Достаточно интересная статья на SecurityLab: http://www.securitylab.ru/analytics/395901.php

Итак, что касается openSUSE, то тут сделать исправления достаточно легко, если, конечно, удастся найти нужное руководство и нужный репозиторий среди множества реп openSUSE :)
Кликаем по этой ссылке: http://opensuse-community.org/subpixel/subpixel.ymp, отвечаем на вопросы. У меня ругнулось на какие-то зависимости python'а и библиотеки, но я предупреждения просто проигнорировал. После установки для надежности перегружаемся. Вот. И чувствуем разницу.

Update. Благодаря товарищу Anixx (или Nxx) есть необходимые дополнения. Для установки пропатченного Cairo на openSUSE:

http://software.opensuse.org/ymp/home:anshuljain:ubuntu_patch_11.3/openSUSE_11.3/cairo.ymp

и забросить файлик local.conf, который брать по ссылке http://www.infinality.net/files/local.conf

С Федорой все несколько сложнее и проще одновременно. Вообще, по умолчанию шрифты в оной достаточно приличны и так, но всегда есть, что подправить, да и мнения людей могут довольно сильно разниться. Потому можно попробовать сделать следующее:
1. Скачиваем и устанавливаем следующий пакет: http://www.infinality.net/fedora/linux/infinality-repo-1.0-1.noarch.rpm
После его установки в систему будет добавлен репозиторий, в котором, в том числе, присутствует пропатченный freetype.
2. Я ставил следующие пакеты:

• cairo-freeworld
• freetype-subpixel
• libXft-freeworld

[bash]
yum install -y cairo-freeworld freetype-subpixel libXft-freeworld
[/bash]

Но это еще не все. Скачиваем файл: http://www.infinality.net/files/local.conf
Помещаем его в /etc/fonts. Перегружаемся и наслаждаемся. Лично я предпочитаю использовать шрифты либо Liberation, либо Droid.

Благодарности:

• за рецепт для openSUSE — Google!
• для Fedora — сайт infinality.net & Google!

Итак, открываем файл ~/.fonts.conf, если он существует, или создаем при отсутствии. Вписываем туда следующее:

<?xml version='1.0'?>
<!DOCTYPE fontconfig SYSTEM 'fonts.dtd'>
<fontconfig>
<match target="font" >
<edit mode="assign" name="rgba" >
<const>none</const>
</edit>
</match>
<match target="font" >
<edit mode="assign" name="hinting" >
<bool>true</bool>
</edit>
</match>
<match target="font" >
<edit mode="assign" name="hintstyle" >
<const>hintslight</const>
</edit>
</match>
<match target="font" >
<edit mode="assign" name="antialias" >
<bool>true</bool>
</edit>
</match>
</fontconfig>

Сохраняем и выходим. Если браузер был запущен — перезапускаем. Наслаждаемся улучшенным видом :)
Проверялось на Fedora Rawhide с браузерами Firefox, Google Chrome, Opera
Конфиг взят отсюда: http://ubuntuforums.org/showthread.php?p=8704572#post8704572

Итак. Собранные пакеты под Fedora 13 есть в репозитории ATrpms. Этот репозиторий не совместим со стандартными репами для Федоры, поэтому делаем так:

touch /etc/yum.repos.d/atrpms.repo
nano /etc/yum.repos.d/atrpms.repo

Вписываем туда следующее:

[atrpms]
name=Fedora Core $releasever — $basearch — ATrpms
baseurl=http://dl.atrpms.net/f$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
enabled=0
gpgcheck=1

Значение enabled обязательно поставить в «0», иначе потом может быть весело :) И командуем:

# yum install --enablerepo=atrpms wicd

Вот вывод с моей машины:

[root@alex yum.repos.d]# yum install --enablerepo=atrpms wicd
Loaded plugins: fastestmirror, presto, refresh-packagekit, remove-with-leaves
Loading mirror speeds from cached hostfile
* fedora: ftp.chg.ru
* rpmfusion-free: mirror.andreas-mueller.com
* rpmfusion-free-updates: mirror.andreas-mueller.com
* rpmfusion-free-updates-testing: mirror.andreas-mueller.com
* rpmfusion-nonfree: mirror.andreas-mueller.com
* rpmfusion-nonfree-updates: mirror.andreas-mueller.com
* rpmfusion-nonfree-updates-testing: mirror.andreas-mueller.com
* russianfedora-fixes: updates.msiu.ru
* russianfedora-fixes-updates: updates.msiu.ru
* russianfedora-fixes-updates-testing: updates.msiu.ru
* russianfedora-free: updates.msiu.ru
* russianfedora-free-updates: updates.msiu.ru
* russianfedora-free-updates-testing: updates.msiu.ru
* russianfedora-nonfree: updates.msiu.ru
* russianfedora-nonfree-updates: updates.msiu.ru
* russianfedora-nonfree-updates-testing: updates.msiu.ru
* updates: ftp.chg.ru
* updates-testing: ftp.chg.ru
atrpms | 3.0 kB 00:00
atrpms/primary_db | 376 kB 00:00
Setting up Install Process
Resolving Dependencies
— > Running transaction check
---> Package wicd.x86_64 0:1.7.0-3.fc13 set to be updated
— > Processing Dependency: python-urwid for package: wicd-1.7.0-3.fc13.x86_64
— > Processing Dependency: ethtool for package: wicd-1.7.0-3.fc13.x86_64
— > Running transaction check
---> Package ethtool.x86_64 2:2.6.33-0.1.fc13 set to be updated
---> Package python-urwid.x86_64 0:0.9.9.1-1.fc13 set to be updated
— > Finished Dependency Resolution
Dependencies Resolved
===============================================================================
Package Arch Version Repository Size
===============================================================================
Installing:
wicd x86_64 1.7.0-3.fc13 atrpms 426 k
Installing for dependencies:
ethtool x86_64 2:2.6.33-0.1.fc13 fedora 72 k
python-urwid x86_64 0.9.9.1-1.fc13 updates 317 k
Transaction Summary
===============================================================================
Install 3 Package (s)
Upgrade 0 Package (s)
Total download size: 815 k
Installed size: 3.9 M
Is this ok [y/N]: y
Downloading Packages:
Setting up and reading Presto delta metadata
Processing delta metadata
Package (s) data still to download: 815 k
(1/3): ethtool-2.6.33-0.1.fc13.x86_64.rpm | 72 kB 00:00
(2/3): python-urwid-0.9.9.1-1.fc13.x86_64.rpm | 317 kB 00:00
(3/3): wicd-1.7.0-3.fc13.x86_64.rpm | 426 kB 00:00
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Total 400 kB/s | 815 kB 00:02
warning: rpmts_HdrFromFdno: Header V4 DSA/SHA1 Signature, key ID 66534c2b: NOKEY
atrpms/gpgkey | 2.3 kB 00:00 ...
Importing GPG key 0x66534C2B "ATrpms.net (rpm signing key) " from http://ATrpms.net/RPM-GPG-KEY.atrpms
Is this ok [y/N]: y
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : python-urwid-0.9.9.1-1.fc13.x86_64 1/3
Installing : 2:ethtool-2.6.33-0.1.fc13.x86_64 2/3
Installing : wicd-1.7.0-3.fc13.x86_64 3/3
Installed:
wicd.x86_64 0:1.7.0-3.fc13
Dependency Installed:
ethtool.x86_64 2:2.6.33-0.1.fc13 python-urwid.x86_64 0:0.9.9.1-1.fc13
Complete!

$ lspci
00:00.0 RAM memory: nVidia Corporation MCP55 Memory Controller (rev a2)
00:01.0 ISA bridge: nVidia Corporation MCP55 LPC Bridge (rev a3)
00:01.1 SMBus: nVidia Corporation MCP55 SMBus (rev a3)
00:02.0 USB Controller: nVidia Corporation MCP55 USB Controller (rev a1)
00:02.1 USB Controller: nVidia Corporation MCP55 USB Controller (rev a2)
00:04.0 IDE interface: nVidia Corporation MCP55 IDE (rev a1)
00:05.0 IDE interface: nVidia Corporation MCP55 SATA Controller (rev a3)
00:05.1 IDE interface: nVidia Corporation MCP55 SATA Controller (rev a3)
00:05.2 IDE interface: nVidia Corporation MCP55 SATA Controller (rev a3)
00:06.0 PCI bridge: nVidia Corporation MCP55 PCI bridge (rev a2)
00:06.1 Audio device: nVidia Corporation MCP55 High Definition Audio (rev a2)
00:08.0 Bridge: nVidia Corporation MCP55 Ethernet (rev a3)
00:0f.0 PCI bridge: nVidia Corporation MCP55 PCI Express bridge (rev a3)
00:18.0 Host bridge: Advanced Micro Devices [AMD] K10 [Opteron, Athlon64, Sempron] HyperTransport Configuration
00:18.1 Host bridge: Advanced Micro Devices [AMD] K10 [Opteron, Athlon64, Sempron] Address Map
00:18.2 Host bridge: Advanced Micro Devices [AMD] K10 [Opteron, Athlon64, Sempron] DRAM Controller
00:18.3 Host bridge: Advanced Micro Devices [AMD] K10 [Opteron, Athlon64, Sempron] Miscellaneous Control
00:18.4 Host bridge: Advanced Micro Devices [AMD] K10 [Opteron, Athlon64, Sempron] Link Control
01:0a.0 FireWire (IEEE 1394): Texas Instruments TSB43AB23 IEEE-1394a-2000 Controller (PHY/Link)
02:00.0 VGA compatible controller: nVidia Corporation G96 [GeForce 9500 GT] (rev a1)

Просто установка nouveau ничего не дала. Но после установки mesa-dri-drivers-experimental и последующей перезагрузки компиз соизволил включиться.
Вот так все просто и под музыку :)

Часто, при просмотре расшаренных на сервере Samba ресурсов, встречается возможность просмотра как файлов, так и принтеров.
Но к файловому серверу принтеры могут быть не подключены, все зависит от настроек. И в этом случае, никакой информации относительно принтеров представлено не будет.

