- Подписка на печатную версию:
- Подписка на электронную версию:
- Подшивки старых номеров журнала (печатные версии)
LXF81:Ответы
Материал из Linuxformat.
Содержание |
VMWare не варит
Я пытался установить VMWare Player на свой ноутбук Dell Inspiron 5150, но получил сооб- щение “no vmmon modules suitable”. Попробовал удалить программу, но процесс, по-видимому, завис, и через 10 минут я его остановил. Затем я снова запус- тил установочный скрипт vmware-install.pl, но получил сообщение о том, что всё уже установлено. Хотелось бы получить совет по ликвидации программы или поиску под- ходящего модуля. Билл Эйлс [Bill Eyles]
Вы не сообщили нам, какой у Вас дистрибутив Linux, а от этого многое зависит. Во-первых, VMWare Player у Вас нормально установлен, о чем Вы и получили сообще- ние. Однако он не настроен. Для этого про- грамма установки сразу после копирования файлов запускает скрипт vmware-config.pl. Именно этот скрипт выдал ошибку об отсутствии подходящего модуля. VMWare Player поставляется с большим набором собранных модулей для различных дистри- бутивов, однако все предусмотреть невоз- можно. Например, есть модуль для SUSE 10.0, а для Mandriva 2006 его нет. Если гото- вого модуля нет, vmware-config.pl попытает- ся собрать его из исходных кодов, но для этого ему требуется компилятор C и исход- ные тексты ядра. В большинстве дистрибу- тивов компилятор устанавливается по умол- чанию, однако исходные тексты ядра чаще всего приходится устанавливать вручную. Откройте Ваш менеджер пакетов и поищите gcc и kernel-source. В некоторых дистри- бутивах, например, в Ubuntu, пакеты назы- ваются build-essential и linux-source. Но независимо от названия пакетов, исход- ные коды тексты должны быть той же вер- сии, на которой работает Ваша система. Версию ядра, на котором Вы работаете, можно узнать командой
uname -r
После установки исходных кодов ядра и компилятора запустите vmware-config.pl снова, на этот раз все должно пройти глад- ко. НБ
Простая статистика
У нас есть выделенный сервер, на котором работает Apache с мно- жеством виртуальных хостов. Я хотел бы иметь простую статисти- ку для каждого виртуального хоста без покупки дорогого пакета, который нужен не всем нашим заказчикам. Есть ли способ, не требующий дополнительных расходов? Дункан Вильямс [Duncan Williams]
Вам повезло, есть бесплатный анализатор журналов web-серве- ра, который генерирует деталь- ные отчеты в HTML – Webalizer (http://Webalizer.org).
Для Вашей задачи нужно настроить Apache на генерацию отдельного файла журнала для каждого домена:
CustomLog logs/domain.co.uk-access_log common
Следующий шаг – настройка Webalizer на анализ каждого журнала и генерацию индивидуальных отчетов. Создайте дирек- торию для файлов конфигурации: mkdir -p /etc/Webalizer/vhosts.
Скопируйте /etc/Webalizer.conf в / etc/Webalizer/vhosts для каждого вир- туального хоста. Дайте конфигурационным файлам имена доменов с расширением .conf (например, конфигурационный файл для domain.co.uk должен называться domain.co.uk.conf). Кроме того, каждый файл нужно отредактировать: как минимум, указать параметры HostName, OutputDir и LogFile. Быть может, Вам потребуются какие-то специфические настройки, напри- мер, HideReferrer, OutputDir и т.п., тогда ознакомьтесь с man-страницей по Webalizer. Типичный конфигурационный файл для одного домена выглядит так:
LogFile /var/log/httpd/domain.co.uk-access_log OutputDir /var/www/vhosts/domain.co.uk/usage HostName domain.co.uk
Теперь, для регулярного запуска анали- затора, создайте простой скрипт и помести- те его в /etc/cron.daily:
#!/bin/sh for i in /etc/Webalizer/vhosts/*.conf; do /usr/bin/Webalizer -c $i; done
Если Вам понадобится добавить домен, просто создайте для него файл конфигура- ции в /etc/Webalizer/vhosts. При следую- щем запуске скрипта для него также будет создан отчет. КК
Нет сети в сети для Firefox
Я работаю в Windows XP и раз- личных дистрибутивах Linux. Мой компьютер подключен к Интернет через маршрутизатор Netgear DG632. Я предпочитаю пользоваться про- граммами Firefox и Thunderbird, и они отлично работают в XP, однако во всех дис- трибутивах Linux, которые я пробовал, отка- зываются подключиться к сети. Тем не менее, Konqueror и KMail работают без про- блем. Я не использую прокси, и я проверил, что все настройки программ в XP и Linux идентичны. Джон Фишер [John Fisher]
Причина в том, что Firefox и Thunderbird пытаются установить соединение по протоколу IPv6, а приложения KDE по умолчанию используют более старый и широко распро- страненный IPv4. Если Ваш провайдер не использует IPv6, или Ваш маршрутизатор не поддерживает его, наблюдается именно то, что Вы описали.
