Romanakabm: /* Часто задаваемые вопросы: VPN */

2010-11-03T22:16:46Z

Часто задаваемые вопросы: VPN

← Предыдущая		Версия 22:16, 3 ноября 2010
Строка 295:		Строка 295:

	* '''Наверное, он недешев?'''		* '''Наверное, он недешев?'''
-	: Почему же? VPN поддерживается многими маршрутизаторами, некоторые из них ненамного дороже самых элементарных, без VPN. Остерегайтесь маршрутизаторов, заявляющих о поддержке VPN в режиме pass-through: они всего лишь обеспечивают использование VPN-соединения, но не способны управлять им, и вам все равно ~~потре буется~~ держать клиентское ПО VPN на своем компьютере.	+	: Почему же? VPN поддерживается многими маршрутизаторами, некоторые из них ненамного дороже самых элементарных, без VPN. Остерегайтесь маршрутизаторов, заявляющих о поддержке VPN в режиме pass-through: они всего лишь обеспечивают использование VPN-соединения, но не способны управлять им, и вам все равно потребуется держать клиентское ПО VPN на своем компьютере.

	* '''Что это за ПО?'''		* '''Что это за ПО?'''

Crazy Rebel: /* Ответы */

2010-02-20T17:52:40Z

Ответы

← Предыдущая		Версия 17:52, 20 февраля 2010
Строка 1:		Строка 1:
	==Ответы==		==Ответы==

-	: Есть вопрос по Open Source? Пишите нам по адресу: [mailto: answers@linuxformat.ru answers@linuxformat.ru]!	+	: Есть вопрос по Open Source? Пишите нам по адресу: [mailto:answers@linuxformat.ru answers@linuxformat.ru]!

	===1 Слишком много паролей===		===1 Слишком много паролей===

Crazy Rebel: викификация, оформление, иллюстрация

2010-01-27T07:22:58Z

викификация, оформление, иллюстрация

(Различия между версиями)

Crazy Rebel: Новая: ==Ответы== : Есть вопрос по Open Source? Пишите нам по адресу: [mailto: answers@linuxformat.ru answers@linuxformat.ru]! ===1 Слишком мног...

2010-01-26T16:48:54Z

Новая: ==Ответы== : Есть вопрос по Open Source? Пишите нам по адресу: [mailto: answers@linuxformat.ru answers@linuxformat.ru]! ===1 Слишком мног...

Новая статья

==Ответы==

: Есть вопрос по Open Source? Пишите нам по адресу: [mailto: answers@linuxformat.ru answers@linuxformat.ru]!

===1 Слишком много паролей===

'''В''' ''Я только что завершил установку Ubuntu 8.10, который великолепен, помимо постоянных нудных просьб ввести пароли для
разблокировки каталога ключей (keyring) при каждом входе в систему. Сообщение гласит:''

The application ‘NetworkManagerApplet’(/usr/bin/nm-applet) wants to access the default keyring, but it is locked.

''и я не могу соединиться с моим беспроводным маршрутизатором, пока не введу пароль root.''

''Меня это не сильно нервирует, но как мне спасти свою семью от этого неудобства?''

'''Фрэнсис О’Брайен [Francis O’Brien]'''

'''О''' Ubuntu использует ''NetworkManager'' для обработки всех проводных и беспроводных соединений. ''NetworkManager'' помнит сети, к которым компьютер был подключен ранее,
и пытается автоматически восстановить соединение, если они находятся в пределах досягаемости. Поскольку эти сети обычно зашифрованы, необходимо хранить ключи или парольные фразы для каждой из «известных» сетей. ''NetworkManager'' делает это с помощью каталога ключей ''Gnome Keyring'' (KDE использует ''KDE Wallet''), защищенного паролем. Для доступа к нему нежелательно использовать пароль root. Вообще-то лучше не использовать пароль и вашего пользователя, поскольку это не создает дополнительной защиты сверх стандартного входа в систему.