А решается этот вопрос таким образом. Для отключения иконки принтера при просмотре общих ресурсов файлового сервера необходимо изменить файл /etc/samba/smb.conf. Если строка, представленная ниже, существует, измените ее значение. В другом случае, просто добавьте эту строку:

disable spoolss = yes

под директивой [general].
Например

[global]
   workgroup = MYGROUP
   server string = Samba Server
   printcap name = /etc/printcap
   load printers = yes
   disable spoolss = yes

Сохраните и закройте файл.
В данном случае, перезапускать Samba нет необходимости, так как файл будет автоматически перезагружен демоном Samba. Тест будет пройден успешно, если иконка принтера будет отсутствовать.

Посему, добавлю чуть-чуть переводов. На сей раз про настройку Kerberos для интеграции в Active Directory. Оригинал заметки.

Следует также заметить, что многие заметки на Red Hat Knowledgebase отнюдь не являются полными руководствами, а всего лишь именно ЗАМЕТКАМИ что ли. Для реальной настройки многих вещей необходимо обязательно читать, как минимум. документацию дистрибутива. А лучше также файлы настройки нужной программы и документацию к ней.

Все написанное относится к Samba 3, действия для более ранних версий могут отличаться.
Измените файл /etc/krb5.conf, как показано в примере ниже. Заметьте, что EXAMPLE.DIRECTORY необходимо заменить именем вашего домена Active Directory, 10.0.0.1 — заменить IP-адресом вашего контроллера домена, а также. что все записи регистрозависимы.
Пример файла /etc/krb5.conf:

[bash]
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = EXAMPLE.DIRECTORY
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
EXAMPLE.DIRECTORY = {
kdc = 10.0.0.1
default_domain = example.directory
}

[domain_realm]
.example.directory = EXAMPLE.DIRECTORY
example.directory = EXAMPLE.DIRECTORY

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[/bash]
При этих настройках файлы логов /var/log/krb5libs.log, /var/log/krb5kdc.log и /var/log/kadmind.log содержат множество полезной информации. Для получения более подробных логов измените параметр debug = false на debug = true.
За более детальной настройкой, пожалуйста, обратитесь к документации:
http://www.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/5.4/html/Deployment_Guide/ch-kerberos.html

На этой неделе вышел в свет свежий релиз virt-manager, 0.8.4, в котором появились некоторые дополнения в интерфейсе пользователя и новая функциональность. Часть из этих изменений направлены на устранение просчетов предыдущих релизов, которые были очевидны для каждого, знакомого с virt-manager. В это посте мы пройдемся по этим изменениям для получения представления, что в конце концов можно ждать от обновления.

Изменение модели сетевого устройства

Если ранее вы пользовались virt-manager, то должны знать, что в окне с детальным описанием ВМ есть множество параметров настройки ВМ, которые требуют удаления или создания заново для того, чтобы изменения применились. Разработчики признали, что это не удобно, и даже поместили информацию об этом в development roadmap. Одни из таких устройств, требующих «удаление-и-создание-заново» для настройки — сетевые устройства. При экспериментах пользователи меняют эти настройки постоянно. Новый релиз предлагает на выбор из выпадающего списка модели устройств, что сильно улучшило интерфейс по сравнению с предыдущими редизами. Ниже показан скриншот нового интерфейса.

Импорт существующего диска

Теперь при создании виртуальной машины присутствует опция, позволяющая испортировать существующий диск. Это дополнение фактически принуждает новую виртуальную машину загружаться в первую очередь с диска. Лично я нахожу, что такой выбор избыточным, поскольку также можно выбрать существующий диск при загрузке с CD-Rom при создании виртуальной машины. Ради справедливости стоит упомянуть, что возможность выбора порядка загрузки была лишь недавно добавлена в qemu-kvm, поэтому мне кажется, что в будущем интерфейс еще изменится. По моему мнению, новая виртуальная машина не нуждается в загрузке для настройки. Думаю, что должна быть опция для запрещения загрузки при первоначальном создании. В таком случае, была бы возможность изменения порядка загрузки и любые другие настройки до первой загрузки. Ниже показана новая опция.

Порядок устройств, с которых происходит загрузка

Как упомянуто в предыдущей части в qemu-kvm лишь недавно добавлена опция, позволяющая выбирать порядок устройств при загрузке. Теперь этот интерфейс представлен в virt-manager и показан на скриншоте чуть ниже. Я уверен, что в будущем диалог создания новой виртуальной машины будет обновлен для большего удобства использования этой опции.

Указание расшаренного сетевого устройства в качестве бриджа

В virt-manager недавно добавлена возможность настраивать бридж, как описано в этом посте. В этом же релизе появилась возможность указывать бридж в качестве вашего сетевого устройства. Вы увидите эту опцию в двух местах: сначала в процессе создания виртуальной машины, затем при добавлении сетевого устройства. Ниже показана опция для добавления сетевого устройства.

Ниже показана опция при создании новой виртуальной машины.

Поддержка слежения за устройствами

Qemu позволяет указать устройство слежения за виртуальным оборудованием. Виртуальное устройство включается гостем и должно периодически опрашиваться агентом внутри гостя или, по умолчанию, гостевая система будет перезагружена. Кроме сброса гостевой системы, есть возможность указать дополнительные дополнительные действия. Опции включают в себя остановку, отключение питания, пауза, отладка и отсутствие реакции. Остановка не рекомендуется, так как для нее требуется, чтобы гостевая система отвечала на сигналы ACPI, что может быть ненадежным в случае, если срок действия таймера слежения гостевой системы истек. Доступны две модели, ib700 и i6300esb, на основе контроллера ввода-вывода 6300esb от Intel. ib700 — более простая модель с единственным таймером. i6300esb отличается наличием двойного таймера слежения на основе PCI. Тпереь эта настройка доступна в virt-manager и показана на скриншоте диалога «Добавление оборудования».

Описание виртуальной машины

Еще одной незначительная вещь — возможность добавить текстовое описание гостевой системы во вкладке деталей под секцией обзора, показанного ниже. Я пока не видел, в каком месте отображается эта информацтя, но сам факт наличия такой информации радует.

Заключение

Релиз 0.8.4 прибавил в легкости использования и функциональности в virt-manager, сделав его более дружелюбным при работе дома и дата-центрах малого бизнеса. У него еще есть куда двигаться, но это продвижение проходит достаточно стабильно. Virt-manager также сильно зависит от других проектов, например, libvirt, и в конце концов qemu управляется через командную строку, поэтому он может делать только то, что этот (и другие) проект позволяет делать. Я думаю, что virt-manager  имеет большой потенциал в качестве графического инструмента управления «из-коробки», в основе которого находятся технологии python и glade, позволяющее мгновенное создание прототипов и разработки.

Скачать можно по ссылке: http://hrafn.me/wp-content/uploads/pub/pdf/spice.pdf

Чуть позже добавлю в список ко всем остальных документам.

Одной из директив, доступных в smb.conf, является опция copy. Которая обеспечивает возможность клонирования записей и аттрибутов общих ресурсов Samba. Используя эту директиву, можно создать шаблон службы со всеми необходимыми опциями вместо указания одних и тех же опций для каждой отдельной расшарки.