Есть два решения этой проблемы. Более элегантное – обновить прошивку Вашего маршрутизатора. Некоторые изде- лия Netgear очень от этого выигрывают. Вы можете найти свежие прошивки для продуктов Netgear по адресу http://www.netgear.co.uk/product_support.php.
Другой вариант – отключить поддержку протокола IPv6 в Linux, и Firefox перестанет пытаться им вопользоваться. Для этого добавьте следующие строки в файл конфи- гурации модулей:
alias net-pf-10 off alias ipv6 off
Имя и расположение этого файла в различных дистрибутивах отличается: в Mandriva, SUSE и Slackware это /etc/modprobe.conf, в Fedora Core, Debian и Ubuntu – /etc/modprobe.d/aliases, а в Gentoo – /etc/modules.d/aliases. НБ
Кде искать KDE
Я купил специальные выпуски вашего журнала, посвященные дистрибутивам OpenSUSE и Mandriva. Для престарелого новичка вроде меня это отличные дистри- бутивы. В журнале вы писали, что в SUSE рабочий стол по умолчанию – Gnome. Однако KDE на диске тоже есть, и я его загрузил. Для некоторых задач я пред- почёл бы KDE. Как можно организовать выбор рабочего стола при загрузке? Адам Оув [Adam Ow]
А Вы не устанавливали KDE через YaST? Если нет, запустите YaST, перейдите в Software Managment и поищите KDE (поис- ком только по имени). Позвольте менедже- ру пакетов установить все, связанное с KDE. Не беспокойтесь о зависимостях – YaST разрешит их автоматически. Еще надо обя- зательно установить пакет kdebase3- session, он позволит выбирать при загруз- ке рабочее окружение – KDE или Gnome. Когда Вы все установите, выйдите из рабо- чего стола, кликните на кнопку Сессия (Session) внизу экрана входа в систему. Вы должны увидеть KDE в списке доступных окружений.
Если же Вы хотите выбирать нужное рабочее окружение при каждой загрузке, откройте терминал суперпользователя (оба рабочих стола имеют такой пункт меню), запустите gdmsetup и отключите опцию автоматического входа. НБ
Исход – исходник
Хочу попробовать программу для обработки звука Sweep, которую вы поместили на диск к LXF78. У меня Ubuntu (Breezy Badger), и во всех справках написано только про установ- ку из репозитариев. У меня только ваш диск, Интернета нет, а как установить про- грамму с диска, я не знаю. Я скопировал архив с диска, распаковал его в домашнюю директорию, в итоге у меня куча непонят- ных файлов. Пожалуйста, научите меня устанавливать программы с диска. Мартин Топпинг [Martin Topping]
Репозитарий – самый простой путь установки программ в боль- шинстве дистрибутивов, при условии, что в репозитарии есть нужный Вам пакет и у Вас есть доступ Интернет. Однако это не единственный спо- соб установить программу: можно собрать ее из исходных кодов. Именно этим зани- маются maintainer’ы пакетов.
Файлы, которые Вы увидели после рас- паковки – исходные тексты Sweep. Их сбор- ка очень проста и не потребует от Вас каких- то специфических навыков. Откройте тер- минал, перейдите в директорию с програм- мой и запустите configure, для проверки, все ли у Вас есть для сборки программы:
cd Sweep-0.9.1 ./configure
Если configure вылетит с ошибкой, значит, чего-то не хватает. Чего именно – смотрите по сообщению. Установите все, что нужно, и снова попробуйте собрать. В Ubuntu после установки обычно не хватает компилятора C, поэтому откройте в сис- темном меню Synaptic, кликните на Поиск (Search) и наберите build-essential; выбе- рите его из результатов поиска и клик- ните Применить (Apply). Затем запусти- те ./configure, чтобы узнать, чего еще недостаёт.
