LXF81:Ответы

Материал из Linuxformat.

Перейти к: навигация, поиск
Наши эксперты

Наши эксперты найдут ответ на самый трудный ваш вопрос. Если у вас проблемы с установкой, настройкой модема, сетью или еще чем-нибудь – просто напишите нам, а обо всем остальном позаботимся мы.

Управляя Интернет-провайдером, а заодно подрабатывая редактором дисков LXF, Нейл Ботвик (Neil Bothwick) скромно зовет себя мастером на все руки.
Управляя Интернет-провайдером, а заодно подрабатывая редактором дисков LXF, Нейл Ботвик (Neil Bothwick) скромно зовет себя мастером на все руки.
Александр К. - сторонник Unix-way. Молодой, но перспективный член дружной команды экспертов.
Александр К. - сторонник Unix-way. Молодой, но перспективный член дружной команды экспертов.
Валентин Синицын Поддерживает проект Slackware Reiser4, интересуется настольными Linux-технологиями и рад помочь Вам разобраться с ними.
Валентин Синицын Поддерживает проект Slackware Reiser4, интересуется настольными Linux-технологиями и рад помочь Вам разобраться с ними.

Содержание

VMWare не варит

  • Я пытался установить VMWare Player на свой ноутбук Dell Inspiron 5150, но получил сообщение «no vmmon modules suitable». Попробовал удалить программу, но процесс, по-видимому, завис, и через 10 минут я его остановил. Затем я снова запустил установочный скрипт vmware-install.pl, но получил сообщение о том, что всё уже установлено. Хотелось бы получить совет по ликвидации программы или поиску подходящего модуля. Билл Эйлс [Bill Eyles]

Вы не сообщили нам, какой у Вас дистрибутив Linux, а от этого многое зависит. Во-первых, VMWare Player у Вас нормально установлен, о чем Вы и получили сообщение. Однако он не настроен. Для этого программа установки сразу после копирования файлов запускает скрипт vmware-config.pl. Именно этот скрипт выдал ошибку об отсутствии подходящего модуля. VMWare Player поставляется с большим набором собранных модулей для различных дистрибутивов, однако все предусмотреть невозможно. Например, есть модуль для SUSE 10.0, а для Mandriva 2006 его нет. Если готового модуля нет, vmware-config.pl попытается собрать его из исходных кодов, но для этого ему требуется компилятор C и исходные тексты ядра. В большинстве дистрибутивов компилятор устанавливается по умолчанию, однако исходные тексты ядра чаще всего приходится устанавливать вручную. Откройте Ваш менеджер пакетов и поищите gcc и kernel-source. В некоторых дистрибутивах, например, в Ubuntu, пакеты называются build-essential и linux-source. Но независимо от названия пакетов, исходные коды тексты должны быть той же версии, на которой работает Ваша система. Версию ядра, на котором Вы работаете, можно узнать командой

uname -r

После установки исходных кодов ядра и компилятора запустите vmware-config.pl снова, на этот раз все должно пройти гладко. НБ

Простая статистика

  • У нас есть выделенный сервер, на котором работает Apache с множеством виртуальных хостов. Я хотел бы иметь простую статистику для каждого виртуального хоста без покупки дорогого пакета, который нужен не всем нашим заказчикам. Есть ли способ, не требующий дополнительных расходов? Дункан Вильямс [Duncan Williams]

Вам повезло, есть бесплатный анализатор журналов web-сервера, который генерирует детальные отчеты в HTML — Webalizer (http://Webalizer.org).

Для Вашей задачи нужно настроить Apache на генерацию отдельного файла журнала для каждого домена:

CustomLog logs/domain.co.uk-access_log common

Следующий шаг — настройка Webalizer на анализ каждого журнала и генерацию индивидуальных отчетов. Создайте директорию для файлов конфигурации: mkdir -p /etc/Webalizer/vhosts.