Чтобы было проще, можно взглянуть на пример файла /etc/samba/smb.conf:

[template1]
browseable = yes
writable = yes
valid users = gpalis mnapolis rcamacho

[template2]
browseable = yes
writable = no
valid users = gpalis rcamacho peting
[backup]
path = /mnt/backup
copy = template1

[workfiles]
path = /share
copy = template1
[csfiles]
path /mnt/cs
copy = template2

После изменения файла перезапустите службу smb:

service smb restart

А проблема, если чуть потише взглянуть. такова. В логах slapd появляются следующие ошибки:

Feb 25 20:23:53 dc02 slapd[5677]: <= bdb_equality_candidates: (gidNumber) not indexed
Feb 25 20:23:53 dc02 slapd[5677]: <= bdb_equality_candidates: (sambaSID) not indexed
Feb 25 20:23:53 dc02 slapd[5677]: <= bdb_equality_candidates: (sambaSID) not indexed
Feb 25 20:23:55 dc02 slapd[5677]: <= bdb_equality_candidates: (uid) not indexed
Feb 25 20:23:55 dc02 slapd[5677]: <= bdb_equality_candidates: (uid) not indexed

Для решения сей проблемы необходимо в конфиг /etc/ldap/slapd.conf в раздел в директивами database добавить следующее:

# Indices to maintain for this database
index objectClass eq,pres
index ou,cn,sn,mail,givenname eq,pres,sub
index uidNumber,gidNumber,memberUid eq,pres
index loginShell eq,pres
# I also added this line to stop warning in syslog ..
index uniqueMember eq,pres
## required to support pdb_getsampwnam
index uid pres,sub,eq
## required to support pdb_getsambapwrid()
index displayName pres,sub,eq
# These attributes don't exist in this database ..
#index nisMapName,nisMapEntry eq,pres,sub
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub

После этого:

# /etc/init.d/slapd stop
# slapindex
WARNING!
Runnig as root!
There's a fair chance slapd will fail to start.
Check file permissions!
# chown openldap:openldap /var/lib/ldap/*
# /etc/init.d/slapd start
Starting OpenLDAP: slapd
Добавляемые в конфиг строки примерны, поскольку наличие дополнительных строк или их отсутствие зависит от конфигурации.
Информация взята отсюда.

Решение

Чтобы использовать yum для установки или обновления пакетов из файла ISO, необходимо будет создать свой собственный репозиторий. Сделать это можно двумя способами:

Способ 1.

1. Необходимо создать директорию, в которой и будет хранится репозиторий:

# mkdir -p /usr/share/repository

2. Для создания репозитория скопируйте в этот каталог все пакеты RPM, которые необходимо использовать:

# cd /usr/share/repository
# createrepo .
# yum clean all

Заметка: Прежде, чем эта команда будет выполнена, пакет createrepo уже должен быть установлен в системе.
3. Создайте файл /etc/yum.repos.d/file.repo со следующим содержимым:

# cat /etc/yum.repos.d/file.repo
[RHEL_5_Repository]
baseurl=file:///usr/share/repository
enabled=1

4. Получите список пакетов:

# yum list

5. Теперь можно будет установить необходимый пакет. Например:

# yum install httpd

Способ 2.
Здесь описывается другой способ создания репозитория, при котором нет необходимости копировать файлы RPM на жесткий диск. Файл ISO уже содержит в себе директории с данными, и ими можно пользоваться напрямую.
1. Смонтируйте файл ISO:

# mount -o loop,ro rhel-5.2-server-i386-dvd.iso /mnt/iso

2. Создайте файл /etc/yum.repos.d/file.repo:

# cat /etc/yum.repos.d/file.repo
[RHEL_5_Server_Repository]
baseurl=file:///mnt/iso/Server
enabled=1
[RHEL_5_VT_Repository]
baseurl=file:///mnt/iso/VT
enabled=1

3. Теперь можно установить необходимый пакет:

# yum install httpd

Теперь потихоньку буду готовиться к RHCE.

Можно ли сделать так, чтобы в Samba была Корзина вроде той, что есть на Рабочем Столе?
Да. У Samba есть возможность перемещать удаленные объекты в специально созданную папку вроде той, которая используется для удаленных объектов на локальной машине. Что является преимуществом по сравнению с обычной конфигурацией Samba, поскольку обычно, если файл удаляется пользователем, то удаляется окончательно. Единственный очевидный недостаток — это увеличение количества дискового пространства в связи с хранением удаленных файлов. Для решения этой проблемы будет необходимо периодически очищать эту Корзину.

В этой статье предполагается, что у становлена samba 3-x.x. Это можно проверить следующей командой:

[bash]
rpm -q samba
[/bash]

Если необходимая версия Samba не установлена, обратитесь к статьям, коих множество, описывающих установку/обновление корректной версии Samba.

Для реализации сетевой корзины Samba используется модуль Virtual File System (VFS). Различные модули VFS, которые могут использоваться Samba, расположены в локальной директории: /usr/lib/samba/vfs.

Документация по опциям модуля recycle.so, а также другим модулям VFS, может найдена в директории /usr/share/doc/samba-x.x/docs/Samba-HOWTO-collection.pdf в главе 19 или на сайте http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/VFS.html.

Для реализации Корзины Samba необходимо просто отредактировать один из ваших общих ресурсов, пример такой редакции указан ниже:

[bash]
/etc/samba/smb.conf
#============= Share Definitions =============
[SambaShare]
path = /home/scripts
public = yes
writable = yes
browsable = yes
vfs object = recycle
recycle:repository = .deleted/%U
recycle:keeptree = Yes
recycle:touch = Yes
recycle:versions = Yes
recycle:maxsize = 0
recycle:exclude = *.tmp
recycle:exclude_dir = /tmp
recycle:noversions = *.doc
[/bash]

Эти настройки только осуществляют создание Корзины в каталоге «Samba Share». Эти опции должны быть указаны для каждой расшаренной папки Samba, для которой необходимо включить данную функциональность.
Самая интересная опция указана на самом верху:

[bash]

recycle:repository = .deleted/%U

[/bash]

В этой строке определяется, где будут храниться удаленные файлы. Указывается относительный путь касательно расшаренного каталога. В указанном примере — это /home/scripts. Таким образом, все удаленное будет перемещено в директорию .deleted по этому пути. Переменная %U — имя пользователя, в данное время просматривающего данный расшаренный каталог. Для каждого пользователя, удаляющего файл, существует каталог с его именем пользователя, в котором хранятся все файлы, которые он удалил.

Например:

Скотт просматривается каталог «Samba Share» и удаляет файл. Удаленный файл можно будет найти в /home/scripts/.deleted/Scott.

Брэд просматривает каталог «Samba Share» и удаляет файл. Удаленный файл можно найти в /home/scripts/.deleted/Brad.

Важно заметить, что каталог .deleted должен быть создан заранее. Это позволит затем пользователям записывать в эту директорию. Это просто пример и настройка может быть изменена в зависимости от конкретной ситуации.

Проблема

По умолчанию, при создании виртуальных машин KVM в Red Hat Enterprise Linux 5.4 используется виртуальный сетевой контроллер Realtek 8139 (rtl8139). В большинстве окружений rtl8139 работает прекрасно, но в некоторых сетях, например, 10 GigE (10 Gigabit Ethernet), его использование может привести к падению производительности.

Решение

Необходимо переключиться на другой тип виртуального сетевого адаптера, например, Intel PRO/1000 (e1000) или virtio (виртуальный драйвер ввода/вывода, который может общаться с гипервизором).

Для переключения на e1000:

1. Остановить гостевую систему.
2. Отредактировать определения гостевой системы с помощью инструмента командной строки virsh:

[bash]
virsh edit <GUEST>
[/bash]

3. Найдите раздел относящийся к сетевому интерфейсу и добавьте строку с описанием модели, как показано ниже:

[bash]
<interface type='network'>
...
<model type='e1000' />
</interface>
[/bash]

4. Сохраните изменения и выйдете из текстового редактора.
5. Заново запустите гостевую систему.

Производительность должна серьезно улучшиться при использовании драйвера virtio.

Решение

По умолчанию KVM использует NAT через бридж с именем virbr0. Если необходимо, чтобы гостевая система была видна в той же самой сети как отдельный хост, можно использовать bridged interface. Однако хосты виртуализации, настроенные на использование KVM, автоматически не создают bridged interface для устройств Ethernet, как это часто бывает в окружении Xen. Таким образом, необходимо создать настройки для того, чтобы бридж создавался при старте сети.

Заметка: Для хоста должен быть доступ к физической или последовательной консоли, так как изменение файлов конфигурации может привести к потере сетевого соединения (прим.пер. Это не совсем верно. Все настройки могут быть произведены и при удаленном доступе. Единственное и очень важное замечание — необходимо убедиться в правильности сделанных изменений и настроек в том случае, если отсутствует возможность попасть на машину в Rescue Mode или просто сбросить настройки).

Если интерфейс, настройки которого будет меняться, в данное время работает, необходимо его остановить его с помощью команды ifdown (прим.пер. Совершенно необязательно. Файл конфигурации можно менять и при работающем интерфейсе. Настройки будут применены при перезапуске сети в дальнейшем или после перезагруки). Например:

[bash]
# ifdown eth0
[/bash]

Теперь необходимо создать или изменить настройки моста (ifcfg-brX) и сетевого интерфейса (ifcfg-ethX). Перейдите в директорию /etc/sysconfig/network-scripts:

[bash]
# cd /etc/sysconfig/network-scripts
[/bash]

Откройте файл устройства, которое необходимо добавить к бриджу с помощью текстового редактора. Например, ifcfg-eth0 определяет физическое сетевое устройство, которое станет частью моста:

[plain]
DEVICE=eth0
# change the hardware address to match the hardware address your NIC uses
HWADDR=00:16:76:D6:C9:45
ONBOOT=yes
BRIDGE=br0
NM_CONTROLLED=no
[/plain]

Далее следует создать новый скрипт в директории /etc/sysconfig/network-scripts и назвать его, допустим, ifcfg-br0 или что-то вроде того. br0 — это имя моста, которое может быть как любой длины, так и именем файла, соответствующим параметру DEVICE, а также это имя должно соответствовать указанному в файле конфигурации для ifcfg-eth0.