Когда ./configure перестанет выда- вать ошибки, запустите следующие коман- ды для сборки и установки:
make sudo make install
Иногда ./configure уверяет, что како- го-либо пакета нету, хотя он установлен. Если это произошло, нужно установить еще и соответствующий -devel пакет, в котором есть все необходимое для сбор- ки. Некоторые пакеты, от которых зависят программы, помещаемые на наши диски, есть в директории dependencies. К сожа- лению, похоже, что не все нужные devel- пакеты имеются на Вашем диске Ubuntu. Если у Вас нет интернет-соединения, лучше использовать дистрибутив, поставляемый на нескольких CD или DVD и содержащий как можно больше пакетов. SUSE 10.1 – прекрасный выбор. НБ
RAID значит «наезд»
Я хотел бы воспользоваться LVM и создать программный RAID 1 на своем сервере под управлением Red Hat, однако по ряду причин я не могу пользоваться графической утили- той для его настройки. Можно как-нибудь обойтись без нее? Келли Дил [Kelly Deal]
Вы можете настроить RAID и LVM с помощью инсталлятора в текстовом режиме, хотя это будет посложнее. Для RAID 1 нужно как минимум 2 диска. Запустите загрузку; дойдя до этапа разметки диска, переключи- тесь на свободную консоль (Alt+F2). С помощью fdisk создайте новый раз- дел на 100 МБ для / boot на каждом дис- ке (/boot не может быть логическим томом), а также раз- дел подкачки и все остальные разделы. Смените тип всех разделов на fd для “Linux raid autodetect” и не забудьте сохра- нить изменения на диске. Если у Вас SATA-диски, то для fdisk используйте пара- метры /dev/sda и /dev/sdc; если IDE (каж- дый IDE-диск должен быть первичным на своем контроллере) – /dev/hda и /dev/ hdc; если SCSI, то /dev/sd*.
Теперь создайте собственно RAID 1 из соответствующих разделов:
mdadm --create --verbose /dev/md0 --level=raid1 --raid-devices=2 /dev/sda1 /dev/sdс1 mdadm --create --verbose /dev/md1 --level=raid1 --raid-devices=2 /dev/sda2 /dev/sdс2
Запустите RAID:
raidstart /dev/md0 raidstart /dev/md1
Посмотрите на его статус:
cat /proc/mdstat
Создание LVM; для начала создадите физический том:
lvm pvcreate -M 2 --metadatacopies 2 /dev/md1
После этого можно создать группу и активировать ее:
lvm vgcreate -A y -M 2 VolGroup00 /dev/md1 lvm vgchange -a y VolGroup00
Наконец, создайте логические тома (/, /usr, /var, /tmp, /home, swap):
lvm lvcreate -L 512M -n lvroot VolGroup00 lvm lvcreate -L 10G -n lvusr VolGroup00 lvm lvcreate -L 5G -n lvvar VolGroup00 lvm lvcreate -L 128M -n lvtmp VolGroup00 lvm lvcreate -L 2G -n lvhome VolGroup00 lvm lvcreate -L 1G -n lvswap1 VolGroup00
Логические тома могут быть уменьше- ны или увеличены, а такой конфигурации достаточно для установки (G и M озна- чает гига- и мегабайты, соответственно). Закончив, перейдите обратно в установщик (Alt+F1). Вам осталось лишь указать точки монтирования и продолжить установку. КК
Firefox и иконки
Я использую Mandrake 9.2 и Firefox 1.0.6. В моих закладках есть маленькие иконки напротив каждого пункта – для одних ресурсов это нормальные логотипы, для других – пустые листы. Я нигде не нашел, как их можно поменять. Теперь еще однО после LXF у меня в закладках идет Linux Magazine, и у него точ- но такая же иконка! Как такое может быть, и как это исправить? Ричард Меллерш [Richard Mellersh]
Эти иконки впервые были приме- нены в Internet Explorer. Если на сайте есть файл favicon.ico, большинство браузеров будут показывать эту иконку в строке адреса и в закладках. Похоже, Ваш Firefox путает сай- ты журналов о Linux, но есть способ это исправить.
