterator.systeminfo1 объекта
/org/altlinux/alterator/systeminfo.
Примеры использования модуля:
вывести основную информацию о системе:
$ alteratorctl systeminfo
вывести информацию о центральном процессоре:
$ alteratorctl systeminfo cpu
12th Gen Intel(R) Core(TM) i7-1255U (2) 2611Hz
вывести название ОС:
$ alteratorctl systeminfo name
ALT Server 11.0 (Mendelevium)
вывести название ветки ОС:
$ alteratorctl systeminfo branch
p11
4.2 Системная информация
Модуль «Системная информация» (alt-systeminfo) – модуль альтератора, предоставляющий
информацию о системе.
4.2.1 Запуск
Модуль «Системная информация» можно запустить следующими способами:
из ЦУС: модуль «О системе» или «Информация о системе» из раздела «Система» (выбор
модуля определяет, на какой вкладке будет открыто приложение);
из командной строки: командой alt-systeminfo.
44
4.2.2 Работа с модулем
Модуль представляет собой окно с тремя вкладками (Рис. 43).
Модуль «Системная информация»
Рис. 43
На вкладке «О системе» отображается основная информация о дистрибутиве. Здесь также
можно просмотреть лицензию текущей редакции (кнопка «Лицензия») или изменить редакцию.
Редакция – набор компонентов в составе дистрибутива. Редакция определяет список сопро-
вождаемых компонентов, входящих в продукт.
Для смены редакции необходимо нажать кнопку «Изменить» в строке «Редакция» рядом с
названием текущей редакции. Появится окно со списком возможных редакций и их описанием
(Рис. 44).
После выбора редакции необходимо нажать кнопку «Далее». Появится окно с лицензион-
ным соглашением. Перед продолжением работы следует внимательно прочитать условия лицен-
зии и, в случае согласия с условиями лицензии, установить отметку в пункте «Да, я согласен с
условиями» и нажать кнопку «Завершить» (Рис. 45).
46
Подтверждение подлинности
Рис. 46
В результате редакция сменится на выбранную.
П р и м е ч а н и е . Переключение редакции – это безопасная операция, при которой установ-
ка или удаление компонентов не выполняется. После смены редакции можно выбрать компонен-
ты, входящие в базовый раздел, и установить их, используя графический (alt-components) или кон-
сольный (alteratorctl components) инструмент.
Вкладка «Информация о дистрибутиве» содержит полезные ссылки на интернет-ресурсы.
Некоторые ссылки адаптируются в соответствии с выбранной редакцией (Рис. 47).
Вкладка «Полезная информация»
Рис. 47
На вкладке «Локальные настройки» находятся кнопки для перехода к настройкам системы
(Рис. 48).
47
Вкладка «Локальные настройки»
Рис. 48
4.3 «Альт Компоненты»
«Альт Компоненты» (alt-components) – приложение с графическим интерфейсом для
управления наборами пакетов, называемых компонентами.
Использование компонентов позволяет работать с функциональными подсистемами без
необходимости самостоятельного поиска отдельных пакетов. Для работы достаточно выбрать
желаемый компонент, после чего alt-components установит недостающие пакеты или удалит
избыточные. Приложение ориентировано на корпоративную инфраструктуру.
П р и м е ч а н и е . Для корректной работы alt-components требуется apt,
сконфигурированный на работу с репозиториями, содержащими необходимые RPM-пакеты и
доступ к этим репозиториям.
4.3.1 Запуск
«Альт Компоненты» (Рис. 49) можно запустить следующими способами:
из ЦУС: модуль «Управление компонентами» из раздела «Компоненты и приложения»;
из командной строки: командой alt-components.
48
«Альт Компоненты»
Рис. 49
4.3.2 Работа с компонентами
Компоненты разделены на разделы:
«Базовые компоненты» – определяют минимальный состав продукта;
«Основные компоненты» – могут быть доустановлены под конкретную задачу;
«Другие компоненты» – дополнительные компоненты.
Список компонентов в разделе – группа пакетов, объединенных для выполнения опреде-
ленной задачи.
Перечень компонентов в базовом и основном разделе зависит от выбранной редакции.
Чтобы раскрыть список компонентов в категории, необходимо дважды нажать на название
категории. Для того чтобы просмотреть описание компонента, следует дважды щелкнуть мышью
по названию компонента. При этом в соответствующих секциях будут показаны описание
компонента и его пакеты (Рис. 50).
49
Описание и пакеты компонента
Рис. 50
Чтобы установить/удалить компонент или все компоненты одной категории, необходимо
выполнить следующие действия:
1) установить/снять отметку в поле рядом с компонентом, который необходимо
установить/удалить, или рядом с категорией, если действия будут производиться со всеми
компонентами категории (Рис. 51) и нажать кнопку «Применить»;
2) будут показаны изменения, который произойдут в пакетной базе (список устанавливаемых
и удаляемых пакетов). Для продолжения работы необходимо нажать кнопку «ОК» (Рис.
52);
3) в открывшемся окне (Рис. 53) ввести пароль администратора системы (root).
50
Установка компонента
Рис. 51
Измнения в пакетной базе
Рис. 52
51
Подтверждение подлинности
Рис. 53
4.4 Приложение «Пакеты»
Приложение «Пакеты» (alt-packages) – модуль альтератора, позволяющий управлять
репозиториями APT и пакетами при помощи RPM и APT.
4.4.1 Запуск
«Пакеты» (Рис. 49) можно запустить следующими способами:
из ЦУС: модули «APT», «RPM» или «Repo» из раздела «Компоненты и приложения» (вы-
бор модуля определяет, на какой вкладке будет открыто приложение);
из командной строки: командой alterator-application-packages.
4.4.2 Управление репозиториями (вкладка «Repo»)
На вкладке «Repo» можно просмотреть актуальный список репозиториев (Рис. 54).
Вкладка «Repo»
Рис. 54
52
Для удаления репозиториев необходимо выделить удаляемые репозитории (Рис. 55) и на-
жать кнопку «Удалить выбранные репозитории». В открывшемся окне (Рис. 56) необходимо вве-
сти пароль администратора системы (root).
Кнопка «Удалить выбранные репозитории»
Рис. 55
Подтверждение подлинности для удаления репозиториев
Рис. 56
Для добавления репозитория необходимо:
1) нажать кнопку «Новый репозиторий»;
2) в открывшемся окне ввести адрес (Рис. 57) или название репозитория (Рис. 58) и нажать
кнопку «ОК»;
3) ввести пароль администратора системы (Рис. 59). Репозитории будут добавлены в список
(Рис. 60).
53
Добавление репозитория
Рис. 57
Добавление стандартного репозитория
Рис. 58
Подтверждение подлинности для добавления репозиториев
Рис. 59
Список репозиториев
Рис. 60
54
4.4.3 Управление пакетами (вкладка «APT»)
На вкладке «APT» можно просмотреть список установленных и доступных пакетов (Рис.
61), а также устанавливать и удалять пакеты.
Вкладка «APT»
Рис. 61
Текущее состояние пакета можно определить по полю, расположенному рядом с названием
пакета:
в поле установлена отметка – пакет установлен;
поле пустое – пакет не установлен.
Для поиска пакета по названию можно воспользоваться строкой поиска (ввести искомый
текст и нажать <Enter>).
П р и м е ч а н и е . Перед тем как устанавливать пакет, необходимо нажать на кнопку «Син-
хронизировать список пакетов», для того чтобы скачать список самых последних версий ПО.
Для установки/удаления пакета необходимо:
1) установить/снять отметку в поле, расположенном рядом с названием пакета и нажать кноп-
ку «Применить» (Рис. 62);
2) будет показан список изменений, который произойдет при установке пакета. Для подтвер-
ждения согласия следует нажать кнопку «Применить» (Рис. 63);
3) ввести пароль администратора системы (Рис. 64);
4) откроется окно, в котором будет отображаться ход выполнения транзакций (Рис. 65).
55
Пакет, отмеченный для установки
Рис. 62
Список изменений
Рис. 63
56
Подтверждение подлинности для установки/удаления пакетов
Рис. 64
Установка пакетов
Рис. 65
Для обновления всех пакетов, установленных в системе, необходимо нажать кнопку «Обно-
вить систему».
4.4.4 Управление RPM-пакетами (вкладка «RPM»)
На вкладке «RPM» можно просмотреть информацию об установленных пакетах (Рис. 66), а
также установить RPM-пакет из RPM-файла.
Для поиска пакета по названию можно воспользоваться строкой поиска (ввести искомый
текст и нажать <Enter>).
58
Список файлов пакета
Рис. 68
Для установки RPM-пакета из файла необходимо нажать кнопку «Установить из файла»,
выбрать файл пакета и подтвердить подлинность, введя пароль администратора.
П р и м е ч а н и е . При удалении пакета или при установке пакета из RPM-файла система не
устанавливает зависимости пакета.
П р и м е ч а н и е . RPM-файлы из непроверенных источников могут содержать вредоносный
код.
59
5 СРЕДСТВА УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ
Компьютер с ОС «Альт Сервер» в сети организации может быть использован для решения
различных задач. Он может предоставлять компьютерам сети общий доступ в Интернет,
выступать в роли почтового сервера, файлового хранилища, веб-сервера и т.д. Все эти
возможности обеспечиваются соответствующими службами, запускаемыми на сервере.
Дальнейшие разделы описывают некоторые возможности использования
ОС «Альт Сервер», настраиваемые в ЦУС.
5.1 Настройка подключения к Интернету
Помимо множества различных служб, которые ОС «Альт Сервер» может предоставлять
компьютерам сети, важно определить, будет ли сервер предоставлять общий доступ в Интернет
для компьютеров домена или нет. В зависимости от этого сервер можно рассматривать как:
Сервер без подключения к сети Интернет – это сервер с одним сетевым интерфейсом (од-
ной сетевой картой), который и связывает его с компьютерами локальной сети. Такой сер-
вер называется также сервер рабочей группы.
Шлюз – в этом случае сервер обычно имеет два сетевых интерфейса (например, две сетевые
карты), одна из которых служит для подключения к локальной сети, а другая – для подклю-
чения к сети Интернет.
Как для обеспечения доступа в сеть Интернет самого сервера, так и для настройки общего
выхода в Интернет для компьютеров сети необходимо настроить подключение к Интернету на
самом сервере. ОС «Альт Сервер» поддерживает самые разные способы подключения к сети Ин-
тернет:
Ethernet;
PPTP;
PPPoE;
и т.д.
Для настройки подключения можно воспользоваться одним из разделов ЦУС «Сеть»:
Ethernet-интерфейсы;
PPTP-соединения;
PPPoE-соединения;
OpenVPN-соединения.
5.1.1 Конфигурирование сетевых интерфейсов
Конфигурирование сетевых интерфейсов осуществляется в модуле ЦУС «Ethernet-интер-
фейсы» (пакет alterator-net-eth) из раздела раздел «Сеть» (Рис. 69).
60
Настройка модуля «Ethernet-интерфейсы»
Рис. 69
В модуле «Ethernet-интерфейсы» можно заполнить следующие поля:
«Имя компьютера» – указать сетевое имя компьютера (это общий сетевой параметр, не
привязанный к какому либо конкретному интерфейсу);
«Интерфейсы» – выбрать доступный сетевой интерфейс, для которого будут выполняться
настройки;
«Версия протокола IP» – указать в выпадающем списке версию используемого протокола
IP (IPv4, IPv6) и убедиться, что пункт «Включить», обеспечивающий поддержку работы
протокола, отмечен;
«Конфигурация» – выбрать способ назначения IP-адресов (службы DHCP, Zeroconf, вруч-
ную);
«IP-адреса» – пул назначенных IP-адресов из поля «Добавить ↑ IP», выбранные адреса мож-
но удалить нажатием кнопки «Удалить»;
«Добавить ↑ IP» – ввести IP-адрес вручную и выбрать в выпадающем поле предпочтитель-
ную маску сети, затем нажать кнопку «Добавить» для переноса адреса в пул поля «IP-адре-
са»;
61
«Шлюз по умолчанию» – в поле для ввода необходимо ввести адрес шлюза, который будет
использоваться сетью по умолчанию;
«DNS-серверы» – в поле для ввода необходимо ввести список предпочтительных DNS-сер-
веров, которые будут получать информацию о доменах, выполнять маршрутизацию почты
и управлять обслуживающими узлами для протоколов в домене;
«Домены поиска» – в поле для ввода необходимо ввести список предпочтительных доме-
нов, по которым будет выполняться поиск.
«IP-адрес» и «Маска сети» – обязательные параметры каждого узла IP-сети. Первый
параметр – уникальный идентификатор машины, от второго напрямую зависит, к каким машинам
локальной сети данная машина будет иметь доступ. Если требуется выход во внешнюю сеть, то
необходимо указать параметр «Шлюз по умолчанию».
В случае наличия DHCP-сервера можно все вышеперечисленные параметры получить
автоматически – выбрав в списке «Конфигурация» пункт «Использовать DHCP» (Рис. 70).
Автоматическое получение настроек от DHCP сервера
Рис. 70
Дополнительно для каждого интерфейса можно настроить сетевую подсистему
(NetworkManager, Etcnet, systemd-networkd), а также должен ли запускаться данный интерфейс при
загрузке системы (Рис. 71).
62
П р и м е ч а н и е . Список доступных сетевых подистем зависит от пакетов, выбранных на
этапе «Установка системы» (группа пакетов «Система управления сетевыми интерфейсами»).
Выбор сетевой подсистемы
Рис. 71
В списке «Сетевая подсистема» можно выбрать следующие режимы:
«Etcnet» – в этом режиме настройки берутся исключительно из файлов, находящихся в ка-
талоге настраиваемого интерфейса /etc/net/ifaces/<интерфейс>. Настройки сети
могут изменяться либо в ЦУС в данном модуле, либо напрямую через редактирование
файлов /etc/net/ifaces/<интерфейс>;
«NetworkManager (etcnet)» – в этом режиме NetworkManager сам инициирует сеть, исполь-
зуя в качестве параметров – настройки из файлов Etcnet. Настройки сети могут изменяться
либо в ЦУС в данном модуле, либо напрямую через редактирование файлов /etc/net/
ifaces/<интерфейс>. В этом режиме можно просмотреть настройки сети, например,
полученный по DHCP IP-адрес, через графический интерфейс NetworkManager;
«NetworkManager (native)» – в данном режиме управление настройками интерфейса пере-
даётся NetworkManager и не зависит от файлов Etcnet. Управлять настройками можно через
графический интерфейс NetworkManager. Файлы с настройками находятся в каталоге /
etc/NetworkManager/system-connections. Этот режим особенно актуален для за-
дач настройки сети на клиенте, когда IP-адрес необходимо получать динамически с помо-
щью DHCP, а DNS-сервер указать явно. Через ЦУС так настроить невозможно, так как при
включении DHCP отключаются настройки, которые можно задавать вручную;
«system-networkd» – в данном режиме управление настройками интерфейса передаётся
службе systemd-networkd. Данный режим доступен, если установлен пакет systemd-
networkd. Настройки сети могут изменяться либо в ЦУС в данном модуле (только на-
стройки физического интерфейса), либо напрямую через редактирование файлов /etc/
systemd/network/<имя_файла>.network, /etc/systemd/network/<имя_-
файла>.netdev, /etc/systemd/network/<имя_файла>.link;
«Не контролируется» – в этом режиме интерфейс находится в состоянии DOWN (выклю-
чен).
63
После смены сетевой подсистемы c Etcnet на systemd-networkd может потребоваться
вручную отключить службу network и включить systemd-networkd:
# systemctl disable --now network && systemctl enable --now systemd-networkd
И, наоборот, при смене с systemd-networkd на Etcnet отключить службу systemd-
networkd и включить network:
# systemctl disable --now systemd-networkd && systemctl enable --now network
5.1.2 Объединение сетевых интерфейсов
Модуль «Объединение интерфейсов» (пакет alterator-net-bond) позволяет объеди-
нить несколько физических сетевых интерфейсов в один логический. Это позволяет достичь отка-
зоустойчивости, отказоустойчивости, увеличения скорости и балансировки нагрузки.
Для создания объединения интерфейсов необходимо выполнить следующие действия:
1) нажать кнопку «Создать объединение» (Рис. 72);
1) переместить сетевые интерфейсы, которые будут входить в объединение, из списка
«Доступные интерфейсы» в список «Используемые интерфейсы» (Рис. 73);
2) выбрать режим объединения:
«Round-robin» – режим циклического выбора активного интерфейса для исходящего трафи-
ка;
«Активный-резервный» – активен только один интерфейс, остальные находятся в режиме
горячей замены;
«XOR» — один и тот же интерфейс работает с определённым получателем, передача паке-
тов распределяется между интерфейсами на основе формулы ((MAC-адрес источника) XOR
(MAC-адрес получателя)) % число интерфейсов;
«Широковещательная» – трафик идёт через все интерфейсы одновременно;
«Агрегирование каналов по стандарту IEEE 802.3ad» – в группу объединяются одинаковые
по скорости и режиму интерфейсы, все физические интерфейсы используются одновремен-
но в соответствии со спецификацией IEEE 802.3ad. Для реализации этого режима необходи-
ма поддержка на уровне драйверов сетевых карт и коммутатор, поддерживающий стандарт
IEEE 802.3ad (коммутатор требует отдельной настройки);
«Адаптивная балансировка нагрузки передачи» – исходящий трафик распределяется в соот-
ветствии с текущей нагрузкой (с учётом скорости) на интерфейсах (для данного режима
необходима его поддержка в драйверах сетевых карт). Входящие пакеты принимаются
только активным сетевым интерфейсом;
«Адаптивная балансировка нагрузки» – включает в себя балансировку исходящего трафика
и балансировку на приём (rlb) для IPv4 трафика и не требует применения специальных ком-
мутаторов. Балансировка на приём достигается на уровне протокола ARP путём перехвата
64
ARP ответов локальной системы и перезаписи физического адреса на адрес одного из сете-
вых интерфейсов (в зависимости от загрузки);
3) указать, если это необходимо, параметры объединения в поле «Параметры объедине-
ния»;
4) нажать кнопку «Назад»;
5) в результате будет создан агрегированный интерфейс bond0. Для данного интерфейса
можно задать IP-адрес и, если необходимо, дополнительные параметры (Рис. 74);
6) нажать кнопку «Применить».
Объединение интерфейсов в веб-интерфейсе alterator-net-eth
Рис. 72
65
Выбор сетевых интерфейсов для объединения
Рис. 73
Настройки интерфейса bond0
Рис. 74
66
Информацию о получившемся агрегированном интерфейсе можно посмотреть в /proc/
net/bonding/bond0.
Для удаления агрегированного интерфейса необходимо выбрать его в списке «Интерфей-
сы» и нажать кнопку «Удалить объединение…».
5.1.3 Сетевые мосты
Модуль «Сетевые мосты» (пакет alterator-net-bridge) позволяет организовать вир-
туальный сетевой мост.
П р и м е ч а н и е . Если интерфейсы, входящие в состав моста, являются единственными
физически подключенными и настройка моста происходит с удалённого узла через эти интерфей-
сы, то требуется соблюдать осторожность, так как эти интерфейсы перестанут быть доступны.
Для создания Ethernet-моста необходимо выполнить следующие действия:
1) у интерфейсов, которые будут входить в мост, удалить IP-адреса и шлюз по умолчанию
(если они были установлены);
2) нажать кнопку «Создать сетевой мост» (Рис. 75);
Настройка сети в веб-интерфейсе
Рис. 75
3) в окне «Сетевые мосты» в поле «Интерфейс-мост» ввести имя моста;
4) в выпадающем списке «Тип моста» выбрать тип моста: «Linux Bridge» (по умолчанию)
или «Open vSwitch»;
67
5) переместить сетевые интерфейсы, которые будут входить в мост, из списка «Доступные
интерфейсы» в список «Члены»;
6) нажать кнопку «Ок» (Рис. 76);
7) в результате будет создан сетевой интерфейс моста (в примере vmbr0). Для данного ин-
терфейса можно задать IP-адрес и, если необходимо, дополнительные параметры (Рис. 77);
8) нажать кнопку «Применить».
Выбор сетевого интерфейса
Рис. 76
Настройка параметров сетевого интерфейса vmbr0
Рис. 77
68
Для удаления интерфейса моста, необходимо выбрать его в списке «Интерфейсы» и нажать
кнопку «Удалить сетевой мост…».
5.1.4 Настройка общего подключения к сети Интернет
Пользователи корпоративных сетей обычно подключаются к сети Интернет через один об-
щий канал. Для организации совместного доступа к сети Интернет стандартными средствами под-
держиваются две технологии, которые могут использоваться как по отдельности, так и совместно:
использование прокси-сервера;
использование NAT.
Оба способа предполагают, что соединение с Интернет компьютера, через который предпо-
лагается настроить общий выход, предварительно сконфигурировано.
5.1.4.1 Прокси-сервер
Отличительной особенностью использования прокси-сервера является то, что, помимо
предоставления доступа к веб-сайтам, прокси-сервер кэширует загруженные страницы, а при
повторном обращении к ним – отдаёт их из своего кэша. Это может существенно снизить
потребление трафика.
У прокси-сервера есть два основных режима работы:
прозрачный;
обычный.
Для работы с прокси-сервером в прозрачном режиме специальная настройка рабочих
станций не потребуется. Они лишь должны использовать сервер в качестве шлюза по умолчанию.
Этого можно добиться, сделав соответствующие настройки на DHCP-сервере.
Для использования прокси-сервера в обычном режиме потребуется на каждом клиенте в
настройках браузера указать данные прокси-сервера (IP-адрес и порт).
Преимуществом обычного режима работы, требующего перенастройки программ локаль-
ной сети, является возможность производить аутентификацию пользователей и контролировать их
доступ во внешнюю сеть.
В различных браузерах местоположение формы настройки на прокси-сервер различное.
По умолчанию прокси-сервер не предоставляет доступ в Интернет никому кроме себя само-
го. Список сетей, обслуживаемых прокси-сервером можно изменить, нажав на кнопку «Разрешён-
ные сети…» в модуле ЦУС «Прокси-сервер» (пакет alterator-squid) из раздела «Серверы»
(Рис. 78).
Для того чтобы включить аутентификацию пользователей и контролировать их доступ во
внешнюю сеть, необходимо выбрать обычный режим проксирования и способ аутентификации,
отличный от «Без аутентификации» (Рис. 79).
69
Модуль «Прокси-сервер»
Рис. 78
Настройка аутентификации пользователей
Рис. 79
Прокси-сервер принимает запросы из локальной сети и, по мере необходимости, передаёт
их во внешнюю сеть. Поступление запроса ожидается на определённом порту, который по умолча-
нию имеет стандартный номер 3128.
Перед тем как выполнить перенаправление запроса, прокси-сервер проверяет принадлеж-
ность сетевого адрес узла, с которого запрос был отправлен к группе внутренних сетевых адресов.
70
Для того чтобы запросы, отправленные из локальной сети, обрабатывались прокси-сервером,
необходимо добавить соответствующую группу адресов (адрес подсети и адресную маску) в спи-
сок внутренних сетей в разделе «Разрешённые сети» (Рис. 80).
Настройка списка внутренних сетей
Рис. 80
Вторым условием передачи запроса является принадлежность целевого порта к разрешён-
ному диапазону. Посмотреть и отредактировать список разрешённых целевых портов можно в раз-
деле «Разрешённые протоколы» (Рис. 81).
Настройка списка разрешённых целевых портов
Рис. 81
71
Прокси-сервер позволяет вести статистику посещений страниц в Интернете. Она доступна в
модуле ЦУС «Прокси-сервер» (пакет alterator-squidmill) в разделе «Статистика». Основ-
ное предназначение статистики – просмотр отчёта об объёме полученных из Интернета данных в
привязке к пользователям (если включена аутентификация) или к IP-адресам клиентов.
5.1.4.2 NAT
NAT (Network Address Translation, преобразование сетевых адресов) – это механизм в сетях
TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Таким образом, компьюте-
ры локальной сети, имеющие IP-адреса, зарезервированные для использования исключительно в
локальных сетях, могут использовать общий канал доступа к сети Интернет (общий внешний IP-
адрес). При этом на компьютере-шлюзе, непосредственно подключённом к сети Интернет, выпол-
няется преобразование адресов.
Настройка NAT осуществляется в модуле ЦУС «Внешние сети» (пакет alterator-net-
iptables) из раздела «Брандмауэр». Для минимальной настройки достаточно выбрать режим
работы Шлюз (NAT), отметить правильный внешний сетевой интерфейс (Рис. 82) и нажать на
кнопку «Применить».
Настройка NAT в модуле «Внешние сети»
Рис. 82
72
5.1.5 Автоматическое присвоение IP-адресов (DHCP-сервер)
DHCP (Dynamic Host Configuration Protocol) – протокол, позволяющий клиенту
самостоятельно получить IP-адрес из зарезервированного диапазона адресов, а также
дополнительную информацию о локальной сети (DNS-сервер сети, домен поиска, шлюз по
умолчанию).
Чтобы настраивать DHCP-сервер, на машине должен быть хотя бы один статически
сконфигурированный Ethernet-интерфейс.
Настройка DHCP-сервера осуществляется в модуле ЦУС «DHCP-сервер» (пакет
alterator-dhcp) из раздела «Серверы».
Для включения DHCP-сервера необходимо установить отметку в поле «Включить службу
DHCP» (Рис. 83), указать начальный и конечный IP-адрес, а также шлюз по умолчанию (обычно
это IP-адрес сервера на сетевом интерфейсе, обслуживающем локальную сеть).
Настройка модуля DHCP-сервер
Рис. 83
Теперь при включении любой клиентской машины с настройкой «получение IP и DNS
автоматически» будет присваиваться шлюз 192.168.0.1, DNS 192.168.0.251 и адреса начиная с
192.168.0.50 по порядку включения до 192.168.0.60.
Иногда бывает полезно выдавать клиенту один и тот же IP-адрес независимо от момента
обращения. В этом случае он определяется по аппаратному адресу (MAC-адресу) сетевой карты
73
клиента. Для добавления своих значений в таблицу соответствия статических адресов следует
ввести IP-адрес и соответствующий ему MAC-адрес и нажать кнопку «Добавить» (Рис. 84).
Привязка IP-адреса к MAC-адресу
Рис. 84
Выданные IP-адреса можно увидеть в списке «Текущие динамически выданные адреса»
(Рис. 85). Имеется возможность зафиксировать выданные адреса, за данными компьютерами. Для
этого необходимо отметить хост, за которым нужно закрепить IP-адрес, и нажать кнопку
«Зафиксировать адрес для выбранных компьютеров».
Список динамически выданных адресов
Рис. 85
5.2 Развертывание доменной структуры
Для развертывания доменной структуры предназначен модуль ЦУС «Домен» из раздела
«Система» (пакет alterator-net-domain) (Рис. 86).
74
Настройка модуля «Домен»
Рис. 86
Модуль поддерживает следующие виды доменов:
ALT-домен. Домен, основанный на OpenLDAP и MIT Kerberos. Домен нужно устанавли-
вать только после настройки сервера DHCP. В противном случае придётся выбирать другое
имя домена.
Active Directory. Домен для контроллера домена Samba AD. Рекомендуется для аутентифи-
кации рабочих станций под управлением и Windows и Linux.
FreeIPA. Домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабо-
чих станций под управлением Linux.
DNS. Обслуживание только запросов DNS указанного домена сервисом BIND.
5.3 Сетевая установка операционной системы на рабочие места
Одной из удобных возможностей ОС «Альт Сервер» при разворачивании инфраструктуры
является сетевая установка. При помощи сетевой установки можно производить установку
дистрибутивов не с DVD-диска, а загрузив инсталлятор по сети.
5.3.1 Подготовка сервера
Перед началом установки рабочих станций следует произвести предварительную настройку
сервера: задать имя сервера (модуль «Ethernet-интерфейсы» в «Центре управления системой»),
включить DHCP-сервер (модуль «DHCP-сервер»), задать имя домена (модуль «Домен»).
75
П р и м е ч а н и е . Каталог /var/lib/tftpboot должен быть доступен клиенту через
TFTP, каталог /srv/public/netinst должен быть доступен клиенту через NFS.
Настройка TFTP:
1) включить TFTP-сервер, установив в файле /etc/xinetd.d/tftp значение:
disable = no
2) удалить или закомментировать следующую строку в файле /etc/xinetd.conf:
only_from = 127.0.0.1
3) перезапустить сервис xinetd:
# systemctl restart xinetd
Настройка NFS-сервера:
1) в файл /etc/exports добавить строку:
/srv/public -ro,insecure,no_subtree_check,fsid=1 *
2) экспортировать каталоги:
# exportfs -r
3) разрешить rpcbind прослушивать входящие соединения из сети:
# control rpcbind server
4) запустить и добавить в автозагрузку NFS-сервер:
# systemctl enable --now nfs-server
П р и м е ч а н и е . В настоящий момент модуль «Сервер сетевых установок» не позволяет
настроить установку в EFI-режиме для PXE-установки.
Перед активацией сетевой установки потребуется импортировать установочный DVD-диск
ОС, предварительно вставив его в DVD-привод сервера, либо можно использовать образ диска,
расположенный на файловой системе на сервере (например, /tmp/alt-workstation-11.0-
x86_64.iso). Можно также использовать URL вида
http://ftp.altlinux.org/pub/distributions/ALTLinux/images/p10/workstation/
x86_64/alt-workstation-10.4-x86_64.iso.
П р и м е ч а н и е . Локальный файл должен быть доступен для nobody и должен находиться
на сервере, где запущен alterator-netinst.
В разделе «Сервер сетевых установок» (пакет alterator-netinst) (Рис. 87)
необходимо указать, откуда импортировать новый образ, и нажать кнопку «Добавить».
Процесс добавления образа (Рис. 88) занимает какое-то время.
76
Выбор источника для импорта установочного образа
Рис. 87
Процесс добавления установочного образа
Рис. 88
После добавления образ появится в списке «Доступные образы дисков». Необходимо вы-
брать из списка один из образов (Рис. 89) и нажать кнопку «Выбрать».
Выбор образа диска
Рис. 89
На этом подготовка сервера к сетевой установке рабочих станций завершена.
Дополнительно данный модуль позволяет выбрать вариант загрузки (Рис. 90), например,
непосредственно загружать ОС некоторых Live-версий дистрибутивов.
Выбор варианта загрузки
Рис. 90
77
Для включения режима автоматической установки необходимо выбрать образ, выбрать ва-
риант загрузки «Установка системы», установить отметку в поле «Автоматическая установка», в
поле «Метаданные» указать каталог с установочными файлами (Рис. 91) и сохранить настройки,
нажав кнопку «Применить».
Включение режима автоматической установки
Рис. 91
Если отмечен пункт «Включить установку по VNC», то далее необходимо выбрать направ-
ление соединения (Рис. 92). Удалённый доступ к компьютеру бывает двух видов:
1. Со стороны клиента. Во время установки администратор может с помощью VNC-клиента
подключиться к компьютеру, на которой производится установка, зная его IP-адрес и задан-
ный пароль.
2. Со стороны сервера. Во время установки с каждого компьютера инициируется подключе-
ние к запущенному на заданном компьютере VNC-клиенту. Компьютер-приёмник соедине-
ний задаётся IP-адресом или именем.
Выбор направления соединения
Рис. 92
В случае, когда работа с аппаратной подсистемой ввода-вывода невозможна (например,
если клавиатура, мышь или монитор отсутствуют), можно использовать вариант «Только по
VNC».
Если необходимо управлять установкой удалённо, необходимо отметить пункт «Включить
установку по VNC» и пункт «Подключение со стороны VNC сервера» раздела «Направление
соединения» и указать в поле IP-адрес или имя компьютера, с которого будет происходить
управление. Для приёма подключения можно запустить, например, vncviewer -listen.
78
Примечание. По окончании процесса установки ОС на рабочих станциях необходимо
отключить сетевую установку. Это можно сделать, выбрав в списке «Доступные образы дисков»
пункт «Нет образа» и подтвердив действие нажатием кнопки «Выбрать».
5.3.2 Подготовка рабочих станций
Для сетевой установки следует обеспечить возможность загрузки по сети рабочих станций,
на которых будет производиться установка ОС.
Большинство современных материнских плат имеют возможность загрузки по сети, однако
она по умолчанию может быть отключена в BIOS. Различные производители материнских плат
дают разные названия данной возможности, например: «Boot Option ROM» или «Boot From From
Onboard LAN».
Последовательность установки при установке с DVD-диска и при сетевой установке не
отличаются друг от друга.
5.4 FTP-сервер
Модуль «FTP-сервер» (пакет alterator-vsftpd) из раздела «Серверы» (Рис. 93)
предназначен для настройки FTP-сервера (vsftpd).
Настройка модуля «FTP-сервер»
Рис. 93
Чаще всего протокол FTP (File Transfer Protocol) используется для организации файлового
сервера с анонимным доступом. Возможность анонимного доступа управляется параметром
«Разрешить вход анонимному пользователю». Менее распространённый вариант – сервер с
возможностью загружать на него файлы, в том числе и анонимным пользователям. Возможность
загрузки включается параметром «Разрешить запись». Еще один вариант – сервер, позволяющий
локальным пользователям скачивать и загружать файлы из своих домашних каталогов. Этот
79
вариант используется редко, что связано с небезопасностью протокола FTP. Возможность работы
с локальными пользователями управляется параметром «Разрешить вход локальным
пользователям». Чтобы пользователи могли загружать файлы, требуется включить параметр
«Разрешить запись». Разрешение на загрузку файлов можно настраивать индивидуально, для этого
необходимо отметить параметр «Разрешить настройку локальных пользователей».
Если необходимо создать анонимный FTP-сервер, можно использовать vsftpd в сочетании с
пакетом anonftp. В целях безопасности сервер по умолчанию сконфигурирован именно для
предоставления анонимного доступа. Запрещены любые команды записи, а также доступ локально
зарегистрированных пользователей.
При установке пакета anonftp автоматически создаётся каталог, который будет корневым
при анонимном подключении, – /var/ftp с необходимыми правами доступа. Владельцем этого
каталога является пользователь root, а не псевдопользователь, от имени которого работает
vsftpd. Это сделано для обеспечения безопасности FTP-сервера и системы в целом. Группой-
владельцем каталога является специальная группа ftpadmin, предназначенная для
администраторов FTP-сервера.
Многие параметры использования FTP-сервера, в том числе относящиеся к безопасности,
могут быть заданы при помощи xinetd (демона Интернет-служб). В частности, этот сервер
позволяет ограничить количество одновременно выполняемых процессов как по системе в целом,
так и для каждого отдельного пользователя, указать пользователя, от имени которого будет
выполняться служба, задать приоритет процесса (nice), указать адреса, с которых разрешено
подключение к данной службе, а также время доступа и множество других параметров. Указать
эти настройки можно в модуле «Службы xinetd» (пакет alterator-xinetd) из раздела
«Система». Например, установить неограниченный по адресам доступ можно, указав в поле
«Только с адресов» значение 0.0.0.0 (Рис. 94).
Настройка параметров vsftpd в модуле «Службы xinetd»
Рис. 94
80
5.5 Удостоверяющий центр
Модуль «Удостоверяющий центр» (пакет alterator-са) из раздела «Система»
позволяет управлять SSL-сертификатами, используемыми для обеспечения безопасных
соединений между сетевыми узлами.
Для обеспечения безопасности соединения для клиента (в качестве клиентского ПО может
выступать, например, веб-браузер) основным является вопрос о принятии сертификата. При
принятии сертификата возможно несколько вариантов.
Сертификат сервера подписан одним из известных клиенту удостоверяющим центром
(УЦ)
В этом случае сертификат принимается и устанавливается безопасное SSL-соединение.
Обычно клиентское ПО (например, веб-браузер) содержит список наиболее известных УЦ и
предоставляет возможность управления (добавление/удаление) сертификатами таких УЦ.
Сертификат сервера подписан УЦ неизвестным клиенту
В этом случае следует самостоятельно решить вопрос о принятии такого сертификата:
можно временно (на время одной сессии) принять сертификат сервера;
можно принять сертификат сервера на постоянной основе;
если вы доверяете УЦ, подписавшему сертификат, можно добавить сертификат самого УЦ
к списку известных сертификатов, и таким образом, в дальнейшем все сертификаты, подпи-
санные этим УЦ, будут приниматься автоматически.
Сертификат сервера является самоподписанным
Это случай, когда сертификат сервера не подтверждён вообще никакой третьей стороной.
Такие сертификаты используются в локальных сетях, где вы самостоятельно можете проверить
аутентичность сервера. В случае самоподписанных сертификатов вы должны самостоятельно
убедиться в том, что сервер является тем, за кого себя выдаёт. Сделать это можно, сверив
отпечатки полученного сертификата и реально находящегося на сервере.
П р и м е ч а н и е . При первом обращении к модулю «Удостоверяющий центр» необходимо
создать УЦ, указав страну и организацию (Рис. 95).
Модуль «Удостоверяющий центр». Создание УЦ
Рис. 95
81
На вкладке «Управление УЦ» (Рис. 96) можно:
просмотреть информацию о сертификате УЦ;
выгрузить для дальнейшего использования сертификат УЦ (файл ca-root.pem). Этот
файл можно будет добавить к списку УЦ, используемому клиентским ПО, после чего все
сертификаты, подписанные данным УЦ будут приниматься автоматически;
выгрузить, для дальнейшего использования, запрос на подпись сертификата УЦ (файл
ca-root.csr). Этот запрос можно подписать сторонним УЦ;
перегенерировать сертификат УЦ с другими параметрами (можно изменить параметры
«Страна (С)» и «Организация (O)»).
Модуль «Удостоверяющий центр». Вкладка «Управление УЦ»
Рис. 96
На вкладке «Управление сертификатами» (Рис. 97) можно:
настроить ежедневное обновление подписей сертификатов, используемых локальными
службами и службами подчинённых серверов;
подписать произвольный сертификат (запрос на подпись) корневым сертификатом УЦ, на-
строенным на вкладке «Управление УЦ»;
82
просмотреть состояния и подпись локальных сертификатов и сертификатов подчинённых
серверов (Рис. 98).
Модуль «Удостоверяющий центр». Вкладка «Управление сертификатами»
Рис. 97
Модуль «Удостоверяющий центр». Локальные сертификаты
Рис. 98
Чтобы подписать сертификат, необходимо на вкладке «Управление сертификатами» нажать
кнопку «Выберите файл», выбрать файл с запросом на подпись и нажать кнопку «Загрузить
запрос». В результате на экране отобразится запрос на подпись (Рис. 99). Далее следует нажать
кнопку «Подписать». Подписанный сертификат (файл output.pem) будет загружен в каталог
загрузок.
83
Модуль «Удостоверяющий центр». Запрос на подпись
Рис. 99
5.6 Соединение удалённых офисов (OpenVPN-сервер)
ОС «Альт Сервер» предоставляет возможность безопасного соединения удалённых офисов,
используя технологию VPN (англ. Virtual Private Network – виртуальная частная сеть), которая
позволяет организовать безопасные шифрованные соединения через публичные сети (например,
Интернет) между удалёнными офисами или локальной сетью и удалёнными пользователями.
Таким образом, можно связать два офиса организации, что делает работу с документами,
расположенными в сети удалённого офиса, более удобной. Помимо соединения целых офисов,
также существует возможность организовать доступ в офисную сеть для работы в ней извне. Это
означает, например, что сотрудник может работать в своём привычном окружении, даже находясь
в командировке или просто из дома.
84
5.6.1 Настройка OpenVPN-сервера
Модуль «OpenVPN-сервер» (пакет alterator-openvpn-server) из раздела «Серверы»
позволяет задать параметры OpenVPN-сервера (Рис. 100).
Используя модуль «OpenVPN-сервер» можно:
включить/отключить OpenVPN-сервер;
настроить параметры сервера: тип, сети сервера, использование сжатия и т.д.;
управлять сертификатами сервера;
настроить сети клиентов.
Особое внимание при планировании и настройке подключений следует обратить на
используемые сети. Они не должны пересекаться.
Модуль «OpenVPN-сервер»
Рис. 100
85
Для создания соединения необходимо установить отметку в поле «Включить службу
OpenVPN», выбрать тип подключения: маршрутизируемое (используется TUN) или через мост
(используется TAP) и проверить открываемую по соединению сеть (обычно это локальная сеть в
виде IP-адреса и маски подсети).
Для настройки сертификата и ключа SSL необходимо нажать на кнопку «Сертификат и
ключ SSL...». Откроется окно модуля «Управление ключами SSL» (пакет alterator-sslkey)
(Рис. 101).
Здесь нужно заполнить поле «Общее имя (CN)» и поле «Страна (С)» (прописными
буквами), отметить пункт «(Пере)создать ключ и запрос на подпись» и нажать кнопку
«Подтвердить». После чего станет активной кнопка «Забрать запрос на подпись» (Рис. 102).
Модуль «Управление ключами SSL»
Рис. 101
Забрать запрос на подпись
Рис. 102
Если нажать на кнопку «Забрать запрос на подпись», запрос на подпись (файл openvpn-
server.csr) будет загружен в каталог загрузок
В модуле «Управление ключами SSL» появится новый ключ: «openvpn-server (Нет
сертификата)» (Рис. 103).
86
Ключ openvpn-server
Рис. 103
Чтобы подписать сертификат, необходимо перейти в модуль «Удостоверяющий Центр»
→«Управление сертификатами», нажать кнопку «Выберите файл», указать путь до полученного
файла openvpn-server.csr и загрузить запрос (Рис. 104).
Запрос на подпись сертификата
Рис. 104
В результате на экране появится две группы цифр и кнопка «Подписать» (Рис. 105). При
нажатии на кнопку «Подписать» подписанный сертификат (файл output.pem) будет загружен в
каталог загрузок.
Запрос на подпись сертификата
Рис. 105
87
Далее в разделе «Управление ключами SSL», необходимо выделить ключ «openvpn-server
(Нет сертификата)» и нажать кнопку «Изменить». В появившемся окне, в пункте «Положить
сертификат, подписанный УЦ» нужно нажать кнопку «Выберите файл», указать путь до файла
output.pem и нажать кнопку «Положить» (Рис. 106).
Сертификат, подписанный УЦ
Рис. 106
В модуле «Управление ключами SSL» будет видно, что ключ openvpn-server
(истекает_и_дата) изменился. Ключ создан и подписан.
Для того чтобы положить сертификат УЦ, необходимо найти его в модуле
«Удостоверяющий Центр», нажать на ссылку «Управление УЦ» и забрать сертификат, нажав на
ссылку «Сертификат: ca-root.pem» (Рис. 107).
Сертификат УЦ
Рис. 107
В модуле «OpenVPN-сервер» в графе «Положить сертификат УЦ» необходимо при помощи
кнопки «Выберите файл» указать путь к файлу ca-root.pem и нажать кнопку «Положить» (Рис.
108).
Выбор сертификата УЦ в модуле «OpenVPN-сервер»
Рис. 108
Появится сообщение: «Сертификат УЦ успешно загружен».
Для включения OpenVPN необходимо отметить пункт «Включить службу OpenVPN» и
нажать кнопку «Применить».
5.6.2 Настройка клиентов
Со стороны клиента соединение настраивается в модуле «OpenVPN-соединения» (пакет
alterator-net-openvpn) из разделараздел «Сеть». Доступ к настроенной приватной сети мо-
гут получить пользователи, подписавшие свои ключи и получившие сертификат в удостоверяю-
щем центре на том же сервере.
88
Предварительно нужно создать ключ (например, openvpn) в модуле «Управление ключами
SSL» и подписать его в модуле «Удостоверяющий центр» на сервере. С сервера также необходим-
забрать сертификат ca-root.pem.
Для создания нового соединения необходимо отметить пункт «Сетевой туннель (TUN)» или
«Виртуальное Ethernet устройство (TAP)» и нажать кнопку «Создать соединение» (Рис. 109).
Необходимо обратить внимание, что на стороне клиента, должен быть выбран тот же тип
виртуального устройства, что и на стороне сервера. Для большинства случаев подходит маршру-
тизируемое подключение.
Создание нового OpenVPN- соединения
Рис. 109
В результате станут доступны настройки соединения (Рис. 110).
Модуль «OpenVPN- соединения»
Рис. 110
В поле «Положить сертификат УЦ» необходимо при помощи кнопки «Выберите файл» ука-
зать путь к файлу ca-root.pem и нажать кнопку «Положить».
Примечание. Если при загрузке сертификата удостоверяющего центра возникает ошиб-
ка, можно вручную скопировать его в каталог /var/lib/ssl/certs, например:
# cp /home/user/ca-root.pem /var/lib/ssl/certs
89
Далее в модуле «OpenVPN-соединение» необходимо указать:
состояние – «запустить»;
сервер – IP адрес сервера или домен;
порт – 1194;
ключ – выбрать подписанный на сервере ключ.
Для применения настроек следует нажать кнопку «Применить». Состояние с «Выключено»
должно поменяться на «Включено».
Проверить, появилось ли соединение с сервером можно командой:
$ ip addr
Должно появиться новое соединение tun0. При обычных настройках это может выглядеть
так:
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state
UNKNOWN group default qlen 500
link/none
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
5.7 Доступ к службам сервера из сети Интернет
5.7.1 Внешние сети
Сервер предоставляет возможность организовать доступ к своим службам извне. Например,
можно предоставить доступ к корпоративному веб-сайту из сети Интернет. Для обеспечения такой
возможности необходимо разрешить входящие соединения на внешних интерфейсах. По
умолчанию такие соединения блокируются.
Для разрешения внешних и внутренних входящих соединений предусмотрен раздел ЦУС
«Брандмауэр». В списке «Разрешить входящие соединения на внешних интерфейсах» модуля
«Внешние сети» (пакет alterator-net-iptables) перечислены наиболее часто
используемые службы, отметив которые, можно сделать их доступными для соединений на
внешних сетевых интерфейсах (Рис. 111). Если необходимо предоставить доступ к службе,
отсутствующей в списке, то нужно задать используемые этой службой порты в соответствующих
полях.
Можно выбрать один из двух режимов работы:
роутер – перенаправление пакетов между сетевыми интерфейсами происходит без трансля-
ции сетевых адресов;
шлюз (NAT) – в этом режиме будет настроена трансляция сетевых адресов (NAT) при
перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет
смысл, если на компьютере настроен, по крайней мере, один внешний и один внутренний
интерфейс.
90
Модуль «Внешние сети»
Рис. 111
В любом режиме включено только перенаправление пакетов с внутренних интерфейсов.
Перенаправление пакетов с внешних интерфейсов всегда выключено. Все внутренние интерфейсы
открыты для любых входящих соединений.
5.7.2 Список блокируемых хостов
Модуль «Список блокируемых хостов» (пакет alterator-net-iptables) позволяет
настроить блокировку любого сетевого трафика с указанных в списке узлов (входящий, исходя-
щий и пересылаемый).
Блокирование трафика с указанных в списке узлов начинается после установки флажка
«Использовать чёрный список» (Рис. 112).
Модуль «Список блокируемых хостов»
Рис. 112
91
Для добавления блокируемого узла необходимо ввести IP-адрес в поле «Добавить IP-адрес
сети или хоста» и нажать кнопку «Добавить».
Для удаления узла необходимо выбрать его из списка и нажать кнопку «Удалить».
5.8 Статистика
5.8.1 Сетевой трафик
Все входящие и исходящие с сервера сетевые пакеты могут подсчитываться, и выводится
по запросу для анализа.
Модуль «Сетевой трафик» (пакет alterator-ulogd) из раздела «Статистика» предна-
значен для просмотра статистики входящих и исходящих с сервера сетевых пакетов. Данный мо-
дуль позволяет оценить итоговый объём полученных и переданных данных за всё время работы
сервера, за определённый период времени и по каждой службе отдельно.
Для включения сбора данных необходимо установить флаг «Включить сбор данных», и на-
жать кнопку «Применить» (Рис. 113).
Просмотр статистики входящих и исходящих пакетов
Рис. 113
Для просмотра статистики указывается период (в виде начальной и конечной дат). Дата
указывается в формате YYYY-MM-DD (год-месяц-день) или выбирается из календаря справа от
поля ввода даты. Из списка доступных сетевых интерфейсов необходимо выбрать интересующий
и нажать на кнопку «Показать».
92
Трафик на указанном интерфейсе за заданный период показывается в виде:
служба (название протокола);
входящий трафик в килобайтах;
исходящий трафик в килобайтах.
5.8.2 Прокси-сервер
Пересылка каждого запроса во внешнюю сеть фиксируется прокси-сервером в специальном
журнале. На основании этих данных автоматически формируются отчёты о статистике
использования ресурсов сети, в том числе потраченного времени и количества переданных данных
(трафика).
Статистика не собирается по умолчанию. Включить её сбор следует в модуле ЦУС
«Прокси-сервер» (пакет alterator-squidmill) из раздела «Статистика». Для включения
сбора статистики прокси-сервера необходимо установить отметку в поле «Включить сбор данных
прокси-сервера» (Рис. 114).
Настройка сбора статистики прокси-сервера
Рис. 114
В том случае, если на прокси-сервере производилась аутентификация пользователей,
отчёты будут содержать данные об обращениях каждого пользователя. Иначе отчёты будут
формироваться только на основании адресов локальной сети.
Для показа отчёта необходимо задать условия фильтра и нажать кнопку «Обновить».
Данные в таблице отсортированы по объёму трафика в порядке убывания.
Для учёта пользователей в статистике необходимо добавить хотя бы одно правило. Самое
очевидное правило – запрет неаутентифицированных пользователей. Только после этого в стати-
стике начнут показываться пользователи.
93
5.9 Обслуживание сервера
Регулярный мониторинг состояния системы, своевременное резервное копирование,
обновление установленного ПО, являются важной частью комплекса работ по обслуживанию
сервера.
5.9.1 Мониторинг состояния системы
Для обеспечения бесперебойной работы сервера крайне важно производить постоянный
мониторинг его состояния. Все события, происходящие с сервером, записываются в журналы,
анализ которых помогает избежать сбоев в работе сервера и предоставляет возможность
разобраться в причинах некорректной работы сервера.
Для просмотра журналов предназначен модуль ЦУС «Системные журналы» (пакет
alterator-logs) из раздела «Система». Интерфейс позволяет просмотривать записи журналов
с возможностью перехода к более старым или более новым записям (Рис. 115).
Модуль «Системные журналы»
Рис. 115
В журнале «Системные сообщения (Journald)» отображаются события процессов ядра и
пользовательской области. У каждого сообщения в этом журнале есть приоритет, который
используется для пометки важности сообщений. Сообщения, в зависимости от уровня приоритета,
подсвечиваются цветом.
Журнал может содержать довольно большое количество сообщений. Уменьшить либо
увеличить количество выводимых строк можно, выбрав нужное значение в списке «Показывать».
94
5.9.2 Системные службы
Для изменения состояния служб можно использовать модуль ЦУС «Системные службы»
(пакет alterator-services) из раздела «Система». Интерфейс позволяет изменять текущее
состояние службы и, если необходимо, применить опцию запуска службы при загрузке системы
(Рис. 116).
Модуль «Системные службы»
Рис. 116
После выбора названия службы из списка отображается описание данной службы, а также
текущее состояние: «Работает»/«Остановлена»/«Неизвестно».
5.9.3 Системные ограничения
Средствами модуля «Системные ограничения» (пакет alterator-control) из раздела
«Система» определяются несколько заранее заданных режимов доступа к тому или иному файлу.
Администратор системы может установить один из этих режимов – он будет гарантированно
сохранён при обновлении системы.
Модуль также может использоваться как простой конфигуратор, позволяющий
переключать многие системные службы между заранее определёнными состояниями.
На Рис. 117 показаны политики для команды fusermount.
Для переключения состояния следует выбрать политику и нажать кнопку «Сохранить».
95
Модуль «Системные ограничения»
Рис. 117
5.9.4 Обновление системы
После установки системы крайне важно следить за обновлениями ПО. Обновления для
ОС «Альт Сервер» могут содержать как исправления, связанные с безопасностью, так и новый
функционал или просто улучшение и ускорение алгоритмов. В любом случае настоятельно
рекомендуется регулярно обновлять систему для повышения надёжности работы сервера.
Для автоматизации процесса установки обновлений предусмотрен модуль ЦУС
«Обновление системы» (пакет alterator-updates) из раздела «Система». Здесь можно включить
автоматическое обновление через Интернет с одного из предлагаемых серверов или задать
собственные настройки (Рис. 118).
Источник обновлений указывается явно (при выбранном режиме «Обновлять систему
автоматически из Интернет») или вычисляется автоматически (при выбранном режиме
«Обновление системы управляемое сервером» и наличии в локальной сети настроенного сервера
обновлений).
Необходимо также указать репозитории. Следует обратить внимание на то, что разные
репозитории бывают разной степени стабильности и чем стабильнее репозиторий, тем реже там
появляются новые версии приложений.
П р и м е ч а н и е . Рабочие станции «видят» локальный сервер обновлений, при выборе
режима «Обновление системы управляемое сервером», если они находятся в домене (при этом
сервер обновлений должен быть настроен на «Опубликовать как репозиторий для автоматических
обновлений»).
96
Модуль «Обновление системы»
Рис. 118
Процесс обновления системы будет запускаться автоматически согласно заданному
расписанию.
П р и м е ч а н и е . Чтобы указать в качестве сервера обновлений локально настроенный
источник, необходимо выбрать режим «Обновлять систему автоматически из Интернет», выбрать
в списке «Другой адрес» и указать адрес локального сервера обновлений, например,
http://<ip сервера>/mirror (Рис. 119).
Указание источника обновлений
Рис. 119
5.9.5 Обновление ядра ОС
Модуль «Обновление ядра» (пакет alterator-update-kernel) реализует функционал
утилиты update-kernel. Данный модуль предоставляет возможность:
просматривать список установленных ядер;
устанавливать, обновлять и удалять ядра;
задавать ядро, загружаемое по умолчанию;
устанавливать/удалять отдельные модули ядра.
В главном окне модуля отображается ядро, загруженное по умолчанию, и список установ-
ленных модулей ядра (Рис. 120).
97
Интерфейс модуля «Обновление ядра»
Рис. 120
В дистрибутиве «Альт Сервер» можно установить несколько версий ядра одного и того же
типа одновременно. После установки или обновления ядра старые ядра не удаляются.
В случае возникновения проблем с новым ядром можно переключиться на установленное
ранее. Для этого следует выбрать нужное ядро в списке «Установленные ядра» и нажать кнопку
«Сделать ядро загружаемым по умолчанию».
Накопленный при обновлениях набор ранее установленных ядер можно удалить для осво-
бождения дискового пространства. Для этого следует выбрать нужное ядро в списке «Установлен-
ные ядра» и нажать кнопку «Удалить ядро».
Для того чтобы обновить ядро или установить новые модули ядра, следует нажать кнопку
«Обновить ядро…».
П р и м е ч а н и е . При нажатии кнопки «Обновить ядро…» локальная база данных пакетов
будет синхронизирована с удалённым репозиторием, это может занять некоторое время.
Если в системе уже установлено последнее ядро, сообщение об этом появится в открыв-
шемся окне, иначе в этом окне будет показано доступное к установке ядро (Рис. 121).
98
Доступное к установке ядро
Рис. 121
Чтобы обновить ядро, необходимо нажать кнопку «Обновить ядро». Далее следует
подтвердить желание обновить ядро нажатием кнопки «Да». Установленное ядро станет загружае-
мым по умолчанию.
П р и м е ч а н и е . Новое ядро загрузится только после перезагрузки системы.
Если с новым ядром что-то пойдёт не так, можно вернуться к предыдущему варианту,
выбрав его в начальном меню загрузчика.
Если ядро не требует обновления, в окне «Доступные модули» можно отметить модули
ядра необходимые к установке и нажать кнопку «Установить модули».
5.9.6 Обновление систем, не имеющих выхода в Интернет
Для систем, не имеющих прямого выхода в Интернет, рекомендуется установка отдельного
сервера обновлений на базе ОС «Альт Сервер», находящегося вне защищенного контура и
организация ограниченного доступа к этому серверу.
Модуль ЦУС «Сервер обновлений» (пакет alterator-mirror) из раздела «Серверы»
предназначен для зеркалирования репозиториев и публикации их для обновлений рабочих станций
и серверов.
На странице модуля можно выбрать, как часто выполнять закачку пакетов, можно
выставить время, когда начинать зеркалирование (Рис. 122).
Здесь также можно выбрать репозитории, локальные срезы которых необходимы. При
нажатии на название репозитория, появляются настройки этого репозитория (Рис. 123).
Необходимо выбрать источник, архитектуру процессора (если их несколько, то стоит выбрать
соответствующие).
П р и м е ч а н и е . При выборе любой архитектуры также будет добавлен источник с noarch.
99
Модуль «Сервер обновлений»
Рис. 122
Настройки репозитория
Рис. 123
Сервер обновлений предоставляет возможность автоматически настроить обновление кли-
ентских машин в нужном режиме:
«Локальное зеркало репозитория» – в этом режиме на сервере создаётся копия удалённого
репозитория. Загрузка ПО клиентскими машинами производится с локального сервера по
100
протоколам HTTP, HTTPS, FTP, rsync (для каждого протокола нужно настроить соответ-
ствующие службы, ниже приведён пример настройки HTTP- и FTP-сервера). Наличие на
локальном сервере зеркала репозитория при большом количестве машин в сети позволяет
существенно сэкономить трафик.
П р и м е ч а н и е . Зеркалирование потребует наличия большого количества места на диске.
Уменьшить размер скачиваемых файлов и занимаемое репозиторием место на диске мож-
но, указав имена каталогов и файлов, которые будут исключены из синхронизации. Напри-
мер, не скачивать пакеты с исходным кодом и пакеты с отладочной информацией:
SRPMS
*-debuginfo-*
Шаблоны указываются по одному в отдельной строке. Символ «*» используется для
подстановки любого количества символов.
«Публикация репозитория» – в этом случае публикуется или URL внешнего сервера, содер-
жащего репозиторий или, если включено локальное зеркало репозитория, адрес этого сер-
вера. Такая публикация позволяет клиентским машинам автоматически настроить свои ме-
неджеры пакетов на использование внешнего или локального репозитория. Со стороны
клиентских машин, в этом случае, необходимо настроить модуль «Обновление системы»,
отметив в нём пункт «Обновление системы управляемое сервером».
Настройка локального репозитория заканчивается нажатием на кнопку «Применить».
П р и м е ч а н и е . По умолчанию локальное зеркало репозитория находится в /srv/pub-
lic/mirror. Для того чтобы зеркалирование происходило в другую папку, необходимо эту
папку примонтировать в папку /srv/public/mirror. Для этого в файл /etc/fstab следует
вписать следующую строку:
/media/disk/localrepo /srv/public/mirror none rw,bind,auto 0 0
где /media/disk/localrepo – папка-хранилище локального репозитория.
П р и м е ч а н и е . Если в каталогах /srv/public/mirror/<репозиторий>/branch/<архитектура>/
base/ нет файлов pkglist.* значит зеркалирование не закончено (т.е. не все файлы загружены на
ваш сервер).
5.9.6.1 Настройка веб-сервера
Установить веб-сервер (в данном примере nginx):
# apt-get install nginx
Создать файл конфигурации сервера в /etc/nginx/sites-available.d/repo.-
conf:
server {
101
listen 80;
server_name localhost .local <ваш ip>;
access_log /var/log/nginx/repo-access.log;
error_log /var/log/nginx/repo-error.log;
location /mirror {
root /srv/public;
autoindex on;
}
}
Сделать ссылку в /etc/nginx/sites-enabled.d/:
# ln -s /etc/nginx/sites-available.d/repo.conf /etc/nginx/sites-
enabled.d/repo.conf
Запустить nginx и добавить его в автозагрузку:
# systemctl enable --now nginx
На клиентских машинах необходимо настроить репозитории:
# apt-repo rm all
# apt-repo add http://<ip сервера>/mirror/p11/branch
Проверить правильность настройки репозиториев:
# apt-repo
rpm http://192.168.0.185/mirror p11/branch/x86_64 classic
rpm http://192.168.0.185/mirror p11/branch/noarch classic
5.9.6.2 Настройка FTP-сервера
Установить пакеты vsftpd, lftp, если они еще не установлены:
# apt-get install vsftpd lftp
Настроить параметры использования vsftpd в файле /etc/xinetd.d/vsftpd:
# default: off
# description: The vsftpd FTP server.
service ftp
{
disable = no # включает службу
socket_type = stream
protocol = tcp
wait = no
102
user = root
nice = 10
rlimit_as = 200M
server = /usr/sbin/vsftpd
only_from = 0.0.0.0 # предоставить доступ для всех IP
}
Перезапустить xinetd:
# systemctl restart xinetd
Изменить настройку прав доступа в файле /etc/vsftpd/conf:
local_enable=YES
Создать каталог /var/ftp/mirror:
# mkdir -p /var/ftp/mirror
Примонтировать каталог /srv/public/mirror в /var/ftp/mirror с опцией --bind:
# mount --bind /srv/public/mirror /var/ftp/mirror
П р и м е ч а н и е . Для автоматического монтирования каталога /srv/public/mirror
при загрузке системы необходимо добавить следующую строку в файл /etc/fstab:
/srv/public/mirror /var/ftp/mirror none defaults,bind 0 0
На клиентских машинах необходимо настроить репозитории:
# apt-repo rm all
# apt-repo add ftp://<ip сервера>/mirror/p11/branch
# apt-repo
rpm ftp://192.168.0.185/mirror p11/branch/x86_64 classic
rpm ftp://192.168.0.185/mirror p11/branch/noarch classic
5.9.7 Локальные учётные записи
Модуль «Локальные учётные записи» (пакет alterator-users) из раздела «Пользовате-
ли» предназначен для администрирования системных пользователей (Рис. 124).
Для создания новой учётной записи необходимо ввести имя новой учётной записи и нажать
кнопку «Создать», после чего имя отобразится в списке слева.
Для дополнительных настроек необходимо выделить добавленное имя, либо, если необхо-
димо изменить существующую учётную запись, выбрать её из списка.
103
Модуль «Локальные учётные записи»
Рис. 124
5.9.8 Администратор системы
В модуле «Администратор системы» (пакет alterator-root) из раздела «Пользовате-
ли» можно изменить пароль суперпользователя (root), заданный при начальной настройке системы
(Рис. 125).
Модуль «Администратор системы»
Рис. 125
В данном модуле (только в веб-интерфейсе) можно добавить публичную часть ключа RSA
или DSA для доступа к серверу по протоколу SSH.
5.9.9 Дата и время
В модуле «Дата и время» (пакет alterator-datetime) из раздела «Система» можно из-
менить дату и время на сервере, сменить часовой пояс, а также настроить автоматическую синхро-
низацию часов на самом сервере по протоколу NTP и предоставление точного времени по этому
протоколу для рабочих станций локальной сети (Рис. 126).
104
Модуль «Дата и время»
Рис. 126
Системное время зависит от следующих факторов:
часы в BIOS – часы, встроенные в компьютер; они работают, даже если он выключен;
системное время – часы в ядре операционной системы. Во время работы системы все про-
цессы пользуются именно этими часами;
часовые пояса – регионы Земли, в каждом из которых принято единое местное время.
При запуске системы происходит активация системных часов и их синхронизация с
аппаратными, кроме того, в определённых случаях учитывается значение часового пояса. При
завершении работы системы происходит обратный процесс.
Если настроена синхронизация времени с NTP-сервером, то сервер сможет сам работать как
сервер точного времени. Для этого достаточно отметить соответствующий пункт «Работать как
NTP-сервер».
П р и м е ч а н и е . Выбор источника сигналов времени (источника тактовой частоты)
доступен в режиме эксперта.
5.9.10 Агент наблюдения
Модуль «Агент наблюдения» (пакет alterator-zabbix-agent) из раздела «Система»
позволяет настроить клиентскую часть системы мониторинга Zabbix.
На странице модуля можно задать следующие параметры (Рис. 127):
«Слушать по адресу» – IP-адрес, который агент должен прослушивать;
«Адрес сервера наблюдения» – адрес сервера, которому разрешено обращаться к агенту;
«Имя узла» – при выборе пункта «Системное» узел будет добавлен на сервер Zabbix под
системным именем, при выборе пункта «Пользовательское» имя узла можно указать в поле
«Пользовательское имя узла»;
105
«Пользовательское имя узла» – имя узла мониторинга, которое будет указано на сервере
Zabbix.
Модуль «Агент наблюдения»
Рис. 127
Примечание. Параметр «Разрешить выполнение команд» использовать не
рекомендуется.
Чтобы применить настройки и запустить Zabbix-агент, следует установить отметку в
пункте «Включить службу агента мониторинга» и нажать кнопку «Применить».
5.9.11 Ограничение использования диска
Модуль «Использование диска» (пакет alterator-quota) из раздела «Пользователи»
позволяет ограничить использование дискового пространства пользователями, заведёнными на
сервере в модуле «Пользователи».
Модуль позволяет задать ограничения (квоты) для пользователя при использовании опре-
делённого раздела диска. Ограничить можно как суммарное количество килобайт, занятых файла-
ми пользователя, так и количество этих файлов (Рис. 128).
Модуль «Использование диска»
Рис. 128
106
Для управления квотами файловая система должна быть подключена с параметрами
usrquota, grpquota. Для этого следует выбрать нужный раздел в списке «Файловая система» и уста-
новить отметку в поле «Включено» (Рис. 129).
Задание ограничений для пользователя user на раздел /home
Рис. 129
Для того чтобы задать ограничения для пользователя, необходимо выбрать пользователя в
списке «Пользователь», установить ограничения и нажать кнопку «Применить».
При задании ограничений различают жёсткие и мягкие ограничения:
мягкое ограничение: нижняя граница ограничения, которая может быть временно превыше-
на. Временное ограничение – одна неделя;
жёсткое ограничение: использование диска, которое не может быть превышено ни при ка-
ких условиях.
Значение 0 при задании ограничений означает отсутствие ограничений.
5.9.12 Выключение и перезагрузка компьютера
Иногда, в целях обслуживания или по организационным причинам необходимо корректно
выключить или перезагрузить сервер. Для этого можно воспользоваться модулем ЦУС «Выключе-
ние компьютера» в разделе «Система».
Модуль ЦУС «Выключение компьютера» позволяет:
выключить компьютер;
перезагрузить компьютер;
приостановить работу компьютера;
погрузить компьютер в сон.
Возможна настройка ежедневного применения данных действий в заданное время.
Так как выключение и перезагрузка – критичные для функционирования компьютера опе-
рации, то по умолчанию настройка выставлена в значение «Продолжить работу» (Рис. 130). Для
выключения, перезагрузки или перехода в энергосберегающие режимы нужно отметить соответ-
ствующий пункт и нажать «Применить».
107
Модуль «Выключение компьютера»
Рис. 130
Для ежедневного автоматического выключения компьютера, перезагрузки, а также перехо-
да в энергосберегающие режимы необходимо отметить соответствующий пункт и задать желаемое
время. Например, для выключения компьютера следует отметить пункт «Выключать компьютер
каждый день в», задать время выключения в поле ввода слева от этого флажка и нажать кнопку
«Применить».
П р и м е ч а н и е . Для возможности настройки оповещений на e-mail, должен быть установ-
лен пакет state-change-notify-postfix:
# apt-get install state-change-notify-postfix
Для настройки оповещений необходимо отметить пункт «При изменении состояния систе-
мы отправлять электронное письмо по адресу», ввести e-mail адрес и нажать кнопку «Применить»
(Рис. 131).
По указанному адресу, при изменении состоянии системы будут приходить электронные
письма. Например, при включении компьютера, содержание письма будет следующее:
Mon Mar 10 11:02:43 EET 2025: The server.test.alt is about to start.
108
Модуль «Выключение компьютера». Настройка оповещений
Рис. 131
При выключении:
Mon Mar 10 12:02:28 EET 2025: The server.test.alt is about to shutdown.
Кнопка «Сбросить» возвращает сделанный выбор к безопасному значению по умолчанию:
«Продолжить работу», перечитывает расписания и выставляет отметки для ежедневного автомати-
ческого действия в соответствие с прочитанным.
5.9.13 Настройка ограничений на использование USB-устройств
Модуль ЦУС «Контроль USB-устройств» (пакет alterator-usbguard) из раздела «Система»
предназначен для настройки ограничений на использование USB-устройств. Модуль работает на
основе функционала USBGuard, позволяет вести чёрный и белый списки ограничений и предо-
ставляет два типа действий – allow/block.
Модуль предоставляет следующие возможности:
сканирование подключенных устройств;
выбор и добавление устройств в набор правил из списка подключенных устройств;
создание предустановленных правил для распространённых сценариев;
создание правил по дескрипторам интерфейса: CC:SS:PP;
создание правил по свойствам USB-устройства: PID, VID;
создание правил по хешу устройства по PID+VID+SN;
создание сложных правил с дополнительными условиями;
загрузка правил из csv-файла;
редактирование значений в созданных правилах;
просмотр журнала событий подключения/отключения USB-устройств.
Для уведомления пользователя о подключённом и заблокированном устройстве сообщени-
ем в трее используется модуль уведомлений (пакет usbguard-notifier).
109
5.9.13.1 Информационное поле
В информационном поле (Рис. 132) отображается текущее состояние службы usbguard, спи-
сок пользователей и групп, которые могут редактировать правила, сообщения об ошибках и
предупреждения.
Модуль «USBGuard». Информационное поле
Рис. 132
П р и м е ч а н и е . Добавить/удалить пользователя/группу, которые могут редактировать
правила, можно в командной строке, например:
дать пользователю user полный доступ к разделам «devices» и «exceptions», пользователь
user также будет иметь возможность просматривать и изменять текущую политику:
# usbguard add-user -u user --devices ALL --policy modify,list --
exceptions ALL
удалить права у пользователя user:
# usbguard remove-user -u user
Дополнительную информацию смотрите на соответствующих страницах руководства,
например:
$ usbguard add-user -h
Для включения контроля за USB-устройствами необходимо установить отметку в пункте
«Активировать контроль портов», нажать кнопку «Проверить», а затем кнопку «Применить».
Служба usbguard будет запущена и добавлена в автозагрузку (Рис. 133).
Контроль портов активирован
Рис. 133
П р и м е ч а н и е . По умолчанию будет установлен режим «Белый список»: «Заблокировать
все, кроме подключенных устройств», поэтому все подключенные устройства будут добавлены в
список разрешённых, а все новые USB-устройства будут блокироваться. Изменить поведение по
умолчанию можно, установив нужный режим перед запуском службы usbguard (см. «Предустанов-
ки»).
110
Для отключения контроля за USB-устройствами необходимо снять отметку с поля «Акти-
вировать контроль портов», нажать кнопку «Проверить», а затем кнопку «Применить» и переза-
грузить систему.
5.9.13.2 Список USB-устройств
Если служба usbguard запущена, в веб-интерфейсе будет отображён список текущих под-
ключённых устройств (Рис. 134).
USBGuard. Список USB-устройств
Рис. 134
В столбце «Статус» отображается текущее состояние USB-устройства («allow» – разрешён-
ное устройство, «block» – заблокированное устройство).
Для редактирования состояния USB-устройства необходимо выделить строку с нужным
устройством и нажать кнопку «Разблокировать»/«Заблокировать». При этом будет добавлено со-
ответствующее правило в таблицу «Хэш».
П р и м е ч а н и е . Если активен «Белый список», то для устройства со статусом «block» бу-
дет активна кнопка «Разблокировать», если активен «Чёрный список», то для устройства со стату-
сом «allow» будет активна кнопка «Заблокировать».
Кнопка «Сканировать устройства» позволяет обновить список подключённых USB-
устройств.
5.9.13.3 Предустановки
Правила могут работать в режиме белого или чёрного списка (Рис. 135). После установки
режима «Чёрный список», будут заблокированы только перечисленные в данном списке USB-
устройства. После установки режима «Белый список», будут заблокированы все USB-устройства,
кроме перечисленных в данном списке.
111
Модуль «USBGuard». Предустановки
Рис. 135
Кроме ручного режима добавления правил в списки существует возможность предвари-
тельной настройки списков. Для предварительной настройки правил необходимо:
1) выбрать соответствующий пункт:
«Белый список»:
«Заблокировать все, кроме подключенных устройств» – в правила (таблица
«Хэш») с действием «allow» будут добавлены все подключенные устройства.
Все новые USB-устройства будут заблокированы (будут отображаться в таблице
«Список устройств» со статусом «block»);
«Заблокировать все, кроме подключенных и HID/HUB устройств» – в правила с
действием «allow» будут добавлены все подключенные устройства (таблица
«Хэш») и все устройства с интерфейсами 03:*:* и 09:*:* (таблица «Маски
CC:SS:PP»). Все новые USB-устройства кроме HID/HUB-устройств (клавиатуры,
мыши, джойстики, USB-концентраторы) будут заблокированы (будут отобра-
жаться в таблице «Список устройств» со статусом «block»);
«Ручной режим» – позволяет установить свои правила.
«Чёрный список»:
«Блокировать устройства по классам дескриптора интерфейса: 06 Image и 08
Mass Storage» – в правила (таблица «Маски CC:SS:PP») с действием «block» бу-
дут добавлены все устройства с интерфейсами 08:*:* и 06:*:*. Все USB-устрой-
ства Mass Storage Device (USB-накопитель, карта памяти, кардридер, цифровая
фотокамера) и Image (веб-камера, сканер) будут заблокированы (будут отобра-
жаться в таблице «Список устройств» со статусом «block»);
«Блокировать устройства по списку известных PID:VID, использующих Аndroid
Debug Bus» – в правила (таблица «Маски VID:PID») с действием «block» будут
112
добавлены известные Android-устройства. Все Android-устройства будут забло-
кированы (будут отображаться в таблице «Список устройств» со статусом
«block»);
«Ручной режим» – позволяет установить свои правила.
2) нажать кнопку «Проверить». Будут показаны планируемые изменения (Рис. 136);
Планируемые изменения
Рис. 136
3) если изменения корректные, нажать кнопку «Применить».
4) для отмены изменений (до нажатия кнопки «Применить») следует выбрать пункт «Руч-
ной режим», нажать кнопку «Проверить», а затем «Применить».
5.9.13.4 Добавление правил
Для добавления нового правила должен быть выбран пункт «Ручной режим» в белом или
чёрном списках. Если «Ручной режим» выбран в белом списке, правило будет добавлено с дей-
ствием «allow», если в чёрном – с действием «block».
113
5.9.13.4.1 Правила по классу интерфейса
Назначение USB-устройств может определяться кодами классов, которые сообщаются
USB-узлу для загрузки необходимых драйверов. Коды классов позволяют унифицировать работу с
однотипными устройствами разных производителей. Устройство может поддерживать один или
несколько классов, максимальное количество которых определяется количеством доступных
endpoints. Например, широко известны устройства класса Human Interface Device, HID (мыши, кла-
виатуры, игровые манипуляторы и т.д.) или устройства Mass Storage (USB-накопители, карты па-
мяти и т.д.).
П р и м е ч а н и е . Класс интерфейса указывается как три 8-битных числа в шестнадцатерич-
ном формате, разделенных двоеточием (CC:SS:PP). Числа обозначают класс интерфейса (CC), под-
класс (SS) и протокол (PP). Вместо номера подкласса и протокола можно использовать символ *,
чтобы соответствовать всем подклассам или протоколам. Сопоставление определенного класса и
определенного протокола не допускается, то есть если в качестве номера подкласса используется
*, то для протокола также необходимо использовать *.