[plain]
DEVICE=br0
TYPE=Bridge
BOOTPROTO=dhcp
ONBOOT=yes
DELAY=0
[/plain]

Если используется статический адрес, конфигурация будет выглядеть подобно этому:

[plain]
DEVICE=br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=<Static IP address>
NETMASK=<Netmask>
GATEWAY=<Gateway>
ONBOOT=yes
[/plain]

Запустите устройство Ethernet и бридж, используя команду ifup:

[bash]
# ifup eth0
# ifup br0
[/bash]

Далее следует проверить и убедиться, что хост все еще может подключаться к сети:

[bash]
# ping www.redhat.com
[/bash]

Если на системе запущен файерволл, потребуется добавить показанное ниже новое правило в файл /etc/sysconfig/iptables:

[plain]
— A RH-Firewall-1-INPUT -i br0 -j ACCEPT
[/plain]

И перезапустить файерволл:

[bash]
# service iptables restart
[/bash]

За более подробной информацией бридже в окружении KVM обращайтесь к следующему официальному документу:

http://www.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/5.4/html/Virtualization_Guide/sect-Virtualization-Network_Conf iguration-Bridged_networking_with_libvirt.html

Заметка

Для того, чтобы убедиться, что ранее созданный мост определяется virt-manager, службы haldaemon и messagebus должны быть запущены.

Во время установки Red Hat Enterprise Linux на физическом хосте на нескольких виртуальных консолям отображается дополнительная информация, относящаяся к процессу установки. Между консолями можно переключаться с помощью Ctl-Alt-F<>. Например, на третьей виртуальной консоли (Ctl-Alt-F3) отображается лог установки, а на четвертой (Ctl-Alt-F4) — системные сообщения.

Проблема

Установка Red Hat Enterprise Linux на удаленный виртуальный хост с доступом через ssh налагает некоторые ограничения. Без дополнительных опций ssh предоставляет единственную текстовую оболочку (shell). В результате, опция --nographics для virt-install  в основном используется при установке гостевой системы на удаленном хосте с доступом до хоста посредством ssh. Опция --nographics создает единственную виртуальную консоль, что приводит к потере дополнительной информации об установке.

Решение

Программа virt-install предоставляет механизм для графических установок. При использовании опции --vnc в командной строке virt-install виртуальный графический адаптер будет предоставлен виртуальной гостевой системе и к графической информации, создаваемой клиентом, можно будет получить доступ посредством VNC-подключения. Это подключения может использоваться для отображения графической консоли на удаленной системе.

Установка Red Hat Enterprise Linux на удаленный хост с помощью virt-install, при условии, что сохраняется доступ к виртуальным консолям, может быть произведена двумя способами:

Способ 1: Запуск VNC viewer на удаленном хосте

Этот способ включает в себя туннелирование X Display Protocol через ssh подключение. Для того, чтобы сделать это, используйте «ssh -XY» для доступа к удаленному хосту и опцию --vnc при запуске virt-install. Эти действия запустят VNC viewer, предоставляемый Xen, на удаленном хосте. Окно появится на локальной системе, которая отобразит удаленно запущенный VNC viewer. Графические данные с удаленно запущенного VNC viewer будут передаваться на локальную систему через X Display Protocol.

Для переключения между виртуальными консолями при использовании Xen VNC viewer выберите меню «Send Keys» в верхней части экрана, а затем выберите в меню команды от Ctl-Alt-F1 до Ctl-Alt-F8.

Способ 2: Запуск VNC viewer на локальной машине

Этот способ использует перенаправление локального порта VNC на удаленный хост и туннелирование VNC-трафика через соединение ssh. Для этого необходимо использовать ssh  с опцией вроде «-L 5900:localhost:5900» для перенаправления локального порта VNC на тот же порт удаленной системы. Какой порт используется в действительности зависит от нескольких факторов, включая количество виртуальных гостевых систем, запущенных на удаленном хосте, сколько их этих гостей уже использует VNC для отображения графической информации и т.д. В этом случае возможно более удобным способом будет изменение файла конфигурации ssh для использования опции LocalForward  для перенаправления портов, начиная с 5900 и, например, до 5910.

После получение доступа к удаленной системе через ssh запустите virt-install с опциями --vnc и --noautoconsole. Это предотвратит программой virt-install запуск собственного VNC viewer. После начала установки запустите «virsh vncdisplay <guest-name>», где <guest-name> — имя гостевой системы, которую только что создали с помощьюvirt-install. Команда «virsh vncdisplay» выведет на экран номер дисплея, использующегося virt-install.

На локальной системе запустите «vncviewer localhost:<port>», где <port> — значение, выданное командой «virsh vncdisplay» плюс 5900.

Как только VNC viewer запустится, можно переключаться между консолями, нажав F8 для появления меню, затем выбрать опцию Ctl, снова нажать F8, выбрать Alt, а затем нажать необходимую клавишу Fn на клавиатуре. После выбора консоли установки нажмите F8, отмените выбор Ctl, снова нажмите F8, отмените выбор Alt.

Примеры:

Используются следующие примеры:

• удаленный виртуальный хост называется xenhost.example.com
• на удаленном виртуальном хосте нет никаких других запущенных графических гостевых систем
• дерево установки доступно через NFS c kickstart.example.com:/exports/ks_mirror/rhel-5-server-u3-x86_64

Способ 1.

На локальной системе запустите

[bash]
ssh -XY -l root xenhost.example.com
[/bash]

На удаленном хосте (через соединение SSH, установленное ранее) запустите

[bash]
virt-install --name=test --ram=256 --vcpus=1 --file=/var/lib/xen/images/test-disk \
— vnc --paravirt \
— location=nfs:kickstart.example.com:/exports/ks_mirror/rhel-5-server_u3-x86_64
[/bash]

Способ 2.

На локальной системе запустите

[bash]
ssh -L 5900:localhost:5900 -l root xenhost.example.com
[/bash]

На удаленном хосте (через соединение SSH, установленное ранее) запустите

[bash]
# virt-install --name=test --ram=256 --vcpus=1 --file=/var/lib/xen/images/test-disk \
— vnc --paravirt \
— location=nfs:kickstart.example.com:/exports/ks_mirror/rhel-5-server_u3-x86_64 \
— noautoconsole

Starting install...
Creating domain... | 0 B 00:00
Domain installation still in progress. You can reconnect to
the console to complete the installation process.

# virsh vncdisplay test
:0
[/bash]

На локальном системе:

[bash]
vncviewer localhost:5900
[/bash]

Если команда virsh vncdisplay test выдает какое-нибудь другое значение, например, «:2», то необходимо было бы запустить немного другоую команду: «vncviewer localhost:5902». Также необходимо убедиться, что локальный порт 5902 перенаправлен на удаленный порт 5902 либо изменив строку для запуска ssh (например, на ssh -L 5902:localhost:5902 ...), либо добавив LocalForward 5902:localhost:5902 в файл конфигурации клиента ssh.

Дополнительная информация

• запустите «man ssh» для получения информации об опциях ssh «-XY» and «-L»
• запустите «man ssh_config» для получения информации о настройке перенаправления портов в SSH
• запустите «man vncviewer» для получения информации о VNC viewer, включенном в поставку Red Hat Enterprise Linux
• запустите «man virt-install» для получения информации об опциях, относящихся к virt-install
• посетите X.Org Foundation Home Page для получения информации о X Display Protocol

Проблема

Использование сети (scp, ftp, веб-браузер и др.) приводит к панике ядра на ядре RHEL5.4 Xen kernel (2.6.18-164.el5xen).

Окружение

Red Hat Enterprise Linux 5.4 Xen kernel (2.6.18-164.el5xen). Проверьте с помощью:

[bash]

uname -a

[/bash]

Generic receive offload (GRO) активно на карте, которая передает данные на карту с отключенным TCP segmentation offload (TSO). Эта ситуация может встречаться между двумя сетевыми картами или между реальных и виртуальным интерфейсами. В примере, который привел к созданию этой записи интерфейсы peth0 и eth0 на одной и той же карте приводят к этой проблеме. Проверьте состояние этой возможности с помощью команды, запущенной на каждом сетевом интерфейсе системы:

[bash]

ethtool -k (p) ethX

[/bash]

Если вы увидите, что GRO активен на карте, получающей данные, а TSO отключен на карте, отправляющей данные, переходите к секции с решением.

Решение

Отключите GRO на карте, получающей данные:

[bash]

ethtool -K (p) ethX gro off

[/bash]

Заметьте, что после перезагрузке любые результаты выполнения команды не сохранятся. Для из сохранения поместите эту команду в /etc/rc.local.