Скопируйте /etc/Webalizer.conf в / etc/Webalizer/vhosts для каждого виртуального хоста. Дайте конфигурационным файлам имена доменов с расширением .conf (например, конфигурационный файл для domain.co.uk должен называться domain.co.uk.conf). Кроме того, каждый файл нужно отредактировать: как минимум, указать параметры HostName, OutputDir и LogFile. Быть может, Вам потребуются какие-то специфические настройки, например, HideReferrer, OutputDir и т. п., тогда ознакомьтесь с man-страницей по Webalizer. Типичный конфигурационный файл для одного домена выглядит так:

LogFile /var/log/httpd/domain.co.uk-access_log
OutputDir /var/www/vhosts/domain.co.uk/usage
HostName domain.co.uk

Теперь, для регулярного запуска анализатора, создайте простой скрипт и поместите его в /etc/cron.daily:

#!/bin/sh
for i in /etc/Webalizer/vhosts/*.conf;
do /usr/bin/Webalizer -c $i; done

Если Вам понадобится добавить домен, просто создайте для него файл конфигурации в /etc/Webalizer/vhosts. При следующем запуске скрипта для него также будет создан отчет. КК

Нет сети в сети для Firefox

  • Я работаю в Windows XP и различных дистрибутивах Linux. Мой компьютер подключен к Интернет через маршрутизатор Netgear DG632. Я предпочитаю пользоваться программами Firefox и Thunderbird, и они отлично работают в XP, однако во всех дистрибутивах Linux, которые я пробовал, отказываются подключиться к сети. Тем не менее, Konqueror и KMail работают без проблем. Я не использую прокси, и я проверил, что все настройки программ в XP и Linux идентичны. Джон Фишер [John Fisher]

Причина в том, что Firefox и Thunderbird пытаются установить соединение по протоколу IPv6, а приложения KDE по умолчанию используют более старый и широко распространенный IPv4. Если Ваш провайдер не использует IPv6, или Ваш маршрутизатор не поддерживает его, наблюдается именно то, что Вы описали.

Есть два решения этой проблемы. Более элегантное — обновить прошивку Вашего маршрутизатора. Некоторые изделия Netgear очень от этого выигрывают. Вы можете найти свежие прошивки для продуктов Netgear по адресу http://www.netgear.co.uk/product_support.php.

Другой вариант — отключить поддержку протокола IPv6 в Linux, и Firefox перестанет пытаться им вопользоваться. Для этого добавьте следующие строки в файл конфигурации модулей:

alias net-pf-10 off
alias ipv6 off

Имя и расположение этого файла в различных дистрибутивах отличается: в Mandriva, SUSE и Slackware это /etc/modprobe.conf, в Fedora Core, Debian и Ubuntu — /etc/modprobe.d/aliases, а в Gentoo — /etc/modules.d/aliases. НБ

Кде искать KDE

  • Я купил специальные выпуски вашего журнала, посвященные дистрибутивам OpenSUSE и Mandriva. Для престарелого новичка вроде меня это отличные дистрибутивы. В журнале вы писали, что в SUSE рабочий стол по умолчанию — Gnome. Однако KDE на диске тоже есть, и я его загрузил. Для некоторых задач я предпочёл бы KDE. Как можно организовать выбор рабочего стола при загрузке? Адам Оув [Adam Ow]

А Вы не устанавливали KDE через YaST? Если нет, запустите YaST, перейдите в Software Managment и поищите KDE (поиском только по имени). Позвольте менеджеру пакетов установить все, связанное с KDE. Не беспокойтесь о зависимостях — YaST разрешит их автоматически. Еще надо обязательно установить пакет kdebase3-session, он позволит выбирать при загрузке рабочее окружение — KDE или Gnome. Когда Вы все установите, выйдите из рабочего стола, кликните на кнопку Сессия (Session) внизу экрана входа в систему. Вы должны увидеть KDE в списке доступных окружений.

Если же Вы хотите выбирать нужное рабочее окружение при каждой загрузке, откройте терминал суперпользователя (оба рабочих стола имеют такой пункт меню), запустите gdmsetup и отключите опцию автоматического входа. НБ

Исход — исходник

  • Хочу попробовать программу для обработки звука Sweep, которую вы поместили на диск к LXF78. У меня Ubuntu (Breezy Badger), и во всех справках написано только про установку из репозитариев. У меня только ваш диск, Интернета нет, а как установить программу с диска, я не знаю. Я скопировал архив с диска, распаковал его в домашнюю директорию, в итоге у меня куча непонятных файлов. Пожалуйста, научите меня устанавливать программы с диска. Мартин Топпинг [Martin Topping]

Репозитарий — самый простой путь установки программ в большинстве дистрибутивов, при условии, что в репозитарии есть нужный Вам пакет и у Вас есть доступ Интернет. Однако это не единственный способ установить программу: можно собрать ее из исходных кодов. Именно этим занимаются maintainer'ы пакетов.