Если же такой уровень безопасности вас устраивает, Ubuntu может настроить ''Gnome Keyring'' на открытие каталога ключей ''login'' при входе в систему. В нем можно хранить пароли других каталогов ключей, т.е. все они могут открываться, как только вы вошли. В '''.gnome2/keyrings''' должен быть файл с именем '''login.keyring'''. В следующий раз, когда вас спросят о пароле каталога по умолчанию, установите флажок '''Automatically Unlock This On Login''', и вопросы должны прекратиться. Повторите это действие для каждого пользователя, пока все они не будет использовать каталог '''login''', чтобы
открыть какие-либо другие.

Но это не будет работать, если вы во время установки выбрали функцию автовхода, потому
что тогда вы не вводите пароль, используемый для разблокирования специальных каталогов ключей. Однако, если компьютером пользуется не один человек, Вы так и так должны избегать автоматического входа: каждый член семьи должен иметь свою собственную учетную запись, чтобы сохранить свои настройки и данные в безопасности. Автоматический вход можно отключить в вкладке '''Security''' [Безопасность] в '''System > Administration > Login Window''' [Система > Администрирование > Окно входа]. '''НБ'''

===2 ''Sudo'' в CentOS===

'''В''' ''Почему CentOS говорит, что моя учетная запись «не в списке sudoers»? Я попытался посмотреть в ее настройках, но результатов не добился.''

'''Крис Торп [Chris Thorpe]'''

'''О''' По умолчанию, CentOS не использует ''sudo''. В отличие от Ubuntu, где первый
пользователь, созданный в инсталляторе, имеет право запускать через ''sudo'' все, что угодно, CentOS не дает такого права никому. Единственный способ запуска программы с привилегиями root – войти от имени root, запустив ''su'' в терминале. Чтобы включить ''sudo'' для себя или других пользователей, необходимо отредактировать список '''sudoers''', используя команду ''visudo''. Она использует редактор, определенный в
'''$EDITOR''', или, если она не установлена, ''Vi''. Этот метод проверяет синтаксис, прежде чем поместить его в реальный файл, что позволяет избежать блокировки самого себя при опечатке. Запустите команду с помощью

su -
visudo

или

EDITOR=”emacs” visudo

и добавьте в конец файла следующую строку:
ваш_пользователь ALL=(ALL) ALL

чтобы позволить своему пользователю запускать любые команды. Можно также указать список
команд, например:

otheruser ALL= /sbin/mount, /sbin/umount

Разрешения могут быть выданы всем членам группы, и вы можете ограничить аргументы, передаваемые командам, например, как в этом, отключенном, примере в файле '''sudoers''' CentOS по умолчанию:

%users ALL=/sbin/mount /cdrom, /sbin/
umount /cdrom

что позволяет любому пользователю монтировать или отмонтировать CD. Вы можете также удалить парольную защиту, как показано здесь:

%users ALL=NOPASSWD: /sbin/mount /
cdrom,/sbin/umount /cdrom

но при этом будьте осторожны. ''Sudo'' считается лучшим способом управления доступом к системным командам, потому что вы имеете точный контроль над действиями каждого пользователя и потому что больше никому не надо знать пароль root. '''ГМ'''

=== 3 Вход на замке===

'''В''' ''Можете ли вы помочь мне снова загрузить PCLinuxOS 2007? У меня он установлен на отдельном жестком диске, и я потихоньку разбирался с ним, но в результате недавнего переезда потерял блокнот, где были записаны имя пользователя и пароль. Прочитав на одном форуме о предложении снова вставить DVD и переустановить систему, я попытался сделать это, но с меня по-прежнему требуют реквизиты. Не знаю, что делать дальше, и буду признателен за любую помощь.''