Наберите в адресной строке about: config, поищите параметры browser.chrome.site_icons и browser.chrome.favicons и изме- ните их значения на false. Перезапустите Firefox и очистите кэш (Tools > Clear Private Data). После этого восстановите измененные в about:config параметры в true, перезапустите браузер снова и посе- тите нужные сайты для обновления иконок. Вместо всей этой возни можно установить расширение FavIcon Picker, которое позво- лит Вам самим изменять и удалять иконки ресурсов.
Ваша версия Firefox устарела и содер- жит уязвимости, поэтому лучше обновить браузер. Favicon Picker Вы можете скачать с http://forums.mozillazine.org/viewtopic.php?t=321562. Сохраните файл, а затем откройте его в браузере через Ctrl+0. НБ
Сканер в беде
У меня есть SCSI-сканер, имя устройства – /dev/sg0. Для управления сканером я пользу- юсь KDE, Sane и XSane. Проблема в том, что права на /dev/sg0 не дают мне доступа к нему. Когда я запускаю XSane, он сообщает, что сканер не подключен.
Владелец сканера – суперпользова- тель; устройство также принадлежит груп- пе disks, я состою в этой группе. Права по умолчанию – запись-чтение для владельца и только чтение для группы. Группе требу- ется также запись-чтение для того, чтобы нормально пользоваться сканером через Sane/XSane. Каждый раз, когда мне нуж- но что-то отсканировать, мне приходится заходить в терминал суперпользователь и менять права на устройство. К сожалению, после следующей перезагрузки все опять сбрасывается. Это произошло после обнов- ления до SUSE 10, в ранних версиях все было нормально. Мне посоветовали написать новое пра- вило для udev, полагаясь на информацию, выданную утилитой udevinfo, однако пока ни одна из этих попыток не увенчалась успехом. Кристофер Хаггинс [Christopher Huggins]
Вы правы, тут виноват udev: в более ранних версиях SUSE он не использовался. Загляните в файл /etc/udev/rule.d/50- udev.rules, там должно быть такое правило:
KERNEL==”sg*”, NAME=”%k”,GROUP=”disk”,MODE=”640”
Все, что Вам нужно для нормальной работы с устройством – заменить MODE с 640 на 660. Однако этого делать не рекомендуется, поскольку при первом же обновлении udev все вернётся к прежнему. Вместо этого создайте отдельный файл /etc/udev/rule.d/10-udev.rules и запи- шите туда такую строку:
KERNEL= =”sg*”,NAME=”%k”,GROUP:=”disk”, MODE:=”660”
:= означает, что эта настройка не будет изменена в дальнейшем. В зависимости от того, сколько человек работает за Вашим компьютером, Вам, быть может, захочется создать отдельную группу доступа к ска- неру. Тогда создайте в YaST новую группу scanner (или с помощью groupadd scanner) и поменяйте параметр GROUP в Вашем пра- виле. Теперь можете добавлять в эту группу пользователей сканера. НБ
Ограничивая SSH
Недавно я столкнулся со следую- щей задачей: мы планируем пре- доставить всем нашим разработ- чикам удаленный доступ по SSH. Одно из требований – при соединении пользовате- ли должны полу- чать текст с условиями использования предоставленно- го им доступа. Как это можно настроить в RHEL 4? И еще, я хотел бы ограничить доступ с 2-х до 4-х утра. В это время на сер- вере работают довольно ресурсоемкие скрипты, вызываемые из планировщика. Патрик Харпер [Patrick Harper]
Ограничение доступа к сервисам – основная забота системных администраторов. По поводу сообщений при соединении все очень просто ознакомьтесь с man-страница- ми по motd и issue. Но мы пойдем другим путем. Для ограничения доступа по време- ни и показа сообщения мы будем использо- вать PAM [Pluggable Authentication Modules]. PAM – мощный механизм, позволяющий использовать систему аутентификации во многих программах. Каждая программа, поддерживающая PAM, имеет свою конфи- гурацию в /etc/pam.d. Вот как выглядит /etc/pam.d/ssh по умолчанию:
#%PAM-1.0 auth required pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session required pam_loginuid.so
В Red Hat есть общие правила PAM (/etc/pam.d/system-auth), но мы хотим настроить только ssh и будем править толь- ко файл /etc/pam.d/sshd. Для ограниче- ния по времени существует директива pam_time, которой мы и воспользуемся:
#%PAM-1.0 account required pam_time.so auth required pam_stack.so service=system-auth auth required pam_nologin.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session required pam_loginuid.so session required pam_motd.so motd=/etc/sshmotd
Теперь поместите нужное сообщение в файл /etc/sshmotd, а время – в /etc/ security/time.conf:
sshd;*;*;!Al0200-0400
Будьте осторожны с PAM, это очень мощный механизм, который может полно- стью блокировать Ваш доступ в систему. Поэтому все испытания рекомендуется про- водить на тестовой машине. КК
Видео редактор
Я хотел бы немного поредактиро- вать видео в Linux. Моя цифро- вая фотокамера умеет снимать видеоролики (в QuickTime), одна- ко сохраняет их в формате mov, который не понимают ни Kino, ни Avidemux.