Добавление правила по маске:
1) под таблицей «Маски CC:SS:PP» нажать кнопку «Добавить»;
2) в поле «CC:SS:PP» вписать маску, например, правило для всех устройств с интерфейсами
09:*:* (Рис. 137);
3) нажать кнопку «Проверить». Корректное правило будет выделено зелёным цветом (Рис.
138), некорректное – красным;
4) исправить или удалить некорректное правило и повторно нажать кнопку «Проверить»;
5) нажать кнопку «Применить» для активации правила. Правило для всех устройств с интер-
фейсами 09:*:* будет добавлено.
Добавление правила для всех устройств с интерфейсами 09:*:*
Рис. 137
Проверка правила
Рис. 138
114
5.9.13.4.2 Правила по VID&PID
Каждое USB-устройство содержит атрибуты, куда входит идентификатор разработчика
устройства (VID) и идентификатор изделия (PID). На основании этих идентификаторов узел
(компьютер) ищет методы работы с этим устройством (обычно это выражается в требовании уста-
новить драйверы, поставляемые разработчиком устройства).
П р и м е ч а н и е . VID и PID – это 16-битные числа в шестнадцатеричной системе счисле-
ния. В правиле можно также использовать символ *:
для соответствия любому идентификатору устройства *:*
для соответствия любому идентификатору продукта от конкретного поставщика, например,
090с:*
Добавление правила по VID&PID:
1) под таблицей «Маски VID:PID» нажать кнопку «Добавить»;
2) в поле «VID» вписать идентификатор разработчика устройства (VID), а в поле «PID» иден-
тификатор изделия (PID) (Рис. 139);
3) нажать кнопку «Проверить». Корректное правило будет выделено зелёным цветом, некор-
ректное – красным;
4) исправить или удалить некорректное правило и повторно нажать кнопку «Проверить»;
5) нажать кнопку «Применить» для активации правила.
Добавление правила по VID& PID
Рис. 139
5.9.13.4.3 Правила по хешу
Для каждого USB-устройства USBGuard вычисляет хеш на основе значений атрибутов
устройства и данных дескриптора USB (PID+VID+SN).
Добавление правила по хешу:
1) под таблицей «Хэш» нажать кнопку «Добавить»;
2) в поле «Хэш» вписать хеш устройства (Рис. 140);
3) нажать кнопку «Проверить». Корректное правило будет выделено зелёным цветом, некор-
ректное – красным;
4) исправить или удалить некорректное правило и повторно нажать кнопку «Проверить»;
5) нажать кнопку «Применить» для активации правила.
115
Добавление правила по хешу
Рис. 140
5.9.13.4.4 Другие правила
Модуль позволяет создавать сложные правила с дополнительными условиями.
Добавление сложного правила:
1) под таблицей «Другие правила» нажать кнопку «Добавить»;
2) в поле «Правило» вписать правило (Рис. 141). Например, правило, разрешающее подключе-
ние принтера только через определённый порт:
allow id 04a9:177a name "Canon E400" serial "F572EC" via-port "1-2"
hash "eql9yA8m+5VVMmhXOvbUzwNPDGCAPq+fxIQHvbptlsY="
3) нажать кнопку «Проверить». Корректное правило будет выделено зелёным цветом, некор-
ректное – красным;
4) исправить или удалить некорректное правило и повторно нажать кнопку «Проверить»;
5) нажать кнопку «Применить» для активации правила.
Добавление сложного правила
Рис. 141
5.9.13.4.5 Загрузка правил из файла
Правила должны быть добавлены в csv-файл, по одному правилу в каждой строке. Строка
должна иметь вид:
allow/block,Interface,PID:VID,Hash
Например:
allow,,090c:1000,"2dfdMHZxF5olAaNbsh68G4fpzD3iQLPL3+M7KHnSRjE="
allow,00:00:*,,
allow,,1000:*,
allow,,,"eql9yA8m+5VVMmhXOvbUzwNPDGCAPq+fxIQHvbptlsY="
116
П р и м е ч а н и е . Файл не должен содержать конфликтные правила – должны быть либо все
allow, либо все block.
Загрузка правил из файла:
1) нажать кнопку «Выберите файл»/«Обзор» (под таблицей «Хэш») и выбрать файл с правила-
ми;
2) нажать кнопку «Загрузить из файла»;
3) нажать кнопку «Проверить». Корректное правило будет выделено зелёным цветом, некор-
ректное – красным;
4) исправить или удалить некорректное правило и повторно нажать кнопку «Проверить»;
5) нажать кнопку «Применить» для активации правила.
П р и м е ч а н и е . При загрузке правил из файла политика тоже будет выбрана из файла.
Если в файле указана политика противоположная текущей, все существующие правила будут уда-
лены.
5.9.13.5 Удаление правил
Пример удаления правила по маске:
1) в таблице «Маски CC:SS:PP» установить отметку в поле с соответствующим правилом;
2) нажать кнопку «Удалить». Правило будет готово к удалению (Рис. 142);
3) нажать кнопку «Проверить»;
4) нажать кнопку «Применить» для удаления правила.
Удаление правила
Рис. 142
Правила из других таблиц удаляются аналогичным способом.
5.9.13.6 Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств (журнала ауди-
та) необходимо нажать кнопку «Журнал», расположенную в левом нижнем углу модуля. По нажа-
тию на эту кнопку раскрывается журнал аудита (Рис. 143).
П р и м е ч а н и е . Для обновления журнала необходимо нажать кнопку «Фильтровать».
117
Журнал аудита USBGuard
Рис. 143
П р и м е ч а н и е . Фильтрация по логу USBGuard – строгая, регистрозависимая.
5.9.14 Настройка ограничения доступа к файловой системе USB-устройства
Модуль ЦУС «Контроль USB-устройств (монтирование)» (пакет alterator-usbmount) из раз-
дела «Система» позволяет ограничить доступ к файловой системе USB-устройства по UID/GID. В
модуле также предусмотрена возможность просмотра журнала событий подключения/отключения
USB-устройств.
Особенности работы модуля:
если для устройства не создано правило, то служба не вмешивается в логику монтирования
USB-устройства;
если для устройства создано правило, то служба монтирует блочные устройства на назна-
ченном USB-устройстве в каталог /media/alt-usb-mount/$user_$group или /media/alt-usb-
mount/root_$group, если пользователь не указан;
служба назначает ACL для указанного пользователя и группы на каталог, в котором будет
создана точка монтирования блочного устройства;
в правилах можно указать только существующего локального пользователя и пользователь-
скую группу;
118
доступ к USB-устройству назначенному пользователю и группе предоставляется полно-
стью (rw);
любой пользователь может отмонтировать устройство через стандартные средства ОС;
служба не вмешивается в права самих файловых систем блочных устройств;
рекомендуемая файловая система для переносных носителей exFAT.
П р и м е ч а н и е . Особенности работы модуля с файловыми системами:
EXT2/3/4, XFS, BTRFS поддерживают права. Доступ к файловой системе будет также опре-
деляться назначенными правами самой файловой системы;
FAT16/FAT32/exFAT не поддерживают права. Доступ будет полностью определяться через
точку монтирования, назначенную в USBMount;
ISO9660/UDF поддерживает только readonly. Доступ будет предоставлен только на чтение;
NTFS поддерживает права. Не рекомендуется использовать. В случае если ранее NTFS но-
ситель был извлечён небезопасно, то носитель будет смонтирован только для чтения.
5.9.14.1 Запуск/останов службы
В модуле отображается текущее состояние службы USBMount (Рис. 144).
Для включения контроля над устройствами необходимо передвинуть переключатель
«Служба USBMount остановлена» и нажать кнопку «Сохранить». Служба USBMount будет запу-
щена и добавлена в автозагрузку.
Для отключения контроля над устройствами необходимо передвинуть переключатель
«Служба USBMount активна» и нажать кнопку «Сохранить».
Служба USBMount остановлена
Рис. 144
5.9.14.2 Список устройств
Если служба USBMount запущена, в веб-интерфейсе будет отображён список текущих под-
ключённых устройств (Рис. 145).
119
Служба USBMount запущена
Рис. 145
В столбце «Статус» отображается текущее состояние устройства («free» – владелец для
устройства не назначен, «owned» – устройству назначен владелец).
Если устройству назначен владелец и устройство примонтировано, то текущая точка
монтирования отображается в столбце «Точка монтирования».
Кнопка «Обновить список блочных устройств» позволяет обновить список подключённых
устройств.
5.9.14.3 Добавление/удаление правил
Для того чтобы назначить права для подключенного блочного устройства, необходимо вы-
полнить следующие действия:
1) выделить строку с нужным устройством в таблице «Список устройств» (Рис. 146) и нажать
кнопку «Назначить владельца» (или дважды щелкнуть мышью по строке с устройством):
2) правило будет добавлено в таблицу «Список владельцев» (Рис. 147);
3) в столбце «Пользователь» выбрать пользователя, в столбце «Группа» – группу владельца
блочного устройства (Рис. 148);
4) нажать кнопку «Сохранить». Статус устройства в таблице «Список устройств» изменится
на «owned» (Рис. 149).
Назначение владельца для подключенного устройства
Рис. 146
120
Правило добавлено в таблицу «Список владельцев»
Рис. 147
Указание пользователя и группы для блочного устройства
Рис. 148
Статус «owned» для устройства в таблице «Список устройств»
Рис. 149
П р и м е ч а н и е . При создании/редактировании правила, некорректные значения будут вы-
делены красным цветом, корректные – зелёным.
Чтобы назначить права для произвольного блочного устройства, необходимо:
1) нажать кнопку «Добавить», расположенную под таблицей «Список владельцев». В таблицу
будет добавлена пустая строка (Рис. 150);
2) в соответствующих столбцах указать «VID, PID» и «Серийный номер устройства» (Рис.
151);
3) в столбце «Пользователь» выбрать пользователя, в столбце «Группа» – группу владельца
блочного устройства (Рис. 152);
121
4) нажать кнопку «Сохранить».
USBMount. Создание нового правила
Рис. 150
USBMount. Параметры устройства
Рис. 151
USBMount. Указание группы для блочного устройства
Рис. 152
П р и м е ч а н и е . Если необходимо назначить права для определённой группы пользова-
телей, в столбце «Пользователь» следует выбрать прочерк.
Редактирование правила:
1) дважды щелкнуть мышью по строке с правилом в таблице «Список владельцев» (или выде-
лить строку в таблице «Список владельцев» и нажать кнопку «Изменить»);
2) внести изменения;
3) нажать кнопку «Сохранить».
122
Удаление правила:
1) выделить строку(и) с правилом в таблице «Список владельцев»;
2) нажать кнопку «Удалить» (Рис. 153);
3) нажать кнопку «Сохранить».
USBMount. Удаление правила
Рис. 153
П р и м е ч а н и е . Для отмены внесённых изменений (до нажатия кнопки «Сохранить») сле-
дует нажать кнопку «Сбросить».
5.9.14.4 Просмотр журнала аудита
Для просмотра журнала событий подключения/отключения USB-устройств необходимо на-
жать кнопку «Журнал», расположенную в левом нижнем углу модуля. По нажатию на эту кнопку
раскрывается журнал аудита (Рис. 154).
Журнал аудита USBMount
Рис. 154
5.10 Права доступа к модулям ЦУС
Администратор системы (root) имеет доступ ко всем модулям, установленным в системе, и
может назначать права доступа для пользователей к определенным модулям.
123
Для разрешения доступа пользователю к конкретному модулю, администратору в веб-
интерфейсе ЦУС необходимо выбрать нужный модуль и нажать ссылку «Параметры доступа к
модулю», расположенную в нижней части окна модуля (Рис. 155).
Ссылка «Параметры доступа к модулю»
Рис. 155
В открывшемся окне, в списке «Новый пользователь», необходимо выбрать пользователя,
который получит доступ к данному модулю, и нажать кнопку «Добавить» (Рис. 156). Для
сохранения настроек необходимо перезапустить HTTP-сервер, для этого достаточно нажать
кнопку «Перезапустить HTTP-сервер».
Параметры доступа к модулю
Рис. 156
Для удаления доступа пользователя к определенному модулю, администратору, в окне
этого модуля необходимо нажать ссылку «Параметры доступа к модулю», в открывшемся окне в
списке пользователей которым разрешен доступ, выбрать пользователя, нажать кнопку «Удалить»
(Рис. 156) и перезапустить HTTP-сервер.
Системный пользователь, пройдя процедуру аутентификации, может просматривать и
вызывать модули, к которым он имеет доступ.
124
6 КОРПОРАТИВНАЯ ИНФРАСТРУКТУРА
6.1 Альт Домен
«Альт Домен» – служба каталогов (доменная служба), позволяющая централизованно
управлять компьютерами и пользователями в корпоративной сети с операционными системами
(ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано
хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах
корпоративной сети, а также управление профилями пользователей и компьютеров с помощью
групповых политик в доменах MS Active Directory / Samba DC.
П р и м е ч а н и е . В данном разделе приведена краткая инструкция разворачивания «Альт
Домен». Подробную информацию можно в документации к «Альт Домен».
Поддерживаются следующие базовые возможности Active Directory:
аутентификация рабочих станций Windows и Linux и служб;
авторизация и предоставление ресурсов;
групповые политики (GPO);
перемещаемые профили (Roaming Profiles);
поддержка инструментов Microsoft для управления серверами (Remote Server Administration
Tools) с компьютеров под управлением Windows;
поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования).
6.1.1 Создание нового домена
6.1.1.1 Установка пакетов
Для Samba DC на базе Heimdal Kerberos необходимо установить компонент samba-dc:
# alteratorctl components install samba-dc
или пакет task-samba-dc:
# apt-get install task-samba-dc
6.1.1.2 Остановка конфликтующих служб
Если настройка домена выполняется не сразу после установки ОС, перед установкой
необходимо остановить конфликтующие службы krb5kdc и slapd, а также bind:
# for service in smb nmb krb5kdc slapd bind; do systemctl disable
$service; systemctl stop $service; done
6.1.1.3 Восстановление к начальному состоянию Samba
Необходимо очистить базы и конфигурацию Samba (домен, если он создавался до этого,
будет удалён):
# rm -f /etc/samba/smb.conf
125
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
Предупреждение. Необходимо удалить файл /etc/samba/smb.conf перед
созданием домена.
6.1.1.4 Выбор имени домена
Имя домена, для разворачиваемого DC, должно состоять минимум из двух компонентов,
разделённых точкой.
П р и м е ч а н и е . Необходимо избегать суффиксов .local. При указании домена, имеющего
суффикс .local, на сервере и подключаемых компьютерах под управлением Linux потребуется
отключить службу avahi-daemon.
Для установки имени узла и домена следует выполнить команды:
# hostnamectl set-hostname <имя узла>
# domainname <имя домена>
Например:
# hostnamectl set-hostname dc1.test.alt
# domainname test.alt
П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться прило-
жения. Для решения этой проблемы необходимо перезагрузить систему.
6.1.1.5 Сетевые настройки
Для корректной работы сервера должны соблюдаться следующие условия:
для сервера должно быть задано полное доменное имя (FQDN);
IP-адрес сервера не должен изменяться;
в настройках сетевого интерфейса должен быть указан IP-адрес 127.0.0.1 в качестве первич-
ного DNS.
Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли:
в ЦУС в разделе «Сеть» → «Ethernet интерфейсы» задать имя компьютера и указать в поле
«DNS-серверы» 127.0.0.1 (Рис. 157);
в консоли:
задать имя компьютера:
# hostnamectl set-hostname dc1.test.alt
указать собственный IP-адрес в качестве первичного DNS. Для этого создать файл /
etc/net/ifaces/enp0s3/resolv.conf со следующим содержимым:
nameserver 127.0.0.1
nameserver 8.8.8.8
126
search test.alt
где enp0s3 – имя интерфейса;
обновить DNS адреса:
# resolvconf -u
убедиться в наличии следующих строк в файле /etc/resolv.conf:
nameserver 127.0.0.1
search test.alt
где enp0s3 – имя интерфейса.
Модуль «Ethernet-интерфейсы»
Рис. 157
П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться прило-
жения. Для решения этой проблемы необходимо перезагрузить систему.
6.1.1.6 Создание домена в ЦУС
При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие
действия:
1. В модуле Домен указать имя домена, отметить пункт «Active Directory», указать IP-адреса
внешних DNS-серверов, задать пароль администратора домена и нажать кнопку
«Применить» (Рис. 158).
127
П р и м е ч а н и е . Пароль администратора должен быть не менее 7 символов и содержать
символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и
нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль, не полностью
соответствующий требованиям, это одна из причин завершения развертывания домена
ошибкой.
После успешного создания домена, будет выведена информация о домене (Рис. 159).
2. Перезагрузить сервер.
Создание домена в ЦУС
Рис. 158
128
Информация о созданном домене
Рис. 159
6.1.1.7 Создание домена одной командой
Создание контроллера домена test.alt с паролем администратора Pa$$word:
# samba-tool domain provision --realm=test.alt –-domain=test \
--adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL \
--option="dns forwarder=8.8.8.8" --server-role=dc --use-rfc2307
где
--realm – область Kerberos (LDAP), и DNS имя домена;
--domain – имя домена (имя рабочей группы);
--adminpass – пароль основного администратора домена;
dns forwarder – внешний DNS-сервер;
--server-role – тип серверной роли.
П р и м е ч а н и е . Параметр --use-rfc2307 позволяет поддерживать расширенные
атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.
Если уровень не указан, то домен разворачивается на уровне 2008R2. Для разворачивания
домена на более высоких уровнях уровень необходимо это явно указать, например:
# samba-tool domain provision --realm=test.alt --domain=test \
--adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL \
--option="dns forwarder = 8.8.8.8" \
--option="ad dc functional level = 2016" \
--server-role=dc --function-level=2016
П р и м е ч а н и е . Если необходим уровень 2012_R2, то следует сначала развернуть домен
на уровне 2008_R2, а затем повысить его до 2012_R2 (см. «Повышение уровня схемы,
функционального уровня домена»).
6.1.1.8 Интерактивное создание домена
П р и м е ч а н и е . У Samba свой собственный DNS-сервер. В DNS forwarder IP
address нужно указать внешний DNS-сервер, чтобы DC мог разрешать внешние доменные
имена.
129
Для интерактивного развертывания необходимо выполнить команду samba-tool
domain provision, это запустит утилиту развертывания, которая будет задавать различные
вопросы о требованиях к установке. В примере показано создание домена test.alt:
# samba-tool domain provision
Realm [TEST.ALT]:
Domain [TEST]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAM-
BA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding)
[127.0.0.1]:8.8.8.8
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=test,DC=alt
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers and extended rights
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
130
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Repacking database from v1 to v2 format (first record CN=Address-Book-
Roots2,CN=Schema,CN=Configuration,DC=test,DC=alt)
Repack: re-packed 10000 records so far
Repacking database from v1 to v2 format (first record CN=nTFRSSet-
tings-
Display,CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=test,DC=alt)
Repacking database from v1 to v2 format (first record CN=Remote Desk-
top Users,CN=Builtin,DC=test,DC=alt)
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=test,DC=alt
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Repacking database from v1 to v2 format (first record
DC=ForestDnsZones,DC=test.alt,CN=MicrosoftDNS,DC=DomainDnsZones,DC=tes
t,DC=alt)
Repacking database from v1 to v2 format (first record
CN=MicrosoftDNS,DC=ForestDnsZones,DC=test,DC=alt)
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba AD has been generated
at /var/lib/samba/private/krb5.conf
Merge the contents of this file with your system krb5.conf or replace
it with this one. Do not create a symlink!
Once the above files are installed, your Samba AD server will be ready
to use
Server Role: active directory domain controller
Hostname: dc1
NetBIOS Domain: TEST
DNS Domain: test.alt
DOMAIN SID: S-1-5-21-1303430852-2161078951-3079987082
131
При запросе ввода необходимо нажимать <Enter> за исключением запроса пароля
администратора («Administrator password:» и «Retype password:»).
Примечание. Пароль администратора должен быть не менее 7 символов и содержать
символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем
регистрах, чисел и других небуквенно-цифровых символов. Пароль, не полностью
соответствующий требованиям, это одна из причин завершения развертывания домена ошибкой.
6.1.2 Запуск службы
В файл /etc/resolvconf.conf добавить строку:
name_servers=127.0.0.1
Обновить DNS адреса:
# resolvconf -u
Для установки службы по умолчанию и ее запуска, необходимо выполнить команду:
# systemctl enable --now samba
6.1.3 Настройка Kerberos
Внести изменения в файл /etc/krb5.conf. Следует раскомментировать строку
default_realm и содержимое разделов realms и domain_realm и указать название домена
(обратите внимание на регистр символов), в строке dns_lookup_realm должно быть
установлено значение false:
includedir /etc/krb5.conf.d/
[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_kdc = true
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = TEST.ALT
# default_ccache_name = KEYRING:persistent:%{uid}
[realms]
TEST.ALT = {
default_domain = test.alt
}
[domain_realm]
dc1 = TEST.ALT
132
П р и м е ч а н и е . В момент создания домена Samba конфигурирует шаблон файла
krb5.conf для домена в каталоге /var/lib/samba/private/. Можно просто заменить этим
файлом файл, находящийся в каталоге /etc/:
# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
6.1.4 Проверка работоспособности домена
Просмотр общей информации о домене:
# samba-tool domain info 127.0.0.1
Forest : test.alt
Domain : test.alt
Netbios domain : TEST
DC name : dc1.test.alt
DC netbios name : DC1
Server site : Default-First-Site-Name
Client site : Default-First-Site-Name
Просмотр предоставляемых служб:
# smbclient -L localhost -Uadministrator
Password for [TEST\administrator]:
Sharename Type Comment
--------- ---- -------
sysvol Disk
netlogon Disk
IPC$ IPC IPC Service (Samba 4.20.6-alt3)
SMB1 disabled -- no workgroup available
Общие ресурсы netlogon и sysvol создаваемые по умолчанию нужны для функционирования
сервера и создаются в smb.conf в процессе развертывания/модернизации.
Проверка конфигурации DNS:
необходимо убедиться в наличии nameserver 127.0.0.1 в /etc/resolv.conf:
# cat /etc/resolv.conf
search test.alt
nameserver 127.0.0.1
# host test.alt
test.alt has address 192.168.0.132
test.alt has IPv6 address fd47:d11e:43c1:0:a00:27ff:fece:2424
проверить имена хостов:
# host -t SRV _kerberos._udp.test.alt.
_kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt.
# host -t SRV _ldap._tcp.test.alt.
_ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt.
133
# host -t A dc1.test.alt.
dc1.test.alt has address 192.168.0.132
Если имена не находятся, необходимо проверить выключение службы named.
Проверка Kerberos (имя домена должно быть в верхнем регистре):
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
Просмотр полученного билета:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TEST.ALT
Valid starting Expires Service principal
25.03.2025 12:09:59 25.03.2025 22:09:59 krbtgt/TEST.ALT@TEST.ALT
renew until 26.03.2025 12:09:56
6.1.5 Повышение уровня схемы, функционального уровня домена
Для повышения уровня домена необходимо выполнить следующие действия:
указать функциональный уровень AD, который будет поддерживаться контроллером доме-
на в параметре ad dc functional level файла /etc/samba/smb.conf. Возмож-
ные значения: 2008_R2, 2012, 2012_R2, 2016;
обновить схему домена, выполнив команду:
# samba-tool domain schemaupgrade --schema=<SCHEMA>
где SCHEMA – схема, до которой необходимо выполнить обновление (по умолчанию
2019);
подготовить функциональный уровень домена, выполнив команду:
# samba-tool domain functionalprep --function-level=<FUNCTION_LEVEL>
где FUNCTION_LEVEL – функциональный уровень, к которому нужно подготовиться (по
умолчанию 2016);
указать функциональные уровни домена и леса, выполнив команду:
# samba-tool domain level raise --domain-level=<DOMAIN_LEVEL> --for-
est-level=<FOREST_LEVEL>
где:
FOREST_LEVEL – уровень работы леса. Возможные значения: 2003, 2008, 2008_R2,
2012, 2012_R2, 2016;
DOMAIN_LEVEL – уровень работы домена. Возможные значения: 2003, 2008,
2008_R2, 2012, 2012_R2, 2016.
134
П р и м е ч а н и е . При установке значения параметра ad dc functional level в
файле /etc/samba/smb.conf вручную, защита от несовпадения функций между контроллерами
домена снижается. Поэтому на всех контроллерах домена должна использоваться одна и та же
версия Samba, чтобы гарантировать, что поведение, наблюдаемое клиентом, будет одинаковым
независимо от того, к какому контроллеру домена осуществляется соединение.
Для повышения уровня схемы и функционального уровня домена необходимо выполнить
следующие действия:
в раздел [global] файла /etc/samba/smb.conf добавить строку:
ad dc functional level = 2016
перезагрузить службу samba:
# systemctl restart samba.service
выполнить команды:
# samba-tool domain schemaupgrade --schema=2019
# samba-tool domain functionalprep --function-level=2016
# samba-tool domain level raise --domain-level=2016 --forest-
level=2016
убедиться, что уровни домена и леса повышены:
# samba-tool domain level show
Domain and forest function level for domain 'DC=test,DC=alt'
Forest function level: (Windows) 2016
Domain function level: (Windows) 2016
Lowest function level of a DC: (Windows) 2016
6.1.6 Управление пользователями
Для создания пользователя с паролем используются команды:
samba-tool user create <имя пользователя>
samba-tool user setexpiry <имя пользователя>
Удалить пользователя:
samba-tool user delete <имя пользователя>
Отключить пользователя:
samba-tool user disable <имя пользователя>
Включить пользователя:
samba-tool user enable <имя пользователя>
135
Изменить пароль пользователя:
samba-tool user setpassword <имя пользователя>
Просмотреть доступных пользователей:
# samba-tool user list
Например, создать пользователя ivanov и установить, что срок действия пароля
пользователя ivanov никогда не истекает:
# samba-tool user create ivanov --given-name='Иван Иванов' --mail-
address='ivanov@test.alt'
# samba-tool user setexpiry ivanov --noexpiry
Предупреждение. Нельзя допускать одинаковых имён для пользователя и компьютера,
это может привести к коллизиям (например, такого пользователя нельзя добавить в группу). Если
компьютер с таким именем заведён, удалить его можно командой:
pdbedit -x -m <имя>
6.1.7 Присоединение к домену в роли контроллера домена
Для обеспечения отказоустойчивости и балансировки нагрузки в домен могут добавляться
дополнительные контроллеры домена.
Заведение дополнительного контроллера домена выполняется путём присоединения
дополнительного DC к существующему домену.
На вторичном DC в /etc/resolv.conf обязательно должен быть добавлен PDC как
nameserver:
# echo "name_servers=192.168.0.132" >> /etc/resolvconf.conf
# echo "search_domains=test.alt" >> /etc/resolvconf.conf
# resolvconf -u
# cat /etc/resolv.conf
search test.alt
nameserver 192.168.0.132
nameserver 8.8.8.8
Все действия, указанные ниже, выполняются на этом узле dc2.test.alt (192.168.0.133), если
не указано иное:
1. Установить пакет task-samba-dc, который установит все необходимое:
# apt-get install task-samba-dc
2. Остановить конфликтующие службы krb5kdc и slapd, а также bind:
# for service in smb nmb krb5kdc slapd bind; do systemctl disable
$service; systemctl stop $service; done
3. Очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён):
136
# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol
4. На существующем DC завести адрес IP для нового DC (команда выполняется на узле
dc1.test.alt):
# samba-tool dns add 192.168.0.132 test.alt DC2 A 192.168.0.133 –Uad-
ministrator
П р и м е ч а н и е . Указание аутентифицирующей информации (имени пользователя и
пароля) обязательно.
5. На новом контроллере домена установить следующие параметры в файле конфигурации
клиента Kerberos (файл /etc/krb5.conf):
[libdefaults]
default_realm = TEST.ALT
dns_lookup_realm = false
dns_lookup_kdc = true
6. Для проверки настройки запросить билет Kerberos для администратора домена (имя домена
должно быть указано в верхнем регистре):
# kinit administrator@TEST.ALT
Password for administrator@TEST.ALT:
7. Убедиться, что билет получен:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@TEST.ALT
Valid starting Expires Service principal
25.03.2025 12:23:59 25.03.2025 22:23:59 krbtgt/TEST.ALT@TEST.ALT
renew until 01.04.2025 12:23:56
8. Ввести дополнительный DC в домен test.alt в качестве контроллера домена:
# samba-tool domain join test.alt DC -Uadministrator --realm=test.alt
--option="dns forwarder=8.8.8.8"
В конце будет выведена информация о присоединении к домену:
Joined domain TEST (SID S-1-5-21-80639820-2350372464-3293631772) as a
DC
Для получения дополнительной информации можно воспользоваться командой:
samba-tool domain join --help
137
9. Сделать службу samba запускаемой по умолчанию и запустить её:
# systemctl enable –now samba
6.1.8 Проверка резудьтатов присоединения
П р и м е ч а н и е . После присоединения к домену службе синхронизации данных может
понадобиться до 15 минут для автоматического формирования подключений для репликации.
Проверка корректности присоединения:
1. Проверить работу DNS:
# host -t A test.alt
test.alt has address 192.168.0.132
test.alt has address 192.168.0.133
В списке адресов должен отображаться IP-адрес добавленного контроллера домена.
2. Проверить статус репликации между контроллерами домена. Для этого на добавленном DC
выполнить команду:
# samba-tool drs showrepl –summary
[ALL GOOD]
П р и м е ч а н и е . Подробнее о настройке репликации см. в разделе «Репликация».
3. На добавленном DC создать нового пользователя домена:
# samba-tool user add testuser --random-password
User 'testuser' added successfully
4. Убедиться, что учетная запись созданного пользователя доступна на первом контроллере
домена:
# samba-tool user list | grep testuser
testuser
6.1.9 Репликация
Начиная с версии samba 3.5, топология репликации выстраивается автоматически.
Предупреждение. Без успешной двунаправленной репликации в течение 14 дней DC
исключается из домена. Указание аутентифицирующей информации (имени пользователя и
пароля) обязательно!
Процедура двусторонней репликации:
1. Репликация с первого контроллера домена на второй:
# samba-tool drs replicate dc2.test.alt dc1.test.alt dc=test,dc=alt
-Uadministrator
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
138
2. Репликация на первый контроллер домена со второго:
# samba-tool drs replicate dc1.test.alt dc2.test.alt dc=test,dc=alt
-Uadministrator
Сначала указывается приемник, затем источник, после этого реплицируемая ветка в LDAP.
3. Для просмотра статуса репликации можно запустить команду на DC:
# samba-tool drs showrepl
Примечание. Если репликация на Windows не работает, необходимо добавить в Active
Directory Sites and Services новое соединение Active Directory, реплицировать на DC, подождать
минут 5 и попробовать реплицировать с Samba на Windows.
6.1.10 Подключение к домену на рабочей станции
Для ввода компьютера в «Альт Домен» потребуется установить пакет task-auth-ad-
sssd и все его зависимости (если он еще не установлен):
# apt-get install task-auth-ad-sssd
Синхронизация времени с контроллером домена производится автоматически.
Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий запи-
си про контроллер домена. Ниже приведен пример настройки сетевого интерфейса со статическим
IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получе-
ны от сервера DHCP.
Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли:
в ЦУС в разделе «Сеть» → «Ethernet интерфейсы» задать имя компьютера, указать в поле
«DNS-серверы» DNS-сервер домена и в поле «Домены поиска» – домен для поиска (Рис.
160);
в консоли:
задать имя компьютера:
# hostnamectl set-hostname newhost.test.alt
в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого
необходимо создать файл /etc/net/ifaces/enp0s3/resolv.conf со следующим содержи-
мым:
nameserver 192.168.0.132
где 192.168.0.132 – IP-адрес DNS-сервера домена.
указать службе resolvconf, использовать DNS контроллера домена и домен для поис-
ка. Для этого в файле /etc/resolvconf.conf добавить/отредактировать следующие пара-
метры:
interface_order='lo lo[0-9]* lo.* enp0s3'
search_domains= test.alt
139
где enp0s3 – интерфейс, на котором доступен сервер, test.alt – домен.
обновить DNS адреса:
# resolvconf –u
В результате выполненных действий в файле /etc/resolv.conf должны появиться
строки:
search test.alt
nameserver 192.168.0.132
П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться прило-
жения. Для решения этой проблемы необходимо перезагрузить систему.
Настройка на использование DNS-сервера домена
Рис. 160
6.1.10.1 Ввод в домен в ЦУС
Для ввода рабочей станции в домен необходимо запустить ЦУС. В ЦУС следует перейти в
раздел «Пользователи» → «Аутентификация».
В открывшемся окне необходимо выбрать пункт «Домен Active Directory» (Рис. 161) и за-
полнить поля, после чего нажать кнопку «Применить».
В открывшемся окне (Рис. 162) необходимо ввести имя пользователя, имеющего право вво-
дить машины в домен, и его пароль и нажать кнопку «ОК».
При успешном подключении к домену, отобразится соответствующая информация
(Рис. 163).
140
Ввод в домен в «Центре управления системой»
Рис. 161
Параметры учетной записи с правами подключения к домену
Рис. 162
141
Успешное подключение к домену
Рис. 163
Далее необходимо перезагрузить рабочую станцию для применения всех настроек.
6.1.10.2 Ввод в домен в командной строке
Для ввода рабочей станции в домен можно воспользоваться следующей командой:
# system-auth write ad test.alt newhost test 'administrator' 'Pa$
$word'
Joined 'NEWHOST' to dns domain 'test.alt'
Перезагрузить рабочую станцию.
6.2 Групповые политики
Групповые политики – это набор правил и настроек для серверов и рабочих станций, реали-
зуемых в корпоративных решениях. В соответствии с групповыми политиками производится на-
стройка рабочей среды относительно локальных политик, действующих по умолчанию. В данном
разделе рассмотрена реализация поддержки групповых политик Active Directory в решениях на
базе дистрибутивов ALT.
В дистрибутивах ALT для применения групповых политик, на данный момент, предлагает-
ся использовать инструмент gpupdate. Инструмент рассчитан на работу на машине, введённой в
домен Samba.
Интеграция в инфраструктуру LDAP-объектов Active Directory позволяет осуществлять
привязку настроек управляемых конфигураций объектам в дереве каталогов. Кроме глобальных
настроек в рамках домена, возможна привязка к следующим группам объектов:
подразделения (OU) – пользователи и компьютеры, хранящиеся в соответствующей части
дерева объектов;
сайты – группы компьютеров в заданной подсети в рамках одного и того же домена;
конкретные пользователи и компьютеры.
Кроме того, в самих объектах групповых политик могут быть заданы дополнительные усло-
вия, фильтры и ограничения, на основании которых принимается решение о том, как применять
данную групповую политику.
142
Политики подразделяются на политики для компьютеров (Machine) и политики для пользо-
вателей (User). Политики для компьютеров применяются на хосте в момент загрузки, а также в
момент явного или регулярного запроса планировщиком (раз в час). Пользовательские политики
применяются в момент входа в систему.
Групповые политики можно использовать для разных целей, например:
установки домашней страницы браузера Firefox/Chromium (экспериментальная политика).
Можно установить при использовании ADMX-файлов Mozilla Firefox (пакет admx-fire-
fox), Google Chrome (пакет admx-chromium) и Yandex (пакет admx-yandex-browser)
соответственно;
управления почтовым клиентом Mozilla Thunderbird. Возможно установить при использова-
нии ADMX-файлов Mozilla Thunderbird (пакет admx-thunderbird);
установки запрета на подключение внешних носителей;
управления политиками control (реализован широкий набор настроек). Можно установить
при использовании ADMX-файлов ALT;
включения или выключения различных служб (сервисов systemd). Можно установить при
использовании ADMX-файлов ALT;
настройки удаленного доступа к рабочему столу (VNC) и настройки графической среды
MATE. Можно установить при использовании ADMX-файлов ALT;
настройки среды рабочего стола KDE (экспериментальная политика). Можно установить
при использовании ADMX-файлов ALT;
управление настройками службы Polkit (реализован широкий набор настроек). Возможно
установить при использовании ADMX-файлов ALT;
подключения сетевых дисков;
управления переменными среды;
управления общими каталогами (экспериментальная политика);
генерирования (удаления/замены) ярлыков для запуска программ;
создания каталогов;
управления файлами (экспериментальная политика);
управления сценариями запуска и завершения работы компьютера, входа и выхода пользо-
вателя из системы (экспериментальная политика);
установки и удаления пакетов (экспериментальная политика).
П р и м е ч а н и е . Модули (настройки), помеченные как экспериментальные, необходимо
включать вручную через ADMX-файлы ALT в разделе «Групповые политики».
143
6.2.1 Развертывание групповых политик
Процесс развёртывание групповых политик:
1. Развернуть «Альт Домен» (см. раздел «Альт Домен»).
2. Установить административные шаблоны. Для этого:
установить пакеты политик admx-basealt, admx-chromium, admx-firefox, admx-
yandex-browser, admx-thunderbird и утилиту admx-msi-setup:
# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-
browser admx-thunderbird admx-msi-setup
скачать и установить ADMX-файлы от Microsoft, выполнив команду:
# admx-msi-setup
П р и м е ч а н и е . По умолчанию, admx-msi-setup устанавливает последнюю версию
ADMX от Microsoft (сейчас это Microsoft Group Policy – Windows 10 October 2020 Update (20H2)).
С помощью параметров, можно указать другой источник:
# admx-msi-setup -h
admx-msi-setup - download msi files and extract them in <destination-
directory> default value is /usr/share/PolicyDefinitions/.
Usage: admx-msi-setup [-d <destination-directory>] [-s <admx-msi-
source>]
Removing admx-msi-setup temporary files...
после установки политики будут находиться в каталоге /usr/share/PolicyDefini-
tions. Необходимо скопировать локальные ADMX-файлы в сетевой каталог sysvol (/
var/lib/samba/sysvol/<DOMAIN>/Policies/):
# samba-tool gpo admxload -U Administrator
3. Ввести машину в домен по инструкции (см. раздел «Подключение к домену
на рабочей станции»).
П р и м е ч а н и е . Должен быть установлен пакет alterator-gpupdate:
# apt-get install alterator-gpupdate
Для автоматического включения групповых политик, при вводе в домен, в окне ввода име-
ни и пароля пользователя, имеющего право вводить машины в домен, отметить пункт «Включить
групповые политики» (Рис. 164).
Политики будут включены сразу после ввода в домен (после перезагрузки системы).
144
Модуль ЦУС «Групповые политики»
Рис. 164
П р и м е ч а н и е . Если машина уже находится в домене, можно вручную включить группо-
вые политики с помощью модуля alterator-gpupdate. Для этого в ЦУС в разделе «Система»
→ «Групповые политики» следует выбрать шаблон локальной политики («Сервер», «Рабочая
станция» или «Контроллер домена») и установить отметку в пункте «Управление групповыми по-
литиками» (Рис. 165).
Модуль ЦУС «Групповые политики»
Рис. 165
4. На рабочей станции, введённой в домен, установить административные
инструменты (модуль удаленного управления базой данных конфигурации (ADMC) и
модуль редактирования настроек клиентской конфигурации (GPUI)):
# apt-get install admc gpui
П р и м е ч а н и е . В настоящее время GPUI не умеет читать файлы ADMX с контроллера доме-
на. Для корректной работы необходимо установить пакеты admx и файлы ADMX от Microsoft:
145
# apt-get install admx-basealt admx-samba admx-chromium admx-firefox
admx-yandex-browser admx-thunderbird admx-msi-setup
# admx-msi-setup
5. Настроить, если это необходимо, RSAT на машине с ОС Windows
(управление сервером Samba с помощью RSAT поддерживается из среды до Windows
2012R2 включительно):
ввести машину с ОС Windows в домен (управление сервером Samba с помощью RSAT под-
держивается из среды до Windows 2012R2 включительно);
включить компоненты удаленного администрирования (этот шаг можно пропустить, если
административные шаблоны были установлены на контроллере домена). Для задания кон-
фигурации с помощью RSAT необходимо скачать файлы административных шаблонов
(файлы ADMX) и зависящие от языка файлы ADML из репозитория
http://git.altlinux.org/gears/a/admx-basealt.git (https://github.com/altlinux/admx-basealt) и разме-
стить их в каталоге \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\PolicyDefinitions.
6. корректно установленные административные шаблоны будут отображены в
оснастке «Редактор управления групповыми политиками» в разделе «Конфигурация
компьютера»/ «Конфигурация пользователя» → «Политики» → «Административные
шаблоны» (Рис. 166).
Административные шаблоны в консоли gpme.msc
146
Рис. 166
6.2.2 Пример создания групповой политики
Для создания групповой политики на машине, введённой в домен, необходимо выполнить
следующие шаги:
добавить доменные устройства (компьютеры/пользователи) в подразделение (OU) (инстру-
мент ADMC или оснастка Active Directory «Пользователи и компьютеры»);
создать политику и назначить её на OU (ADMC или оснастка «Управление групповой поли-
тикой»);
отредактировать параметры политики (GPUI или оснастка «Редактор управления групповы-
ми политиками»).
В качестве примера, создадим политику, разрешающую запускать команду ping только
суперпользователю (root).
В ADMC на рабочей станции, введённой в домен, или в оснастке Active Directory – пользо-
ватели и компьютеры необходимо создать подразделение (OU) и переместить в него компьютеры
и пользователей домена.
Для использования ADMC следует сначала получить билет Kerberos для администратора
домена:
$ kinit administrator
Password for administrator@TEST.ALT:
Далее запустить ADMC. Интерфейс ADMC показан на Рис. 167.
Интерфейс ADMC
Рис. 167
Для создания подразделения следует:
в контекстном меню домена выбрать пункт «Создать» → «Подразделение» (Рис. 168);
147
в открывшемся окне ввести название подразделения (например, OU) и нажать кнопку «ОК»
(Рис. 169).
ADMC. Создание нового подразделения
Рис. 168
ADMC. Новое подразделение
Рис. 169
Далее необходимо переместить компьютеры и пользователей домена в подразделение OU
(Рис. 170):
в контекстном меню пользователя/компьютера выбрать пункт «Переместить…»;
в открывшемся диалоговом окне «Выбор контейнера – ADMC» выбрать контейнер, в кото-
рый следует переместить учетную запись пользователя.
Для создания политики для подразделения необходимо:
в контекстном меню подразделения (в папке «Объекты групповой политики») выбрать
пункт «Создать политику и связать с этим подразделением» (Рис. 171);
в открывшемся окне ввести название политики и нажать кнопку «ОК» (Рис. 172).
148
Компьютеры и пользователи в подразделении OU
Рис. 170
ADMC. Контекстное меню подразделения в объектах групповых политик
Рис. 171
ADMC. Создание объекта групповой политики
Рис. 172
149
Редактирование настроек групповой политики:
в контекстном меню созданной политики выбрать пункт «Изменить…» (Рис. 173);
откроется окно редактирования групповых политик (GPUI) (Рис. 174);
перейти в «Компьютер» → «Административные шаблоны» → «Система ALT». Здесь есть
несколько разделов, соответствующих категориям control. Выбрать раздел «Сетевые прило-
жения», в правом окне редактора отобразится список политик (Рис. 175);
щелкнуть левой кнопкой мыши на политике «Разрешения для /usr/bin/ping». Откроется диа-
логовое окно настройки политики. Выбрать параметр «Включено», в выпадающем списке
«Кому разрешено выполнять» выбрать пункт «Только root» и нажать кнопку «ОК» (Рис.
176);
после обновления политики на клиенте, выполнять команду ping сможет только админи-
стратор:
$ ping localhost
bash: ping: команда не найдена
$ /usr/bin/ping localhost
bash: /usr/bin/ping: Отказано в доступе
# control ping
restricted
ADMC. Контекстное меню объекта групповой политики
Рис. 173
150
Модуль редактирования настроек клиентской конфигурации (GPUI)
Рис. 174
Модуль редактирования настроек клиентской конфигурации (GPUI)
Рис. 175
151
GPUI. Диалоговое окно настройки политики
Рис. 176
Пример создания групповой политики на машине с ОС Windows:
на машине, с установленным RSAT, открыть оснастку «Управление групповыми политика-
ми» (gpmc.msc);
создать новый объект групповой политики (GPO) и связать его с подразделением (OU), в
который входят машины или учетные записи пользователей;
в контекстном меню GPO, выбрать пункт «Изменить…». Откроется редактор GPO;
перейти в раздел «Конфигурация компьютера» → «Политики» → «Административные ша-
блоны» → «Система ALT». Здесь есть несколько подразделов, соответствующих категори-
ям control. Выбрать раздел «Сетевые приложения», в правом окне редактора отобразится
список политик (Рис. 177);
дважды щелкнуть левой кнопкой мыши на политике «Разрешения для /usr/bin/ping».
Откроется диалоговое окно настройки политики (Рис. 178). Выбрать параметр «Включить»,
в выпадающем списке «Кому разрешено выполнять» выбрать пункт «Только root» и нажать
кнопку «Применить».
152
Раздел «Сетевые приложения»
Рис. 177
Политика «Разрешения для /usr/bin/ping»
Рис. 178
153
П р и м е ч н и е . Для диагностики механизмов применения групповых политик на клиенте
можно выполнить команду:
# gpoa --loglevel 0
В выводе команды будут фигурировать полученные групповые объекты. В частности, соот-
ветствующий уникальный код (GUID) объекта.
6.3 Samba в режиме файлового сервера
Samba – пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на
различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную
части.
6.3.1 Настройка smb.conf
П р и м е ч а н и е . После редактирования файла /etc/samba/smb.conf, следует запу-
стить команду testparm для проверки файла на синтаксические ошибки:
# testparm /etc/samba/smb.conf
И, в случае отсутствия ошибок, перезапустить службы smb и nmb, чтобы изменения вступи-
ли в силу:
# systemctl restart smb
# systemctl restart nmb
Каждый раздел в файле конфигурации (кроме раздела [global]) описывает общий ресурс.
Название раздела – это имя общего ресурса. Параметры в разделе определяют свойства общего
ресурса.
Общий ресурс состоит из каталога, к которому предоставляется доступ, а также описания
прав доступа, которые предоставляются пользователю.
Разделы – это либо общие файловые ресурсы, либо службы печати. Разделам может быть
назначен гостевой доступ, в этом случае для доступа к ним не требуется пароль (для определения
прав доступа используется специальная гостевая учетная запись). Для доступа к разделам, к кото-
рым запрещен гостевой доступ, потребуется пароль.
П р и м е ч а н и е . Samba использует отдельную от системной базу данных пользователей.
Для возможности доступа пользователя к папке (если запрещен гостевой доступ) необходимо вне-
сти его в базу данных samba и установить пароль для доступа к общим ресурсам (он может совпа-
дать с основным паролем пользователя). Следует учитывать, что в базу данных samba можно до-
бавлять только тех пользователей, которые уже есть в системе. Добавить пользователя в базу дан-
ных Samba можно, выполнив команду (должен быть установлен пакет samba-common-client):
# smbpasswd -a <имя_пользователя>
В файле конфигурации есть три специальных раздела: [global], [homes] и [printers].
154
Раздел [global]
Параметры в этом разделе применяются к серверу в целом или являются значениями по
умолчанию для разделов, и могут быть переопределены в разделе.
Раздел [homes]
Используется для подключения домашних каталогов пользователей. При каждом обраще-
нии Samba сначала ищет имя запрошенного ресурса в списке общих ресурсов, и если имя не
найдено проверяет наличие в конфигурации секции [homes]. Если такая секция есть, то имя трак-
туется как имя пользователя, и проверяется по базе данных пользователей сервера Samba. Если
имя найдено в базе данных пользователей, то Samba предоставляет в качестве общего ресурса до-
машний каталог этого пользователя. Аналогичный процесс происходит, если имя запрошенного
ресурса – «homes», за исключением того, что имя общего ресурса меняется на имя запрашивающе-
го пользователя.
Раздел [printers]
Если в файле конфигурации имеется раздел [printers], пользователи могут подключаться к
любому принтеру, указанному в файле printcap локального хоста.
П р и м е ч а н и е . В одноранговой сети (т.е. если Samba используется исключительно как
файловый сервер, а не как контроллер домена) для возможности использования файлового ресурса
[homes], необходимо добавить каждого локального пользователя в список пользователей Samba,
например:
# smbpasswd -a user
New SMB password:
Retype new SMB password:
Added user user.
П р и м е ч а н и е . Если в разделе [homes] указан гостевой доступ (guest ok = yes), все
домашние каталоги будут видны всем клиентам без пароля. Если это действительно нужно (хотя
маловероятно), разумно также указать доступ только для чтения (read only = yes).
Примечание. Флаг browseable для домашних каталогов будет унаследован от гло-
бального флага browseable, а не флага browseable раздела [homes]. Таким образом, установ-
ка browseable = no в разделе [homes] скроет общий ресурс [homes], но сделает видимыми все
автоматические домашние каталоги.
Описание некоторых параметров:
browseable – определяет, отображается ли этот общий ресурс в списке доступных общих
ресурсов в сетевом окружении и в списке просмотра (по умолчанию: browseable = yes);
path – указывает каталог, к которому должен быть предоставлен доступ;
155
read only – если для этого параметра задано значение «yes», то пользователи службы не
могут создавать или изменять файлы в каталоге (по умолчанию: read only = yes);
writable – инвертированный синоним для read only (по умолчанию: writeable = no);
write list – список пользователей, которым будет предоставлен доступ для чтения и
записи. Если пользователь находится в этом списке, ему будет предоставлен доступ для за-
писи, независимо от того, какой параметр установлен для параметра read only. Список
может включать имена групп с использованием синтаксиса @group;
read list – список пользователей, которым будет предоставлен доступ только для чте-
ния. Если пользователь находится в этом списке, ему не будет предоставлен доступ для за-
писи, независимо от того, какой параметр установлен для параметра read only. Список
может включать имена групп;
guest ok – если этот параметр имеет значение «yes», то для подключения к ресурсу не
требуется пароль (по умолчанию: guest ok = no);
guest only – разрешить только гостевые соединения к общему ресурсу (по умолчанию:
guest only = no);
printable – если этот параметр имеет значение «yes», то клиенты могут открывать, пи-
сать и ставить задания в очередь печати (по умолчанию: printable = no);
map to guest – определяет что делать с запросами, которые не удалось аутентифициро-
вать: «Never» – запросы с неправильными паролями будут отклонены; «Bad user» – запросы
с неправильными паролями будут отклонены, если такое имя пользователя существует (по
умолчанию: map to guest = Never).
Пример настройки /etc/samba/smb.conf для работы Samba в режиме файлового
сервера с двумя открытыми для общего доступа ресурсами, домашними каталогами пользователей
и принтером (закомментированные параметры действуют по умолчанию):
[global]
workgroup = WORKGROUP
server string = Samba Server Version %v
security = user
log file = /var/log/samba/log.%m
max log size = 50
guest ok = yes
cups options = raw
map to guest = Bad User
; idmap config * : backend = tdb
[homes]
156
comment = Home Directory for '%u'
browseable = no
writable = yes
guest ok = no
[share]
comment = Common place
path = /srv/share
read only = No
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
; guest ok = no
; writable = no
printable = yes
# Каталог доступный только для чтения, за исключением пользователей
# входящих в группу "staff"
[public]
comment = Public Stuff
path = /home/samba
public = yes
writable = yes
write list = +staff
; browseable = yes
[Free]
path = /mnt/win/Free
read only = no
; browseable = yes
guest ok = yes
Просмотр ресурсов, доступных пользователю user:
# smbclient -L 192.168.0.157 -Uuser
Password for [WORKGROUP\user]:
Sharename Type Comment
--------- ---- -------
share Disk Commonplace
public Disk Public Stuff
157
Free Disk
IPC$ IPC IPC Service (Samba 4.20.6-alt3)
user Disk Home Directory for 'user'
Обращение к домашней папке пользователя выполняется по имени пользователя
(например, smb://192.168.0.157/user).
П р и м е ч а н и е . Для ознакомления с прочими возможностями, читайте руководство по
smb.conf. Для этого используйте команду man smb.conf.
6.3.2 Монтирование ресурса Samba через /etc/fstab
Создать файл /etc/samba/sambacreds (например, командой mcedit
/etc/samba/sambacreds), с содержимым:
username=имя_пользователя
password=пароль
Для монтирования ресурса Samba в /etc/fstab необходимо прописать:
//server/public /mnt/server_public cifs users,credentials=/etc/samba/
sambacreds 0 0
Для защиты информации, права на файл /etc/samba/sambacreds, необходимо
установить так, чтобы файл был доступен только владельцу и принадлежал root:
chmod 600 /etc/samba/sambacreds
chown root: /etc/samba/sambacreds
6.4 SOGo
SOGo – сервер групповой работы, аналогичный Microsoft Exchange, с веб-интерфейсом и
доступом по MAPI для Microsoft Outlook.
SOGo обеспечивает веб-интерфейс на основе AJAX и поддерживает различные нативные
клиенты с помощью стандартных протоколов.
Возможности SOGo:
общие почтовые папки, календари и адресные книги;
веб-интерфейс, аналогичный Outlook Web Access;
поддержка протоколов CalDAV, CardDAV, GroupDAV, Microsoft ActiveSync, IMAP и
SMTP;
доступ по MAPI для Microsoft Outlook, не требующий внешних модулей;
делегирование, уведомления, резервирование, поддержка категорий и почтовых фильтров;
поддержка нескольких почтовых ящиков в веб-интерфейсе;
Single sign-on с помощью CAS, WebAuth или Kerberos.
П р и м е ч а н и е . MAPI over HTTPS не поддерживается.
158
6.4.1 Установка
Для установки стабильной версии SOGo необходимо выполнить команду (драйвер к
PostgreSQL будет установлен автоматически):
# apt-get install task-sogo
6.4.2 Подготовка среды
Подготовить к запуску и настроить службы PostgreSQL:
создать системные базы данных (пароль пользователя PostgreSQL необходимо запомнить):
# /etc/init.d/postgresql initdb
Введите новый пароль суперпользователя:
Повторите его:
запустить службу:
# systemctl start postgresql
Создать пользователя sogo и базу данных sogo (пароль необходимо запомнить) и базу
данных sogo (при запросе «Пароль» следует ввести пароль пользователя postgresql, созданный при
создании системных баз данных):
# su - postgres -s /bin/sh -c 'createuser --no-superuser --no-createdb --no-create-
role --encrypted –pwprompt sogo'
Введите пароль для новой роли:
Повторите его:
Пароль:
# su - postgres -s /bin/sh -c 'createdb -O sogo sogo'
Пароль:
# systemctl restart postgresql
Настройка «Альт Домен»:
предварительно создать «Альт Домен» (см. «Альт Домен»);
создать в домене пользователя sogo с паролем Pa$$word (при запросе дважды ввести па-
роль):
# samba-tool user add sogo
# samba-tool user setexpiry --noexpiry sogo
6.4.2.1 Настройка SOGo
SOGo настраивается на домен test.alt.
Заполнить файл конфигурации /etc/sogo/sogo.conf:
{
SOGoProfileURL = "postgresql://sogo:password@/sogo/sogo_user_profile";
OCSFolderInfoURL = "postgresql://sogo:password@/sogo/sogo_folder_info";
OCSSessionsFolderURL = "postgresql://sogo:password@/sogo/sogo_sessions_folder";
OCSEMailAlarmsFolderURL = "postgresql://sogo:password@/sogo/sogo_alarms_folder";
159
SOGoEnableEMailAlarms = YES;
SOGoDraftsFolderName = Drafts;
SOGoSentFolderName = Sent;
SOGoTrashFolderName = Trash;
SOGoIMAPServer = "imaps://localhost:993/?tlsVerifyMode=allowInsecureLocalhost";
SOGoMailingMechanism = sendmail;
SOGoForceExternalLoginWithEmail = NO;
NGImap4ConnectionStringSeparator = "/";
SOGoUserSources = (
{
id = sambaLogin;
displayName = "SambaLogin";
canAuthenticate = YES;
type = ldap;
CNFieldName = cn;
IDFieldName = cn;
UIDFieldName = sAMAccountName;
hostname = "ldaps://127.0.0.1";
baseDN = "CN=Users,DC=test,DC=alt";
bindDN = "CN=sogo,CN=Users,DC=test,DC=alt";
bindPassword = "Pa$$word";
bindFields = (sAMAccountName);
},
{
id = sambaShared;
displayName = "Shared Addressbook";
canAuthenticate = NO;
isAddressBook = YES;
type = ldap;
CNFieldName = cn;
IDFieldName = mail;
UIDFieldName = mail;
hostname = "ldaps://127.0.0.1";
baseDN = "CN=Users,DC=test,DC=alt";
bindDN = "CN=sogo,CN=Users,DC=test,DC=alt";
bindPassword = "Pa$$word";
filter = "((NOT isCriticalSystemObject='TRUE') AND (mail='*') AND (NOT ob-
jectClass=contact))";
},
{
id = sambaContacts;
displayName = "Shared Contacts";
160
canAuthenticate = NO;
isAddressBook = YES;
type = ldap;
CNFieldName = cn;
IDFieldName = mail;
UIDFieldName = mail;
hostname = "ldaps://127.0.0.1";
baseDN = "CN=Users,DC=test,DC=alt";
bindDN = "CN=sogo,CN=Users,DC=test,DC=alt";
bindPassword = "Pa$$word";
filter = "((((objectClass=person) AND (objectClass=contact) AND
((uidNumber>=2000) OR (mail='*')))
AND (NOT isCriticalSystemObject='TRUE') AND (NOT showInAdvanced-
ViewOnly='TRUE') AND (NOT uid=Guest))
OR (((objectClass=group) AND (gidNumber>=2000)) AND (NOT isCritical-
SystemObject='TRUE') AND (NOT showInAdvancedViewOnly='TRUE')))";
mapping = {
displayname = ("cn");
};
}
);
SOGoSieveScriptsEnabled = YES;
SOGoLanguage = Russian;
SOGoTimeZone = Europe/Moscow;
SOGoFirstDayOfWeek = 1;
}
где password – пароль роли sogo, заданный при создании базы данных sogo.
Включить службы по умолчанию и перезапустить их:
# for service in samba postgresql memcached sogo httpd2;do systemctl enable
$service;systemctl restart $service;done
Возможные ошибки будут записаны в файл журнала /var/log/sogo/sogo.log.
6.4.3 Включение веб-интерфейса
Для включения веб-интерфейса необходимо выполнить команды:
# for mod in proxy proxy_http authn_core authn_file auth_basic authz_user env dav
headers rewrite version setenvif; do a2enmod $mod; done
# a2ensite SOGo
# systemctl restart httpd2 sogo
Веб-интерфейс SOGo будет доступен по адресу http://адрес_сервера/SOGo/ (Рис. 179).
П р и м е ч а н и е . Если при входе в веб-интерфейс возникает ошибка «Неправильный логин
или пароль» и в логах /var/log/sogo/sogo.log есть ошибки вида:
161
Jul 06 16:14:51 sogod [12257]: [ERROR] <0x0x5578db070b40[LDAPSource]> Could not bind
to the LDAP server ldaps://127.0.0.1 (389) using the bind DN:
CN=sogo,CN=Users,DC=test,DC=alt
Следует в файл /etc/openldap/ldap.conf добавить опцию TLS_REQCERT allow и
перезапустить службы samba и sogo:
# systemctl restart samba sogo
Форма входа в интерфейс SOGo
Рис. 179
6.4.4 Настройка электронной почты
Для использования электронной почты в SOGo (Рис. 180) необходимо настроить
аутентификацию в Active Directory для Postfix и Dovecot.
Использование электронной почты в SOGo
Рис. 180
В примере используется следующая конфигурация:
имя домена: test.alt;
162
размещение почты: /var/mail/<имя домена>/<имя пользователя> (формат maildir);
доступ на чтение почты: IMAP (порт 993), SSL;
доступ на отправку почты: SMTP (порт 465), SSL/STARTTLS;
данные аутентификации: email с доменом (например, petrov@test.alt) или имя пользователя.
П р и м е ч а н и е . У пользователей SambaDC должен быть указан атрибут mail. Указать
атрибут mail можно, например, при создании учётной записи, используя опцию --mail-ad-
dress:
# samba-tool user create petrov --mail-address='petrov@test.alt'
П р и м е ч а н и е . Доступ к серверу LDAP осуществляется по протоколу ldap без
шифрования. На контроллере домена SambaDC необходимо отключить ldaps в
/etc/samba/smb.conf в секции [global]:
ldap server require strong auth = no
и перезапустить samba:
# systemctl restart samba
Предварительно необходимо создать пользователя vmail (пароль Pa$$word) с не
истекающей учётной записью:
# samba-tool user create -W Users vmail
# samba-tool user setexpiry vmail --noexpiry
6.4.4.1 Настройка Postfix
Установить пакет postfix-ldap:
# apt-get install postfix-ldap
В каталоге /etc/postfix изменить файлы для домена test.alt:
изменить содержимое файла main.cf:
# Global Postfix configuration file. This file lists only a small subset
# of all parameters. For the syntax, and for a complete parameter list,
# see the postconf(5) manual page. For a commented and more complete
# version of this file see /etc/postfix/main.cf.dist
mailbox_command = /usr/libexec/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT"
inet_protocols = ipv4
# Mappings
virtual_mailbox_base = /var/mail
virtual_mailbox_domains = test.alt
virtual_mailbox_maps = ldap:/etc/postfix/ad_local_recipients.cf
virtual_alias_maps = ldap:/etc/postfix/ad_mail_groups.cf
virtual_transport = dovecot
local_transport = virtual
local_recipient_maps = $virtual_mailbox_maps
# SSL/TLS
smtpd_use_tls = yes
smtpd_tls_security_level = encrypt
#smtpd_tls_security_level = may
163
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = test.alt
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = ldap:/etc/postfix/ad_sender_login.cf
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /var/lib/ssl/certs/dovecot.cert
smtpd_tls_key_file = /var/lib/ssl/private/dovecot.key
smtpd_tls_CAfile = /var/lib/ssl/certs/dovecot.pem
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination,
permit_sasl_authenticated, reject
smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch
файл /etc/postfix/mydestination должен быть пустым;
в файл master.cf необходимо добавить строки:
dovecot unix - n n - - pipe
flags=DRhu user=mail:mail argv=/usr/libexec/dovecot/deliver -d ${recipient}
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
создать файл ad_local_recipients.cf:
version = 3
server_host = test.alt:389
search_base = dc=test,dc=alt
scope = sub
query_filter = (&(|(mail=%s)(otherMailbox=%u@%d))(sAMAccountType=805306368))
result_filter = %s
result_attribute = mail
special_result_attribute = member
bind = yes
bind_dn = cn=vmail,cn=users,dc=test,dc=alt
bind_pw = Pa$$word
создать файл ad_mail_groups.cf:
version = 3
server_host = test.alt:389
search_base = dc=test,dc=alt
timeout = 3
scope = sub
query_filter = (&(mail=%s)(sAMAccountType=268435456))
result_filter = %s
result_attribute = mail
special_result_attribute = member
bind = yes
bind_dn = cn=vmail,cn=users,dc=test,dc=alt
bind_pw = Pa$$word
создать файл ad_sender_login.cf:
version = 3
server_host = test.alt:389
search_base = dc=test,dc=alt
scope = sub
query_filter = (&(objectClass=user)(|(sAMAccountName=%s)(mail=%s)))
result_attribute = mail
bind = yes
164
bind_dn = cn=vmail,cn=users,dc=test,dc=alt
bind_pw = Pa$$word
перезапустить службу postfix:
# systemctl restart postfix
Проверка конфигурации Postfix (в выводе не должно быть никаких сообщений):
# postconf >/dev/null
Проверка пользователя почты petrov:
# postmap -q petrov@test.alt ldap:/etc/postfix/ad_local_recipients.cf
petrov@test.alt
Проверка входа:
# postmap -q petrov@test.alt ldap:/etc/postfix/ad_sender_login.cf
petrov@test.alt
Проверка общего адреса e-mail:
# samba-tool group add --mail-address=sales@test.alt Sales
Added group Sales
# samba-tool group addmembers Sales ivanov,petrov
Added members to group Sales
# postmap -q sales@test.alt ldap:/etc/postfix/ad_mail_groups.cf
sales@test.alt,ivanov@test.alt,petrov@test.alt
6.4.4.2 Настройка Dovecot
Установить Dovecot:
# apt-get install dovecot
Изменить файлы для домена test.alt:
создать файл /etc/dovecot/dovecot-ldap.conf.ext:
hosts = test.alt:3268
ldap_version = 3
auth_bind = yes
dn = cn=vmail,cn=Users,dc=test,dc=alt
dnpass = Pa$$word
base = cn=Users,dc=test,dc=alt
scope = subtree
deref = never
user_filter = (&(objectClass=user)(|(mail=%Lu)(sAMAccountName=%Lu)))
user_attrs = =uid=8,gid=12,mail=user
pass_filter = (&(objectClass=user)(|(mail=%Lu)(sAMAccountName=%Lu)))
pass_attrs = mail=user
привести файл /etc/dovecot/conf.d/10-auth.conf к виду:
auth_mechanisms = plain
!include auth-ldap.conf.ext
изменить файл /etc/dovecot/conf.d/10-mail.conf:
mail_location = maildir:/var/mail/%d/%n:UTF-8:INBOX=/var/mail/%d/%n/Inbox
mail_uid = mail
mail_gid = mail
first_valid_uid = 5
first_valid_gid = 5
изменить файл /etc/dovecot/conf.d/10-master.conf:
service imap-login {
inet_listener imap {
port = 0
}
165
inet_listener imaps {
}
}
service pop3-login {
inet_listener pop3 {
port = 0
}
inet_listener pop3s {
port = 0
}
}
service lmtp {
unix_listener lmtp {
}
}
service imap {
}
service pop3 {
}
service auth {
unix_listener auth-userdb {
}
unix_listener /var/spool/postfix/private/auth {
mode = 0600
user = postfix
group = postfix
}
}
service auth-worker {
}
service dict {
unix_listener dict {
}
}
изменить файл /etc/dovecot/conf.d/15-lda.conf:
protocol lda {
hostname = test.alt
postmaster_address = administrator@test.alt
}
изменить файл /etc/dovecot/conf.d/15-mailboxes.conf:
namespace inbox {
inbox = yes
mailbox Drafts {
auto = subscribe
special_use = \Drafts
}
mailbox Junk {
auto = subscribe
special_use = \Junk
}
mailbox Trash {
auto = subscribe
special_use = \Trash
}
mailbox Sent {
auto = subscribe
special_use = \Sent
}
mailbox "Sent Messages" {
special_use = \Sent
}
166
}
создать файл /etc/dovecot/conf.d/10-stats.conf:
service stats {
unix_listener stats-reader {
user = mail
group = mail
mode = 0660
}
unix_listener stats-writer {
user = mail
group = mail
mode = 0660
}
}
перезапустить службу dovecot:
# systemctl restart dovecot
Проверка конфигурации Dovecot (в выводе не должно быть никаких сообщений):
# doveconf >/dev/null
6.4.4.3 Безопасность
Так как конфигурационные файлы содержат пароль пользователя LDAP, их необходимо
сделать недоступным для чтения прочим пользователям:
# chown dovecot:root /etc/dovecot/dovecot-ldap.conf.ext
# chmod 0640 /etc/dovecot/dovecot-ldap.conf.ext
# chown root:postfix /etc/postfix/ad_local_recipients.cf /etc/postfix/ad_mail_group-
s.cf /etc/postfix/ad_sender_login.cf
# chmod 0640 /etc/postfix/ad_local_recipients.cf /etc/postfix/ad_mail_groups.cf /
etc/postfix/ad_sender_login.cf
Перезапустить службы:
# systemctl restart dovecot postfix
6.4.4.4 Проверка конфигурации
Проверка SMTP:
# date | mail -s test petrov@test.alt
# mailq
Mail queue is empty
Проверка IMAP (выход по <Ctrl>+<D>):
# openssl s_client -crlf -connect dc1.test.alt:993
...
tag login petrov@test.alt Pa$$word
tag OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT
SORT=DISPLAY THREAD=REFERENCES THREAD=REFS THREAD=ORDEREDSUBJECT MULTIAPPEND URL-PAR-
TIAL CATENATE UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE
QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS BINARY MOVE] Logged
in
где dc1.test.alt – имя узла сервера SOGo.
167
6.4.5 Настройка автоответчика, переадресации и фильтрации
В данном разделе рассмотрен процесс конфигурирования Dovecot с плагином Sieve, для
возможности фильтрации и переадресации писем.
Настройка Dovecot:
в файле /etc/dovecot/conf.d/dovecot.conf указать используемые протоколы:
protocols = imap lmtp submission sieve
в файл /etc/dovecot/conf.d/10-mail.conf добавить опцию mail_home с указа-
нием пути до каталогов с почтой:
mail_location = maildir:/var/mail/%d/%n:UTF-8:INBOX=/var/mail/%d/%n/Inbox
mail_uid = mail
mail_gid = mail
first_valid_uid = 5
first_valid_gid = 5
mail_home = /var/mail/%d/%n
Переменные %d и %n указывают на имя домена и имя учетной записи.
в файле /etc/dovecot/conf.d/15-lda.conf в раздел protocol lda добавить
плагин sieve:
mail_plugins = $mail_plugins sieve
в файле /etc/dovecot/conf.d/20-lmtp.conf в разделе protocol lmtp также
указать плагин sieve:
mail_plugins = $mail_plugins sieve
в файле /etc/dovecot/conf.d/20-managesieve.conf раскомментировать строку:
protocols = $protocols sieve
в файлe /etc/dovecot/conf.d/90-sieve.conf закомментировать строку
sieve = file:~/sieve;active=~/.dovecot.sieve и добавить новое её значение:
#sieve = file:~/sieve;active=~/.dovecot.sieve
sieve = file:/var/mail/%Ld/%n/sieve;active=/var/mail/%Ld/%n/active.sieve
в этом же файле раскомментировать опцию sieve_extensions и привести её к виду:
sieve_extensions = +notify +imapflags +vacation-seconds +vacation +date +relational
в файле /etc/dovecot/conf.d/10-auth.conf подключить master-users:
!include auth-master.conf.ext
в файле /etc/dovecot/master-users создать запись:
my_master_user@non-exist.com:{PLAIN}password::::::
Должно быть обязательно указано несуществующее имя домена. В реальных условиях
необходимо использовать хеш пароля (например, doveadm pw -s SSHA512).
в файле /etc/sogo/sieve.creds указать эти данные в виде:
my_master_user@non-exist.com:password
в начало файла /etc/cron.d/sogo дописать:
MAILTO=""
168
в этом же файле раскомментировать строку:
*/5 * * * * _sogo /usr/sbin/sogo-tool update-autoreply -p /etc/sogo/sieve.creds
В SOGo необходимо активировать окно настроек почтовых фильтров (параметр
SOGoSieveScriptsEnabled), окно настроек сообщений об отпуске (параметр
SOGoVacationEnabled), а также окно настроек адресов электронной почты для пересылки
(параметр SOGoForwardEnabled). Для этого в файл конфигурации /etc/sogo/sogo.conf
добавить строки:
SOGoSieveScriptsEnabled = YES;
SOGoVacationEnabled = YES;
SOGoForwardEnabled = YES;
SOGoSieveFolderEncoding = UTF-8;
Перезапустить службы:
# systemctl restart postfix dovecot sogo
В результате в веб-интерфейсе SOGo в настройках почты появятся три дополнительные
вкладки (Рис. 181). На вкладке «Фильтры» (Рис. 182) можно создавать фильтры и устанавливать
критерии, по которым они должны работать. На вкладке «Отпуск» (Рис. 183) можно настроить
автоответ на время отпуска. На вкладке «Пересылка» (Рис. 184) настраивается переадресация
электронной почты.
SOGo. Настройки почты
Рис. 181
169
SOGo. Настройка фильтра
Рис. 182
SOGo. Настройки автоответа на период отпуска
Рис. 183
170
SOGo. Настройка переадресации электронной почты
Рис. 184
6.5 FreeIPA
FreeIPA – это комплексное решение по управлению безопасностью Linux-систем, 389
Directory Server, MIT Kerberos, NTP, DNS, Dogtag, состоит из веб-интерфейса и интерфейса
командной строки.
FreeIPA является интегрированной системой проверки подлинности и авторизации в
сетевой среде Linux, FreeIPA сервер обеспечивает централизованную проверку подлинности,
авторизацию и контроль за аккаунтами пользователей сохраняя сведения о пользователе, группах,
узлах и других объектах необходимых для обеспечения сетевой безопасности.
6.5.1 Установка сервера FreeIPA
В качестве примера показана установка сервера FreeIPA со встроенным DNS сервером и
доменом EXAMPLE.TEST в локальной сети 192.168.0.0/24. В примере для установки сервера
используется узел: ipa.example.test (192.168.0.113).
Для корректной работы сервера должны соблюдаться следующие условия:
для сервера должно быть задано полное доменное имя (FQDN);
IP-адрес сервера не должен изменяться;
в настройках сетевого интерфейса должен быть указан собственный IP-адрес в качестве
первичного DNS.
Сетевые настройки можно выполнить как в графическом интерфейсе, так и в консоли:
в ЦУС в разделе «Сеть» → «Ethernet интерфейсы» задать имя компьютера, указать в поле
«DNS-серверы» IP-адрес машины и в поле «Домены поиска» – домен для поиска (Рис. 185);
в консоли:
задать имя компьютера:
# hostnamectl set-hostname ipa.example.test
171
указать собственный IP-адрес в качестве первичного DNS. Для этого создать файл
/etc/net/ifaces/enp0s3/resolv.conf со следующим содержимым:
nameserver 192.168.0.113
nameserver 8.8.8.8
search example.test
где enp0s3 – имя интерфейса, 192.168.0.113 – IP-адрес сервера;
обновить DNS адреса:
# resolvconf -u
Модуль Ethernet-интерфейсы
Рис. 185
П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться прило-
жения. Для решения этой проблемы необходимо перезагрузить систему.
Если настройка FreeIPA выполняется не сразу после установки ОС, во избежание
конфликтов с разворачиваемым tomcat необходимо отключить ahttpd, работающий на порту 8080,
а также отключить HTTPS в Apache2:
# systemctl stop ahttpd
# a2dissite 000-default_https
# systemctl condreload httpd2
# a2disport https
172
Установить необходимые пакеты:
# apt-get install freeipa-server freeipa-server-dns
или через компоненты:
# alteratorctl components install freeipa-server
Команда установки сервера FreeIPA, со встроенным DNS-сервером, автоматическим обна-
ружением обратных зон DNS и с настройкой сервера пересылок, в пакетном режиме:
# ipa-server-install -U --hostname=$(hostname) \
-r EXAMPLE.TEST -n example.test -p 12345678 -a 12345678 \
--setup-dns --forwarder 8.8.8.8 --auto-reverse
Для пакетной установки необходимо указать следующие параметры:
-r REALM_NAME – имя области Kerberos для сервера FreeIPA;
-n DOMAIN_NAME – доменное имя;
-p DM_PASSWORD – пароль, который будет использоваться сервером каталогов для мене-
джера каталогов (DM);
-a ADMIN_PASSWORD – пароль пользователя admin, администратора FreeIPA;
-U – позволить процессу установки выбрать параметры по умолчанию, не запрашивая у
пользователя информацию;
--hostname=HOST_NAME – полное DNS-имя этого сервера.