Постоянное решение в данный момент проверяется перед включением в Red Hat Enterprise Linux 5.5: https://bugzilla.redhat.com/show_bug.cgi?id=537876

Генту я практически не знаю, предыдущие админы почему-то своевременно не обновляли эту ось, а сам с «незаточеннымиподгенту» руками обновлять не решусь. В скором времени просто заменим уже умирающий физически сервер на новый, заодно и CentOS поставлю вместо Генту. Так вот, при появлении этой ошибки мне помог (мало ли забудется, а потом пригодится) вики: http://en.gentoo-wiki.com/wiki/Ejabberd, а конкретно вот такая команда:

[bash]

/etc/init.d/ejabberd zap

[/bash]

http://www.novell.com/communities/node/9428/novell-authorized-beta-–-suse-linux-enterprise-server-11-service-pack-1

http://www.novell.com/communities/node/9411/novell-authorized-beta-–-suse-linux-enterprise-desktop-11-service-pack-1

На ноутбук с беспроводным чипом BCM4311 был установлен SLED 11, но устройство не может подключиться к беспроводной сети.

Прежде, чем устройство можно будет использовать, необходимо установить firmware. Для этого openSUSE 11.1 предлагает пакет с именем b43-fwcutter, который предоставляет скрипт ('install_bcm43xx_firmware'), скачивающий и устанавливающий необходимую прошивку. К сожалению, этот пакет недоступен в репозиториях SLED11, но его можно скачать с http://software.opensuse.org/search?baseproject=SUSE%3ASLE-11&p=1&q=b43-fwcutter.

Пакет устанавливается с помощью команды:

[bash]

rpm -Uvh b43-fwcutter*rpm

[/bash]

Для обновления прошивки запустите с правами пользователя root следующую команду:

[bash]

/usr/sbin/install_bcm43xx_firmware

[/bash]

После перезагрузки система заново определит оборудование. Используя апплет Network-Manager, можно попробовать подключиться к беспроводной сети.

Обратите внимание, что вся данная информация основана на замечаниях пользователей. Поскольку RPM b43-fwcutter не поставляется в составе SLED11, Novell не поддерживает этот пакет.

Дополнительно.

Описаное решение было сделано на основании вот этого:

[bash]
26: PCI 300.0: 0282 WLAN controller
[...]
Model: "Broadcom BCM4311 802.11b/g WLAN"
Vendor: pci 0x14e4 "Broadcom"
Device: pci 0×4311 "BCM4311 802.11b/g WLAN"
SubVendor: pci 0x14e4 "Broadcom"
SubDevice: pci 0×0465
[/bash]

За дополнительной информацией обращайтесь на http://linuxwireless.org/en/users/Drivers/b43.

Оригинал документа: TID 7004503

Итак, дело обстоит так — есть достаточно мощный сервер: Core i7, 8 гигабайт оперативки и 1.5 терабайта места. Необходимо поднять на нем виртуальную машину, операционка в которой будет иметь внешний IP-адрес. И, самый главный момент, сервер удаленный. Доступ к нему имеется исключительно по SSH.

По идее сложного ничего нет. Но некоторые вещи были для меня настолько не очевидны (сам, конечно, виноват, признаю), что пришлось потратить на все это дело какое-то время. Начнем с того, что до этого момента мне с бриджем сталкиваться не приходилось. Вот не приходилось и все. Кстати, в качестве операционной системы для хоста был выбран Дебиан, поэтому относительно этого дистрибутива описания и будут.

В качестве системы виртуализации я остановился на KVM. Во-первых, потому что уже в ядре, во-вторых, по моим личным ощущениям работает чуть быстрее и менее нагружает систему, чем Xen. Может и не прав я, но все же.

Процесс установки KVM описывать не буду, как я и говорил, статей написано уже море. Первый момент был таков: раз нужен внешний айпишник на виртуалке, значит без бриджа не обойтись. Но... Сервер удаленный, я мосты не поднимал никогда, и в случае каких-либо проблем связь с машиной будет потеряна. Особых проблем это не доставит, есть возможность удаленного включения Rescue Mode, но это занимает времени не мало. После нескольких попыток попробовать поднять бридж и нескольких возвратов конфигурации после невозможности поднять сеть на сервере, я вдруг вспомнил про возможность дать интерфейсу алиас. Это позволяло настраивать бридж безболезненно для основного интерфейса. Итак, несколько листингов будет.

напомню, что в Дебиане сетевые настройки расположены в файле /etc/network/interfaces.

[bash]
# Loopback device:
auto lo
iface lo inet loopback
# device: eth0
#auto  eth0
#iface eth0 inet static
#  address   88.198.52.135
#  broadcast 88.198.52.159
#  netmask   255.255.255.224
#  gateway   88.198.52.129
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
address   88.198.52.135
netmask   255.255.255.224
network   88.198.52.128
broadcast 88.198.52.159
gateway   88.198.52.129
bridge_ports eth0
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp off
# default route to access subnet
up route add -net 88.198.52.128 netmask 255.255.255.224 gw 88.198.52.129 eth0
# Loopback device:
auto lo
iface lo inet loopback
# device: eth0
auto  eth0
iface eth0 inet static
address   xx.xx.xx.135
broadcast xx.xx.xx.159
netmask   255.255.255.224
gateway   xx.xx.xx.129
[/bash]

Это настройки системы по умолчанию. Добавим алиас. Для этого допишем следующее:

[bash]
# device: eth0:0
auto  eth0:0
iface eth0 inet static
address   xx.xx.xx.151
broadcast xx.xx.xx.159
netmask   255.255.255.224
[/bash]

После редактирования конфига перезапускаем сеть и проверяем, что интерфейс eth0 имеет алиас.

Теперь можно баловаться с бриджем. Снова открываем тот же файл и приводим его к такому виду:

[bash]

# Loopback device:
auto lo
iface lo inet loopback

# device: eth0
auto  eth0
iface eth0 inet static
address   xx.xx.xx.135
broadcast xx.xx.xx.159
netmask   255.255.255.224
gateway   xx.xx.xx.129

auto eth0:0
iface eth0:0 inet manual

auto br0
iface br0 inet static
address   xx.xx.xx.151
netmask   255.255.255.224
network   xx.xx.xx.128
broadcast xx.xx.xx.159
gateway   xx.xx.xx.129
bridge_ports eth0:0
# default route to access subnet
up route add -net xx.xx.xx.128 netmask 255.255.255.224 gw xx.xx.xx.129 eth0

[/bash]

Сохраняем и перезапускаем сеть. Можно перегрузиться даже для того, чтобы убедиться, что все нормально поднимается. Если будут какие-то ошибки, смотрим логи и исправляем.
Если же все прошло нормально, после перезагрузки сеть поднялась и сервер доступен и пингуется обеим IP-адресам, то самое время снова поправить конфиг, удалив оттуда алиас и подняв мост уже на основном интерфейсе. У меня в итоге получилось вот так:

[bash]

# Loopback device:
auto lo
iface lo inet loopback

# device: eth0

auto eth0
iface eth0 inet manual

auto br0
iface br0 inet static
address   xx.xx.xx.135
netmask   255.255.255.224
network   xx.xx.xx.128
broadcast xx.xx.xx.159
gateway   xx.xx.xx.129
bridge_ports eth0
# default route to access subnet
up route add -net xx.xx.xx.128 netmask 255.255.255.224 gw xx.xx.xx.129 eth0

[/bash]

Очередная перезагрузка, дабы убедиться, что все в порядке и работает нормально. И смотрим вывод inconfig:

[bash]
br0       Link encap:Ethernet  HWaddr 40:61:86:2b:87:a6
inet addr:xx.xx.xx.135  Bcast:xx.xx.xx.159  Mask:255.255.255.224
inet6 addr: fe80::4261:86ff:fe2b:87a6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:76585400 errors:0 dropped:0 overruns:0 frame:0
TX packets:83969297 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41794612663 (41.7 GB)  TX bytes:61647808570 (61.6 GB)
eth0      Link encap:Ethernet  HWaddr 40:61:86:2b:87:a6
inet6 addr: fe80::4261:86ff:fe2b:87a6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:43576052 errors:0 dropped:0 overruns:0 frame:0
TX packets:45777515 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:29177835387 (29.1 GB)  TX bytes:32751417722 (32.7 GB)
Interrupt:249 Base address:0×2000
lo        Link encap:Local Loopback
inet addr:127.0.0.1  Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING  MTU:16436  Metric:1
RX packets:233995 errors:0 dropped:0 overruns:0 frame:0
TX packets:233995 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:870168643 (870.1 MB)  TX bytes:870168643 (870.1 MB)
vnet0     Link encap:Ethernet  HWaddr 76:8c:af:d9:40:b6
inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
inet6 addr: fe80::748c:afff:fed9:40b6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B)  TX bytes:468 (468.0 B)

[/bash]

Итак, при попытке зарегистрировать систему или при запуске Online Update вы получаете следующую ошибку: «Error occured while setting download (curl) options for https://nu.novell.com/?credentials=NCCcredentials»  Что делать?