Я скачал Cinelerra, но в форумах эту программу называют избыточной для любительских нужд. Я попытался конвер- тировать видео в AVI из Cinelerra, чтобы воспользоваться другими программами, но обнаружил, что изменилась цветовая палитра (это видно при просмотре видео из Xine). Таким образом, я зашел в тупик. Мне нужно лишь склеить несколько роликов в один большой и сохранить его в любом приемлемом формате.
Или, нельзя как-нибудь обновить мою систему (Fedora Core 4), чтобы Kino стал понимать формат mov? С форума LXF
Вам потребуется последняя вер- сия Kino – 0.8.0, позволяющая импортировать файлы с помо- щью FFMpeg и MEncoder. В Ваш дистрибутив включена версия 0.7.6. Нужный пакет имеется в репозитарии Dries (http://dries.studentenweb.org/rpm/packages/Kino/info.html).
При первой попытке импортировать видео, Вы можете получить ошибки, напри- мер, такую:
The playlist is empty and the default preferences for video creation have not been specified – aborting. (нет плей-листа и уста- новок по умолчанию – аборт).
Для ее исправления перейди- те в настройки и выставьте параметр Normalisation в PAL или NTSC. Если у Вас установлен MPlayer, Вы также можете полу- чить ошибку «файл не найден».
Бывает, что Kino не всегда может нор- мально проиграть видеофайл с помощью MEncoder. Если это случилось, откройте /usr/share/Kino/scripts/import/media. sh в текстовом редакторе и замените 13-ю строку на следующую:
which mencoder REMOVE > /dev/null
Теперь, если Kino не найдет MEncoder, то вместо него воспользуется FFmpeg. Имя Mencoder можно изменить на любое нерас- познаваемое командой which; добавление REMOVE намекает на то, зачем это было сделано. НБ
SUSE сачкует
У меня есть два компьютера, под- ключенные через концентратор Belkin KVM к монитору KDS Visual Sensation 190. Обе машины без проблем работали на SUSE 9.3. Однако после установки SUSE 10.0 я столкнулся с трудно- стями. Система перестала опознавать раз- мер и разрешение моего монитора. Это не проблема в SUSE 9.3, поскольку там я вво- дил все вручную, и все отлично работало. А в новой версии Sax2 предложил протестиро- вать настройки. После этого монитор погас и вошел в режим энергосбережения. Так как это произошло на обеих машинах, я думаю, что что-то случилось с концентратором или самим монитором. Марк Бесяда [Mark Biesiada], Мичиган, США
Виноват, скорее всего, концент- ратор, и проверить это легкО просто подсоедините монитор напрямую к одной из машин. KVM не давал распознать монитор, а эта процедура решит проблему. Потом подклю- чите монитор к другому компьютеру и пов- торите настройку. Теперь графический сер- вер настроен на обеих машинах, и можно вновь подключить монитор через концентратор.
Кстати, похожая штука происходит при установке SUSE в виртуальной машине. Все просто нужно зайти в YaST и вручную выбрать подходящую видеокарту и мони- тор. НБ
Linux в школах
Я – администратор сети в боль- шой средней школе, заинтересо- ван в уменьшении расходов на ПО и рассчитываю, что Linux и свободные программы помогут мне в этом. Сейчас я использую FC4 как интранет- и web-сервер, однако хотелось бы расши- рить использование Linux за счет файло- вых и серверов печати, и в конечном итоге, рабочих станций. Какие дистрибутивы вы порекомендуете для серверов и рабочих станций? Есть ли какие-нибудь хорошие ресурсы с информацией об использова- нии Linux в образовании? Арти Болл [Artie Ball], Эшфорд, Кент.