Чтобы установить сервер со встроенным DNS, должны также быть добавлены следующие
параметры:
--setup-dns – создать зону DNS, если она еще не существует, и настроить DNS-сервер;
--forwarder или --no-forwarders – в зависимости от того, нужно ли настроить сер-
веры пересылки DNS или нет;
--auto-reverse или --no-reverse – в зависимости от того, нужно ли настроить ав-
томатическое обнаружение обратных зон DNS, которые должны быть созданы в FreeIPA
DNS, или отключить автоматическое определение обратных зон.
Для запуска интерактивной установки следует выполнить команду:
# ipa-server-install
На первый вопрос, нужно ли сконфигурировать DNS-сервер BIND, следует ответить
утвердительно:
Do you want to configure integrated DNS (BIND)? [no]: yes
Остальные вопросы можно выбрать по умолчанию (просто нажать <Enter>). При установке
также потребуется ввести пароль администратора системы и пароль администратора каталогов
(пароли должны быть не менее 8 символов).
173
Перед началом конфигуририрования система выведет информацию о конфигурации и по-
просит ее подтвердить:
The IPA Master Server will be configured with:
Hostname: ipa.example.test
IP address(es): 192.168.0.113
Domain name: example.test
Realm name: EXAMPLE.TEST
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=EXAMPLE.TEST
Subject base: O=EXAMPLE.TEST
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 8.8.8.8
Forward policy: only
Reverse zone(s): 0.168.192.in-addr.arpa.
Continue to configure the system with these values? [no]: yes
После подтверждения начнется процесс конфигурации. После его завершения будет выве-
дена подсказка со следующими шагами.
Веб-интерфейс будет доступен по адресу https://ipa.example.test
Для возможности управлять сервером FreeIPA из командной строки необходимо получить
билет Kerberos:
# kinit admin
Добавить в DNS-запись о сервере времени:
# ipa dnsrecord-add example.test _ntp._udp --srv-priority=0 \
--srv-weight=100 --srv-port=123 --srv-target=ipa.example.test
Record name: _ntp._udp
SRV record: 0 100 123 ipa, 0 100 123 ipa.example.test
Проверить работу NTP-сервера можно командой:
# ntpdate -q localhost
server 127.0.0.1, stratum 4, offset -0.000082, delay 0.02570
24 Mar 10:11:57 ntpdate[25874]: adjust time server 127.0.0.1 offset
-0.000082 sec
174
Проверить наличие прямой и обратной зон можно, выполнив команды:
# ipa dnszone-show example.test
Имя зоны: example.test.
Активная зона: True
Полномочный сервер имён: ipa.example.test.
…
# ipa dnszone-show 0.168.192.in-addr.arpa.
Имя зоны: 0.168.192.in-addr.arpa.
Активная зона: True
Полномочный сервер имён: ipa.example.test.
…
П р и м е ч а н и е . В случае сбоя установки сервера FreeIPA некоторые файлы конфигурации
могут быть уже сконфигурированы. В этом случае дополнительные попытки установить сервер
FreeIPA завершатся неудачно. Чтобы решить эту проблему, перед повторной попыткой запуска
процесса установки, следует удалить частичную конфигурацию сервера FreeIPA:
# ipa-server-install --uninstall
Если ошибки при установке сервера FreeIPA остаются, следует переустановить ОС. Одним
из требований для установки сервера FreeIPA является чистая система без каких-либо настроек.
6.5.2 Добавление новых пользователей домена
Для добавления новых пользователей можно воспользоваться веб-интерфейсом FreeIPA.
Для этого необходимо открыть в веб-браузере адрес https://ipa.example.test/ipa/ui (Рис. 186) и вве-
сти данные администратора для входа в систему.
Веб-интерфейс FreeIPA
Рис. 186
175
Создать нового пользователя домена, для этого в окне на странице «Идентификация» →
«Пользователи» → «Активные пользователи» необходимо нажать кнопку «Добавить» (Рис. 187).
Пользователи домена
Рис. 187
В открывшемся окне (Рис. 188) необходимо ввести данные пользователя и нажать кнопку
«Добавить». Созданный пользователь появится в списке пользователей (Рис. 189).
Окно добавления нового пользователя домена
Рис. 188
176
Список пользователей домена
Рис. 189
6.5.3 Ввод рабочей станции в домен FreeIPA
6.5.3.1 Установка FreeIPA клиента
Установить необходимые пакеты:
# apt-get install freeipa-client libsss_sudo krb5-kinit bind-utils
libbind zip task-auth-freeipa
П р и м е ч а н и е . Очистить конфигурацию freeipa-client невозможно. В случае если это
необходимо (например, для удаления, переустановки freeipa-client) следует переустановить систе-
му.
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который
был сконфигурирован на сервере FreeIPA во время его установки. При получении IP-адреса по
DHCP данные о сервере DNS также должны быть получены от сервера DHCP. Ниже приведен
пример настройки сетевого интерфейса со статическим IP-адресом.
В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения
имен. Эти настройки можно выполнить как в графическом интерфейсе, так и в консоли:
в ЦУС в разделе «Сеть» → «Ethernet интерфейсы» задать имя компьютера, указать в поле
«DNS-серверы» DNS-сервер домена и в поле «Домены поиска» – домен для поиска (Рис.
190);
в консоли:
задать имя компьютера:
# hostnamectl set-hostname comp01.example.test
добавить DNS сервер, для этого необходимо создать файл /etc/net/ifaces/
eth0/resolv.conf со следующим содержимым:
nameserver 192.168.0.113
где 192.168.0.113 – IP-адрес DNS-сервера домена.
177
указать службе resolvconf, использовать DNS FreeIPA и домен для поиска. Для этого
в файле /etc/resolvconf.conf добавить/отредактировать следующие парамет-
ры:
interface_order='lo lo[0-9]* lo.* eth0'
search_domains= example.test
где eth0 – интерфейс, на котором доступен FreeIPA сервер, example.test – домен.
обновить DNS адреса:
# resolvconf -u
Настройка на использование DNS-сервера домена
Рис. 190
В результате выполненных действий в файле /etc/resolvconf.conf должны появить-
ся строки:
search example.test
nameserver 192.168.0.113
П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться прило-
жения. Для решения этой проблемы необходимо перезагрузить систему.
6.5.3.2 Ввод в домен в ЦУС
Для ввода рабочей станции в домен необходимо в ЦУС следует перейти в раздел «Пользо-
ватели» → «Аутентификация».
178
В открывшемся окне необходимо выбрать пункт «Домен FreeIPA» (Рис. 191) и заполнить
поля, после чего нажать кнопку «Применить».
Ввод в домен в «Центре управления системой»
Рис. 191
В открывшемся окне (Рис. 192) необходимо ввести имя пользователя, имеющего право вво-
дить машины в домен, и его пароль и нажать кнопку «ОК».
Параметры учетной записи с правами подключения к домену
Рис. 192
179
При успешном подключении к домену, отобразится соответствующая информация (Рис.
193).
Успешное подключение к домену
Рис. 193
Далее, для применения всех настроек, необходимо перезагрузить рабочую станцию.
6.5.3.3 Подключение к серверу в консоли
Запустить скрипт настройки клиента: в пакетном режиме:
# ipa-client-install -U -p admin -w 12345678
или интерактивно:
# ipa-client-install
Если все настроено верно, скрипт должен выдать такое сообщение:
'''Discovery was successful!'''
Client hostname: comp02.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test
Continue to configure the system with these values? [no]:
Необходимо ответить «yes», ввести имя пользователя, имеющего право вводить машины в
домен, и его пароль.
П р и м е ч а н и е . Если при входе в домен возникает такая ошибка:
Hostname (comp02.example.test) does not have A/AAAA record.
Failed to update DNS records.
Необходимо проверить IP-адрес доменного DNS сервера в файле /etc/resolv.conf.
В случае возникновения ошибки, необходимо перед повторной установкой запустить про-
цедуру удаления:
# ipa-client-install -U --uninstall
Для работы sudo-политик для доменных пользователей на клиентской машине необходимо
разрешить доступ к sudo:
# control sudo public
180
6.5.3.4 Вход пользователя
В окне входа в систему необходимо нажать ссылку «Нет в списке?» (Рис. 194), в открыв-
шемся окне ввести логин учетной записи пользователя домена (Рис. 195) и нажать <Enter>, ввести
пароль, соответствующий этой учетной записи (Рис. 196) и нажать <Enter>.
Окно входа в систему
Рис. 194
Вход пользователя
Рис. 195
181
Запрос пароля
Рис. 196
При первом входе пользователя будет запрошен текущий (установленный администрато-
ром) пароль и затем у пользователя запрашивается новый пароль и его подтверждение (Рис. 197,
Рис. 198).
Запрос текущего пароля при первом подключении к серверу FreeIPA
Рис. 197
Запрос нового пароля при первом подключении к серверу FreeIPA
Рис. 198
182
После первой авторизации доменный пользователь будет отображаться в списке пользова-
телей (Рис. 199). Отключить отображение списка пользователей на экране входа можно в прило-
жении «Настройки GDM» (Рис. 200) (должен быть установлен пакет gdm-settings).
Список пользователей
Рис. 199
Отключение списка пользователей на экране входа
Рис. 200
183
П р и м е ч а н и е . Для отключения отображения списка пользователей можно также
воспользоваться следующим решением:
1) создать файл 96-local-gdm-settings в каталоге /etc/dconf/db/gdm.d/ (каталог нужно предвари-
тельно создать, если его ещё не существует) со следующим содержимым:
[org/gnome/login-screen]
#Отключить список пользователей
disable-user-list=true
2) создать файл /etc/dconf/profile/gdm со следующим содержимым:
user-db:user
system-db:gdm
file-db:/usr/share/gdm/greeter-dconf-defaults
3) выполнить команду:
# dconf update
Предупреждение. Если машина до этого была в других доменах или есть проблемы со
входом пользователей рекомендуется очистить кэш sssd:
# systemctl stop sssd
# rm -f /var/lib/sss/db/*
# rm -f /var/lib/sss/mc/*
# systemctl start sssd
6.5.4 Удаление клиента FreeIPA
При удалении, клиент удаляется из домена FreeIPA вместе с конфигурацией системных
служб FreeIPA.
Для удаления клиента FreeIPA необходимо:
на клиенте ввести команду:
# ipa-client-install --uninstall
…
Client uninstall complete.
The original nsswitch.conf configuration has been restored.
You may need to restart services or reboot the machine.
Do you want to reboot the machine? [no]: yes
The ipa-client-install command was successful
на клиенте удалить, если они есть, старые принципалы Kerberos (кроме /etc/
krb5.keytab):
# ipa-rmkeytab -k /path/to/keytab -r EXAMPLE.TEST
на сервере FreeIPA удалить все записи DNS для клиентского узла:
# ipa dnsrecord-del
184
Имя записи: comp01
Имя зоны: example.test
Возможность удаления определённой записи не предусмотрена.
Удалить все? Yes/No (default No): yes
-----------------------
Удалена запись "comp01"
-----------------------
на сервере FreeIPA удалить запись узла с сервера LDAP FreeIPA (при этом будут удалены
все службы и отозваны все сертификаты, выданные для этого узла):
# ipa host-del comp01.example.test
---------------------------------
Удалён узел "comp01.example.test"
---------------------------------
6.5.5 Настройка репликации
Для установки реплики используется утилита ipa-replica-install. Реплики необхо-
димо устанавливать по одной. Установка нескольких реплик одновременно не поддерживается.
Новую реплику можно установить:
на существующем клиенте FreeIPA путем преобразования клиента в реплику;
на машине, которая еще не зарегистрирована в домене FreeIPA.
В обеих этих ситуациях можно настроить реплику, добавив нужные параметры в команду
ipa-replica-install.
Перед разворачиванием реплики необходимо убедиться, что при настройке DNS в процессе
инициализации FreeIPA была создана обратная зона DNS («Сетевые службы»→«DNS»→«Зоны
DNS») и в обратной зоне создана реверсивная запись для основного сервера 192.168.0.113.
П р и м е ч а н и е . Если реплика находится в другой IP-сети, необходимо вручную добавить
запись для обратной зоны реплики на сервере FreeIPA.
В примере для настройки репликации используется узел replica.example.test (192.168.0.145).
Перед настройкой репликации необходимо настроить систему на использование DNS-сер-
вера, который был сконфигурирован на сервере FreeIPA во время его установки:
в ЦУС в разделе «Сеть» → «Ethernet интерфейсы» задать имя компьютера, указать в поле
«DNS-серверы» IP-адрес сервера FreeIPA и в поле «Домены поиска» – домен для поиска
(Рис. 201);
в консоли:
задать имя компьютера:
# hostnamectl set-hostname replica.example.test
185
указать DNS и домен для поиска в файле /etc/net/ifaces/enp0s3/resolv.-
conf:
nameserver 192.168.0.113
nameserver 8.8.8.8
search example.test
где enp0s3 – имя интерфейса, 192.168.0.113 – IP-адрес сервера;
обновить DNS адреса:
# resolvconf -u
Настройка узла replica.example.test
Рис. 201
П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться прило-
жения. Для решения этой проблемы необходимо перезагрузить систему.
При установке реплики в системе, которая еще не зарегистрирована в домене FreeIPA, ути-
лита ipa-replica-install сначала регистрирует систему в качестве клиента, а затем устанавлива-
ет компоненты реплики. В примере, описанном ниже, для авторизации регистрации используется
случайный пароль, действительный только для одной регистрации этого клиента.
Установка реплики с использованием случайного пароля:
на сервере FreeIPA получить билет Kerberos:
$ kinit admin
на сервере FreeIPA добавить внешнюю систему в качестве узла FreeIPA:
186
$ ipa host-add replica.example.test --random --ip-address=192.168.0.145
----------------------------------
Добавлен узел "replica.example.test"
----------------------------------
Имя узла: replica.example.test
Случайный пароль: 2AaT0Ix8itDsYugdDGoRtBt
Пароль: True
Таблица ключей: False
Managed by: replica.example.test
на сервере FreeIPA добавить систему replica.example.test в группу узлов ipaservers:
$ ipa hostgroup-add-member ipaservers --hosts replica.example.test
Группа узлов: ipaservers
Описание: IPA server hosts
Узлы-участники: ipa.example.test, replica.example.test
-----------------------------------
Количество добавленных участников 1
-----------------------------------
на машине, где будет установлена реплика, установить необходимые пакеты:
# apt-get install freeipa-server freeipa-server-dns
на машине, где будет установлена реплика, запустить утилиту ipa-replica-install,
указав сгенерированный пароль в параметре --password (т.к. пароль часто содержит спе-
циальные символы, следует заключить его в одинарные кавычки):
# ipa-replica-install --password='2AaT0Ix8itDsYugdDGoRtBt' \
--setup-ca --setup-dns --forwarder 192.168.0.113 --forwarder 8.8.8.8
Configuring client side components
This program will set up IPA client.
Version 4.9.14
Discovery was successful!
Client hostname: replica.example.test
Realm: EXAMPLE.TEST
DNS Domain: example.test
IPA Server: ipa.example.test
BaseDN: dc=example,dc=test
…
The ipa-client-install command was successful
…
187
The ipa-replica-install command was successful
П р и м е ч а н и е . dbus может мешать проверке соединений при установке реплики, при по-
явлении ошибок может помочь перезапуск сервиса:
# systemctl reload dbus
После создания реплики можно проверить, реплицирует ли реплика данные должным об-
разом:
создать пользователя на новой реплике:
$ kinit admin
$ ipa user-add test_user
убедиться, что пользователь виден на другой реплике:
$ kinit admin
$ ipa user-show test_user
После настройки и репликации контроллеров посмотреть топологию можно в веб-интер-
фейсе FreeIPA (Рис. 202) («IPA-сервер» → «Топология» → «Topology Graph»).
Топология FreeIPA
Рис. 202
6.6 Система мониторинга Zabbix
Zabbix – система мониторинга и отслеживания статусов разнообразных сервисов
компьютерной сети, серверов и сетевого оборудования.
Для управления системой мониторинга и чтения данных используется веб-интерфейс.
Перед установкой должен быть установлен и запущен сервер PostgreSQL, с созданным
пользователем zabbix и созданной базой zabbix.
6.6.1 Установка сервера PostgreSQL
Установить PostgreSQL, Zabbix-сервер и дополнительную утилиту fping:
# apt-get install postgresql17-server zabbix-server-pgsql fping
Подготовить к запуску и настроить службы PostgreSQL:
188
создать системные базы данных (потребуется также создать пароль суперпользователя
PostgreSQL):
# /etc/init.d/postgresql initdb
…
Введите новый пароль суперпользователя:
Повторите его:
…
включить по умолчанию и запустить службу postgresql:
# systemctl enable --now postgresql
создать пользователя zabbix и базу данных zabbix (под правами root):
# postgres -s /bin/sh -c 'createuser --no-superuser --no-createdb --
no-createrole --encrypted --pwprompt zabbix'
Введите пароль для новой роли:
Повторите его:
Пароль:
# postgres -s /bin/sh -c 'createdb -O zabbix zabbix'
Пароль:
# systemctl restart postgresql
добавить в базу данные для веб-интерфейса (последовательность команд важна, в разных
версиях Zabbix путь будет отличаться, версия помечена звёздочкой):
# postgres -s /bin/sh -c 'psql -U zabbix -f /usr/share/doc/zabbix-com-
mon-database-pgsql-*/schema.sql zabbix'
Пароль пользователя zabbix:
# postgres -s /bin/sh -c 'psql -U zabbix -f /usr/share/doc/zabbix-com-
mon-database-pgsql-*/images.sql zabbix'
Пароль пользователя zabbix:
# postgres -s /bin/sh -c 'psql -U zabbix -f /usr/share/doc/zabbix-com-
mon-database-pgsql-*/data.sql zabbix'
Пароль пользователя zabbix:
6.6.2 Установка Apache2
Установить необходимые пакеты:
# apt-get install apache2 apache2-mod_php8.3
Добавить в автозапуск и запустить apache2:
189
# systemctl enable --now httpd2
6.6.3 Установка PHP
Примечание. Начиная с версии php8.0, пакеты модулей именуются следующим образом:
php<мажорная>.<минорная версии>-<имя модуля>
Из репозитория можно установить и эксплуатировать в одной системе одновременно
разные версии PHP. В данном руководстве в качестве примера используется php8.3.
Установить необходимые пакеты:
# apt-get install php8.3 php8.3-mbstring php8.3-sockets php8.3-gd ph-
p8.3-xmlreader php8.3-pgsql php8.3-ldap php8.3-openssl
Изменить опции php в файле /etc/php/8.3/apache2-mod_php/php.ini:
memory_limit = 256M
post_max_size = 32M
max_execution_time = 600
max_input_time = 600
date.timezone = Europe/Moscow
always_populate_raw_post_data = -1
Перезапустить apache2:
# systemctl restart httpd2
6.6.4 Настройка и запуск Zabbix-сервера
Внести изменения в конфигурационный файл /etc/zabbix/zabbix_server.conf:
DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=Пароль от базы
Добавить Zabbix-сервер в автозапуск и запустить его:
# systemctl enable --now zabbix_pgsql
6.6.5 Установка веб-интерфейса Zabbix
Установить метапакет:
# apt-get install zabbix-phpfrontend-apache2
Включить аддоны в apache2:
# ln -s /etc/httpd2/conf/addon.d/A.zabbix.conf /etc/httpd2/conf/extra-
enabled/
Перезапустить apache2:
# systemctl restart httpd2
190
Изменить права доступа к конфигурационной директории веб-интерфейса, чтобы веб-
установщик мог записать конфигурационный файл:
# chown apache2:apache2 /var/www/webapps/zabbix/ui/conf
Перейти на страницу установки zabbix сервера: http://<ip-сервера>/zabbix (Рис. 203). Здесь
можно выбрать язык установки.
Страница установки Zabbix сервера
Рис. 203
П р и м е ч а н и е . Если при входе на страницу http://<ip-сервера>/zabbix появляется ошибка:
«доступ запрещен», следует в файле /etc/httpd2/conf/sites-
available/default.conf в секцию <Directory> добавить запись:
Require all granted
и перезапустить apache2:
# systemctl restart httpd2
При первом заходе на страницу запустится мастер, который шаг за шагом проверит
возможности веб-сервера, интерпретатора PHP и сконфигурирует подключение к базе данных.
Для начала установки необходимо нажать кнопку «Далее», что осуществит переход на
страницу проверки предварительных условий (Рис. 204). Необходимо доустановить то, что
требуется и перейти на следующую страницу.
191
Zabbix. Страница проверки предварительных условий
Рис. 204
На этой странице (Рис. 205) необходимо ввести параметры подключения к базе данных
(параметры подключения нужно указывать такие же, как у сервера Zabbix). По умолчанию в
качестве «Database schema» необходимо указать «public».
Zabbix. Параметры подключения к базе данных
Рис. 205
193
Zabbix. Окончание установки
Рис. 208
После окончания установки на экране будет отображаться форма входа в интерфейс
управления системой мониторинга (Рис. 209). Параметры доступа по умолчанию:
Логин: Admin
Пароль: zabbix
Форма входа в интерфейс управления системой мониторинга
Рис. 209
Войдя в систему, нужно сменить пароль пользователя, завести других пользователей и
можно начать настраивать Zabbix (Рис. 210).
194
Интерфейс управления системой мониторинга
Рис. 210
В профиле пользователя (Рис. 211) можно настроить некоторые функции веб-интерфейса
Zabbix, такие, как язык интерфейса, цветовая тема, количество отображаемых строк в списках и
т.п. Сделанные в профиле изменения будут применены только к пользователю, в профиле которо-
го были сделаны эти изменения.
Профиль пользователя
Рис. 211
Чтобы собирать информацию с узлов, сервер Zabbix использует информацию, получаемую
от агентов. Чтобы добавить новый узел, следует установить на узел, который необходимо
мониторить, Zabbix-агент и добавить новый хост на Zabbix-сервере.
195
6.6.6 Установка клиента Zabbix
Установить необходимый пакет:
# apt-get install zabbix-agent
Если Zabbix-агент устанавливается не на сам сервер мониторинга, то в файле конфигурации
агента /etc/zabbix/zabbix_agentd.conf нужно задать следующие параметры:
Server=<ip-сервера>
ServerActive=<ip-сервера>
Hostname=comp01.example.test
где comp01.example.test – имя узла мониторинга, которое будет указано на сервере Zabbix.
П р и м е ч а н и е . Если параметр Hostname будет пустой или закомментирован, то узел
добавится под системным именем.
Добавить Zabbix agent в автозапуск и запустить его:
# systemctl enable --now zabbix_agentd.service
П р и м е ч а н и е . Для настройки Zabbix-агента можно воспользоваться модулем ЦУС
«Агент наблюдения».
6.6.7 Добавление нового хоста на сервер Zabbix
Каждый хост необходимо зарегистрировать на сервере Zabbix.
Информация о настроенных узлах сети в Zabbix доступна в разделе «Сбор данных» →
«Узлы сети». Для добавления нового узла сети следует нажать кнопку «Создать узел сети» (Рис.
212).
Создание нового узла сети
Рис. 212
В открывшемся окне необходимо заполнить поля «Имя узла сети» и «IP адрес» согласно
данным добавляемого хоста, выбрать шаблон «Linux by Zabbix agent», добавить хост в определен-
ную группу (выбрав одну из них из списка, либо создав новую группу) и нажать кнопку «Доба-
вить» (Рис. 213).
196
Создание нового узла сети. Данные добавляемого хоста
Рис. 213
П р и м е ч а н и е . В поле «Имя узла сети» ставится значение, которое указано в настройках
агента (/etc/zabbix/zabbix_agentd.conf) в поле Hostname.
П р и м е ч а н и е . Все права доступа назначаются на группы узлов сети, не индивидуально
узлам сети. Поэтому узел сети должен принадлежать хотя бы одной группе.
Получение первых данных может занять до 60 секунд. Для того чтобы просмотреть собран-
ные данные, необходимо перейти в «Мониторинг» → «Последние данные», выбрать в фильтре
нужный узел сети и нажать кнопку «Применить» (Рис. 214).
6.6.8 Авторегистрация узлов
В Zabbix существует механизм, который позволяет Zabbix-серверу начинать мониторинг
нового оборудования автоматически, если на этом оборудовании имеется установленный Zabbix-
агент. Такой подход позволяет добавлять новые узлы сети на мониторинг без какой-либо настрой-
ки Zabbix-сервера вручную по каждому отдельному узлу сети.
197
Собранные данные
Рис. 214
Для настройки авторегистрации необходимо перейти в «Оповещения» → «Действия» →
«Действия авторегистрации» и нажать кнопку «Создать действие» (Рис. 215).
Авторегистрация узлов
Рис. 215
На открывшейся странице, на вкладке «Действия» заполнить поле «Имя» и добавить усло-
вия. В поле «Условия» следует задать правила, по которым будут идентифицироваться регистри-
руемые хосты (Рис. 216).
198
Авторегистрация узлов. Условия идентификации узла
Рис. 216
На вкладке «Операции» в поле «Операции» следует добавить правила, которые необходимо
применить при регистрации хоста. Пример набора правил для регистрации узла, добавления его к
группе «Discovered hosts» с присоединением к шаблону «Linux by Zabbix agent» показаны на Рис.
217.
Авторегистрация узлов. Правила, применяемые при регистрации узла
Рис. 217
В конфигурационном файле агента указать следующие значения:
в параметре Hostname – уникальное имя;
в параметре ServerActive – IP-адрес сервера;
в параметре HostMetadata – значение, которое было указано в настройках сервера
(HostMetadata=alt.autoreg).
Перезапустить агент.
6.7 Отказоустойчивый кластер (High Availability) на основе Pacemaker
Pacemaker – менеджер ресурсов кластера (Cluster Resource Manager), задачей которого яв-
ляется достижение максимальной доступности управляемых им ресурсов и защита их от сбоев,
как на уровне самих ресурсов, так и на уровне целых узлов кластера.
Ключевые особенности Pacemaker:
199
обнаружение и восстановление сбоев на уровне узлов и сервисов;
возможность гарантировать целостность данных, путем ограждения неисправных узлов;
поддержка одного или нескольких узлов на кластер;
поддержка нескольких стандартов интерфейса ресурсов (все, что может быть написано
сценарием, может быть кластеризовано);
независимость от подсистемы хранения – общий диск не требуется;
поддержка и кворумных и ресурсозависимых кластеров;
автоматически реплицируемая конфигурация, которую можно обновлять с любого узла;
возможность задания порядка запуска ресурсов, а также их совместимости на одном узле;
поддерживает расширенные типы ресурсов: клоны (когда ресурс запущен на множестве
узлов) и дополнительные состояния (master/slave и подобное);
единые инструменты управления кластером с поддержкой сценариев.
Архитектура Pacemaker представляет собой три уровня:
кластеронезависимый уровень – на этом уровне располагаются ресурсы и их скрипты, кото-
рыми они управляются и локальный демон, который скрывает от других уровней различия
в стандартах, использованных в скриптах;
менеджер ресурсов (Pacemaker) – реагирует на события, происходящие в кластере: отказ
или присоединение узлов, ресурсов, переход узлов в сервисный режим и другие админи-
стративные действия. Pacemaker, исходя из сложившейся ситуации, делает расчет наиболее
оптимального состояния кластера и дает команды на выполнение действий для достижения
этого состояния (остановка/перенос ресурсов или узлов);
информационный уровень (Corosync) – на этом уровне осуществляется сетевое взаимодей-
ствие узлов, т.е. передача сервисных команд (запуск/остановка ресурсов, узлов и т.д.), об-
мен информацией о полноте состава кластера (quorum) и т.д.
Узел (node) кластера представляет собой физический сервер или виртуальную машину с
установленным Pacemaker. Узлы, предназначенные для предоставления одинаковых сервисов,
должны иметь одинаковую конфигурацию.
Ресурсы, с точки зрения кластера, это все используемые сущности – сервисы, службы, точ-
ки монтирования, тома и разделы. При создании ресурса потребуется задать его класс, тип, про-
вайдера и собственно имя с дополнительными параметрами. Ресурсы поддерживают множество
дополнительных параметров: привязку к узлу (resource-stickiness), роли по умолчанию (started,
stoped, master) и т.д. Есть возможности по созданию групп ресурсов, клонов (работающих на
нескольких узлах) и т.п.
Связи определяют привязку ресурсов к узлу (location), порядок запуска ресурсов (ordering)
и совместное их проживание на узле (colocation).
200
6.7.1 Настройка узлов кластера
Для функционирования отказоустойчивого кластера необходимо, чтобы выполнялись сле-
дующие требования:
дата и время между узлами в кластере должны быть синхронизированы;
должно быть обеспечено разрешение имён узлов в кластере;
сетевые подключения должны быть стабильными;
у узлов кластера для организации изоляции узла (fencing) должны присутствовать функции
управления питанием/перезагрузкой с помощью IPMI(ILO);
следующие порты могут использоваться различными компонентами кластеризации: TCP-
порты 2224, 3121 и 21064 и UDP-порт 5405 и должны быть открыты/доступны.
В примере используется следующая конфигурация:
node01 – первый узел кластера (IP 192.168.0.113/24);
node02 – второй узел кластера (IP 192.168.0.145/24);
node03 – третий узел кластера (IP 192.168.0.132/24);
192.168.0.251 – виртуальный IP-адрес, по которому будет отвечать один из узлов.
Дальнейшие действия следует выполнить на всех узлах кластера.
П р и м е ч а н и е . Рекомендуется использовать короткие имена узлов. Для изменения имени
хоста без перезагрузки, можно воспользоваться утилитой hostnamctl:
# hostnamectl set-hostname node01
6.7.1.1 Настройка разрешений имён узлов
Следует обеспечить взаимно-однозначное прямое и обратное преобразование имён для всех
узлов кластера. Желательно использовать DNS, в крайнем случае, можно обойтись соответствую-
щими записями в локальных файлах /etc/hosts на каждом узле:
# echo "192.168.0.113 node01" >> /etc/hosts
# echo "192.168.0.145 node02" >> /etc/hosts
# echo "192.168.0.132 node03" >> /etc/hosts
Проверка правильности разрешения имён:
# ping node01
PING node01 (192.168.0.113) 56(84) bytes of data.
64 bytes from node01 (192.168.0.113): icmp_seq=1 ttl=64 time=0.352 ms
# ping node02
PING node02 (192.168.0.145) 56(84) bytes of data.
64 bytes from node02 (192.168.0.145): icmp_seq=1 ttl=64 time=0.635 ms
201
6.7.1.2 Настройка SSH-подключения между узлами
При настройке SSH-подключения для root по ключу необходимо убрать комментарии в
файле /etc/openssh/sshd_config для строк:
PermitRootLogin without-password
PubkeyAuthentication yes
AuthorizedKeysFile /etc/openssh/authorized_keys/%u
/etc/openssh/authorized_keys2/%u .ssh/authorized_keys
.ssh/authorized_keys2
PasswordAuthentication yes
Кроме того, полезно добавить в /etc/openssh/sshd_config директиву:
AllowGroups sshusers
создать группу sshusers:
# groupadd sshusers
и добавить туда пользователей, которым разрешено подключаться по SSH:
# gpasswd -a <username> sshusers
П р и м е ч а н и е . После редактирования файла /etc/openssh/sshd_config следует
перезапустить службу sshd:
# systemctl restart sshd
Создать и активировать новый ключ SSH без пароля:
# ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -N ""
П р и м е ч а н и е . Незащищенные ключи SSH (без пароля) не рекомендуются для серверов,
открытых для внешнего мира.
Скопировать публичную часть SSH-ключа на другие узлы кластера:
# ssh-copy-id -i ~/.ssh/id_ed25519.pub user@node02
# ssh-copy-id -i ~/.ssh/id_ed25519.pub user@node03
В результате получаем возможность работы с домашними каталогами пользователя user
удалённого узла – копировать к себе и от себя, удалять, редактировать и т.д.
Скопировать публичную часть SSH-ключа на все узлы кластера для администратора. Для
этого подключиться к каждому узлу и под root скопировать публичную часть ключа:
# ssh user@node02
user@node02 $ su -
node02 # cat /home/user/.ssh/authorized_keys >>
/root/.ssh/authorized_keys
node02 # exit
user@node02 $ exit
202
Убедиться, что теперь можно запускать команды удалённо, без пароля:
# ssh node02 -- uname -n
node02
6.7.2 Установка кластерного ПО и создание кластера
Для управления кластером Pacemaker можно использовать утилитe pcs (пакет pcs).
Пакет pcs (pacemaker/corosync configuration system) – утилита для управле-
ния, настройки и мониторинга кластера. Управляется через командную строку.
Установить на всех узлах необходимые пакеты:
# apt-get install corosync resource-agents pacemaker pcs
Примечание. Пакет resource-agent – содержит агенты ресурсов (набор скриптов)
кластера, соответствующие спецификации Open Cluster Framework (OCF), используемые для взаи-
модействия с различными службами в среде высокой доступности, управляемой менеджером ре-
сурсов Pacemaker. Если есть необходимость управлять дополнительными ресурсами, следует уста-
новить недостающий пакет resource-agents-*:
$ apt-cache search resource-agents*
При установке Pacemaker автоматически будет создан пользователь hacluster. Для ис-
пользования pcs нужно задать пароль пользователю hacluster (одинаковый на всех узлах):
# passwd hacluster
Запустить и добавить в автозагрузку службу pcsd:
# systemctl enable --now pcsd
Настроить аутентификацию (команда выполняется на одном узле):
# pcs host auth node01 node02 node03 -u hacluster
Password:
node02: Authorized
node01: Authorized
node03: Authorized
После этого кластером можно управлять с одного узла.
Создать кластер:
# pcs cluster setup newcluster node01 node02 node03
Destroying cluster on hosts: 'node01', 'node02', 'node03'...
node03: Successfully destroyed cluster
node01: Successfully destroyed cluster
node02: Successfully destroyed cluster
Requesting remove 'pcsd settings' from 'node01', 'node02', 'node03'
203
node01: successful removal of the file 'pcsd settings'
node03: successful removal of the file 'pcsd settings'
node02: successful removal of the file 'pcsd settings'
Sending 'corosync authkey', 'pacemaker authkey' to 'node01', 'node02',
'node03'
node01: successful distribution of the file 'corosync authkey'
node01: successful distribution of the file 'pacemaker authkey'
node03: successful distribution of the file 'corosync authkey'
node03: successful distribution of the file 'pacemaker authkey'
node02: successful distribution of the file 'corosync authkey'
node02: successful distribution of the file 'pacemaker authkey'
Sending 'corosync.conf' to 'node01', 'node02', 'node03'
node01: successful distribution of the file 'corosync.conf'
node02: successful distribution of the file 'corosync.conf'
node03: successful distribution of the file 'corosync.conf'
Cluster has been successfully set up.
Запустить кластер:
# pcs cluster start --all
node02: Starting Cluster...
node03: Starting Cluster...
node01: Starting Cluster...
Настройка автоматического включения кластера при загрузке:
# pcs cluster enable --all
node01: Cluster Enabled
node02: Cluster Enabled
node03: Cluster Enabled
Проверка состояния кластера:
# pcs status cluster
Cluster Status:
Status of pacemakerd: 'Pacemaker is running' (last updated 2023-09-27
16:59:12 +02:00)
Cluster Summary:
* Stack: corosync
* Current DC: node01 (version 2.1.5-alt1-a3f44794f) - partition
with quorum
204
* Last updated: Wed Sep 27 16:59:13 2023
* Last change: Wed Sep 27 16:59:09 2023 by hacluster via crmd on
node01
* 3 nodes configured
* 0 resource instances configured
Node List:
* Online: [ node01 node02 node03 ]
PCSD Status:
node02: Online
node01: Online
node03: Online
Проверка синхронизации узлов кластера:
# corosync-cmapctl | grep members
runtime.members.1.config_version (u64) = 0
runtime.members.1.ip (str) = r(0) ip(192.168.0.113)
runtime.members.1.join_count (u32) = 1
runtime.members.1.status (str) = joined
runtime.members.2.config_version (u64) = 0
runtime.members.2.ip (str) = r(0) ip(192.168.0.145)
runtime.members.2.join_count (u32) = 1
runtime.members.2.status (str) = joined
runtime.members.3.config_version (u64) = 0
runtime.members.3.ip (str) = r(0) ip(192.168.0.132)
runtime.members.3.join_count (u32) = 1
runtime.members.3.status (str) = joined
6.7.3 Настройка параметров кластера
Настройки кластера можно просмотреть, выполнив команду:
# pcs property
Cluster Properties:
cluster-infrastructure: corosync
cluster-name: newcluster
dc-version: 2.1.5-alt1-a3f44794f
have-watchdog: false
205
6.7.3.1 Кворум
Кворум определяет минимальное число работающих узлов в кластере, при котором кластер
считается работоспособным. По умолчанию, кворум считается неработоспособным, если число
работающих узлов меньше половины от общего числа узлов.
Кластер, состоящий из двух узлов, будет иметь кворум только тогда, когда оба узла работа-
ют. По умолчанию, если нет кворума, Pacemaker останавливает ресурсы. Чтобы этого избежать,
можно при настройке Pacemaker указать, что наличие или отсутствие кворума не должно учиты-
ваться:
# pcs property set no-quorum-policy=ignore
6.7.3.2 Настройка STONITH
Для корректной работы узлов с общим хранилищем, необходимо настроить механизм
STONITH. Этот механизм позволяет кластеру физически отключить не отвечающий на запросы
узел, чтобы не повредить данные на общем хранилище.
Пока STONITH не настроен, его можно отключить, выполнив команду:
# pcs property set stonith-enabled=false
П р и м е ч а н и е . В реальной системе нельзя использовать конфигурацию с отключенным
STONITH. Отключенный параметр на самом деле не отключает функцию, а только лишь эмулиру-
ет ее срабатывание при определенных обстоятельствах.
6.7.4 Настройка ресурсов
В данном разделе рассмотрена настройка ресурса, который будет управлять виртуальным
IP-адресом. Этот адрес будет мигрировать между узлами, предоставляя одну точку входа к ресур-
сам, заставляя работать несколько узлов как одно целое устройство для сервисов.
Команда создания ресурса виртуального IP-адреса с именем ClusterIP с использованием ал-
горитма ресурсов OCF (каждые 20 секунд производить мониторинг работы, в случае выхода из
строя узла необходимо виртуальный IP переключить на другой узел):
# pcs resource create ClusterIP ocf:heartbeat:IPaddr2 ip=192.168.0.251
cidr_netmask=24 op monitor interval=20s
Список доступных стандартов ресурсов:
# pcs resource standards
lsb
ocf
service
systemd
Список доступных поставщиков сценариев ресурсов OCF:
# pcs resource providers
206
heartbeat
pacemaker
redhat
Список всех агентов ресурсов, доступных для определённого поставщика OCF:
# pcs resource agents ocf:heartbeat
aliyun-vpc-move-ip
anything
AoEtarget
apache
…
zabbixserver
ZFS
Статус кластера, с добавленным ресурсом:
# pcs status
Cluster name: newcluster
Status of pacemakerd: 'Pacemaker is running' (last updated 2023-09-27
17:14:58 +02:00)
Cluster Summary:
* Stack: corosync
* Current DC: node01 (version 2.1.5-alt1-a3f44794f) - partition with
quorum
* Last updated: Wed Sep 27 17:14:58 2023
* Last change: Wed Sep 27 17:14:46 2023 by root via cibadmin on
node01
* 3 nodes configured
* 1 resource instance configured
Node List:
* Online: [ node01 node02 node03 ]
Full List of Resources:
* ClusterIP (ocf:heartbeat:IPaddr2): Started node01
Daemon Status:
corosync: active/enabled
207
pacemaker: active/enabled
pcsd: active/enabled
Если остановить кластер на узле node01:
# pcs cluster stop node01
ClusterIP начнёт работать на node02 (переключение произойдёт автоматически). Проверка
статуса на узле node02:
# pcs status
Cluster name: newcluster
Status of pacemakerd: 'Pacemaker is running' (last updated 2023-09-27
17:16:30 +02:00)
Cluster Summary:
* Stack: corosync
* Current DC: node02 (version 2.1.5-alt1-a3f44794f) - partition with
quorum
* Last updated: Wed Sep 27 17:16:30 2023
* Last change: Wed Sep 27 17:14:46 2023 by root via cibadmin on
node01
* 3 nodes configured
* 1 resource instance configured
Node List:
* Online: [ node02 node03 ]
* OFFLINE: [ node01 ]
Full List of Resources:
* ClusterIP (ocf:heartbeat:IPaddr2): Started node02
Daemon Status:
corosync: active/enabled
pacemaker: active/enabled
pcsd: active/enabled
208
6.8 OpenUDS
OpenUDS это многоплатформенный брокер подключений для создания и управления вир-
туальными рабочими местами и приложениями.
Основные компоненты решения VDI на базе OpenUDS:
OpenUDS Server (openuds-server) – брокер подключений пользователей, а также интерфейс
администратора для настройки;
SQL Server. Для работы django-приложения, которым является openuds-server, необходим
SQL сервер, например, mysql или mariadb. SQL Server может быть установлен как на
отдельном сервере, так и совместно с openuds-server;
Платформа для запуска клиентских окружений и приложений. OpenUDS совместима со
множеством систем виртуализации: PVE, OpenNebula, oVirt, OpenStack. Возможно исполь-
зование с отдельным сервером без виртуализации (аналог терминального решения);
OpenUDS Client (openuds-client) – клиентское приложение для подключения к брокеру со-
единений и дальнейшего получения доступа к виртуальному рабочему окружению;
OpenUDS Tunnel (openuds-tunnel) – решение для туннелирования обращений от клиента к
виртуальному рабочему окружению. OpenUDS Tunnel предназначен для предоставления
доступа из недоверенных сегментов сети, например, из сети Интернет. Устанавливается на
отдельный сервер;
OpenUDS Actor (openuds-actor) – ПО для гостевых виртуальных машин, реализует связку
виртуальной машины и брокера соединений.
Системные требования для компонентов OpenUDS представлены в Таблица 5.
П р и м е ч а н и е . Если сервер с базой данных установлен на той же машине, где и
OpenUDS Server, требуемое количество памяти нужно просуммировать.
Т а б л и ц а 5 – Системные требования
Компонент ОЗУ ЦП Диск
SQL Server 1 ГБ 2 vCPUs 10 ГБ
OpenUDS Server 2 ГБ 2 vCPUs 8 ГБ
OpenUDS Tunnel 2 ГБ 2 vCPUs 13 ГБ
6.8.1 Установка
6.8.1.1 Установка MySQL (MariaDB)
Установить MySQL (MariaDB):
# alteratorctl components install mariadb
или:
# apt-get install mariadb-server
209
Запустить сервер mariadb и добавить его в автозагрузку:
# systemctl enable --now mariadb.service
Задать пароль root для mysql и настройки безопасности:
# mysql_secure_installation
Создать базу данных dbuds, пользователя базы данных dbuds с паролем password и предо-
ставить ему привилегии в базе данных dbuds:
$ mysql -u root -p
Enter password:
MariaDB> CREATE DATABASE dbuds CHARACTER SET utf8 COLLATE
utf8_general_ci;
MariaDB> CREATE USER 'dbuds'@'%' IDENTIFIED BY 'password';
MariaDB> GRANT ALL PRIVILEGES ON dbuds.* TO 'dbuds'@'%';
MariaDB> FLUSH PRIVILEGES;
MariaDB> exit;
6.8.1.2 Установка OpenUDS Server
OpenUDS Server можно установить при установке системы, выбрав для установки пункт
«Сервер виртуальных рабочих столов OpenUDS».
При этом будут установлены:
openuds-server – django приложение;
gunicorn – сервер приложений (обеспечивает запуск django как стандартного WSGI прило-
жения);
nginx – http-сервер, используется в качестве reverse-proxy для доступа к django приложе-
нию, запущенному с помощью gunicorn.
П р и м е ч а н и е . В уже установленной системе можно установить пакет openuds-
server-nginx:
# apt-get install openuds-server-nginx
Настройка OpenUDS Server:
отредактировать файл /etc/openuds/settings.py, указав корректные данные для
подключения к SQL серверу:
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql',
'OPTIONS': {
'isolation_level': 'read committed',
210
},
'NAME': 'dbuds',
'USER': 'dbuds',
'PASSWORD': 'password',
'HOST': 'localhost',
'PORT': '3306',
}
}
заполнить базу данных начальными данными:
# su -s /bin/bash - openuds
$ cd /usr/share/openuds
$ python3 manage.py migrate
$ exit
запустить gunicorn:
# systemctl enable --now openuds-web.service
запустить nginx:
# ln -s ../sites-available.d/openuds.conf
/etc/nginx/sites-enabled.d/openuds.conf
# systemctl enable --now nginx.service
запустить менеджер задач OpenUDS:
# systemctl enable --now openuds-taskmanager.service
П р и м е ч а н и е . Перед запуском nginx необходимо остановить, если она запущена,
службу apache2:
# systemctl disable --now httpd2
Веб-интерфейс OpenUDS (Рис. 218) будет доступен по адресу https://адрес-сервера/.
П р и м е ч а н и е . Имя/пароль по умолчанию: root/udsmam0
П р и м е ч а н и е . Для получения доступа к панели администрирования OpenUDS, следует в
меню пользователя выбрать пункт «Панель управления» (Рис. 219).
211
Форма входа в интерфейс OpenUDS
Рис. 218
OpenUDS. Меню пользователя
Рис. 219
6.8.1.3 OpenUDS Tunnel
6.8.1.3.1 Установка OpenUDS Tunnel
Установка OpenUDS Tunnel должна выполняться на отдельной от OpenUDS Server системе.
OpenUDS Tunnel можно установить при установке системы, выбрав для установки пункт
«Сервер туннелирования виртуальных рабочих столов OpenUDS».
212
П р и м е ч а н и е . В уже установленной системе можно установить пакет openuds-tun-
nel:
# apt-get install openuds-tunnel
П р и м е ч а н и е . При установке openuds-tunnel в /etc/openuds-tunnel/ssl генериру-
ются сертификаты. Их можно заменить на свои, выпущенные внутри организации или Удостове-
ряющим Центром.
6.8.1.3.2 Настройка OpenUDS Tunnel
На OpenUDS Tunnel:
указать адрес сервера OpenUDS (брокера) в файле /etc/openuds-tunnel/udstun-
nel.conf:
uds_server = http://192.168.0.53/uds/rest/tunnel/ticket
uds_token = 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
где 192.168.0.53 – адрес OpenUDS сервера (брокера);
запустить и добавить в автозагрузку сервис OpenUDS Tunnel:
# systemctl enable --now openuds-tunnel.service
На сервере OpenUDS зарегистрировать туннельный сервер, выполнив команду:
# openuds_tunnel_register.py -H 192.168.0.88 -n Tunnel \
-t 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
Tunnel token register success. (With token:
5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b)
где:
-H – задаёт IP-адрес туннельного сервера;
-n – задаёт название туннеля;
-t – позволяет указать токен туннельного сервера (из файла udstunnel.conf).
При создании туннельного транспорта, на вкладке «Туннель» указать IP-адрес и порт тун-
нельного-сервера: 192.168.0.88:7777.
6.8.1.3.3 Настройка HTML5
На OpenUDS Tunnel:
в файле /etc/guacamole/guacamole.properties привести значение параметра
uds-base-url к виду:
http://<IP openuds сервера>/uds/guacamole/auth/<Токен из файла udstunnel.conf>/
Например:
uds-base-url=http://192.168.0.53/uds/guacamole/auth/5ba9d52bb381196c2ac03440b726aa8b
настроить tomcat:
213
Для подключения по http: так как tomcat по умолчанию работает на порту 8080, то перед
запуском tomcat необходимо, либо остановить службу ahttpd:
# systemctl disable --now ahttpd
Либо изменить в файле /etc/tomcat/server.xml порт 8080 на другой допустимый
номер порта, например, 8081:
<Connector port="8081" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
Для подключения по https: в файл /etc/tomcat/server.xml добавить новый Connec-
tor, в котором указать порт (в примере 10443), сертификат (файл .crt, .pem и т.д.), закрытый
ключ (.key, .pem и т.д.):
<Connector port="10443" protocol="org.apache.coyote.http11.Http11AprProtocol"
SSLEnabled="true"
ciphers="A-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-ECDSA-
AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-
RSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-GCM-SHA384,ECDHE-
ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-
SHA384,
ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-
AES256-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,DHE-RSA-AES256-SHA256,DHE-RSA-
AES256-SHA,ECDHE-ECDSA-DES-CBC3-SHA,ECDHE-RSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-
SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,
AES128-SHA256,AES256-SHA256,AES128-SHA,AES256-SHA,DES-CBC3-SHA"
maxThreads="500" scheme="https" secure="true"
SSLCertificateFile="/etc/openuds-tunnel/ssl/certs/openuds-tunnel.pem"
SSLCertificateKeyFile="/etc/openuds-tunnel/ssl/private/openuds-tunnel.key"
maxKeepAliveRequests="1000"
clientAuth="false" sslProtocol="TLSv1+TLSv1.1+TLSv1.2" />
запустить сервисы guacd и tomcat:
# systemctl enable --now guacd tomcat
На сервере OpenUDS при создании нового туннельного транспорта HTML5RDP на вкладке
«Туннель» указать IP-адрес и порт туннельного-сервера:
http://192.168.0.88:8080 – для подключения по http;
https://192.168.0.88:10443 – для подключения по https.
6.8.2 Обновление OpenUDS
После обновления openuds-server до новой версии необходимо выполнить следующие
действия:
214
перенести изменения, если они есть, из нового конфигурационного файла /etc/
openuds/settings.py.rpmnew в файл /etc/openuds/settings.py. Проверить,
что изменилось можно, выполнив команду:
# diff -u --color /etc/openuds/settings.py /etc/openuds/settings.py.rpmnew
выполнить миграцию базы данных:
# su -s /bin/bash - openuds -c "cd /usr/share/openuds; python3 manage.py
migrate"
перезагрузить систему, так как при обновлении не создаётся файл /run/openuds/
socket.
6.8.3 Настройка OpenUDS
6.8.3.1 Поставщики услуг
В разделе «Поставщики услуг» (Рис. 220) подключить один из поставщиков («Service
providers»):
«Поставщик платформы Proxmox»;
«Поставщик платформы OpenNebula»;
Отдельный сервер без виртуализации: «Поставщик машин статических IP».
OpenUDS. Поставщики услуг
Рис. 220
215
6.8.3.1.1 OpenNebula
Минимальные параметры для настройки «Поставщик платформы OpenNebula»:
вкладка «Основной» (Рис. 221):
«Имя» – название поставщика;
«Хост» – IP-адрес сервера OpenNebula;
«Порт» – порт подключения;
«Имя пользователя» – имя пользователя OpenNebula (с правами администратора);
«Пароль» – пароль пользователя;
вкладка «Расширенный» (Рис. 222):
«Одновременное создание» – максимальное количество одновременно создаваемых ВМ;
«Одновременное удаление» – максимальное количество одновременно удаляемых ВМ;
«Таймаут» – таймаут подключения к OpenNebula в секундах.
Используя кнопку «Проверить», можно убедиться, что соединение установлено правильно.
После интеграции платформы OpenNebula в OpenUDS необходимо создать базовую службу
типа «Действующие образы OpenNebula». Для этого дважды щелкнуть мышью по строке создан-
ного поставщика услуг или в контекстном меню поставщика выбрать пункт «Подробность» (Рис.
223).
OpenUDS. Подключение системы виртуализации OpenNebula
Рис. 221
216
OpenUDS. Подключение системы виртуализации OpenNebula
Рис. 222
OpenUDS. Контекстное меню «Service providers»
Рис. 223
П р и м е ч а н и е . Выбрав пункт «Обслуживание», можно приостановить все операции, вы-
полняемые сервером OpenUDS для данного поставщика услуг. Поставщик услуг рекомендуется
переводить в режим обслуживания в случаях, когда связь с этим поставщиком была потеряна или
запланирован перерыв в обслуживании.
В открывшемся окне, на вкладке «Постащики услуг» нажать кнопку «Новый» → «Действу-
ющие образы OpenNebula» (Рис. 224).
OpenUDS. Создание новой услуги «Действующие образы OpenNebula»
Рис. 224
217
Заполнить минимальные параметры конфигурации:
вкладка «Основной» (Рис. 225):
«Имя» – название службы;
«Хранилище» – место, где будут храниться сгенерированные виртуальные рабочие сто-
лы;
вкладка «Машина» (Рис. 226):
«Базовая машина» – шаблон ВМ, используемый системой OpenUDS для развертывания
виртуальных рабочих столов (см. «Подготовка шаблона виртуальной машины»);
«Имена машин» – базовое название для клонов с этой машины (например, Desk-work-);
«Длина имени» – количество цифр счетчика, прикрепленного к базовому имени рабочих
столов (например, если «Длина имени» = 3, названия сгенерированных рабочих столов
будут: Desk-work-000, Desk-work-001 ... Desk-work-999).
OpenUDS. Создание службы типа «OpenNebula Live Images». Вкладка «Основной»
Рис. 225
OpenUDS. Создание службы типа «OpenNebula Live Images». Вкладка «Machine»
Рис. 226
218
6.8.3.1.2 PVE
Минимальные параметры для настройки «Поставщик платформы Proxmox»:
вкладка «Основной» (Рис. 227):
«Имя» – название поставщика;
«Хост» – IP-адрес/имя сервера или кластера PVE;
«Порт» – порт подключения;
«Имя пользователя» – имя пользователя с достаточными привилегиями в PVE (в форма-
те пользователь@аутентификатор);
«Пароль» – пароль пользователя;
вкладка «Расширенный» (Рис. 228):
«Одновременное создание» – максимальное количество одновременно создаваемых ВМ;
«Одновременное удаление» – максимальное количество одновременно удаляемых ВМ;
«Таймаут» – таймаут подключения к Proxmox в секундах;
«Начальный VmID» – идентификатор ВМ, с которым OpenUDS начнет генерировать ВМ
на Proxmox (>=10000);
«Таймаут» – диапазон MAC-адресов, которые будут использоваться рабочими столами.
OpenUDS. Подключение системы виртуализации PVE
Рис. 227
219
OpenUDS. Подключение системы виртуализации PVE
Рис. 228
Используя кнопку «Проверить», можно убедиться, что соединение установлено правильно.
После интеграции платформы PVE в OpenUDS необходимо создать базовую службу типа
«Связанный клон Proxmox». Для этого дважды щелкнуть мышью по строке созданного поставщи-
ка услуг или в контекстном меню поставщика выбрать пункт «Подробность» (Рис. 229).
П р и м е ч а н и е . Выбрав пункт «Обслуживание», можно приостановить все операции, вы-
полняемые сервером OpenUDS для данного поставщика услуг. Поставщик услуг рекомендуется
переводить в режим обслуживания в случаях, когда связь с этим поставщиком была потеряна или
запланирован перерыв в обслуживании.
OpenUDS. Контекстное меню поставщика услуг PVE
Рис. 229
В открывшемся окне, на вкладке «Постащики услуг» нажать кнопку «Новый» → «Связан-
ный клон Proxmox» (Рис. 230).
220
OpenUDS. Создание новой услуги «Связанный клон Proxmox»
Рис. 230
Заполнить параметры конфигурации:
Вкладка «Основной» (Рис. 231):
«Имя» – название службы;
«Пул» – пул, в котором будут находиться ВМ, созданные OpenUDS;
«Высокая доступность» – включать созданные ВМ в группу HA PVE;
«Сначала попробовать SOFT Shutdown» – если активно, OpenUDS попытается, перед
уничтожением автоматически сгенерированного виртуального рабочего стола, выпол-
нить контролируемое отключение машины;
OpenUDS. Создание службы типа «Proxmox Linked Clone». Вкладка «Main»
Рис. 231
Вкладка «Машина» (Рис. 232):
«Базовая машина» – шаблон ВМ, используемый системой OpenUDS для развертывания
виртуальных рабочих столов (см. «Подготовка шаблона виртуальной машины»);
221
«Хранилище» – место, где будут храниться сгенерированные виртуальные рабочие сто-
лы (поддерживаются хранилища, позволяющие создавать «Снимки»);
«Имена машин» – базовое название для клонов с этой машины (например, Desk-SL-);
«Длина имени» – количество цифр счетчика, прикрепленного к базовому имени рабочих
столов (например, если «Длина имени» = 3, названия сгенерированных рабочих столов
будут: Desk-SL-000, Desk-SL-001 ... Desk-SL-999).
OpenUDS. Создание службы типа «Proxmox Linked Clone». Вкладка «Машина»
Рис. 232
После того, как среда OpenUDS будет настроена и будет создан первый «пул услуг», в сре-
де PVE можно будет наблюдать, как разворачиваются рабочие столы. Сначала будет создан ша-
блон («UDS-Publication-pool_name-publishing-number») – клон ВМ, выбранной при регистрации
службы. После завершения процесса создания клона будут созданы рабочие столы
(«Machine_Name-Name_Length») (Рис. 233).
PVE. Созданные шаблоны и рабочие столы
Рис. 233
222
6.8.3.1.3 Удаленный доступ к отдельному серверу
В OpenUDS есть возможность предоставить доступ к постоянным устройствам (физиче-
ским или виртуальным). Доступ к отдельному серверу осуществляется путем назначения IP-адре-
сов пользователям.
Для регистрации поставщика данного типа следует в разделе «Поставщики услуг» нажать
кнопку «Новый» и выбрать пункт «Поставщик машин статических IP».
Для настройки «Поставщика машин статических IP» достаточно задать название поставщи-
ка (Рис. 234).
OpenUDS. Подключение к серверу без виртуализации
Рис. 234
Для создания базовых сервисов «Поставщика машин статических IP» следует дважды щел-
кнуть мышью по строке созданного поставщика услуг или в контекстном меню поставщика вы-
брать пункт «Подробность».
OpenUDS позволяет создавать два типа услуг «Поставщика машин статических IP»:
«Статический множественный IP-адрес» – используется для подключения одного пользова-
теля к одному компьютеру. Поддерживается неограниченное количество IP-адресов (можно
включить в список все устройства, которые должны быть доступны удалённо). По умолча-
нию система будет предоставлять доступ к устройствам в порядке очереди (первый пользо-
ватель получивший доступ к этому пулу, получает доступ к машине с первым IP-адресом
из списка). Можно также настроить выборочное распределение, чтобы определённому
пользователю назначался определенный компьютер (IP-адрес).
П р и м е ч а н и е . Для настройки привязки конкретного пользователя к конкретному IP
необходимо в разделе «Пулы услуг» (см. раздел «Пулы услуг») для созданной услуги на
вкладке «Назначенные сервисы» нажать кнопку «Назначить услугу» и задать привязку
пользователя устройству (Рис. 235).
223
«Статический одиночный IP-адрес» – используется для подключения нескольких пользова-
телей к одному компьютеру. При обращении каждого нового пользователя будет запускать-
ся новый сеанс.
OpenUDS. Привязка пользователю устройству
Рис. 235
Для создания новой услуги типа «Поставщик машин статических IP» следует, на вкладке
«Поставщики услуг» нажать кнопку «Новый» → «Статический множественный IP-адрес» или
«Новый» → «Статический одиночный IP-адрес» (Рис. 236).
OpenUDS. Создание новой услуги «Статический IP-адрес»
Рис. 236
Параметры конфигурации для услуги «Статический множественный IP-адрес»:
Вкладка «Основной» (Рис. 237):
«Имя» – название службы;
«Список серверов» – один или несколько IP-адресов машин, к которым будет осуще-
ствляться доступ (машины должны быть включены и настроены см. «Подготовка шабло-
на виртуальной машины»);
224
«Ключ услуги» – токен, который будет использоваться клиентами для связи с сервисом.
Если в этом поле не указан токен (пусто), система не будет контролировать сеансы поль-
зователей на компьютерах. Таким образом, когда компьютер назначается пользователю,
это назначение будет сохраняться до тех пор, пока администратор не удалит его вруч-
ную. При наличии токена сеансы пользователей будут контролироваться (при выходе из
сеанса, компьютеры снова становятся доступными для доступа других пользователей).
Если токен указан, необходимо, чтобы на компьютерах (IP-адрес, которых указан в поле
«Список серверов») был установлен Unmanaged UDS Actor.
OpenUDS. Создание службы типа «Static Multiple IP»
Рис. 237
Вкладка «Расширенный» (Рис. 238):
«Проверить порт» – порт, по которому система может проверить, доступен ли компью-
тер. Если компьютер не доступен, система автоматически предоставит следующее
устройство в списке. 0 – не проверять доступность компьютера;
«Пропустить время» – период, в течение которого не будет проверяться доступность
недоступной машины;
«Максимальное количество сеансов на машину» – максимальная продолжительность се-
анса (в часах), прежде чем OpenUDS решит, что эта машина заблокирована и освободит
её (0 означает «никогда»).
225
OpenUDS. Создание службы типа «Static Multiple IP»
Рис. 238
П р и м е ч а н и е . Назначение IP-адресов будет осуществляться в порядке доступа, то есть
первому пользователю, который обращается к службе, будет назначен первый IP-адрес в списке.
IP-адрес будет привязан пользователю, даже после выхода пользователя из системы (пока админи-
стратор не удалит привязку вручную).
Просмотреть/изменить привязанные сеансы можно в разделе «Пулы услуг» (см. раздел
«Пулы услуг») на вкладке «Назначенные сервисы» (Рис. 239).
OpenUDS. Привязанные сервисы службы «Static Multiple IP»
Рис. 239
Параметры конфигурации для услуги «Статический одиночный IP-адрес» (Рис. 240):
«Имя» – название службы;
«IP-адрес машины» – IP-адрес машины, к которой будет осуществляться доступ (машина
должна быть включена и настроена см. «Подготовка шаблона виртуальной машины»).
226
OpenUDS. Создание службы типа «Static Single IP»
Рис. 240
6.8.3.2 Настройка аутентификации пользователей
Аутентификатор проверяет подлинность пользователей и предоставляет пользователям и
группам пользователей разрешения на подключение к различным виртуальным рабочим столам.
Аутентификатор не является обязательным компонентом для создания «пула услуг», но
если не создан хотя бы один аутентификатор, не будет пользователей, которые смогут подклю-
чаться к службам на платформе OpenUDS.
П р и м е ч а н и е . Если в системе зарегистрировано более одного аутентификатора, и они не
отключены, на экран входа будет добавлено поле «Аутентификатор» с раскрывающимся списком.
В этом списке можно выбрать аутентификатор, который система будет использовать для проверки
пользователя (Рис. 241).
OpenUDS. Выбор типа аутентификации пользователей
Рис. 241
П р и м е ч а н и е . При создании любого аутентификатора заполняется поле «Метка». Поль-
зователь может пройти проверку подлинности с помощью указанного аутентификатора, даже если
в среде OpenUDS настроено несколько аутентификаторов. Для этого нужно получить доступ к
экрану входа OpenUDS в формате: OpenUDS-server/uds/page/login/метка (например,
https://192.168.0.53/uds/page/login/AD).
227
Для настройки аутентификации в разделе «Аутентификаторы» необходимо выбрать тип
аутентификации пользователей (Рис. 242). Можно выбрать как внешние источники (Active
Directory, OpenLDAP и т.д.), так и внутренние (внутренняя база данных, IP-аутентификация).
OpenUDS. Выбор типа аутентификации пользователей
Рис. 242
6.8.3.2.1 Внутренняя БД
При аутентификации «Внутренняя БД» данные пользователей и групп хранятся в базе дан-
ных, к которой подключен сервер OpenUDS.
Для создания аутентификации типа «Внутренняя БД» в разделе «Аутентификаторы» следу-
ет нажать кнопку: «Новый» → «Внутренняя БД».
Минимальные параметры конфигурации (вкладка «Основной»): имя аутентификатора, при-
оритет и метка (Рис. 243).
OpenUDS. Внутренняя база данных
Рис. 243
228
После того, как аутентификатор типа «Внутренняя БД» создан, нужно зарегистрировать
пользователей и группы пользователей. Для этого следует выбрать аутентификатор «Внутренняя
БД», затем во вкладке «Группы» создать группы пользователей, во вкладке «Пользователи» со-
здать пользователей (Рис. 244).
OpenUDS. Внутренняя база данных – пользователи
Рис. 244
6.8.3.2.2 Аутентификатор Regex LDAP
Этот аутентификатор позволяет пользователям и группам пользователей, принадлежащих
практически любому аутентификатору на основе LDAP, получать доступ к виртуальным рабочим
столам и приложениям.
П р и м е ч а н и е . На сервере LDAP должна быть настроена отдельная учётная запись с пра-
вами чтения LDAP. От данной учетной записи будет выполняться подключение к серверу катало-
гов.
Пример настройки интеграции с FreeIPA (сервер ipa.example.test):
1. В разделе «Аутентификаторы» нажать кнопку: «Новый» → «Аутентификатор Regex
LDAP».
2. Заполнить поля первых трёх вкладок.
вкладка «Основной» (Рис. 245): имя аутентификатора, приоритет, метка, IP-адрес FreeIPA-
сервера, порт (обычно 389 без ssl, 636 с ssl);
вкладка «Учётные данные» (Рис. 246): имя пользователя (в формате
uid=user_freeipa,cn=users,cn=accounts,dc=example,dc=test) и пароль;
вкладка «LDAP информация» (Рис. 247): общая база пользователей, класс пользователей
LDAP, идентификатор атрибута пользователя, атрибут имени пользователя, атрибут имени
группы.
229
OpenUDS. Интеграция с FreeIPA
Рис. 245
OpenUDS. Интеграция с FreeIPA – учетные данные пользователя
Рис. 246
230
OpenUDS. Интеграция с FreeIP – LDAP информация
Рис. 247
П р и м е ч а н и е . Используя кнопку «Проверить», можно проверить соединение с FreeIPA-
сервером.
3. Добавить группу LDAP, в которую входят пользователи. Для этого следует выбрать
созданный аутентификатор («freeipa»), затем в открывшемся окне на вкладке «Группы»
нажать «Новый» → «Группа».
4. Заполнить dn существующей группы (для FreeIPA по умолчанию это группа
cn=ipausers,cn=groups,cn=accounts,dc=ipa,dc=example,dc=test), можно также указать
разрешённые пулы (Рис. 248).
OpenUDS. Интеграция с FreeIPA – добавление группы LDAP
Рис. 248
231
Пример настройки аутентификации в Active Directory (домен test.alt):
1. В разделе Аутентификаторы нажать кнопку: «Новый» → «Аутентификатор Regex LDAP».
2. Заполнить поля первых трёх вкладок.
вкладка «Основной» (Рис. 249): имя аутентификатора, приоритет, метка, IP-адрес сервера
AD, порт (обычно 389 без ssl, 636 с ssl);
вкладка «Учётные данные» (Рис. 250): имя пользователя (можно указать в виде имя@до-
мен) и пароль;
вкладка «LDAP информация» (Рис. 251): общая база пользователей, класс пользователей
LDAP, идентификатор атрибута пользователя, атрибут имени пользователя, атрибут имени
группы.
П р и м е ч а н и е . Если в поле «Идентификатор атрибута пользователя» указано
userPrincipalName, то пользователь при входе должен указать логин в формате имя_пользо-
вателя@домен, если указано sAMAccountName, то в качестве логина используется имя_-
пользователя без указания домена.
П р и м е ч а н и е . Используя кнопку «Проверить», можно проверить соединение с Active
Directory.
OpenUDS. Интеграция с Active Directory
Рис. 249
232
OpenUDS. Интеграция с Active Directory – учетные данные пользователя
Рис. 250
OpenUDS. Интеграция с Active Directory – LDAP информация
Рис. 251
3. Добавить группу LDAP, в которую входят пользователи. Для этого следует выбрать
созданный аутентификатор, затем в открывшемся окне на вкладке «Группы» нажать
«Новый» → «Группа».
4. Заполнить dn существующей группы (например, cn=UDS,cn=Users,dc=test,dc=alt), можно
также указать разрешённые пулы (Рис. 252).
OpenUDS. Интеграция с Active Directory – добавление группы LDAP
Рис. 252
233
На вкладке «Пользователи» аутентификатора (Рис. 253) пользователи будут добавляться
автоматически после первого входа в систему OpenUDS (пользователи должны входить в группы,
указанные в аутентификаторе на вкладке «Группа»).
OpenUDS. Интеграция с Active Directory – пользователи LDAP
Рис. 253
Пользователя, чтобы назначить ему специальные права перед первым подключением, мож-
но зарегистрировать вручную. Для этого на вкладке «Пользователи» необходимо нажать кнопку
«Новый» (Рис. 253). Затем в открывшемся окне указать имя пользователя (Рис. 254), его статус
(включен или отключен) и уровень доступа (поле «Роль»). Не рекомендуется заполнять поле
«Группы», так как система должна автоматически добавить пользователя в группу участников.
OpenUDS. Интеграция с Active Directory – регистрация пользователя вручную
Рис. 254
234
6.8.3.2.3 IP аутентификатор
Этот тип аутентификации обеспечивает доступ клиентов к рабочим столам и виртуальным
приложениям по IP-адресу.
Для создания аутентификации типа «IP аутентификатор» в разделе «Аутентификаторы»
следует нажать кнопку: «Новый» → «IP аутентификатор».
Минимальные параметры конфигурации (вкладка «Основной»): имя аутентификатора, при-
оритет и метка (Рис. 255).
OpenUDS. IP аутентификатор
Рис. 255
После того, как аутентификатор типа «IP аутентификатор» будет создан, следует создать
группы пользователей. Группа может представлять собой диапазон IP-адресов (192.168.0.1-
192.168.0.55), подсеть (192.168.0.0/24) или отдельные IP-адреса (192.168.0.33,192.168.0.110) (Рис.
256).
OpenUDS. IP аутентификатор – создание группы пользователей
Рис. 256
235
6.8.3.3 Настройка менеджера ОС
OpenUDS Actor, размещенный на виртуальном рабочем столе, отвечает за взаимодействие
между ОС и OpenUDS Server на основе конфигурации или выбранного типа «Менеджера ОС».
П р и м е ч а н и е . Для каждой службы, развернутой в OpenUDS, потребуется «Менеджер
ОС», за исключением случаев, когда используется «Поставщик машин статических IP».
Менеджер ОС (Рис. 257) запускает ранее настроенные службы:
«Linux OS Active Directory Manager» используется для виртуальных рабочих столов на базе
Linux, которые являются членами домена AD;
«Linux OS FreeIPA Manager» используется для виртуальных рабочих столов на базе Linux,
которые являются членами домена FreeIPA;
«Linux ОС менеджер» используется для виртуальных рабочих столов на базе Linux. Он вы-
полняет задачи переименования и управления сеансами виртуальных рабочих столов;
«Windows Basic ОС менеджер» используется для виртуальных рабочих столов на базе
Windows, которые не являются частью домена AD;
«Windows Domain ОС менеджер» используется для виртуальных рабочих столов на базе
Windows, которые являются членами домена AD.
OpenUDS. Настройка «OS Manager»
Рис. 257
Настройки для «Linux ОС менеджер» и «Windows Basic ОС менеджер» находятся на двух
вкладках:
вкладка «Основной» (Рис. 258):
«Имя» – название;
236
«Действие при выходе из системы» – действие, которое OpenUDS будет выполнять на
виртуальном рабочем столе при закрытии сеанса пользователя. «Держать сервис привя-
занным – постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается
заново, при повторном входе пользователю будет назначен тот же рабочий стол. «Уда-
лить сервис» – непостоянный пул, при выходе пользователя из системы, ВМ удаляется и
создается заново. «Держать сервис привязанным даже в новой публикации» – сохране-
ние назначенной службы даже при создании новой публикации;
«Максимальное время простоя» – время простоя виртуального рабочего стола (в секун-
дах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрица-
тельные значения и значения менее 300 секунд отключают эту опцию;
вкладка «Расширенный»:
«Выход из календаря» – если этот параметр установлен, OpenUDS попытается завершить
сессию пользователя, когда для текущего соединения истечет время доступа (если пара-
метр не установлен, пользователю будет разрешено продолжить работу).
OpenUDS. Настройка «OS Manager»
Рис. 258
Минимальные настройки для «Linux OS Active Directory Manager»:
вкладка «Основной» (Рис. 259):
«Имя» – название;
«Домен» – домен, к которому будут присоединены виртуальные рабочие столы. Необхо-
димо использовать формат FQDN (например, test.alt);
«Аккаунт» – пользователь с правами на добавление машин в домен;
«Пароль» – пароль пользователя указанного в поле «Аккаунт»;
237
«OU» – организационная единица, в которую будут добавлены виртуальные хосты (если
не указано, хосты будут зарегистрированы в подразделении по умолчанию –
«Computers»). Формат поддерживаемых OU: OU = name_OU_last_level, … OU =
name_OU_first_level, DC = name_domain, DC = extension_domain. Во
избежание ошибок, рекомендуется сверяться с полем distinguishedName в свой-
ствах атрибута OU;
«Действие при выходе из системы» – действие, которое OpenUDS будет выполнять на
виртуальном рабочем столе при закрытии сеанса пользователя. «Держать сервис привя-
занным – постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается
заново, при повторном входе пользователю будет назначен тот же рабочий стол. «Уда-
лить сервис» – непостоянный пул, при выходе пользователя из системы, ВМ удаляется и
создается заново. «Держать сервис привязанным даже в новой публикации» – сохране-
ние назначенной службы даже при создании новой публикации;
«Максимальное время простоя» – время простоя виртуального рабочего стола (в секун-
дах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрица-
тельные значения и значения менее 300 секунд отключают эту опцию;
вкладка «Расширенный» (Рис. 260):
«Client software» – позволяет указать, если это необходимо, способ подключения (SSSD
или Winbind);
«Membership software» – позволяет указать, если это необходимо, утилиту, используе-
мую для подключения к домену (Samba или adcli);
«Убрать машину» – если этот параметр установлен, OpenUDS удалит запись о виртуаль-
ном рабочем столе в указанном подразделении после удаления рабочего стола (необхо-
димо, чтобы пользователь, указанный в поле «Аккаунт», имел права на выполнение дан-
ного действия в OU);
«Использовать SSL» – если этот параметр установлен, будет использоваться SSL-соеди-
нение;
«Automatic ID mapping» – автоматический маппинг ID;
«Выход по календарю» – если этот параметр установлен, OpenUDS попытается завер-
шить сессию пользователя, когда для текущего соединения истечет время доступа (если
параметр не установлен, пользователю будет разрешено продолжить работу).
П р и м е ч а н и е . Для возможности ввода компьютера в домен, на нём должен быть досту-
пен сервер DNS, имеющий записи про контроллер домена Active Directory.