Скачайте вручную, к сожалению, с сайта Novell следующие патчи ТОЛЬКО для архитектуры, которая у вас используется:

SUSE Linux Enterprise Server x86:
http://download.novell.com/Download?buildid=8eM5XSIXVTM~

SUSE Linux Enterprise Server x86_64:
http://download.novell.com/Download?buildid=SodoY-EnzRs~

SUSE Linux Enterprise Server ppc:
http://download.novell.com/Download?buildid=TkMGQ15OKxM~

SUSE Linux Enterprise Server s390x:
http://download.novell.com/Download?buildid=32N8O9s_z9U~

SUSE Linux Enterprise Desktop x86:
http://download.novell.com/Download?buildid=9PpUx85QTUc~

SUSE Linux Enterprise Desktop x86_64:
http://download.novell.com/Download?buildid=5PXBAYCg9EE~

Затем установите их с помощью команды:

[bash]
rpm -Fhv *.rpm
[/bash]

Сама ошибка является следствием того, что последнее обновление пакета zypper имеет потерянную зависимость от обновления пакета curl от 2009/08/07, по этой причине его необходимо установить вручную.

Оригинал: TID 7004839

Открываем терминал, получаем рута и пишем:

[bash]
cd /etc/zypp/repos.d/
wget http://opensuse-community.org/subpixel/openSUSE_11.2/subpixel.repo
zypper ref && zypper in freetype2-feature-subpixel-hinting
[/bash]

Все. Я перегрузился и выглядеть шрифты стали на порядок лучше. Я в последнее время предпочитаю Droid от Google и в 11.2 они идут в поставке, так что можно сразу же и выбрать.

Что-то я слегка отвлекся от темы. Итак, ниже приведены ссылки на сами файлики PDF:

SLES Security Guide. Security and Confidentiality (PDF)

SLES Security Guide. Authentication with PAM (PDF)

Пришлось написать эту строку, чтобы не заставлять нежелающих читать людей читать много текста. Продолжение предыдущего поста.

1.0 Безопасность и Конфиденциальность

Одной из основных характеристик систем Linux или Unix является возможность управлять несколькими пользователя одновременно (многопользовательская) и позволять этим пользователям выполнять несколько задач (многозадачная) на одной и той же машине одновременно. Кроме того, операционная система работает в сети совершенно прозрачно. Часто пользователи даже не знают, предоставляются ли данные и приложения, которые они используют, локальной машиной или через сеть.

При использовании многопользовательских возможностей данные разных пользователей должны храниться раздельно. Необходимо гарантировать их безопасность и конфиденциальность. Безопасность данных уже давно является важной проблемой, еще с того времемени, когда компьютеры не были объединены в сети. Так и сегодня, наиболее важной задачей является обеспечение доступности данных, несмотря на потерю или повреждение носителя данных, которым, в большинстве случаев, бывает жесткий диск.

В этом разделе в первую очередь обращается внимание на проблемы конфиденциальности и способы защиты конфицендиальности пользователей, но делать упор только на этом недостаточно, потому как всесторонняя концепция безопасности всегда должна включать в себя такие процедуры как регулярно обновляемые, работоспособные и проверенные резервные копии. При отсутствии этого у вас наступит очень тяжелое время, пока вы будете пытаться вернуть свои данные — не только в случае какого-либо аппаратного дефекта, но и при возникновении подозрений, что кто-то смог получить несанкционированный доступ и нанести ущерб файлам.

1.1 Локальная и Сетевая Безопасность

Есть несколько способов получения доступа к файлам:

• личная связь с людьми, которые обладают необходимой информацией или имеют доступ к данным на компьютере

• непосредственный доступ к консоли компьютера (физический доступ)

• через последовательные линии

• используя сеть

Во всех этих случаях, до предоставления доступа к ресурсам или данным необходимо установить подлинность пользователя. Веб-сервер возможно менее ограничен в этом аспекте, но вы вряд ли хотите раскрывать ваши персональные данные другому пользователю в сети.

В указанном выше списке первый пункт — это тот случай, в котором происходит большое количество взаимодействий между людьми. Например, когда вы общаетесь с банковским служащим и вам требуется доказать, что вы именно тот человек, которому принадлежит банковский счет. Затем у вас просят подпись, PIN или пароль для доказательства, что вы — именно тот, за кого себя выдаете. В некоторых случах, есть возможность вытянуть некоторые сведения из информированного источника, просто упоминая некоторые детали и подробности и используя умные слова, чтобы получить доверие этого человека. Жертву можно убедить предоставить немного больше информации и она даже не будет знать об этом. Среди хакеров это называется социальной инженерией. Вы можете защититься от этого, только обучая людей разговаривать и делиться информацией совершенно осознанно.

Человек, желающий получить несанкционированный доступ к вашим данным,  также может использовать традиционный путь и попробовать добраться непосредственно к вашему оборудованию. По этой причине, машину необходимо защищать от любого вмешательства таким образом, чтобы никто не мог удалить, подменить или испортить ее компоненты. Это также относится к резервным копиям и сетевому кабелю или шнуру питания. Также необходимо обезопасить процесс загрузки, так как существует несколько известных клавиатурных комбинаций, которые могут спровоцировать странное поведение. Защитите себя от этого, установив пароли на BIOS и загрузчик.

Во многих местах все еще используются терминалы, подключенные к последовательным портам. В отличие от сетевых интерфейсов они никак не зависят от сетевого протокола для связи с хостом. Для отправки простых символов между устройствами используется простой кабель или инфракрасный порт. Кабель сам по себе — самое слабое звено в такой системе: с помощью старого принтера, подключенного к нему, легко записать все, что передается по этому кабелю. Что можно получить с помощью принтера — можно получить и другими способами, все зависит от усилий, прилагаемых при атаке.

Чтение файла локально на хосте требует немного других прав доступа, чем открытие сетевого подключения с сервером с дургого хоста. Существует различия между локальной безопасностью и сетевой безопасностью. Граница проходит в том месте, где данные должны быть помещены в пакеты для отправки в какое-либо другое место.

1.1.1 Локальная Безопасность

Локальная безопасность начинается с физического окружения в том месте, где работает компьютер. Установите машину в такое место, где безопасность обеспечивается согласно вашим ожиданиям и потребностям. Основная цель локальной безопасности — держать пользователей отдельно друг от друга таким образом, чтобы никто не мог получить чужие права или выдать себя за другого. Это основное правило, которое должно соблюдаться, но оно особенно верно для пользователя root, в руках которого находится вся власть над системой. Root может получить права любого локального пользователя без необходимости ввода пароля и читать любые хранящиеся локально файлы.

1.1.2 Пароли

На Linux-системах пароли не хранятся открытым текстом и введенная текстовая строка не просто сравнивается с сохраненным шаблоном. Если бы это делалось именно так, все учетные записи на вашей системе были бы подставлены под угрозу в случае, если кто-нибдуь смог бы получить доступ к этому файлу. Вместо этого сохраненные пароли шифруются и каждый раз, когда они вводятся, они снова шифруются, а затем две шифрованные строки уже сравниваются. Только это обеспечивает вероятность того, что пароль не может быть вычислен обратно в оригинальный текст.

Фактически это достигается с помощью специального алгоритма, который называется trapdoor algorithm (алгоритм с секретом), поскольку работает только в одном направлении. Злоумышленник, получивший зашифрованную строку, не может получить ваш пароль, снова применив тот же алгоритм. Вместо этого, ему придется проверить все возможные комбинации символов до тех пор, пока найденная комбинация не будет выглядеть, как ваш зашифрованный пароль.С паролем в восемь символов длиной имеется достаточно много всевозможных комбинаций для вычисления.

В 70-е все были убеждены, что этот метод более безопасный, чем другие, благодаря относительно медленной скорости используюшегося алгоритма, который занимал несколько секунд для шифрования одного пароля. В наше время, однако, персональные компьютеры стали достаточно мощными для того, чтобы производить несколько сотен тысяч или даже миллионов операций в секунду. По этой причине, шифрованные пароли не доолжны быть доступны для обычных пользователей.

И гораздо более важно, чтобы пароли были достаточно сложны для отгадывания втом случае, если они станут доступны в результате какой-либо ошибки. Поэтому, на самом деле не очень удачный вариант «переводить» пароль «tantalize» в «t@nt@1lz3».

Замена нескольких букв в слове подобными им цифрами не достаточно безопасна. Программы для взлома паролей, использующие словари для перебора, легко определяют подобные слова. Гораздо лучше составить слово, не имеющего какого-либо значения, имеющие смысл только для вас лично, например, первые буквы слов предложения или заглавия книги, например, «The Name of the Rose» Умберто Эко. Это позволяет получить следующий достаточно безопасный пароль: «TnotRbUE9». К слову, пароли вроде «beerbuddy» или «jasmine76» легко угадать любому, кто хоть немного о вас знает.

1.1.3 Процесс загрузки

Настройте систему таким образом, чтобы она не могда быть загружена с флоппи-диска или с CD, удалите приводы полностью или установите пароль на BIOS, а в BIOS настройте возможность загрузки только с жесткого диска. Обычно система Linux запускается с загрузчика, который позволяет передать дополнительные опции ядру. Чтобы воспрепятствовать этому, настройте специальные параметры загрузки, указав дополнительный пароль в /boot/grub/menu.lst (смотрите Section 9.0, «The Boot Loader GRUB,» (↑ Administration Guide )). Это очень важно для безопасности вашей системы. Важно не только не позволять ядру работать с правами пользователя root, но требовать обязательной авторизации для получения прав root'а для изменения параметров ядра при старте системы.