Файлы, которые Вы увидели после распаковки — исходные тексты Sweep. Их сборка очень проста и не потребует от Вас какихто специфических навыков. Откройте терминал, перейдите в директорию с программой и запустите configure, для проверки, все ли у Вас есть для сборки программы:

cd Sweep-0.9.1
./configure

Если configure вылетит с ошибкой, значит, чего-то не хватает. Чего именно — смотрите по сообщению. Установите все, что нужно, и снова попробуйте собрать. В Ubuntu после установки обычно не хватает компилятора C, поэтому откройте в системном меню Synaptic, кликните на Поиск (Search) и наберите build-essential; выберите его из результатов поиска и кликните Применить (Apply). Затем запустите ./configure, чтобы узнать, чего еще недостаёт.

Когда ./configure перестанет выдавать ошибки, запустите следующие команды для сборки и установки:

make
sudo make install

Иногда ./configure уверяет, что какого-либо пакета нету, хотя он установлен. Если это произошло, нужно установить еще и соответствующий -devel пакет, в котором есть все необходимое для сборки. Некоторые пакеты, от которых зависят программы, помещаемые на наши диски, есть в директории dependencies. К сожалению, похоже, что не все нужные devel-пакеты имеются на Вашем диске Ubuntu. Если у Вас нет интернет-соединения, лучше использовать дистрибутив, поставляемый на нескольких CD или DVD и содержащий как можно больше пакетов. SUSE 10.1 - прекрасный выбор. НБ

RAID значит «наезд»

  • Я хотел бы воспользоваться LVM и создать программный RAID 1 на своем сервере под управлением Red Hat, однако по ряду причин я не могу пользоваться графической утилитой для его настройки. Можно как-нибудь обойтись без нее? Келли Дил [Kelly Deal]

Вы можете настроить RAID и LVM с помощью инсталлятора в текстовом режиме, хотя это будет посложнее. Для RAID 1 нужно как минимум 2 диска. Запустите загрузку; дойдя до этапа разметки диска, переключитесь на свободную консоль (Alt+F2). С помощью fdisk создайте новый раздел на 100 МБ для /boot на каждом диске (/boot не может быть логическим томом), а также раздел подкачки и все остальные разделы. Смените тип всех разделов на fd для «Linux raid autodetect» и не забудьте сохранить изменения на диске. Если у Вас SATA-диски, то для fdisk используйте параметры /dev/sda и /dev/sdc; если IDE (каждый IDE-диск должен быть первичным на своем контроллере) — /dev/hda и /dev/hdc; если SCSI, то /dev/sd*.

Теперь создайте собственно RAID 1 из соответствующих разделов:

mdadm --create --verbose /dev/md0 --level=raid1 --raid-devices=2 /dev/sda1 /dev/sdс1
mdadm --create --verbose /dev/md1 --level=raid1 --raid-devices=2 /dev/sda2 /dev/sdс2

Запустите RAID:

raidstart /dev/md0
raidstart /dev/md1

Посмотрите на его статус:

cat /proc/mdstat

Создание LVM; для начала создадите физический том:

lvm pvcreate -M 2 --metadatacopies 2 /dev/md1

После этого можно создать группу и активировать ее:

lvm vgcreate -A y -M 2 VolGroup00 /dev/md1
lvm vgchange -a y VolGroup00

Наконец, создайте логические тома (/, /usr, /var, /tmp, /home, swap):

lvm lvcreate -L 512M -n lvroot VolGroup00
lvm lvcreate -L 10G -n lvusr VolGroup00
lvm lvcreate -L 5G -n lvvar VolGroup00
lvm lvcreate -L 128M -n lvtmp VolGroup00
lvm lvcreate -L 2G -n lvhome VolGroup00
lvm lvcreate -L 1G -n lvswap1 VolGroup00

Логические тома могут быть уменьшены или увеличены, а такой конфигурации достаточно для установки (G и M означает гига- и мегабайты, соответственно). Закончив, перейдите обратно в установщик (Alt+F1). Вам осталось лишь указать точки монтирования и продолжить установку. КК

Firefox и иконки

  • Я использую Mandrake 9.2 и Firefox 1.0.6. В моих закладках есть маленькие иконки напротив каждого пункта — для одних ресурсов это нормальные логотипы, для других — пустые листы. Я нигде не нашел, как их можно поменять. Теперь еще однО после LXF у меня в закладках идет Linux Magazine, и у него точно такая же иконка! Как такое может быть, и как это исправить? Ричард Меллерш [Richard Mellersh]

Эти иконки впервые были применены в Internet Explorer. Если на сайте есть файл favicon.ico, большинство браузеров будут показывать эту иконку в строке адреса и в закладках. Похоже, Ваш Firefox путает сайты журналов о Linux, но есть способ это исправить.