Лучший совет в данном случае – скачать и попробовать несколь- ко дистрибутивов, и остановить- ся на самом удобном для Вас. Вы можете найти образы для записи на CD на http://www.linuxiso.org, там есть и Free/NetBSD (строго говоря, это не совсем Linux, но тоже бесплатно). Потом посмот- рите, какой лучше «приживётся» в Вашей среде. Я бы порекомендовал дистрибутив, поддерживающий стандарт LSB (http://www.linuxbase.org), это повышает портируе- мость приложений.
По поводу того, какой дистрибутив больше подходит для использования в образовании, однозначного ответа нет: все современные дистрибутивы хороши для обучения и развития умственных способ- ностей. И не забывайте, что можно легаль- но копировать дистрибутивы с GPL-лицен- зией и раздавать Вашим ученикам: они смогут изучать систему и дома. (См. наш материал в этом номере по поводу исполь- зования Linux в образовании). КК
OpenOffice.org
Я работаю в SUSE 10.0, которая включает в себя OpenOffice.org 2.0 build 1.9.125.1.2. У меня никак не получается настроить принтер (Canon MP760), чтобы он использовался по умолчанию. Он отлично опознается в OpenOffice.org, и тестовая печать нормаль- но проходит. Однако после перезагрузки в OpenOffice.org по умолчанию выставляется generic printer. Кен Халл [Ken Hull]
Если Вы печатаете через CUPS, то generic printer указывает на Ваш принтер и должен нормаль- но работать. Так происходит потому, что OpenOffice.org всего лишь отправляет документ программе lpr, а та использует принтер, заданный у Вас в YaST по умолчанию. Если Вы хотите сменить его, откройте терминал суперпользователя и запустите программу spadmin. Выберите System > Terminal > Terminal program – Super User Mode в меню SUSE и наберите
/usr/lib/ooo-2.0/program/spadmin
Теперь Вы можете удалить принтер, переименовать его или добавить новый. Если generic printer нормально работа- ет, просто дайте ему более осмысленное имя. Если нет – создайте новый принтер и отметьте его по умолчанию. Обратите вни- мание, что если у Вас запущен CUPS, то spadmin не позволит Вам добавить новый принтер. Нажмите на кнопку «Новый при- нтер», а затем щелкните «Отмена», и OOo заново просканирует систему в поисках принтеров. НБ
Брандмаузер
Я прочитала в вашем журнале FAQ о брандмауэрах, и заинтере- совалась защищённостью своего компьютера: вдруг кто достанет мои cookies и получит доступ о моего име- ни на те сайты которых я зарегистрирована или узнает пароль от моего ящика элект- ронной почты? Мелочь, конечно, но прият- ного мало. Я решила настроить свой бранд- мауэр через Центр управления Mandriva 2006. Уровень безопасности у меня стан- дартный (его рекомендует система для большинства случаев), там тьма разных параметров и везде стоит “по умолчанию”, но что конкретно дают мне эти параметры я не знаю, и не могу понять что мне нужно а что нет. Уровень безопасности повышать боюсь (у одного знакомого на Windows XP из-за брандмауэра невозможно стало даже в сетевой чат выйти!).
Скажите, пожалуйста, какие службы отвечают за возможность отправки писем, использования ICQ, доступ к cookies и как настроить их так, чтобы никто посторонний не мог ничего достать с моей системы, но при этом сайты имели возможность запом- нить мои реквизиты и пароль. Аня
Увеличенный уровень безопас- ности, как правило, предполагает меньший комфорт при работе с системой – Вам приходится чаще вводить пароль, вручную предоставлять доступ к службам и т.п. Поэтому Mandriva рекомендует вариант «Стандартный» – это неплохой компромисс между удобством работы и защищенностью для обычного пользователя, который не хранит на жест- ком диске по-настоящему секретные сведе- ния, например, составляющие коммерчес- кую или государственную тайну.