1.1.4 Права на файлы

Общее правило — всегда работать с как можно наиболее ограниченными правами, необходимыми для выполнения поставленной задачи. Например, нет никакой необходимости быть пользователем root, чтобы читать электронную почту или написать письмо. Если в почтовой программе есть ошибка, эту ошибка может быть использована для атаки, и атака будет происходить с теми же правами, с которыми была запущена программа. Следование упомянутому правилу, позволит минимизировать возможные проблемы.

Права на все файлы, включенные в дистрибутив SUSE Linux Enterprise Server были тщательно отобраны. Системный администратор, который устанавливает дополнительное программное обеспечение или другие файлы, должен делать это с повышенной осторожностью, особенно, определяя права. Опытные и серьезно относящиеся к безопасности администраторы всегда используют опцию -l команды ls для получения расширенного списка файлов, что позволяет сразу определить некорректно выставленные права на файлы. Некорректные аттрибуты файла не только означают, что файлы могут быть изменены или удалены. Измененные файлы могут выполняться с правами пользователя root, или, в случае с файлами конфигурации, программы будут использовать такие файлы с правами пользователя root, что значительно увеличит возможности атакующего. Атаки, подобные этой, называют «яйца кукшки», так как программа (яйцо) выполняется (высиживается) другим пользователем (птицей), так же как кукушка обманом заставляет других птиц высиживать ее яйца.

В систему SUSE Linux Enterprise Server входят файлы разрешений, permissions.easy, permissions.secure и permissions.paranoid, все в каталоге /etc. Назначение этих файлов — определить специальные разрешения, например, определить каталоги, запись в которые разрешена всем, или, для файлов, SUID-бит (программы с установленным setuser ID запускаются не с правами пользователя, оторый их запустил, а с правами владельца файла, чаще всего — root). Для добавления своих собственных настроек администратор может использовать файл /etc/permissions.local.

Для определения, какой из этих файлов используется программой конфигурации SUSE Linux Enterprise Server для установки соответствующих разрешений, выберите Local Security в разделе Users and Security в Yast. Для получения более подробной информации прочтите комментарии в файле /etc/permissions или обратитесь к man-странице программы chmod (man chmod).

1.1.5 Переполнение буфера и Ошибки Функции Форматирования Строк

Следует обратить отдельное внимание на тот случай, когда программа обрабатывает данные, которые могут или могли бы быть изменены пользователем, но об этом гораздо больше должны заботиться создатели приложения, а не обычные пользователи. Программист должен убедиться, что его приложение корректно интерпретирует данные, не записывая данные в область памяти, которая слишком мала для хранения таких данных. Также, программа должна передавать данные последовательным образом, используя интерфейсы, предназначенные для этих целей.

Переполнение буфера может произойти в том случае, если фактический размер буфера памяти не принимается во внимание при записи в этот буфер. Есть случаи, когда эти данные (как сгенерированные пользователем) используют гораздо больше пространства, чем доступно в буфере. В результате, данные записываются за пределами конца области буфера, которая, при определенных обстоятельствах, позволяет программе выполнить последовательность программ, указанную пользователем (а не программистом) вместо того, чтобы просто обработать данные пользователя. У подобных ошибок могут быть серьезные последствия, особенно, если программа выполняется со специальными привилегиями (смотрите Section 1.1.4, File Permissions).

Ошибки функции форматирования строки работают немного по-другому, но снова данные вводит пользователь, что может сбить программу с пути. В большинстве случаев, эти программные ошибки эксплуатируются программами, выполняющимися со специальными правами — программы с установленными setuid и setgid — это также означает, что вы можете защитить свои данные и систему от таких ошибок, убрав соответствующие права на выполнение у этих программ. И снова, лучший выход — применять политику использования как можно более низких привилегий (смотрите Section 1.1.4, File Permissions).

Установлено, что переполнения буфера и ошибки функции форматирвоания строки — это ошибки, связанные с обработкой данных пользователя, они выполнимы не только в том случае, елси получен доступ к локальной учетной записи. Многие из ошибок, о которых было рассказано, могут эксплуатироваться через еть. Соответственно, переполнения буфера и ошибки функции форматирования строки необходимо классифицировать в качестве относящихся как к локальной. Так и сетевой безопасности.

1.1.6 Вирусы

Вопреки тому, что некоторые люди говорят, существуют вирусы, которые запускаются на Linux. Однако, известные вирусы были выпущены их авторами в качестве доказательства концепции, что эта методика работает так, как и была задумана. Ни один из вирусов пока не был найден в живой природе.

Вирусы не могут выжить и распространяться без хоста, на котором они живут. В этом случае, хост становится программой или важной областью хранения системы, например, главная загрузочная запись (MBR), на которую программный код вируса должен иметь права на запись. Вследствие многопользовательской природы, Linux может ограничивать права записи в определенные файлы, особенно в важные системные файлы. Поэтому, если вы обычно работает с правами пользователя root, вы увеличиваете шансы заражения системы вирусами. И напротив, при следовании принципам использования наименьших привилегий, шансы получения вируса становятся крайне призрачными.

Кроме того, никогда не запускайте программу, полученную с другого узла Интернет, который вам не известен. RPM-пакеты SUSE Linux Enterprise Server включают в себя криптографическую сигнатуру, в качестве цифровой метки, необходимую для их создания. Вирусы — это типичный признак, что администратор или пользователь недостаточно понимают концепции безопасности, этим ставя под угрозу систему, которая должна быть безопасна по своему дизайну.

Вирусы нельзя путать с червями, которые полностью относятся к миру сетей. Черви не нуждаются в основном компьютере для распространения.

1.1.7 Сетевая безопасность

Сетевая безопасность важна для защиты от атак, проходящих снаружи. Обычный процесс входа в систему, требующий имя пользователя и пароль для аутентификации, все ще относится к локальной безопасности. В исключительном случае входа через сеть необходимо различать разницу между аспектами безопасности. То, что происходит до фактической аутентификации — это сетевая безопасность, все что после — локальная.

1.1.8 X-Window System и аутентификация в X

Как уже было сказано в самом начале, прозрачность сети — одна из основных характеристик систем Unix. X, оконная система операционных систем Unix, может сделать использование этой возможности очень впечатляющим.

В случае, когда X клиентов удаленно подключается к X-серверу, последний должен защитить ресурсы, управляемые им (дисплеем) от неавторизованного доступа. Если выражаться точнее, клиентской программе должны быть даны определенные права. Эта два способа сделать это: контроль доступа на основе хота и контроль доступа на основе cookie. Первый зависит от IP-адреса хоста, на котором запущен клиент. Программа, которолирующая это, называется xhost. Xhost вводит IP-адрес настоящего клиента в крошечную базу данных X-сервера. Однако, доверять IP-адресам при аутентификации не очень безопасно. Например, если есть второй пользователь, работающий на хосте, передаст клиентскую программу, то этот пользователь также получит доступ к X-серверу — точно так же, как если бы кто-нибудь подменил IP-адрес. По этим причинам, данный способ описывается здесь не очень подробно, но вы можете узнать о нем, обратившись к man xhost.

В случае второго способа контроля доступом, генерируется строка символов, которая известна только X-серверу и легитимному пользователю, как некоего рода, удостоверение личности. Это «печенье» (но не как слово, относящееся к обычному печенью, а что-то вроде китайских печений судьбы, содержащих эпиграмму) сохраняется при входе в файле .Xauthority в домашнем каталоге пользователя и доступно для любого X-клиента, желающего использовать X-сервер для отображения окон. Файл .Xauthority может быть проверен пользователем с помощью инструмента xauth. Если случайно переименуете или удалите этот файл из домашнего каталога пользователя, вы не сможете открыть новое окно или X-клиент.

SSH (secure shell) может использоваться для полного шифрования сетевого подключения и прозрачного перенаправления его к X-серверу. Это также называется X forwarding. X forwarding выполняет имитацию X-сервера на стороне сервера и устанавливать переменную DISPLAY для шелла на удаленном хосте. Более подробно об этом можно прочитать в Разделе 14.0, SSH: Secure Network Operations.

ВНИМАНИЕ: Если вы не считаете хост, на котором залогинились, достаточно безопасным, не используйте X forwarding. При его использовании атакующий может аутентифицироваться через ваше подключение SSH для вторжения на X-сервер и, например, отслеживать использование клавиатуры.

1.1.9 Переполнение буфера и Ошибки Функции Форматирования Строк

Как уже обсуждалось в 1.1.5 Переполнение буфера и Ошибки Функции Форматирования Строк, переполнение буфера и ошибки функции форматирвоания строки должны рассматриваться как с точки зрения локальной, так и с точки зрения сетевой безопасности. Как и в случае локальных вариантов этих ошибок, переполнение буфера в сетевых программах, при успешной эксплуатации, используется главным образом для получения прав пользователя root. Даже если в каком-то конкретном случае это не так, атакующий может использовать эту ошибку для получения доступа к непривилегированной учетной записи для эксплуатирования любой другой уязвимости, которяа может уществовать в системе.