Наберите в адресной строке about:config, поищите параметры browser.chrome.site_icons и browser.chrome.favicons и измените их значения на false. Перезапустите Firefox и очистите кэш (Tools > Clear Private Data). После этого восстановите измененные в about:config параметры в true, перезапустите браузер снова и посетите нужные сайты для обновления иконок. Вместо всей этой возни можно установить расширение FavIcon Picker, которое позволит Вам самим изменять и удалять иконки ресурсов.

Ваша версия Firefox устарела и содержит уязвимости, поэтому лучше обновить браузер. Favicon Picker Вы можете скачать с http://forums.mozillazine.org/viewtopic.php?t=321562. Сохраните файл, а затем откройте его в браузере через Ctrl+0. НБ

Сканер в беде

  • У меня есть SCSI-сканер, имя устройства — /dev/sg0. Для управления сканером я пользуюсь KDE, Sane и XSane. Проблема в том, что права на /dev/sg0 не дают мне доступа к нему. Когда я запускаю XSane, он сообщает, что сканер не подключен.
Владелец сканера — суперпользователь; устройство также принадлежит группе disks, я состою в этой группе. Права по умолчанию — запись-чтение для владельца и только чтение для группы. Группе требуется также запись-чтение для того, чтобы нормально пользоваться сканером через Sane/XSane. Каждый раз, когда мне нужно что-то отсканировать, мне приходится заходить в терминал суперпользователь и менять права на устройство. К сожалению, после следующей перезагрузки все опять сбрасывается. Это произошло после обновления до SUSE 10, в ранних версиях все было нормально. Мне посоветовали написать новое правило для udev, полагаясь на информацию, выданную утилитой udevinfo, однако пока ни одна из этих попыток не увенчалась успехом. Кристофер Хаггинс [Christopher Huggins]

Вы правы, тут виноват udev: в более ранних версиях SUSE он не использовался. Загляните в файл /etc/udev/rule.d/50-udev.rules, там должно быть такое правило:

KERNEL=="sg*", NAME="%k",GROUP="disk",MODE="640"

Все, что Вам нужно для нормальной работы с устройством — заменить MODE с 640 на 660. Однако этого делать не рекомендуется, поскольку при первом же обновлении udev все вернётся к прежнему. Вместо этого создайте отдельный файл /etc/udev/rule.d/10-udev.rules и запишите туда такую строку:

KERNEL= ="sg*",NAME="%k",GROUP:="disk", MODE:="660"

:= означает, что эта настройка не будет изменена в дальнейшем. В зависимости от того, сколько человек работает за Вашим компьютером, Вам, быть может, захочется создать отдельную группу доступа к сканеру. Тогда создайте в YaST новую группу scanner (или с помощью groupadd scanner) и поменяйте параметр GROUP в Вашем правиле. Теперь можете добавлять в эту группу пользователей сканера. НБ

Ограничивая SSH

  • Недавно я столкнулся со следующей задачей: мы планируем предоставить всем нашим разработчикам удаленный доступ по SSH. Одно из требований — при соединении пользователи должны получать текст с условиями использования предоставленного им доступа. Как это можно настроить в RHEL 4? И еще, я хотел бы ограничить доступ с 2-х до 4-х утра. В это время на сервере работают довольно ресурсоемкие скрипты, вызываемые из планировщика. Патрик Харпер [Patrick Harper]

Ограничение доступа к сервисам — основная забота системных администраторов. По поводу сообщений при соединении все очень просто ознакомьтесь с man-страницами по motd и issue. Но мы пойдем другим путем. Для ограничения доступа по времени и показа сообщения мы будем использовать PAM [Pluggable Authentication Modules]. PAM — мощный механизм, позволяющий использовать систему аутентификации во многих программах. Каждая программа, поддерживающая PAM, имеет свою конфигурацию в /etc/pam.d. Вот как выглядит /etc/pam.d/ssh по умолчанию:

#%PAM-1.0
auth required pam_stack.so 
service=system-auth
auth required pam_nologin.so 
account required pam_stack.so
service=system-auth password required pam_stack.so
service=system-auth session required pam_stack.so
service=system-auth session required pam_loginuid.so