238
OpenUDS. Настройка «OS Linux OS Active Directory Manager»
Рис. 259
OpenUDS. Настройка «OS Linux OS Active Directory Manager»
Рис. 260
Минимальные настройки для «Linux OS FreeIPA Manager»:
вкладка «Основной» (Рис. 261):
«Имя» – название;
«Домен» – домен, к которому будут присоединены виртуальные рабочие столы. Необхо-
димо использовать формат FQDN (например, example.test);
«Аккаунт» – пользователь с правами на добавление машин в домен;
239
«Пароль» – пароль пользователя указанного в поле «Аккаунт»;
«OU» – организационная единица, в которую будут добавлены виртуальные хосты (если
не указано, хосты будут зарегистрированы в подразделении по умолчанию –
«Computers»). Формат поддерживаемых OU: OU = name_OU_last_level, … OU =
name_OU_first_level, DC = name_domain, DC = extension_domain. Во
избежание ошибок, рекомендуется сверяться с полем distinguishedName в свой-
ствах атрибута OU;
«Действие при выходе из системы» – действие, которое OpenUDS будет выполнять на
виртуальном рабочем столе при закрытии сеанса пользователя. «Держать сервис привя-
занным – постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается
заново, при повторном входе пользователю будет назначен тот же рабочий стол. «Уда-
лить сервис» – непостоянный пул, при выходе пользователя из системы, ВМ удаляется и
создается заново. «Держать сервис привязанным даже в новой публикации» – сохране-
ние назначенной службы даже при создании новой публикации;
«Максимальное время простоя» – время простоя виртуального рабочего стола (в секун-
дах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрица-
тельные значения и значения менее 300 секунд отключают эту опцию;
вкладка «Расширенный» (Рис. 262):
«Client software» – позволяет указать, если это необходимо, способ подключения (SSSD
или Winbind);
«Membership software» – позволяет указать, если это необходимо, утилиту, используе-
мую для подключения к домену (Samba или adcli);
«Убрать машину» – если этот параметр установлен, OpenUDS удалит запись о виртуаль-
ном рабочем столе в указанном подразделении после удаления рабочего стола (необхо-
димо, чтобы пользователь, указанный в поле «Аккаунт», имел права на выполнение дан-
ного действия в OU);
«Использовать SSL» – если этот параметр установлен, будет использоваться SSL-соеди-
нение;
«Automatic ID mapping» – автоматический маппинг ID;
«Выход по календарю» – если этот параметр установлен, OpenUDS попытается завер-
шить сессию пользователя, когда для текущего соединения истечет время доступа (если
параметр не установлен, пользователю будет разрешено продолжить работу).
П р и м е ч а н и е . Для возможности ввода компьютера в домен, на нём должен быть досту-
пен сервер DNS, имеющий записи про сервер FreeIPA.
241
«Домен» – домен, к которому будут присоединены виртуальные рабочие столы. Необхо-
димо использовать формат FQDN (например, test.alt);
«Аккаунт» – пользователь с правами на добавление машин в домен;
«Пароль» – пароль пользователя указанного в поле «Аккаунт»;
«OU» – организационная единица, в которую будут добавлены виртуальные хосты (если
не указано, хосты будут зарегистрированы в подразделении по умолчанию –
«Computers»). Формат поддерживаемых OU: OU = name_OU_last_level, … OU =
name_OU_first_level, DC = name_domain, DC = extension_domain. Во
избежание ошибок, рекомендуется сверяться с полем distinguishedName в свойствах
атрибута OU;
«Действие при выходе из системы» – действие, которое OpenUDS будет выполнять на
виртуальном рабочем столе при закрытии сеанса пользователя. «Держать сервис привя-
занным – постоянный пул, при выходе пользователя (выключении ВМ), ВМ запускается
заново, при повторном входе пользователю будет назначен тот же рабочий стол. «Уда-
лить сервис» – непостоянный пул, при выходе пользователя из системы, ВМ удаляется и
создается заново. «Держать сервис привязанным даже в новой публикации» – сохране-
ние назначенной службы даже при создании новой публикации;
«Максимальное время простоя» – время простоя виртуального рабочего стола (в секун-
дах). По истечении этого времени OpenUDS Actor автоматически закроет сеанс. Отрица-
тельные значения и значения менее 300 секунд отключают эту опцию;
вкладка «Расширенный» (Рис. 264):
«Группа машин» – указывает, к какой группе машин AD будут добавлены виртуальные
рабочие столы, созданные UDS;
«Убрать машину» – если этот параметр установлен, OpenUDS удалит запись о виртуаль-
ном рабочем столе в указанном подразделении после удаления рабочего стола (необхо-
димо, чтобы пользователь, указанный в поле «Аккаунт», имел права на выполнение дан-
ного действия в OU);
«Предпочтения серверов» – если серверов AD несколько, можно указать, какой из них
использовать предпочтительнее;
«Использовать SSL» – если этот параметр установлен, будет использоваться SSL-соеди-
нение;
«Выход по календарю» – если этот параметр установлен, OpenUDS попытается завер-
шить сессию пользователя, когда для текущего соединения истечет время доступа (если
параметр не установлен, пользователю будет разрешено продолжить работу).
242
OpenUDS. Windows Domain ОС менеджер
Рис. 263
OpenUDS. Windows Domain ОС менеджер
Рис. 264
243
6.8.3.4 Транспорт
Для подключения к виртуальным рабочим столам необходимо создать «транспорт».
«Транспорт» – это приложение, которое выполняется на клиенте и отвечает за предоставление до-
ступа к реализованной службе.
Можно создать один транспорт для различных «пулов» или установить по одному транс-
порту для каждого «пула».
При создании транспорта необходимо выбрать его тип (Рис. 265):
«Прямой» («Direct») – используется, если пользователь имеет доступ к виртуальным рабо-
чим столам из внутренней сети (например, LAN, VPN и т.д.);
«Туннельный» («Tunneled») – используется, если у пользователя нет прямого подключения
к рабочему столу.
OpenUDS. Настройка «Транспорты»
Рис. 265
6.8.3.4.1 RDP (прямой)
RDP позволяет пользователям получать доступ к виртуальным рабочим столам Windows/
Linux. И на клиентах подключения, и на виртуальных рабочих столах должен быть установлен и
включен протокол RDP (для виртуальных рабочих столов Linux необходимо использовать XRDP).
Параметры для настройки транспорта RDP:
вкладка «Основной» (Рис. 266):
«Имя» – название транспорта;
«Приоритет» – чем меньше значение приоритета, тем выше данный транспорт будет ука-
зан в списке доступных транспортов для сервиса. Транспорт с самым низким приорите-
том, будет транспортом по умолчанию;
244
«Сетевой доступ» – разрешает или запрещает доступ пользователей к службе в зависи-
мости от сети, из которой осуществляется доступ;
«Сети» – сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе «Сети»).
Пустое поле означает «все сети». Используется вместе с параметром «Сетевой доступ»;
«Разрешенные устройства» – разрешает доступ к службе только с выбранных устройств.
Пустое поле означает «все устройства»;
«Сервис-пулы» – позволяет назначить транспорт одному или нескольким ранее создан-
ным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения
при создании пула услуг;
Настройка RDP. Вкладка «Основной»
Рис. 266
вкладка «Учетные данные» (Рис. 267):
«Пропустить данные аккаунта» – если установлено значение «Да», учётные данные для
доступа к виртуальному рабочему столу будут запрашиваться при подключении к серве-
ру. Если установлено значение «Нет», будут использоваться данные OpenUDS (см. ни-
же);
«Имя пользователя» – имя пользователя, которое будет использоваться для доступа к
рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое,
будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
«Пароль» – пароль пользователя, указанного в поле «Имя пользователя»;
245
«Без домена» – указывает, перенаправляется ли доменное имя вместе с пользователем.
Значение «Да» равносильно пустому полю «Domain»;
«Домен» – домен. Если поле не пустое, то учётные данные будут использоваться в виде
DOMAIN\user;
Настройка RDP. Вкладка «Учетные данные»
Рис. 267
вкладка «Параметры» (Рис. 268) – разрешение перенаправления дисков, принтеров и дру-
гих устройств;
Настройка RDP. Вкладка «Параметры»
Рис. 268
вкладка «Экран/Дисплей» (Рис. 269) – настройка окна рабочего стола;
246
Настройка RDP. Вкладка «Экран/Дисплей»
Рис. 269
вкладка «Linux Client» (Рис. 270):
«Мультимедийная синхронизация» – включает параметр мультимедиа на клиенте
FreeRDP;
«Использовать Alsa» – использовать звук через Alsa;
«Строка принтера» – принтер, используемый клиентом FreeRDP (если включено пере-
направление принтера). Пример: «HP_LaserJet_M1536dnf_MFP» (названия подключен-
ных принтеров можно вывести командой lpstat -a);
«Строка Smartcard» – токен, используемый клиентом FreeRDP (если включено пере-
направление смарт-карт). Пример: «Aktiv Rutoken ECP 00 00».
«Пользовательские параметры» – здесь можно указать любой параметр, поддерживае-
мый клиентом FreeRDP;
вкладка «Расширенный»:
«Метка» – метка транспорта метапула (используется для того, чтобы назначить несколь-
ко транспортов метапулу).
247
Настройка RDP. Вкладка «Linux Client»
Рис. 270
6.8.3.4.2 RDP (туннельный)
Все настройки аналогичны настройке RDP, за исключением настроек на вкладке «Туннель»
(Рис. 271):
«Туннельный сервер» – IP-адрес/имя OpenUDS Tunnel. Если доступ к рабочему столу осу-
ществляется через глобальную сеть, необходимо ввести общедоступный IP-адрес сервера
OpenUDS Tunnel. Формат: IP_Tunneler:Port;
«Время ожидания туннеля» – максимальное время ожидания туннеля;
«Принудительная проверка SSL-сертификата» – принудительная проверка сертификата
туннельного сервера.
Настройка RDP. Вкладка «Туннель»
Рис. 271
248
6.8.3.4.3 X2Go (прямой)
X2Go, позволяет пользователям получать доступ к виртуальным рабочим столам Linux. На
клиентах подключения должен быть установлен клиент X2Go, и на виртуальных рабочих столах
(сервере) должен быть установлен и включен сервер X2Go.
Параметры для настройки транспорта RDP:
вкладка «Основной» (Рис. 272):
«Имя» – название транспорта;
«Приоритет» – приоритет, чем меньше значение приоритета, тем выше данный транс-
порт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низ-
ким приоритетом, будет транспортом по умолчанию;
«Сетевой доступ» – разрешает или запрещает доступ пользователей к службе в зависи-
мости от сети, из которой осуществляется доступ;
«Сети» – сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе «Сети»).
Пустое поле означает «все сети». Используется вместе с параметром «Сетевой доступ»;
«Разрешенные устройства» – разрешает доступ к службе только с выбранных устройств.
Пустое поле означает «все устройства»;
«Сервис-пулы» – позволяет назначить транспорт одному или нескольким ранее создан-
ным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения
при создании пула услуг.
Настройка X2Go. Вкладка «Основной»
Рис. 272
249
вкладка «Учетные данные» (Рис. 273):
«Имя пользователя» – имя пользователя, которое будет использоваться для доступа к
рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое,
будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
Настройка X2Go. Вкладка «Учетные данные»
Рис. 273
вкладка «Параметры» (Рис. 274) – разрешение перенаправления дисков, принтеров и дру-
гих устройств;
«Размер экрана» – размер окна рабочего стола;
«Экран» – менеджер рабочего стола (Xfce, Mate и др.) или виртуализация приложений
Linux (UDS vAPP);
«vAPP» – полный путь до приложения (если «Экран» = UDS vAPP);
«Включить звук» – включить звук;
«Перенаправить домашнюю папку» – перенаправить домашнюю папку клиента подклю-
чения на виртуальный рабочий стол (на Linux также перенаправлять /media);
«Скорость» – скорость подключения;
Настройка X2Go. Вкладка «Параметры»
Рис. 274
250
Вкладка «Расширенный» (Рис. 275) – настройка окна рабочего стола;
«Звук» – тип звукового сервера;
«Клавиатура» – раскладка клавиатуры;
«Метка» – метка транспорта метапула (используется для того, чтобы назначить несколь-
ко транспортов метапулу).
Настройка X2Go. Вкладка «Расширенный»
Рис. 275
6.8.3.4.4 X2Go (туннельный)
Все настройки аналогичны настройке X2Go, за исключением настроек на вкладке «Тун-
нель» (Рис. 276):
«Туннельный сервер» – IP-адрес/имя OpenUDS Tunnel. Если доступ к рабочему столу осу-
ществляется через глобальную сеть, необходимо ввести общедоступный IP-адрес сервера
OpenUDS Tunnel. Формат: IP_Tunneler:Port;
«Время ожидания туннеля» – максимальное время ожидания туннеля;
«Принудительная проверка SSL-сертификата» – принудительная проверка сертификата
туннельного сервера.
Настройка X2Go. Вкладка «Туннель»
Рис. 276
251
6.8.3.4.5 SPICE (прямой)
П р и м е ч а н и е . Транспортный протокол SPICE может использоваться только с oVirt/
RHEV, OpenNebula и PVE.
SPICE позволяет пользователям получать доступ к виртуальным рабочим столам
Windows/Linux. На клиентах подключения должен быть установлен клиент SPICE (virt-man-
ager).
П р и м е ч а н и е . Для работы прямого подключения по протоколу SPICE на сервере
OpenUDS и клиентах OpenUDS, откуда осуществляется подключение, имена узлов платформы
виртуализации должны корректно разрешаться в IP-адреса этих узлов.
Параметры для настройки транспорта SPICE:
вкладка «Основной» (Рис. 277):
«Имя» – название транспорта;
«Приоритет» – приоритет, чем меньше значение приоритета, тем выше данный транс-
порт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низ-
ким приоритетом, будет транспортом по умолчанию;
«Сертификат» – сертификат, сгенерированный в ovirt-engine/RHV-manager или в
OpenNebula. Требуется для подключения к виртуальным рабочим столам;
«Сетевой доступ» – разрешает или запрещает доступ пользователей к службе в зависи-
мости от сети, из которой осуществляется доступ;
«Сети» – сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе «Сети»).
Пустое поле означает «все сети». Используется вместе с параметром «Сетевой доступ»;
«Разрешенные устройства» – разрешает доступ к службе только с выбранных устройств.
Пустое поле означает «все устройства»;
«Сервис-пулы» – позволяет назначить транспорт одному или нескольким ранее создан-
ным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения
при создании пула услуг;
вкладка «Расширенный» (Рис. 278) – настройка окна рабочего стола;
«Полноэкранный режим» – включает полноэкранный режим виртуального рабочего сто-
ла;
«Перенаправление смарткарты» – включает перенаправление смарт-карт;
«Включить USB» – разрешает перенаправление устройств, подключенных к USB-порту;
«Новый USB автобмен» – позволяет перенаправлять PnP-устройства, подключенные к
USB-порту;
«SSL Connection» – использовать SSL-соединение;
252
«Метка» – метка транспорта метапула (используется для того, чтобы назначить несколь-
ко транспортов метапулу).
Настройка SPICE. Вкладка «Основной»
Рис. 277
Настройка SPICE. Вкладка «Расширенный»
Рис. 278
253
6.8.3.4.6 HTML5 RDP (туннельный)
HTML5 RDP позволяет пользователям получать доступ к виртуальным рабочим столам
Windows/Linux через протокол RDP с использованием браузера, поддерживающего HTML5. На
виртуальных рабочих столах должен быть установлен и включен протокол RDP (для виртуальных
рабочих столов Linux необходимо использовать XRDP).
Параметры для настройки транспорта HTML5 RDP:
вкладка «Основной» (Рис. 279):
«Имя» – название транспорта;
«Приоритет» – приоритет, чем меньше значение приоритета, тем выше данный транс-
порт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низ-
ким приоритетом, будет транспортом по умолчанию;
«Сетевой доступ» – разрешает или запрещает доступ пользователей к службе в зависи-
мости от сети, из которой осуществляется доступ;
«Сети» – сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе «Сети»).
Пустое поле означает «все сети». Используется вместе с параметром «Сетевой доступ»;
«Разрешенные устройства» – разрешает доступ к службе только с выбранных устройств.
Пустое поле означает «все устройства»;
«Сервис-пулы» – позволяет назначить транспорт одному или нескольким ранее создан-
ным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения
при создании пула услуг;
Настройка HTML5 RDP. Вкладка «Основной»
Рис. 279
254
вкладка «Туннель» (Рис. 280):
«Туннельный сервер» – IP-адрес или имя OpenUDS Tunnel. Формат: http(s)://IP_Tunneler:
[Port] (8080 – порт по умолчанию для http, 443 – для https);
Настройка HTML5 RDP. Вкладка «Туннель»
Рис. 280
вкладка «Учетные данные» (Рис. 281):
«Пропустить данные аккаунта» – если установлено значение «Да», учётные данные для
доступа к виртуальному рабочему столу будут запрашиваться при подключении к серве-
ру. Если установлено значение «Нет», будут использоваться данные OpenUDS;
«Имя пользователя» – имя пользователя, которое будет использоваться для доступа к
рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое,
будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
«Пароль» – пароль пользователя, указанного в поле «Имя пользователя»;
«Без домена» – указывает, перенаправляется ли доменное имя вместе с пользователем.
Значение «Да» равносильно пустому полю «Domain»;
«Домен» – домен. Если поле не пустое, то учётные данные будут использоваться в виде
DOMAIN\user;
Настройка HTML5 RDP. Вкладка «Учетные данные»
Рис. 281
255
вкладка «Параметры» (Рис. 282):
«Показать обои» – отображать обои рабочего стола;
«Разрешить композицию рабочего стола» – включить «Desktop Composition»;
«Сглаживание шрифтов» – активирует сглаживание шрифтов;
«Включить аудио» – перенаправлять звук с рабочего стола на клиент подключения;
«Включить микрофон» – включить микрофон на виртуальном рабочем столе;
«Включить печать» – включить печать на виртуальном рабочем столе;
«Обмен файлами» – политика обмена файлами между виртуальным рабочим столом и
клиентом подключения. Позволяет создать временный каталог (расположенный на сер-
вере OpenUDS Tunnel), для возможности обмена файлами между виртуальным рабочим
столом и клиентом подключения;
«Буфер обмена» – настройка общего буфера обмена;
«Раскладка» – раскладка клавиатуры, которая будет включена на рабочем столе.
Настройка HTML5 RDP. Вкладка «Параметры»
Рис. 282
256
вкладка «Расширенный» (Рис. 283) – настройка окна рабочего стола:
«Срок действия билета» – допустимое время (в секундах) для клиента HTML5 для пе-
резагрузки данных из OpenUDS Broker (рекомендуется использовать значение по умол-
чанию – 60);
«Открывать HTML в новом окне» – позволяет указать открывать ли подключение в но-
вом окне;
«Безопасность» – позволяет задать уровень безопасности соединения;
«Порт RDP» – порт RDP (по умолчанию – 3389);
«Метка» – метка транспорта метапула (используется для того, чтобы назначить несколь-
ко транспортов метапулу).
Настройка HTML5 RDP. Вкладка «Расширенный»
Рис. 283
6.8.3.4.7 HTML5 SSH (туннельный)
HTML5 SSH позволяет пользователям получать доступ к виртуальным рабочим столам
Linux по протоколу SSH с использованием браузера, поддерживающего HTML5 (на машинах дол-
жен быть запущен сервер SSH). Используя данный транспорт можно подключаться к серверам
Linux, на которых не установлен оконный менеджер или среда рабочего стола.
Параметры для настройки транспорта HTML5 SSH:
вкладка «Основной» (Рис. 284):
«Имя» – название транспорта;
257
«Приоритет» – приоритет, чем меньше значение приоритета, тем выше данный транс-
порт будет указан в списке доступных транспортов для сервиса. Транспорт с самым низ-
ким приоритетом, будет транспортом по умолчанию;
«Сетевой доступ» – разрешает или запрещает доступ пользователей к службе в зависи-
мости от сети, из которой осуществляется доступ;
«Сети» – сетевые диапазоны, подсети или IP-адреса (настраиваются в разделе «Сети»).
Пустое поле означает «все сети». Используется вместе с параметром «Сетевой доступ»;
«Разрешенные устройства» – разрешает доступ к службе только с выбранных устройств.
Пустое поле означает «все устройства»;
«Сервис-пулы» – позволяет назначить транспорт одному или нескольким ранее создан-
ным пулам услуг. Можно оставить это поле пустым и выбрать способы подключения
при создании пула услуг;
Настройка HTML5 SSH. Вкладка «Основной»
Рис. 284
вкладка «Туннель» (Рис. 285):
«Туннельный сервер» – IP-адрес или имя OpenUDS Tunnel. Формат: http(s)://IP_Tunneler:
[Port] (8080 – порт по умолчанию для http, 443 – для https);
258
Настройка HTML5 SSH. Вкладка «Туннель»
Рис. 285
вкладка «Учетные данные» (Рис. 286):
«Имя пользователя» – имя пользователя, которое будет использоваться для доступа к
рабочему столу (пользователь должен существовать на ВМ). Если данное поле пустое,
будет использован логин авторизовавшегося в веб-интерфейсе OpenUDS пользователя;
Настройка HTML5 SSH. Вкладка «Учетные данные»
Рис. 286
вкладка «Параметры» (Рис. 287):
«SSH-команда» – команда, которая будет выполнена на удалённом сервере. Если ко-
манда не указана, будет запущена интерактивная оболочка (Рис. 288);
«Обмен файлами» – политика обмена файлами между виртуальным рабочим столом и
клиентом подключения;
«Корень общего доступа к файлам» – корневой каталог для доступа к файлам. Если не
указан, будет использоваться корневой каталог (/);
«Порт SSH-сервера» – порт SSH-сервера (по умолчанию – 22);
«Ключ хоста SSH» – ключ хоста SSH. Если ключ не указан, проверка подлинности хоста
выполняться не будет;
«Поддержка сервера в рабочем состоянии» – время (в секундах) между сообщениями
проверки активности, отправляемых на сервер. Если не указано, сообщения проверки
активности не отправляются;
259
Настройка HTML5 SSH. Вкладка «Параметры»
Рис. 287
OpenUDS. Подключение по HTML5 SSH
Рис. 288
вкладка «Расширенный» (Рис. 289):
«Срок действия билета» – допустимое время (в секундах) для клиента HTML5 для пе-
резагрузки данных из OpenUDS Broker (рекомендуется использовать значение по умол-
чанию – 60);
«Открывать HTML в новом окне» – позволяет указать открывать ли подключение в но-
вом окне;
«Метка» – метка транспорта метапула (используется для того, чтобы назначить несколь-
ко транспортов метапулу).
260
Настройка HTML5 SSH. Вкладка «Расширенный»
Рис. 289
После входа на удалённый сервер, в зависимости от настроек политики обмена файлами,
можно скачивать/загружать файлы. Для загрузки файлов можно открыть окно настроек
(<Ctrl>+<Shift>+<Alt>), выбрать устройство в поле «Устройства», нажать кнопку «Загрузка
файлов» и выбрать файл. Ход передачи файла будет показан в левом нижнем углу окна (Рис. 290).
HTML5 SSH. Передача файлов
Рис. 290
6.8.3.5 Сети
В OpenUDS можно зарегистрировать различные сети для управления доступом клиентов к
виртуальным рабочим столам или приложениям. Эти сети совместно с транспортом будут опреде-
лять, какой тип доступа будет доступен пользователям для подключения к виртуальным рабочим
столам.
В разделе «Сети» нажать кнопку «Новый» (Рис. 291).
В открывшемся окне (Рис. 292) следует указать название сети и сетевой диапазон. В каче-
стве сетевого диапазона можно указать:
одиночный IP-адрес: xxx.xxx.xxx.xxx (например, 192.168.0.33);
подсеть: xxx.xxx.xxx.xxx/x (например, 192.168.0.0/24);
диапазон IP-адресов: xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx (например, 192.168.0.1-192.168.0.50).
261
OpenUDS. Добавить новую сеть
Рис. 291
OpenUDS. Новая сеть
Рис. 292
После создания сетей появится возможность указать их при создании/редактировании
транспорта. Можно настроить, будет ли данный транспорт отображаться у клиента, в зависимости
от сети, в которой находится клиент. Если сети для транспорта не определены, доступ к службам
рабочего стола и виртуальным приложениям будет возможен из любой сети.
6.8.3.6 Пулы услуг
После того, как был создан и настроен хотя бы один поставщик услуг с соответствующей
службой/услугой, аутентификатор (с пользователем и группой), менеджер ОС и транспорт, можно
создать пул услуг («Сервис-пул») для публикации виртуальных рабочих столов.
В разделе «Сервис-пулы» нажать кнопку «Новый» (Рис. 293).
262
OpenUDS. Новый пул услуг
Рис. 293
Заполнить параметры конфигурации:
вкладка «Основной» (Рис. 294):
«Имя» – название службы (это имя будет показано пользователю для доступа к рабочему
столу или виртуальному приложению). В этом поле можно использовать переменные
для отображения информации об услугах:
o{use} – указывает процент использования пула (рассчитывается на основе поля
«Максимальное количество предоставляемых сервисов» и назначенных услуг);
o{total} – общее количество машин (данные извлечены из поля «Максимальное ко-
личество предоставляемых сервисов»);
o{usec} – количество машин, используемых пользователями в пуле;
o{left} – количество машин, доступных в пуле для подключения пользователей;
«Базовый сервис» – служба, созданная ранее в поставщике услуг (состоит из поставщика
услуг и базовой услуги);
«ОС Менеджер» – ранее созданный менеджер ОС, конфигурация которого будет приме-
няться к каждому из созданных виртуальных рабочих столов или приложений. Если вы-
брана услуга типа «Статический IP», это поле не используется;
«Публиковать при создании» – если этот параметр включен, при сохранении пула услуг
система автоматически запустит первую публикацию. Если установлено значение «Нет»,
будет необходимо запустить публикацию сервиса вручную (из вкладки «Публикации»);
263
OpenUDS. Новый Service Pool. Вкладка «Основной»
Рис. 294
вкладка «Экран/Дисплей» (Рис. 295):
«Видимый» – если этот параметр отключен, пул не будет отображаться у пользователей;
«Привязанный образ» – изображение, связанное с услугой. Изображение должно быть
предварительно добавлено в репозиторий изображений (раздел «Инструменты» → «Га-
лерея»);
«Пул-группа» – позволяет группировать различные службы. Группа должна быть пред-
варительно создана в разделе «Пулы» → «Группа»;
«Доступ к календарю запрещён» – позволяет указать сообщение, которое будет показано
пользователю, если доступ к сервису ограничен правилами календаря;
OpenUDS. Новый Service Pool. Вкладка «Экран/Дисплей»
Рис. 295
264
вкладка «Расширенный» (Рис. 296):
«Разрешить удаление пользователями» – если этот параметр включен, пользователи мо-
гут удалять назначенные им службы. Если сервис представляет собой виртуальный рабо-
чий стол, автоматически сгенерированный OpenUDS, он будет удален, и при следующем
подключении ему будет назначен новый. Если это другой тип сервиса (vAPP/статиче-
ский IP), будет удалено только назначение, а новое будет назначено на следующее под-
ключение;
«Разрешить сброс пользователями» – если этот параметр включен, пользователь сможет
перезапускать или сбрасывать назначенные ему службы (относится только к виртуаль-
ным рабочим столам, автоматически созданным OpenUDS);
«Игнорирует неиспользуемые» – если этот параметр включен, непостоянные пользова-
тельские службы, которые не используются, не будут удаляться;
«Показать транспорты» – если этот параметр включен, будут отображаться все транспор-
ты, назначенные услуге. Если параметр не активирован, будет отображаться только
транспорт по умолчанию (с наивысшим приоритетом);
«Учетные записи» – назначение услуги ранее созданным «Аккаунтам» («Пулы» → «Ак-
каунты»);
OpenUDS. Новый Service Pool. Вкладка «Расширенный»
Рис. 296
вкладка «Доступность» (Рис. 297):
«Первоначально доступные сервисы» – минимальное количество виртуальных рабочих
столов, созданных, настроенных и назначенных/доступных для службы;
265
«Сервисы для удержания в кэше» – количество доступных виртуальных рабочих мест.
Эти ВМ всегда будут настроены и готовы к назначению пользователю (они будут авто-
матически создаваться до тех пор, пока не будет достигнуто максимальное количество
машин, указанное в поле Максимальное количество предоставляемых сервисов);
«Сервисы, хранящиеся в L2 кэше» – количество виртуальных рабочих столов в спящем
или выключенном состоянии. Виртуальные рабочие столы, сгенерированные на уровне
кэша L2, будут помещены в кэш, как только система потребует их (они никогда не будут
напрямую назначены пользователям);
«Максимальное количество предоставляемых сервисов» – максимальное количество
виртуальных рабочих столов, созданных системой в данном пуле (рабочие столы, со-
зданные в кэше L2, не учитываются).
OpenUDS. Новый Service Pool. Вкладка «Доступность»
Рис. 297
После нажатия кнопки «Сохранить» и система начнет создавать виртуальные рабочие сто-
лы на основе настроенного кэша.
После создания пула, в настройках (дважды щелкнуть мышью по строке созданного пула
или в контекстном меню пула выбрать пункт «Подробность»):
на вкладке «Группы» (Рис. 298) назначить группы доступа (выбрать аутентификатор и
группу, которая будет иметь доступ к этому пулу служб).
на вкладке «Транспорты» (Рис. 299) выбрать способы подключения пользователей к рабо-
чему столу.
266
OpenUDS. Назначение группы пулу служб
Рис. 298
OpenUDS. Выбор способов подключения к пулу служб
Рис. 299
6.8.3.7 Мета-пулы
Виртуальные рабочие столы можно сгруппировать в пулы рабочих столов («Мета-пулы»),
что упрощает управление и организацию. Создание «Мета-пула» позволит получить доступ к вир-
туальным рабочим столам или приложениям из разных «Пулов услуг». Эти пулы будут работать
вместе, предоставляя различные услуги абсолютно прозрачным для пользователей способом.
Пулы услуг, образующие «Мета-пул», будут работать в соответствии с политикой, которая
позволит предоставлять услуги в соответствии с потребностями пула.
Чтобы создать «Мета-пул», необходимо в разделе «Мета-пулы» нажать кнопку «Новый»
(Рис. 300).
267
OpenUDS. Новый «Мета-пул»
Рис. 300
Заполнить параметры конфигурации:
вкладка «Основной» (Рис. 301):
«Имя» – мета-пула (это будет видеть пользователь для доступа к службе);
«Короткое имя» – если указано, то это будет видеть пользователь для доступа к службе
(при наведении на него указателя появится содержимое поля «Имя»);
«Политика» – политика, которая будет применяться при создании сервисов в пулах
услуг, являющихся частью мета-пула:
o«Eventy distributed» – услуги будут создаваться и использоваться равномерно во всех
пулах услуг, составляющих мета-пул;
o«Priority» – услуги будут создаваться и использоваться из пула услуг с наибольшим
приоритетом (приоритет определяется значением поля «Приоритет», чем ниже значе-
ние этого поля, тем выше приоритет у элемента). Когда будет достигнуто максималь-
ное количество сервисов данного пула услуг, будут использоваться сервисы следую-
щего;
o«Greater % available» – службы будут создаваться и использоваться из пула услуг, ко-
торый имеет самый высокий процент свободных услуг;
268
OpenUDS. Новый мета-пул. Вкладка «Основной»
Рис. 301
вкладка «Экран/Дисплей» (Рис. 302):
«Привязанный образ» – изображение, связанное с мета-пулом. Изображение должно
быть предварительно добавлено в репозиторий изображений (раздел «Инструменты» →
«Галерея»);
«Пул-группа» – позволяет группировать различные службы. Группа должна быть пред-
варительно создана в разделе «Пулы» → «Группа»;
«Видимый» – если этот параметр отключен, пул не будет отображаться у пользователей;
«Доступ к календарю запрещён» – позволяет указать сообщение, которое будет показано
пользователю, если доступ к сервису ограничен правилами календаря;
«Выбор транспорта» – указывает как на мета-пул будет назначен транспорт:
o«Automatic selection» – будет доступен транспорт с самым низким приоритетом, на-
значенным пулу услуг. Выбор транспорта не допускается;
o«Use only common transports» – в мета-пуле будет доступен транспорт, который яв-
ляется общим для всего пула услуг;
o«Group Transports by label» – в мета-пуле будет доступен транспорт, которому назна-
чены метки (это поле находится в настройках транспорта на вкладке «Дополнитель-
но»).
269
OpenUDS. Новый мета-пул. Вкладка «Экран/Дисплей»
Рис. 302
После создания мета-пула, в настройках (дважды щелкнуть мышью по строке созданного
пула или в контекстном меню пула выбрать пункт «Подробность») необходимо на вкладке «Пулы
услуг» добавить пул услуг в мета-пул (Рис. 303).
OpenUDS. Добавление пула служб в мета-пул
Рис. 303
Для добавления пула услуг необходимо указать:
«Приоритет» – приоритет, который будет иметь данный пул услуг в мета-пуле (чем ниже
значение, тем больше приоритет);
«Пул услуг» – пул услуг, который будет добавлен в мета-пул (пул услуг должен быть пред-
варительно создан);
270
«Включено» – включает или отключает видимость пула услуг в мета-пуле.
Можно добавить столько пулов услуг, сколько необходимо, комбинируя службы,
размещенные на разных платформах виртуализации (PVE, KVM, OpenNebula и т.д.), серверах
приложений и статических устройствах.
Как и при создании пула услуг, здесь есть следующие вкладки с информацией и
конфигурацией:
«Назначенные сервисы» – показывает службы, назначенные пользователям (можно вруч-
ную удалить назначение и переназначить другому пользователю);
«Группы» – указывает, какие группы пользователей будут иметь доступ к услуге;
«Доступ к календарю» – позволяет применить ранее созданный календарь доступа;
«Журналы» – журналы мета-пула.
6.8.3.8 Управление доступом по календарю
В OpenUDS можно настроить ограничение доступа пользователей к удаленным рабочим
столам и виртуальным приложениям по дате и времени.
С помощью календаря также можно автоматизировать определенные задачи в «Пуле-
услуг», такие как создание новых публикаций, настройка значений системного кэша,
добавление/удаление групп и транспорта, изменение максимального количества услуг.
Чтобы создать календарь, следует в разделе «Календари» нажать кнопку «Новый», в
открывшемся окне ввести описательное название в поле «Имя» и нажать кнопку «Сохранить»
(Рис. 304).
OpenUDS. Новый календарь
Рис. 304
В «Календаре» можно зарегистрировать правила, чтобы запланировать доступность услуги
в определенное время. Для создания правила следует выбрать календарь (дважды щелкнуть мы-
шью по строке созданного календаря или в контекстном меню календаря выбрать пункт «Подроб-
ность») и нажать кнопку «Новый» (Рис. 305).
271
OpenUDS. Создать новое правило
Рис. 305
Минимальные параметры для настройки правила (Рис. 306):
«Имя» – название правила;
«Событие» – настройка времени выполнения. Необходимо указать время начала и продол-
жительность события (в минутах/часах/днях/неделях);
«Repetition» («Периодичность») – настройка периодичности выполнения. Необходимо ука-
зать дату начала, частоту повторения правила (ежедневно/еженедельно/ежеме-сячно/еже-
годно/по будням) и указать интервал повторения (в днях);
«Панель» – показывает сводные данные (резюме) всех ранее указанных настроек.
OpenUDS. Создание правила
Рис. 306
После нажатия кнопки «Хорошо» будет создано правило (Рис. 307), которое будет назначе-
но «Пулу услуг» (виртуальному рабочему столу и/или приложению).
272
OpenUDS. Список правил
Рис. 307
6.8.3.8.1 Разрешение/запрет доступа
После настройки правил в календарях их можно использовать для управления доступом
пользователей к службам рабочего стола или приложениям. Для этого следует выбрать «Пул
услуг», перейти на вкладку «Доступ к календарям» и нажать кнопку «Новый» (Рис. 308). В
открывшемся окне необходимо указать приоритет доступа, выбрать календарь и указать действие,
которое будет применяться при доступе к пулу (Рис. 309).
OpenUDS. Созадть новое правило доступа
Рис. 308
OpenUDS. Новое правило доступа
Рис. 309
273
П р и м е ч а н и е . Правило по умолчанию («FallBack») должно разрешать или запрещать до-
ступ к сервису, когда календарь не применяется (Рис. 310).
OpenUDS. Ограничение доступа к пулу по календарю
Рис. 310
6.8.3.8.2 Запланированные действия
После настройки правил в календарях их можно использовать для планирования опреде-
ленные задач в «Пуле услуг». Для этого следует выбрать нужный «Пул услуг», перейти на вкладку
«Запланированные действия» и нажать кнопку «Новый» (Рис. 311).
OpenUDS. Вкладка «Запланированные действия»
Рис. 311
В открывшемся окне (Рис. 312) необходимо указать календарь, время, в течение которого
будет выполняться действие, выбрать действие, которое необходимо выполнить (список возмож-
ных действий зависит от поставщика услуг данного пула):
«Установить начальные сервисы» – сбрасывает минимальное количество созданных и на-
строенных виртуальных рабочих столов;
«Установить размер кеша» – сбрасывает виртуальные рабочие столы, доступные в систем-
ном кеше. Эти рабочие столы будут настроены и готовы к назначению пользователю;
«Установить максимальное количество сервисов» – изменяет максимальное количество
виртуальных рабочих столов в «Пуле услуг»;
274
«Установить размер L2 кэша» – сбрасывает виртуальные рабочие столы, доступные в кэше
L2;
«Публикация» – создание новой публикации в «Пуле услуг»;
«Добавить транспорт» – добавляет существующий транспорт в «Пул услуг»;
«Удалить транспорт» – удаляет транспорт из «Пула услуг»;
«Удалить все транспорты» – удаляет весь транспорт из «Пула услуг»;
«Добавить группу» – добавляет существующую группу в «Пул услуг»;
«Удалить группу» – удаляет группу из «Пула услуг»;
«Удалить все группы» – удаляет все группы из «Пула услуг»;
«Устанавливает игнорирование неиспользуемых» – устанавливает параметр «Игнорировать
неиспользуемые»;
«Удалить ВСЕ назначенные пользовательские сервисы» – удаляет все службы, назначен-
ные пользователям;
«Удалить СТАРЫЕ назначенные пользовательские сервисы» – удаляет службы, назначен-
ные пользователям, которые не использовались заданное время.
OpenUDS. Новое действие
Рис. 312
После нажатия кнопки «Хорошо» будет создано правило (Рис. 307), которое будет назначе-
но «пулу услуг» (виртуальному рабочему столу и/или приложению).
После сохранения появится запланированная задача, выполняющая конкретное действие в
данном «Пуле услуг».
275
6.8.3.9 Настройка разрешений
В OpenUDS можно назначать пользователям и группам пользователей права доступа к раз-
личным элементам администрирования. Разрешения будут назначены непосредственно для каждо-
го элемента, а также будут применяться к его подэлементам.
П р и м е ч а н и е . Чтобы пользователь мог получить доступ к администрированию, ему
должна быть назначена роль «Штатный сотрудник» (Рис. 313).
OpenUDS. Роль пользователя
Рис. 313
Для предоставления разрешения к элементу администрирования следует выбрать элемент и
нажать кнопку «Разрешения». Например, на Рис. 314 показано предоставление разрешения к сер-
вису «Desktop Alt».
OpenUDS. Предоставление разрешения к сервису «Desktop Alt»
Рис. 314
276
В окне разрешений следует нажать ссылку «Новое разрешение...» для групп или пользова-
телей, выбрать аутентификатор и группу/пользователя, к которым будет применяться разрешение
(Рис. 315). Нужно также указать, будет ли пользователь/группа иметь доступ для чтения к элемен-
ту («Только чтение») или полный доступ («Полный доступ»).
OpenUDS. Новое разрешение для «Desktop Alt»
Рис. 315
После сохранения настроек, пользователи, которым назначена роль «Штатный сотрудник»,
смогут получить доступ к этому элементу администрирования с назначенными разрешениями.
П р и м е ч а н и е . Разрешения типа «Полный доступ» («Управление») могут применяться
только к элементам второго уровня («Календари», «Пулы услуг» и т. д.).
6.8.3.10 Конфигурация OpenUDS
В разделе «Конфигурация» (Рис. 316) можно настроить ряд параметров, которые будут
определять работу системы. Эти параметры отвечают за определение таких аспектов, как безопас-
ность, режим работы, подключение и т.д. как самой системы OpenUDS, так и её связи с виртуаль-
ными платформами, зарегистрированными в OpenUDS.
П р и м е ч а н и е . В данном разделе описаны некоторые системные переменные для управ-
ления виртуальными рабочими столами. Не рекомендуется изменять значения других перемен-
ных, так как некоторые из них указывают системе, как она должна работать (количество одновре-
менных задач, время выполнения задач, плановые проверки и т.д.). Изменение этих параметров
может привести к неправильной работе или к полной остановке системы.
П р и м е ч а н и е . Для применения изменений, после редактирования значений любой из
переменных конфигурации OpenUDS, необходимо перезапустить сервер OpenUDS.
277
OpenUDS. Раздел «Конфигурация»
Рис. 316
Некоторые параметры конфигурации:
вкладка «UDS»:
«autorunService» – выполнять прямой доступ к службе пользователя, если пользователю
назначена только одна служба. Если этот параметр активирован, пользователи, которым
назначен один сервис, будут подключаться к нему напрямую, минуя экран выбора серви-
са и используя предварительно настроенный «Транспорт». По умолчанию: нет;
«disallowGlobalLogin» – если включено, на странице входа не будет отображаться список
аутентификаторов. В этом случае будет использоваться аутентификатор по умолчанию.
Для предоставления пользователю доступа к системе с помощью других аутентификато-
ров необходимо использовать «Метку», определенную в аутентификаторе, в URL-адресе
доступа. По умолчанию: нет;
278
«keepinfoTime» – время (в секундах), в течение которого завершенные события «пула
услуг» остаются видимыми. По умолчанию: 14401 секунд (4 часа);
«redirectToHttps» – автоматически перенаправлять доступ к OpenUDS с http на https. По
умолчанию: нет;
«sessionExpireTime» – максимальное время, в течение которого сеанс пользователя будет
открыт после создания новой публикации. По истечении этого времени система закроет
сеанс пользователя и продолжит удаление службы. Если у службы есть «Менеджер ОС»
с параметром «Держать сервис привязанным даже в новой публикации», этот параметр
не будет применяться. По умолчанию: 24 часа;
«statsDuration» – время, в течение которого система хранит статистику. По умолчанию:
365 дней;
вкладка «Security»:
«allowRootWebAccess» – разрешить суперпользователю (пользователю, созданному при
разворачивании OpenUDS-сервера) входить в панель управления OpenUDS. По умолча-
нию: да;
«Behind a proxy» – указывает системе, что серверы OpenUDS находятся «за» прокси-сер-
вером (например, среда OpenUDS с HA Proxy). По умолчанию: нет;
«Block ip on login failure» – заблокировать пользователя при неправильном вводе пароля
(также блокируется IP-адрес). Количество попыток указывается в переменной
maxLoginTries. По умолчанию: нет
«Enforce Zero-Trust Mode» – включение режима нулевого доверия (запретить системе
хранить пароли). По умолчанию: нет;
«loginBlockTime» – время (в секундах), в течение которого после неправильного ввода
пароля пользователь будет заблокирован. Количество попыток указывается в перемен-
ной maxLoginTries. По умолчанию: 300 секунд (5 минут);
«maxLoginTries» – количество попыток, за которые пользователь должен ввести свой
пароль, прежде чем система заблокирует его;
«Session timeout for Admin» – время бездействия (в секундах) для администраторов
платформы. По умолчанию: 14400 секунд (4 часа);
«Session timeout for User» – время бездействия (в секундах) для пользователей. По
умолчанию: 14400 секунд (4 часа);
«Trusted Hosts» – узлы, которые OpenUDS считает безопасными. Эти узлы могут делать
«sensitive» запросы к OpenUDS. Допустимые значения: подсеть, диапазон IP-адресов,
конкретные IP-адреса. По умолчанию: «*» (всё разрешено);
279
вкладка «Admin»:
«Trusted Hosts for Admin» – узлы, с которых можно управлять OpenUDS (как с помощью
веб-доступа, так и администрирование с помощью API). Допустимые значения: подсеть,
диапазон IP-адресов, конкретные IP-адреса. По умолчанию: «*» (всё разрешено);
вкладка «Custom» (параметры, связанные с графической настройкой OpenUDS):
«CSS» – CSS код для изменения стиля страниц OpenUDS;
«Logo name» – текст, который отображается рядом с логотипом;
«Min. Services to show filter» – минимальное количество служб, которые должны суще-
ствовать у пользователя (в режиме пользователя), чтобы отображался фильтр;
«Show Filter on Top» расположение панели поиска на странице пользовательских служб;
«Site copyright info» – максимальное время, в течение которого сеанс пользователя будет
открыт после создания новой публикации. По истечении этого времени система закроет
сеанс пользователя и продолжит удаление службы. Если у службы есть «Менеджер ОС»
с параметром «Держать сервис привязанным даже в новой публикации», этот параметр
не будет применяться. По умолчанию: 24 часа;
«Site copyright link » – веб-адрес, на который будет вести ссылка с копирайта;
«Site information» – HTML-код для частичной настройки страницы входа в OpenUDS.
Введенный код появится под полем входа пользователя;
«Site name » – текст, который будет отображаться в верхней части поля входа пользова-
теля на странице входа OpenUDS.
6.8.4 Подготовка шаблона виртуальной машины
Для возможности использования ВМ в качестве шаблона OpenUDS, на машине необходимо
включить и настроить удаленный рабочий стол, установить OpenUDS Actor и зарегистрировать
его на сервере OpenUDS.
6.8.4.1 Шаблон ВМ с ОС Альт
Подготовить шаблон ВМ (все действия выполняются на ВМ):
1. Установить openuds-actor:
# apt-get install openuds-actor
2. Включить автозапуск сервиса udsactor.service:
# systemctl enable udsactor.service
3. Зарегистрировать OpenUDS Actor на сервере OpenUDS:
запустить OpenUDS Actor, например, командой:
$ /usr/sbin/UDSActorConfig-pkexec
Потребуется ввести пароль администратора.
280
на вкладке «UDS Server» (Рис. 317) указать:
«SSL Validation» – уровень безопасности для связи с сервером OpenUDS;
«UDS Server» – имя или IP-адрес сервера OpenUDS;
«Authenticator» – аутентификатор, которому принадлежит указанный пользователь-
администратор (аутентификатор Administration соответствует суперпользователю).
Чтобы отображались различные аутентификаторы, должна быть установлена связь с
сервером OpenUDS;
«Username» – имя пользователя, имеющего права администратора в среде OpenUDS
(должен принадлежать аутентификатору, выбранному в поле Authenticator);
«Password» – пароль пользователя;
OpenUDS. UDS Actor Configuration
Рис. 317
нажать кнопку «Register with UDS» («Зарегистрироваться в UDS»);
на вкладке «Advanced» можно указать дополнительные параметры:
«Preconnect» – сценарий, который будет запущен непосредственно перед тем, как
пользователь подключится к виртуальному рабочему столу. Брокер OpenUDS авто-
матически передаёт следующие параметры: имя пользователя, протокол, IP-адрес
клиента, имя хоста клиента, которые можно использовать в скрипте;
«Runonce» – сценарий, который будет запущен только один раз перед настройкой
UDS Actor. После выполнения скрипт удаляется из конфигурации. Параметры мож-
но передать непосредственно скрипту. Необходимо, чтобы выполняемый скрипт за-
вершился перезапуском виртуального рабочего стола;
«Postconfig» – сценарий, который будет запущен после того, как UDS Actor завер-
шит настройку. Параметры можно передать непосредственно скрипту. Скрипт
281
запускается только один раз, но в отличие от режима Runonce перезапускать вирту-
альный рабочий стол не нужно;
«Log Level» – уровень журналирования;
Для применения настроек указанных на этой вкладке необходимо выполнить перерегистра-
цию UDSActor.
4. Установить и настроить один из вариантов удаленного доступа:
XRDP:
установить пакет xrdp:
# apt-get install xrdp
включить сервисы xrdp и xrdp-sesman:
# systemctl enable --now xrdp
# systemctl enable --now xrdp-sesman
для доступа к терминальному сеансу включить пользователя в группу tsusers:
# gpasswd -a user tsusers
X2Go:
установить пакет x2goserver:
# apt-get install x2goserver
включить сервис x2goserver:
# systemctl enable --now x2goserver
Зарегистрировать UDS Actor можно в командной строке, например:
# UDSActorRegister
SSL validation (yes/no): no
Hostname: 192.168.0.53
Authenticator ['Internal', 'radiusauth', 'freeipa', 'AD', 'admin']:
admin
Username: root
Password:
Pre connect:
Run once:
Post config:
Log level ['debug', 'info', 'error', 'fatal']: error
Registration with UDS completed.
Можно также использовать переменные окружения, например:
# export OPENUDS_ACTOR_SSL_VALIDATION=no
# export OPENUDS_HOST=192.168.0.53
282
# export OPENUDS_AUTHENTICATOR=admin
# export OPENUDS_ACTOR_POST_CONFIG=/home/user/test.sh
# export OPENUDS_ACTOR_LOG_LEVEL=error
# UDSActorRegister
Username: root
Password:
Pre connect:
Run once:
Registration with UDS completed.
При регистрации в командной строке необходимо указать (в скобках приведены соответ-
ствующие переменные окружения):
SSL Validation – уровень безопасности для связи с сервером OpenUDS
(OPENUDS_ACTOR_SSL_VALIDATION);
Hostname – имя или IP-адрес сервера OpenUDS (OPENUDS_HOST);
Authenticator – аутентификатор, которому принадлежит пользователь-администратор
(OPENUDS_AUTHENTICATOR). Аутентификатор «admin» соответствует суперпользова-
телю, другие типы аутентификаторв будут присутствовать в списке, если настроены в бро-
кере. Чтобы отображались возможные аутентификаторы, должна быть установлена связь с
сервером OpenUDS;
Username – имя пользователя, имеющего права администратора в среде OpenUDS
(OPENUDS_USERNAME);
Password – пароль пользователя (OPENUDS_PASSWORD);
Pre connect – сценарий в формате /path/to/script, который будет запущен непосредственно
перед тем, как пользователь подключится к виртуальному рабочему столу
(OPENUDS_ACTOR_PRE_CONNECT);
Run once – сценарий в формате /path/to/script, который будет запущен только один раз
перед настройкой UDS Actor (OPENUDS_ACTOR_RUN_ONCE);
Post config – сценарий в формате /path/to/script, который будет запущен после того, как UDS
Actor завершит настройку (OPENUDS_ACTOR_POST_CONFIG);
Log Level – уровень журналирования (OPENUDS_ACTOR_LOG_LEVEL).
6.8.4.2 Шаблон ВМ с ОС Windows
П р и м е ч а н и е . В данном разделе рассмотрен процесс настройки ВМ с
ОС Windows x64 10 Pro для использования в качестве шаблона OpenUDS.
283
Требования к шаблону ВМ с ОС Windows:
рекомендуется отключить автоматические обновления, чтобы предотвратить выполнение
этого процесса на создаваемых виртуальных рабочих столах;
машина должна получать IP-адрес по DHCP;
шаблон не нужно добавлять в домен Active Directory. Если нужны виртуальные рабочие
столы, включенные в домен AD, настройка должна быть выполнена в панели управления
OpenUDS;
автоматический вход пользователя должен быть отключён (учетные данные всегда должны
запрашиваться у пользователя).
П р и м е ч а н и е . Для возможности ввода ВМ в домен, в шаблоне ВМ должен быть
доступен сервер DNS, имеющий записи про контроллер домена Active Directory.
Для настройки удаленного рабочего стола, необходимо выполнить следующие действия в
шаблоне ВМ:
1. Открыть окно «Параметры» (<Win>+<I>).
2. Выбрать раздел «Система», а затем слева в списке – «Удаленный рабочий стол».
3. Ползунок «Включить удаленный рабочий стол установить» установить в положение «Вкл.»
(Рис. 318).
Включить удаленный рабочий стол
Рис. 318
284
4. Выбрать учетные записи, которым разрешено удаленное подключение. Для этого нажать
ссылку «Выберите пользователей, которые могут получить доступ к этому компьютеру» и
добавить пользователей (Рис. 319).
5. Проверить возможность подключения к машине удаленно.
Удаленный рабочий стол. Пользователи
Рис. 319
Для возможности подключения клиентов Linux может потребоваться снять отметку с пунк-
та «Требовать использование компьютерами аутентификации на уровне сети для подключения» в
дополнительных параметрах (Рис. 320).
Удаленный рабочий стол. Дополнительные параметры
Рис. 320
285
П р и м е ч а н и е . Необходимо также убедиться, что межсетевой экран не блокирует соеди-
нения по 3389 порту.
Установка OpenUDS Actor:
1. Загрузить OpenUDS Actor. Для этого в панели управления OpenUDS Server выбрать пункт
«Загрузки» (Рис. 321) (пункт доступен пользователям с правами администратора) и на
открывшейся странице выбрать нужный UDS Actor (Рис. 322).
П р и м е ч а н и е . Для машин с ОС Windows есть два вида OpenUDS Actor:
UDSActorSetup – для управляемых Windows машин;
UDSActorUnmanagedSetup – для неуправляемых Windows машин. Использу-
ется только для отдельных серверов без виртуализации.
Загрузка OpenUDS Actor
Рис. 321
Загрузка OpenUDS Actor
Рис. 322
286
2. Установить OpenUDS Actor (установка OpenUDS Actor ничем не отличается от
инсталляции большинства других программ в ОС Windows).
3. Запустить UDSActorConfig от имени администратора. Для этого в контекстном меню
пункта «UDSActorConfig» выбрать «Дополнительно» → «Запуск от имени администратора»
(Рис. 323).
Запуск UDSActorConfig
Рис. 323
4. Регистрация OpenUDS Actor на сервере:
для регистрации Managed OpenUDS Actor на вкладке «UDS Server» необходимо указать
имя или IP-адрес сервера OpenUDS, аутентификатор (значение «Administration»
соответствует суперпользователю), имя и пароль пользователя, имеющего права
администратора в среде OpenUDS и нажать кнопку «Register with UDS» (Рис. 324);
для регистрации Unmanaged OpenUDS Actor необходимо указать имя или IP-адрес сервера
OpenUDS и тот же ключ, который был указан при настройке услуги «Статический множе-
ственный IP-адрес» и нажать кнопку «Save Configuration» (Рис. 325).
Регистрация Managed OpenUDS Actor для Microsoft Windows
Рис. 324
287
Регистрация Unmanaged OpenUDS Actor for Microsoft Windows
Рис. 325
П р и м е ч а н и е . Unmanaged OpenUDS Actor уведомляет OpenUDS, когда пользователь
входит в систему и выходит из нее. Благодаря этой функции система может освободить компью-
тер, при выходе пользователя из системы. Для использования этой функции при регистрации услу-
ги «Статический множественный IP-адрес» кроме названия услуги следует указать один или
несколько IP-адресов машин, к которым будет осуществляться доступ и ключ в поле «Ключ услу-
ги» (Рис. 326). Если оставить поле «Ключ услуги» пустым, сеанс останется назначенным пользова-
телю, пока администратор не удалит его вручную.
Регистрация услуги «Статический множественный IP-адрес» на сервере OpenUDS
Рис. 326
6.8.5 Настройка клиента OpenUDS
Для возможности подключения к брокеру соединений и дальнейшего получения доступа к
виртуальному рабочему окружению на клиентской машине должны быть установлены OpenUDS
Client и клиенты каждого используемого протокола удаленного доступа.
288
6.8.5.1 Настойка клиента с ОС Альт
Установить пакет openuds-client:
# apt-get install openuds-client
Чтобы иметь возможность подключаться к виртуальному рабочему столу, должны быть
установлены клиенты протоколов удаленного доступа:
xfreerdp – для подключения по протоколу RDP;
x2goclient – для подключения к серверу X2Go;
remote-viewer из пакета virt-viewer – для подключения по протоколу SPICE.
6.8.5.2 Настойка клиента с ОС Windows
Установка клиента OpenUDS:
1. Скачать OpenUDS Client для компьютеров с ОС Windows. Для этого в панели управления
OpenUDS Server выбрать пункт «Клиент UDS» и на открывшейся странице выбрать клиент
Windows (Рис. 327).
2. Установить OpenUDS Client (установка ничем не отличается от инсталляции большинства
других программ в ОС Windows).
Загрузка OpenUDS Client для Microsoft Windows
Рис. 327
Чтобы иметь возможность подключаться к виртуальному рабочему столу, должны быть
установлены клиенты каждого используемого протокола удаленного доступа: RDP (стандартный
клиент RDP установлен в Windows по умолчанию), X2Go.
П р и м е ч а н и е . Для установки клиента X2Go на ОС Windows достаточно загрузить кли-
ент X2Go (https://wiki.X2Go.org/doku.php) и установить его. Для установки клиента SPICE на ОС
Windows необходимо установить virt-viewer (https://releases.pagure.org/virt-viewer/).
289
6.8.6 Подключение пользователя к виртуальному рабочему месту
Подключиться к серверу OpenUDS с помощью браузера http://openuds_address, ввести имя
пользователя и пароль, выбрать средство проверки подлинности, если доступно несколько (Рис.
328).
OpenUDS. Аутентификация пользователя
Рис. 328
На панели управления будут отображены все ВМ (или шаблоны), к которым у пользователя
есть доступ (Рис. 329).
OpenUDS. Подключение пользователя к виртуальному рабочему месту
Рис. 329
290
После выбора пула, автоматически стартует OpenUDS Client, который обрабатывает URL,
получает необходимые настройки протокола удаленного доступа для предоставленной (свобод-
ной) ВМ, формирует файл описания сессии и передает его приложению-клиенту удалённого до-
ступа, которое и устанавливает соединение с указанной ВМ. Как только соединение будет уста-
новлено, виртуальный рабочий стол будет доступен для использования (Рис. 330).
OpenUDS. Виртуальный рабочий стол
Рис. 330
П р и м е ч а н и е . Если для подключения к ВМ настроено более одного типа транспорта, то
в правом верхнем углу службы будет отображена кнопка. Если выбрать непосредственно ВМ, бу-
дет вызван транспорт по умолчанию (транспорт с меньшим значением в поле приоритет). Для того
чтобы использовать другой транспорт, нужно выбрать его в раскрывающемся списке.
По завершении сеанса пользователь ВМ выходит из нее, что приводит к остановке
OpenUDS Actor. Брокер openUDS считает, что ВМ стала недоступной и, если пул постоянный, то
он запускает ВМ, а если пул временный, то происходит удаление файлов ВМ в хранилище и со-
здается новая ВМ из мастер-образа.
291
П р и м е ч а н и е . При подключении пользователя к виртуальному рабочему месту
OpenUDS фиксирует доступ и отображает информацию о привязанном сервисе на вкладке «Назна-
ченные услуги» соответствующего пула (Рис. 331).
OpenUDS. Вкладка «Назначенные услуги»
Рис. 331
6.8.7 Отказоустойчивое решение
Компоненты OpenUDS можно настроить в режиме высокой доступности (HA).
Для обеспечения высокой доступности OpenUDS, кроме настройки нескольких OpenUDS
Server и Tunnel, необходимо настроить репликацию базы данных. Следует также настроить
балансировщик нагрузки, который будет распределять подключения к компонентам OpenUDS
Server и Tunnel.
Основные компоненты отказоустойчивого решения OpenUDS (Рис. 332):
сервер MySQL – база данных (БД) является одним из наиболее существенных компонентов
OpenUDS. Поэтому настоятельно рекомендуется иметь резервную копию этого компонен-
та, либо посредством полной резервной копии машины, либо посредством конфигурации
активной/пассивной реплики. В данном руководстве описана настройка двух серверов
MySQL в режиме активной/пассивной репликации;
HAProxy-сервер – сервер, отвечающий за распределение подключений к OpenUDS Server и
Tunnel. Через него осуществляется доступ пользователей к OpenUDS, и выполняются под-
ключения к различным сервисам. На серверах HAProxy также следует настроить виртуаль-
ный IP-адрес, который будет активен только на основном сервере. В случае отказа основно-
го сервера виртуальный IP-адрес будет автоматически активирован на другом сервере
HAProxy;
OpenUDS Server – наличие нескольких машин OpenUDS Server обеспечит непрерывный
доступ пользователей к OpenUDS, даже при отказе одного из OpenUDS Server;
292
OpenUDS Tunnel – наличие нескольких машин OpenUDS Tunnel позволит получить доступ
к службам (рабочим столам или приложениям) через туннелированные соединения и
HTML5, даже при отказе одного из OpenUDS Tunnel.
Основные элементы отказоустойчивого решения OpenUDS
Рис. 332
Системные требования для компонентов OpenUDS представлены в табл 6.
Т а б л и ц а 6 – Системные требования
Компонент Количество ОЗУ ЦП Диск
SQL Server 2 1 ГБ 2 vCPUs 10 ГБ
HAProxy 2 1 ГБ 2 vCPUs 10 ГБ
OpenUDS Server 2 2 ГБ 2 vCPUs 8 ГБ
OpenUDS Tunnel 2 2 ГБ 2 vCPUs 13 ГБ
П р и м е ч а н и е . Для HAProxy необходимо 3 IP-адреса, по одному для каждого сервера
(Master-Slave) и общий виртуальный IP-адрес, который будет использоваться для балансировки.
6.8.7.1 Конфигурация серверов MySQL
На обоих серверах установить MySQL (MariaDB):
# apt-get install mariadb-server
Запустить сервер MySQL и добавить его в автозагрузку:
# systemctl enable --now mariadb.service
Задать пароль root и настройки безопасности для MySQL:
293
# mysql_secure_installation
6.8.7.1.1 Настройка репликации между серверами
6.8.7.1.1.1 Главный узел (Master)
В файле /etc/my.cnf.d/server.cnf:
закомментировать параметр skip-networking;
раскомментировать параметры server-id и log-bin;
убедиться, что для параметра server-id установлено значение 1;
раскомментировать параметр bind-address и указать IP-адрес сервера (главного):
bind-address 192.168.0.128
Перезагрузить службу MySQL:
# systemctl restart mariadb
Создать нового пользователя, c правами которого будет производиться репликация:
войти в консоль MySQL с правами root:
$ mysql -p
создать пользователя (в примере пользователь «replica» с паролем «uds»):
MariaDB [(none)]> CREATE USER 'replica'@'%' IDENTIFIED BY 'uds';
Query OK, 0 rows affected (0.009 sec)
предоставить права replication slave пользователю:
MariaDB [(none)]> GRANT REPLICATION SLAVE ON *.* TO 'replica'@'%'
IDENTIFIED BY 'uds';
Query OK, 0 rows affected (0.002 sec)
получить информацию об имени двоичного файла и его позиции:
MariaDB [(none)]> SHOW MASTER STATUS\G
*************************** 1. row ***************************
File: mysql-bin.000002
Position: 328
Binlog_Do_DB:
Binlog_Ignore_DB:
1 row in set (0.001 sec)
В данном примере:
mysql-bin.000002 – имя файла;
328 – позиция двоичного файла.
Эти данные будут необходимы для настройки Slave-сервера.
294
6.8.7.1.1.2 Вторичный узел (Slave)
В файле /etc/my.cnf.d/server.cnf:
закомментировать параметр skip-networking;
раскомментировать параметры server-id и log-bin;
в параметре server-id установить значение 2;
раскомментировать параметр bind-address и указать IP-адрес сервера (вторичного):
bind-address 192.168.0.129
Перезагрузить службу MySQL:
# systemctl restart mariadb
Настроить параметры, которые вторичный сервер (Slave) будет использовать для подклю-
чения к основному серверу (Master):
войти в консоль MySQL с правами root:
$ mysql -p
остановить репликацию:
MariaDB [(none)]> STOP SLAVE;
Query OK, 0 rows affected, 1 warning (0.001 sec)
настроить репликацию между основным сервером и вторичным сервером:
MariaDB [(none)]> CHANGE MASTER TO MASTER_HOST='192.168.0.128',
MASTER_USER='replica', MASTER_PASSWORD='uds', MASTER_LOG_FILE='mysql-
bin.000002', MASTER_LOG_POS=328;
Query OK, 0 rows affected (0.020 sec)
где:
192.168.0.128 – IP-адрес основного сервера;
replica – пользователь, с правами которого будет производиться репликация;
uds – пароль пользователя replica;
mysql-bin.000002 – имя файла, полученного на предыдущем шаге;
328 – позиция двоичного файла.
запустить репликацию:
MariaDB [(none)]> START SLAVE;
Query OK, 0 rows affected (0.001 sec)
убедиться, что конфигурация верна:
MariaDB [(none)]> SHOW SLAVE STATUS\G
*************************** 1. row ***************************
Slave_IO_State: Waiting for master to send event
Master_Host: 192.168.0.128
295
Master_User: replica
Master_Port: 3306
Connect_Retry: 60
Master_Log_File: mysql-bin.000004
Read_Master_Log_Pos: 328
Relay_Log_File: mysqld-relay-bin.000006
Relay_Log_Pos: 555
Relay_Master_Log_File: mysql-bin.000004
Slave_IO_Running: Yes
Slave_SQL_Running: Yes
…
IP-адрес основного сервера должен быть указан корректно, параметры Slave_IO_Run-
ning и Slave_SQL_Running должны быть установлены в значение «Yes».
6.8.7.1.2 Проверка репликации
Для проверки репликации можно создать БД на главном сервере и убедиться, что она авто-
матически реплицируется на вторичном сервере:
получить доступ к консоли MySQL главного сервера и создать новую тестовую БД
«replicatest»:
MariaDB [(none)]> CREATE DATABASE replicatest;
Query OK, 1 row affected (0.001 sec)
убедиться, что БД создана:
MariaDB [(none)]> SHOW DATABASES;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
| replicatest |
+--------------------+
4 rows in set (0.001 sec)
получить доступ к консоли MySQL вторичного сервера и убедиться, что БД, созданная на
основном сервере, успешно реплицировалась на этот сервер:
MariaDB [(none)]> SHOW DATABASES;
+--------------------+
| Database |
+--------------------+
296
| information_schema |
| mysql |
| performance_schema |
| replicatest |
+--------------------+
4 rows in set (0.002 sec)
после проверки работы репликации можно удалить БД «replicatest», выполнив команду на
основном сервере:
MariaDB [(none)]> DROP DATABASE replicatest;
6.8.7.1.3 Создание БД
Создать на основном сервере БД:
$ mysql -p
Enter password:
MariaDB [(none)]> CREATE DATABASE dbuds CHARACTER SET utf8 COLLATE
utf8_general_ci;
MariaDB [(none)]> CREATE USER 'dbuds'@'%' IDENTIFIED BY 'password';
MariaDB [(none)]> GRANT ALL PRIVILEGES ON dbuds.* TO 'dbuds'@'%';
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> exit;
Подключить серверы OpenUDS к БД основного сервера.
6.8.7.1.4 Отказ сервера
При недоступности одного из серверов БД необходимо выполнить ряд задач. Задачи, кото-
рые следует выполнить, зависят от того к какому серверу (Master или Slave) нет доступа.
6.8.7.1.4.1 Главный узел (Master)
Если недоступен основной сервер (Master), то будет потерян доступ к среде VDI. В этом
случае необходимо вручную подключить OpenUDS Server к вторичной БД (Slave), в которой
находится вся информация среды VDI до момента падения основной БД. Чтобы настроить новое
подключение к БД на OpenUDS Server, следует в конфигурационном файле /var/server/
server/settings.py указать параметры новой БД (это необходимо сделать на всех серверах
OpenUDS-Server).
После изменения IP-адреса БД необходимо перезапустить сервер OpenUDS (это
необходимо сделать на всех серверах OpenUDS Server). После перезапуска сервера доступ к среде
VDI будет восстановлен
297
Затем необходимо настроить новый сервер для репликации БД. Это можно сделать
разными способами, например:
1. Настроить текущий сервер БД как главный и создать новый сервер-реплику, который
нужно настроить и восстановить БД из резервной копии с существующими данными
(поскольку реплицируются только новые данные).
2. Напрямую сделать резервную копию текущего сервера БД (предварительно остановив все
машины OpenUDS Server). Создать новый сервер БД Master, восстановить туда резервную
копию БД и перенастроить репликацию.
П р и м е ч а н и е . Чтобы не потерять данные, перед применением любого метода перестрое-
ния репликации, рекомендуется сделать резервную копию БД. Для получения резервной копии
можно использовать следующую команду:
# mysqldump -u dbuds -ppassword --databases dbuds > dbuds_dump.sql
При создании резервной копии все машины OpenUDS Server должны быть выключены. Та-
ким образом, обеспечивается согласованность данных и отсутствие различий в данных между
главным и подчиненным серверами перед настройкой реплики.
6.8.7.1.4.2 Вторичный узел (Slave)
Если недоступен вторичный сервер БД (Slave), доступ к среде VDI сохранится, но будет
необходимо перенастроить вторичный сервер-реплику. Перед выполнением данной настройки
необходимо восстановить резервную копию с текущим состоянием основной БД, так как будут
синхронизированы только новые данные реплики (существующие данные не будут реплицирова-
ны в базе данных).
Важно, чтобы во время всего этого процесса машины OpenUDS-Server были выключены,
чтобы не возникало различий между БД Master и Slave серверов.
6.8.7.2 Настройка серверов HAProxy
В данной конфигурации (Рис. 333) используется служба Keepalived и виртуальный IP-адрес,
общий для главного (Master) и резервного (Slave) узлов. Служба Keepalived связывает
виртуальный IP-адрес с главным узлом и отслеживает доступность HAProxy. Если служба
обнаруживает, что HAProxy не отвечает, то она связывает виртуальный адрес с вспомогательным
узлом, что минимизирует время недоступности сервера. Пользователи при обращении к OpenUDS
должны использовать этот виртуальный IP-адрес.
298
Конфигурация балансировщика нагрузки
Рис. 333
На основном узле сгенерировать сертификат:
# openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout
/root/ssl.key -out /root/ssl.crt
Создать файл .pem, выполнив команду (предварительно может понадобиться создать
каталог /etc/openssl/private):
# cat /root/ssl.crt /root/ssl.key > /etc/openssl/private/haproxy.pem
П р и м е ч а н и е . Сертификат, созданный на первичном сервере HAProxy, необходимо
скопировать в каталог /etc/openssl/private на вторичном сервере. Если используется
собственный сертификат, его необходимо скопировать на оба сервера (основной и
дополнительный).
П р и м е ч а н и е . Порты, используемые HAProxy (в примере 80, 443, 1443, 10443), должны
быть свободны.
На обоих узлах:
1. Установить пакеты haproxy и keepalived:
# apt-get install haproxy keepalived
2. Заменить содержимое файла /etc/haproxy/haproxy.cfg следующим:
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /var/lib/haproxy/admin.sock mode 660 level admin
stats timeout 30s
maxconn 2048
user _haproxy
group _haproxy
299
daemon
# Default SSL material locations
# ca-base /etc/openssl/certs
# crt-base /etc/openssl/private
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
ssl-default-bind-options ssl-min-ver TLSv1.2 prefer-client-
ciphers
# ssl-default-bind-ciphersuites
TLS_AES_128_GCM_SHA267:TLS_AES_267_GCM_SHA384:TLS_CHACHA20_POLY1305_SH
A267
ssl-default-bind-ciphers
ECDH+AESGCM:ECDH+CHACHA20:ECDH+AES267:ECDH+AES128:!aNULL:!SHA1:!AESCCM
# ssl-default-server-options ssl-min-ver TLSv1.2
# ssl-default-server-ciphersuites
TLS_AES_128_GCM_SHA267:TLS_AES_267_GCM_SHA384:TLS_CHACHA20_POLY1305_SH
A267
# ssl-default-server-ciphers
ECDH+AESGCM:ECDH+CHACHA20:ECDH+AES267:ECDH+AES128:!aNULL:!SHA1:!AESCCM
tune.ssl.default-dh-param 2048
defaults
log global
mode http
option httplog
option dontlognull
option forwardfor
retries 3
option redispatch
300
stats enable
stats uri /haproxystats
stats realm Strictly\ Private
stats auth stats:haproxystats
timeout connect 5000
timeout client 50000
timeout server 50000
frontend http-in
bind *:80
mode http
http-request set-header X-Forwarded-Proto http
default_backend openuds-backend
frontend https-in
bind *:443 ssl crt /etc/openssl/private/haproxy.pem
mode http
http-request set-header X-Forwarded-Proto https
default_backend openuds-backend
frontend tunnel-in
bind *:1443
mode tcp
option tcplog
default_backend tunnel-backend-ssl
frontend tunnel-in-guacamole # HTML5
bind *:10443
mode tcp
option tcplog
default_backend tunnel-backend-guacamole
backend openuds-backend
option http-keep-alive
balance roundrobin
301
server udss1 192.168.0.85:80 check inter 2000 rise 2 fall 5
server udss2 192.168.0.86:80 check inter 2000 rise 2 fall 5
backend tunnel-backend-ssl
mode tcp
option tcplog
balance roundrobin
server udst1 192.168.0.87:7777 check inter 2000 rise 2 fall 5
server udst2 192.168.0.88:7777 check inter 2000 rise 2 fall 5
backend tunnel-backend-guacamole
mode tcp
option tcplog
balance source
server udstg1 192.168.0.87:10443check inter 2000 rise 2 fall 5
server udstg2 192.168.0.88:10443 check inter 2000 rise 2 fall
5
3. Включить в ядре поддержку двух IP-адресов:
# echo "net.ipv4.ip_nonlocal_bind = 1" >> /etc/sysctl.conf
# sysctl -p
4. Настроить службу Keepalived. Для этого создать файл /etc/keepalived/
keepalived.conf. Содержимое файла зависит от узла, который настраивается:
на главном узле:
global_defs {
# Keepalived process identifier
lvs_id haproxy_DH
}
# Script used to check if HAProxy is running
vrrp_script check_haproxy {
script "killall -0 haproxy"
interval 2
weight 2
}
# Виртуальный интерфейс
# The priority specifies the order in which the assigned interface
# to take over in a failover
vrrp_instance VI_01 {
state MASTER
interface enp0s3
302
virtual_router_id 51
priority 101
# Виртуальный IP-адрес
virtual_ipaddress {
192.168.0.49
}
track_script {
check_haproxy
}
}
где enp0s3 – интерфейс, для виртуального IP (узнать имя сетевого интерфейса можно,
выполнив команду ip a).
на вспомогательном узле:
global_defs {
# Keepalived process identifier
lvs_id haproxy_DH_passive
}
# Script used to check if HAProxy is running
vrrp_script check_haproxy {
script "killall -0 haproxy"
interval 2
weight 2
}
# Виртуальный интерфейс
# The priority specifies the order in which the assigned interface
# to take over in a failover
vrrp_instance VI_01 {
state SLAVE
interface eth0
virtual_router_id 51
priority 100
# Виртуальный IP-адрес
virtual_ipaddress {
192.168.0.49
}
track_script {
check_haproxy
}
}
где eth0 – интерфейс, для виртуального IP (узнать имя сетевого интерфейса можно,
выполнив команду ip a).
303
5. Запустить службы haproxy и keepalived:
# systemctl enable --now haproxy
# systemctl enable --now keepalived
6. Убедиться, что виртуальный IP активен на основном сервере:
$ ip a |grep enp0s3
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel
state UP group default qlen 1000
inet 192.168.0.52/24 brd 192.168.0.255 scope global noprefixroute
enp0s3
inet 192.168.0.49/32 scope global enp0s3
6.8.7.3 Настройка OpenUDS
После настройки серверов MySQL и HAProxy можно приступить к установке и настройке
компонентов OpenUDS Server и Tunnel.