'''Клайв Бизли [Clive Beasley], c форумов'''

'''О''' Вы все еще загружаетесь с жесткого диска. Чтобы загрузиться с DVD, вам нужно выбрать оптический привод в загрузочном меню BIOS. При запуске компьютера вы должны видеть сообщение, предлагающее нажать определенную клавишу для настройки и т.д. Какую именно – зависит от материнской платы: наши четыре компьютера используют '''F8, F11, F12''' и '''Esc'''. Иногда это сообщение отсылает к меню BBS. Нужная клавиша должна быть также указана в руководстве вашей материнской платы, если последнее не потеряно вместе с блокнотом, содержащим пароли. Если вы не можете войти в меню загрузки, вызовите страницу настроек BIOS и измените порядок загрузки, чтобы CD/DVD шел перед жестким диском.

Если вы загрузитесь с вашего Live CD, необходимость в переустановке отпадет; пароль можно
сбросить с помощью нескольких команд в терминале. Откройте его, щелкнув по иконке ''Konsole'' и запустите эти команды:

su -
mount /dev/sda1
chroot /mnt/sda1
passwd ваше_имя_пользователя

''su'' запросит у вас пароль, введите root. Следующая команда монтирует корневую файловую систему (по умолчанию PCLinuxOS устанавливается в '''/dev/sda1'''), затем ''chroot'' входит в эту директорию и делает ее корневой. Пока вы не выйдете из системы, вы будете находиться внутри вашей исходной установки PCLinuxOS. При запуске ''chroot'' вы можете увидеть сообщения об ошибках прав доступа на '''/dev/null''' – спокойно проигнорируйте их. Теперь, будучи внутри вашей исходной установки в качестве root, Вы можете изменить
пароль с помощью команды ''passwd'':

passwd мой_пользователь

При запросе введите пароль дважды и постарайтесь не забыть его и не потерять снова. Если вы забыли еще и имя пользователя, можете просмотреть список пользователей в файле '''/etc/passwd'''.

cat /etc/passwd

Ваше имя пользователя будет находиться гдето ближе к концу этого файла. Также можно сбросить пароль root, запустив ''passwd'' без указания имени пользователя. Сбросив пароль, нажмите '''Ctrl+D''' для выхода из сессии root, а затем перезагрузите машину, вернув ей на этот раз возможность загрузиться с жесткого диска. Теперь вы можете зайти под вашим новым именем пользователя и паролем. '''НБ'''

===4 Вкл/Выкл интернет===

'''В''' ''Я пытаюсь ограничить доступ к Интернету (Wi-Fi) на одном из моих компьютеров, но только в определенные периоды времени в течение дня и ночи. Полагаю, это может быть сделано с помощью заданий '''Cron''', но не совсем уверен в синтаксисе для установки временных рамок и нужно ли мне изменять '''Cron''' от имени пользователя или от root.''

''Скажем, ноутбук может иметь доступ в Интернет лишь с 8:00 до 17:00, а затем с 20:00 до 22:30 в воскресенье–четверг (для вечерних занятий), но в пятницу или субботу он может подключаться с 8:00 до 23:00. Можно ли сделать это в несколько строк, или надо иметь одну команду на каждый день недели и время включения и отключения? Кроме того, каким образом остановить весь интернет-трафик, и Wi-Fi, и Ethernet?''

'''Мартин Берк [Martin Burke]'''

'''О''' Это можно сделать при помощи ''Iptables'' – программы управления возможностями брандмауэра ядра Linux. Вы можете заблокировать весь исходящий трафик, но более изящное решение – блокировать трафик, не предназначенный для вашей локальной сети. При этом компьютер вашего ребенка сохранит доступ к любой общей директории или местным серверам,
но выйти в Интернет будет невозможно. Следующая команда позволит подключение к сети 192.168.0.*, но заблокирует все остальное.