Занявшись защитой своего ком- пьютера, в первую очередь необходимо запретить все входящие соединения, в особенности на привилегированные пор- ты (1-1024). Если в Вашей системе не запущены Web-сервер, FTP-сервер и т.п. (или они запущены, но не должны быть доступны извне), установления легальных соединений с этими портами не предви- дится. Однако, это может повлиять на работу некоторых клиентских приложений, которые желают устанавливать входящие соединения: например, FTP-клиентов (в момент начала закачки файла сервер и клиент как бы меняются местами), клиента ICQ (это касается режима «прямого под- ключения» и передачи файлов – обмени- ваться сообщениями через сервер можно независимо от этих настроек), локальные сетевые чаты, клиенты P2P-сетей и игры. Как правило, эти проблемы решаемы, пре- имущественно, двумя путями: подгрузкой специальных модулей ядра (так обеспе- чивается работа с FTP) – это обычно обес- печивают инструменты настройки вроде Центра Управления Mandriva и так назы- ваемым «пробросом портов» – то есть разрешением входящих соединений для определенных сервисов. Например, если Вы запретили все входящие соединения, а затем разрешили принимать входящие соединения на порт 2000, то указав этот порт в настройках клиента ICQ (точное местоположение настройки зависит от конкретного клиента, обычно она находит- ся недалеко от галочки “I’m behind firewall/ NAT”), вы получите возможность обме- ниваться файлами и общаться с другими пользователями не через сервер. Какие порты необходимо открыть, обычно указа- но в документации или на сайте/форумах, посвященных той или иной программе. Учтите, что порты бывают двух типов – TCP и UDP. Протокол HTTP, по которому вы общаетесь с Web-сайтом, проброса портов не требует, поэтому, если Вы пользуетесь только web-браузером и ICQ, то вполне можете запретить все входящие соединения и не ощутить дискомфорта.
Но такой уровень защищенности – толь- ко половина дела. Ничто не совершенно, и в программах, которые вы используете (в том же Mozilla Firefox) обнаруживаются «дыры» – лазейки, позволяющие злоумыш- ленникам утянуть Ваши конфиденциальные данные, не устанавливая для этого специ- ального соединения. От этого существует одна защита – регулярно устанавливайте обновления безопасности. В принципе, и Linux, и открытые приложения содержат сравнительно небольшое число дыр, но пренебрегать этой возможностью не стоит. Наконец, помните об общих правилах гигиены – не используйте простые пароли (свое имя, дату рождения, кличку собаки и т.д.) или простые «секретные» вопросы на бесплатных сервисах (в свое время один крупный портал бесплатной почты пред- лагал в качестве «секретного» вопроса указать Ваш рост, естественно, ответ уга- дывался с 5-10 попыток методом простого перебора), старайтесь не пересылать их по незащищенному каналу (кстати, большая часть общений с Web-сайтами, за исклю- чением, пожалуй, инетрнет-магазинов с оплатой по кредитным картам, происходит без шифрования) и т.п. ВС
Зоопарк разбушевался
В Linux есть множество фор- матов установочных фай- лов: DEB, RPM.... ещё из исходников можно. У каждо- го дистрибутива какой-то свой репо- зитарий. Авторы программ тоже име- ют разные предпочтения касательно формата пакетов... Неужели никто ещё не подумал над тем, что пользо- вателям нужно некое универсальное средство взаимодействия со всеми этими репозитариями и пакетами, а также универсальное средство учёта установленного ПО? Вот, например, нужно мне свежайшую версию какой- нибудь библиотеки, я её соберу из исходных текстов и при установке перекрою файлы пакета, зарегистри- рованного, например, в SuSE YaST. Но ведь последний об этом не подоз- ревает. Значит, уже неправильно судит о состоянии системы! Да и я могу забыть, что я там ставил... Наверняка можно найти и другие примеры неблагоприятных ситуаций, происходящих от разнообразия и слабых мест систем установки ПО. Порекомендуйте, пожалуйста, какую- нибудь программу или метод для наведения порядка? Глеб
Здесь, к сожалению, все не так просто. управление пакетами, в некотором смысле, больное место Linux-систем, их сила и слабость. Из- за открытости Linux каждый «дист- ростроитель» выбирал тот вариант, который казался удобными именно ему – это относится не только к фор- мату пакетов, но и их содержимому (так называемым vendor patches – хорошо известно, что KDE от того же SUSE весьма отличается от того, что можно загрузить с ftp.kde.org), а так- же расположению файлов в системе. Поэтому очевидный вариант решения проблемы – искать не пакет libfoox.y.i586.rpm, а содержащуюся в нем библиотеку – libfoo.x.y.so – не сраба- тывает: во-первых, разные дистрибу- тивы могут ставить ее в разное место, от /lib до /server/foo/lib, кроме того, сам факт наличия файла еще ни о чем не говорит – в нем может не быть нужных патчей. В отличие от библио- теки пакет, да еще и подписанный изготовителем – это гарантия того, что нужная функциональность нахо- дится на нужных местах. Пожалуй, ожидать унификации пакетной системы Linux в ближайшее время не стоит. Что можно предпри- нять? Можно выбрать подходящий дистрибутив (распространенный и с большим репозитарием), и пользо- ваться только его пакетами. Подойдут Debian, Ubuntu, SUSE, Fedora, Mandriva. Альтернативный вариант – выбрать дистрибутив с простой сис- темой управления пакетами и досо- бирать недостающие части самосто- ятельно – это Arch Linx, Slackware. Третий вариант – выбрать Gentoo или любой другой source-based дистрибу- тив – но необходимо иметь хороший Интернет-канал и желание проводить сутки за компиляцией. Большой интерес представляет также проект Autopackage, про кото- рый мы писали в LXF77. Пока набор ПО, распространяющегося в виде автопакетов, не слишком велик, но в перспективе это позволит значитель- но облегчить установку программ в Linux-системах). ВС
- Существуют ли вирусы для linux?