6.8.7.3.1 Настройка OpenUDS Server
На обоих узлах OpenUDS Server:
1. Установить OpenUDS Server:
# apt-get install openuds-server-nginx
2. Отредактировать содержимое файла /etc/openuds/settings.py, указав корректные
данные для подключения к главному MySQL-серверу:
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql',
'OPTIONS': {
'isolation_level': 'read committed',
},
'NAME': 'dbuds', # Or path to database file if using sqlite3.
'USER': 'dbuds', # Not used with sqlite3.
'PASSWORD': 'password', # Not used with sqlite3.
'HOST': '192.168.0.128', # Set to empty string for localhost. Not used with
sqlite3
'PORT': '3306', # Set to empty string for default. Not used with sqlite3.
}
}
3. Заполнить базу данных начальными данными (этот пункт следует выполнить только на од-
ном узле!):
# su -s /bin/bash - openuds
$ cd /usr/share/openuds
304
$ python3 manage.py migrate
$ exit
4. Запустить gunicorn:
# systemctl enable --now openuds-web.service
5. Запустить nginx:
# ln -s ../sites-available.d/openuds.conf /etc/nginx/sites-enabled.d/openuds.conf
# systemctl enable --now nginx.service
6. Запустить менеджер задач OpenUDS:
# systemctl enable --now openuds-taskmanager.service
7. Подключиться к серверу OpenUDS (http://Виртуальный_IP-адрес).
6.8.7.3.2 Настройка OpenUDS Tunnel
На каждом узле OpenUDS Tunnel:
1. Установить OpenUDS Tunnel:
# apt-get install openuds-tunnel
2. Настроить туннель:
указать виртуальный IP-адрес в файле /etc/openuds-tunnel/udstunnel.conf:
uds_server = http://192.168.0.49/uds/rest/tunnel/ticket
uds_token = 5ba9d52bb381196c2a22e495ff1c9ba4bdc03440b726aa8b
запустить и добавить в автозагрузку сервис OpenUDS Tunnel:
# systemctl enable --now openuds-tunnel.service
3. Настроить HTML5:
в файле /etc/guacamole/guacamole.properties привести значение параметра
uds-base-url к виду:
uds-base-url=http://192.168.0.49/uds/guacamole/auth/5ba9d52bb381196c2a20b726aa8b
настроить tomcat, для этого в файл /etc/tomcat/server.xml добавить новый Connector, в кото-
ром указать порт (в примере 10443), сертификат (файл .crt, .pem и т.д.), закрытый ключ
(.key, .pem и т.д.):
<Connector port="10443" protocol="org.apache.coyote.http11.Http11AprProtocol"
SSLEnabled="true"
ciphers="A-CHACHA20-POLY1305,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-ECDSA-
AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-
RSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-GCM-SHA384,ECDHE-
ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-
SHA384,
ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-
AES256-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,DHE-RSA-AES256-SHA256,DHE-RSA-
305
AES256-SHA,ECDHE-ECDSA-DES-CBC3-SHA,ECDHE-RSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-
SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,
AES128-SHA256,AES256-SHA256,AES128-SHA,AES256-SHA,DES-CBC3-SHA"
maxThreads="500" scheme="https" secure="true"
SSLCertificateFile="/etc/openuds-tunnel/ssl/certs/openuds-tunnel.pem"
SSLCertificateKeyFile="/etc/openuds-tunnel/ssl/private/openuds-tunnel.key"
maxKeepAliveRequests="1000"
clientAuth="false" sslProtocol="TLSv1+TLSv1.1+TLSv1.2" />
запустить сервисы guacd и tomcat:
# systemctl enable --now guacd tomcat
На главном узле (Master) MySQL добавить в БД информацию о каждом OpenUDS Tunnel:
INSERT INTO `uds_tunneltoken` VALUES (ID,'автор добавления','IP-адрес
туннеля','IP-адрес туннеля' 'название туннеля','Токен из файла
udstunnel.conf','дата добавления');
Например:
# mysql -u root -p
MariaDB> USE dbuds;
MariaDB> INSERT INTO `uds_tunneltoken` VALUES
(ID,'admin','192.168.0.87','192.168.0.87','Tunnel','5ba9d52bb381196c2a22e495f
f1c9ba4bdc03440b726aa8b','2022-11-15');
MariaDB> INSERT INTO `uds_tunneltoken` VALUES
(ID,'admin','192.168.0.88','192.168.0.88','Tunnel','9ba4bdc03440b726aa8b5ba9d
52bb381196c2a22e495ff1c','2022-11-15');
MariaDB> exit;
Оба сервера OpenUDS-Tunnel будут работать в активном режиме. Пользователи,
использующие подключение через туннель, будут подключаться к этим серверам случайным
образом. При падении одного из серверов, соединения пользователей, которые используют этот
сервер, будут прерваны, но при повторном установлении соединения они автоматически получат
доступ через другой активный туннельный сервер.
П р и м е ч а н и е . При создании туннельного транспорта (X2Go, RDP) в поле «Туннельный
сервер» (вкладка «Туннель») следует указывать виртуальный IP-адрес и порт, указанный в разделе
frontend tunnel-in файла /etc/haproxy/haproxy.cfg (в данном примере: 1443). При создании
транспорта «HTML5 RDP (туннельный)» в поле «Туннельный сервер» (Рис. 334) следует
указывать виртуальный IP-адрес и порт, указанный в разделе frontend tunnel-in-gua-
camole файла /etc/haproxy/haproxy.cfg (в данном примере: 10443).
307
6.9 Система резервного копирования Proxmox Backup Server
Proxmox Backup Server (PBS) – клиент-серверное решение для резервного копирования и
восстановления виртуальных машин, контейнеров и данных с физических узлов. Решение оптими-
зировано для проекта Proxmox VE (PVE). PBS поддерживает инкрементное резервное копирова-
ние с полной дедупликацией, что значительно снижает нагрузку на сеть и экономит пространство
для хранения.
Все взаимодействия между клиентом и сервером шифруются с использованием TLS, кроме
того, данные могут быть зашифрованы на стороне клиента перед отправкой на сервер. Это позво-
ляет сделать резервное копирование более безопасным.
Сервер резервного копирования хранит данные резервного копирования и предоставляет
API для создания хранилищ данных и управления ими. С помощью API также можно управлять
дисками и другими ресурсами на стороне сервера.
Клиент резервного копирования использует API для доступа к резервным копиям. С помо-
щью инструмента командной строки proxmox-backup-client можно создавать резервные копии и
восстанавливать данные (в PVE клиент встроен).
Для управления настройкой резервного копирования и резервными копиями используется
веб-интерфейс. Все административные задачи можно выполнять в веб-браузере. Веб-интерфейс
также предоставляет встроенную консоль.
6.9.1 Терминология
Архивы образов (<name>.img)
Используются для образов виртуальных машин и других больших двоичных данных. Со-
держимое разбивается на фрагменты фиксированного размера.
Архивы файлов (<name>.pxar)
Архив файлов хранит полное дерево каталогов. Содержимое хранится с использованием
формата архива файлов Proxmox (.pxar), разбиваемого на фрагменты переменного размера. Фор-
мат оптимизирован для достижения хороших показателей дедупликации.
Двоичные данные (BLOB)
Этот тип используется для хранения небольших (< 16 МБ) двоичных данных, таких как
файлы конфигурации. Более крупные файлы следует хранить как архивы образов.
Файл каталога (catalog.pcat1)
Файл каталога является индексом для архивов файлов. Он содержит список включенных
файлов и используется для ускорения операций поиска.
308
Манифест (index.json)
Манифест содержит список всех резервных копий файлов, их размеры и контрольные сум-
мы. Он используется для проверки согласованности резервной копии.
Пространство имен резервной копии
Пространства имен позволяют повторно использовать один домен дедупликации хранили-
ща фрагментов для нескольких источников, избегая при этом конфликтов имен и обеспечивая бо-
лее детальный контроль доступа.
Тип резервной копии
Сервер резервного копирования группирует резервные копии по типу, где тип может быть
одним из следующих:
vm – используется для виртуальных машин. Обычно резервная копия состоит из файла кон-
фигурации виртуальной машины и архива образа для каждого диска;
ct – используется для контейнеров. Резервная копия состоит из конфигурации контейнера и
одного архива файла для содержимого файловой системы;
host – используется для резервных копий файлов/каталогов, созданных внутри машины.
Обычно это физический хост, но также может быть виртуальная машина или контейнер.
Такие резервные копии могут содержать архивы файлов и образов.
Backup ID
Уникальный идентификатор для определенного типа резервной копии и пространства имен
резервной копии. Обычно это идентификатор виртуальной машины или контейнера. Резервные
копии типа host обычно используют имя хоста.
Backup Time
Время, когда была сделана резервная копия.
Backup Group
Кортеж <type>/<id> называется группой резервного копирования. Такая группа может со-
держать один или несколько снимков резервной копии.
Снимок резервной копии
Триплет <type>/<id>/<time> называется снимком резервной копии. Он однозначно иденти-
фицирует конкретную резервную копию в пространстве имен. Примеры снимков резервной копии:
ct/100/2025-04-05T09:41:43Z
host/server/2025-04-06T10:36:33Z
6.9.2 Установка PBS
6.9.2.1 Сервер PBS
Установить сервер PBS:
# apt-get install proxmox-backup-server
309
Или через компоненты:
# alteratorctl components install proxmox-backup-server
Запустить и добавить в автозагрузку Proxmox Backup API Proxy Server:
# systemctl enable --now proxmox-backup-proxy.service
Служба proxmox-backup-proxy предоставляет API управления PBS по адресу 127.0.0.1:82.
Она имеет разрешение на выполнение всех привилегированных операций.
П р и м е ч а н и е . Для работы с локальным ZFS хранилищем должен быть установлен мо-
дуль ядра с поддержкой ZFS (пакет kernel-modules-zfs-<версия ядра>, например, ker-
nel-modules-zfs-6.12). Модуль ядра с поддержкой ZFS не входит в состав ISO-образа дис-
трибутива, его можно установить из репозитория p11.
Включить модуль:
# modprobe zfs
Чтобы не вводить эту команду каждый раз после перезагрузки, следует в файле /etc/
modules-load.d/zfs.conf раскомментировать строку:
#zfs
6.9.2.2 Клиент PBS
Установить клиент PBS:
# apt-get install proxmox-backup- client
6.9.3 Веб-интерфейс PBS
Веб-интерфейс PBS доступен по адресу https://<имя-компьютера|IP-адрес>:8007. Потребу-
ется пройти аутентификацию (Рис. 336) (логин по умолчанию: root, пароль указывается в процессе
установки ОС).
Аутентификация в веб-интерфейсе PBS
Рис. 336
310
Веб-интерфейс PBS показан на Рис. 337.
Веб-интерфейс PBS
Рис. 337
6.9.4 Настройка хранилища данных
6.9.4.1 Управление дисками
В веб-интерфейсе на вкладке «Управление» → «Хранилище/Диски» можно увидеть диски,
подключённые к системе (Рис. 338).
Просмотр списка дисков в командной строке:
# proxmox-backup-manager disk list
Создание файловой системы ext4 или xfs на диске в веб-интерфейсе показано на Рис. 339.
311
PBS. Диски, подключенные к системе
Рис. 338
PBS. Создание файловой системы на диске
Рис. 339
Пример создания файловой системы в командной строке (будет создана файловая система
ext4 и хранилище данных на диске nvme0n3, хранилище данных будет создано по адресу /mnt/
datastore/store1):
# proxmox-backup-manager disk fs create store1 \
--disk nvme0n3 --filesystem ext4 --add-datastore true
create datastore 'store1' on disk nvme0n3
Chunkstore create: 1%
312
Chunkstore create: 2%
…
Chunkstore create: 99%
TASK OK
Для создания zpool в веб-интерфейсе, следует перейти в раздел «Хранилище/Диски»,
открыть вкладку «ZFS» и нажать кнопку «Создать: ZFS». В открывшемся окне «Создать: ZFS»
следует указать параметры zpool (задать имя хранилища, выбрать необходимые диски, выбратьу-
ровень RAID) и нажать кнопку «Создать» (Рис. 340).
Команда для создания зеркального zpool с использованием двух дисков и монтированием в
/mnt/datastore/zfs_st:
# proxmox-backup-manager disk zpool create zfs_st \
--devices nvme0n1,nvme0n2 --raidlevel mirror
PBS. Создание zpool
Рис. 340
Для мониторинга состояния локальных дисков используется пакет smartmontools. Он
содержит набор инструментов для мониторинга и управления S.M.A.R.T. системой для локальных
жестких дисков. Если диск поддерживает S.M.A.R.T. и поддержка SMART для диска включена,
просмотреть данные S.M.A.R.T. можно в веб-интерфейсе или с помощью команды:
# proxmox-backup-manager disk smart-attributes sdX
6.9.4.2 Создание хранилища данных
Хранилище данных – это место, где хранятся резервные копии. Текущая реализация PBS
использует каталог внутри стандартной файловой системы (ext4, xfs или zfs) для хранения данных
313
резервного копирования. Информация о конфигурации хранилищ данных хранится в файле /
etc/proxmox-backup/datastore.cfg.
Необходимо настроить как минимум одно хранилище данных. Хранилище данных иденти-
фицируется именем и указывает на каталог в файловой системе. С каждым хранилищем связаны
настройки хранения, определяющие, сколько снимков резервных копий для каждого интервала
времени (ежечасно, ежедневно, еженедельно, ежемесячно, ежегодно) хранить в этом хранилище.
Для создания хранилища в веб-интерфейсе необходимо нажать кнопку «Добавить хранили-
ще данных» в боковом меню (в разделе «Хранилище данных»). В открывшемся окне необходимо
указать (Рис. 341):
«Имя» – название хранилища данных;
«Путь к каталогу хранилища» – путь к каталогу, в котором будет создано хранилище дан-
ных;
«Расписание сборщика мусора» – частота, с которой запускается сборка мусора;
«Расписание удаления» – частота, с которой происходит удаление ранее созданных резерв-
ных копий;
«Параметры удаления» – количество резервных копий, которые необходимо хранить.
PBS. Создание хранилища данных
Рис. 341
Создание хранилища данных в командной строке:
# proxmox-backup-manager datastore create store2 /mnt/backup/disk1
Вывести список существующих хранилищ:
# proxmox-backup-manager datastore list
После создания хранилища данных в каталоге появляется следующий макет:
# ls -arilh /mnt/backup/disk1/
итого 1,1M
2228231 -rw-r--r-- 1 backup backup 0 апр 4 15:55 .lock
2228230 drwxr-x--- 1 backup backup 1,1M апр 4 15:55 .chunks
314
2228228 drwxr-xr-x 3 root root 4,0K апр 4 15:55 ..
2228229 drwxr-xr-x 3 backup backup 4,0K апр 4 15:55 .
где:
.lock – пустой файл, используемый для блокировки процесса;
каталог .chunks – содержит подкаталоги с именами от 0000 до ffff. В этих каталогах бу-
дут храниться фрагментированные данные, полученные после выполнения операции ре-
зервного копирования.
6.9.4.3 Съемные хранилища данных
Хранилища данных можно создавать на съемных носителях для автономного хранения.
Съемные хранилища данных имеют связанное с ними резервное устройство, их можно
монтировать и демонтировать. В остальном они ведут себя так же, как и обычные хранилища дан-
ных.
Съемные хранилища можно создавать на уже отформатированных разделах (ext4 или xfs).
П р и м е ч а н и е . Большинство современных файловых систем, поддерживаемых ядром
Linux, должны работать. Файловые системы на основе FAT не поддерживают концепцию владе-
ния файлами POSIX и имеют относительно низкие ограничения на количество файлов в каталоге.
Поэтому создание хранилища данных не поддерживается в файловых системах FAT. Если внеш-
ний диск отформатирован с помощью файловой системы на основе FAT, необходимо переформа-
тировать диск, прежде чем использовать его в качестве резервного устройства для съемного хра-
нилища данных.
Для создания съемного хранилища в веб-интерфейсе необходимо нажать кнопку «Добавить
хранилище данных» в боковом меню (в разделе «Хранилище данных»). В открывшемся окне необ-
ходимо установить отметку в поле «Съёмное хранилище данных» (Рис. 342) и указать:
«Имя» – название хранилища данных;
«Путь на устройстве» – относительный путь к каталогу, в котором будет создано хранили-
ще данных;
«Устройство» – съемный диск;
«Расписание сборщика мусора» – частота, с которой запускается сборка мусора;
«Расписание удаления» – частота, с которой происходит удаление ранее созданных резерв-
ных копий;
«Параметры удаления» – количество резервных копий, которые необходимо хранить.
315
PBS. Создание съемного хранилища
Рис. 342
Одно устройство может содержать несколько хранилищ данных, единственным ограниче-
нием является то, что они не могут быть вложенными.
Съемные хранилища данных создаются на устройстве с заданным относительным путем,
который указан при создании. Чтобы использовать хранилище данных на нескольких экземплярах
PBS, при добавлении хранилища на новом экземпляре PBS необходимо установить отметку «По-
вторное использование существующего хранилища данных» (Рис. 342). Путь, задаваемый при со-
здании съемного хранилища, определяет, как идентифицируются несколько хранилищ данных на
одном устройстве. Поэтому при добавлении нового экземпляра PBS он должен соответствовать
тому, который был указан при создании хранилища.
Создание съемного хранилища данных в командной строке:
# proxmox-backup-manager datastore create my_disk2 data --backing-
device bc995ea6-e296-4682-82a9-5480de4f583c
где:
my_disk2 – имя хранилища;
data – относительный путь к каталогу;
bc995ea6-e296-4682-82a9-5480de4f583c – UUID съемного устройства.
316
Съемное хранилище также можно создать на полностью неиспользуемых дисках через
«Управление» → «Хранилище/Диски» → «Каталог» (Рис. 343), установив отметку в поле «Съём-
ное хранилище данных». При использовании этого метода диск будет автоматически разбит на
разделы и отформатирован для хранилища данных.
PBS. Создание съемного хранилища на неразмеченном диске
Рис. 343
Устройства, на которых есть только одно хранилище данных, будут смонтированы автома-
тически. Размонтирование должно выполняться через пользовательский интерфейс, для этого сле-
дует нажать кнопку «Размонтировать» на вкладке «Сводка» съемного хранилища (Рис. 344), или в
командной строке:
# proxmox-backup-manager datastore unmount my_disk
PBS. Вкладка «Сводка» съемного хранилища
Рис. 344
В обоих случаях устройство будет отключено после завершения всех запущенных задач.
317
Если размонтирование не удается, причина регистрируется в журнале задач размонтирова-
ния, и хранилище данных останется в режиме обслуживания размонтирования (Рис. 345), что
предотвращает любые операции ввода-вывода. В таких случаях режим обслуживания должен быть
сброшен вручную.
PBS. Создание съемного хранилища на неразмеченном диске
Рис. 345
Перевести хранилище в режим обслуживания (offline):
# proxmox-backup-manager datastore update --maintenance-mode offline <name>
Вывести хранилище из режима обслуживания:
# proxmox-backup-manager datastore update --delete maintenance-mode <name>
Все съемные хранилища монтируются в /mnt/datastore/<имя_хранилища>, а указанный путь
указывает каталог на устройстве.
Вывести список хранилищ, присутствующих на устройстве, можно с помощью команды
proxmox-backup-debug:
# proxmox-backup-debug inspect device /dev/sde1
Device contains 2 stores
---------------
Datastore at "/my_disk" | VM: 0, CT: 2, HOST: 0, NS: 0
Datastore at "/data" | VM: 0, CT: 0, HOST: 0, NS: 0
Задания проверки, очистки и сбора мусора пропускаются, если съемное хранилище данных
не смонтировано, в тот момент, когда они запланированы. Задания синхронизации запускаются,
но завершаются с ошибкой, сообщающей, что хранилище данных не было смонтировано.
6.9.4.4 Управление хранилищами данных
Вывести список существующих хранилищ:
318
# proxmox-backup-manager datastore list
Изменить расписание сборки мусора и вывести настройки хранилища данных:
# proxmox-backup-manager datastore update store2 --gc-schedule 'Tue 04:27'
# proxmox-backup-manager datastore show store2
Удалить хранилище данных:
# roxmox-backup-manager datastore remove store2
Данная команда удалит только конфигурацию хранилища данных, данные из базового ката-
лога удалены не будут.
6.9.5 Управление трафиком
Создание и восстановление резервных копий может привести к большому трафику и по-
влиять на работу других пользователей сети или общих хранилищ.
PBS позволяет ограничить входящий (например, резервное копирование) и исходящий
(например, восстановление) сетевой трафик из набора сетей. При этом можно настроить опреде-
ленные периоды, в которые будут применяться ограничения.
П р и м е ч а н и е . Ограничение скорости не влияет на задания синхронизации. Чтобы огра-
ничить входящий трафик, создаваемый заданием синхронизации, необходимо настроить ограниче-
ние скорости входящего трафика для конкретного задания.
Настройка правила управления трафиком в веб-интерфейсе («Конфигурация» → «Управле-
ние трафиком» → «Добавить») показана на Рис. 346.
Управление трафиком в консоли:
создать правило управления трафиком для ограничения всех клиентов IPv4 (сеть 0.0.0.0/0)
до 100 МБ/с:
# proxmox-backup-manager traffic-control create rule0 --network 0.0.0.0/0 \
--rate-in 100MB --rate-out 100MB \
--comment "Default rate limit (100MB/s) for all clients"
ограничить правило временными рамками:
# proxmox-backup-manager traffic-control update rule0 \
--timeframe "mon..fri 8-19"
вывести список текущих правил:
# proxmox-backup-manager traffic-control list
удалить правило:
# proxmox-backup-manager traffic-control remove rule0
показать состояние (текущую скорость передачи данных) всех настроенных правил:
# proxmox-backup-manager traffic-control traffic
319
PBS. Настройка правила управления трафиком
Рис. 346
6.9.6 Управление пользователями
PVE поддерживает несколько источников аутентификации (Рис. 347).
PBS хранит данные пользователей в файле /etc/proxmox-backup/user.cfg.
Пользователя часто внутренне идентифицируют по его имени и области аутентификации в
форме <user>@<realm>.
Выбор типа аутентификации в веб-интерфейсе
Рис. 347
После установки PBS существует один пользователь root@pam, который соответствует
суперпользователю ОС. Суперпользователь имеет неограниченные права, поэтому рекомендуется
добавить других пользователей с меньшими правами.
6.9.6.1 Области аутентификации
PBS поддерживает следующие области (методы) аутентификации:
«Стандартная аутентификация Linux PAM» («Linux PAM standart authentication») – при ис-
пользовании этой аутентификации системный пользователь должен существовать (должен
320
быть создан, например, с помощью команды adduser). Пользователь аутентифицируется с
помощью своего обычного системного пароля;
«Сервер аутентификации Proxmox Backup» («Proxmox Backup authentication server») –
аутентификация Proxmox Backup Server. Хэшированные пароли хранятся в файле /etc/
proxmox-backup/shadow.json;
«Сервер LDAP» – позволяет использовать внешний LDAP-сервер для аутентификации
пользователей (например, OpenLDAP);
Сервер «Active Directory» – позволяет аутентифицировать пользователей через AD. Под-
держивает LDAP в качестве протокола аутентификации;
«Сервер OpenID Connect» – уровень идентификации поверх протокола OATH 2.0. Позволя-
ет аутентифицировать пользователей на основе аутентификации, выполняемой внешним
сервером авторизации.
6.9.6.1.1 Стандартная аутентификация Linux PAM
При использовании «Стандартная аутентификация Linux PAM», системный пользователь
должен существовать (должен быть создан, например, с помощью команды adduser) на всех узлах,
на которых пользователю разрешено войти в систему.
Область Linux PAM создается по умолчанию и не может быть удалена.
6.9.6.1.2 Сервер аутентификации Proxmox Backup
Область «Сервер аутентификации Proxmox Backup» представляет собой хранилище паро-
лей в стиле Unix (/etc/proxmox-backup/shadow.json). Пароль шифруется с использовани-
ем метода хеширования yescrypt.
Область создается по умолчанию.
Для добавления пользователя в веб-интерфейсе следует в разделе «Конфигурация» →
«Управление доступом» перейти на вкладку «Управление пользователями» и нажать кнопку «До-
бавить» (Рис. 348).
321
PBS. Добавление пользователя
Рис. 348
Примеры использования командной строки для управления пользователями PBS:
просмотреть список пользователей:
# proxmox-backup-manager user list
создать пользователя:
# proxmox-backup-manager user create backup_u@pbs --email
backup_u@test.alt
обновить или изменить любые свойства пользователя:
# proxmox-backup-manager user update backup_u@pbs --firstname Дмитрий
--lastname Иванов
отключить учетную запись пользователя:
# proxmox-backup-manager user update backup_u@pbs --enable 0
удалить учетную запись пользователя:
# proxmox-backup-manager user remove backup_u@pbs
6.9.6.1.3 LDAP аутентификация (FreeIPA)
В данном разделе приведён пример настройки LDAP аутентификации для аутентификации
на сервере FreeIPA. В примере используются следующие исходные данные:
ipa.example.test, 192.168.0.113 – сервер FreeIPA;
admin@example.test – учётная запись с правами чтения LDAP;
pve – группа, пользователи которой имеют право аутентифицироваться в PVE.
Для настройки аутентификации FreeIPA необходимо выполнить следующие шаги:
1) создать область аутентификации LDAP. Для этого в разделе «Конфигурация» →
«Управление доступом» → «Области» нажать кнопку «Добавить» → «Сервер LDAP» (Рис. 349);
322
Создать область аутентификации LDAP
Рис. 349
2) на вкладке «Общее» (Рис. 350) указать следующие данные:
«Область» – идентификатор области;
«Имя основного домена» (base_dn) – каталог, в котором выполняется поиск пользователей
(cn=accounts,dc=example,dc=test);
«Атрибут имени пользователя» (user_attr) – атрибут LDAP, содержащий имя пользователя,
с которым пользователи будут входить в систему (uid);
«Имя домена привязки» – имя пользователя, имеющего право поиска в каталоге
(uid=admin,cn=users,cn=accounts,dc=example,dc=test);
«Пароль привязки» – пароль пользователя;
«Сервер» – IP-адрес или имя FreeIPA-сервера (ipa.example.test или 192.168.0.113);
«Резервный сервер» (опционально) – адрес резервного сервера на случай, если основной
сервер недоступен;
«Порт» – порт, который прослушивает сервер LDAP (обычно 389 без ssl, 636 с ssl).
323
Настройка LDAP аутентификации FreeIPA (вкладка «Общее»)
Рис. 350
3) на вкладке «Параметры синхронизации» (Рис. 351) заполнить следующие поля (в скоб-
ках указаны значения, используемые в данном примере):
«Атрибут имени» (опционально) – атрибут LDAP, содержащий имя пользователя (given-
name);
«Атрибут фамилии» (опционально) – атрибут LDAP, содержащий фамилию пользователя
(sn);
«Атрибут электронной почты» (опционально) – атрибут LDAP, содержащий электронную
почту пользователя (mail);
«Классы пользователей» – класс пользователей LDAP (inetOrgPerson);
«Фильтр пользователей» – фильтр пользователей
(memberOf=cn=pve,cn=groups,cn=accounts,dc=example,dc=test);
324
Настройка LDAP аутентификации FreeIPA (вкладка «Параметры синхронизации»)
Рис. 351
4) нажать кнопку «Добавить»;
5) выбрать добавленную область и нажать кнопку «Синхронизировать» (Рис. 352);
Кнопка «Синхронизировать»
Рис. 352
6) указать, если необходимо, параметры синхронизации и нажать кнопку «Синхронизиро-
вать» (Рис. 353).
В результате синхронизации пользователи PBS будут синхронизированы с сервером
FreeIPA LDAP. Сведения о пользователях можно проверить на вкладке «Управление поль-
зователями».
7) настроить разрешения для группы/пользователя на вкладке «Разрешения».
325
Параметры синхронизации области аутентификации
Рис. 353
П р и м е ч а н и е . Команда синхронизации пользователей:
# proxmox-backup-manager ldap sync example.test
Для автоматической синхронизации пользователей можно добавить команду синхрониза-
ции в планировщик задач.
6.9.6.1.4 LDAP аутентификация («Альт Домен», AD)
В данном разделе приведён пример настройки аутентификации на сервере «Альт Домен». В
примере используются следующие исходные данные:
dc1.test.alt, 192.168.0.132 – сервер «Альт Домен»;
administrator@test.alt – учётная запись администратора (для большей безопасности реко-
мендуется создать отдельную учетную запись с доступом только для чтения к объектам до-
мена и не использовать учётную запись администратора);
office – группа, пользователи которой имеют право аутентифицироваться в PVE.
Для настройки AD аутентификации необходимо выполнить следующие шаги:
1) создать область аутентификации LDAP. Для этого в разделе «Конфигурация» →
«Управление доступом» → «Области» нажать кнопку «Добавить» → «Сервер LDAP» (Рис. 349);
2) на вкладке «Общее» (Рис. 354) указать следующие данные:
«Область» – идентификатор области;
«Имя основного домена» (base_dn) – каталог, в котором выполняется поиск пользователей
(dc=test,dc=alt);
«Атрибут имени пользователя» (user_attr) – атрибут LDAP, содержащий имя пользователя,
с которым пользователи будут входить в систему (sAMAccountName);
326
«По умолчанию» – установить область в качестве области по умолчанию для входа в систе-
му;
«Имя домена привязки» – имя пользователя, имеющего право посика в домене (cn=Admin-
istrator,cn=Users,dc=test,dc=alt);
«Пароль привязки» – пароль пользователя;
«Сервер» – IP-адрес или имя сервера (dc1.test.alt или 192.168.0.132);
«Резервный сервер» (опционально) – адрес резервного сервера на случай, если основной
сервер недоступен;
«Порт» – порт, который прослушивает сервер LDAP (обычно 389 без ssl, 636 с ssl).
Настройка LDAP аутентификации «Альт Домен» (вкладка «Общее»)
Рис. 354
3) на вкладке «Параметры синхронизации» (Рис. 355) заполнить следующие поля (в скоб-
ках указаны значения, используемые в данном примере):
«Атрибут имени» (опционально) – атрибут LDAP, содержащий имя пользователя (given-
name);
«Атрибут фамилии» (опционально) – атрибут LDAP, содержащий фамилию пользователя
(sn);
«Атрибут электронной почты» (опционально) – атрибут LDAP, содержащий электронную
почту пользователя (mail);
«Классы пользователей» – класс пользователей LDAP (user);
«Фильтр пользователей» – фильтр пользователей
((&(objectclass=user)(samaccountname=*)(MemberOf=CN=office,cn=Users,dc=TEST,dc=ALT)));
327
Настройка LDAP аутентификации «Альт Домен» (вкладка «Параметры синхронизации»)
Рис. 355
4) нажать кнопку «Добавить»;
5) выбрать добавленную область и нажать кнопку «Синхронизировать»;
6) указать, если необходимо, параметры синхронизации и нажать кнопку «Синхронизиро-
вать» (Рис. 353).
В результате синхронизации пользователи PBS будут синхронизированы с сервером «Альт
Домен». Сведения о пользователях можно проверить на вкладке «Управление пользовате-
лями».
7) Настроить разрешения для пользователя на вкладке «Разрешения».
П р и м е ч а н и е . Команда синхронизации пользователей и групп:
# proxmox-backup-manager ldap sync test.alt
Для автоматической синхронизации пользователей и групп можно добавить команду син-
хронизации в планировщик задач.
6.9.6.2 API-токены
Любой аутентифицированный пользователь может генерировать API-токены, которые, в
свою очередь, можно использовать для настройки клиентов резервного копирования вместо пря-
мого указания имени пользователя и пароля.
Назначение API-токенов:
328
простой отзыв в случае компрометации клиента;
возможность ограничить разрешения для каждого клиента/токена в рамках разрешений
пользователей.
Добавление API-токена в веб-интерфейсе показано на Рис. 356.
PBS. Добавление API-токена
Рис. 356
API-токен состоит из двух частей (Рис. 357):
идентификатор (Token ID), который состоит из имени пользователя, области и имени токе-
на (user@realm!имя токена);
секретное значение.
PBS. API-токен
Рис. 357
Обе части должны быть предоставлены клиенту вместо идентификатора пользователя и его
пароля.
П р и м е ч а н и е . Отображаемое секретное значение необходимо сохранить, так как после
создания токена его нельзя будет отобразить снова.
Создание API-токена в консоли:
329
# proxmox-backup-manager user generate-token backup_u@pbs client1
Result: {
"tokenid": "backup_u@pbs!client1",
"value": "ff13e5e0-30df-4a70-99f1-c62b13803769"
}
6.9.6.3 Управление доступом
По умолчанию новые пользователи и API-токены не имеют никаких разрешений. Добавить
разрешения можно, назначив роли пользователям/токенам для определенных объектов, таких как
хранилища данных или удаленные устройства.
Роль – это список привилегий. В PBS предопределён ряд ролей:
NoAccess – нет привилегий (используется для запрета доступа);
Admin – все привилегии;
Audit – доступ только для чтения;
DatastoreAdmin – все привилегии для хранилищ данных;
DatastoreAudit – просмотр настроек хранилищ и их содержимых без возможности чтения
фактических данных;
DatastoreBackup – создание и восстановление собственных резервных копий;
DatastorePowerUser – создание, восстановление и удаление собственных резервных копий;
DatastoreReader – просмотр содержимого хранилища, восстановление данных;
RemoteAdmin – все привилегии для удаленных PBS;
RemoteAudit – просмотр настроек удаленных PBS;
RemoteDatastoreAdmin – все привилегии для удаленных хранилищ;
RemoteDatastorePowerUser – удаленная очистка хранилища данных;
RemoteSyncOperator – оператор синхронизации (чтение данных с удаленных PBS);
RemoteSyncPushOperator – оператор синхронизации (направление push);
TapeAdmin – все привилегии для резервного копирования на ленту;
TapeAudit – просмотр настроек, показателей и состояния ленты;
TapeOperator – создание и восстановление резервных копий на ленте без возможности из-
менения конфигурации;
TapeReader – чтение и проверка конфигурации ленты.
PBS использует систему управления разрешениями на основе ролей и путей. Запись в та-
блице разрешений позволяет пользователю играть определенную роль при доступе к объекту или
пути. Такое правило доступа может быть представлено как тройка (путь, пользователь, роль) или
(путь, API-токен, роль), причем роль содержит набор разрешенных действий, а путь представляет
цель этих действий.
330
Информация о правах доступа хранится в файле /etc/proxmox-backup/acl.cfg.
Файл содержит 5 полей, разделенных двоеточием (':'):
acl:1:/datastore:backup_u@pbs!client1:DatastoreAdmin
В каждом поле представлены следующие данные:
идентификатор acl;
1 или 0 – включено или отключено;
объект, на который установлено разрешение;
пользователи/токены, для которых установлено разрешение;
устанавливаемая роль.
Добавление разрешения можно выполнить в веб-интерфейсе (Рис. 358): «Конфигурация» →
«Управление доступом» вкладка «Разрешения».
PBS. Добавление разрешения
Рис. 358
Управление разрешениями в консоли:
добавить разрешение (добавить пользователя backup_u@pbs в качестве администратора
хранилища данных для хранилища данных store2, расположенного в /mnt/backup/
disk1/store2):
# proxmox-backup-manager acl update /datastore/store2 DatastoreAdmin --auth-id
backup_u@pbs
вывести список разрешений:
# proxmox-backup-manager acl list
отобразить действующий набор разрешений пользователя или API-токена:
# proxmox-backup-manager user permissions backup_u@pbs --path /datastore/store2
Privileges with (*) have the propagate flag set
Path: /datastore/store1
331
- Datastore.Audit (*)
- Datastore.Backup (*)
- Datastore.Modify (*)
- Datastore.Prune (*)
- Datastore.Read (*)
- Datastore.Verify (*)
П р и м е ч а н и е . Для токенов требуются собственные записи ACL. Токены не могут делать
больше, чем их соответствующий пользователь.
6.9.6.4 Двухфакторная аутентификация
П р и м е ч а н и е . Двухфакторная аутентификация реализована только для веб-интерфейса.
PBS поддерживает три метода двухфакторной аутентификации (Рис. 359):
«TOTP» (одноразовый пароль на основе времени) – для создания этого кода используется
алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30
секунд);
«WebAuthn» (веб-аутентификация) – реализуется с помощью различных устройств безопас-
ности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для
работы веб-аутентификации необходим сертификат HTTPS;
«Ключи восстановления» – список ключей, каждый из которых можно использовать только
один раз. В каждый момент времени у пользователя может быть только один набор одно-
разовых ключей.
PBS. Двухфакторная аутентификация
Рис. 359
Процедура добавления аутентификации «TOTP» показана на Рис. 360. При аутентификации
пользователя будет запрашиваться второй фактор (Рис. 361).
332
PBS. Настройка аутентификации TOTP
Рис. 360
Запрос второго фактора (TOTP) при аутентификации пользователя в веб-интерфейсе
Рис. 361
При настройке аутентификации «Ключи восстановления» необходимо создать набор клю-
чей (Рис. 362). При аутентификации пользователя будет запрашиваться второй фактор (Рис. 363).
PBS. Настройка аутентификации «Ключи восстановления»
Рис. 362
333
Запрос второго фактора («Ключи восстановления») при аутентификации пользователя в веб-
интерфейсе
Рис. 363
П р и м е ч а н и е . 8 неудачных попыток ввода кода TOTP отключат факторы TOTP пользо-
вателя. Они разблокируются при входе в систему с ключом восстановления. Если TOTP был
единственным доступным фактором, потребуется вмешательство администратора, и настоятельно
рекомендуется потребовать от пользователя немедленно изменить свой пароль. Администратор
может разблокировать двухфакторную аутентификацию пользователя в веб-интерфейсе (Рис. 364)
или в командной строке:
# proxmox-backup-manager user tfa unlock backup_u@pbs
PBS. Разблокировка двухфакторной аутентификации
Рис. 364
6.9.7 Управление удалёнными PBS и синхронизация хранилищ
6.9.7.1 Хранилища на удалённом сервере
Информация о конфигурации удалённых PBS хранится в файле /etc/proxmox-
backup/remote.cfg.
Для добавления удалённого PBS в веб-интерфейсе следует перейти в раздел «Конфигура-
ция» → «Удалённые хранилища» и нажать кнопку «Добавить» (Рис. 365).
334
PBS. Добавление удалённого PBS
Рис. 365
П р и м е ч а н и е . Отпечаток TLS-сертификата можно получить в веб-интерфейсе удалённо-
го PBS (Рис. 366).
PBS. Отпечаток TLS-сертификата
Рис. 366
Получить отпечаток в командной строке:
# proxmox-backup-manager cert info | grep Fingerprint
Управление удалёнными PBS в консоли:
добавить удалённый PBS:
# proxmox-backup-manager remote create pbs2 --host pbs2.test.alt \
--auth-id root@pam --password 'SECRET' --fingerprint
42:5d:ff:3a:50:38:53:5a:9b:f7:50:...:ab:1b
вывести список удалённых PBS:
# proxmox-backup-manager remote list
удалить удалённый PBS:
# proxmox-backup-manager remote remove pbs2
П р и м е ч а н и е . Удалённый PBS можно удалить, только если с ним не связано ни одно
задание синхронизации.
335
6.9.7.2 Задания синхронизации
Хранилища данных с удалённого сервера можно синхронизировать с локальным хранили-
щем с помощью задания синхронизации.
Задания синхронизации – это автоматизированные задачи, которые копируют данные из
одного хранилища в другое, обеспечивая резервирование и географическое распределение резерв-
ных копий. Они работают по принципу инкрементного копирования, передавая только изменения,
что экономит время и bandwidth.
Задания синхронизации работают в двух направлениях:
pull – копирует содержимое хранилища данных на удаленном сервере в локальное хранили-
ще данных;
push –копирует резервные снимки с локального хранилища в хранилище на удаленном сер-
вере (это может быть полезно в случае, кода удаленный сервер не может инициировать
подключения к локальному).
Задания синхронизации в направлении push не идентичны по поведению заданиям синхро-
низации в направлении pull из-за ограниченного доступа к целевому хранилищу данных через API
удаленных серверов. В частности, отправленный контент всегда будет принадлежать пользовате-
лю, настроенному в удаленной конфигурации, независимо от локального пользователя, указанного
в задании синхронизации. Последнее используется исключительно для проверки разрешений и
проверки области действия на стороне push.
П р и м е ч а н и е . Настоятельно рекомендуется создать выделенную удаленную конфигура-
цию для каждого отдельного задания синхронизации в направлении push, используя выделенного
пользователя на удаленном устройстве. В противном случае задания синхронизации, отправляе-
мые на одну и ту же цель, могут удалить снимки и/или группы друг друга, если установлен флаг
remove vanished, или пропустить снимки, если время резервного копирования не является ин-
крементным.
Для заданий синхронизации направления pull требуются следующие разрешения:
Remote.Read на пути /remote/{remote}/{remote-store};
Datastore.Backup на локальном хранилище данных (/datastore/{store}).
Для заданий синхронизации направления push требуются следующие разрешения:
Remote.Audit для /remote/{remote} и Remote.DatastoreBackup для пути или подпространства
имен /remote/{remote}/{remote-store}/{remote-ns};
Datastore.Read и Datastore.Audit для пространства имен локального хранилища данных (/
datastore/{store}/{ns}) или Datastore.Backup, если это владелец задания синхронизации;
Remote.DatastorePrune для пути /remote/{remote}/{remote-store}/{remote-ns} для возможно-
сти удаления исчезнувших снимков и групп;
336
Remote.DatastoreModify для пути /remote/{remote}/{remote-store}/{remote-ns} для возмож-
ности удаления исчезнувших пространств имен. На экземпляре удаленного сервера резерв-
ного копирования следует использовать удаленного пользователя с ограниченным досту-
пом.
Управлять заданиями синхронизации можно в веб-интерфейсе, на вкладке «Задания син-
хронизации» панели хранилища данных или самого хранилища данных. Кроме того, ими можно
управлять с помощью команды proxmox-backup-manager sync-job. Информация о конфи-
гурации заданий синхронизации хранится в /etc/proxmox-backup/sync.cfg.
Для настройки задачи синхронизации, необходимо в разделе «Хранилище данных» перейти
на вкладку «Задания синхронизации», нажать кнопку «Добавить» и выбрать направление синхро-
низации (Рис. 367).
PBS. Добавление задачи синхронизации
Рис. 367
В открывшемся окне (Рис. 368) на вкладке «Options» необходимо указать синхронизируе-
мые хранилища, владельца и расписание синхронизации.
На вкладке «Фильтр групп» можно настроить фильтры (Рис. 369). В этом случае будут син-
хронизироваться только резервные копии, соответствующие хотя бы одному из указанных крите-
риев. Доступны следующие критерии:
«Тип» (type) – виртуальная машина (vm), контейнер (ct), хост (host);
«Группа» (group) – полный идентификатор группы (например, group:vm/100);
«Регулярное выражение» (regex) – регулярное выражение, сопоставленное с полным иден-
тификатором группы (например, regex:'^vm/1\d{2,3}$').
337
PBS. Настройки задания синхронизации (pull-направление)
Рис. 368
PBS. Фильтр групп
Рис. 369
338
Фильтр можно инвертировать, указав его в разделе «Exclude filters».
Фильтры применяются по следующим правилам:
фильтры не заданы – синхронизируются все резервные копии;
заданы фильтры включения (includes) – синхронизируются только те резервные копии, ко-
торые соответствуют фильтрам включения;
заданы фильтры исключения (exclude) – синхронизируются все резервные копии, кроме
тех, которые соответствуют фильтрам исключения;
заданы и фильтры включения, и фильтры исключения – синхронизируются резервные ко-
пии, которые соответствуют фильтрам включения, но без тех, которые соответствуют
фильтрам исключения.
После того как задание синхронизации создано, оно будет запускаться по заданному распи-
санию, а также его можно запустить вручную из веб-интерфейса (кнопка «Запустить сейчас»).
Управление задачами синхронизации в консоли:
добавить задачу синхронизации (по умолчанию направление pull):
# proxmox-backup-manager sync-job create test_job \
--store zfs_st --owner root@pam \
--remote pbs2 --remote-store remotestore \
--schedule 'Sat 18:15'
добавить задачу синхронизации (направление push):
# proxmox-backup-manager sync-job create test_job_push \
--sync-direction push --store zfs_st --owner root@pam \
--remote pbs2 --remote-store my_disk --schedule '0/2:00'
добавить комментарий к задаче синхронизации:
# proxmox-backup-manager sync-job update test_job --comment 'offsite'
добавить фильтр к задаче синхронизации (синхронизировать резервные копии контейнеров,
за исключением контейнера 100):
# proxmox-backup-manager sync-job update test_job \
--group-filter type:ct --group-filter exclude:group:ct/100
вывести список задач синхронизации:
# proxmox-backup-manager sync-job list
удалить задачу синхронизации:
# proxmox-backup-manager sync-job remove test_job
339
6.9.8 Клиент резервного копирования
Клиент резервного копирования использует следующий формат для указания репозитория
хранилища данных на сервере резервного копирования (где имя пользователя указывается в виде
user@realm):
[[пользователь@]сервер[:порт]:]datastore
Значение по умолчанию для пользователя – root@pam. Если сервер не указан, используется
localhost. Примеры репозиториев показаны в табл. Таблица 7.
Указать репозиторий можно, передав его в параметре --repository, или установив пере-
менную окружения PBS_REPOSITORY, например:
# export PBS_REPOSITORY=pbs.test.alt:store1
Т а б л и ц а 7 – Примеры репозиториев
Пример Пользователь Хост:Порт Хранилище
store1 root@pam localhost:8007 store1
pbs.test.alt:store1 root@pam pbs.test.alt:8007 store1
backup_u@pbs@pbs.test.alt:store1 backup_u@pbs pbs.test.alt:8007 store1
backup_u@pbs!client1@pbs.test.alt:store1 backup_u@pbs!client1 pbs.test.alt:8007 store1
192.168.0.123:1234:store1 root@pam 192.168.0.123:1234 store1
6.9.8.1 Создание резервной копии
В этом разделе рассмотрено, как создать резервную копию внутри машины (физического
хоста, ВМ или контейнера). Такие резервные копии могут содержать архивы файлов и образов.
Создать резервную копию домашнего каталога пользователя user (будет создан архив
user.pxar):
$ proxmox-backup-client backup user.pxar:/home/user/ \
--repository pbs.test.alt:store1
Password for "root@pam": ***
Starting backup: host/server/2025-04-06T10:36:33Z
Client name: server
Starting backup protocol: Sun Apr 6 12:36:35 2025
fingerprint:
14:a3:8f:58:a4:5d:fd:8d:3a:71:cf:40:8d:d4:54:1b:01:47:bf:70:4b:31:15:a1:94:93
:4b:8e:56:d2:5b:0a
Are you sure you want to continue connecting? (y/n): y
No previous manifest available.
Upload directory '/home/user/' to 'store1' as user.pxar.didx
340
user.pxar: had to backup 24.408 KiB of 24.408 KiB (compressed 8.303 KiB) in
0.01 s (average 2.254 MiB/s)
Uploaded backup catalog (598 B)
Duration: 6.49s
End Time: Sun Apr 6 12:36:42 2025
Команда proxmox-backup-client backup принимает список параметров резервного
копирования, включая имя архива на сервере, тип архива и источник архива на клиенте, в форма-
те:
<archive-name>.<type>:<source-path>
Тип архива .pxar используется для файловых архивов, а .img – для образов блочных
устройств.
Команда создания резервной копии блочного устройства:
# proxmox-backup-client backup mydata.img:/dev/mylvm/mydata \
--repository pbs.test.alt:zfs_st
Password for "root@pam": ***
Starting backup: host/server/2025-04-06T14:21:00Z
Client name: server
Starting backup protocol: Sun Apr 6 16:21:02 2025
fingerprint:
14:a3:8f:58:a4:5d:fd:8d:3a:71:cf:40:8d:d4:54:1b:01:47:bf:70:4b:31:15:a1:94:93
:4b:8e:56:d2:5b:0a
Are you sure you want to continue connecting? (y/n): y
storing login ticket failed: $XDG_RUNTIME_DIR must be set
Downloading previous manifest (Sun Apr 6 16:06:55 2025)
Couldn't re-use previous manifest - missing key - manifest was created with
key a9:25:e2:c8:24:26:23:3b
Upload image '/dev/mylvm/mydata' to 'zfs_st' as mydata.img.fidx
mydata.img: had to backup 4 MiB of 4.766 GiB (compressed 159 B) in 8.21 s
(average 499.086 KiB/s)
mydata.img: backup was done incrementally, reused 4.762 GiB (99.9%)
Duration: 15.70s
End Time: Sun Apr 6 16:21:18 2025
П р и м е ч а н и е . При запуске команды резервного копирования может быть получен такой
вывод:
'Previous manifest does not contain an archive called 'mydata.img.fidx',
skipping download..'
341
Это не является ошибкой, следует дождаться окончания процесса, создания резервной ко-
пии.
П р и м е ч а н и е . Создание резервной копии может занять продолжительное время, необ-
ходимо дождаться окончания процесса. Убедиться в том, что резервное копирование выполняется
можно в веб-интерфейсе PBS, нажав кнопку «Задачи» (Рис. 370).
PBS. Выполняется задача резервного копирования
Рис. 370
6.9.8.2 Создание зашифрованной резервной копии
PBS поддерживает шифрование на стороне клиента с помощью AES-256 в режиме GCM.
Создание ключа шифрования:
$ proxmox-backup-client key create my-backup.key
Encryption Key Password: ******
Verify Password: ******
Создание зашифрованной резервной копии:
$ proxmox-backup-client backup user.pxar:/home/user/ \
--repository pbs.test.alt:store1 --keyfile ./my-backup.key
Password for "root@pam": ***
Starting backup: host/server/2025-04-06T14:06:55Z
Client name: server
Starting backup protocol: Sun Apr 6 16:06:57 2025
Using encryption key from './my-backup.key'..
Encryption Key Password: ******
Encryption key fingerprint: a9:25:e2:c8:24:26:23:3b
Downloading previous manifest (Sun Apr 6 12:36:33 2025)
Upload directory '/home/user/' to 'store1' as user.pxar.didx
user.pxar: had to backup 24.905 KiB of 24.905 KiB (compressed 8.69 KiB) in
0.00 s (average 7.099 MiB/s)
Uploaded backup catalog (620 B)
Duration: 4.22s
End Time: Sun Apr 6 16:07:01 2025
Содержимое хранилища store1 показано на Рис. 371.
342
PBS. Содержимое хранилища store1
Рис. 371
6.9.8.3 Восстановление данных
Просмотреть список всех снимков на сервере:
$ proxmox-backup-client snapshot list --repository pbs.test.alt:store1
┌─────────────────────────────────┬────────────┬────────────────────────────────────┐
│snapshot │ size│files │
╞═════════════════════════════════╪════════════╪════════════════════════════════════╡
│ host/server/2025-04-06T14:06:55Z│ 25.984 KiB │ catalog.pcat1 index.json user.pxar │
├─────────────────────────────────┼────────────┼────────────────────────────────────┤
│ host/server/2025-04-06T14:21:00Z│ 4.766 GiB │ index.json mydata.img │
└─────────────────────────────────┴────────────┴────────────────────────────────────┘
Просмотреть содержимое снимка:
$ proxmox-backup-client catalog dump host/host-01/2024-11-08T10:27:26Z \
--repository pbs.test.alt:store1
Команда восстановления архива из резервной копии:
proxmox-backup-client restore <снимок> <имя-архива> <целевой-путь> [ОПЦИИ]
Восстановить архив user.pxar в каталог /home/user/restore:
$ proxmox-backup-client restore host/server/2025-04-06T14:06:55Z \
user.pxar /home/user/restore --repository store1
Получить содержимое любого архива можно, восстановив файл index.json в репозитории по
целевому пути «-»:
$ proxmox-backup-client restore host/server/2025-04-06T14:06:55Z \
index.json - --repository pbs.test.alt:store1
При этом содержимое архива будет выведено на стандартный вывод.
Если необходимо восстановить несколько отдельных файлов, можно использовать интерак-
тивную оболочку восстановления:
$ proxmox-backup-client catalog shell host/server/2025-04-06T14:06:55Z \
343
user.pxar --repository pbs.test.alt:store1
Starting interactive shell
pxar:/ > ls
…
Пример поиска в содержимом архива и восстановление данных:
pxar:/ > find *.txt --select
/test/connection_trace.txt
/Рабочий стол/1.txt
pxar:/ > list-selected
/test/connection_trace.txt
/Рабочий стол/1.txt
pxar:/ > restore-selected /home/user/restore/
pxar:/ > restore /home/user/conf/ --pattern *.conf
pxar:/ > exit
где:
find *.txt --select – найти все файлы с расширением .txt и добавить соответствую-
щие шаблоны в список для последующего восстановления;
list-selected – вывести шаблоны на экран;
restore-selected /home/user/restore/ – восстановить все файлы в архиве, соот-
ветствующие шаблонам в /home/user/restore/ на локальном хосте;
restore /home/user/conf/ --pattern *.conf – восстановить все файлы с
расширением .conf в /home/user/conf/ на локальном хосте.
6.9.8.4 Вход и выход
При первой попытке получить доступ к серверу с использованием команды proxmox-
backup-client, потребуется ввести пароль пользователя. Сервер проверяет учётные данные и от-
правляет билет, действительный в течение двух часов. Клиент использует этот билет для последу-
ющих запросов к этому серверу.
Можно вручную инициировать вход/выход. Команда входа:
$ proxmox-backup-client login --repository pbs.test.alt:store1
Password for "root@pam": ******
Удалить билет:
$ proxmox-backup-client logout --repository pbs.test.alt:store1
6.9.9 Интеграция с PVE
PBS можно интегрировать в автономную или кластерную установку PVE, добавив его в ка-
честве хранилища (Рис. 372).
344
PVE. Добавление хранилища Proxmox Backup Server
Рис. 372
Диалог создания хранилища pbs_backup типа «Proxmox Backup Server» для хранения ре-
зервных копий представлен на Рис. 373.
PVE. Диалог создания хранилища Proxmox Backup Server
Рис. 373
П р и м е ч а н и е . Отпечаток TLS-сертификата можно получить в веб-интерфейсе сервера
резервного копирования (Рис. 366). Получить отпечаток можно, выполнив следующую команду на
сервере резервного копирования:
# proxmox-backup-manager cert info | grep Fingerprint
345
Fingerprint (sha256):
c8:26:af:4a:c3:dc:60:72:4a:0b:4d:c1:e6:58:02:62:90:39:cb:fc:75:5d:00:9a:57:ca
:3d:28:a0:2c:99:a5
Добавление хранилища в командной строке:
# pvesm add pbs pbs_backup --server pbs.test.alt --datastore store1 \
--fingerprint c8:26:af:4a:c3:dc:60:72:...:99:a5 \
--username root@pam --password
Просмотреть состояние хранилища:
# pvesm status --storage pbs_backup
Name Type Status Total Used Available %
pbs_backup pbs active 30786448 3097752 26099504 10.06%
Добавив хранилище данных типа Proxmox Backup Server в PVE, можно создавать резерв-
ные копии ВМ и контейнеров в это хранилище, так же как и в любые другие хранилища.
6.9.10 Резервное копирование на ленту
Резервное копирование на ленту обеспечивает простой способ хранения содержимого хра-
нилища данных на магнитных лентах. Это повышает безопасность данных, за счёт получения до-
полнительной копии данных, на другом типе носителя (лента), в другом расположении (можно
переместить ленты за пределы объекта).
При восстановлении данных из резервных копий чаще всего восстанавливаются данные по-
следнего задания резервного копирования. Запросы на восстановление уменьшаются по мере ста-
рения данных. Учитывая это, резервное копирование на ленту может сократить использование
дискового пространства, поскольку можно удалить данные с диска после их архивации на ленте.
Это особенно актуально, если необходимо хранить данные в течение нескольких лет.
Резервные копии на ленте не обеспечивают произвольный доступ к хранящимся данным.
Для получения доступа к данным, необходимо предварительно восстановить данные на диск. Кро-
ме того, если ленты хранятся за пределами объекта, необходимо вернуть их на место, прежде чем
выполнять какие-либо операции по восстановлению. Поэтому восстановление с ленты может за-
нять гораздо больше времени, чем восстановление с диска.
П р и м е ч а н и е . PBS хранит сжатые данные, поэтому использование функции сжатия лен-
ты не даёт преимуществ.
6.9.10.1 Поддерживаемое оборудование
PBS поддерживает Linear Tape-Open 5-го поколения (LTO-5) или новее, а также обеспечи-
вает максимальную поддержку 4-го поколения (LTO-4).
Смена лент осуществляется по протоколу SCSI Medium Changer, поэтому все современные
ленточные библиотеки должны работать.
346
Современные ленты LTO-8 обеспечивают скорость чтения/записи до 360 МБ/с. Для полной
записи или чтения одной ленты требуется минимум 9 часов (даже на максимальной скорости).
Единственный способ увеличить скорость передачи данных – использовать более одного
привода. Таким образом, можно запускать несколько заданий резервного копирования параллель-
но или запускать задания восстановления, в то время как другие приводы используются для ре-
зервного копирования.
Необходимо также учитывать, что сначала необходимо прочитать данные из хранилища
данных (диска). Однако жёсткий диск не может доставлять данные с такой скоростью. На практи-
ке скорость может быть от 60 до 100 МБ/с, поэтому для чтения 12 ТБ, необходимых для заполне-
ния ленты LTO-8, требуется 33 часа. Для того чтобы записывать на ленту на полной скорости,
необходимо убедиться, что исходное хранилище данных способно обеспечить такую производи-
тельность (например, использовать SSD).
Начиная с LTO-9, при первом использовании необходимо обязательно калибровать (иници-
ализировать) любой новый носитель в ленточном приводе, для получения максимальной емкости
хранения и надежности записи. Калибровка занимает от 40 до 120 минут на каждый носитель. Ре-
комендуется инициализировать носитель с помощью инструментов, предоставленных поставщи-
ком оборудования накопителя или чейнджера. Некоторые устройства смены лент имеют метод
«массовой» инициализации носителя.
Форматирование лент на PBS обрабатывается по-разному, чтобы избежать повторной опти-
мизации для каждого формата/маркировки. Если нужно отформатировать носитель для использо-
вания с PBS в первый раз или после использования с другой программой, следует либо использо-
вать функциональные возможности привода/чейнджера, либо использовать «медленное» формати-
рование в командной строке:
# proxmox-tape format --drive your-drive --fast 0
При этом будут полностью удалены все ранее существовавшие данные, и будет запущен
этап оптимизации.
Если носитель LTO-9 форматируется с помощью «быстрого» метода (по умолчанию или с
параметром --fast 1), будет отформатирован только первый раздел.
6.9.10.2 Быстрый старт
Для резервного копирования на ленту необходимо выполнить следующие действия:
1) настроить оборудование (приводы и устройства смены лент);
2) настроить один или несколько пулов носителей;
3) промаркировать картриджи с лентой;
4) запустить задание резервного копирования на ленту.
347
Дополнительно рекомендуется выполнить следующие настройки:
1) убедиться, что присутствует загруженный в ядро модуль (драйвер) sg:
# lsmod | grep sg
Если команда не вывела результата, необходимо загрузить модуль sg:
# modprobe sg
Чтобы можуль sg загружался при загрузке системы, необходимо создать файл
/etc/modules-load.d/sg.conf, в который добавить имя модуля sg:
# echo sg > /etc/modules-load.d/sg.conf
2) установить пакеты mt-st и mtx, если они еще не установлены:
# apt-get install mt-st mtx
3) для удобства отображения устройств на шине SCSI можно также установить пакет lsscsi и
выполнить поиск устройств на шине:
# apt-get install lsscsi
# lsscsi -g (либо # lsscsi -vd)
В выводе должны присутствовать наименования устройств, с указанием устройств в
служебной ФС ядра /dev, например, вида:
# lsscsi –g
[1:2:0:0] tape HP Ultrium 5-SCSI Z39W /dev/st0 /dev/sg4 (ленточный привод)
[1:2:0:1] mediumx HP MSL G3 Series 6.20 /dev/sch0 /dev/sg5 (устройство смены
лент)
4) использовать программу mtx для управления роботом:
# mtx <устройство> команда
Например:
# mtx -f /dev/sg5 status
Storage Changer /dev/sg5:1 Drives, 16 Slots (
0 Import/Export ) Data Transfer Element 0:Empty Storage Element 1:Empty
Storage Element 2:Empty Storage Element 3:Empty Storage Element 4:Empty
Storage Element 5:Empty Storage Element 6:Empty Storage Element 7:Empty
Storage Element 8:Empty Storage Element 9:Empty Storage Element
10:Empty Storage Element 11:Empty Storage Element 12:Empty Storage
Element 13:Empty Storage Element 14:Empty Storage Element 15:Empty
Storage Element 16:Empty
Возможные команды:
status – осуществляет опрос статуса;
inventory – осуществляет инвентаризацию лент;
348
load <номер_слота> [<номер_привода>] – загружает ленту из указанного слота в указанный
привод;
unload [<номер_слота>] [<номер_привода>] – выгружает ленту из указанного слота.
Примечание. Пакеты mt-st, mtx и lsscsi не входят в состав ISO-образа
дистрибутива, их можно установить из репозитория p11. О добавлении репозиториев можно
почитать в разделе «Добавление репозиториев».
П р и м е ч а н и е . mtx – низкоуровневый интерфейс управления чейнджером; mt – низко-
уровневый интерфейс управления ленточным приводом.
6.9.10.3 Настройка резервного копирования
Все настройки можно выполнять как в веб-интерфейсе, так и в командной строке.
П р и м е ч а н и е . Если при работе с новой лентой возникает ошибка TASK ERROR: me-
dia read error - read failed - Blank Check, Additional sense: End-of-
data not found, необходимо выполнить команду:
# pmt rewind
6.9.10.3.1 Устройства смены лент (Tape changers)
Этот шаг можно пропустить, если используется автономный диск.
Устройства смены лент (роботы) являются частью ленточной библиотеки. Они содержат
несколько слотов для картриджей с лентой, считыватель штрих-кода для идентификации картри-
джей с лентой и автоматизированный метод загрузки лент.
Получить список доступных устройств:
# proxmox-tape changer scan
┌─────────────────────────────┬─────────┬──────────────┬────────┐
│ path │ vendor │ model │ serial │
╞═════════════════════════════╪═════════╪══════════════╪════════╡
│ /dev/tape/by-id/scsi-CC2C52 │ Quantum │ Superloader3 │ CC2C52 │
└─────────────────────────────┴─────────┴──────────────┴────────┘
Чтобы использовать устройство с PBS, необходимо создать запись конфигурации:
# proxmox-tape changer create CHGR1 --path /dev/tape/by-id/scsi-CC2C52
Где CHGR1 – произвольное имя.
П р и м е ч а н и е . Так как имена типа /dev/sg* могут после перезагрузки указывать на дру-
гое устройство, необходимо использовать постоянные имена путей к устройствам, например, /
dev/tape/by-id/.
349
Операцию добавления устройства смены лент также можно выполнить в веб-интерфейсе.
Для этого в разделе «Резервное копирование на ленту» → «Сменщики» (Рис. 374), необходимо на-
жать кнопку «Добавить». Откроется диалоговое окно (Рис. 375), в котором необходимо указать
имя и выбрать устройство.
Резервное копирование на ленту. Устройства смены лент
Рис. 374
Резервное копирование на ленту. Добавление нового устройства смены ленты
Рис. 375
Просмотреть получившуюся конфигурацию можно, выполнив команду:
# proxmox-tape changer config CHGR1
┌──────┬─────────────────────────────┐
│ Name │ Value │
╞══════╪═════════════════════════════╡
│ name │ CHGR1 │
├──────┼─────────────────────────────┤
│ path │ /dev/tape/by-id/scsi-CC2C52 │
350
└──────┴─────────────────────────────┘
Вывести все настроенные устройства:
# proxmox-tape changer list
┌──────┬─────────────────────────────┬─────────┬──────────────┬────────────┐
│ name │ path │ vendor │ model │ serial │
╞══════╪═════════════════════════════╪═════════╪══════════════╪════════════╡
│ CHGR1│ /dev/tape/by-id/scsi-CC2C52 │ Quantum │ Superloader3 │ CC2C52 │
└──────┴─────────────────────────────┴─────────┴──────────────┴────────────┘
Производитель, модель и серийный номер определяются автоматически, но отображаются
только в том случае, если устройство подключено к сети.
Чтобы проверить настройку, можно также запросить статус устройства:
# proxmox-tape changer status CHGR1
┌───────────────┬──────────┬────────────┬─────────────┐
│ entry-kind │ entry-id │ label-text │ loaded-slot │
╞═══════════════╪══════════╪════════════╪═════════════╡
│ drive │ 0 │ vtape1 │ 1 │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 1 │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 2 │ vtape2 │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ ... │ ... │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 16 │ │ │
└───────────────┴──────────┴────────────┴─────────────┘
Ленточные библиотеки обычно предоставляют несколько специальных слотов импорта/экс-
порта (также называемых «почтовыми слотами»). Ленты внутри этих слотов доступны снаружи,
что упрощает добавление/удаление лент в/из библиотеки. Эти ленты считаются «автономными»,
поэтому задания резервного копирования не используют их. Эти специальные слоты определяют-
ся автоматически и помечаются как слоты import-export в выводе команды proxmox-tape
changer status.
Некоторые небольшие ленточные библиотеки не имеют таких слотов. Они не могут удер-
живать медиафайлы, пока робот занимается другими делами. Они также не предоставляют доступ
к этому «почтовому слоту» через интерфейс SCSI, поэтому их нельзя увидеть в выводе команды
состояния.
В качестве обходного пути можно пометить некоторые обычные слоты как слоты экспорта.
Программное обеспечение рассматривает эти слоты как настоящие слоты import-export, а носители
внутри этих слотов считаются «автономными» (недоступными для резервного копирования):
351
# proxmox-tape changer update CHGR1 --export-slots 15,16
Теперь можно увидеть эти искусственные слоты import-export в выводе команды:
# proxmox-tape changer status CHGR1
┌───────────────┬──────────┬────────────┬─────────────┐
│ entry-kind │ entry-id │ label-text │ loaded-slot │
╞═══════════════╪══════════╪════════════╪═════════════╡
│ drive │ 0 │ vtape1 │ 1 │
├───────────────┼──────────┼────────────┼─────────────┤
│ import-export │ 15 │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ import-export │ 16 │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 1 │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 2 │ vtape2 │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ ... │ ... │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 14 │ │ │
└───────────────┴──────────┴────────────┴─────────────┘
Поскольку не все устройства смены ленты ведут себя одинаково, иногда возникает необхо-
димость в настройке дополнительных параметров. Например, можно указать дополнительный па-
раметр --eject-before-unload (необходим для некоторых устройств, которым требуется из-
влечение ленты перед выгрузкой из привода):
# proxmox-tape changer update CHGR1--eject-before-unload true
6.9.10.3.2 Ленточные накопители (приводы)
Получить список доступных ленточных приводов:
# proxmox-tape drive scan
┌────────────────────────────────┬────────┬─────────────┬────────┐
│ path │ vendor │ model │ serial │
╞════════════════════════════════╪════════╪═════════════╪════════╡
│ /dev/tape/by-id/scsi-12345-sg │ IBM │ ULT3580-TD4 │ 12345 │
└────────────────────────────────┴────────┴─────────────┴────────┘
Чтобы использовать этот привод с PBS, необходимо создать запись конфигурации. Это
можно сделать в веб-интерфейсе «Резервное копирование на ленту» → «Диски» (Рис. 376) или с
помощью команды:
# proxmox-tape drive create mydrive --path /dev/tape/by-id/scsi-<цифры>-sg
352
П р и м е ч а н и е . Так как имена типа /dev/sg* могут после перезагрузки указывать на дру-
гое устройство, необходимо использовать постоянные имена путей к устройствам, например, /
dev/tape/by-id/.
Резервное копирование на ленту. Добавление нового ленточного привода
Рис. 376
При наличии ленточной библиотеки, также необходимо настроить соответствующее
устройство смены лент:
# proxmox-tape drive update mydrive --changer CHGR1 --changer-drivenum 0
Параметр --changer-drivenum необходим только в том случае, если ленточная библио-
тека включает более одного привода (команда proxmox-tape changer status выводит спи-
сок всех номеров накопителей).
Просмотреть полученную конфигурацию:
# proxmox-tape drive config mydrive
┌─────────┬────────────────────────────────┐
│ Name │ Value │
╞═════════╪════════════════════════════════╡
│ name │ mydrive │
├─────────┼────────────────────────────────┤
│ path │ /dev/tape/by-id/scsi-12345-sg │
├─────────┼────────────────────────────────┤
│ changer │ CHGR1 │
└─────────┴────────────────────────────────┘
П р и м е ч а н и е . Значение 0, указанное в параметре --changer-drivenum, не сохраня-
ется в конфигурации, поскольку используется по умолчанию.
Вывести список всех настроенных дисков:
# proxmox-tape drive list
┌────────┬──────────────────────────────┬────────┬───────┬────────────┬────────┐
│ name │ path │ changer│ vendor│ model │ serial │
╞════════╪══════════════════════════════╪════════╪═══════╪════════════╪════════╡
353
│ mydrive│ /dev/tape/by-id/scsi-12345-sg│ CHGR1 │ IBM │ ULT3580-TD4│ 12345 │
└────────┴──────────────────────────────┴────────┴───────┴────────────┴────────┘
Производитель, модель и серийный номер определяются автоматически и отображаются
только в том случае, если устройство подключено к сети.
Для тестирования можно просто запросить состояние диска:
# proxmox-tape status --drive mydrive
┌────────────────┬──────────────────────────┐
│ Name │ Value │
╞════════════════╪══════════════════════════╡
│ blocksize │ 0 │
├────────────────┼──────────────────────────┤
│ density │ LTO4 │
├────────────────┼──────────────────────────┤
│ compression │ 1 │
├────────────────┼──────────────────────────┤
│ buffer-mode │ 1 │
├────────────────┼──────────────────────────┤
│ alert-flags │ (empty) │
├────────────────┼──────────────────────────┤
│ file-number │ 0 │
├────────────────┼──────────────────────────┤
│ block-number │ 0 │
├────────────────┼──────────────────────────┤
│ manufactured │ Fri Dec 13 01:00:00 2019 │
├────────────────┼──────────────────────────┤
│ bytes-written │ 501.80 GiB │
├────────────────┼──────────────────────────┤
│ bytes-read │ 4.00 MiB │
├────────────────┼──────────────────────────┤
│ medium-passes │ 20 │
├────────────────┼──────────────────────────┤
│ medium-wearout │ 0.12% │
├────────────────┼──────────────────────────┤
│ volume-mounts │ 2 │
└────────────────┴──────────────────────────┘
П р и м е ч а н и е . Размер блока всегда должен быть равен 0 (режим переменного размера
блока).
354
6.9.10.3.3 Медиа-пулы (пулы носителей)
Пул носителей – это логический контейнер для лент. Задание резервного копирования
предназначено для одного пула носителей, поэтому задание использует только ленты из этого пу-
ла.
Набор носителей – это группа непрерывно записываемых лент, используемых для разделе-
ния большего пула на более мелкие восстанавливаемые блоки. Одно или несколько заданий ре-
зервного копирования записывают данные на набор носителей, создавая упорядоченную группу
лент. Наборы носителей идентифицируются уникальным идентификатором. Этот идентификатор
и порядковый номер хранятся на каждой ленте этого набора (метка ленты).
Наборы носителей являются основной единицей для задач восстановления. Для восстанов-
ления содержимого набора носителей понадобится каждая лента в наборе. Данные полностью де-
дуплицируются внутри набора носителей.
Пул дополнительно определяет, как долго задания резервного копирования могут добав-
лять данные в набор носителей (поле «Политика выделения» см. Рис. 377). Ниже перечислены воз-
можные настройки.
Резервное копирование на ленту. Пулы носителей
Рис. 377
Попробовать использовать текущий набор носителей («Продолжить»)
Этот параметр создает один большой набор носителей. Это очень эффективно (дедуплика-
ция, отсутствие неиспользуемого пространства), но может привести к увеличению времени восста-
новления, поскольку заданиям восстановления необходимо читать все ленты в наборе.
П р и м е ч а н и е . Данные полностью дедуплицируются внутри набора носителей. Это так-
же означает, что данные случайным образом распределяются по лентам в наборе. Таким образом,
даже если восстанавливается одна ВМ, данные, возможно, придется считать со всех лент внутри
набора носителей.
Наборы носителей большего размера также более подвержены ошибкам, поскольку даже
одна поврежденная лента приводит к сбою восстановления.
355
Сценарий использования: в основном используется с ленточными библиотеками. Создание
нового набора запускается вручную, при запуске задания резервного копирования с параметром
--export.
П р и м е ч а н и е . Срок хранения начинается с момента появления нового набора носи-
телей.
Всегда создавать новый набор носителей («Всегда»)
При использовании этого параметра каждое задание резервного копирования создает новый
набор носителей. Это менее эффективно, поскольку носитель из последнего набора может быть
записан не полностью, а оставшееся пространство останется неиспользованным.
Преимущество такого подхода состоит в том, что при этом создаются наборы носителей
минимального размера. С небольшими наборами легче обращаться, их удобнее перемещать в уда-
ленное хранилище, и их можно восстановить гораздо быстрее.
П р и м е ч а н и е . Срок хранения начинается с момента создания набора носителей.
Создать новый набор при срабатывании указанного события календаря
Позволяет указывать моменты времени, используя systemd, например спецификации собы-
тий календаря (см. man systemd.time).
Например, при указании значения weekly (или Mon *-*-* 00:00:00) новый набор будет со-
здаваться каждую неделю.
Эта настройка балансирует между эффективностью использования пространства и количе-
ством носителей.
П р и м е ч а н и е . Срок хранения начинается со времени создания следующего набора
мультимедиа или, если такового нет, когда событие календаря в следующий раз инициируется по-
сле времени начала текущего набора мультимедиа.
Следующие события также могут выделить новый набор носителей:
требуемая лента находится в автономном режиме (и используется ленточная библиотека);
текущий набор содержит поврежденные или устаревшие ленты;
шифрование пула носителей изменилось;
ошибки согласованности базы данных, например, если инвентарь не содержит необходи-
мой информации о носителе или содержит противоречивую информацию (устаревшие дан-
ные).
Политика хранения определяет, как будут храниться данные:
всегда перезаписывать носитель («Перезаписать»);
защищать данные в течение указанного периода времени;
никогда не перезаписывать данные («Оставлять»).
356
Ленточные накопители LTO-4 (или более поздних версий) поддерживают аппаратное шиф-
рование. Если настроить пул носителей на использование шифрования, все данные, записываемые
на ленты, шифруются с использованием настроенного ключа.
Таким образом, неавторизованные пользователи не смогут прочитать данные с носителя.
П р и м е ч а н и е . Если клиент резервного копирования также шифрует данные, то данные
на ленте будут зашифрованы дважды.
Защищенный паролем ключ хранится на каждом носителе, поэтому его можно восстано-
вить с помощью пароля.