iptables -I OUTPUT ! -d 192.168.1.0/24 -j DROP

Часть '''-I''' (это прописная буква '''i''') '''OUTPUT''' вставляет правило в самом начале выходной цепочки. Правила брандмауэра обрабатываются по очереди, вплоть до первого совпадения, так что новое правило поставьте впереди всех. Это важно, если брандмауэр уже запущен, поскольку он обычно установлен на разрешение исходящих соединений, а вам надо это пресечь. Часть '''-d 192.168.1.0/24''' соответствует любому трафику для сети '''192.168.1.*''', но предшествующий '''!''' инвертирует ее – получается трафик не для Вашей сети. В заключительной части '''-j''' сообщает ''Iptables'', что делать с этими данными, в данном случае – отказаться от них. Поскольку в правиле не указан интерфейс, то блокировка не зависит от типа соединения: беспроводное оно или проводное.

Можно поставить эту команду в задачи ''Cron'' и добавить правило, отменяющее запрет:

iptables -D OUTPUT ! -d 192.168.1.0/24 -j DROP

где вместо '''-I''' (вставить) идет '''-D''', удаляющее правило, что позволит эффективно включать и отключать компьютер от интернет-канала в указанное время, например, поместив в '''/etc/Cron.d/firewall''' строки

0 8 * * * root /sbin/iptables -D OUTPUT ! -d 192.168.1.0/24 -j DROP &>/dev/null
0 17 * * 0-4 root /sbin/iptables -I OUTPUT ! -d 192.168.1.0/24 -j DROP &>/dev/null
0 20 * * 0-4 root /sbin/iptables -D OUTPUT ! -d 192.168.1.0/24 -j DROP &>/dev/null
30 22 * * 0-4 root /sbin/iptables -I OUTPUT ! -d 192.168.1.0/24 -j DROP &>/dev/null
0 23 * * 5-6 root /sbin/iptables -I OUTPUT ! -d 192.168.1.0/24 -j DROP &>/dev/null

Первое правило выключает фильтрацию в 8 утра каждый день, следующие три включают в 17:00, выключают в 20:00, и снова включают в 22:30 в воскресенье–четверг (дни от 0 до 4, в интерпретации ''Cron''). Последняя строка включает фильтрацию в более позднее время, на
выходных.

У этого подхода есть серьезный недостаток: для активации задач ''Cron'' компьютер должен быть включен, а его перезапуск вызовет исчезновение правил. Одно из решений – применить скрипт, проверяющий время и устанавливающий соответствующие правила, который вы можете запустить из '''/etc/rc.local'''.

#!/bin/sh
DAY=$(( $(date +%u) % 7 ))
HOUR=$(date +%H)
if [[ $DAY -lt 2 ]]; then
if [[ $HOUR -ge 8 ]] && [[ $HOUR -lt 23 ]]
then
/sbin/iptables -D OUTPUT ! -d 192.168.1.0/24 -j DROP
else
/sbin/iptables -I OUTPUT ! -d 192.168.1.0/24 -j DROP
fi
else
if [[ $HOUR -ge 8 ]] && [[ $HOUR -lt 17 ]]
then
/sbin/iptables -D OUTPUT ! -d 192.168.1.0/24 -j DROP
elif [[ $HOUR -ge 20 ]] && [[ $HOUR -lt 22 ]]
then
/sbin/iptables -D OUTPUT ! -d 192.168.1.0/24 -j DROP
else
/sbin/iptables -I OUTPUT ! -d 192.168.1.0/24 -j DROP
fi
fi

На вид вроде и сложно, но он просто получает день и час по команде ''date'' и принимает на основе этого решение: включить или отключить фильтрацию. Настройте его в соответствии с вашими потребностями, и он будет хорошей отправной точкой. '''МС'''

LXF115:Ответы - История изменений

Romanakabm: /* Часто задаваемые вопросы: VPN */

Crazy Rebel: /* Ответы */

Crazy Rebel: викификация, оформление, иллюстрация

Crazy Rebel: Новая: ==Ответы== : Есть вопрос по Open Source? Пишите нам по адресу: [mailto: answers@linuxformat.ru answers@linuxformat.ru]! ===1 Слишком мног...