В Red Hat есть общие правила PAM (/etc/pam.d/system-auth), но мы хотим настроить только ssh и будем править только файл /etc/pam.d/sshd. Для ограничения по времени существует директива pam_time, которой мы и воспользуемся:

#%PAM-1.0
account required pam_time.so 
auth required pam_stack.so
service=system-auth 
auth required pam_nologin.so 
account required pam_stack.so
service=system-auth password required pam_stack.so
service=system-auth session required pam_stack.so
service=system-auth session required pam_loginuid.so
session required pam_motd.so
motd=/etc/sshmotd

Теперь поместите нужное сообщение в файл /etc/sshmotd, а время — в /etc/ security/time.conf:

sshd;*;*;!Al0200-0400

Будьте осторожны с PAM, это очень мощный механизм, который может полностью блокировать Ваш доступ в систему. Поэтому все испытания рекомендуется проводить на тестовой машине. КК

Видео редактор

  • Я хотел бы немного поредактировать видео в Linux. Моя цифровая фотокамера умеет снимать видеоролики (в QuickTime), однако сохраняет их в формате mov, который не понимают ни Kino, ни Avidemux.
Я скачал Cinelerra, но в форумах эту программу называют избыточной для любительских нужд. Я попытался конвертировать видео в AVI из Cinelerra, чтобы воспользоваться другими программами, но обнаружил, что изменилась цветовая палитра (это видно при просмотре видео из Xine). Таким образом, я зашел в тупик. Мне нужно лишь склеить несколько роликов в один большой и сохранить его в любом приемлемом формате.
Или, нельзя как-нибудь обновить мою систему (Fedora Core 4), чтобы Kino стал понимать формат mov? С форума LXF

Вам потребуется последняя версия Kino — 0.8.0, позволяющая импортировать файлы с помощью FFMpeg и MEncoder. В Ваш дистрибутив включена версия 0.7.6. Нужный пакет имеется в репозитарии Dries (http://dries.studentenweb.org/rpm/packages/Kino/info.html).

При первой попытке импортировать видео, Вы можете получить ошибки, например, такую:

The playlist is empty and the default preferences for video creation have not been specified — aborting. (нет плей-листа и установок по умолчанию — аборт).

Для ее исправления перейдите в настройки и выставьте параметр Normalisation в PAL или NTSC. Если у Вас установлен MPlayer, Вы также можете получить ошибку «файл не найден».

Бывает, что Kino не всегда может нормально проиграть видеофайл с помощью MEncoder. Если это случилось, откройте /usr/share/Kino/scripts/import/media. sh в текстовом редакторе и замените 13-ю строку на следующую:

which mencoder REMOVE > /dev/null

Теперь, если Kino не найдет MEncoder, то вместо него воспользуется FFmpeg. Имя Mencoder можно изменить на любое нераспознаваемое командой which; добавление REMOVE намекает на то, зачем это было сделано. НБ

SUSE сачкует

  • У меня есть два компьютера, подключенные через концентратор Belkin KVM к монитору KDS Visual Sensation 190. Обе машины без проблем работали на SUSE 9.3. Однако после установки SUSE 10.0 я столкнулся с трудностями. Система перестала опознавать размер и разрешение моего монитора. Это не проблема в SUSE 9.3, поскольку там я вводил все вручную, и все отлично работало. А в новой версии Sax2 предложил протестировать настройки. После этого монитор погас и вошел в режим энергосбережения. Так как это произошло на обеих машинах, я думаю, что что-то случилось с концентратором или самим монитором. Марк Бесяда [Mark Biesiada], Мичиган, США

Виноват, скорее всего, концентратор, и проверить это легкО просто подсоедините монитор напрямую к одной из машин. KVM не давал распознать монитор, а эта процедура решит проблему. Потом подключите монитор к другому компьютеру и повторите настройку. Теперь графический сервер настроен на обеих машинах, и можно вновь подключить монитор через концентратор.

Кстати, похожая штука происходит при установке SUSE в виртуальной машине. Все просто нужно зайти в YaST и вручную выбрать подходящую видеокарту и монитор. НБ

Linux в школах

  • Я — администратор сети в большой средней школе, заинтересован в уменьшении расходов на ПО и рассчитываю, что Linux и свободные программы помогут мне в этом. Сейчас я использую FC4 как интранет- и web-сервер, однако хотелось бы расширить использование Linux за счет файловых и серверов печати, и в конечном итоге, рабочих станций. Какие дистрибутивы вы порекомендуете для серверов и рабочих станций? Есть ли какие-нибудь хорошие ресурсы с информацией об использовании Linux в образовании? Арти Болл [Artie Ball], Эшфорд, Кент.