Для добавления нового пула носителей в меню «Резервное копирование на ленту» → «Пу-
лы носителей» следует нажать кнопку «Добавить» (Рис. 378) или воспользоваться командой:
# proxmox-tape pool create <name> [OPTIONS]
Резервное копирование на ленту. Добавление нового пула
Рис. 378
Пример добавления пула:
# proxmox-tape pool create daily
Дополнительные параметры можно установить позже, например:
# proxmox-tape pool update daily --allocation daily --retention 7days
Вывести список всех настроенных пулов:
# proxmox-tape pool list
┌───────┬──────────┬────────────┬───────────┬──────────┐
│ name │ drive │ allocation │ retention │ template │
╞═══════╪══════════╪════════════╪═══════════╪══════════╡
│ daily │ mydrive │ daily │ 7days │ │
└───────┴──────────┴────────────┴───────────┴──────────┘
357
6.9.10.3.4 Задания резервного копирования на ленту
Чтобы автоматизировать резервное копирование на ленту, можно настроить задания ре-
зервного копирования, которые записывают содержимое хранилища данных в пул носителей по
определенному расписанию. При создании задания резервного копирования на ленту необходимо
указать:
store – хранилище данных, резервную копию которого нужно создать;
pool – пул носителей (используются только ленточные картриджи из этого пула);
drive – ленточный накопитель;
schedule – расписание заданий.
Пример настройки задания резервного копирования на ленту для хранилища данных
vmstore1:
# proxmox-tape backup-job create job2 --store vmstore1 \
--pool mypool --drive mydrive --schedule daily
По умолчанию резервная копия включает все снимки из группы резервного копирования.
Чтобы включать только самые последние снимки, можно использовать опцию --latest-only:
# proxmox-tape backup-job update job2 --latest-only
Для отправки уведомлений о запросах на ленту или отчетов об ошибках можно указать
пользователя, на электронную почту которого будут отправляться уведомления:
# proxmox-tape backup-job update job2 --notify-user root@pam
Иногда бывает полезно извлечь ленту из привода после резервного копирования:
# proxmox-tape backup-job update job2 --eject-media
П р и м е ч а н и е Для возможности отправки электронной почты должен быть запущен уста-
новлен пакет postfix и запущена соответсвующая служба:
# systemctl enable --now postfix
Для автономного накопителя опция --eject-media извлекает ленту, гарантируя, что
следующая резервная копия не сможет использовать ленту (если только кто-то вручную не загру-
зит ленту). Для ленточных библиотек этот параметр выгружает ленту в свободный слот.
П р и м е ч а н и е . В случае если задание завершается ошибкой, лента остается в приводе.
Для ленточных библиотек параметр --export-media-set перемещает все ленты из на-
бора носителей в слот экспорта, гарантируя, что следующая резервная копия не сможет использо-
вать эти ленты:
# proxmox-tape backup-job update job2 --export-media-set
Примечание. Опцию --export-media-set можно использовать для принудитель-
ного запуска нового набора носителей, поскольку ленты из текущего набора больше не находятся
в сети.
358
Запуск задания резервного копирования вручную:
# proxmox-tape backup-job run job2
Удаление задания резервного копирования:
# proxmox-tape backup-job remove job2
По умолчанию все (рекурсивные) пространства имен хранилища данных включаются в ре-
зервную копию на ленте. Можно указать одно пространство имен с помощью опции --ns и глу-
бину с помощью опции --max-deep. Например:
# proxmox-tape backup-job update job2 --ns mynamespace --max-depth 3
Если опция --max-deep не указана, резервная копия будет включать все рекурсивные
пространства имен.
Операции с заданиями резервного копирования можно также выполнять в веб-интерфейсе
на вкладке «Резервное копирование на ленту» → «Задания резервного копирования». При созда-
нии задания резервного копирования (Рис. 379) в поле «Локальное хранилище данных» следует
указать хранилище данных, для которого будет создаваться резервная копию, а в поле «Пул носи-
телей» – пул, в который выполняется резервное копирование.
Резервное копирование на ленту. Добавление задания резервного копирования
Рис. 379
6.9.10.4 Администрирование
Во многих подкомандах команды proxmox-tape используется параметр --drive с ука-
занием привода, с которым будет происходить работа. Для удобства можно задать привод в пере-
менной среды:
# export PROXMOX_TAPE_DRIVE=mydrive
359
В этом случае в команде можно не указывать параметр --drive. Если привод имеет свя-
занное с ним устройство смены лент, также можно опустить параметр --changer в командах,
которым требуется устройство смены лент, например:
# proxmox-tape changer status
Вывод этой команды должен отображать статус устройства смены лент, связанного с дис-
ком mydrive.
6.9.10.4.1 Этикетки
По умолчанию все кассеты с лентой выглядят одинаково, поэтому для уникальной иденти-
фикации на них необходимо нанести этикетку. Сначала следует наклеить на картридж этикетку с
текстом. Затем необходимо записать тот же текст метки на ленту, чтобы программное обеспечение
могло однозначно идентифицировать ленту.
Для автономного накопителя необходимо вставить новый ленточный картридж в привод и
выполнить команду:
# proxmox-tape label --label-text <текст метки> [--pool <имя пула>]
Аргумент –pool можно опустить, чтобы разрешить использование ленты любым пулом.
П р и м е ч а н и е . По соображениям безопасности эта команда не выполняется, если лента
содержит какие-либо данные.
Прочитать этикетку:
# proxmox-tape read-label
┌─────────────────┬──────────────────────────────────────┐
│ Name │ Value │
╞═════════════════╪══════════════════════════════════════╡
│ label-text │ vtape1 │
├─────────────────┼──────────────────────────────────────┤
│ uuid │ 7f42c4dd-9626-4d89-9f2b-c7bc6da7d533 │
├─────────────────┼──────────────────────────────────────┤
│ ctime │ Wed Jul 24 09:13:36 2024 │
├─────────────────┼──────────────────────────────────────┤
│ pool │ daily │
├─────────────────┼──────────────────────────────────────┤
│ media-set-uuid │ 00000000-0000-0000-0000-000000000000 │
├─────────────────┼──────────────────────────────────────┤
│ media-set-ctime │ Wed Jul 24 09:13:36 2024 │
└─────────────────┴──────────────────────────────────────┘
П р и м е ч а н и е . Параметр media-set-uuid, содержащий все нули, указывает на пустую лен-
ту (не используемую ни одним набором носителей).
360
Если используется ленточная библиотека, сначала необходимо наклеить на ленточные
картриджи этикетку со штрих-кодом и загрузить эти пустые ленты в библиотеку. Затем можно по-
метить все непомеченные ленты с помощью команды:
# proxmox-tape barcode-label [--pool <имя-пула ]
6.9.10.4.2 Запуск резервного копирования на ленту
Для запуска задания резервного копирования вручную необходимо нажать кнопку «Запу-
стить сейчас» или использовать команду:
# proxmox-tape backup <хранилище> <пул> [OPTIONS]
Доступны следующие опции:
--eject-media – извлечь носитель после завершения работы;
--export-media-set – после успешного выполнения задания резервного копирования все лен-
ты из используемого набора носителей перемещаются в слоты импорта-экспорта;
--ns – пространство имен для резервного копирования. Используется, если нужно создать
резервную копию только определенного пространства имен. Если этот параметр опущен,
предполагается корневое пространство имен.
--max-depth– глубина рекурсивных пространств имен. 0 означает отсутствие рекурсии вооб-
ще (только заданное пространство имен).
6.9.10.4.3 Восстановление с ленты
Восстановление выполняется с детализацией набора носителей, поэтому сначала необходи-
мо выяснить, какой набор носителей содержит данные, которые нужно восстановить. Эта инфор-
мация хранится в медиа-каталоге. Если медиа-каталогов еще нет, сначала необходимо их восста-
новить. Следует обратить внимание, что для поиска данных понадобится каталог, но для восста-
новления полного набора мультимедиа каталоги мультимедиа не нужны.
Следующая команда выводит список медиаконтента (из каталога):
# proxmox-tape media content
Задание восстановления считывает данные с набора носителей и перемещает их обратно на
диск данных (хранилище данных):
# proxmox-tape restore <media-set-uuid> <хранилище>
Например:
# proxmox-tape restore 9da37a55-aac7-4deb-91c6-482b3b675f30 pve-backup
Иногда нет необходимости восстанавливать весь носитель, а только некоторые отдельные
снимки с ленты. Этого можно добиться с помощью параметра snapshot:
# proxmox-tape restore <media-set-uuid> <хранилище> [<snapshot>]
Например:
# proxmox-tape restore 9da37a55-aac7-4deb-91c6-482b3b675f30 \
361
pve-backup sourcestore:host/hostname/2024-04-01T00:01:00Z
При этом снимок сначала восстанавливается во временном расположении, затем восстанав-
ливаются соответствующие архивы фрагментов и, наконец, восстанавливаются данные момен-
тального снимка в целевое хранилище данных.
Параметр snapshot можно передавать несколько раз, чтобы восстановить несколько
снимков одним действием восстановления.
П р и м е ч а н и е . При использовании восстановления с помощью параметра snapshot
ленту необходимо пройти более одного раза, что при одновременном восстановлении нескольких
моментальных снимков может занять больше времени, чем восстановление всего хранилища дан-
ных.
Во время восстановления также можно выбрать и сопоставить определенные пространства
имен из набора носителей. Это возможно с помощью параметра --namespaces. Формат пара-
метра:
store=<source-datastore>[,source=<source-ns>][,target=<target-ns>][,max-
depth=<depth>]
Если source или target не указаны, предполагается корневое пространство имен. Если
не указан max-depth, исходное пространство имен будет полностью рекурсивно.
Пример команды восстановления:
# proxmox-tape restore 9da37a55-aac7-4deb-91c6-482b3b675f30 \
pve-backup --namespaces \
store=sourcedatastore,source=ns1,target=ns2,max-depth=2
Параметр --namespaces может быть указан несколько раз. Его можно комбинировать с
параметром snapshot, чтобы восстанавливать только эти снимки и сопоставлять их с различны-
ми пространствами имен.
6.9.10.4.4 Восстановить каталог
Чтобы восстановить каталог с существующей ленты, достаточно вставить ленту в привод и
выполнить команду:
# proxmox-tape catalog
Восстановить с ленты можно даже без существующего каталога, но только весь набор носи-
телей. В этом случае каталог будет создан автоматически.
6.9.10.4.5 Управление ключами шифрования
Ключами шифрования можно управлять в разделе «Резервное копирование на ленту» →
«Ключи шифрования» веб-интерфейса (Рис. 380) или с помощью команды proxmox-tape key.
362
Резервное копирование на ленту. Ключи шифрования
Рис. 380
Пример создания нового ключа шифрования:
# proxmox-tape key create --hint "tape pw 2025"
Tape Encryption Key Password: ********
Verify Password: ********
"aa:8e:53:82:9f:b0:37:9b:e5:55:ae:cf:53:1b:2b:54:ac:97:65:f9:43:b6:88:71:dc:7
1:41:2f:22:db:2e:89"
Вывести список ключей:
# proxmox-tape key list
┌───────────────────────────────────────────────────┬───────────────┐
│ fingerprint │ hint │
╞═══════════════════════════════════════════════════╪═══════════════╡
│ aa:8e:53:82:9f:b0:37:9b: ... :41:2f:22:db:2e:89 │ tape pw 2025 │
└───────────────────────────────────────────────────┴───────────────┘
Отобразить сведения о ключе шифрования:
# proxmox-tape key show aa:8e:53:82:9f:b0:37:9b: ... :2f:22:db:2e:89
┌─────────────┬───────────────────────────────────────────────┐
│ Name │ Value │
╞═════════════╪═══════════════════════════════════════════════╡
│ kdf │ scrypt │
├─────────────┼───────────────────────────────────────────────┤
│ created │ Fri Apr 4 16:17:56 2025 │
├─────────────┼───────────────────────────────────────────────┤
│ modified │ Fri Apr 4 16:17:56 2025 │
├─────────────┼───────────────────────────────────────────────┤
│ fingerprint │ aa:8e:53:82:9f:b0:37:9b: ... :2f:22:db:2e:89 │
├─────────────┼───────────────────────────────────────────────┤
│ hint │ tape pw 2025 │
└─────────────┴───────────────────────────────────────────────┘
363
Подкоманду paperkey можно использовать для создания QR-кода ключа шифрования
ленты.
Создать QR-код и записать его в текстовый файл для удобной печати:
# proxmox-tape key paperkey <fingerprint> --output-format text > qrkey.txt
Для восстановления ключа шифрования с ленты необходимо загрузить в привод ленту, ко-
торую нужно восстановить, и нажать кнопку «Восстановить ключ» в веб-интерфейсе или запу-
стить команду (потребуется ввести пароль, заданный при создании ключа):
# proxmox-tape key restore
Tape Encryption Key Password: ***********
Если пароль правильный, ключ будет импортирован в базу данных. Задания восстановле-
ния автоматически используют любой доступный ключ.
6.9.10.4.6 Очистка ленты
Ленточные накопители LTO требуют регулярной чистки. Это делается путем загрузки в
привод чистящего картриджа, что для автономных накопителей выполняется вручную.
В ленточных библиотеках чистящие картриджи обозначаются специальными этикетками,
начинающимися с букв «CLN». Например, в ленточной библиотеке CHGR1 в слоте 3 имеется чи-
стящий картридж:
# proxmox-tape changer status CHGR1
┌───────────────┬──────────┬────────────┬─────────────┐
│ entry-kind │ entry-id │ label-text │ loaded-slot │
╞═══════════════╪══════════╪════════════╪═════════════╡
│ drive │ 0 │ vtape1 │ 1 │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 1 │ │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 2 │ vtape2 │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ slot │ 3 │ CLN001CU │ │
├───────────────┼──────────┼────────────┼─────────────┤
│ ... │ ... │ │ │
└───────────────┴──────────┴────────────┴─────────────┘
Запустить операцию очистки:
# proxmox-tape clean
Эта команда делает следующее:
находит чистящую ленту (в слоте 3);
выгружает текущий носитель из привода (обратно в слот 1);
загружает чистящую ленту в привод;
364
запускает операцию очистки диска;
выгружает чистящую ленту (в слот 3).
6.9.11 Уведомления
Система уведомлений (нотификаций) в PBS предназначена для информирования админи-
страторов о ключевых событиях, происходящих в системе, таких как успешное или неудачное вы-
полнение задач резервного копирования, проблемы с хранилищем, предупреждения о состоянии
системы и другие важные изменения.
PBS отправляет событие уведомления в случае значимых событий в системе. События об-
рабатываются системой уведомлений. У события уведомления есть метаданные: временная метка,
уровень серьезности, тип и т.д.
Сопоставители уведомлений направляют событие уведомления в один или несколько целе-
вых объектов уведомления. У сопоставителя могут быть правила сопоставления для выборочной
маршрутизации на основе метаданных события уведомления.
Цель уведомления (канал доставки уведомлений) – это пункт назначения, в который собы-
тие уведомления направляется сопоставлением. PBS предлагает несколько типов целей:
Sendmail – уведомления отправляются через локальный почтовый сервер;
SMTP – уведомления отправляются через внешний SMTP-сервер;
Gotify – уведомления отправляются в сервис Gotify (легковесный сервер для push-уведом-
лений);
Webhook — выполняются HTTP-запросы к настраиваемому URL-адресу.
Хранилища данных и задания резервного копирования на ленту имеют настраиваемый ре-
жим уведомления. Он позволяет выбирать между системой уведомлений и режимом для отправки
уведомлений по электронной почте.
Систему уведомлений можно настроить в веб-интерфейсе в разделе «Конфигурация» →
«Уведомления», через конфигурационные файлы или в командной строке.
Конфигурация системы уведомлений хранится в файлах notifications.cfg и notifications-
priv.cfg. Файл notifications-priv.cfg содержит конфиденциальные параметры конфигурации (паро-
ли, токены аутентификации) и доступен для чтения только пользователю root.
6.9.11.1 Цели уведомлений (Notification Targets)
6.9.11.1.1 Sendmail
Цель уведомлений Sendmail использует команду sendmail для отправки электронных писем
списку настроенных пользователей или адресов электронной почты. Если в качестве получателя
выбран пользователь, будет использоваться адрес электронной почты, указанный в настройках
365
пользователя. Адрес электронной почты пользователя можно настроить в разделе «Конфигура-
ция» → «Управление доступом» → «Управление пользователями». Если для пользователя не ука-
зан адрес электронной почты, письмо не будет отправлено.
П р и м е ч а н и е . Двоичный файл sendmail предоставляется Postfix. Может потребоваться
настроить Postfix так, чтобы он мог правильно доставлять почту, например, настроив внешний по-
чтовый ретранслятор. В случае сбоя доставки необходимо проверить системные журналы на на-
личие сообщений, зарегистрированных демоном Postfix.
Для настройки цели Sendmail необходимо выполнить следующие шаги:
1) в разделе «Конфигурация» → «Уведомления» → «Получатели уведомлений» нажать
кнопку «Добавить» → «Sendmail» (Рис. 381);
Создать цель уведомлений Sendmail
Рис. 381
2) в открывшемся окне (Рис. 382) указать следующие данные (в скобках приведены пара-
метры файла notifications.cfg):
«Имя конечной точки» – имя цели;
«Включить» (disable) – состояние цели;
«Получатель (получатели)» (mailto-user) – пользователи PBS, которым будут отправлены
уведомления. Адрес электронной почты пользователя будет найден в users.cfg;
«Дополнительный получатель (получатели)» (mailto) – список дополнительных получа-
телей электронной почты;
«Комментарий» (comment) – комментарий для этой цели;
» (author) – автор электронного письма. По умолчанию «Proxmox Backup Server -
$
! "#$
%&'('&)*+,-)*(*!%&
'('*$"email_from(.node.cfg,-*"/*
(*! %& '(' (*0* &)0*1
23!43 )&(,
366
Настройка цели уведомлений Sendmail
Рис. 382
Пример создания цели Sendmail в командной строке:
# proxmox-backup-manager notification endpoint sendmail create \
sendmail-admins --mailto-user kim@test.alt \
--mailto-user orlov@test.alt --mailto-user root@pam \
--mailto user@example.test --comment "Отправка уведомлений администраторам"
Пример конфигурации (/etc/proxmox-backup/notifications.cfg):
sendmail: sendmail-admins
comment Отправка уведомлений администраторам
mailto user@example.test
mailto-user kim@test.alt
mailto-user orlov@test.alt
mailto-user root@pam
6.9.11.1.2 SMTP
Цель уведомлений SMTP позволяет отправлять электронные письма напрямую на почто-
вый ретранслятор SMTP. Эта цель не использует MTA системы для доставки электронных писем.
П р и м е ч а н и е . В отличие от целей Sendmail, цели SMTP не имеют механизма очередно-
сти/повторной отправки в случае сбоя доставки почты.
Для настройки цели SMTP необходимо выполнить следующие шаги:
1) в разделе «Конфигурация» → «Уведомления» → «Получатели уведомлений» нажать
кнопку «Добавить» → «SMTP» (Рис. 381);
2) в открывшемся окне (Рис. 383) указать следующие данные (в скобках приведены пара-
метры файла notifications.cfg):
«Имя конечной точки» – имя конечной точки;
«Включить» (disable) – состояние цели;
«Сервер» (server) – адрес SMTP-сервера;
367
«Шифрование» (mode) – метод шифрования, который будет использоваться для соединения
(insecure, starttls или tls). По умолчанию tls;
«Порт» (port) – порт, который будет использоваться. По умолчанию 465 для подключений
на основе TLS, 587 – для подключений на основе STARTTLS и порт 25 – для незащищен-
ных подключений с открытым текстом;
«Выполнять аутентификацию» – добавить данные для аутентификации SMTP;
«Имя пользователя» (username) – имя пользователя для аутентификации SMTP. Если имя
пользователя не задано, аутентификация не будет выполнена. Поддерживаются методы
аутентификации PLAIN и LOGIN;
«Пароль» (password) – пароль для аутентификации SMTP;
«Адрес отправителя» (from-address) – адрес отправителя, который будет использоваться в
уведомлениях. Ретрансляторы SMTP могут потребовать, чтобы этот адрес принадлежал
пользователю. Поле «Отправитель» в электронном письме будет установлено на $author
<$from-address>;
«Получатель (получатели)» (mailto-user) – пользователи PBS, которым будут отправлены
уведомления. Адрес электронной почты пользователя будет найден в users.cfg;
«Дополнительный получатель (получатели)» (mailto) – список дополнительных получа-
телей электронной почты;
«Комментарий» (comment) – комментарий для этой цели;
«Автор» (author) – автор электронного письма. По умолчанию «Proxmox Backup Server -
$hostname».
Настройка цели уведомлений SMTP
Рис. 383
368
Пример создания цели SMTP в командной строке:
# proxmox-backup-manager notification endpoint smtp create \
smtp --from-address pve-mail@test.alt --server mail.test.alt \
--username pve-mail --password "123" --mailto-user root@pam \
--mailto-user orlov@test.alt
Пример конфигурации (/etc/proxmox-backup/notifications.cfg):
smtp: smtp
from-address pve-mail@test.alt
mailto-user root@pam
mailto-user orlov@test.alt
mode tls
server mail.test.alt
username pve-mail
6.9.11.1.3 Webhook
Цели уведомлений Webhook выполняют HTTP-запросы на настраиваемый URL.
Для настройки цели Webhook необходимо выполнить следующие шаги:
1) в разделе «Конфигурация» → «Уведомления» → «Получатели уведомлений» нажать
кнопку «Добавить» → «Webhook» (Рис. 381);
2) в открывшемся окне (Рис. 384) указать следующие данные (в скобках приведены пара-
метры файла notifications.cfg):
«Имя конечной точки» – имя цели;
«Включить» (disable) – состояние цели;
«Метод/URL-адрес» (method/url) – используемый HTTP-метод (POST/PUT/GET) и URL-
адрес, по которому следует выполнять HTTP-запросы. URL-адрес поддерживает шаблони-
зацию для внедрения содержимого сообщения, метаданных и секретов;
«Заголовки» (header) – массив HTTP-заголовков, которые следует задать для запроса. Под-
держивает шаблонизацию для внедрения содержимого сообщения, метаданных и секретов;
«Тело письма» (body) – HTTP-тело, которое следует отправить. Поддерживает шаблониза-
цию для внедрения содержимого сообщения, метаданных и секретов;
«Секреты» (secret) – массив секретных пар ключ-значение. Они будут храниться в защи-
щенном файле конфигурации, доступном для чтения только пользователю root. Для любых
конечных точек API, возвращающих конфигурацию конечной точки, будет возвращено
только имя секрета, но не значение. Доступ к секретам можно получить в шаблонах body/
header/URL через пространство имен secrets;
«Комментарий» (comment) – комментарий для этой цели.
369
Настройка цели уведомлений Webhook
Рис. 384
Пример создания цели Webhook в командной строке:
# proxmox-backup-manager notification endpoint webhook create ntfy \
--method post \
--url "https://ntfy.sh/pbs_sync_job_144" \
--body e3sgbWVzc2FnZSB9fQo= \ # Закодированный {{ message }}
--secret name=channel,value=cGJzX3N5bmNfam9iXzE0NA== \ # pbs_sync_job_144
--comment "Отправка PUSH уведомлений"
Содержимое опции body должно быть в base64.
Содержимое свойства value опции secret должно быть в base64.
П р и м е ч а н и е . Закодировать строку в base64 можно, выполнив команду:
$ echo -n ' pbs_sync_job_144' | base64 -w 0
cGJzX3N5bmNfam9iXzE0NA==
Пример конфигурации (/etc/proxmox-backup/notifications.cfg):
webhook: ntfy
body e3sgbWVzc2FnZSB9fQ==
comment Отправка PUSH уведомлений
method post
url https://ntfy.sh/pbs_sync_job_144
Для параметров конфигурации, которые поддерживают шаблонизацию, синтаксис
Handlebars может использоваться для доступа к следующим свойствам:
{{ title }} – заголовок отображаемого уведомления;
{{ message }} – тело отображаемого уведомления;
370
{{ difficulty }} – серьезность уведомления;
{{ timestamp }} – временная метка уведомления в виде эпохи UNIX (в секундах);
{{ fields.<name> }} – подпространство имен для любых полей метаданных уведомления.
Например, fields.type содержит тип уведомления – для всех доступных полей;
{{ secrets.<name> }} – подпространство имен для секретов. Например, секретный имено-
ванный токен доступен через secrets.token.
Для удобства доступны следующие помощники:
{{ url-encode <value/property> }} – URL-кодирование свойства/литерала;
{{ escape <value/property> }} – экранировать любые управляющие символы, которые не мо-
гут быть безопасно представлены как строка JSON;
{{ json <value/property> }} – отобразить значение как JSON. Это может быть полезно для
передачи целого подпространства имен (например, полей) как части полезной нагрузки
JSON (например, {{ json fields }}).
П р и м е ч а н и е . Цели Webhook учитывают настройки HTTP-прокси из «Конфигурация»
→ «Другое» → «Прокси HTTP».
6.9.11.2 Триггеры уведомлений (Notification Matchers)
Триггеры уведомлений направляют уведомления к целям уведомлений на основе правил
сопоставления. Эти правила могут соответствовать определенным свойствам уведомления, таким
как временная метка (match-calendar), серьезность уведомления (match-severity) или поля метадан-
ных (match-field). Если уведомление сопоставлено триггером, все цели, настроенные для сопостав-
ления, получат уведомление.
Можно создать произвольное количество триггеров, каждый со своими собственными пра-
вилами сопоставления и целями для уведомления. Каждая цель уведомляется не более одного раза
для каждого уведомления, даже если цель используется в нескольких триггерах.
Триггер без правил соответствует любому уведомлению (настроенные цели всегда будут
уведомлены):
matcher: always-matches
comment Это сопоставление всегда срабатывает
mode all
target mail-to-root
6.9.11.2.1 Правила сопоставления календаря (match-calendar)
Сопоставитель календаря соответствует временной метке уведомления.
Опция match-calendar использует специальный синтаксис для определения временных ин-
тервалов, в которые уведомления должны быть активны.
Примеры:
371
match-calendar 8-12 – каждый день с 8 до 12 часов;
match-calendar 8:00-15:30 – каждый день с 8 часов до 15:30;
match-calendar mon..fri 9:00-17:00 – каждый будний день с 9 до 17 часов;
match-calendar sun,tue..wed,fri 9-17 – в воскресенье, вторник, среду и пятницу с 9 до 17 ча-
сов.
6.9.11.2.2 Правила сопоставления полей (match-field)
Опция match-field используется для фильтрации уведомлений на основе определённых по-
лей в сообщениях о событиях.
Если при сопоставлении используется exact, в качестве разделителя можно использовать
запятую. Правило сопоставления срабатывает, если поле метаданных имеет любое из указанных
значений.
Примеры:
match-field exact:type=gc – только уведомления для заданий по сбору мусора;
match-field exact:type=prune,verify – уведомления о заданиях prune и проверках;
match-field regex:datastore=^backup-.*$ – уведомление для любого хранилища данных, имя
которого начинается с backup.
Если уведомление не имеет сопоставленного поля, правило не будет соответствовать.
Например, директива match-field regex:datastore=.* будет соответствовать любому уведомлению,
имеющему поле метаданных datastore, но не будет соответствовать, если поле не существует.
6.9.11.2.3 Правила сопоставления серьезности (match-severity)
Опция match-severity используется для фильтрации уведомлений на основе уровня серьёз-
ности (severity) события. Поддерживаются следующие уровни серьезности: info, notification,
warning, error, unknown.
Примеры:
match-severity error – только ошибки;
match-severity warning,error – предупреждения и ошибки.
6.9.11.2.4 События уведомления
В таблице 8 приведен список всех событий уведомлений в PBS, их тип, серьезность и до-
полнительные поля метаданных. Тип, а также любое поле метаданных могут использоваться в
правилах сопоставления.
Т а б л и ц а 8 – Список событий уведомлений
Событие Тип Серьезность Поля метаданных (в дополнение к типу)
Обновление сертификата
ACME не удалось acme error hostname
372
Событие Тип Серьезность Поля метаданных (в дополнение к типу)
Сбой сбора мусора gc error datastore, hostname
Успешный сбор мусора gc info datastore, hostname
Доступны обновления паке-
тов package-updates info hostname
Ошибка задания Prune prune error datastore, hostname, job-id
Успешное выполнение зада-
ния Prune prune info datastore, hostname, job-id
Ошибка удаленной синхро-
низации sync error datastore, hostname, job-id
Удаленная синхронизация
выполнена успешно sync info datastore, hostname, job-id
Почта для root system-mail unknown hostname
Ошибка задания резервного
копирования на ленту tape-backup error datastore, hostname, media-pool, job-id
Успешное выполнение зада-
ния резервного копирования
на ленту
tape-backup info datastore, hostname, media-pool, job-id
Запрос на загрузку ленты tape-load notice hostname
Ошибка задания проверки verify error datastore, hostname, job-id
Успешное выполнение зада-
ния проверки verify info datastore, hostname, job-id
В таблице 9 содержится описание полей метаданных. Все они могут использоваться в пра-
вилах сопоставления полей.
Т а б л и ц а 9 – Описание полей метаданных
Поле метаданных Описание
datastore Имя хранилища данных
hostname Имя хоста сервера резервного копирования
job-id Идентификатор задания
media-pool Имя пула ленточных носителей
type Тип события уведомления
Примеры (/etc/proxmox-backup/notifications.cfg):
уведомлять администраторов в рабочее время:
matcher: workday
match-calendar mon..fri 9-17
target admin
comment Notify admins during working hours
уведомлять администраторов в нерабочие часы:
matcher: night-and-weekend
match-calendar mon..fri 9-17
invert-match true
target on-call-admins
comment Separate target for non-working hours
при ошибках хранилища zfs, отправлять уведомления в рабочие часы на цель smtp:
373
matcher: zfs-error
match-calendar mon..fri 8-17
match-field exact:datastore=zfs
match-severity error
mode all
target smtp
6.9.11.2.5 Создание триггера уведомлений
Для создания правила сопоставления необходимо выполнить следующие шаги:
1) в разделе «Конфигурация» → «Уведомления» → «Средства сопоставления уведомле-
ний» нажать кнопку «Добавить»;
2) в открывшемся окне на вкладке «Общее» (Рис. 385) в поле «Имя средства сопоставле-
ния уведомлений» указать название триггера;
Создание триггера уведомления
Рис. 385
3) на вкладке «5*» (Рис. 386) настроить правила сопоставлений;
4) на вкладке «Получатели уведомлений» (Рис. 387) выбрать цели для уведомления.
Пример создания триггера уведомлений в командной строке:
# proxmox-backup-manager notification matcher create workday \
--mode all --match-calendar "mon..fri 8-17" --match-severity "error" \
--match-field "exact:datastore=zfs" --target sendmail-admins
374
Создание триггера уведомления. Правила сопоставлений
Рис. 386
Создать триггер уведомления. Выбор целей
Рис. 387
6.9.11.3 Пересылка системной почты
Некоторые локальные системные демоны, например smartd, отправляют уведомления ло-
кальному пользователю root. PBS будет передавать эти письма в систему уведомлений как уведом-
ления типа system-mail с неизвестной серьезностью.
Когда электронное письмо пересылается на цель Sendmail, содержимое и заголовки письма
пересылаются как есть. Для всех других целей система пытается извлечь как строку темы, так и
основной текст из содержимого электронного письма. В случаях, когда электронные письма состо-
ят исключительно из HTML-контента, они будут преобразованы в формат обычного текста во вре-
мя этого процесса.
6.9.11.4 Разрешения
Чтобы изменить/просмотреть конфигурацию для целей уведомлений, требуются разреше-
ния Sys.Modify/Sys.Audit для узла ACL /system/notifications.
375
6.9.11.5 Режим уведомления
Хранилища данных и конфигурация задания резервного копирования/восстановления на
ленту имеют параметр notification-mode, который может иметь одно из двух значений:
legacy-sendmail – отправлять уведомления по электронной почте с помощью системной ко-
манды sendmail. Система уведомлений будет проигнорирована. Этот режим эквивалентен
поведению уведомлений для версии PBS<3.2;
notification-system – использовать систему уведомлений.
Если параметр notification-mode не установлен, PBS по умолчанию будет использовать
legacy-sendmail.
Начиная с PBS 3.2, хранилище данных, созданное в веб-интерфейсе, автоматически под-
ключится к новой системе уведомлений. Если хранилище данных создано с помощью API или CLI
proxmox-backup-manager, параметр notification-mode должен быть явно установлен на notification-
system, если будет использоваться система уведомлений.
6.9.11.5.1 Настройки для режима уведомлений legacy-sendmail
Если notification-mode имеет значение legacy-sendmail, PBS будет отправлять уведомления с
помощью системной команды sendmail на адрес электронной почты, настроенный для пользовате-
ля, установленного в параметре notify-user в файле node.js (или root@pam, если параметр notify-
user не установлен).
Для хранилищ данных также можно изменить уровень уведомлений, получаемых для каж-
дого типа задачи, с помощью параметра notify:
always – отправлять уведомление для любой запланированной задачи, независимо от ре-
зультата;
errors – отправлять уведомление для любой запланированной задачи, которая приводит к
ошибке;
never – вообще не отправлять никаких уведомлений.
Параметры notify-user и notify игнорируются, если параметр notification-mode имеет значе-
ние notification-system.
6.10 Система резервного копирования UrBackup
UrBackup – это простое в настройке кроссплатформенное клиент-серверное программное
обеспечение, позволяющее управлять резервным копированием для компьютеров и операционных
систем различных типов. UrBackup позволяет создавать инкрементные и полные резервные копии,
как целых разделов, так и отдельных каталогов, с возможностью выбора файлов, которые попадут
в архив, а также делать снапшоты разделов жесткого диска.
376
П р и м е ч а н и е . В настоящее время резервные копии образов (снапшоты) работают только
с томами в формате NTFS и с клиентами Windows. Резервное копирование образов предназначено
в основном для резервного копирования загрузочного тома (C:) систем Windows. Другие данные
должны быть скопированы и восстановлены с помощью резервного копирования файлов.
Для управления настройкой резервного копирования и резервными копиями используется
веб-интерфейс.
6.10.1 Установка UrBackup
6.10.1.1 Сервер UrBackup
Установить сервер UrBackup:
# apt-get install urbackup-server
Создать каталог для резервных копий:
# mkdir -p /mnt/backups/urbackup
Каталог должен принадлежать пользователю urbackup и у этого пользователя должны быть
права на чтение/запись:
# chown -R urbackup:urbackup /mnt/backups/urbackup
Добавить UrBackup-сервер в автозапуск и запустить его:
# systemctl enable --now urbackup-server
П р и м е ч а н и е . UrBackup по умолчанию прослушивает порты 55413 и 55414.
Веб-интерфейс UrBackup будет доступен по адресу http://<ip-сервера>:55414 (Рис. 388).
Веб-интерфейс UrBackup
Рис. 388
377
П р и м е ч а н и е . Если появляется ошибка: «Каталог, где UrBackup будет сохранять резерв-
ные копии, недоступен…», следует изменить путь к каталогу резервных копий, выбрав пункт ме-
ню Настройки, либо изменить права доступа к каталогу.
Сразу после установки доступ к веб-интерфейсу UrBackup будет возможен без аутентифи-
кации. Чтобы в дальнейшем требовался ввод имени пользователя и пароля, необходимо создать
администратора: перейти на вкладку «Настройки» → «Пользователи» и нажать кнопку «Добавить
пользователя» (Рис. 389).
UrBackup. Создание пользователя
Рис. 389
6.10.1.2 Клиент UrBackup
Установить клиент UrBackup:
# apt-get install urbackup-client
Добавить UrBackup- клиент в автозапуск и запустить его:
# systemctl enable --now urbackup- client
Локальные клиенты будут обнаружены сервером автоматически и появятся в веб-интерфей-
се на вкладке «Статус» (Рис. 390).
Веб-интерфейс UrBackup
Рис. 390
378
6.10.2 Настройка резервного копирования
В веб-интерфейсе на вкладке «Настройки» → «Главные» можно изменять настройки
UrBackup. Есть настройки, которые влияют только на сервер. Остальные настройки влияют, как на
сервер резервного копирования, так и на клиентов. Для этих настроек администратор может уста-
новить значения по умолчанию или переопределить настройки клиента.
На вкладке «Сервер» можно указать каталог для хранения резервных копий (Рис. 391).
Настройки UrBackup. Вкладка «Сервер»
Рис. 391
На вкладке «Файловые бэкапы» можно указать настройки файловых резервных копий, в
том числе каталоги, которые будут включены в резервную копию (Рис. 392).
379
Настройки UrBackup. Вкладка «Файловые бэкапы»
Рис. 392
На вкладке «Клиент» (поле «Расписание») можно установить окно резервного копирования,
в пределах которого сервер будет стараться выполнять задания. Начатое задание будет выполнять-
ся до завершения, даже если оно не вписывается в указанное время. Примеры окна резервного ко-
пирования:
1-7/0-24 – резервное копирование может производиться в любое время;
1-5/8:00-9:00, 19:30-20:30;6,7/0-24 – резервное копирование в рабочие дни может произво-
диться с 8 до 9 и с 19:30 до 20:30, а в субботу и воскресенье в любое время.
Клиенты могут сами инициировать процесс резервного копирования в любой момент
(см. ниже описание утилиты urbackupclientctl).
Для более удобного администрирования можно создать несколько групп, распределить кли-
енты по группам, и задавать настройки отдельно для каждой группы клиентов (Рис. 393).
380
Настройки UrBackup. Настройка группы клиентов UrBackup
Рис. 393
6.10.3 Создание резервных копий
Инкрементные и полные резервные копии будут создаваться согласно настроенному распи-
санию.
Процесс создания резервной копии можно запустить вручную, отметив клиента и выбрав
тип резервной копии в выпадающем списке (Рис. 394).
UrBackup. Запуск резервного копирования
Рис. 394
Более подробно отслеживать активность резервного копирования можно на вкладках «В
работе» (Рис. 395), «Бэкапы» и «Логи».
381
Отчёты/содержимое резервных копий можно просмотреть на вкладке «Бэкапы» (Рис. 396).
Выбрав клиента, можно просмотреть список его резервных копий (Рис. 397)
UrBackup. Вкладка «В работе»
Рис. 395
UrBackup. Вкладка «Бэкапы»
Рис. 396
UrBackup. Список резервных копий клиента client2.test.alt
Рис. 397
П р и м е ч а н и е . Если отметка в столбце «Архивировано» установлена, резервная копия
архивируется. Пока резервная копия заархивирована, её нельзя удалить средствами UrBackup.
382
Выбрав резервную копию, можно просмотреть её содержимое (Рис. 398).
Содержимое резервной копии
Рис. 398
Резервные копии сохраняются в каталоге, который был указан в веб-интерфейсе. В этом
каталоге для каждого клиента создается свой подкаталог. Резервные копии файлов находятся в
подкаталогах вида <YYMMDD-HHMM>. Каталог current является ссылкой на последнюю ре-
зервную копию. Резервные копии папок с файлами сохраняются в открытом виде. Образы дис-
ковых разделов хранятся в виде файлов в формате vhdz (имя файла будет иметь вид
Image_<Drive>_<YYMMDD-HHMM>.vhdz).
6.10.4 Утилита urbackupclientctl
Для работы с UrBackup на клиенте предназначена утилита urbackupclientctl:
urbackupclientctl start – запустить инкрементное/полное резервное копирование;
urbackupclientctl status – получить текущий статус резервного копирования;
urbackupclientctl browse – просмотр списка резервных копий и файлов в резерв-
ных копиях;
urbackupclientctl restore-start – восстановить файлы из резервной копии;
urbackupclientctl set-settings – установить параметры резервного копирова-
ния;
urbackupclientctl add-backupdir – добавить новый каталог в список каталогов,
для которых выполняется резервное копирование;
urbackupclientctl list-backupdirs – вывести список каталогов, для которых вы-
полняется резервное копирование;
urbackupclientctl remove-backupdir – удалить каталог из списока каталогов, для
которых выполняется резервное копирование.
Справку по конкретной команде можно получить, выполнив команду:
urbackupclientctl <command> --help
Ниже приведены примеры использования утилиты urbackupclientctl.
383
Вывести список резервных копий:
$ urbackupclientctl browse
[{
"archived": 0,
"backuptime": 1742848011,
"disable_delete": true,
"id": 3,
"incremental": 1,
"size_bytes": 2945033
}
,{
"archived": 0,
"backuptime": 1742847646,
"id": 1,
"incremental": 0,
"size_bytes": 101610098
}
]
Запустить процесс создания полной резервной копии:
# urbackupclientctl start –f
Waiting for server to start backup... done
Preparing... -
Completed successfully.
Восстановить файлы из резервной копии:
# urbackupclientctl restore-start -b 3
Starting restore. Waiting for backup server... done
[=============================================================> ] 97%
2.33831 GB/2.41119 GB at 76.024 KBit/s
Restore completed successfully.
384
7 УСТАНОВКА ДОПОЛНИТЕЛЬНОГО ПРОГРАММНОГО ОБЕС-
ПЕЧЕНИЯ
После установки ОС «Альт Сервер», при первом запуске, доступен тот или иной набор
программного обеспечения. Количество предустановленных программ зависит от выбора,
сделанного при установке системы. Имеется возможность доустановить программы, которых не
хватает в системе, из разных источников.
Дополнительное программное обеспечение может находиться на установочном диске и/или
в специальных банках программ (репозиториях), расположенных в сети Интернет и/или в
локальной сети. Программы, размещённые в указанных источниках, имеют вид подготовленных
для установки пакетов.
П р и м е ч а н и е . В установочный комплект ОС «Альт Сервер» включено наиболее
употребительное программное обеспечение. В то же время вы можете использовать репозиторий
продукта (p11) для установки дополнительных программных пакетов.
Для установки дополнительного ПО можно использовать ЦУС, либо Центр приложений.
7.1 Установка дополнительного ПО в ЦУС
ЦУС содержит модуль установки дополнительных пакетов «Установка программ» (раздел
«Программное обеспечение»).
Для облегчения поиска доступные для установки программы разделены на группы,
выводимые в левой части окна программы (Рис. 399).
Модуль «Установка программ»
Рис. 399
385
Справа расположен список самих программ с указанием их текущего состояния:
зелёная метка – пакет уже установлен;
белая – пакет не установлен.
Объяснение всех обозначений можно увидеть, отметив пункт «Показать статистику».
Для начала установки необходимо двойным щелчком мыши отметить неустановленный
пакет в правой половине окна и нажать кнопку «Применить». При необходимости менеджер
пакетов попросит вставить установочный диск.
7.2 Установка/обновление программного обеспечения в консоли
Для установки, удаления и обновления программ и поддержания целостности системы в
ОС семейства Linux используются менеджеры пакетов типа «rpm». Для автоматизации этого про-
цесса и применяется Усовершенствованная система управления программными пакетами APT
(Advanced Packaging Tool).
Автоматизация достигается созданием одного или нескольких внешних репозиториев, в ко-
торых хранятся пакеты программ и относительно которых производится сверка пакетов, установ-
ленных в системе. Репозитории могут содержать как официальную версию дистрибутива, обнов-
ляемую его разработчиками по мере выхода новых версий программ, так и локальные наработки,
например, пакеты, разработанные внутри компании.
Таким образом, в распоряжении APT находятся две базы данных: одна описывает установ-
ленные в системе пакеты, вторая – внешний репозиторий. APT отслеживает целостность установ-
ленной системы и, в случае обнаружения противоречий в зависимостях пакетов, руководствуется
сведениями о внешнем репозитории для разрешения конфликтов и поиска корректного пути их
устранения.
Система APT состоит из нескольких утилит. Чаще всего используется утилита управления
пакетами apt-get, которая автоматически определяет зависимости между пакетами и строго следит
за их соблюдением при выполнении любой из следующих операций: установка, удаление или об-
новление пакетов.
7.2.1 Источники программ (репозитории)
Репозитории, с которыми работает APT, отличаются от обычного набора пакетов наличием
мета информации – индексов пакетов, содержащихся в репозитории, и сведений о них. Поэтому,
чтобы получить всю информацию о репозитории, APT достаточно получить его индексы.
APT может работать с любым количеством репозиториев одновременно, формируя единую
информационную базу обо всех содержащихся в них пакетах. При установке пакетов APT обраща-
ет внимание только на название пакета, его версию и зависимости, а расположение в том или ином
386
репозитории не имеет значения. Если потребуется, APT в рамках одной операции установки груп-
пы пакетов может пользоваться несколькими репозиториями.
Подключая одновременно несколько репозиториев, нужно следить за тем, чтобы они были
совместимы друг с другом по пакетной базе – отражали один определенный этап разработки. Сов-
местимыми являются основной репозиторий дистрибутива и репозиторий обновлений по безопас-
ности к данному дистрибутиву. В то же время смешение среди источников APT репозиториев, от-
носящихся к разным дистрибутивам, или смешение стабильного репозитория с нестабильной вет-
кой разработки (Sisyphus) чревато различными неожиданными трудностями при обновлении паке-
тов.
APT позволяет взаимодействовать с репозиторием с помощью различных протоколов до-
ступа. Наиболее популярные – HTTP и FTP, однако существуют и некоторые дополнительные ме-
тоды.
Для того чтобы APT мог использовать тот или иной репозиторий, информацию о нем необ-
ходимо поместить в файл /etc/apt/sources.list, либо в любой файл .list (например,
mysources.list) в каталоге /etc/apt/sources.list.d/. Описания репозиториев зано-
сятся в эти файлы в следующем виде:
rpm [подпись] метод: путь база название
rpm-src [подпись] метод: путь база название
где:
rpm или rpm-src – тип репозитория (скомпилированные программы или исходные тексты);
[подпись] – необязательная строка-указатель на электронную подпись разработчиков. На-
личие этого поля подразумевает, что каждый пакет из данного репозитория должен быть
подписан соответствующей электронной подписью. Подписи описываются в файле /
etc/apt/vendor.list;
метод – способ доступа к репозиторию: ftp, http, file, cdrom, copy;
путь – путь к репозиторию в терминах выбранного метода;
база – относительный путь к базе данных репозитория;
название – название репозитория.
При выборе пакетов для установки APT руководствуется всеми доступными репозитория-
ми вне зависимости от способа доступа к ним. Таким образом, если в репозитории, доступном по
сети Интернет, обнаружена более новая версия программы, чем на CD (DVD)-носителе информа-
ции, APT начнет загружать данный пакет по сети.
387
7.2.1.1 Добавление репозиториев
Непосредственно после установки дистрибутива «Альт Сервер» в /etc/apt/
sources.list, а также в файлах /etc/apt/sources.list.d/*.list обычно указывается
несколько репозиториев:
репозиторий с установочного диска дистрибутива;
интернет-репозиторий, совместимый с установленным дистрибутивом.
7.2.1.1.1 Утилита apt-repo для работы с репозиториями
Для добавления репозиториев можно воспользоваться утилитой apt-repo.
П р и м е ч а н и е . Для выполнения большинства команд необходимы права администратора.
Просмотреть список активных репозиториев можно, выполнив команду:
$ apt-repo list
Команда добавления репозитория в список активных репозиториев:
apt-repo add <репозиторий>
Команда удаления или выключения репозитория:
apt-repo rm <репозиторий>
Команда удаления всех репозиториев:
apt-repo clean
Обновление информации о репозиториях:
apt-repo update
Вывод справки:
man apt-repo
или
apt-repo –help
Типичный пример использования: удалить все источники и добавить стандартный репози-
торий p11 (архитектура выбирается автоматически):
# apt-repo rm all
# apt-repo add p11
Или то же самое одной командой:
# apt-repo set p11
7.2.1.1.2 Добавление репозитория на сменном носителе
Для добавления в sources.list репозитория на сменном носителе в APT предусмотрена
специальная утилита – apt-cdrom.
Чтобы добавить запись о репозитории на сменном носителе необходимо:
388
1. Создать каталог для монтирования. Точка монтирования указывается в
параметре Acquire::CDROM::mount в файле конфигурации APT (/etc/apt/apt.conf), по
умолчанию это /media/ALTLinux:
# mkdir /media/ALTLinux
2. Примонтировать носитель в указанную точку:
# mount /dev/носитель /media/ALTLinux
где /dev/носитель – соответствующее блочное устройство (например, /dev/dvd – для
CD/DVD-диска).
3. Добавить носитель, выполнив команду:
# apt-cdrom -m add
После этого в sources.list появится запись о подключенном носителе примерно такого
вида:
rpm cdrom:[ALT Server 11.0 x86_64 build 2025-03-19]/ ALTLinux main
П р и м е ч а н и е . Команду mount /dev/носитель /media/ALTLinux необходимо
выполнять перед каждой командой apt-get install имя_пакета.
7.2.1.1.3 Добавление репозиториев вручную
Для редактирования списка репозиториев можно отредактировать в любом текстовом ре-
дакторе файлы из папки /etc/apt/sources.list.d/. Для изменения этих файлов необходи-
мы права администратора. В файле alt.list может содержаться такая информация:
# ALT Platform 11
rpm [p11] http://ftp.altlinux.org/pub/distributions/ALTLinux p11/branch/x86_64
classic gostcrypto
rpm [p11] http://ftp.altlinux.org/pub/distributions/ALTLinux p11/branch/x86_64-i586
classic
rpm [p11] http://ftp.altlinux.org/pub/distributions/ALTLinux p11/branch/noarch
classic
По сути, каждая строчка соответствует некому репозиторию. Для выключения репозитория
достаточно закомментировать соответствующую строку (дописать символ решётки перед стро-
кой). Для добавления нового репозитория необходимо дописать его вниз этого или любого друго-
го файла.
7.2.1.2 Обновление информации о репозиториях
Практически любое действие с системой apt начинается с обновления данных от активиро-
ванных источников. Список источников необходимо обновлять при поиске новой версии пакета,
установке пакетов или обновлении установленных пакетов новыми версиями.
Обновление данных осуществляется командой:
389
# apt-get update
После выполнения этой команды, apt обновит свой кэш новой информацией.
7.2.2 Поиск пакетов
Утилита apt-cache предназначена для поиска программных пакетов, в репозитории, и
позволяет искать не только по имени пакета, но и по его описанию.
Команда apt-cache search <подстрока> позволяет найти все пакеты, в именах или
описании которых присутствует указанная подстрока. Пример поиска может выглядеть следую-
щим образом:
$ apt-cache search ^gimp
gimp - The GNU Image Manipulation Program
libgimp - GIMP libraries
gimp-help-en - English help files for the GIMP
gimp-help-ru - Russian help files for the GIMP
gimp-script-ISONoiseReduction - Gimp script for reducing sensor noise
at high ISO values
gimp-plugin-gutenprint - GIMP plug-in for gutenprint [...]
Символ «^» в поисковом выражении, указывает на то, что необходимо найти совпадения
только в начале строки (в данном случае – в начале имени пакета).
Для того чтобы подробнее узнать о каждом из найденных пакетов и прочитать его
описание, можно воспользоваться командой apt-cache show, которая покажет информацию о
пакете из репозитория:
$ apt-cache show gimp-help-ru
Package: gimp-help-ru
Section: Graphics
Installed Size: 71098267
Maintainer: Valery Inozemtsev <shrek@altlinux.ru>
Version: 3.0.0-alt1:p11+374938.77.13.1@1742483959
Pre-Depends: rpmlib(PayloadIsXz)
Provides: gimp-help-ru (= 3.0.0-alt1:p11+374938.77.13.1)
Obsoletes: gimp-help-common (< 3.0.0-alt1)
Architecture: noarch
Size: 50063418
MD5Sum: 70c95e16cfb67a600fb7ddf04f4381d8
Filename: gimp-help-ru-3.0.0-alt1.noarch.rpm
Description: Russian help files for the GIMP
Russian help files for the GIMP.
390
При поиске с помощью apt-cache можно использовать русскую подстроку. В этом
случае будут найдены пакеты, имеющие описание на русском языке.
7.2.3 Установка или обновление пакета
Установка пакета с помощью APT выполняется командой:
# apt-get install <имя_пакета>
П р и м е ч а н и е . Перед установкой и обновлением пакетов необходимо выполнить команду
обновления индексов пакетов:
# apt-get update
Если пакет уже установлен и в подключенном репозитории нет обновлений для данного
пакета, система сообщит об уже установленном пакете последней версии. Если в репозитории
присутствует более новая версия или новое обновление – программа начнет процесс установки.
apt-get позволяет устанавливать в систему пакеты, требующие для работы другие, пока
еще не установленные. В этом случае он определяет, какие пакеты необходимо установить, и
устанавливает их, пользуясь всеми доступными репозиториями.
Установка пакета gimp командой apt-get install gimp приведет к следующему
диалогу с APT (если пакет еще не установлен):
# apt-get install gimp
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие дополнительные пакеты будут установлены:
icc-profiles libcholmod5 libmng libsuitesparseconfig7
libamd3 libcolamd3 libmypaint libumfpack6
libappstream-glib libgegl libopenblas libwmf
libbabl libgegl-gir libpoly2tri-c libwmflite
libbabl-gir libgfortran5 libquadmath0 libxblas
libcamd3 libgimp libraw mypaint-brushes1.0
libccolamd3 liblapack libspiro1
Следующие НОВЫЕ пакеты будут установлены:
gimp libccolamd3 liblapack libspiro1
icc-profiles libcholmod5 libmng libsuitesparseconfig7
libamd3 libcolamd3 libmypaint libumfpack6
libappstream-glib libgegl libopenblas libwmf
libbabl libgegl-gir libpoly2tri-c libwmflite
libbabl-gir libgfortran5 libquadmath0 libxblas
libcamd3 libgimp libraw mypaint-brushes1.0
391
0 будет обновлено, 28 новых установлено, 0 пакетов будет удалено и 34 не
будет обновлено.
Необходимо получить 35,4MB архивов.
После распаковки потребуется дополнительно 171MB дискового пространства
Продолжить? [Y/n] y
. . .
Получено 35,4MB за 5s (6107kB/s).
Совершаем изменения...
Подготовка... ######################## [100%]
Обновление / установка...
1: libsuitesparseconfig7-7.8.2-alt1 ######################## [ 4%]
2: libopenblas-0.3.27-alt1 ######################## [ 7%]
3: libbabl-0.1.112-alt1 ######################## [ 11%]
4: libbabl-gir-0.1.112-alt1 ######################## [ 14%]
5: libwmflite-0.2.8.4-alt13 ######################## [ 18%]
6: libwmf-0.2.8.4-alt13 ######################## [ 21%]
7: libamd3-7.8.2-alt1 ######################## [ 25%]
8: libcamd3-7.8.2-alt1 ######################## [ 29%]
9: libcolamd3-7.8.2-alt1 ######################## [ 32%]
10: libccolamd3-7.8.2-alt1 ######################## [ 36%]
11: libmypaint-1.6.1-alt1.1 ######################## [ 39%]
12: libmng-2.0.3-alt2 ######################## [ 43%]
13: libxblas-1.0.248-alt2 ######################## [ 46%]
14: libquadmath0-13.2.1-alt3 ######################## [ 50%]
15: libgfortran5-13.2.1-alt3 ######################## [ 54%]
16: liblapack-1:3.8.0-alt8 ######################## [ 57%]
17: libcholmod5-7.8.2-alt1 ######################## [ 61%]
18: libumfpack6-7.8.2-alt1 ######################## [ 64%]
19: libspiro1-20221101-alt1_1 ######################## [ 68%]
20: libraw-0.21.3-alt1.1 ######################## [ 71%]
21: libpoly2tri-c-0.1.0-alt2.1 ######################## [ 75%]
22: libgegl-0.4.56-alt1 ######################## [ 79%]
23: libgegl-gir-0.4.56-alt1 ######################## [ 82%]
24: libgimp-3.0.0-alt1 ######################## [ 86%]
25: libappstream-glib-0.8.3-alt1 ######################## [ 89%]
26: mypaint-brushes1.0-1.3.1-alt1 ######################## [ 93%]
27: icc-profiles-1.0.1-alt1 ######################## [ 96%]
28: gimp-3.0.0-alt1 ######################## [100%]
392
Завершено.
Команда apt-get install <имя_пакета> используется и для обновления уже
установленного пакета или группы пакетов. В этом случае apt-get дополнительно проверяет, не
обновилась ли версия пакета в репозитории по сравнению с установленным в системе.
Например, если пакет gimp установлен и в репозитории нет обновлённой версии этого паке-
та, то вывод команды apt-get install gimp будет таким:
# apt-get install gimp
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Последняя версия gimp уже установлена.
0 будет обновлено, 0 новых установлено, 0 пакетов будет удалено и 2262
не будет обновлено.
При помощи APT можно установить и отдельный бинарный rpm-пакет, не входящий ни в
один из репозиториев. Для этого достаточно выполнить команду apt-get install
путь_к_файлу.rpm. При этом APT проведет стандартную процедуру проверки зависимостей и
конфликтов с уже установленными пакетами.
В результате операций с пакетами без использования APT может нарушиться целостность
ОС «Альт Сервер», и apt-get в таком случае откажется выполнять операции установки,
удаления или обновления.
Для восстановления целостности ОС «Альт Сервер» необходимо повторить операцию,
задав опцию -f, заставляющую apt-get исправить нарушенные зависимости, удалить или
заменить конфликтующие пакеты. Любые действия в этом режиме обязательно требуют
подтверждения со стороны пользователя.
При установке пакетов происходит запись в системный журнал вида:
apt-get: имя-пакета installed
7.2.4 Удаление установленного пакета
Для удаления пакета используется команда apt-get remove <имя_пакета>. Удале-
ние пакета с сохранением его файлов настройки производится при помощи следующей команды:
# apt-get remove <значимая_часть_имени_пакета>
В случае если при этом необходимо полностью очистить систему от всех компонент удаля-
емого пакета, то применяется команда:
# apt-get remove --purge <значимая_часть_имени_пакета>
Для того чтобы не нарушать целостность системы, будут удалены и все пакеты, зависящие
от удаляемого.
393
В случае удаления с помощью apt-get базового компонента системы появится запрос на
подтверждение операции:
# apt-get remove filesystem
Обработка файловых зависимостей... Завершено
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие пакеты будут УДАЛЕНЫ:
basesystem filesystem ppp sudo
Внимание: следующие базовые пакеты будут удалены:
В обычных условиях этого не должно было произойти, надеемся, вы точно
представляете, чего требуете!
basesystem filesystem (по причине basesystem)
0 пакетов будет обновлено, 0 будет добавлено новых, 4 будет
удалено(заменено) и 0 не будет обновлено.
Необходимо получить 0B архивов. После распаковки 588kБ будет
освобождено.
Вы делаете нечто потенциально опасное!
Введите фразу 'Yes, do as I say!' чтобы продолжить.
Каждую ситуацию, в которой APT выдает такое сообщение, необходимо рассматривать
отдельно. Однако, вероятность того, что после выполнения этой команды система окажется нера-
ботоспособной, очень велика.
При удалении пакетов происходит запись в системный журнал вида:
apt-get: имя-пакета removed
7.2.5 Обновление всех установленных пакетов
Полное обновление всех установленных в системе пакетов производится при помощи ко-
манд:
# apt-get update && apt-get dist-upgrade
Первая команда (apt-get update) обновит индексы пакетов. Вторая команда (apt-get
dist-upgrade) позволяет обновить только те установленные пакеты, для которых в репозитори-
ях, перечисленных в /etc/apt/sources.list, имеются новые версии.
В случае обновления всего дистрибутива APT проведёт сравнение системы с репозиторием
и удалит устаревшие пакеты, установит новые версии присутствующих в системе пакетов, отсле-
дит ситуации с переименованиями пакетов или изменения зависимостей между старыми и новыми
394
версиями программ. Всё, что потребуется поставить (или удалить) дополнительно к уже имеюще-
муся в системе, будет указано в отчете apt-get, которым APT предварит само обновление.
П р и м е ч а н и е . Команда apt-get dist-upgrade обновит систему, но ядро ОС не бу-
дет обновлено.
7.2.6 Обновление ядра
Для обновления ядра ОС необходимо выполнить команду:
# update-kernel
П р и м е ч а н и е . Если индексы сегодня еще не обновлялись перед выполнением команды
update-kernel необходимо выполнить команду apt-get update.
Команда update-kernel обновляет и модули ядра, если в репозитории обновилось что-
то из модулей без обновления ядра.
Новое ядро загрузится только после перезагрузки системы.
395
8 ОБЩИЕ ПРИНЦИПЫ РАБОТЫ ОС
Работа с операционной средой заключается во вводе определенных команд (запросов) к
операционной среде и получению на них ответов в виде текстового отображения.
Основой операционной среды является операционная система.
Операционная система (ОС) – совокупность программных средств, организующих согласо-
ванную работу операционной среды с аппаратными устройствами компьютера (процессор, память,
устройства ввода-вывода и т. д.).
Диалог с ОС осуществляется посредством командных интерпретаторов и системных биб-
лиотек.
Каждая системная библиотека представляет собой набор программ, динамически вызывае-
мых операционной системой.
Командные интерпретаторы – особый род специализированных программ, позволяющих
осуществлять диалог с ОС посредством команд.
Для удобства пользователей при работе с командными интерпретаторами используются ин-
терактивные рабочие среды (далее – ИРС), предоставляющие пользователю удобный интерфейс
для работы с ОС.
В самом центре ОС изделия находится управляющая программа, называемая ядром. В ОС
изделия используется новейшая модификация «устойчивого» ядра Linux – версия 6.12.
Ядро взаимодействует с компьютером и периферией (дисками, принтерами и т. д.), распре-
деляет ресурсы и выполняет фоновое планирование заданий.
Другими словами, ядро ОС изолирует вас от сложностей аппаратуры компьютера, ко-
мандный интерпретатор от ядра, а ИРС от командного интерпретатора.
Защита операционной среды осуществляется с помощью комплекса встроенных средств
защиты информации.
ОС «Альт Сервер» является многопользовательской интегрированной системой. Это зна-
чит, что она разработана в расчете на одновременную работу нескольких пользователей.
Пользователь может либо сам работать в системе, выполняя некоторую последовательность
команд, либо от его имени могут выполняться прикладные процессы.
Пользователь взаимодействует с системой через командный интерпретатор, который пред-
ставляет собой, как было сказано выше, прикладную программу, которая принимает от пользова-
теля команды или набор команд и транслирует их в системные вызовы к ядру системы. Интерпре-
татор позволяет пользователю просматривать файлы, передвигаться по дереву файловой системы,
396
запускать прикладные процессы. Все командные интерпретаторы UNIX имеют развитый ко-
мандный язык и позволяют писать достаточно сложные программы, упрощающие процесс адми-
нистрирования системы и работы с ней.
8.1 Процессы функционирования ОС
Все программы, которые выполняются в текущий момент времени, называются процесса-
ми. Процессы можно разделить на два основных класса: системные процессы и пользовательские
процессы. Системные процессы – программы, решающие внутренние задачи ОС, например, орга-
низацию виртуальной памяти на диске или предоставляющие пользователям те или иные сервисы
(процессы-службы).
Пользовательские процессы – процессы, запускаемые пользователем из командного интер-
претатора для решения задач пользователя или управления системными процессами. Linux изна-
чально разрабатывался как многозадачная система. Он использует технологии, опробованные и
отработанные другими реализациями UNIX, которые существовали ранее.
Фоновый режим работы процесса – режим, когда программа может работать без взаимодей-
ствия с пользователем. В случае необходимости интерактивной работы с пользователем (в общем
случае) процесс будет «остановлен» ядром, и работа его продолжится только после переведения
его в «нормальный» режим работы.
8.2 Файловая система ОС
В ОС использована файловая система Linux, которая в отличие от файловых систем DOS и
Windows(™) является единым деревом. Корень этого дерева – каталог, называемый root (рут), и
обозначаемый «/». Части дерева файловой системы могут физически располагаться в разных раз-
делах разных дисков или вообще на других компьютерах, – для пользователя это прозрачно. Про-
цесс присоединения файловой системы раздела к дереву называется монтированием, удаление –
размонтированием. Например, файловая система CD-ROM в изделии монтируется по умолчанию в
каталог /media/cdrom (путь в изделии обозначается с использованием «/», а не «\», как в DOS/
Windows). Текущий каталог обозначается «./».
Файловая система изделия содержит каталоги первого уровня:
/bin (командные оболочки (shell), основные утилиты);
/boot (содержит ядро системы);
/dev (псевдофайлы устройств, позволяющие работать с ними напрямую);
/etc (файлы конфигурации);
/home (личные каталоги пользователей);
/lib (системные библиотеки, модули ядра);
/lib64 (64-битные системные библиотеки);
397
/media (каталоги для монтирования файловых систем сменных устройств);
/mnt (каталоги для монтирования файловых систем сменных устройств и внешних файло-
вых систем);
/proc (файловая система на виртуальном устройстве, ее файлы содержат информацию о те-
кущем состоянии системы);
/root (личный каталог администратора системы);
/sbin (системные утилиты);
/sys (файловая система, содержащая информацию о текущем состоянии системы);
/usr (программы и библиотеки, доступные пользователю);
/var (рабочие файлы программ, очереди, журналы);
/tmp (временные файлы).
8.3 Организация файловой структуры
Система домашних каталогов пользователей помогает организовывать безопасную работу
пользователей в многопользовательской системе. Вне своего домашнего каталога пользователь
обладает минимальными правами (обычно чтение и выполнение файлов) и не может нанести
ущерб системе, например, удалив или изменив файл.
Кроме файлов, созданных пользователем, в его домашнем каталоге обычно содержатся пер-
сональные конфигурационные файлы некоторых программ.
Маршрут (путь) – это последовательность имён каталогов, представляющий собой путь в
файловой системе к данному файлу, где каждое следующее имя отделяется от предыдущего на-
клонной чертой (слэшем). Если название маршрута начинается со слэша, то путь в искомый файл
начинается от корневого каталога всего дерева системы. В обратном случае, если название марш-
рута начинается непосредственно с имени файла, то путь к искомому файлу должен начаться от
текущего каталога (рабочего каталога).
Имя файла может содержать любые символы за исключением косой черты (/). Однако сле-
дует избегать применения в именах файлов большинства знаков препинания и непечатаемых сим-
волов. При выборе имен файлов рекомендуется ограничиться следующими символами:
строчные и ПРОПИСНЫЕ буквы. Следует обратить внимание на то, что регистр всегда
имеет значение;
цифры;
символ подчеркивания (_);
точка (.).
Для удобства работы можно использовать точку (.) для отделения имени файла от расшире-
ния файла. Данная возможность может быть необходима пользователям или некоторым програм-
мам, но не имеет значение для shell.
398
8.3.1 Иерархическая организация файловой системы
Каталог /:
/boot – место, где хранятся файлы необходимые для загрузки ядра системы;
/lib – здесь располагаются файлы динамических библиотек, необходимых для работы
большей части приложений и подгружаемые модули ядра;
/lib64 – здесь располагаются файлы 64-битных динамических библиотек, необходимых для
работы большей части приложений;
/bin – минимальный набор программ необходимых для работы в системе;
/sbin – набор программ для административной работы с системой (программы необходимые
только суперпользователю);
/home – здесь располагаются домашние каталоги пользователей;
/etc – в данном каталоге обычно хранятся общесистемные конфигурационные файлы для
большинства программ в системе;
/etc/rc?.d,/etc/init.d,/etc/rc.boot,/etc/rc.d – каталоги, где расположены командные файлы си-
стемы инициализации SysVinit;
/etc/passwd – база данных пользователей, в которой содержится информация об имени поль-
зователя, его настоящем имени, личном каталоге, закодированный пароль и другие данные;
/etc/shadow – теневая база данных пользователей. При этом информация из файла /etc/
passwd перемещается в /etc/shadow, который недоступен по чтению всем, кроме пользователя root.
В случае использования альтернативной схемы управления теневыми паролями (TCB) все теневые
пароли для каждого пользователя располагаются в каталоге /etc/tcb/<имя
пользователя>/shadow;
/dev – в этом каталоге находятся файлы устройств. Файлы в /dev создаются сервисом udev;
/usr – обычно файловая система /usr достаточно большая по объему, так как все программы
установлены именно здесь. Вся информация в каталоге /usr помещается туда во время установки
системы. Отдельно устанавливаемые пакеты программ и другие файлы размещаются в каталоге
/usr/local. Некоторые подкаталоги системы /usr рассмотрены ниже;
/usr/bin – практически все команды, хотя некоторые находятся в /bin или в /usr/local/bin;
/usr/sbin – команды, используемые при администрировании системы и не предназначенные
для размещения в файловой системе root;
/usr/local – здесь рекомендуется размещать файлы, установленные без использования пакет-
ных менеджеров, внутренняя организация каталогов практически такая же, как и корневого ката-
лога;
/usr/man – каталог, где хранятся файлы справочного руководства man;
/usr/share – каталог для размещения общедоступных файлов большей части приложений.
399
Каталог /var:
/var/log – место, где хранятся файлы аудита работы системы и приложений;
/var/spool – каталог для хранения файлов находящих в очереди на обработку для того или
иного процесса (очередь на печать, отправку почты и т. д.);
/tmp – временный каталог необходимый некоторым приложениям;
/proc – файловая система /proc является виртуальной и в действительности она не существу-
ет на диске. Ядро создает её в памяти компьютера. Система /proc предоставляет информацию о
системе.
8.3.2 Имена дисков и разделов
Все физические устройства вашего компьютера отображаются в каталог /dev файловой си-
стемы изделия (об этом – ниже). Диски (в том числе IDE/SATA/SCSI жёсткие диски, USB-диски)
имеют имена:
/dev/sda – первый диск;
/dev/sdb – второй диск;
и т. д.
Диски обозначаются /dev/sdX, где X – a,b,c,d,e,... в порядке обнаружения системой.
Раздел диска обозначается числом после его имени. Например, /dev/sdb4 – четвертый раз-
дел второго диска.
8.4 Разделы, необходимые для работы ОС
Для работы ОС необходимо создать на жестком диске (дисках) по крайней мере, два разде-
ла: корневой (то есть тот, который будет содержать каталог /) и раздел подкачки (swap). Размер
последнего, как правило, составляет от однократной до двукратной величины оперативной памяти
компьютера. Если свободного места на диске много, то можно создать отдельные разделы для ка-
талогов /usr, /home, /var.
8.5 Управление системными сервисами и командами
8.5.1 Сервисы
Сервисы – это программы, которые запускаются и останавливаются через
инициализированные скрипты, расположенные в каталоге /etc/init.d. Многие из этих сервисов
запускаются на этапе старта ОС «Альт Сервер». В ОС существует шесть системных уровней
выполнения, каждый из которых определяет список служб (сервисов), запускаемых на данном
уровне. Уровни 0 и 6 соответствуют выключению и перезагрузке системы.
При загрузке системы процесс init запускает все сервисы, указанные в каталоге /etc/rc (0-
6).d/ для уровня по умолчанию. Поменять его можно в конфигурационном файле /etc/inittab.
Следующая строка соответствует второму уровню выполнения:
400
id:2:initdefault:
Для тестирования изменений, внесенных в файл inittab, применяется команда telinit. При
указании аргумента -q процесс init повторно читает inittab.
Для перехода ОС «Альт Сервер» на нужный уровень выполнения можно воспользоваться
командой init, например:
init 3
Данная команда переведет систему на третий уровень выполнения, запустив все сервисы,
указанные в каталоге /etc/rc3.d/.
8.5.2 Команды
Далее приведены основные команды, использующиеся в ОС «Альт Сервер»:
ar – создание и работа с библиотечными архивами;
at – формирование или удаление отложенного задания;
awk – язык обработки строковых шаблонов;
batch – планирование команд в очереди загрузки;
bc – строковый калькулятор;
chfn – управление информацией учетной записи (имя, описание);
chsh – управление выбором командного интерпретатора (по умолчанию – для учетной запи-
си);
cut – разбивка файла на секции, задаваемые контекстными разделителями;
df – вывод отчета об использовании дискового пространства;
dmesg – вывод содержимого системного буфера сообщений;
du – вычисление количества использованного пространства элементов ФС;
echo – вывод содержимого аргументов на стандартный вывод;
egrep – поиск в файлах содержимого согласно регулярным выражениям;
fgrep – поиск в файлах содержимого согласно фиксированным шаблонам;
file – определение типа файла;
find – поиск файла по различным признакам в иерархии каталогов;
gettext – получение строки интернационализации из каталогов перевода;
grep – вывод строки, содержащей шаблон поиска;
groupadd – создание новой учетной записи группы;
groupdel – удаление учетной записи группы;
groupmod – изменение учетной записи группы;
groups – вывод списка групп;
gunzip – распаковка файла;
gzip – упаковка файла;
401
hostname – вывод и задание имени хоста;
install – копирование файла с установкой атрибутов;
ipcrm – удаление ресурса IPC;
ipcs – вывод характеристик ресурса IPC;
kill – прекращение выполнения процесса;
killall – удаление процессов по имени;
lpr – система печати;
ls – вывод содержимого каталога;
lsb_release – вывод информации о дистрибутиве;
m4 – запуск макропроцессора;
md5sum – генерация и проверка MD5-сообщения;
mknod – создание файла специального типа;
mktemp – генерация уникального имени файла;
more – постраничный вывод содержимого файла;
mount – монтирование ФС;
msgfmt – создание объектного файла сообщений из файла сообщений;
newgrp – смена идентификатора группы;
nice – изменение приоритета процесса перед его запуском;
nohup – работа процесса после выхода из системы;
od – вывод содержимого файла в восьмеричном и других видах;
passwd – смена пароля учетной записи;
patch – применение файла описания изменений к оригинальному файлу;
pidof – вывод идентификатора процесса по его имени;
ps – вывод информации о процессах;
renice – изменение уровня приоритета процесса;
sed – строковый редактор;
sendmail – транспорт системы электронных сообщений;
sh – командный интерпретатор;
shutdown – команда останова системы;
su – изменение идентификатора запускаемого процесса;
sync – сброс системных буферов на носители;
tar – файловый архиватор;
umount – размонтирование ФС;
useradd – создание новой учетной записи или обновление существующей;
userdel – удаление учетной записи и соответствующих файлов окружения;
402
usermod – модификация информации об учетной записи;
w – список пользователей, кто в настоящий момент работает в системе и с какими файлами;
who – вывод списка пользователей системы.
Узнать об опциях команд можно с помощью команды man.
403
9 РАБОТА С НАИБОЛЕЕ ЧАСТО ИСПОЛЬЗУЕМЫМИ
КОМПОНЕНТАМИ
9.1 Командные оболочки (интерпретаторы)
Для управления ОС используется командные интерпретаторы (shell).
Зайдя в систему, можно увидеть приглашение – строку, содержащую символ «$» (далее,
этот символ будет обозначать командную строку). Программа ожидает ввода команд. Роль ко-
мандного интерпретатора – передавать команды пользователя операционной системе. При помо-
щи командных интерпретаторов можно писать небольшие программы – сценарии (скрипты). В
Linux доступны следующие командные оболочки:
bash – самая распространённая оболочка под linux. Она ведет историю команд и предостав-
ляет возможность их редактирования.
pdksh – клон korn shell, хорошо известной оболочки в UNIX(™) системах.
Оболочкой по умолчанию является «Bash» (Bourne Again Shell) Проверить, какая оболочка
используется можно, выполнив команду:
$ echo $SHELL
У каждой оболочки свой синтаксис. Все примеры в дальнейшем построены с использовани-
ем оболочки Bash.