- Да, но это скорее просто демонстрации того, что под эту систему их можно писать. В «диком» виде пока ничего не обнаружено.
- Значит, не о чем беспокоиться?
- Так, да не совсем. В данный момент вирусов нет, но это не значит, что они не появятся, пока я допишу эту строку.
- Разве права доступа не защитят меня от реальной угрозы?
- Типичное заблуждение. Конечно, если вирус запущен не от имени суперпользователя, он не сможет попортить системные файлы. Но подумайте, что для Вас ценнее – операционная система, которая переустанавливается за полчаса, или Ваши данные? Что Вы предпочтете потерять – пару системных библиотек или годовой финансовый отчет? Кроме того, вирус и без всяких прав может разослать с Вашей машины кучу спама, и Ваш провайдер откажет Вам в доступе.
- Ладно, уговорили. А как защититься?
- Есть несколько антивирусных программ для Linux. Самые популярные – ClamAV (http://www.clamav.net) и F-Prot (http://www.f-prot.com). Они обнаруживают вирусы и под Windows, и под Linux. Если Вам нужен графический интерфейс, попробуйте KlamAV (http://klamav.sourceforge.net).
- Какое мне дело до windows-вирусов, если я сижу в linux?
- Если Вы обслуживаете почтовый сервер, к которому подсоединяются Windows-машины, то можете предотвратить заражение еще на сервере. Большинство почтовых серверов поддерживают проверку писем с помощью ClamAV.
- Почему в linux риск меньше, чем в windows?
- Ну, во-первых, пользователей Windows гораздо больше, а значит, и вирусы пишет больше народу. И потом, в Windows менее разнообразное ПО: для почты, например, большинство пользуется стандартным Outlook. В Linux же пользователи имеют KMail, Evolution, Thunderbird, Sylpheed, Mutt или другой клиент.
В Linux есть две основные утилиты для поиска файлов – find и locate. locate работает с базой данных и очень быстра, однако файлы, появившиеся после обновления базы, она не найдет. При этом она может искать файлы только по имени:
locate filename
Добавьте опцию -i для регистронезависимого поиска. Во многих дистрибутивах база данных обновляется регулярно через планировщик Cron.
find, напротив, работает прямо с файловой системой. Она медленнее и может искать файлы только в директориях, доступных текущему пользователю, зато find может отыскать самые новые файлы, а также позволяет исключать из списка поиска определенные директории и искать файл не только по имени, но и, например, по владельцу:
find -name '*somefile*' find /usr -iname '*someotherfile*' find /usr -maxdepth 2 -iname '*whatfile*'
Первая команда проведет поиск в текущей директории, а также во всех поддиректориях. Вторая будет искать в /usr, причем независимо от регистра. Последняя опустится не ниже чем на два уровня вложенности в дереве каталогов, а затем завершит работу.
find имеет большую гибкость, чем locate, однако locate хорошо подходит для быстрого поиска. Вы легко можете ограничить список директорий поиска с помощью grep:
locate -i myfile | grep /home/nelz
locate ищет подстроку, find – точное имя файла.
Вы когда-нибудь интересовались, где программа сохраняет свои файлы конфигурации? Выполните touch /tmp/now, запустите программу, измените настройки и выйдите. После этого выполните:
find ~ -newer /tmp/now
– и найдёте в Вашей домашней директории все файлы, которые редактировались позднее, чем /tmp/now. Файлы конфигурации сюда тоже входят.