Лучший совет в данном случае - скачать и попробовать несколько дистрибутивов, и остановиться на самом удобном для Вас. Вы можете найти образы для записи на CD на http://www.linuxiso.org, там есть и Free/NetBSD (строго говоря, это не совсем Linux, но тоже бесплатно). Потом посмотрите, какой лучше «приживётся» в Вашей среде. Я бы порекомендовал дистрибутив, поддерживающий стандарт LSB (http://www.linuxbase.org), это повышает портируемость приложений.

По поводу того, какой дистрибутив больше подходит для использования в образовании, однозначного ответа нет: все современные дистрибутивы хороши для обучения и развития умственных способностей. И не забывайте, что можно легально копировать дистрибутивы с GPL-лицензией и раздавать Вашим ученикам: они смогут изучать систему и дома. (См. наш материал в этом номере по поводу использования Linux в образовании). КК

OpenOffice.org

  • Я работаю в SUSE 10.0, которая включает в себя OpenOffice.org 2.0 build 1.9.125.1.2. У меня никак не получается настроить принтер (Canon MP760), чтобы он использовался по умолчанию. Он отлично опознается в OpenOffice.org, и тестовая печать нормально проходит. Однако после перезагрузки в OpenOffice.org по умолчанию выставляется generic printer. Кен Халл [Ken Hull]

Если Вы печатаете через CUPS, то generic printer указывает на Ваш принтер и должен нормально работать. Так происходит потому, что OpenOffice.org всего лишь отправляет документ программе lpr, а та использует принтер, заданный у Вас в YaST по умолчанию. Если Вы хотите сменить его, откройте терминал суперпользователя и запустите программу spadmin. Выберите System > Terminal > Terminal program — Super User Mode в меню SUSE и наберите

/usr/lib/ooo-2.0/program/spadmin

Теперь Вы можете удалить принтер, переименовать его или добавить новый. Если generic printer нормально работает, просто дайте ему более осмысленное имя. Если нет — создайте новый принтер и отметьте его по умолчанию. Обратите внимание, что если у Вас запущен CUPS, то spadmin не позволит Вам добавить новый принтер. Нажмите на кнопку «Новый принтер», а затем щелкните «Отмена», и OOo заново просканирует систему в поисках принтеров. НБ

Брандмаузер

  • Я прочитала в вашем журнале FAQ о брандмауэрах, и заинтересовалась защищённостью своего компьютера: вдруг кто достанет мои cookies и получит доступ о моего имени на те сайты которых я зарегистрирована или узнает пароль от моего ящика электронной почты? Мелочь, конечно, но приятного мало. Я решила настроить свой брандмауэр через Центр управления Mandriva 2006. Уровень безопасности у меня стандартный (его рекомендует система для большинства случаев), там тьма разных параметров и везде стоит «по умолчанию», но что конкретно дают мне эти параметры я не знаю, и не могу понять что мне нужно а что нет. Уровень безопасности повышать боюсь (у одного знакомого на Windows XP из-за брандмауэра невозможно стало даже в сетевой чат выйти!).
Скажите, пожалуйста, какие службы отвечают за возможность отправки писем, использования ICQ, доступ к cookies и как настроить их так, чтобы никто посторонний не мог ничего достать с моей системы, но при этом сайты имели возможность запомнить мои реквизиты и пароль. Аня

Увеличенный уровень безопасности, как правило, предполагает меньший комфорт при работе с системой — Вам приходится чаще вводить пароль, вручную предоставлять доступ к службам и т. п. Поэтому Mandriva рекомендует вариант «Стандартный» — это неплохой компромисс между удобством работы и защищенностью для обычного пользователя, который не хранит на жестком диске по-настоящему секретные сведения, например, составляющие коммерческую или государственную тайну.