9.1.1 Командная оболочка Bash
В Bash имеется несколько приемов для работы со строкой команд. Например, используя
клавиатуру, можно:
<Ctrl> + <A> – перейти на начало строки;
<Ctrl> + <U> – удалить текущую строку;
<Ctrl> + <C> – остановить текущую задачу.
Для ввода нескольких команд одной строкой можно использовать разделитель «;». По исто-
рии команд можно перемещаться с помощью клавиш <↑> и <↓>. Чтобы найти конкретную ко-
манду в списке набранных, не пролистывая всю историю, необходимо набрать <Ctrl> + <R> и на-
чать вводить символы ранее введенной команды.
Для просмотра истории команд можно воспользоваться командой history. Команды, присут-
ствующие в истории, отображаются в списке пронумерованными. Чтобы запустить конкретную
команду необходимо набрать:
!номер команды
Если ввести:
!!
404
запустится последняя, из набранных команд.
В Bash имеется возможность самостоятельного завершения имен команд из общего списка
команд, что облегчает работу при вводе команд, в случае, если имена программ и команд слишком
длинны. При нажатии клавиши <Tab> Bash завершает имя команды, программы или каталога,
если не существует нескольких альтернативных вариантов. Например, чтобы использовать про-
грамму декомпрессии gunzip, можно набрать следующую команду:
$ gu
Затем нажать <Tab>. Так как в данном случае существует несколько возможных вариантов
завершения команды, то необходимо повторно нажать клавишу <Tab>, чтобы получить список
имен, начинающихся с gu.
В предложенном примере можно получить следующий список:
$ gu
guile gunzip gupnp-binding-tool
Если набрать: n (gunzip – это единственное имя, третьей буквой которого является «n»), а
затем нажать клавишу <Tab>, то оболочка самостоятельно дополнит имя. Чтобы запустить ко-
манду нужно нажать <Enter>.
Программы, вызываемые из командной строки, Bash ищет в каталогах, определяемых в си-
стемной переменной PATH. По умолчанию в этот перечень каталогов не входит текущий каталог,
обозначаемый ./ (точка слеш) (если только не выбран один из двух самых слабых уровней защи-
ты). Поэтому, для запуска программы из текущего каталога, необходимо использовать команду (в
примере запускается команда prog):
./prog
9.1.2 Базовые команды оболочки Bash
Все команды, приведенные ниже, могут быть запущены в режиме консоли. Для получения
более подробной информации следует использовать команду man. Пример:
$ man ls
П р и м е ч а н и е . Параметры команд обычно начинаются с символа «-», и обычно после од-
ного символа «-» можно указать сразу несколько опций. Например, вместо команды ls -l -F
можно ввести команду ls -lF
9.1.2.1 Учетные записи пользователей
Команда su
Команда su позволяет изменить «владельца» текущего сеанса (сессии) без необходимости
завершать сеанс и открывать новый.
Синтаксис:
su [ОПЦИИ...] [ПОЛЬЗОВАТЕЛЬ]
405
Команду можно применять для замены текущего пользователя на любого другого, но чаще
всего она используется для получения пользователем прав суперпользователя (root).
При вводе команды su - будет запрошен пароль суперпользователя (root), и, в случае вво-
да корректного пароля, пользователь получит привилегии суперпользователя. Чтобы вернуться к
правам пользователя, необходимо ввести команду:
exit
Команда id
Команда id выводит информацию о пользователе и группах, в которых он состоит, для
заданного пользователя или о текущем пользователе (если ничего не указано).
Синтаксис:
id [параметры] [ПОЛЬЗОВАТЕЛЬ]
Команда passwd
Команда passwd меняет (или устанавливает) пароль, связанный с входным_именем
пользователя.
Обычный пользователь может менять только пароль, связанный с его собственным
входным_именем.
Команда запрашивает у обычных пользователей старый пароль (если он был), а затем
дважды запрашивает новый. Новый пароль должен соответствовать техническим требованиям к
паролям, заданным администратором системы.
9.1.2.2 Основные операции с файлами и каталогами
Команда ls
Команда ls (list) выдает список файлов каталога.
Синтаксис:
ls [опции...] [файл...]
Основные опции:
-a – просмотр всех файлов, включая скрытые;
-l – отображение более подробной информации;
-R – выводить рекурсивно информацию о подкаталогах.
Команда cd
Команда cd предназначена для смены каталога. Команда работает как с абсолютными, так
и с относительными путями. Если каталог не указан, используется значение переменной
окружения $HOME (домашний каталог пользователя). Если каталог задан полным маршрутным
именем, он становится текущим. По отношению к новому каталогу нужно иметь право на
выполнение, которое в данном случае трактуется как разрешение на поиск.
Синтаксис:
406
cd [-L|-P] [каталог]
Если в качестве аргумента задано «-», то это эквивалентно $OLDPWD. Если переход был
осуществлен по переменной окружения $CDPATH или в качестве аргумента был задан «-» и смена
каталога была успешной, то абсолютный путь нового рабочего каталога будет выведен на
стандартный вывод.
Примеры:
находясь в домашнем каталоге перейти в его подкаталог docs/ (относительный путь):
$ cd docs/
сделать текущим каталог /usr/bin (абсолютный путь):
$ cd /usr/bin/
сделать текущим родительский каталог:
$ cd ..
вернуться в предыдущий каталог:
$ cd -
сделать текущим домашний каталог:
$ cd
Команда pwd
Команда pwd выводит абсолютный путь текущего (рабочего) каталога.
Синтаксис:
pwd [-L|-P]
Опции:
-P – не выводить символические ссылки;
-L – выводить символические ссылки.
Команда rm
Команда rm служит для удаления записей о файлах. Если заданное имя было последней
ссылкой на файл, то файл уничтожается.
Синтаксис:
rm [опции...] имя_файла
Основные опции:
-f – не запрашивать подтверждения;
-i – запрашивать подтверждение;
-r, -R – рекурсивно удалять содержимое указанных каталогов.
Пример. Удалить все файлы html в каталоге ~/html:
$ rm -i ~/html/*.html
Команда mkdir
407
Команда mkdir позволяет создать каталог.
Синтаксис:
mkdir [-p] [-m права] [каталог...]
Команда rmdir
Команда rmdir удаляет записи, соответствующие указанным пустым каталогам.
Синтаксис:
rmdir [-p] [каталог...]
Основные опции:
-p – удалить каталог и его потомки.
Команда rmdir часто заменяется командой rm -rf, которая позволяет удалять каталоги,
даже если они не пусты.
Команда cp
Команда cp предназначена для копирования файлов из одного в другие каталоги.
Синтаксис:
cp [-fip] [исх_файл] [цел_файл]
cp [-fip] [исх_файл...] [каталог]
cp [-R] [[-H] | [-L] | [-P]] [-fip] [исх_файл...] [каталог]
Основные опции:
-p – сохранять по возможности времена изменения и доступа к файлу, владельца и группу,
права доступа;
-i – запрашивать подтверждение перед копированием в существующие файлы;
-r, -R – рекурсивно копировать содержимое каталогов.
Команда mv
Команда mv предназначена для перемещения файлов.
Синтаксис:
mv [-fi] [исх_файл...] [цел_файл]
mv [-fi] [исх_файл...] [каталог]
В первой синтаксической форме, характеризующейся тем, что последний операнд не яв-
ляется ни каталогом, ни символической ссылкой на каталог, mv перемещает исх_файл в цел_файл
(происходит переименование файла).
Во второй синтаксической форме mv перемещает исходные файлы в указанный каталог под
именами, совпадающими с краткими именами исходных файлов.
Основные опции:
-f – не запрашивать подтверждения перезаписи существующих файлов;
-i – запрашивать подтверждение перезаписи существующих файлов.
408
Команда cat
Команда cat последовательно выводит содержимое файлов.
Синтаксис:
cat [опции...] [файл...]
Основные опции:
-n, --number – нумеровать все строки при выводе;
-E, --show-ends – показывать $ в конце каждой строки.
Если файл не указан, читается стандартный ввод. Если в списке файлов присутствует имя
«-», вместо этого файла читается стандартный ввод.
Команда head
Команда head выводит первые 10 строк каждого файла на стандартный вывод.
Синтаксис:
head [опции...] [файл...]
Основные опции:
-n, --lines=[-]K – вывести первые К строк каждого файла, а не первые 10;
-q, --quiet – не печатать заголовки с именами файлов.
Команда less
Команда less позволяет постранично просматривать текст (для выхода необходимо на-
жать <q>).
Синтаксис:
less имя_файла
Команда grep
Команда grep имеет много опций и предоставляет возможности поиска символьной стро-
ки в файле.
Синтаксис:
grep шаблон_поиска файл
9.1.2.3 Поиск файлов
Команда find
Команда find предназначена для поиска всех файлов, начиная с корневого каталога. По-
иск может осуществляться по имени, типу или владельцу файла.
Синтаксис:
find [-H] [-L] [-P] [-Oуровень] [-D help|tree|search|stat|rates|opt|
exec] [путь…] [выражение]
Ключи для поиска:
-name – поиск по имени файла;
-type – поиск по типу f=файл, d=каталог, l=ссылка(lnk);
409
-user – поиск по владельцу (имя или UID).
Когда выполняется команда find, можно выполнять различные действия над найденными
файлами. Основные действия:
-exec команда \; – выполнить команду. Запись команды должна заканчиваться экра-
нированной точкой с запятой. Строка «{}» заменяется текущим маршрутным именем файла;
-execdir команда \; – то же самое что и exec, но команда вызывается из подкатало-
га, содержащего текущий файл;
-ok команда – эквивалентно -exec за исключением того, что перед выполнением ко-
манды запрашивается подтверждение (в виде сгенерированной командной строки со знаком во-
проса в конце) и она выполняется только при ответе: y;
-print – вывод имени файла на экран.
Путем по умолчанию является текущий подкаталог. Выражение по умолчанию -print.
Примеры:
найти в текущем каталоге обычные файлы (не каталоги), имя которых начинается с симво-
ла «~»:
$ find . -type f -name "~*" -print
найти в текущем каталоге файлы, измененные позже, чем файл file.bak:
$ find . -newer file.bak -type f -print
удалить все файлы с именами a.out или *.o, доступ к которым не производился в тече-
ние недели:
$ find / \( -name a.out -o -name '*.o' \) \ -atime +7 -exec rm {} \;
удалить из текущего каталога и его подкаталогов все файлы нулевого размера, запрашивая
подтверждение:
$ find . -size 0c -ok rm {} \;
Команда whereis
Команда whereis сообщает путь к исполняемому файлу программы, ее исходным файлам
(если есть) и соответствующим страницам справочного руководства.
Синтаксис:
whereis [опции...] имя_файла
Опции:
-b – вывод информации только об исполняемых файлах;
-m – вывод информации только о страницах справочного руководства;
-s – вывод информации только об исходных файлах.
410
9.1.2.4 Мониторинг и управление процессами
Команда ps
Команда ps отображает список текущих процессов.
Синтаксис:
ps [-aA] [-defl] [-G список] [-o формат...] [-p список] [-t список] [-
U список] [-g список] [-n список] [-u список]
По умолчанию выводится информация о процессах с теми же действующим UID и управ-
ляющим терминалом, что и у подающего команду пользователя.
Основные опции:
-a – вывести информацию о процессах, ассоциированных с терминалами;
-f – вывести «полный» список;
-l – вывести «длинный» список;
-p список – вывести информацию о процессах с перечисленными в списке PID;
-u список – вывести информацию о процессах с перечисленными идентификаторами или
именами пользователей.
Команда kill
Команда kill позволяет прекратить исполнение процесса или передать ему сигнал.
Синтаксис:
kill [-s] [сигнал] [идентификатор] [...]
kill [-l] [статус_завершения]
kill [-номер_сигнала] [идентификатор] [...]
Идентификатор – PID ведущего процесса задания или номер задания, предварённый знаком
«%».
Основные опции:
-l – вывести список поддерживаемых сигналов;
-s сигнал, -сигнал – послать сигнал с указанным именем.
Если обычная команда kill не дает желательного эффекта, необходимо использовать ко-
манду kill с параметром -9:
$ kill -9 PID_номер
Команда df
Команда df показывает количество доступного дискового пространства в файловой систе-
ме, в которой содержится файл, переданный как аргумент. Если ни один файл не указан, показыва-
ется доступное место на всех смонтированных файловых системах. Размеры по умолчанию указа-
ны в блоках по 1КБ по умолчанию.
411
Синтаксис:
df [опция...] [файл...]
Основные опции:
-total – подсчитать общий объем в конце;
-h, --human-readable – печатать размеры в удобочитаемом формате (например, 1K,
234M, 2G).
Команда du
Команда du подсчитывает использование диска каждым файлом, для каталогов подсчет
происходит рекурсивно.
Синтаксис:
du [опции][файл...]
Основные опции:
-a, --all – выводить общую сумму для каждого заданного файла, а не только для катало-
гов;
-c, --total – подсчитать общий объем в конце. Может быть использовано для выяснения
суммарного использования дискового пространства для всего списка заданных файлов;
-d, --max-depth=N – выводить объем для каталога (или файлов, если указано --all)
только если она на N или менее уровней ниже аргументов командной строки;
-S, --separate-dirs – выдавать отдельно размер каждого каталога, не включая разме-
ры подкаталогов;
-s, --summarize – отобразить только сумму для каждого аргумента.
Команда which
Команда which отображает полный путь к указанным командам или сценариям.
Синтаксис:
which [опции] [--] имя_программы [...]
Основные опции:
-a, --all – выводит все совпавшие исполняемые файлы по содержимому в переменной
окружения $PATH, а не только первый из них;
-c, --total – подсчитать общий объем в конце. Может быть использовано для выяснения
суммарного использования дискового пространства для всего списка заданных файлов;
-d, --max-depth=N – выводить объем для каталога (или файлов, если указано --all)
только если она на N или менее уровней ниже аргументов командной строки;
-S, --separate-dirs – выдавать отдельно размер каждого каталога, не включая разме-
ры подкаталогов;
412
--skip-dot – пропускает все каталоги из переменной окружения $PATH, которые начи-
наются с точки.
9.1.2.5 Использование многозадачности
ОС «Альт Сервер» – многозадачная система.
Для того чтобы запустить программу в фоновом режиме, необходимо набрать «&» после
имени программы. После этого оболочка дает возможность запускать другие приложения.
Так как некоторые программы интерактивны – их запуск в фоновом режиме бессмысленен.
Подобные программы просто остановятся, если их запустить в фоновом режиме.
Можно также запускать нескольких независимых сеансов. Для этого в консоли необходимо
набрать <Ctrl>+<Alt> и одну из клавиш, находящихся в интервале от <F1> до <F6>. На экране по-
явится новое приглашение системы, и можно открыть новый сеанс.
Команда bg
Команда bg используется для того, чтобы перевести задание на задний план.
Синтаксис:
bg [идентификатор ...]
Идентификатор – PID ведущего процесса задания или номер задания, предварённый знаком
«%».
Команда fg
Команда fg позволяет перевести задание на передний план.
Синтаксис:
fg [идентификатор ...]
Идентификатор – PID ведущего процесса задания или номер задания, предварённый знаком
«%».
9.1.2.6 Сжатие и упаковка файлов
Команда tar
Сжатие и упаковка файлов выполняется с помощью команды tar, которая преобразует
файл или группу файлов в архив без сжатия (tarfile).
Упаковка файлов в архив чаще всего выполняется следующей командой:
$ tar -cf [имя создаваемого файла архива] [упаковываемые файлы и/или
каталоги]
Пример использования команды упаковки архива:
$ tar -cf moi_dokumenti.tar Docs project.tex
Распаковка содержимого архива в текущий каталог выполняется командой:
$ tar -xf [имя файла архива]
Для сжатия файлов используются специальные программы сжатия: gzip, bzip2 и 7z.
413
9.2 Стыкование команд в системе
9.2.1 Стандартный ввод и стандартный вывод
Многие команды системы имеют так называемые стандартный ввод (standard input) и стан-
дартный вывод (standard output), часто сокращаемые до stdin и stdout. Ввод и вывод здесь – это
входная и выходная информация для данной команды. Программная оболочка делает так, что
стандартным вводом является клавиатура, а стандартным выводом – экран монитора.
Пример с использованием команды cat. По умолчанию команда cat читает данные из
всех файлов, которые указаны в командной строке, и посылает эту информацию непосредственно
в стандартный вывод (stdout). Следовательно, команда:
$ cat history-final masters-thesis
выведет на экран сначала содержимое файла history-final, а затем – файла masters-thesis.
Если имя файла не указано, команда cat читает входные данные из stdin и возвращает их в
stdout. Пример:
$ cat
Hello there.
Hello there.
Bye.
Bye.
<Ctrl>-<D>
Каждую строку, вводимую с клавиатуры, команда cat немедленно возвращает на экран.
При вводе информации со стандартного ввода конец текста сигнализируется вводом специальной
комбинации клавиш, как правило, <Ctrl>-<D>. Сокращённое название сигнала конца текста – EOT
(end of text).
9.2.2 Перенаправление ввода и вывода
При необходимости можно перенаправить стандартный вывод, используя символ «>» и
стандартный ввод, используя символ «<».
Фильтр (filter) – программа, которая читает данные из стандартного ввода, некоторым об-
разом их обрабатывает и результат направляет на стандартный вывод. Когда применяется пере-
направление, в качестве стандартного ввода и вывода могут выступать файлы. Как указывалось
выше, по умолчанию, stdin и stdout относятся к клавиатуре и к экрану соответственно. Команда
sort является простым фильтром – она сортирует входные данные и посылает результат на стан-
дартный вывод. Совсем простым фильтром является команда cat – она ничего не делает с вход-
ными данными, а просто пересылает их на выход.
414
9.2.3 Использование состыкованных команд
Стыковку команд (pipelines) осуществляет командная оболочка, которая stdout первой ко-
манды направляет на stdin второй команды. Для стыковки используется символ «|». Направить
stdout команды ls на stdin команды sort:
$ ls | sort -r
notes
masters-thesis
history-final
english-list
Вывод списка файлов частями:
$ ls /usr/bin | more
Пример стыкования нескольких команд. Команда head является фильтром следующего
свойства: она выводит первые строки из входного потока (в примере на вход будет подан выход от
нескольких состыкованных команд). Если необходимо вывести на экран последнее по алфавиту
имя файла в текущем каталоге, можно использовать следующую команду:
$ ls | sort -r | head -1 notes
где команда head -1 выводит на экран первую строку получаемого ей входного потока
строк (в примере поток состоит из данных от команды ls), отсортированных в обратном алфавит-
ном порядке.
9.2.4 Не деструктивное перенаправление вывода
Эффект от использования символа «>» для перенаправления вывода файла является де-
структивным; то есть, команда
$ ls > file-list
уничтожит содержимое файла file-list, если этот файл ранее существовал, и создаст на его
месте новый файл. Если вместо этого перенаправление будет сделано с помощью символов «>>»,
то вывод будет приписан в конец указанного файла, при этом исходное содержимое файла не бу-
дет уничтожено.
Примечание. Перенаправление ввода и вывода и стыкование команд осуществляется
командными оболочками, которые поддерживают использование символов «>», «>>» и «|». Сами
команды не способны воспринимать и интерпретировать эти символы.
9.3 Средства управления дискреционными правами доступа
9.3.1 Команда chmod
Команда chmod предназначена для изменения прав доступа файлов и каталогов.
415
Синтаксис:
chmod [ОПЦИЯ]... РЕЖИМ[,РЕЖИМ]... [Файл...]
chmod [ОПЦИЯ]... --reference=ИФАЙЛ ФАЙЛ...
Основные опции:
-R – рекурсивно изменять режим доступа к файлам, расположенным в указанных катало-
гах;
--reference=ИФАЙЛ – использовать режим файла ИФАЙЛ.
Команда chmod изменяет права доступа каждого указанного файла в соответствии с права-
ми доступа, указанными в параметре режим, который может быть представлен как в символьном
виде, так и в виде восьмеричного, представляющего битовую маску новых прав доступа.
Формат символьного режима следующий:
[ugoa...][[+-=][разрешения...]...]
Здесь разрешения – это ноль или более букв из набора «rwxXst» или одна из букв из набора
«ugo».
Каждый аргумент – это список символьных команд изменения прав доступа, разделеных
запятыми. Каждая такая команда начинается с нуля или более букв «ugoa», комбинация которых
указывает, чьи права доступа к файлу будут изменены: пользователя, владеющего файлом (u),
пользователей, входящих в группу, к которой принадлежит файл (g), остальных пользователей (o)
или всех пользователей (a). Если не задана ни одна буква, то автоматически будет использована
буква «a», но биты, установленные в umask, не будут затронуты.
Оператор «+» добавляет выбранные права доступа к уже имеющимся у каждого файла, «-»
удаляет эти права, «=» присваивает только эти права каждому указанному файлу.
Буквы «rwxXst» задают биты доступа для пользователей: «r» – чтение, «w» – запись, «x» –
выполнение (или поиск для каталогов), «X» – выполнение/поиск, только если это каталог или же
файл с уже установленным битом выполнения, «s» – задать ID пользователя и группы при выпол-
нении, «t» – запрет удаления.
Числовой режим состоит из не более четырех восьмеричных цифр (от нуля до семи), кото-
рые складываются из битовых масок с разрядами «4», «2» и «1». Любые пропущенные разряды
дополняются лидирующими нулями:
первый разряд выбирает установку идентификатора пользователя (setuid) (4) или идентифи-
катора группы (setgid) (2) или sticky-бита (1);
второй разряд выбирает права доступа для пользователя, владеющего данным файлом: чте-
ние (4), запись (2) и исполнение (1);
третий разряд выбирает права доступа для пользователей, входящих в данную группу, с
тем же смыслом, что и у второго разряда;
416
четвертый разряд выбирает права доступа для остальных пользователей (не входящих в
данную группу), опять с тем же смыслом.
Примеры:
установить права, позволяющие владельцу читать и писать в файл f1, а членам группы и
прочим пользователям только читать. Команду можно записать двумя способами:
$ chmod 644 f1
$ chmod u=rw,go=r f1
позволить всем выполнять файл f2:
$ chmod +x f2
запретить удаление файла f3:
$ chmod+t f3
дать всем права на чтение запись и выполнение, а также на переустановку идентификатора
группы при выполнении файла f4:
$ chmod =rwx,g+s f4
$ chmod 2777 f4
9.3.2 Команда chown
Команда chown изменяет владельца и/или группу для каждого заданного файла.
Синтаксис:
chown [КЛЮЧ]…[ВЛАДЕЛЕЦ][:[ГРУППА]] ФАЙЛ
Изменить владельца может только владелец файла или суперпользователь. Владелец не из-
меняется, если он не задан в аргументе. Группа также не изменяется, если не задана, но если после
символьного ВЛАДЕЛЬЦА стоит символ «:», подразумевается изменение группы на основную
группу текущего пользователя. Поля ВЛАДЕЛЕЦ и ГРУППА могут быть как числовыми, так и
символьными.
Примеры:
поменять владельца /u на пользователя test:
$ chown test /u
поменять владельца и группу /u:
$ chown test:staff /u
поменять владельца /u и вложенных файлов на test:
$ chown -hR test /u
9.3.3 Команда chgrp
Команда chgrp изменяет группу для каждого заданного файла.
Синтаксис:
417
chgrp [ОПЦИИ] ГРУППА ФАЙЛ
Основные опции:
-R – рекурсивно изменять файлы и каталоги;
--reference=ИФАЙЛ – использовать группу файла ИФАЙЛ.
9.3.4 Команда umask
Команда umask задает маску режима создания файла в текущей среде командного интер-
претатора равной значению, задаваемому операндом режим. Эта маска влияет на начальное значе-
ние битов прав доступа всех создаваемых далее файлов.
Синтаксис:
umask [-p] [-S] [режим]
Пользовательской маске режима создания файлов присваивается указанное восьмеричное
значение. Три восьмеричные цифры соответствуют правам на чтение/запись/выполнение для вла-
дельца, членов группы и прочих пользователей соответственно. Значение каждой заданной в мас-
ке цифры вычитается из соответствующей «цифры», определенной системой при создании файла.
Например, umask 022 удаляет права на запись для членов группы и прочих пользователей (у
файлов, создававшихся с режимом 777, он оказывается равным 755; а режим 666 преобразуется в
644).
Если маска не указана, выдается ее текущее значение:
$ umask
0022
или то же самое в символьном режиме:
$ umask -S
u=rwx,g=rx,o=rx
Команда umask распознается и выполняется командным интерпретатором bash.
9.3.5 Команда chattr
Команда chattr изменяет атрибуты файлов на файловых системах ext3, ext4.
Синтаксис:
chattr [ -RVf ] [+-=aAcCdDeFijmPsStTux] [ -v версия ] <ФАЙЛЫ> …
Основные опции:
-R – рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки
игнорируются;
-V – выводит расширенную информацию и версию программы;
-f – подавлять сообщения об ошибках;
-v версия – установить номер версии/генерации файла.
418
Формат символьного режима:
+-=aAcCdDeFijmPsStTux
Оператор «+» означает добавление выбранных атрибутов к существующим атрибутам; «-»
означает их снятие; «=» означает определение только этих указанных атрибутов для файлов.
Символы «aAcCdDeFijmPsStTux» указывают на новые атрибуты файлов:
a – только добавление к файлу;
A – не обновлять время последнего доступа (atime) к файлу;
c – сжатый файл;
C – отключение режима «Copy-on-write» для указанного файла;
d – не архивировать (отключает создание архивной копии файла командой dump);
D – синхронное обновление каталогов;
e – включает использование extent при выделении места на устройстве (атрибут не может
быть отключён с помощью chattr);
F – регистронезависимый поиск в каталогах;
i – неизменяемый файл (файл защищен от изменений: не может быть удалён или пере-
именован, к этому файлу не могут быть созданы ссылки, и никакие данные не могут быть
записаны в этот файл);
j – ведение журнала данных (данные файла перед записью будут записаны в журнал ext3/
ext4);
m – не сжимать;
P – каталог с вложенными файлами является иерархической структурой проекта;
s – безопасное удаление (перед удалением все содержимое файла полностью затирается
«00»);
S – синхронное обновление (аналогичен опции монтирования «sync» файловой системы);
t – отключает метод tail-merging для файлов;
T – вершина иерархии каталогов;
u – неудаляемый (при удалении файла его содержимое сохраняется, это позволяет пользо-
вателю восстановить файл);
x – прямой доступ к файлам (атрибут не может быть установлен с помощью chattr).
9.3.6 Команда lsattr
Команда lsattr выводит атрибуты файла расширенной файловой системы.
Синтаксис:
lsattr [ -RVadlpv ] <ФАЙЛЫ> …
Опции:
419
-R – рекурсивно изменять атрибуты каталогов и их содержимого. Символические ссылки
игнорируются;
-V – выводит расширенную информацию и версию программы;
-a – просматривает все файлы в каталоге, включая скрытые файлы (имена которых начина-
ются с «.»);
-d – отображает каталоги так же, как и файлы вместо того, чтобы просматривать их содер-
жимое;
-l – отображает параметры, используя длинные имена вместо одного символа;
-p – выводит номер проекта файла;
-v – выводит номер версии/генерации файла.
9.3.7 Команда getfacl
Команда getfacl выводит атрибуты файла расширенной файловой системы.
Синтаксис:
getfacl [ --aceEsRLPtpndvh ] <ФАЙЛ> …
Опции:
-a – вывести только ACL файла;
-d – вывести только ACL по умолчанию;
-c – не показывать заголовок (имя файла);
-e – показывать все эффективные права;
-E – не показывать эффективные права;
-s – пропускать файлы, имеющие только основные записи;
-R – для подкаталогов рекурсивно;
-L – следовать по символическим ссылкам, даже если они не указаны в командной строке;
-P – не следовать по символическим ссылкам, даже если они указаны в командной строке;
-t – использовать табулированный формат вывода;
-p – не удалять ведущие «/» из пути файла;
-n – показывать числовые значения пользователя/группы.
Формат вывода:
1: # file: somedir/
2: # owner: lisa
3: # group: staff
4: # flags: -s-
5: user::rwx
420
6: user:joe:rwx #effective:r-x
7: group::rwx #effective:r-x
8: group:cool:r-x
9: mask:r-x
10: other:r-x
11: default:user::rwx
12: default:user:joe:rwx #effective:r-x
13: default:group::r-x
14: default:mask:r-x
15: default:oter:---
Строки 1 – 3 указывают имя файла, владельца и группу владельцев.
В строке 4 указаны биты setuid (s), setgid (s) и sticky (t): либо буква, обозначающая бит, ли-
бо тире (-). Эта строка включается, если какой-либо из этих битов установлен, и опускается в про-
тивном случае, поэтому она не будет отображаться для большинства файлов.
Строки 5, 7 и 10 относятся к традиционным битам прав доступа к файлу, соответственно,
для владельца, группы-владельца и всех остальных. Эти три элемента являются базовыми. Строки
6 и 8 являются элементами для отдельных пользователя и группы. Строка 9 – маска эффективных
прав. Этот элемент ограничивает эффективные права, предоставляемые всем группам и отдельным
пользователям. Маска не влияет на права для владельца файла и всех других. Строки 11 – 15 пока-
зывают ACL по умолчанию, ассоциированный с данным каталогом.
9.3.8 Команда setfacl
Команда setfacl изменяет ACL к файлам или каталогам. В командной строке за последо-
вательностью команд идет последовательность файлов (за которой, в свою очередь, может идти
последовательность команд и так далее).
Синтаксис:
setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] <ФАЙЛ> …
setfacl --restore=file
Опции:
-b – удалить все разрешенные записи ACL;
-k – удалить ACL по умолчанию;
-n – не пересчитывать маску эффективных прав, обычно setfacl пересчитывает маску
(кроме случая явного задания маски) для того, чтобы включить ее в максимальный набор прав до-
ступа элементов, на которые воздействует маска (для всех групп и отдельных пользователей);
-d – применить ACL по умолчанию;
421
-R – для подкаталогов рекурсивно;
-L – переходить по символическим ссылкам на каталоги (имеет смысл только в сочетании с
опцией -R);
-P – не переходить по символическим ссылкам на каталоги (имеет смысл только в сочета-
нии с опцией -R);
-L – следовать по символическим ссылкам, даже если они не указаны в командной строке;
-P – не следовать по символическим ссылкам, даже если они указаны в командной строке;
--mask – пересчитать маску эффективных прав;
-m – изменить текущий ACL для файла;
-M – прочитать записи ACL для модификации из файла;
-x – удалить записи из ACL файла;
-X – прочитать записи ACL для удаления из файла;
--restore=file – восстановить резервную копию прав доступа, созданную командой
getfacl -R или ей подобной. Все права доступа дерева каталогов восстанавливаются, исполь-
зуя этот механизм. В случае если вводимые данные содержат элементы для владельца или группы-
владельца, и команда setfacl выполняется пользователем с именем root, то владелец и группа-
владелец всех файлов также восстанавливаются. Эта опция не может использоваться совместно с
другими опциями за исключением опции --test;
--set=acl – установить ACL для файла, заменив текущий ACL;
--set-file=file – прочитать записи ACL для установления из файла;
--test – режим тестирования (ACL не изменяются).
При использовании опций --set, -m и -x должны быть перечислены записи ACL в ко-
мандной строке. Элементы ACL разделяются одинарными кавычками.
При чтении ACL из файла при помощи опций -set-file, -M и -X команда setfacl
принимает множество элементов в формате вывода команды getfacl. В строке обычно содер-
жится не больше одного элемента ACL.
Команда setfacl использует следующие форматы элементов ACL:
права доступа отдельного пользователя (если не задан UID, то права доступа владельца
файла):
[d[efault]:] [u[ser]:]uid [:perms]
права доступа отдельной группы (если не задан GID, то права доступа группы-владельца):
[d[efault]:] g[roup]:gid [:perms]
маска эффективных прав:
422
[d[efault]:] m[ask][:] [:perms]
права доступа всех остальных:
[d[efault]:] o[ther][:] [:perms]
Элемент ACL является абсолютным, если он содержит поле perms и является относитель-
ным, если он включает один из модификаторов: «+» или «^». Абсолютные элементы могут ис-
пользоваться в операциях установки или модификации ACL. Относительные элементы могут ис-
пользоваться только в операции модификации ACL. Права доступа для отдельных пользователей,
группы, не содержащие никаких полей после значений UID, GID (поле perms при этом отсутству-
ет), используются только для удаления элементов.
Значения UID и GID задаются именем или числом. Поле perms может быть представлено
комбинацией символов «r», «w», «x», «-» или цифр (0 – 7).
Изначально файлы и каталоги содержат только три базовых элемента ACL: для владельца,
группы-владельца и всех остальных пользователей. Существует ряд правил, которые следует учи-
тывать при установке прав доступа:
не могут быть удалены сразу три базовых элемента, должен присутствовать хотя бы один;
если ACL содержит права доступа для отдельного пользователя или группы, то ACL также
должен содержать маску эффективных прав;
если ACL содержит какие-либо элементы ACL по умолчанию, то в последнем должны так-
же присутствовать три базовых элемента (т. е. права доступа по умолчанию для владельца,
группы-владельца и всех остальных);
если ACL по умолчанию содержит права доступа для всех отдельных пользователей или
групп, то в ACL также должна присутствовать маска эффективных прав.
Для того чтобы помочь пользователю выполнять эти правила, команда setfacl создает
права доступа, используя уже существующие, согласно следующим условиям:
если права доступа для отдельного пользователя или группы добавлены в ACL, а маски
прав не существует, то создается маска с правами доступа группы-владельца;
если создан элемент ACL по умолчанию, а трех базовых элементов не было, тогда делается
их копия и они добавляются в ACL по умолчанию;
если ACL по умолчанию содержит какие-либо права доступа для конкретных пользователя
или группы и не содержит маску прав доступа по умолчанию, то при создании эта маска
будет иметь те же права, что и группа по умолчанию.
Пример. Изменить разрешения для файла test.txt, принадлежащего пользователю liza и
группе docs, так, чтобы:
пользователь ivan имел права на чтение и запись в этот файл;
423
пользователь misha не имел никаких прав на этот файл.
Исходные данные:
$ ls -l test.txt
-rw-r--r-- 1 liza docs 8 янв 22 15:54 test.txt
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
group::r--
other::r--
Установить разрешения (от пользователя liza):
$ setfacl -m u:ivan:rw- test.txt
$ setfacl -m u:misha:--- test.txt
Просмотреть разрешения (от пользователя liza):
$ getfacl test.txt
# file: test.txt
# owner: liza
# group: docs
user::rw-
user:ivan:rw-
user:misha:---
group::r--
mask::rw-
other::r—
П р и м е ч а н и е . Символ «+» (плюс) после прав доступа в выводе команды ls -l указывает
на использование ACL:
$ ls -l test.txt
-rw-rw-r--+ 1 liza docs 8 янв 22 15:54 test.txt
9.4 Управление пользователями
9.4.1 Общая информация
Пользователи и группы внутри системы обозначаются цифровыми идентификаторами –
UID и GID, соответственно.
424
Пользователь может входить в одну или несколько групп. По умолчанию он входит в груп-
пу, совпадающую с его именем. Чтобы узнать, в какие еще группы входит пользователь, можно
использовать команду id, вывод её может быть примерно следующим:
uid=500(test) gid=500(test) группы=500(test),16(rpm)
Такая запись означает, что пользователь test (цифровой идентификатор 500) входит в груп-
пы test и rpm. Разные группы могут иметь разный уровень доступа к тем или иным каталогам; чем
в большее количество групп входит пользователь, тем больше прав он имеет в системе.
П р и м е ч а н и е . В связи с тем, что большинство привилегированных системных утилит в
дистрибутивах «Альт» имеют не SUID-, а SGID-бит, необходимо быть предельно внимательным и
осторожным в переназначении групповых прав на системные каталоги.
9.4.2 Команда useradd
Команда useradd регистрирует нового пользователя или изменяет информацию по
умолчанию о новых пользователях.
Синтаксис:
useradd [ОПЦИИ...] <ИМЯ ПОЛЬЗОВАТЕЛЯ>
useradd -D [ОПЦИИ...
Возможные опции:
-b каталог – базовый каталог для домашнего каталога новой учётной записи;
-c комментарий – текстовая строка (обычно используется для указания фамилии и ме-
ни);
-d каталог – домашний каталог новой учётной записи;
-D – показать или изменить настройки по умолчанию для useradd;
-e дата – дата устаревания новой учётной записи;
-g группа – имя или ID первичной группы новой учётной записи;
-G группы – список дополнительных групп (через запятую) новой учётной записи;
-m – создать домашний каталог пользователя;
-M – не создавать домашний каталог пользователя;
-p пароль – зашифрованный пароль новой учётной записи (не рекомендуется);
-s оболочка – регистрационная оболочка новой учётной записи (по умолчанию /bin/
bash);
-u UID – пользовательский ID новой учётной записи.
Команда useradd имеет множество параметров, которые позволяют менять её поведение
по умолчанию. Например, можно принудительно указать, какой будет UID или какой группе будет
принадлежать пользователь:
425
# useradd -u 1500 -G usershares new_user
9.4.3 Команда passwd
Команда passwd поддерживает традиционные опции passwd и утилит shadow.
Синтаксис:
passwd [ОПЦИИ...] [ИМЯ ПОЛЬЗОВАТЕЛЯ]
Возможные опции:
-d, --delete – удалить пароль для указанной записи;
-f, --force – форсировать операцию;
-k, --keep-tokens – сохранить не устаревшие пароли;
-l, --lock – блокировать указанную запись;
--stdin – прочитать новые пароли из стандартного ввода;
-S, --status – дать отчет о статусе пароля в указанной записи;
-u, --unlock – разблокировать указанную запись;
-?, --help – показать справку и выйти;
--usage – дать короткую справку по использованию;
-V, --version – показать версию программы и выйти.
Код выхода: при успешном завершении passwd заканчивает работу с кодом выхода 0. Код
выхода 1 означает, что произошла ошибка. Текстовое описание ошибки выводится на стандарт-
ный поток ошибок.
Пользователь может в любой момент поменять свой пароль. Единственное, что требуется
для смены пароля – знать текущий пароль.
Только суперпользователь может обновить пароль другого пользователя.
9.4.4 Добавление нового пользователя
Для добавления нового пользователя используйте команды useradd и passwd:
# useradd test1
# passwd test1
passwd: updating all authentication tokens for user test1.
You can now choose the new password or passphrase.
A valid password should be a mix of upper and lower case letters, digits, and
other characters. You can use a password containing at least 7 characters
from all of these classes, or a password containing at least 8 characters
426
from just 3 of these 4 classes.
An upper case letter that begins the password and a digit that ends it do not
count towards the number of character classes used.
A passphrase should be of at least 3 words, 11 to 72 characters long, and
contain enough different characters.
Alternatively, if no one else can see your terminal now, you can pick this as
your password: "Burst*texas$Flow".
Enter new password:
Weak password: too short.
Re-type new password:
passwd: all authentication tokens updated successfully.
В результате описанных действий в системе появился пользователь test1 с некоторым паро-
лем. Если пароль оказался слишком слабым с точки зрения системы, она об этом предупредит (как
в примере выше). Пользователь в дальнейшем может поменять свой пароль при помощи команды
passwd – но если он попытается поставить слабый пароль, система откажет ему (в отличие от
root) в изменении.
В ОС «Альт Сервер» для проверки паролей на слабость используется модуль PAM
passwdqc.
9.4.5 Настройка парольных ограничений
Настройка парольных ограничений производится в файле /etc/passwdqc.conf.
Файл passwdqc.conf состоит из 0 или более строк следующего формата:
опция=значение
Пустые строки и строки, начинающиеся со знака решетка («#»), игнорируются. Символы
пробела между опцией и значением не допускаются.
Опции, которые могут быть переданы в модуль (в скобках указаны значения по умолча-
нию): min=N0,N1,N2,N3,N4 (min=disabled,24,11,8,7) – минимально допустимая длина пароля.
Используемые типы паролей по классам символов (алфавит, число, спецсимвол, верхний и
нижний регистр) определяются следующим образом:
тип N0 используется для паролей, состоящих из символов только одного класса;
тип N1 используется для паролей, состоящих из символов двух классов;
тип N2 используется для парольных фраз, кроме этого требования длины, парольная фраза
должна также состоять из достаточного количества слов;
427
типы N3 и N4 используются для паролей, состоящих из символов трех и четырех классов,
соответственно.
Ключевое слово disabled используется для запрета паролей выбранного типа N0 – N4 неза-
висимо от их длины.
П р и м е ч а н и е . Каждое следующее число в настройке «min» должно быть не больше, чем
предыдущее.
При расчете количества классов символов, заглавные буквы, используемые в качестве пер-
вого символа и цифр, используемых в качестве последнего символа пароля, не учитываются.
max=N (max=72) – максимально допустимая длина пароля. Эта опция может быть ис-
пользована для того, чтобы запретить пользователям устанавливать пароли, которые могут быть
слишком длинными для некоторых системных служб. Значение 8 обрабатывается особым об-
разом: пароли длиннее 8 символов, не отклоняются, а обрезаются до 8 символов для проверки на-
дежности (пользователь при этом предупреждается).
passphrase=N (passphrase=3) – число слов, необходимых для ключевой фразы (зна-
чение 0 отключает поддержку парольных фраз).
match=N (match=4) – длина общей подстроки, необходимой для вывода, что пароль хо-
тя бы частично основан на информации, найденной в символьной строке (значение 0 отключает
поиск подстроки). Если найдена слабая подстрока пароль не будет отклонен; вместо этого он бу-
дет подвергаться обычным требованиям к прочности при удалении слабой подстроки. Поиск
подстроки нечувствителен к регистру и может обнаружить и удалить общую подстроку, написан-
ную в обратном направлении.
similar=permit|deny (similar=deny) – параметр similar=permit разрешает
задать новый пароль, если он похож на старый (параметр similar=deny – запрещает). Пароли
считаются похожими, если есть достаточно длинная общая подстрока, и при этом новый пароль с
частично удаленной подстрокой будет слабым.
random=N[,only] (random=47) – размер случайно сгенерированных парольных фраз
в битах (от 26 до 81) или 0, чтобы отключить эту функцию. Любая парольная фраза, которая со-
держит предложенную случайно сгенерированную строку, будет разрешена вне зависимости от
других возможных ограничений. Значение only используется для запрета выбранных пользова-
телем паролей.
enforce=none|users|everyone (enforce=users) – параметр enforce=users
задает ограничение задания паролей в passwd на пользователей без полномочий root. Параметр
enforce=everyone задает ограничение задания паролей в passwd и на пользователей, и на
428
суперпользователя root. При значении none модуль PAM будет только предупреждать о слабых
паролях.
retry=N (retry=3) – количество запросов нового пароля, если пользователь с первого
раза не сможет ввести достаточно надежный пароль и повторить его ввод.
Далее приводится пример задания следующих значений в файле /etc/passwdqc.conf:
min=8,7,4,4,4
enforce=everyone
В указанном примере пользователям, включая суперпользователя root, будет невозможно
задать пароли:
типа N0 (символы одного класса) – длиной меньше восьми символов;
типа N1 (символы двух классов) – длиной меньше семи символов;
типа N2 (парольные фразы), типа N3 (символы трех классов) и N4 (символы четырех
классов) – длиной меньше четырех символов.
9.4.6 Управление сроком действия пароля
Для управления сроком действия паролей используется команда chage.
П р и м е ч а н и е . Должен быть установлен пакет shadow-change:
# apt-get install shadow-change
chage изменяет количество дней между сменой пароля и датой последнего изменения па-
роля.
Синтаксис команды:
chage [опции] логин
Основные опции:
-d, --lastday LAST_DAY – установить последний день смены пароля в LAST_DAY
(число дней с 1 января 1970). Дата может быть указана в формате ГГГГ-ММ-ДД;
-E, --expiredate EXPIRE_DAYS – установить дату окончания действия учётной запи-
си в EXPIRE_DAYS (число дней с 1 января 1970). Дата может быть указана в формате ГГГГ-ММ-
ДД. Значение -1 удаляет дату окончания действия учётной записи;
-I, --inactive INACTIVE – используется для задания количества дней «неактивно-
сти», то есть дней, когда пользователь вообще не входил в систему, после которых его учетная за-
пись будет заблокирована. Пользователь, чья учетная запись заблокирована, должен обратиться к
системному администратору, прежде чем снова сможет использовать систему. Значение -1 от-
ключает этот режим;
-l,--list – просмотр информации о «возрасте» учётной записи пользователя;
429
-m, --mindays MIN_DAYS – установить минимальное число дней перед сменой пароля.
Значение 0 в этом поле обозначает, что пользователь может изменять свой пароль, когда угодно;
-M, --maxdays MAX_DAYS – установить максимальное число дней перед сменой пароля.
Когда сумма MAX_DAYS и LAST_DAY меньше, чем текущий день, у пользователя будет запро-
шен новый пароль до начала работы в системе. Эта операция может предваряться предупреждени-
ем (параметр -W). При установке значения -1, проверка действительности пароля не будет вы-
полняться;
-W, --warndays WARN_DAYS – установить число дней до истечения срока действия па-
роля, начиная с которых пользователю будет выдаваться предупреждение о необходимости смены
пароля.
Пример настройки времени действия пароля для пользователя test:
# chage -M 5 test
Получить информацию о «возрасте» учётной записи пользователя test:
# chage -l test
Последний раз пароль был изменён : мар 13, 2025
Срок действия пароля истекает : мар 18, 2025
Пароль будет деактивирован через : никогда
Срок действия учётной записи истекает : никогда
Минимальное количество дней между сменой пароля : -1
Максимальное количество дней между сменой пароля : 5
Количество дней с предупреждением перед деактивацией пароля : -1
П р и м е ч а н и е . Задать время действия пароля для вновь создаваемых пользователей мож-
но, изменив параметр PASS_MAX_DAYS в файле /etc/login.defs.
9.4.7 Настройка неповторяемости пароля
Для настройки неповторяемости паролей используется модуль pam_pwhistory, который
сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля
чередовать один и тот же пароль слишком часто.
П р и м е ч а н и е . В данном случае системный каталог станет доступным для записи пользо-
вателям группы pw_users (следует создать эту группу и включить в неё пользователей).
П р и м е ч а н и е . База используемых паролей ведется в файле /etc/security/opasswd,
в который пользователи должны иметь доступ на чтение и запись. При этом они могут читать хэ-
ши паролей остальных пользователей. Не рекомендуется использовать на многопользовательских
системах.
Создайте файл /etc/security/opasswd и дайте права на запись пользователям:
430
# install -Dm0660 -gpw_users /dev/null /etc/security/opasswd
# chgrp pw_users /etc/security
# chmod g+w /etc/security
Для настройки этого ограничения необходимо изменить файл /etc/pam.d/system-
auth-local-only таким образом, чтобы он включал модуль pam_pwhistory после первого
появления строки с паролем:
password required pam_passwdqc.so config=/etc/passwdqc.-
conf
password required pam_pwhistory.so debug use_authtok re-
member=10 retry=3
После добавления этой строки в файле /etc/security/opasswd будут храниться по-
следние 10 паролей пользователя (содержит хэши паролей всех учетных записей пользователей) и
при попытке использования пароля из этого списка будет выведена ошибка:
Password has been already used. Choose another.
В случае если необходимо, чтобы проверка выполнялась и для суперпользователя root, в
настройки нужно добавить параметр enforce_for_root:
password required pam_pwhistory.so
use_authtok enforce_for_root remember=10 retry=3
9.4.8 Модификация пользовательских записей
Для модификации пользовательских записей применяется утилита usermod:
# usermod -G audio,rpm,test1 test1
Такая команда изменит список групп, в которые входит пользователь test1 – теперь это
audio, rpm, test1.
# usermod -l test2 test1
Будет произведена смена имени пользователя с test1 на test2.
Команды usermod -L test2 и usermod -U test2 соответственно временно блоки-
руют возможность входа в систему пользователю test2 и возвращают всё на свои места.
Изменения вступят в силу только при следующем входе пользователя в систему.
При неинтерактивной смене или задании паролей для целой группы пользователей исполь-
зуется команда chpasswd. На стандартный вход ей следует подавать список, каждая строка кото-
рого будет выглядеть как имя:пароль.
9.4.9 Удаление пользователей
Для удаления пользователей используется команда userdel.
431
Команда userdel test2 удалит пользователя test2 из системы. Если будет дополнитель-
но задан параметр -r, то будет уничтожен и домашний каталог пользователя. Нельзя удалить
пользователя, если в данный момент он еще работает в системе.
9.5 Режим суперпользователя
9.5.1 Какие бывают пользователи?
Linux – система многопользовательская, а потому пользователь – ключевое понятие для ор-
ганизации всей системы доступа в Linux. Файлы всех пользователей в Linux хранятся раздельно, у
каждого пользователя есть собственный домашний каталог, в котором он может хранить свои дан-
ные. Доступ других пользователей к домашнему каталогу пользователя может быть ограничен.
Суперпользователь в Linux – это выделенный пользователь системы, на которого не рас-
пространяются ограничения прав доступа. Именно суперпользователь имеет возможность произ-
вольно изменять владельца и группу файла. Ему открыт доступ на чтение и запись к любому
файлу или каталогу системы.
Среди учётных записей Linux всегда есть учётная запись суперпользователя – root. Поэтому
вместо «суперпользователь» часто говорят «root». Множество системных файлов принадлежат
root, множество файлов только ему доступны для чтения или записи. Пароль этой учётной записи
– одна из самых больших драгоценностей системы. Именно с её помощью системные администра-
торы выполняют самую ответственную работу.
9.5.2 Для чего может понадобиться режим суперпользователя?
Системные утилиты, например, такие, как ЦУС или «Программа управления пакетами
Synaptic» требуют для своей работы привилегий суперпользователя, потому что они вносят изме-
нения в системные файлы. При их запуске выводится диалоговое окно с запросом пароля систем-
ного администратора.
9.5.3 Как получить права суперпользователя?
Для опытных пользователей, умеющих работать с командной строкой, существует два раз-
личных способа получить права суперпользователя.
Первый – это зарегистрироваться в системе под именем root.
Второй способ – воспользоваться специальной утилитой su (shell of user), которая позволя-
ет выполнить одну или несколько команд от лица другого пользователя. По умолчанию эта утили-
та выполняет команду sh от пользователя root, то есть запускает командный интерпретатор. От-
личие от предыдущего способа в том, что всегда известно, кто именно запускал su, а значит, ясно,
кто выполнил определённое административное действие.
В некоторых случаях удобнее использовать не su, а утилиту sudo, которая позволяет вы-
полнять только заранее заданные команды.
432
П р и м е ч а н и е . Для того чтобы воспользоваться командами su и sudo, необходимо быть
членом группы wheel. Пользователь, созданный при установке системы, по умолчанию уже
включён в эту группу.
В дистрибутивах «Альт» для управления доступом к важным службам используется подси-
стема control. control – механизм переключения между неким набором фиксированных со-
стояний для задач, допускающих такой набор.
Команда control доступна только для суперпользователя (root). Для того чтобы посмот-
реть, что означает та или иная политика control (разрешения выполнения конкретной команды,
управляемой control), надо запустить команду с ключом help:
# control su help
Запустив control без параметров, можно увидеть полный список команд, управляемых
командой (facilities) вместе с их текущим состоянием и набором допустимых состояний.
9.5.4 Как перейти в режим суперпользователя?
Для перехода в режим суперпользователя наберите в терминале команду (минус важен!):
su -
Если воспользоваться командой su без ключа, то происходит вызов командного интерпре-
татора с правами root. При этом значение переменных окружения, в частности $PATH, остаётся
таким же, как у пользователя: в переменной $PATH не окажется каталогов /sbin, /usr/sbin,
без указания полного имени будут недоступны команды route, shutdown, mkswap и другие.
Более того, переменная $HOME будет указывать на каталог пользователя, все программы, запу-
щенные в режиме суперпользователя, сохранят свои настройки с правами root в каталоге пользова-
теля, что в дальнейшем может вызвать проблемы.
Чтобы избежать этого, следует использовать su -. В этом режиме su запустит командный
интерпретатор в качестве login shell, и он будет вести себя в точности так, как если бы в системе
зарегистрировался root.
9.6 Управление шифрованными разделами
П р и м е ч а н и е . Зашифрованный раздел может быть создан, например, при установке си-
стемы.
В LUKS для одного зашифрованного раздела используются восемь слотов, в каждом из ко-
торых может храниться отдельный пароль (ключ). Любой из восьми ключей может быть использо-
ван для расшифровки раздела. Любой пароль может быть изменён или удалён необратимо.
Для управления шифрованными разделами можно воспользоваться командой crypt-
setup. Ниже описаны лишь некоторые возможности утилиты cryptsetup. Для получения бо-
лее подробной информации используйте команду man cryptsetup.
433
Просмотреть текущее состояние всех слотов:
# cryptsetup luksDump /dev/sdb1 | grep Slot
Key Slot 0: DISABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
где /dev/sdb1 – шифрованный раздел.
П р и м е ч а н и е . Определить является ли устройство LUKS-разделом можно, выполнив ко-
манду:
# cryptsetup isLuks -v /dev/sdb1
Команда выполнена успешно.
Определить какой раздел является шифруемым можно, выполнив команду:
# lsblk
NAME MAJ:MIN RM SIZE RO TYPE
MOUNTPOINT
sda 8:0 0 18G 0 disk
├─sda1 8:1 0 1023M 0 part
[SWAP]
└─sda2 8:2 0 17G 0 part /
sdb 8:16 0 18G 0 disk
└─sdb1 8:17 0 18G 0 part
└─luks-7853363d-e7e2-1a42-b5b9-0af119e19920 253:0 0 18G 0 crypt /home
sr0 11:0 1 1024M 0 rom
Добавить новый пароль на зашифрованный раздел (требуется предоставить уже имеющий-
ся пароль интерактивно или посредством опции --key-file):
# cryptsetup luksAddKey /dev/sdb1
Введите любую существующую парольную фразу:
Введите новую парольную фразу для слота ключа:
Парольная фраза повторно:
П р и м е ч а н и е . Пароль должен представлять собой смесь заглавных и строчных букв,
цифр и других символов. Можно использовать пароль, содержащий не менее 7 символов из всех
434
этих классов, или пароль, содержащий не менее 8 символов только трех классов. При расчете ко-
личества классов символов, заглавные буквы, используемые в качестве первого символа и цифр,
используемых в качестве последнего символа пароля, не учитываются. Настоятельно рекоменду-
ется выбирать символы парольной фразы только из 7-битного ASCII.
Пароль будет назначен в первый свободный слот:
# cryptsetup luksDump /dev/sdb1 | grep Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Можно указать номер определенного слота с помощью опции --key-slot, например:
# cryptsetup luksAddKey /dev/sdb1 --key-slot 5
Заменить один из паролей на другой (старый пароль нужно ввести интерактивно или задать
опцией --key-file):
# cryptsetup luksChangeKey /dev/sdb1
Введите изменяемую парольную фразу:
Введите новую парольную фразу:
Парольная фраза повторно:
Если задан номер слота (опцией --key-slot), нужно ввести старый пароль именно для
заданного слота, и замена пароля произойдёт тоже в этом слоте. Если номер слота не задан и есть
свободный слот, то сначала новый пароль будет записан в свободный слот, а потом будет затёрт
слот, содержащий старый пароль. Если свободных слотов не окажется, то новый пароль будет за-
писан прямо в слот, ранее содержащий старый пароль.
Удалить заданный пароль (затирает слот):
# cryptsetup luksRemoveKey /dev/sdb1
Введите удаляемую парольную фразу:
П р и м е ч а н и е . В пакетном режиме (-q) удаление даже последнего пароля будет выпол-
нено без каких-либо предупреждений. Если ни одного пароля не останется (то есть все слоты клю-
чей будут пусты), дешифровать LUKS-раздел станет невозможно.
Для сброса забытого пароля на зашифрованный раздел следует выполнить следующие дей-
ствия:
435
1) получить зашифрованные пароли всех разделов:
# dmsetup table --showkey
luks-7853363d-e7e2-1a42-b5b9-0af119e19920: 0 37730304 crypt aes-cbc-
essiv:sha256 b15c22e8d60a37bcd27fb438637a8221f-
bec66c83be46d33a8331a4002cf3144 0 8:17 4096
Часть поля после «aes-cbc-essiv:sha256» является зашифрованным паролем.
Сохранить зашифрованный пароль в текстовый файл:
# echo "b15c22e8d60a37bcd27fb438637a8221f-
bec66c83be46d33a8331a4002cf3144" > lukskey.txt
2) преобразовать существующий пароль из текстового файла в двоичный файл:
# xxd -r -p lukskey.txt lukskey.bin
luks-7853363d-e7e2-1a42-b5b9-0af119e19920: 0 37730304 crypt aes-cbc-
essiv:sha256 b15c22e8d60a37bcd27fb438637a8221f-
bec66c83be46d33a8331a4002cf3144 0 8:17 4096
3) добавить новый пароль, используя существующий пароль, извлеченный в бинарный
файл:
# cryptsetup luksAddKey /dev/sdb1 --master-key-file <(cat lukskey.bin)
Введите новую парольную фразу для слота ключа:
Парольная фраза повторно:
П р и м е ч а н и е . Сбросить пароль на зашифрованный раздел можно, только если данный
раздел уже примонтирован.
9.7 Поддержка файловых систем
Файловая система представляет собой набор правил, определяющих то, как хранятся и из-
влекаются документы, хранящиеся на устройстве.
В ОС «Альт Сервер» поддерживаются следующие файловые системы:
ext2 – нежурналируемая файловая система; относительно проста в восстановлении, но ну-
ждается в относительно долгой проверке целостности после сбоя питания или ядра. Может
использоваться для /boot или readonly-разделов;
ext3 – журналируемая и достаточно надёжная файловая система, имеет среднюю произво-
дительность;
ext4 – журналируемая файловая система, логическое продолжение ext3, позволяет полно-
стью отключить журналирование;
btrfs – поддерживает снимки (копии файловой системы на определенный момент времени),
сжатие и подтома;
436
xfs – высокопроизводительная журналируемая файловая система, имеющая более высокую
чувствительность к сбоям. Рекомендуется для активно используемых файловых систем при
условии стабильного питания и качественной аппаратной части;
jfs – журналируемая файловая система, имеющая поддержку перекодирования имён файлов
(iocharset);
iso9660 – файловая система ISO 9660 для дисков с данными компакт-дисков.
Файловые системы FAT/FAT32/NTFS поддерживаются в установленной системе, но не для
установки на них Linux.
Проверка поддержки файловых систем ext2, ext3, ext4, iso9660, fat16, fat32, ntfs, xfs:
1) создать раздел объемом менее 4 Гбайт на flash-накопителе (например, /dev/vdс1).
2) для создания ISO-файла установить пакет genisoimage:
# apt-get install genisoimage
3) создать каталог /mnt/filesystem, в который будет монтироваться раздел:
# mkdir /mnt/filesystem
4) отформатировать раздел в проверяемую файловую систему:
для ext2:
# mkfs.ext2 /dev/vdc1
для ext3:
# mkfs.ext3 /dev/vdc1
для ext4:
# mkfs.ext4 /dev/vdc1
для fat16:
# mkfs.fat -F 16 /dev/vdc1
для fat32:
# mkfs.fat -F 32 /dev/vdc1
для ntfs:
# mkfs.ntfs /dev/vdc1
для xfs:
# mkfs.xfs /dev/vdc1
для iso9660 – создать ISO-файл из каталога /etc:
# mkisofs -r -jcharset koi8-r -o /root/cd.iso /etc
5) для проверки поддержки файловых систем ext2, ext3, ext4, fat16, fat32, ntfs:
примонтировать раздел с файловой системой в каталог /mnt/filesystem:
# mount /dev/vdc1 /mnt/filesystem
437
проверить возможность записи файла на текущую файловую систему:
# echo test_content > /mnt/filesystem/test.fs
убедиться, что файл создан:
# ls -l /mnt/filesystem/test.fs
-rw-r--r--. 1 root root 13 май 23 20:10 /mnt/filesystem/test.fs
проверить возможность чтения файла с текущей файловой системы:
# cat /mnt/filesystem/test.fs
6) для проверки поддержки файловой системы iso9660 смонтировать созданный ISO-файл
в каталог /mnt/filesystem/ (файл образа диска будет примонтирован в режиме «только для чте-
ния»):
# mount -o loop,ro /root/cd.iso /mnt/filesystem/
П р и м е ч а н и е . Для просмотра файловых систем на физических дисках можно воспользо-
ваться командой df:
$ df -Th | grep "^/dev"
или lsblk:
$ lsblk -f
Команда fsck позволяет узнать файловую систему раздела, который ещё не примонтиро-
ван:
# fsck -N /dev/sdc1
fsck из util-linux 2.39.2
[/sbin/fsck.xfs (1) -- /dev/sdc1] fsck.xfs /dev/sdc1
9.8 Поддержка сетевых протоколов
9.8.1 SMB
Samba – пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на
различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную ча-
сти.
9.8.1.1 Настройка Samba
Настройка Samba описана в разделе «Samba в режиме файлового сервера».
9.8.1.2 Настройка клиента
Для создания подключения по протоколу SMB в графической среде GNOME можно,
запустить файловый менеджер, указать в адресной строке протокол и адрес сервера (Рис. 400).
Нажать клавишу <Enter>. Будут показаны ресурсы с общим доступом (Рис. 401). Для доступа к
папке, необходимо указать имя пользователя, пароль и нажать кнопку «Подключиться» (Рис. 402).
438
Создание подключения по протоколу SMB
Рис. 400
Ресурсы с общим доступом
Рис. 401
Создание подключения по протоколу SMB
Рис. 402
Можно осуществлять монтирование ресурса Samba через /etc/fstab.
Просмотреть список общедоступных ресурсов на сервере:
$ smbclient -L 192.168.0.147 -U%
Просмотреть список ресурсов на сервере доступных пользователю user_samba:
$ smbclient -L 192.168.0.147 -Uuser_samba
439
Enter SAMBA\user_samba's password:
Sharename Type Comment
--------- ---- -------
print$ Disk Printer Drivers
public Disk Public
IPC$ IPC IPC Service (Samba 4.20.6-alt3)
For_doc Disk
user_samba Disk Home Directories
SMB1 disabled -- no workgroup available
Создать файл /etc/samba/sambacreds (например, командой mcedit
/etc/samba/sambacreds), с содержимым:
username=имя_пользователя
password=пароль
Для защиты информации, права на файл /etc/samba/sambacreds, надо установить так,
чтобы файл был доступен на чтение и запись только пользователю-владелецу файла:
# chmod 600 /etc/samba/sambacreds
и принадлежать root:
# chown root: /etc/samba/sambacreds
Для монтирования ресурса Samba в /etc/fstab необходимо прописать, строку вида:
//СЕРВЕР/ИМЯ_РЕСУРСА /mnt/точка_монтирования cifs
credentials=/путь/к/полномочиям/sambacreds 0 0
Например:
//192.168.0.147/public /mnt/server_public cifs users,_netdev,x-
systemd.automount,credentials=/etc/samba/sambacreds 0 0
9.8.2 NFS
9.8.2.1 Настройка сервера NFS
Установить пакет nfs-server:
# apt-get install nfs-server
Запустить NFS-сервер и включить его по умолчанию:
# systemctl enable --now nfs
В файле /etc/exports следует указать экспортируемые каталоги (каталоги, которые бу-
дет разрешено монтировать с других машин):
/mysharedir ipaddr1(rw)
440
Например, чтобы разрешить монтировать каталог /home на сервере необходимо добавить в
/etc/exports строку:
/home 192.168.0.0/24(no_subtree_check,rw)
где 192.168.0.0/24 – разрешение экспорта для подсети 192.168.0.X;
rw – разрешены чтение и запись.
Подробную информацию о формате файла можно посмотреть, выполнив команду:
$ man exports
После внесения изменений в файл /etc/exports необходимо выполнить команду:
# exportfs -r
Проверить список экспортируемых файловых систем можно, выполнив команду:
# exportfs
/home 192.168.0.0/24
9.8.2.2 Использование NFS
Подключение к NFS-серверу можно производить как вручную, так и настроив автоматиче-
ское подключение при загрузке.
Для ручного монтирования необходимо:
создать точку монтирования:
# mkdir /mnt/nfs
примонтировать файловую систему:
# mount -t nfs 192.168.0.131:/home /mnt/nfs
где 192.168.0.131 – IP-адрес сервера NFS;
/mnt/nfs – локальный каталог, куда монтируется удалённый каталог;
проверить наличие файлов в каталоге /mnt/nfs:
# ls -al /mnt/nfs
Должен отобразиться список файлов каталога /home, расположенного на сервере NFS.
Для автоматического монтирования к NFS-серверу при загрузке, необходимо добавить сле-
дующую строку в файл /etc/fstab:
192.168.0.131:/home /mnt/nfs nfs intr,soft,nolock,_netdev,x-sys-
temd.automount 0 0
П р и м е ч а н и е . Прежде чем изменять /etc/fstab, попробуйте смонтировать вручную и
убедитесь, что всё работает.
441
9.8.3 FTP
9.8.3.1 Настройка сервера FTP
В состав ОС «Альт Сервер» входит vsftpd (Very Secure FTP Daemon) – полнофункцио-
нальный FTP-сервер, позволяющий обслуживать как анонимные запросы, так и запросы от пользо-
вателей, зарегистрированных на сервере и имеющих полноценный доступ к его ресурсам.
П р и м е ч а н и е . Настроить FTP-сервер можно также в ЦУС (подробнее см. «FTP-сервер»).
Установить пакеты vsftpd и anonftp:
# apt-get install vsftpd anonftp
Изменить настройку прав доступа в файле /etc/vsftpd.conf:
local_enable=YES
chroot_local_user=YES
local_root=/var/ftp/
Запустить vsftpd:
# systemctl start vsftpd.service
Убедиться в нормальной работе FTP-сервера
# netstat -ant | grep 21
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
FTP-сервер запущен и принимает соединения на 21 порту.
Создать файл в каталоге /var/ftp/:
# echo "vsftpd test file" > /var/ftp/test.txt
9.8.3.2 Подключение рабочей станции
Создать подключение по протоколу FTP в графической среде GNOME можно в файловом
менеджере. Для этого следует указать в адресной строке протокол и адрес сервера (Рис. 403) и
нажать клавишу <Enter>. В появившемся окне указать имя пользователя, пароль и нажать кнопку
«Подключиться» (Рис. 404).
Должен отобразиться список файлов каталога /var/ftp/, расположенного на сервере FTP
(Рис. 405).
442
Создание подключения по протоколу FTP
Рис. 403
Создание подключения по протоколу FTP
Рис. 404
Файл на FTP-сервере
Рис. 405
443
9.8.4 NTP
9.8.4.1 Настройка сервера NTP
В качестве NTP сервера/клиента используется сервер времени chrony:
chronyd – демон, работающий в фоновом режиме. Он получает информацию о разнице си-
стемных часов и часов внешнего сервера времени и корректирует локальное время. Демон
реализует протокол NTP и может выступать в качестве клиента или сервера.
chronyc – утилита командной строки для контроля и мониторинга программы. Утилита ис-
пользуется для тонкой настройки различных параметров демона, например, позволяет до-
бавлять или удалять серверы времени.
Выполнить настройку NTP-сервера можно следующими способами:
в ЦУС настроить модуль «Дата и время» на получение точного времени с NTP сервера и
работу в качестве NTP-сервера и нажать кнопку «Применить» (Рис. 406).
Настройка модуля «Дата и время»
Рис. 406
указать серверы NTP в директиве server или pool в файле конфигурации NTP /etc/
chrony.conf:
allow all #Разрешить NTP-клиенту доступ из локальной сети
pool pool.ntp.org iburst
и перезапустить сервис командой:
# systemctl restart chronyd
Убедиться в нормальной работе NTP-сервера можно, выполнив команду:
444
# systemctl status chronyd.service
9.8.4.2 Настройка рабочей станции
Настроить модуль «Дата и время» на получение точного времени с NTP-сервера (в качестве
NTP-сервера указать IP-адрес сервера NTP) и нажать кнопку «Применить» (Рис. 407).
Настройка модуля «Дата и время» на рабочей станции
Рис. 407
Проверить текущие источники времени:
$ chronyc sources
MS Name/IP address Stratum Poll Reach LastRx Last sample
======================================================================
^? 192.168.0.131 0 10 0 - +0ns[ +0ns] +/- 0n
Проверить статус источников NTP:
$ chronyc activity
200 OK
1 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address
445
9.8.5 HTTP(S)
9.8.5.1 Настройка сервера HTTP
В состав ОС «Альт Сервер» входит как веб-сервер Apache, так и nginx. Пример настройки
веб-сервера nginx см. в разделе «Настройка веб-сервера»). Ниже рассмотрен пример настрой-
ки веб-сервера Apache.
Установить пакет apache2-base:
# apt-get install apache2-base
Запустить httpd2:
# systemctl start httpd2
Убедиться, что служба httpd2 запущена:
# systemctl status httpd2
Создать стартовую страницу для веб-сервера:
# echo "Hello, World" >/var/www/html/index.html
9.8.5.2 Настройка рабочей станции
Запустить браузер, перейти по адресу http://<IP-адрес> (Рис. 408).
Обращение к серверу и получение данных по протоколу http
Рис. 408
Можно также выполнить команду:
$ curl http://192.168.0.199
Hello, World
Происходит обращение к серверу и получение данных по протоколу http.
9.9 Механизм аудита
Механизм аудита состоит из нескольких компонентов:
модуль ядра – перехватывает системные вызовы (syscalls) и выполняет регистрацию собы-
тий;
служба auditd – записывает зарегистрированное событие в файл;
служба audit-rules – загружает правила аудита в ядро и после этого завершается;
446
служба audispd – осуществляет пересылку сообщений (выступает в роли диспетчера) к дру-
гому приложению;
ряд вспомогательных программ:
auditctl – программа, управляющая поведением системы аудита и позволяющая
контролировать текущее состояние системы, создавать или удалять правила;
aureport – программа, генерирующая суммарные отчеты о работе системы аудита;
ausearch – программа, позволяющая производить поиск событий в журнальных
файлах;
aulast – используется для просмотра истории входов пользователей, основанной на
логах аудита (auditd).
Программы отсылают записи, предназначенные для журналирования, системному демону
auditd, который идентифицирует тип каждой пришедшей записи и обрабатывает запись способом,
определенным для данного типа.
Для каждого из регистрируемых событий в журналах указывается следующая информация:
дата и время;
субъект, осуществляющий регистрируемое действие;
тип события (если регистрируется запрос на доступ, то указываются объект и тип доступа);
успешность осуществления события (обслужен запрос на доступ или нет).
Конфигурация аудита хранится в файле /etc/audit/auditd.conf.
Правила аудита, загружаемые при запуске службы audit-rules, хранятся в файлах .rules в ка-
талоге /etc/audit/rules.d/. Правила будут обрабатываться в определённом порядке, осно-
ванном на их естественном порядке сортировки. Механизм правил ядра использует стратегию
«первый совпавший выигрывает», поэтому порядок правил имеет значение.
Для просмотра журналов используются команды ausearch и aureport. Команда au-
ditctl позволяет настраивать правила аудита.
9.9.1 Команда auditd
Служба auditd – это прикладной компонент системы аудита. Она ведёт журнал аудита на
диске.
Синтаксис команды auditd:
auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c <config_file>]
Опции:
-f – не переходить в фоновый режим (для отладки). Сообщения программы будут направ-
ляться в стандартный вывод для ошибок (stderr), а не в файл;
447
-l – включить следование по символическим ссылкам при поиске конфигурационных
файлов;
-n – не создавать дочерний процесс (для запуска из inittab или system);
-s=ENABLE_STATE – указать, должен ли auditd при старте изменять текущее значение
флага ядра – enabled. Допустимые значения ENABLE_STATE: disable, enable и nochange.
Значение по умолчанию enable (disable, когда auditd остановлен). Значение флага может
быть изменено во время жизненного цикла auditd с помощью команды: auditctl -e;
-c – указать альтернативный каталог конфигурационного файла (по умолчанию: /etc/
audit/). Этот же каталог будет передан диспетчеру.
Сигналы:
SIGHUP – перезагрузить конфигурацию – загрузить файл конфигурации с диска. Если в
файле не окажется синтаксических ошибок, внесённые в него изменения вступят в силу.
При этом в журнал будет добавлена запись о событии DAEMON_CONFIG. В противном
случае действия службы будут зависеть от параметров space_left_action,
admin_space_left_action, disk_full_action, disk_error_action в файле
auditd.conf;
SIGTERM – прекратить обработку событий аудита и завершить работу, о чем предваритель-
но занести запись в журнал;
SIGUSR1 – произвести ротацию файлов журналов auditd. Создать новый файл журнала,
перенумеровав старые файлы или удалив часть из них, в зависимости от параметра
max_log_size_action;
SIGUSR2 – попытаться возобновить ведение журналов auditd (необходимо после при-
остановки ведения журнала);
SIGCONT – выгрузить отчёт о внутреннем состоянии auditd в /var/run/auditd.s-
tate.
Файлы:
/etc/audit/auditd.conf – файл конфигурации службы аудита;
/etc/audit/audit.rules – правила аудита, загружаемые при запуске службы;
/etc/audit/audit-stop.rules – правила аудита, загружаемые при остановке служ-
бы;
/etc/audit/rules.d/ – каталог, содержащий отдельные наборы правил, которые бу-
дут скомпилированы в один файл утилитой augenrules;
448
/etc/audit/plugins.d/ – каталог, содержащий отдельные файлы конфигурации пла-
гинов.
Для того чтобы сделать возможным аудит всех процессов, запущенных до службы аудита,
необходимо добавить в строку параметров ядра (в конфигурации загрузчика) параметр audit=1.
В противном случае аудит некоторых процессов будет невозможен.
Демон аудита может получать события – сообщения от других приложений через плагин
audispd: audisp-remote. Демон аудита может быть связан с tcp_wrappers, чтобы контролиро-
вать, какие машины могут подключаться. В этом случае можно добавить запись в hosts.allow
и отказать в соединении.
9.9.2 Файл конфигурации auditd.conf
В файле /etc/audit/auditd.conf определяются параметры службы аудита. Директи-
ва состоит из ключевого слова (названия параметра), знака равенства и соответствующих ему дан-
ных (значения параметра). На одной строке может быть не больше одной директивы. Все названия
и значения параметров чувствительны к регистру. Допустимые ключевые слова перечислены в
табл. Таблица 10. Каждая строка должна быть ограничена 160 символами, иначе она будет пропу-
щена. К файлу можно добавить комментарии, начав строку с символа «#».
Т а б л и ц а 10 – Описание ключевых слов файла конфигурации auditd.conf
Ключ Значение
local_events Ключевое слово yes/no указывающее, следует ли включать запись локальных
событий (значение по умолчанию – yes). В случае если необходимо записывать
только сообщения из сети, следует установить значение – no. Этот параметр
полезен, если демон аудита работает в контейнере. Данный параметр может
быть установлен только один раз при запуске аудита. Перезагрузка файла кон-
фигурации никак на него не влияет
log_file Полное имя файла, в который следует записывать журнал
write_logs Ключевое слово yes/no, указывающее следует ли записывать журналы (значе-
ние по умолчанию – yes)
log_format Оформление данных в журнале. Допустимы два значения: raw и enriched. При
указании RAW, данные будут записываться в том виде, в котором они получа-
ются от ядра. Значение ENRICHED разрешает информацию (вместо идентифи-
катора, будет указано значение): идентификатор пользователя (uid), идентифи-
катор группы (gid), системный вызов (syscall), архитектуру и адрес сокета перед
записью события на диск. Это помогает осмыслить события, созданные в одной
системе, но сообщенные/проанализированные в другой системе. Значение
NOLOG устарело, вместо него следует установить параметр write_logs в значе-
ние no
log_group Указывает группу, на которую распространяются права на файлы журнала (по
умолчанию – root). Можно использовать либо идентификатор, либо имя группы
priority_boost Неотрицательное число, определяющее повышение приоритета выполнения
службы аудита. Значение по умолчанию – 4. Для того чтобы не изменять прио-
ритет, следует указать – 0
flush Стратегия работы с дисковым буфером.
Допустимые значения:
none – отключить какие-либо дополнительные действия со стороны служ-
449
Ключ Значение
бы по синхронизации буфера с диском;
incremental – выполнять запросы на перенос данных из буфера на диск с
частотой, задаваемой параметром freq;
incremental_async – тоже, что и incremental, за исключением того, что пере-
нос данных выполняется асинхронно для более высокой производительно-
сти;
data – немедленно синхронизировать данные файла;
sync – немедленно синхронизировать как данные, так и метаданные файла
при записи на диск.
Значение по умолчанию – incremental_async
freq Максимальное число записей журнала, которые могут храниться в буфере. При
достижении этого числа производится запись буферизованных данных на диск.
Данный параметр допустим только в том случае, когда flush имеет значение
incremental или incremental_async
num_logs Максимальное количество файлов с журналами. Используется в том случае,
если параметр max_log_file_action имеет значение rotate. Если указано число
меньше двух, при достижении ограничения на размер файла он обнуляется.
Значение параметра не должно превышать 999. Значение по умолчанию – 0 (то
есть ротация фалов не происходит). При указании большого числа может по-
требоваться увеличить ограничение на количество ожидающих запросов (в
файле /etc/audit/audit.rules). Если настроена ротация журналов, демон проверяет
наличие лишних журналов и удаляет их, чтобы освободить место на диске.
Проверка выполняется только при запуске и при проверке изменения конфигу-
рации
name_format Контролирует, как имена узлов компьютеров вставляются в поток событий
аудита.
Допустимые значения:
none – имя компьютера не используется в записи аудита;
hostname – имя, возвращаемое системным вызовом gethostname;
fqd – что аудит принимает имя хоста и разрешает его с помощью DNS в
полное доменное имя этой машины;
numeric – схоже с fqd, за исключением того, что разрешается IP-адрес ма-
шины. Чтобы использовать эту опцию, нужно убедиться, что команда
hostname -i или domainname -i возвращает числовой адрес. Кроме
того, эта опция не рекомендуется, если используется DHCP, поскольку у
одной и той же машины в разное время могут быть разные адреса;
user – строка, определенная администратором в параметре name.
Значение по умолчанию – none
name Строка, определенная администратором, которая идентифицирует компьютер,
если в параметре name_format указано значение user.
max_log_file Ограничение на размер файла журнала в мегабайтах. Действие, выполняемое
при достижении размера файла указанного значения, можно настроить с помо-
щью параметра max_log_file_action
max_log_file_action Действие, предпринимаемое при достижении размером файла журнала макси-
мального значения.
Допустимые значения:
ignore – отключить контроль над размером файла;
syslog – добавить соответствующую запись в системный журнал;
suspend – прекратить вести журнал на диске (служба аудита будет продол-
жать работать);
rotate – произвести ротацию журналов, с удалением самых старых, чтобы
освободить место на диске. Текущий файл будет переименован и будет
созан новый файл. Имя предыдущего файла журнала будет дополнено чис-
лом 1, а номера других журналов (если они имеются) будут увеличены на
450
Ключ Значение
единицу. Таким образом, чем больше номер у журнала, тем он старше.
Максимальное число файлов определяется параметром num_logs (соответ-
ствие ему достигается за счет удаления самых старых журналов). Такое
поведение аналогично поведению утилиты logrotate;
keep_logs – аналогично rotate, но число файлов не ограничено, это предот-
вращает потерю данных аудита. Журналы накапливаются и не удаляются,
что может вызвать событие space_left_action, если весь объём заполнится.
Это значение следует использовать в сочетании с внешним сценарием, ко-
торый будет периодически архивировать журналы
verify_email Определяет, проверяется ли адрес электронной почты, указанный в параметре
action_mail_acct, на предмет возможности разрешения доменного имени. Этот
параметр должен быть указан до параметра action_mail_acct, иначе будет ис-
пользовано значение по молчанию – yes
action_mail_acct Адрес электронной почты. Значение по умолчанию – root. Если адрес не ло-
кальный по отношению к данной системе, необходимо чтобы в ней был на-
строен механизм отправки почты. В частности, требуется наличие команды /
usr/lib/sendmail
space_left Минимум свободного пространства в мегабайтах, при достижении которого
должно выполняться действие, определяемое параметром space_left_action
space_left_action Действие, предпринимаемое при достижении объемом свободного про-
странства на диске указанного минимума.
Допустимые значения:
ignore – не производить никаких действий;
syslog – добавить соответствующую запись в системный журнал;
rotate – произвести ротацию журналов, с удалением самых старых, чтобы
освободить место на диске;
email – отправить уведомление по адресу, указанному в action_mail_acct;
exec – запустить программу по указанному пути (передача параметров не
поддерживается);
suspend – прекратить вести журнал на диске (служба аудита будет продол-
жать работать);
single – перевести компьютер в однопользовательский режим;
halt – выключить компьютер
admin_space_left Критический минимум свободного пространства в мегабайтах, при достижении
которого должно выполняться действие, определяемое параметром
admin_space_left_action. Данное действие следует рассматривать как послед-
нюю меру, предпринимаемую перед тем, как закончится место на диске. Значе-
ние настоящего параметра должно быть меньше значения space_left
admin_space_left_action Действие, предпринимаемое при достижении объёмом свободного про-
странства на диске указанного критического минимума. Допустимые значения
– ignore, syslog, exec, suspend, single и halt. Описание данных значений см. в
описании параметра space_left_action
disk_full_action Действие, предпринимаемое при обнаружении отсутствия свободного про-
странства на диске. Допустимые значения – ignore, syslog, exec, suspend, single и
halt. Описание данных значений см. в описании параметра space_left_action
disk_error_action Действие, предпринимаемое при возникновении ошибки в работе с диском. До-
пустимые значения – ignore, syslog, exec, suspend, single и halt. Описание дан-
ных значений см. в описании параметра space_left_action
tcp_listen_port Числовое значение в диапазоне 1..65535, при указании которого служба аудита
будет прослушивать соответствующий TCP-порт для аудита удаленных систем.
Демон аудита может быть связан с tcp_wrappers, чтобы контролировать, какие
машины могут подключаться. В этом случае можно добавить запись в
hosts.allow и отказать в соединении. Если решение развернуто в ОС на основе
systemd может потребоваться изменить параметр After
451
Ключ Значение
tcp_listen_queue Количество разрешенных ожидающих подключений (запрошенных, но не при-
нятых). Значение по умолчанию – 5. Установка слишком маленького значения
может привести к отклонению соединений при одновременном запуске
нескольких хостов (например, после сбоя питания)
tcp_max_per_addr Количество одновременных подключений с одного IP-адреса. Значение по
умолчанию – 1, максимальное значение – 1024. Установка слишком большого
значения может привести к атаке типа «отказ в обслуживании» при ведении
журнала сервером. Значение по умолчанию подходит в большинстве случаев
use_libwrap Следует ли использовать tcp_wrappers для распознавания попыток подключе-
ния с разрешенных компьютеров. Допустимые значения yes или no. Значение
по умолчанию – yes
tcp_client_ports Порты, с которых можно принимать соединение. Значением параметра может
быть либо число, либо два числа, разделенные тире (пробелы не допускаются).
Если порт не указан, соединения принимаются с любого порта. Допустимые
значения 1..65535. Например, для указания клиенту использовать привилегиро-
ванный порт, следует указать значение 1-1023 для этого параметра, а также
установить опцию local_port в файле audisp-remote.conf. Проверка того, что кли-
енты отправляют сообщения с привилегированного порта, это функция безопас-
ности, предотвращающая атаки с использованием инъекций
tcp_client_max_idle Количество секунд, в течение которых клиент может бездействовать (то есть,
какое время от него нет никаких данных). Используется для закрытия неактив-
ных соединений, если на компьютере клиенте возникла проблема, из-за которой
он не может завершить соединение корректно. Это глобальный параметр, его
значение должно быть больше (желательно, в два раза), чем любой параметр
клиента heartbeat_timeout. Значение по умолчанию – 0, что отключает эту про-
верку
transport Если установлено значение TCP, будут использоваться только TCP-соединения
в виде открытого текста. Если установлено значение KRB5, для аутентифика-
ции и шифрования будет использоваться Kerberos 5. Значение по умолчанию –
TCP
enable_krb5 При значении yes – использовать Kerberos 5 для аутентификации и шифрова-
ния. Значение по умолчанию – no
krb5_principal Принципал для этого сервера. Значение по умолчанию – auditd. При значении
по умолчанию, сервер будет искать ключ с именем типа
auditd/hostname@EXAMPLE.COM в /etc/audit/audit.key для аутентификации се-
бя, где hostname – имя сервера, возвращаемое запросом DNS-имени по его IP-
адресу
krb5_key_file Расположение ключа для принципала этого клиента. Файл ключа должен при-
надлежать пользователю root и иметь права 0400. По умолчанию – файл /etc/
audit/audit.key
distribute_network При значении yes, события, поступающие из сети, будут передаваться диспет-
черу аудита для обработки. Значение по умолчанию – no
q_depth Числовое значение, указывающее, насколько большой должна быть внутренняя
очередь диспетчера событий аудита. Очередь большего размера позволяет луч-
ше обрабатывать поток событий, но может содержать события, которые не об-
рабатываются при завершении работы демона. Если вы получаете сообщения в
системном журнале об удалении событий, увеличьте это значение. Значение по
умолчанию – 2000
overflow_action Определяет, как демон должен реагировать на переполнение своей внутренней
очереди. Когда это происходит, это означает, что принимается больше событий,
чем можно передать дочерним процессам. Эта ошибка означает, что текущее
событие, которое он пытается отправить, будет потеряно.
Допустимые значения:
ignore – не производить никаких действий;
452
Ключ Значение
syslog – добавить соответствующую запись в системный журнал;
suspend – прекратить отправку событий дочерним процессам (служба
аудита будет продолжать работать);
single – перевести компьютер в однопользовательский режим;
halt – выключить компьютер
max_restarts. Неотрицательное число, которое сообщает диспетчеру событий аудита, сколько
раз он может попытаться перезапустить вышедший из строя плагин. По умолча-
нию – 10
plugin_dir Место, где auditd будет искать файлы конфигурации своего плагина
end_of_event_timeout Неотрицательное количество секунд, используемое библиотечными процедура-
ми пользовательского пространства auparse() и утилитами aureport(8),
ausearch(8) для того, чтобы считать событие завершенным при анализе потока
журнала событий. Если для обрабатываемого потока событий время текущего
события превышает end_of_event_timeout секунд по сравнению с совмещенны-
ми событиями, то событие считается завершенным
П р и м е ч а н и е . Для файла /var/log/audit рекомендуется выделять специальный раз-
дел. Кроме того, параметру flush необходимо присвоить значение sync или data.
Параметры max_log_file и num_logs необходимо настроить так, чтобы была возмож-
ность полностью использовать раздел. Следует учитывать, что чем больше файлов необходимо
ротировать, тем больше времени потребуется, чтобы вернуться к получению событий аудита. Па-
раметру max_log_file_action рекомендуется присвоить значение keep_logs.
Для параметра space_left должно быть установлено такое значение, которое даст адми-
нистратору достаточно времени, чтобы отреагировать на предупреждение и освободить дисковое
пространство. Обычно это предполагает запуск команды aureport -t и архивирование самых
старых журналов. Значение параметра space_left зависит от системы, в частности от частоты
поступления сообщений о событиях. Параметр space_left_action рекомендуется установить
в значение email. Если требуется отправка сообщения snmp trap, нужно указать вариант exec.
Для параметра admin_space_left должно быть установлено такое значение, чтобы хва-
тило свободного места для хранения записей о действиях администратора. Значение параметра
admin_space_left_action следует установить в single, ограничив, таким образом, способ
взаимодействия с системой консолью.
Действие, указанное в disk_full_action, выполняется, когда в разделе уже не осталось
свободного места. Доступ к ресурсам машины должен быть полностью прекращен, так как больше
нет возможности контролировать работу системы. Это можно сделать, указав значение single
или halt.
Значение параметра disk_error_action следует установить в syslog, single, либо
halt в зависимости от соглашения относительно обработки сбоев аппаратного обеспечения.
453
Указание единственного разрешённого клиентского порта может затруднить перезапуск
подсистемы аудита у клиента, так как он не сможет восстановить соединение с теми же адресами
и портами хоста, пока не истечет таймаут закрытия соединения TIME_WAIT.
9.9.3 Команда auditctl
Команда auditctl используется для настройки параметров ядра, связанных с аудитом,
получения состояния и добавления/удаления правил аудита.
Синтаксис команды auditctl:
auditctl [опции]
Опции команды auditctl представлены в таблицах Таблица 11 – Таблица 13.
Т а б л и ц а 11 – Опции конфигурации команды auditctl
Опция Описание
-b <количество> Установить максимальное количество доступных для аудита буферов,
ожидающих обработки (значение в ядре по умолчанию – 64). В случае
если все буферы заняты, то ядром будет выставлен флаг сбоя
--backlog_wait_time <время_о-
жидания>
Установить время ожидания для ядра достижения значения
backlog_limit (значение в ядре по умолчанию – 60*HZ), прежде, чем ста-
вить в очередь дополнительные события аудита для их передачи аудиту.
Число должно быть больше или равно нулю, но меньше, чем десяти-
кратное значение по умолчанию
--reset_backlog_wait_time_actual Сбросить счетчик фактического времени ожидания невыполненной ра-
боты, показанный командой состояния
-с Продолжать загружать правила, несмотря на ошибку. Суммирует ре-
зультат загрузки правил. Код завершения будет ошибочным, если какое-
либо правило не будет загружено
-D Удалить все правила и точки наблюдения. Может также принимать па-
раметр -k
-e [0..2] Установить флаг блокировки: 0 – отключить аудит, 1 – включить аудит,
2 – защитить конфигурацию аудита от изменений. Для использования
данной возможности необходимо внести данную команду последней
строкой в файл audit.rules. После её выполнения все попытки изменить
конфигурацию будут отвергнуты с уведомлением в журналах аудита
(чтобы задействовать новую конфигурацию аудита, необходимо переза-
грузить систему)
-f [0..2] Установить способ обработки для флага сбоя: 0=silent, 1=printk, 2=panic.
Позволяет определить, каким образом ядро будет обрабатывать крити-
ческие ошибки. Например, флаг сбоя выставляется при следующих
условиях: ошибки передачи в пространство службы аудита, превышение
лимита буферов, ожидающих обработки, выход за пределы памяти ядра,
превышение лимита скорости выдачи сообщений (значение, установ-
ленное по умолчанию – 1, для систем с повышенными требованиями к
безопасности, значение 2 может быть более предпочтительно)
-h Краткая помощь по аргументам командной строки
-i Игнорировать ошибки при чтении правил из файла. Если опция переда-
на как аргумент -s, то числа интерпретируются в понятные человеку
слова, если это возможно
--loginuid-immutable Сделать login UID неизменяемым сразу после его установки. Для изме-
нения login UID требуется CAP_AUDIT_CONTROL, поэтому неприви-
легированный пользователь не может его изменить. Установка этого
параметра может вызвать проблемы в некоторых контейнерах
454
Опция Описание
-q точка-<монтирования,подде-
рево>
При наличии точки наблюдения за каталогом и объединении или пере-
мещении монтирования другого поддерева в наблюдаемое поддерево,
необходимо указать ядру, сделать монтируемое поддерево эквивалент-
ным просматриваемому каталогу. Если поддерево уже смонтировано во
время создания точки наблюдения за каталогом, поддерево автоматиче-
ски помечается для просмотра. Эти два значения разделяет запятая, от-
сутствие запятой приведет к ошибке
-r <частота> Установить ограничение скорости выдачи сообщений в секунду (0 – нет
ограничения). В случае если эта частота не нулевая, и она превышается
в ходе аудита, флаг сбоя выставляется ядром для выполнения соответ-
ствующего действия. Значение, установленное по умолчанию – 0
--reset-lost Сбросить счетчик потерянных записей, отображаемых командой статуса
-R <файл> Читать правила из файла. Правила должны быть организованы следую-
щим образом: располагаться по одному в строке и в том порядке, в ка-
ком должны исполняться. Накладываются следующие ограничения: вла-
дельцем файла должен быть root, и доступ на чтение должен быть толь-
ко у него. Файл может содержать комментарии, начинающиеся с симво-
ла «#». Правила, расположенные в файле, идентичны тем, что набирают-
ся в командной строке, без указания слова auditctl
--signal <сигнал > Отправить сигнал демону аудита. Поддерживаемые сигналы: TERM,
HUP, USR1, USR2, CONT и удобные для пользователя версии stop,
reload, rotate, resume, state
-t Обрезать поддеревья после команды монтирования
Т а б л и ц а 12 – Опции состояния команды auditctl
Опция Описание
-l Вывести список всех правил по одному правилу в строке. Этой команде
могут быть предоставлены две опции: ключ фильтрации (-k), чтобы вы-
вести список правил, соответствующих ключу, либо опция (-i) интер-
претирующая значения полей от a0 до a3, для корректного определения
значений аргументов системных вызовов
-m <текст> Послать в систему аудита пользовательское сообщение. Команда может
быть выполнена только из-под учетной записи root
-s Получить статус аудита. Будут показаны значения, которые можно уста-
новить с помощью опций -e, -f, -r и -b. Значение pid – это номер процес-
са службы аудита. Значение pid 0 указывает, что служба аудита не рабо-
тает. Поле lost сообщает, сколько записей событий аудита было отбро-
шено из-за переполнения буфера аудита. Поле backlog сообщает, сколь-
ко записей событий аудита находится в очереди, ожидая, когда auditd
прочитает их. С этим параметром можно использовать опцию -i для ин-
терпретации значений некоторых полей
-v Вывести версию auditctl
Т а б л и ц а 13 – Опции правил команды auditctl
Опция Описание
-a <список,действие|
действие,список>
Добавить правило с указанным действием к концу списка. Необходимо
учитывать, что значения «список» и «действия» разделены запятой, и её
455
Опция Описание
отсутствие вызовет ошибку. Поля могут быть указаны в любом порядке
-A <список,действие> Добавить правило с указанным действием в начало списка
-C <f=f | f!=f> Создать правило сравнения между полями. Можно передавать несколь-
ко сравнений в одной командной строке. Каждое из них должно начи-
наться с -C. Каждое правило сравнения добавляется друг к другу, а так-
же к правилам, начинающимся с -F для инициирования записи аудита.
Поддерживаются два оператора – равно и не равно. Допустимые поля:
auid, uid, euid, suid, fsuid, obj_uid; и gid, egid, sgid, fsgid, obj_gid. Две
группы uid и gid не могут быть смешаны. Внутри группы может быть
сделано любое сравнение
-d <список,действие> Удалить правило с указанным действием из списка. Правило удаляется
только в том случае, если полностью совпали и имя системного вызова
и поля сравнения
-D Удалить все правила и точки наблюдения. Может также принимать па-
раметр -k
-F <n=v | n!=v | n<v | n>v | n<=v |
n>=v | n&v | n&=v>
Задать поле сравнения для правила. Атрибуты поля следующие: объект,
операция, значение. Возможные объекты поля сравнения показаны в
табл. Таблица 14. В одной команде допускается задавать до шестидеся-
ти четырех полей сравнения. Каждое новое поле должно начинаться с
-F. Аудит будет генерировать запись, если произошло совпадение по
всем полям сравнения. Допустимо использование одного из следующих
восьми операторов: равно, не равно, меньше, больше, меньше либо рав-
но, больше либо равно, битовая маска (n&v) и битовая проверка (n&=v).
Битовая проверка выполняет операцию «and» над значениями и прове-
ряет, равны ли они. Битовая маска просто выполняет операцию «and».
Поля, оперирующие с идентификатором пользователя, могут также ра-
ботать с именем пользователя – программа автоматически получит
идентификатор пользователя из его имени. То же самое можно сказать и
про имя группы
-k <ключ> Установить на правило ключ фильтрации. Ключ фильтрации – это
произвольная текстовая строка длиной не больше 31 символа. Ключ по-
могает уникально идентифицировать записи, генерируемые в ходе ауди-
та за точкой наблюдения. Поиск значения ключа можно выполнить с
помощью команды ausearch. Ключ также можно использовать для уда-
ления всех правил (-D), или правил с определенным ключом (-l). В пра-
виле можно использовать несколько ключей
-p <r|w|x|a> Установить фильтр прав доступа для точки наблюдения: r=чтение,
w=запись, x=исполнение, a=изменение атрибута. Эти разрешения не
являются стандартными разрешениями для файлов, а представляют со-
бой своего рода системный вызов, который может делать подобные ве-
щи (системные вызовы «read» и «write» не включены в этот набор, по-
скольку логи аудита были бы перегружены информацией о работе этих
вызовов)
-S <имя или номер системного
вызова|all>
В случае если какой-либо процесс выполняет указанный системный вы-
зов, то аудит генерирует соответствующую запись. В случае если значе-
ния полей сравнения заданы, а системный вызов не указан, правило бу-
дет применяться ко всем системным вызовам. В одном правиле может
быть задано несколько системных вызовов – это положительно сказыва-
ется на производительности, поскольку заменяет обработку нескольких
правил. Следует указывать по два правила: одно для 32-битной архитек-
туры, другое для 64-битной, чтобы убедиться, что ядро находит все
ожидаемые события
-w <путь> Добавить точку наблюдения за файловым объектом, находящимся по
указанному пути. Добавление точки наблюдения к каталогу верхнего
456
Опция Описание
уровня запрещено ядром. Групповые символы (wildcards) также не мо-
гут быть использованы, попытки их использования будут генерировать
предупреждающее сообщение. Внутренне точки наблюдения реализова-
ны как слежение за inode. Установка точки наблюдения за файлом ана-
логична использованию параметра path в правиле системного вызова -F.
Установка точки наблюдения за каталогом аналогична использованию
параметра dir в правиле системного вызова -F. Единственными допусти-
мыми параметрами при использовании точек наблюдения являются -
p и -k. Не рекомендуется использовать эту опцию, т.к. она устарела
-W <путь> Удалить точку наблюдения за файловым объектом. Правило должно
точно совпадать
Т а б л и ц а 14 – Объекты поля сравнения
Объект Описание
a0, a1, a2, a3 Четыре первых аргумента, переданных системному вызову. Строковые аргументы
не поддерживаются. Это связано с тем, что ядро должно получать указатель на
строку, а проверка поля по значению адреса указателя не желательна. Таким об-
разом, необходимо использовать только цифровые значения
arch Архитектура процессора, на котором выполняется системный вызов. Для опреде-
ления архитектуры необходимо использовать команду uname -m. Можно написать
правила, которые в некоторой степени не зависят от архитектуры, потому что тип
будет определяться автоматически. Однако системные вызовы могут зависеть от
архитектуры, и то, что доступно на x86_64, может быть недоступно на PPC. Опция
arch должна предшествовать опции -S, чтобы auditctl знал, какую внутреннюю та-
блицу использовать для поиска номеров системных вызовов
auid Идентификатор пользователя, использованный для входа в систему. Можно ис-
пользовать либо имя пользователя, либо идентификатор пользователя
devmajor Главный номер устройства (Device Major Number)
devminor Вспомогательный номер устройства (Device Minor Number)
dir Полный путь к каталогу для создания точки наблюдения. Помещает точку наблю-
дения в каталог и рекурсивно во всё его поддерево. Можно использовать только в
списке exit
egid Действительный идентификатор группы
euid Действительный идентификатор пользователя
exe Абсолютный путь к приложению, к которому будет применяться это правило.
Можно использовать только в списке exit
exit Значение, возвращаемое системным вызовом при выходе
fsgid Идентификатор группы, применяемый к файловой системе
fsuid Идентификатор пользователя, применяемый к файловой системе
filetype Тип целевого файла: файл, каталог, сокет, ссылка, символ, блок или FIFO
gid Идентификатор группы
inode Номер inode
key Альтернативный способ установить ключ фильтрации. Ключ фильтра – это произ-
вольная строка текста длиной до 31 байта. Он может однозначно идентифициро-
вать записи аудита, созданные правилом. Значение ключа можно искать с помо-
щью ausearch, чтобы находить результаты, независимо от того, какое правило вы-
звало событие. Ключ можно также использовать для удаления всех (-D) и списка
правил (-l) для выбора правил с определенным ключом
msgtype Используется для проверки совпадения с числом, описывающим тип сообщения.
Может использоваться только в списках exclude и user
obj_uid UID объекта
457
Объект Описание
obj_gid GID объекта
path Полный путь к файлу для точки наблюдения. Может использоваться только в
списке exit
perm Фильтр прав доступа для файловых операций. Может использоваться только в
списке exit. Можно использовать без указания системного вызова, при этом ядро
выберет системные вызовы, которые удовлетворяют запрашиваемым разрешениям
pers Персональный номер операционной системы
pid Идентификатор процесса
ppid Идентификатор родительского процесса
sessionid Идентификатор сеанса пользователя
sgid Установленный идентификатор группы
success Если значение, возвращаемое системным вызовом, больше либо равно 0, данный
объект будет равен true/yes, иначе false/no. При создании правила нужно использо-
вать 1 вместо true/yes и 0 вместо false/no
suid Установленный идентификатор пользователя
uid Идентификатор пользователя
9.9.4 Команда aureport
Команда aureport генерирует итоговые отчёты на основе логов службы аудита и может
принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необработанные
данные логов. Все отчёты, кроме основного итогового отчёта, содержат номера событий аудита.
Используя их, можно получить полные данные о событии с помощью команды ausearch -a
<номер события>. В случае, если в отчёте слишком много данных, можно задать время начала
и время окончания для уточнения временного промежутка.
Отчёты, генерируемые aureport, могут быть использованы как исходный материал для
получения развернутых отчётов.
Синтаксис команды aureport:
aureport [опции]
Опции команды aureport представлены в табл. Таблица 15.
Т а б л и ц а 15 – Опции команды aureport
Опция Описание
-au, --auth Отчёт о попытках аутентификации
-a, --avc Отчёт о avc сообщениях
--comm Отчёт о выполнении команд
-c, --config Отчёт об изменениях конфигурации
-cr, --crypto Отчёт о событиях, связанных с кодированием
--debug Записывать некорректные события, которые пропускаются, в stderr
--eoe-timeout <секун-
ды>
Установить тайм-аут окончания анализа событий (см. описание end_of_event_time-
out в auditd.conf). Установка этого значения переопределит любое настроенное
значение, найденное в /etc/auditd/auditd.conf
-e, --event Отчёт о событиях
--escape <опция> Экранировать вывод. Возможные значения: raw, tty, shell и shell_quote. Каждый
режим включает в себя символы предыдущего режима и экранирует больше сим-
волов. То есть shell включает все символы, экранируемые tty, и добавляет новые.
Значение по умолчанию – tty
458
Опция Описание
-f, --file Отчёт о файлах и сокетах
--failed Для обработки в отчетах выбирать только неудачные события. По умолчанию по-
казываются как удачные, так и неудачные события
-h, --host Отчёт о хостах
-i, --interpret Транслировать числовые значения в текстовые. Например, идентификатор пользо-
вателя будет транслирован в имя пользователя. Трансляция выполняется с исполь-
зованием данных с той машины, где запущена команда aureport
-if, --input <файл>|
<каталог>
Использовать указанный файл или каталог вместо логов аудита. Это может быть
полезно при анализе логов с другой машины или при анализе частично сохранен-
ных логов
--input-logs Использовать местоположение файла журнала из auditd.conf как исходные данные
для анализа. Применяется при использовании команды aureport в задании cron
--integrity Отчёт о событиях целостности
-k, --key Отчёт о ключевых словах в правилах
-l, --login Отчёт о попытках входа в систему
-m, --mods Отчёт об изменениях пользовательских учетных записей
-ma, --mac Отчет о событиях Mandatory Access Control (MAC)
-n, --anomaly Отчёт об аномальных событиях. Эти события включают переход сетевой карты в
беспорядочный режим и ошибки сегментации
--node <имя узла> Отобразить в отчёте только события со строкой <имя узла>. По умолчанию вклю-
чены все узлы. Допускается перечисление нескольких узлов
-nc, --no-config Не включать событие CONFIG_CHANGE. Это особенно полезно для ключевого
отчета, поскольку правила аудита во многих случаях имеют ключевые метки. Ис-
пользование этой опции избавляет от ложных срабатываний
-p, --pid Отчёт о процессах
-r, --response Отчёт о реакциях на аномальные события
-s, --syscall Отчёт о системных вызовах
--success Для обработки в отчетах выбирать только удачные события. По умолчанию пока-
зываются как удачные, так и неудачные события
--summary Генерировать итоговый отчет, который дает информацию только о количестве эле-
ментов в том или ином отчете. Такой режим есть не у всех отчётов
-t, --log Генерация отчетов о временных рамках каждого отчёта
--tty Отчёты о нажатых клавишах
-te, --end <дата>
<время>
Искать события, которые произошли раньше (или во время) указанной временной
точки. Формат даты и времени зависит от региональных настроек. В случае если
дата не указана, то подразумевается текущий день (today). В случае если не указа-
но время, то подразумевается текущий момент (now)
-tm, --terminal <тер-
минал>
Отчёт о терминалах
--ts, --start <дата>
<время>
Искать события, которые произошли после (или во время) указанной временной
точки
-u, --user Отчёт о пользователях
-v, --version Вывести версию программы и выйти
--virt Отчет о событиях виртуализации
-x, --executable Отчёт об исполняемых объектах
Нотацию времени следует использовать в формате «24 часа», а не «AM/PM». Например,
дата может быть задана как «10/24/2005», а время – как «18:00:00». Также допускается использо-
вать следующие ключевые слова:
now – сейчас;
recent – десять минут назад;
459
boot – время за секунду до того, когда система загружалась в последний раз;
today – первая секунда после полуночи текущего дня;
yesterday – первая секунда после полуночи предыдущего дня;
this-week – первая секунда после полуночи первого дня текущей недели, первый день неде-
ли определяется из региональных настроек;
week-ago – первая секунда после полуночи ровно 7 дней назад;
this-month – первая секунда после полуночи первого числа текущего месяца;
this-year – первая секунда после полуночи первого числа первого месяца текущего года.
9.9.5 Команда ausearch
Команда ausearch является инструментом поиска по журналу аудита. ausearch может
также принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необрабо-
танные данные логов. Все условия, указанные в параметрах, объединяются логическим «И».
Каждый системный вызов ядра из пользовательского пространства и возвращение данных в
пользовательское пространство имеет один уникальный (для каждого системного вызова) иденти-
фикатор события.
Различные части ядра могут добавлять дополнительные записи. Например, в событие ауди-
та для системного вызова «open» добавляется запись PATH с именем файла. ausearch показыва-
ет все записи события вместе. Это означает, что при запросе определенных записей результат мо-
жет содержать записи SYSCALL.
Не все типы записей содержат указанную информацию. Например, запись PATH не содер-
жит имя узла или loginuid.
Синтаксис команды ausearch:
ausearch [опции]
Опции команды ausearch показаны в табл. Таблица 16.
460
Т а б л и ц а 16 – Опции команды ausearch
Опция Описание
-a, --event <идентификатор
события>
Искать события с заданным идентификатором. В сообщении:
msg=audit(1116360555.329:2401771), идентификатор события – число после
«:». Все события аудита, связанные с одним системным вызовом, имеют оди-
наковый идентификатор
--arch <CPU> Искать события на основе определенной архитектуры процессора. Для опре-
деления архитектуры необходимо использовать команду uname -m. В слу-
чае, если архитектура ПЭВМ неизвестна, необходимо использовать таблицу
32-х битных системных вызовов, если она поддерживается ПЭВМ, можно
использовать b32. Аналогичным образом применяется таблица системных
вызовов b64
-c, --comm <comm-name> Искать события с заданным «comm name», именем исполняемого файла из
структуры задачи
--debug Вывести сообщения, пропущенные stderr
--checkpoint <файл
контрольной точки>
Контрольная точка – это вывод между последовательными вызовами
ausearch, так что в последующих вызовах будут выводиться только события,
не попавшие в предыдущий вывод.
Событие auditd состоит из одной или нескольких записей. При обработке
события ausearch определяет события как завершенные и незавершенные.
Завершенное событие – это одно событие записи или то, которое произошло
раньше, чем за две секунды по сравнению с текущим обрабатываемым собы-
тием. Контрольная точка обеспечивается путем записи последнего завершен-
ного события вывода вместе с номером устройства и индексом файла по-
следнего завершившегося события в файл контрольной точки. При следую-
щем вызове ausearch загрузит данные контрольной точки и при обработке
файлов журнала, будет отбрасывать все завершенные события, пока они не
соответствуют контрольной точке, в этот момент ausearch начнет выводить
события
--eoe-timeout <секунды> Установить тайм-фаут окончания анализа события. Установка этого значе-
ния переопределит любое настроенное значение, найденное в /etc/auditd/
auditd.conf
-e, --exit <код> Искать события на основе кода системного вызова exit или errno
--escape <опция> Экранировать вывод. Возможные значения: raw, tty, shell и shell_quote. Каж-
дый режим включает в себя символы предыдущего режима и экранирует
больше символов. То есть shell включает все символы, экранируемые tty, и
добавляет новые. Значение по умолчанию – tty
--extra-keys Если параметр format имеет значение csv, вывести столбец с дополнительной
информацией.
Работает только с записями SYSCALL, которые были записаны в результате
запуска правила аудита, определенного ключом
--extra-labels Если параметр format имеет значение csv, добавить информацию о метках
субъекта и объекта (если метки существуют)
--extra-obj2 Если параметр format имеет значение csv, добавить информацию о втором
объекте (если он существует). Второй объект иногда является частью записи,
например, при переименовании файла или монтировании устройства
--extra-time Если параметр format имеет значение csv, добавить информацию о времени
простоя
-f, --file <файл> Искать события с заданным именем файла
--format <опции> Отформатировать события, которые соответствуют критериям поиска. Под-
держиваемые форматы: raw, default, interpret, csv и text. Значение raw описа-
но в опции raw. При значении default строки выводятся без форматирования,
в выводе используется одна строка в качестве визуального разделителя, да-
лее указывается метка времени, а затем следуют записи события. Значение
461
Опция Описание
interpret объясняется в описании опции -i. При значении csv результат поис-
ка выводится в формате CSV. Значение text преобразует вывод к формату
предложений, что упрощает понимание вывода, но происходит это за счет
потери деталей
-ga, --gid-all all-<идентифи-
катор группы>
Искать события с заданным эффективным или обычным идентификатором
группы
-ge, --gid-effective <эффек-
тивный идентификатор
группы>
Искать события с заданным эффективным идентификатором группы или
именем группы
-gi, --gid <группа> Искать события с заданным идентификатором группы или именем групп.
-h, --help Справка
-hn, --host <имя узла> Искать события с заданным именем узла. Имя узла может быть именем узла,
полным доменным именем или цифровым сетевым адресом
-i, --interpret Транслировать числовые значения в текстовые. Например, идентификатор
пользователя будет транслирован в имя пользователя. Трансляция выполня-
ется с использованием данных с той машины, где запущена команда ausearch
-if, --input <файл>|<ката-
лог>
Использовать указанный файл или каталог вместо логов аудита. Это может
быть полезно при анализе логов с другой машины или при анализе частично
сохраненных логов
--input-logs Использовать местоположение файла журнала из auditd.conf как исходные
данные для анализа. Применяется при использовании команды ausearch в
задании cron
--just-one Остановиться после выдачи первого события, соответствующего критериям
поиска
-k, --key <ключевое слово> Искать события с заданным ключевым словом
-l, --line-buffered Сбрасывать вывод после каждой строки
-m, --message <тип>|<спи-
сок типов>
Искать события с заданным типом, при этом можно указать список значе-
ний, разделенных запятыми. Можно указать несуществующий в событиях
тип «ALL», который позволяет получить все сообщения системы аудита
(список допустимых типов будет показан, если указать эту опцию без значе-
ния). Тип сообщения может быть строкой или числом. В списке значений
этого параметра в качестве разделителя используются запятые и пробелы
недопустимы
-n , --node Искать события с определенного узла. Допускается указание нескольких
узлов (для вывода достаточно совпадение любого узла)
-p, --pid <идентификатор
процесса>
Искать события с заданным идентификатором процесса
-pp, --ppid <идентификатор
процесса>
Искать события с заданным идентификатором родительского процесса
-r, --raw Необработанный вывод. Используется для извлечения записей для дальней-
шего анализа
-sc, --syscall <системный
вызов>
Искать события с заданным системным вызовом. Можно указать номер или
имя системного вызова. При указании имени системного вызова, оно будет
проверено по таблице системных вызовов на машине, где запущена команда
ausearch
--session <идентификатор
сеанса>
Искать события с заданным идентификатором сеанса. Этот атрибут устанав-
ливается, когда пользователь входит в систему и может связать любой про-
цесс с определенным именем пользователя
-sv, --success <флаг> Искать события с заданным флагом успешного выполнения. Допустимые
значения: yes (успешно) и no (неудачно)
-te, --end <дата> <время> Искать события, которые произошли раньше (или во время) указанной вре-
менной точки. Формат даты и времени зависит от региональных настроек. В
случае если дата не указана, то подразумевается текущий день (today). В слу-
чае если не указано время, то подразумевается текущий момент (now)
462
Опция Описание
--ts, --start <дата> <время> Искать события, которые произошли после (или во время) указанной вре-
менной точки
-tm, --terminal <терминал> Искать события с заданным терминалом. Некоторые службы (такие как cron
и atd) используют имя службы как имя терминала
-ua, --uid-all <идентифика-
тор пользователя>
Искать события, у которых любой из идентификатора пользователя, эффек-
тивного идентификатора пользователя или loginuid (auid) совпадают с задан-
ным идентификатором пользователя
-ue, --uid-effective <эффек-
тивный идентификатор
пользователя>
Искать события с заданным эффективным идентификатором пользовател.
-ui, --uid <идентификатор
пользователя>
Искать события с заданным идентификатором пользователя
-ul, --loginuid <идентифика-
тор пользователя>
Искать события с заданным идентификатором пользователя. Все программы,
которые его используют, должны использовать pam_loginuid
-uu, --uuid <идентификатор
гостя>
Искать события с заданным идентификатором гостя
-v, --version Показать версию и выйти
--vm, --vm-name <имя го-
стя>
Искать события с заданным именем гостя
-x, --executable <програм-
ма>
Искать события с заданным именем исполняемой программы
Нотацию времени следует использовать в формате «24 часа», а не «AM/PM». Например,
дата может быть задана как «10/24/2005», а время – как «18:00:00». Допускается также использо-
вать следующие ключевые слова:
now – сейчас;
recent – десять минут назад;
boot – время за секунду до того, когда система загружалась в последний раз;
today – первая секунда после полуночи текущего дня;
yesterday – первая секунда после полуночи предыдущего дня;
this-week – первая секунда после полуночи первого дня текущей недели, первый день неде-
ли определяется из региональных настроек;
week-ago – первая секунда после полуночи ровно 7 дней назад;
this-month – первая секунда после полуночи первого числа текущего месяца;
this-year – первая секунда после полуночи первого числа первого месяца текущего года.
9.9.6 Настройка ротации журналов аудита
Правила ротации журналов аудита настраиваются в файле /etc/audit/auditd.conf.
Например, для того чтобы при нехватке места на диске старые записи затирались новыми,
необходимо внести следующие изменения в файл /etc/audit/auditd.conf:
max_log_file = 8
space_left = 100
space_left_action = ROTATE
463
где:
max_log_file – максимальный размер файла журнала в Мбайт;
space_left – минимум свободного пространства в Мбайт;
space_left_action – действие (в данном случае старые файлы журналов будут уда-
ляться, освобождая место для новых).
После внесения изменения в файл /etc/audit/auditd.conf, для того чтобы новые
настройки вступили в силу, необходимо перечитать конфигурацию auditd:
# service auditd reload
9.9.7 Определение правил аудита
Система аудита работает на основе набора правил, определяющих, что должно фиксиро-
ваться в файлах журналов. Можно указать следующие типы правил аудита:
правила конфигурации – правила, позволяющие изменить поведение системы аудита и не-
которых её настроек;
правила файловой системы – позволяют проверять доступ к определённому файлу или ка-
талогу;
правила системных вызовов – регистрируют системные вызовы, выполняемые указанной
программой.
Правила аудита могут быть установлены:
в командной строке с помощью утилиты auditctl (эти правила не сохраняются после пе-
резагрузки системы);
в файлах в каталоге /etc/audit/rules.d/
П р и м е ч а н и е . Примеры правил аудита можно просмотреть в каталоге /usr/share/audit-
rules. Чтобы использовать их, достаточно скопировать выбранные правила в /etc/auditd/rules.d.
9.9.7.1 Установка правил с помощью auditctl
Команда auditctl позволяет управлять основными функциями системы аудита и опреде-
лять правила, определяющие, какие события аудита регистрируются.
П р и м е ч а н и е . Все команды, которые взаимодействуют со службой аудита и файлами
журнала аудита, требуют привилегий root.
Правила аудита бывают 3 видов: команды управления (control), правила файловой системы
(file) и правила системных вызовов (syscall).
Команды управления обычно включают настройку системы аудита, а не указание, за чем ей
следить. Обычно эти правила находятся в верхней части файла правил.
Примеры правил изменения конфигурации:
установить максимальное количество существующих буферов аудита в ядре:
464
# auditctl -b 256
установить способ обработки для флага сбоя (действие, которое выполняется при обнару-
жении критической ошибки):
# auditctl -f 2
в данной конфигурации в случае критической ошибки будет вызван kernel panic;
защитить конфигурацию аудита от изменений:
# auditctl -e 2
в результате все попытки изменить конфигурацию аудита будет отвергнуты:
Operation not permitted
вывести конфигурацию аудита:
# auditctl -s
вывести список всех загруженных в данный момент правил аудита:
# auditctl -l
удалить все загруженные в данный момент правила аудита:
# auditctl -D
Есть два способа получения информации о работе системы аудита:
получить базовую информацию можно, выполнив команду:
# auditctl -s
enabled 1
failure 1
pid 795
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
loginuid_immutable 0 unlocked
получить внутренние метрики аудита, выполнив команды:
# auditctl --signal state
# cat /var/run/auditd.state
audit version = 4.0.1
current time = 03/26/25 20:32:41
process priority = -4
writing to logs = yes
465
current log size = 708 KB
max log size = 5120 KB
logs detected last rotate/shift = 0
space left on partition = yes
Logging partition free space 35335 MB
space_left setting 75 MB
admin_space_left setting 50 MB
logging suspended = no
file system space action performed = no
admin space action performed = no
disk error detected = no
Number of active plugins = 0
current plugin queue depth = 0
max plugin queue depth used = 0
plugin queue size = 0
plugin queue overflow detected = no
plugin queueing suspended = no
listening for network connections = no
Правила файловой системы используются для аудита доступа к определенным файлам или
каталогам. Если путь, указанный в правиле наблюдения, является каталогом, то используемое пра-
вило рекурсивно применяется к нижней части дерева каталогов, исключая любые каталоги, кото-
рые могут быть точками монтирования.
Чтобы определить правило файловой системы, используется следующий синтаксис:
# auditctl -a always,exit -F arch=b64 -F path=путь_к_файлу -F
perm=разрешения -F key=имя_ключа
где:
путь_к_файлу – файл или каталог, подлежащий аудиту;
разрешения – разрешения, которые регистрируются:
r – доступ на чтение файла или каталога;
w – доступ на запись к файлу или каталогу;
x – доступ на исполнение к файлу или каталогу;
a – изменение атрибута файла или каталога;
имя_ключа – необязательная строка, которая помогает определить, какое правило или на-
бор правил создали конкретную запись в журнале.
Для лучшей производительности следует указать поле arch в правиле.
466
Примеры правил файловой системы:
записывать все попытки изменения файла /etc/shadow:
# auditctl -a always,exit -F arch=b64 -F path=/etc/shadow -F perm=wa
-F key=shadow
записывать все попытки изменения файлов в каталоге /etc/httpd2/:
# auditctl -a always,exit -F arch=b64 -F dir=/etc/httpd2/ -F perm=wa
-F key=apache
регистрировать выполнение команды /sbin/modprobe:
# auditctl -a always,exit -F arch=b64 -F path=/sbin/modprobe -F perm=x
-F key=modules
Правила системных вызовов загружаются в механизм сопоставления, который перехваты-
вает каждый системный вызов, который делают все программы в системе. Очень важно использо-
вать правила системных вызовов только тогда, когда это необходимо, поскольку они влияют на
производительность. Чем больше правил, тем больше падение производительности. Можно повы-
сить производительность, объединяя системные вызовы в одно правило, когда это возможно.
Для добавления правил системных вызовов используется следующая форма записи:
# auditctl -a список,действие -F arch=[b64|b32] -S
имя_системного_вызова -F фильтры -k имя_ключа
Здесь список – это список событий, в который следует добавить правило. Доступные
списки:
task – добавить правило к списку, отвечающему за процессы. Этот список правил исполь-
зуется только во время создания процесса – когда родительский процесс вызывает fork()
или clone(). При использовании этого списка можно использовать только те поля, которые
известны во время создания процесса (uid, gid и так далее);
exit – добавить правило к списку, отвечающему за точки выхода из системных вызовов.
Этот список применяется, когда необходимо создать событие для аудита, привязанное к
точкам выхода из системных вызовов;
user – добавить правило, отвечающее за список фильтрации пользовательских сообщений.
Этот список используется ядром, чтобы отфильтровать события, приходящие из пользова-
тельского пространства, перед тем как они будут переданы службе аудита. Могут быть ис-
пользованы только следующие поля: uid, auid, gid, pid, subj_user, subj_role, subj_type,
subj_sen, subj_clr, и msgtype. Все остальные поля будут обработаны, как если бы они не сов-
пали;
467
exclude – добавить правило к списку, отвечающего за фильтрацию событий определенно-
го типа. Этот список используется, чтобы отфильтровывать ненужные события. События
могут быть исключены по идентификатору процесса, идентификатору пользователя, иден-
тификатору группы, идентификатору логина пользователя, типу сообщения или контексту
предмета.
Второй параметр опции -a – это действие, которое должно произойти в ответ на возникшее
событие:
never – аудит не будет генерировать никаких записей. Может использоваться для подав-
ления генерации событий. Обычно необходимо подавлять генерацию сверху списка, а не
снизу, поскольку событие инициируется на первом совпавшем правиле;
always – установить контекст аудита. Всегда заполнять его во время входа в системный
вызов, и всегда генерировать запись во время выхода из системного вызова.
Далее указывается опция -S, задающая имя системного вызова, при обращении к которому
должен срабатывать триггер (например, open, close, exit). Вместо имени может быть использовано
числовое значение. Можно указать более одного системного вызова в правиле, указав еще одну
опцию -S.
Одна или несколько опций -F используются для указания дополнительных параметров
фильтрации события.
Примеры правил системных вызовов:
вести журнала событий, связанных с использованием системного вызова open(), и реги-
стрировать при этом только обращения к файлам каталога /etc:
# auditctl -a always,exit -F arch=b64 -S open -F dir=/etc/
регистрировать только те события, при которых файл открывается только на запись и изме-
нение атрибутов:
# auditctl -a always,exit -F arch=b64 -S open -F dir=/etc/ -F perm=aw
записывать все системные вызовы, используемые определенным процессом:
# auditctl -a always,exit -F arch=b64 -S all -F pid=1005
записывать все файлы, открытые определенным пользователем:
# auditctl -a always,exit -F arch=b64 -S openat -F auid=510
записывать неудачные попытки вызова системной функции openat:
# auditctl -a exit,always -F arch=b64 -S openat -F success!=0
468
Чтобы определить правило для исполняемого файла, необходимо использовать следующий
синтаксис:
# auditctl -a список,действие [ -F arch=cpu -S имя_системного_вызова]
-F exe=путь_к_файлу -k имя_ключа
Например, правило для файла /usr/bin/ping:
# auditctl -a always,exit -F exe=/usr/bin/ping -F arch=b64 -S execve
-k execution_ping
9.9.7.2 Установка постоянных правил в файлах .rules
Чтобы определить правила аудита, сохраняющиеся при перезагрузках, необходимо добав-
лять их в файлы .rules в каталоге /etc/audit/rules.d/.
Скрипт augenrules считывает правила, расположенные в каталоге /etc/audit/
rules.d/, и компилирует их в файл /etc/audit/audit.rules. Этот скрипт обрабатывает
файлы *.rules, в определенном порядке, основанном на их естественном порядке сортировки.
П р и м е ч а н и е . Редактирование /etc/audit/audit.rules вручную не рекомендует-
ся, так как изменения могут быть перезаписаны.
Файлы *.rules> должны содержать правила аудита в формате auditctl. Пустые строки и текст
после знака решетки (#) игнорируются. В файл записываются правила без имени команды. Напри-
мер:
-a always,exit -F arch=b64 -F path=/etc/passwd -F perm=wa -F key=passwd
Команду auditctl также можно использовать для чтения правил из указанного файла с
помощью опции -R, например:
# auditctl -R /home/user/audit/rules/30-net.rules
Файл.rules может содержать только следующие правила контроля, изменяющие поведе-
ние системы аудита: -b, -D, -e, -f, -r, --loginuid-immutable и --backlog_wait_time.
Например:
# Удалить все предыдущие правила
-D
# Установить размер буфера
-b 8192
# Защитить конфигурацию аудита от изменений
-e 2
Правила файловой системы и системных вызовов определяются в файлах .rules с ис-
пользованием синтаксиса auditctl. Например:
-a always,exit -F arch=b64 -F path=/etc/shadow -F perm=wa -F key=shadow
469
-a always,exit -F arch=b64 -F path=/sbin/modprobe -F perm=x -F key=modules
-a always,exit -F arch=b64 -S openat -F auid=1000
Чтобы загрузить правила из каталога /etc/audit/rules.d/ следует запустить службу
audit-rules:
# systemctl start audit-rules.service
или выполнить команду augenrules с параметром --load:
# augenrules –load
Проверить загруженные правила можно, выполнив команду:
# auditctl -l
9.9.7.3 Файлы журнала аудита
По умолчанию система аудита сохраняет записи журнала в файле /var/log/audit/au-
dit.log.
События аудита бывают двух видов: простые и составные. Простое событие отправляется
из доверенного приложения, например, sshd. Такое событие содержит только одну запись. Состав-
ное событие содержит несколько записей об одном и том же событии. Записи, относящиеся к од-
ному и тому же событию, имеют одинаковую временную метку и серийный номер.
Для примера создадим правило аудита, которое регистрирует каждую попытку чтения или
изменения файла /etc/autofs.conf:
# auditctl -a always,exit -F arch=b64 -F path=/etc/autofs.conf -F
perm=warx -F key=autofs
Если служба auditd запущена, выполнение следующей команды создаст новое событие в
файле журнала аудита:
$ cat /etc/autofs.conf
Событие в /var/log/audit/audit.log:
type=SYSCALL msg=audit(1742997845.965:860): arch=c000003e syscall=257
success=yes exit=3 a0=ffffff9c a1=7ffd62966448 a2=0 a3=0 items=1 ppid=16840
pid=22257 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000
egid=1000 sgid=1000 fsgid=1000 tty=pts2 ses=90 comm="cat" exe="/usr/bin/cat"
key="autofd"ARCH=x86_64 SYSCALL=openat AUID="user" UID="user" GID="user"
EUID="user" SUID="user" FSUID="user" EGID="user" SGID="user" FSGID="user"
type=CWD msg=audit(1742997845.965:860): cwd="/home/user"
type=PATH msg=audit(1742997845.965:860): item=0 name="/etc/autofs.conf"
inode=1051168 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID="root" OGID="root"
470
type=PROCTITLE msg=audit(1742997845.965:860):
proctitle=636174002F6574632F6175746F66732E636F6E66
Данное событие состоит из четырех записей, имеющих один серийный номер и одну и ту
же отметку времени. Каждая запись состоит из нескольких пар имя=значение, разделенных
пробелом или запятой. Ниже каждая запись рассмотрена подробнее.
П р и м е ч а н и е . Некоторые значения в журнале закодированы в шестнадцатеричном
формате. При поиске записей аудита с помощью команды ausearch можно использовать
параметр -i для автоматического преобразования шестнадцатеричных значений в удобочитаемые
эквиваленты.
Первая запись:
type=SYSCALL – тип записи. Значение SYSCALL указывает, что запись была вызвана си-
стемным вызовом ядра;
msg=audit(1742997845.965:860) – в поле msg записывается:
отметка времени и уникальный идентификатор записи в формате
audit(time_stamp:ID). Несколько записей могут иметь одну и ту же отметку
времени и идентификатор, если они были созданы в рамках одного и того же события
аудита. Отметка времени использует формат времени Unix (секунды с 00:00:00 UTC 1
января 1970 года);
различные пары имя=значение, зависящие от события, предоставляемые приложени-
ями ядра или пользовательского пространства;
arch=c000003e – содержит информацию об архитектуре ЦП системы. Значение
c000003e закодировано в шестнадцатеричном формате (c000003e интерпретируется как
x86_64);
syscall=257 – тип системного вызова, отправленного ядру. Утилита ausyscall позво-
ляет преобразовывать номера системных вызовов в их удобочитаемые эквиваленты. В дан-
ном примере 257 – системный вызов openat;
success=yes – указывает, был ли системный вызов, записанный в этом конкретном со-
бытии, успешным или неудачным. В данном примере вызов успешный;
exit=3 – значение, указывающее код выхода, возвращаемый системным вызовом. Это
значение варьируется для разных системных вызовов;
a0=ffffff9c a1=7ffd62966448 a2=0 a3=0 – первые четыре аргумента системного
вызова в этом событии, закодированные в шестнадцатеричной системе счисления;
items=1 – количество вспомогательных записей PATH, следующих за записью систем-
ного вызова;
471
ppid=16840 – идентификатор родительского процесса;
pid=22257 – идентификатор процесса (PID);
auid=1000 – идентификатор пользователя аудита, то есть логин. Этот идентификатор
присваивается пользователю при входе в систему и наследуется каждым процессом, даже
если личность пользователя меняется, например, при переключении учетных записей поль-
зователей с помощью команды su -;
uid=1000 – идентификатор пользователя, запустившего анализируемый процесс. Иден-
тификатор пользователя можно интерпретировать в имя пользователя с помощью команды
ausearch -i --uid UID;
gid=1000 – идентификатор группы пользователя, запустившего анализируемый процесс;
euid=1000 – эффективный идентификатор пользователя, запустившего анализируемый
процесс;
suid=1000 – установленный идентификатор пользователя, запустившего анализируемый
процесс;
fsuid=1000 – идентификатор пользователя файловой системы, запустившего анализируе-
мый процесс;
egid=1000 – эффективный идентификатор группы пользователя, запустившего анализи-
руемый процесс;
sgid=1000 – заданный групповой идентификатор пользователя, запустившего анализиру-
емый процесс;
fsgid=1000 – идентификатор группы файловой системы пользователя, запустившего ана-
лизируемый процесс;
tty=pts2 – терминал, с которого был вызван анализируемый процесс;
ses=90 – идентификатор сеанса, из которого был вызван анализируемый процесс;
comm="cat" – имя команды, которая использовалась для вызова анализируемого процес-
са;
exe="/usr/bin/cat" – путь к исполняемому файлу, который использовался для запус-
ка анализируемого процесса;
key="autofs" – определенная администратором строка, связанная с правилом, создав-
шим это событие в журнале аудита.
Вторая запись:
type=CWD – тип записи. Значение CWD используется для записи рабочего каталога, из ко-
торого был выполнен процесс, вызвавший системный вызов, указанный в первой записи.
472
Цель этой записи – записать местоположение текущего процесса на случай, если относи-
тельный путь будет зафиксирован в связанной записи PATH. Так можно восстановить абсо-
лютный путь;
cwd="/home/user" – путь к каталогу, в котором был вызван системный вызов.
Третья запись:
type=PATH – событие аудита содержит запись типа PATH для каждого пути, который
передается системному вызову в качестве аргумента. В этом событии аудита в качестве ар-
гумента использовался только один путь (/etc/autofs.conf);
item=0 – указывает, какой элемент из общего числа элементов, указанных в записи типа
SYSCALL, является текущей записью. Это число начинается с нуля; значение 0 означает,
что это первый элемент;
name="/etc/autofs.conf" – путь к файлу или каталогу, который был передан систем-
ному вызову в качестве аргумента;
inode=1051168 – номер индексного дескриптора, связанный с файлом или каталогом,
записанным в этом событии. Отобразить файл или каталог, связанный с номером индексно-
го дескриптора можно, выполнив команду:
# find / -inum 1051168-print
/etc/autofs.conf
dev=08:02 – вспомогательный и основной идентификатор устройства, которое содержит
файл или каталог, записанный в этом событии (в данном примере /dev/08/02);
mode=0100644 – права доступа к файлу или каталогу, закодированные в числовой форме,
возвращаемые командой stat в поле st_mode (в данном примере -rw-r--r--);
ouid=0 – идентификатор пользователя владельца объекта;
ogid=0 – идентификатор группы владельца объекта;
rdev=00:00 – записанный идентификатор устройства только для специальных файлов. В
данном случае он не используется, поскольку записанный файл является обычным файлом;
cap_fp=0 – данные, относящиеся к настройке разрешенных возможностей файловой си-
стемы для объекта файла или каталога;
cap_fi=0 – данные, относящиеся к настройке унаследованных возможностей файловой
системы для объекта файла или каталога;
cap_fe=0 – установка эффективного бита возможностей файловой системы объекта файла
или каталога;
cap_fver=0 – версия возможностей файловой системы объекта файла или каталога;
473
Четвёртая запись:
type=PROCTITLE – тип записи. Значение PROCTITLE указывает, что эта запись содер-
жит полную командную строку, которая инициировала это событие аудита, вызванное си-
стемным вызовом ядра;
proctitle – полная командная строка, которая использовалась для запуска анализируе-
мого процесса. Поле закодировано в шестнадцатеричном формате. Текст декодируется в
команду, которая вызвала это событие аудита. При поиске записей аудита с помощью ко-
манды ausearch следует использовать параметр -i для автоматического преобразования
шестнадцатеричных значений в удобочитаемые эквиваленты. Значение
636174002F6574632F6175746F66732E636F6E66 интерпретируется в «cat /etc/autofs.conf».
Эти же записи в выводе команды ausearch -i:
# ausearch -i -k autofs
----
type=PROCTITLE msg=audit(26.03.2025 16:04:05.965:860) : proctitle=cat
/etc/autofs.conf
type=PATH msg=audit(26.03.2025 16:04:05.965:860) : item=0
name=/etc/autofs.conf inode=1051168 dev=08:02 mode=file,644 ouid=root
ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0
cap_fver=0 cap_frootid=0
type=CWD msg=audit(26.03.2025 16:04:05.965:860) : cwd=/home/user
type=SYSCALL msg=audit(26.03.2025 16:04:05.965:860) : arch=x86_64
syscall=openat success=yes exit=3 a0=AT_FDCWD a1=0x7ffd62966448 a2=O_RDONLY
a3=0x0 items=1 ppid=16840 pid=22257 auid=user uid=user gid=user euid=user
suid=user fsuid=user egid=user sgid=user fsgid=user tty=pts2 ses=90 comm=cat
exe=/usr/bin/cat key=autofs
type=PROCTITLE msg=audit(14.11.2023 21:26:49.349:368) : proctitle=cat
/etc/autofs.conf
9.9.7.4 Примеры
9.9.7.4.1 Запуск и завершение выполнения функций аудита
Поиск записей аудита, связанных с запуском и завершением функции аудита:
# ausearch -m DAEMON_START -m DAEMON_END
----
time->Wed Mar 26 13:33:53 2025
474
type=DAEMON_START msg=audit(1742988833.862:4634): op=start ver=4.0.1
format=enriched kernel=6.12.19-6.12-alt1 auid=4294967295 pid=5631 uid=0
ses=4294967295 res=success
----
time->Wed Mar 26 15:12:53 2025
type=DAEMON_END msg=audit(1742994773.359:4635): op=terminate auid=0 uid=0
ses=4294967295 pid=1 res=success
----
time->Wed Mar 26 15:19:07 2025
type=DAEMON_START msg=audit(1742995147.170:2639): op=start ver=4.0.1
format=enriched kernel=6.12.19-6.12-alt1 auid=4294967295 pid=16461 uid=0
ses=4294967295 res=success
9.9.7.4.2 Модификация конфигурации аудита
События модификации конфигурации аудита, происходящие во время сбора данных ауди-
та, записываются в файл журнала аудита /var/log/audit/audit.log.
Поиск записей аудита, связанных с модификацией конфигурации аудита:
# ausearch -m CONFIG_CHANGE
----
time->Wed Mar 26 15:24:01 2025
type=PROCTITLE msg=audit(1742995441.576:556):
proctitle=617564697463746C002D660032
type=SOCKADDR msg=audit(1742995441.576:556): saddr=100000000000000000000000
type=SYSCALL msg=audit(1742995441.576:556): arch=c000003e syscall=44
success=yes exit=60 a0=3 a1=7ffccc6a5f50 a2=3c a3=0 items=0 ppid=2648
pid=16536 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0
tty=pts0 ses=10 comm="auditctl" exe="/usr/sbin/auditctl" key=(null)
type=CONFIG_CHANGE msg=audit(1742995441.576:556): op=set audit_failure=2
old=1 auid=1000 ses=10 res=1
Можно также создать правило аудита, которое будет отслеживать изменения конфигурации
аудита:
# auditctl -a always,exit -F arch=b64 -F path=/etc/audit -F perm=w -F
key=audit_config
Найти такие записи аудита можно, выполнив команду:
# ausearch -k audit_config
----
time->Wed Mar 26 15:26:36 2025
475
type=PROCTITLE msg=audit(1742995596.829:558):
proctitle=617564697463746C002D77002F6574632F6175646974002D700077002D6B0061756
469745F636F6E666967
type=PATH msg=audit(1742995596.829:558): item=0 name="/etc/audit"
inode=1050346 dev=08:02 mode=040700 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1742995596.829:558): cwd="/root"
type=SOCKADDR msg=audit(1742995596.829:558): saddr=100000000000000000000000
type=SYSCALL msg=audit(1742995596.829:558): arch=c000003e syscall=44
success=yes exit=1080 a0=4 a1=7ffd79dbf240 a2=438 a3=0 items=1 ppid=2648
pid=16559 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0
tty=pts0 ses=10 comm="auditctl" exe="/usr/sbin/auditctl" key=(null)
type=CONFIG_CHANGE msg=audit(1742995596.829:558): auid=1000 ses=10
op=add_rule key="audit_config" list=4 res=1
9.9.7.4.3 События, связанные с операцией чтения записей аудита
Можно создать правило аудита, связанное с неуспешными попытками чтения записей ауди-
та:
# auditctl -a always,exit -F arch=b64 -S open -F exit=-EACCES -F key=open -k
audit_log_EACCES
# auditctl -a always,exit -F arch=b64 -S open -F exit=-EPERM -F key=open -k
audit_log_EPERM
После попыток прочитать данные аудита напрямую из файла /var/log/audit/au-
dit.log и с помощью команды ausearch от имени обычного пользователя:
$ cat /var/log/audit/audit.log
cat: /var/log/audit/audit.log: Отказано в доступе
$ /sbin/ausearch -i -k audit_log
Error opening config file (Отказано в доступе)
NOTE - using built-in end_of_event_timeout: 2
NOTE - using built-in logs: /var/log/audit/audit.log
Error opening /var/log/audit/audit.log (Отказано в доступе)
Будут созданы следующие записи, связанные с операцией чтения записей аудита:
# ausearch -i -k audit_log
----
type=PROCTITLE msg=audit(26.03.2025 15:56:57.706:818) : proctitle=auditctl -a
always,exit -F arch b64 -S open -F exit -EACCES -F key=open -k
audit_log_EACCES
476
type=SOCKADDR msg=audit(26.03.2025 15:56:57.706:818) :
saddr={ saddr_fam=netlink nlnk-fam=16 nlnk-pid=0 }
type=SYSCALL msg=audit(26.03.2025 15:56:57.706:818) : arch=x86_64
syscall=sendto success=yes exit=1080 a0=0x4 a1=0x7ffdd2ea59c0 a2=0x438 a3=0x0
items=0 ppid=5446 pid=22054 auid=user uid=root gid=root euid=root suid=root
fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=56 comm=auditctl
exe=/usr/sbin/auditctl key=(null)
type=CONFIG_CHANGE msg=audit(26.03.2025 15:56:57.706:818) : auid=user ses=56
op=add_rule key=open key=audit_log_EACCES list=exit res=yes
----
type=PROCTITLE msg=audit(26.03.2025 15:57:04.099:819) : proctitle=auditctl -a
always,exit -F arch b64 -S open -F exit -EPERM -F key=open -k audit_log_EPERM
type=SOCKADDR msg=audit(26.03.2025 15:57:04.099:819) :
saddr={ saddr_fam=netlink nlnk-fam=16 nlnk-pid=0 }
type=SYSCALL msg=audit(26.03.2025 15:57:04.099:819) : arch=x86_64
syscall=sendto success=yes exit=1076 a0=0x4 a1=0x7ffeceb891b0 a2=0x434 a3=0x0
items=0 ppid=5446 pid=22056 auid=user uid=root gid=root euid=root suid=root
fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=56 comm=auditctl
exe=/usr/sbin/auditctl key=(null)
type=CONFIG_CHANGE msg=audit(26.03.2025 15:57:04.099:819) : auid=user ses=56
op=add_rule key=open key=audit_log_EPERM list=exit res=yes
9.9.7.4.4 Хранение журнала аудита
Аудит регистрирует события следующего типа:
DAEMON_ERR – служба аудита остановилась из-за внутренней ошибки;
DAEMON_RESUME – служба аудита возобновила ведение журнал;
DAEMON_ROTATE – произошла ротация файлов журнала аудита;
DAEMON_ABORT – служба аудита остановилась из-за ошибки.
Поиск записей аудита, сделанных при ротации файлов журнала аудита:
# ausearch -m DAEMON_ROTATE
9.9.7.4.5 Аудит попыток экспорта информации
Создание правила для записей аудита, связанных с попытками экспортировать информа-
цию:
# auditctl -a always,exit -F arch=b64 -S open,openat
Поиск записей аудита, связанных с попытками экспортировать информацию:
# ausearch -x /usr/bin/rsync | head
477
9.9.7.4.6 Аудит событий, связанных с достижением ограничения неуспешных попыток аутенти-
фикации
П р и м е ч а н и е . Должна быть настроена блокировка учётной записи после последователь-
ных неудачных входов в систему. Например, блокирование учётной записи после четырёх после-
довательных неудачных входов в систему в течение пяти минут (файл /etc/pam.d/system-
auth-local-only):
auth requisite pam_faillock.so preauth deny=4
unlock_time=300
auth sufficient pam_tcb.so shadow fork nullok
auth [default=die] pam_faillock.so authfail deny=4
unlock_time=300
account required pam_faillock.so
account required pam_tcb.so shadow fork
password required pam_passwdqc.so config=/etc/passwdqc.conf
password required pam_tcb.so use_authtok shadow fork nullok
write_to=tcb
session required pam_tcb.so
Поиск записей, связанных с достижением ограничения неуспешных попыток аутентифика-
ции:
# ausearch -i -m RESP_ACCT_LOCK -m ANOM_LOGIN_FAILURES
----
type=ANOM_LOGIN_FAILURES msg=audit(26.03.2025 16:39:27.183:926) : pid=22772
uid=root auid=unset ses=unset msg='op=pam_faillock suid=user exe=/usr/bin/
login hostname=node03 addr=? terminal=tty5 res=success'
----
type=RESP_ACCT_LOCK msg=audit(26.03.2025 16:39:27.183:927) : pid=22772
uid=root auid=unset ses=unset msg='op=pam_faillock suid=user exe=/usr/bin/
login hostname=node03 addr=? terminal=tty5 res=success'
Событие разблокировки пользователя (faillock --user <пользователь> --re-
set) попадает в аудит с типом USER_ACCT и msg=pam_faillock:
# ausearch -i -m USER_ACCT
9.9.7.4.7 Использование механизма идентификации и аутентификации
Поиск записей аудита, связанных с использованием механизма аутентификации:
# ausearch -m USER_AUTH
----
time->Wed Mar 26 15:44:59 2025
type=USER_AUTH msg=audit(1742996699.788:610):
478
pid=16404 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication
grantors=? acct="user" exe="/usr/bin/login" hostname=node03 addr=?
terminal=/dev/tty3 res=failed'
----
time->Wed Mar 26 15:45:23 2025
type=USER_AUTH msg=audit(1742996723.533:613):
pid=16825 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication
grantors=pam_userpass,pam_tcb acct="user" exe="/usr/sbin/sshd"
hostname=192.168.0.177 addr=192.168.0.177 terminal=ssh res=success'
Поиск записей аудита, связанных с использованием механизма идентификации:
# ausearch -m USER_LOGIN -i
----
type=USER_LOGIN msg=audit(26.03.2025 15:45:01.212:611) : pid=16404 uid=root
auid=unset ses=unset msg='op=login acct=user exe=/usr/bin/login
hostname=node03 addr=? terminal=/dev/tty3 res=failed'
----
type=USER_LOGIN msg=audit(26.03.2025 15:45:23.609:619) : pid=16825 uid=root
auid=user ses=90 msg='op=login id=user exe=/usr/sbin/sshd
hostname=192.168.0.177 addr=192.168.0.177 terminal=/dev/pts/2 res=success'
Команда aureport позволяет вывести отчёт обо всех попытках входа в систему:
# aureport -l
Login Report
============================================
# date time auid host term exe success event
============================================
1. 26.03.2025 15:45:01 user node03 /dev/tty3 /usr/bin/login no 611
2. 26.03.2025 15:45:22 user 192.168.0.177 sshd /usr/sbin/sshd no 612
3. 26.03.2025 15:45:23 1000 192.168.0.177 /dev/pts/2 /usr/sbin/sshd yes 619
4. 26.03.2025 15:47:45 fgf node03 /dev/tty3 /usr/bin/login no 625
5. 26.03.2025 15:52:42 new node03 /dev/tty3 /usr/bin/login no 729
6. 26.03.2025 15:52:47 1000 node03 /dev/tty3 /usr/bin/login yes 735
Отчёт о неудачных попытках входа в систему:
# aureport -l --failed
Отчёт об изменениях пользовательских учетных записей:
# aureport –m
Иногда aureport предоставляет слишком много информации. В этом случае можно объеди-
нить ausearch и aureport, чтобы получить нужную информацию. Вывод ausearch при этом должен
479
быть в «raw» формате. Например, получить список узлов, с которых пользователи входили в си-
стему на этой неделе:
# ausearch --start this-week -m user_login --raw | aureport --host --
summary
Host Summary Report
===========================
total host
===========================
9 node03
6 192.168.0.177
1 192.168.0.193
9.9.7.4.8 Регистрация изменений даты и времени
Для регистрации изменений даты и времени необходимо включить контроль над изменени-
ем значения времени.
Запись событий, изменяющих время через clock_settime, settimeofday и adj-
timex с правилом в зависимости от архитектуры, в примере для 64 бит (AMD, Intel):
# auditctl -a exit,always -F arch=b64 -S clock_settime -S settimeofday
-S adjtimex -k FPT_STM
Изменить время с помощью модуля центра управления системой или в системной консоли,
командой date.
Поиск записей аудита, связанных с операцией изменения даты и времени:
# ausearch -k FPT_STM
----
time->Wed Mar 26 16:43:15 2025
type=PROCTITLE msg=audit(1743000195.375:1043):
proctitle=64617465002D2D7365743D323032352D30332D32352031363A34333A3134
type=TIME_INJOFFSET msg=audit(1743000195.375:1043): sec=-86402 nsec=623885248
type=SYSCALL msg=audit(1743000195.375:1043): arch=c000003e syscall=227 suc-
cess=yes exit=0 a0=0 a1=7fffa4d5ca30 a2=0 a3=0 items=0 ppid=23512 pid=24273
auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0
tty=pts6 ses=4294967295 comm="date" exe="/usr/bin/date" key="FPT_STM"
Пример удаления правила:
# auditctl -d exit,always -F arch=b64 -S clock_settime -S settimeofday
-S adjtimex -k FPT_STM
480
9.9.7.4.9 Регистрация событий, изменяющих информацию о пользователях/группах
Для фиксации событий, которые вносят изменения в пользовательские аккаунты, можно
создать файл /etc/audit/rules.d/20-account_changes.rules со следующим содержи-
мым:
# audit_account_changes
-a always,exit -F arch=b64 -F path=/etc/group -F perm=wa -F
key=audit_account_changes
-a always,exit -F arch=b64 -F path=/etc/passwd -F perm=wa -F
key=audit_accout_changes
-a always,exit -F arch=b64 -F path=/etc/gshadow -F perm=wa -F
key=audit_account_changes
-a always,exit -F arch=b64 -F path=/etc/shadow -F perm=wa -F
key=audit_account_changes
-a always,exit -F arch=b64 -F path=/etc/security/opasswd -F perm=wa -F
key=audit_account_changes
Поиск записей аудита, связанных с операциями изменения информации о пользователях/
группах:
# ausearch -k audit_account_changes
9.9.7.4.10 Регистрация запуска ПО
Для аудита запуска ПО можно создать файл
/etc/audit/rules.d/50-execprog.rules с правилами в зависимости от архитектуры, в
примере 64 бит (AMD, Intel):
-a always,exit -F arch=b64 -S open,openat,execve -F exit=-EACCES -F key="AVC"
-a always,exit -F arch=b64 -S open,openat,execve -F exit=-EPERM -F key="AVC"
Поиск записей аудита:
# ausearch -k AVC
481
10 ОБЩИЕ ПРАВИЛА ЭКСПЛУАТАЦИИ
10.1 Включение компьютера
Для включения компьютера необходимо:
включить стабилизатор напряжения, если компьютер подключен через стабилизатор напря-
жения;
включить принтер, если он нужен;
включить монитор компьютера, если он не подключен к системному блоку кабелем пита-
ния;
включить компьютер (переключателем на корпусе компьютера либо клавишей с клавиату-
ры).
После этого на экране компьютера появятся сообщения о ходе работы программ проверки и
начальной загрузки компьютера.
10.2 Выключение компьютера
Для выключения компьютера надо:
закончить работающие программы;
выбрать функцию завершения работы и выключения компьютера, после чего ОС самостоя-
тельно выключит компьютер, имеющий системный блок формата ATX;
выключить компьютер (переключателем на корпусе AT системного блока);
выключить принтер;
выключить монитор компьютера (если питание монитора не от системного блока);
выключить стабилизатор, если компьютер подключен через стабилизатор напряжения.