Занявшись защитой своего компьютера, в первую очередь необходимо запретить все входящие соединения, в особенности на привилегированные порты (1-1024). Если в Вашей системе не запущены Web-сервер, FTP-сервер и т. п. (или они запущены, но не должны быть доступны извне), установления легальных соединений с этими портами не предвидится. Однако, это может повлиять на работу некоторых клиентских приложений, которые желают устанавливать входящие соединения: например, FTP-клиентов (в момент начала закачки файла сервер и клиент как бы меняются местами), клиента ICQ (это касается режима «прямого подключения» и передачи файлов — обмениваться сообщениями через сервер можно независимо от этих настроек), локальные сетевые чаты, клиенты P2P-сетей и игры. Как правило, эти проблемы решаемы, преимущественно, двумя путями: подгрузкой специальных модулей ядра (так обеспечивается работа с FTP) — это обычно обеспечивают инструменты настройки вроде Центра Управления Mandriva и так называемым «пробросом портов» — то есть разрешением входящих соединений для определенных сервисов. Например, если Вы запретили все входящие соединения, а затем разрешили принимать входящие соединения на порт 2000, то указав этот порт в настройках клиента ICQ (точное местоположение настройки зависит от конкретного клиента, обычно она находится недалеко от галочки «I`m behind firewall/NAT»), вы получите возможность обмениваться файлами и общаться с другими пользователями не через сервер. Какие порты необходимо открыть, обычно указано в документации или на сайте/форумах, посвященных той или иной программе. Учтите, что порты бывают двух типов - TCP и UDP. Протокол HTTP, по которому вы общаетесь с Web-сайтом, проброса портов не требует, поэтому, если Вы пользуетесь только web-браузером и ICQ, то вполне можете запретить все входящие соединения и не ощутить дискомфорта.

Но такой уровень защищенности — только половина дела. Ничто не совершенно, и в программах, которые вы используете (в том же Mozilla Firefox) обнаруживаются «дыры» — лазейки, позволяющие злоумышленникам утянуть Ваши конфиденциальные данные, не устанавливая для этого специального соединения. От этого существует одна защита — регулярно устанавливайте обновления безопасности. В принципе, и Linux, и открытые приложения содержат сравнительно небольшое число дыр, но пренебрегать этой возможностью не стоит. Наконец, помните об общих правилах гигиены — не используйте простые пароли (свое имя, дату рождения, кличку собаки и т.д.) или простые «секретные» вопросы на бесплатных сервисах (в свое время один крупный портал бесплатной почты предлагал в качестве «секретного» вопроса указать Ваш рост, естественно, ответ угадывался с 5-10 попыток методом простого перебора), старайтесь не пересылать их по незащищенному каналу (кстати, большая часть общений с Web-сайтами, за исключением, пожалуй, инетрнет-магазинов с оплатой по кредитным картам, происходит без шифрования) и т. п. ВС

Вопрос месяца!
Зоопарк разбушевался
  • В Linux есть множество форматов установочных файлов: DEB, RPM.... ещё из исходников можно. У каждого дистрибутива какой-то свой репозитарий. Авторы программ тоже имеют разные предпочтения касательно формата пакетов... Неужели никто ещё не подумал над тем, что пользователям нужно некое универсальное средство взаимодействия со всеми этими репозитариями и пакетами, а также универсальное средство учёта установленного ПО? Вот, например, нужно мне свежайшую версию какойнибудь библиотеки, я её соберу из исходных текстов и при установке перекрою файлы пакета, зарегистрированного, например, в SuSE YaST. Но ведь последний об этом не подозревает. Значит, уже неправильно судит о состоянии системы! Да и я могу забыть, что я там ставил... Наверняка можно найти и другие примеры неблагоприятных ситуаций, происходящих от разнообразия и слабых мест систем установки ПО. Порекомендуйте, пожалуйста, какуюнибудь программу или метод для наведения порядка? Глеб

Здесь, к сожалению, все не так просто. управление пакетами, в некотором смысле, больное место Linux-систем, их сила и слабость. Из-за открытости Linux каждый «дистростроитель» выбирал тот вариант, который казался удобными именно ему – это относится не только к формату пакетов, но и их содержимому (так называемым vendor patches – хорошо известно, что KDE от того же SUSE весьма отличается от того, что можно загрузить с ftp://ftp.kde.org/), а также расположению файлов в системе. Поэтому очевидный вариант решения проблемы – искать не пакет libfoox.y.i586.rpm, а содержащуюся в нем библиотеку – libfoo.x.y.so – не срабатывает: во-первых, разные дистрибутивы могут ставить ее в разное место, от /lib до /server/foo/lib, кроме того, сам факт наличия файла еще ни о чем не говорит – в нем может не быть нужных патчей. В отличие от библиотеки пакет, да еще и подписанный изготовителем – это гарантия того, что нужная функциональность находится на нужных местах. Пожалуй, ожидать унификации пакетной системы Linux в ближайшее время не стоит. Что можно предпринять? Можно выбрать подходящий дистрибутив (распространенный и с большим репозитарием), и пользоваться только его пакетами. Подойдут Debian, Ubuntu, SUSE, Fedora, Mandriva. Альтернативный вариант – выбрать дистрибутив с простой системой управления пакетами и дособирать недостающие части самостоятельно – это Arch Linx, Slackware. Третий вариант – выбрать Gentoo или любой другой source-based дистрибутив – но необходимо иметь хороший Интернет-канал и желание проводить сутки за компиляцией. Большой интерес представляет также проект Autopackage, про который мы писали в LXF77. Пока набор ПО, распространяющегося в виде автопакетов, не слишком велик, но в перспективе это позволит значительно облегчить установку программ в Linux-системах). ВС

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ: ВИРУСЫ
  • Существуют ли вирусы для linux?
    Да, но это скорее просто демонстрации того, что под эту систему их можно писать. В «диком» виде пока ничего не обнаружено.
  • Значит, не о чем беспокоиться?
    Так, да не совсем. В данный момент вирусов нет, но это не значит, что они не появятся, пока я допишу эту строку.
  • Разве права доступа не защитят меня от реальной угрозы?
    Типичное заблуждение. Конечно, если вирус запущен не от имени суперпользователя, он не сможет попортить системные файлы. Но подумайте, что для Вас ценнее – операционная система, которая переустанавливается за полчаса, или Ваши данные? Что Вы предпочтете потерять – пару системных библиотек или годовой финансовый отчет? Кроме того, вирус и без всяких прав может разослать с Вашей машины кучу спама, и Ваш провайдер откажет Вам в доступе.
  • Ладно, уговорили. А как защититься?
    Есть несколько антивирусных программ для Linux. Самые популярные – ClamAV (http://www.clamav.net) и F-Prot (http://www.f-prot.com). Они обнаруживают вирусы и под Windows, и под Linux. Если Вам нужен графический интерфейс, попробуйте KlamAV (http://klamav.sourceforge.net).
  • Какое мне дело до windows-вирусов, если я сижу в linux?
    Если Вы обслуживаете почтовый сервер, к которому подсоединяются Windows-машины, то можете предотвратить заражение еще на сервере. Большинство почтовых серверов поддерживают проверку писем с помощью ClamAV.
  • Почему в linux риск меньше, чем в windows?
    Ну, во-первых, пользователей Windows гораздо больше, а значит, и вирусы пишет больше народу. И потом, в Windows менее разнообразное ПО: для почты, например, большинство пользуется стандартным Outlook. В Linux же пользователи имеют KMail, Evolution, Thunderbird, Sylpheed, Mutt или другой клиент.
КРАТКАЯ СПРАВКА : ПОИСК ФАЙЛОВ

В Linux есть две основные утилиты для поиска файлов – find и locate. locate работает с базой данных и очень быстра, однако файлы, появившиеся после обновления базы, она не найдет. При этом она может искать файлы только по имени:

locate filename

Добавьте опцию -i для регистронезависимого поиска. Во многих дистрибутивах база данных обновляется регулярно через планировщик Cron.

find, напротив, работает прямо с файловой системой. Она медленнее и может искать файлы только в директориях, доступных текущему пользователю, зато find может отыскать самые новые файлы, а также позволяет исключать из списка поиска определенные директории и искать файл не только по имени, но и, например, по владельцу:

find -name '*somefile*'
find /usr -iname '*someotherfile*'
find /usr -maxdepth 2 -iname '*whatfile*'

Первая команда проведет поиск в текущей директории, а также во всех поддиректориях. Вторая будет искать в /usr, причем независимо от регистра. Последняя опустится не ниже чем на два уровня вложенности в дереве каталогов, а затем завершит работу.

find имеет большую гибкость, чем locate, однако locate хорошо подходит для быстрого поиска. Вы легко можете ограничить список директорий поиска с помощью grep:

locate -i myfile | grep /home/nelz

locate ищет подстроку, find – точное имя файла.

Вы когда-нибудь интересовались, где программа сохраняет свои файлы конфигурации? Выполните touch /tmp/now, запустите программу, измените настройки и выйдите. После этого выполните:

find ~ -newer /tmp/now

– и найдёте в Вашей домашней директории все файлы, которые редактировались позднее, чем /tmp/now. Файлы конфигурации сюда тоже входят.

Личные инструменты
  • Купить электронную версию
  • Подписаться на бумажную версию