Переполнение буфера и ошибки функции форматирования строки, эксплуатируемые через сеть, являются самым частно используемым видом удаленным атак в целом. Эксплойты для них — программы для использования свеженайденных дыр в безопасности — часто публикуются в списках рассылки по безопасности. Для их использования нет необходимости знать детали кода. За эти годы, как показывает опыт, доступность кода эксплойтов способствует увеличению безопасности операционных систем, очевидно, в следствие того, что создатели операционных систем вынуждены закрывать уязвимости в своем программном обеспечении. Благодаря свободному программному обеспечению, каждый имеет доступ к исходному коду (SUSE Linux Enterprise Server поставляется с со всему дсотупными исходными кодами) и каждый, кто найдет уязвимость и эксплойт для нее, может предложить патч для устранения соответствующей ошибки.

1.1.10 Отказ в обслуживании

Цель атаки «отказ в обслуживании» (DoS) — блокирование серверной программы или всего сервера целиком, что может быть достигнуто различными пособами: перегрузка сервера, создание интенсивной нагрузки с помощью «мусорных» пакетов или удаленная эксплуатация переполнения буфера. Часто, единственная цель DoS-атаки — прекращение обслуживания. Однако, как только обслуживание становится недоступным, подключение может стать уязвимым для атак «человек-по-середине» (sniffing, TCP hijacking, spoofing) и «отравления» DNS (DNS poisoning).

1.1.11 Человек-по-середине: Sniffing, TCP Hijacjing, Spoofing

Вообще, любую удаленную атаку, когда атакующий вклинивается между обменивающимися информацией хостами, называют атакой «человек-по-середине» (man in the middle). Практически все типы атак «человек-по-середине» объединяет то, что жертва обычно не подозревает, что происходит. Существует ножество похожих вариантов, например, атакующий может инициировать запрос на подключение и перенаправить его на целевую машину. Жертва невольно установит соединение с неправильным хостом, потому что машина на другом конце позиционирует себя в качестве легитимного адресата.

Простейшую форму атаки «человек-по-середине» называют sniffer — атакующий просто прослушивает проходящий сетевой трафик. В качестве более сложной атаки, атакующий может попытаться захватить уже существующее соединение (hijacking). Чтобы это сделать, атакующему необходимо в течение некоторого времени анализировать пакеты, чтобы быть в состоянии вычислить номера следования TCP, относящиеся к соединению. Когда атакующий захватит роль целевого хоста, жертва обратит внимание на это, поскольку получит сообщение, говорящее, что соединение было прервано из-за ошибки. В действительности, эти протоколы не могут обезопасить от перехвата TCP-соединений посредством шифрования, которое обеспечивает просто процесс аутентификации после установки соединения, облегчая задачу для атакующего.

Spoofing — это атака, при которой пакеты содержат измененные, поддельные исходные данные, обычно IP-адрес. Большая часть активных форм атак полагается на отправку таких поддельных пакетов — что, на машине с Linux, может быть сделано толлько пользователем root.

Многие из упомянутых атак выполняются в сочетании с DoS. Если атакующий видит возможность свалить определенный хост быстро, даже на короткий промежуток времени, это облегчит ему выполнение активной атаки, поскольку хост в течение некоторого времени не сможет помешать ему в этом.

1.1.12 Отравление DNS

Отравление DNS означает, что атакующий повреждает кэш сервера DNS, отвечая ему подмененными ответными пакетами сервера имен, пытаясь передать жертве, желающей получить данные от сервера, определенные данные. Многие серверы поддерживаются доверительные отношения с другими хостами на основании IP-адреса или имени хоста. Атакующему необходимо хорошо понимать фактическую структуру доверительных отношений между компьютерами, чтобы представить себя им в качестве доверенного хоста. Обычно, атакующий анализирует некоторые пакеты, отправленные сервером. Для получения необходимой информации. Атакующему часто должен также сделать целью для своевременных DoS-атак сервер имен. Защитите себя путем использования шифрованных соединений, что позволяет проверить подлинность хоста, к которому идет подключение.

1.1.13 Черви

Червей часто путают с вирусами, но между ними есть одно простое отличие. В отличие от вирусов, червям нет необходимости заражать программу на компьютере для продолжения своего существования. Вместо эого, они созданы специально для наиболее быстрого распространения в сетевых структурах. Черви, созданные в прошлом, Ramen, Lion или Adore, использовали известные уязвимости в серверных программах, таких, как bind8 или lprNG. Защититься от червей относительно просто. Учитывая, что между обнаружением уязвимости и моментом, когда червь атакует ваш сервер, проходит некоторое время, есть достаточно хорошие шансы вовремя обновить программу с уязвимостью. Это принесет пользу только в том случае, если администратор действительно устанавливает обновления безопасности на рассматриваемые системы.

1.2 Некоторые Основные Советы и Уловки по Безопасности

Для того, чтобы управлять безопасностью в достаточной мере, необходимо быть в курсе новых разработок и быть в курсе псоледних проблем безопасности. Одним из лучших способов защитить системы от проблем всех видов является своевременное установка обновленных пакетов, рекомендуемые уведомленями по безопасности. Уведомления по безопасности SUSE публикуются в списке рассылки opensuse-security-announce@opensuse.org. Это основной источник информации об обновлениях пакетов, в который входят члены команды безопасности SUSE. Вы можете подписаться на этот список на странице http://en.opensuse.org/Communicate/Mailinglists.

Предупреждения по безопасности SUSE также доступны через RSS: http://www.novell.com/linux/security/suse_security.xml.

Список рассылки opensuse-security@opensuse.org — хорошее место для обсуждения любых проблем безопасности, представляющих интерес. Подписаться на него можно на той же самой странице.

bugtraq@securityfocus.com — один из самых лучших списков рассылки по безопасности в мире. Очень рекомендуется прочтение этого списка, на отором публикуется примерно 15-20 сообщений в день. Более подробная информация может быть найдена на http://www.securityfocus.com.

Далее представлен список правил, которые могут быть полезны при работе с основными концептиями безопасности:

• Следуя правилам использования наиболее ограниченного набора прав для повседневной работы, избегайте выполнения обычных заданий с правами пользователя root. Это снизит риск получения «кукушкина яйца» и убережет от собственных ошибок.

• Если возможно, всегда используйте шифрованные соединения для работы на удаленной машине. Использование ssh (secure shell) вместо telnet, ftp, rsh и rlogin должно быть стандартной практикой.

• Избегайте использование методов аутентификации, основанных только на IP-адресе.

• Старайтесь сохранять наиболее важные пакеты, относящиеся к сети, обновленными и подпишитесь на соответствующие списки рассылки для получения уведомлений о новых версиях таких программ (bind, postfix, ssh и др.) То же самое применяется к программному обеспечению, относящемуся к локальной безопасности.

• Измените /etc/permissions для оптимизации разрешений на файлы, критичные для безопасности системы. Если вы уберете suid-бит с программы, может случиться так, что она не сможет выполнять свои работу соответствующим образом. С другой стороны, предполагается, что программа также перестанет быть потенциально рискованной в плане безопасности. Можно проделать подобное со всеми каталогами и файлами, запись в которые разрешена всем.

• Отключите абсолютно все службы, которые не требуются серверу для работы должным образом. Это сделает ашу систему более безопасной. Открытые порты, состоянии сокеты которых LISTEN, могут быть найдены с помощью программы netstat. Что касается опций, рекомендуется использовать netstat -ap или netstat -anp. Опция -p позволяет увидеть, какой порт занимает процесс с таким именем.

  Сравните результаты вывода netstat с результатами программы сканирования портов, сделанного снаружи. Превосходная программа для этих целей — nmap, которая не только проверяет порты на вашей машине, но иделает выводы относительно служб, которые работают на этих портах. Однако, сканирование портов может быть интерпретировано как акт агрессии, так что не делайте этого без явного одобрения администратора. И наконец, помните, что ажно просмотреть не только порты TCP, но и порты UDP (опции -sS и -sU).

• Для контроля целостности файлов на вашей системе для надежности, используйте программу AIDE (Advanced Intrusion Detection Environment), доступную в SUSE Linux Enterprise Server. Шифрование базы данных, созданной AIDE, препятствует тому, что кто-то вмешается в работу программы. Кроме того, необходимо сохранять резервную копию этой базы за пределами машины.

• Будьте внимательны при установке любого стороннего программного обеспечения. Были случаи, когда злоумышленник встраивал троянского коня в архив пакета с программным обспечением, но к счастью это быстро обнаружили. Если вы устанавливаете бинарный пакет, убедитесь, что нет никаких неопределенностей с сайтом, с которого он был получен.

  RPM-пакеты в SUSE подписаны с помощью GPG. Вот ключ, использующийся SUSE для подписи:

  ID:9C800ACA 2000-10-19 SUSE Package Signing Key <build@suse.de>

	Key fingerprint = 79C1 79B2 E1C8 20C1 890F 9994 A84E DAE8 9C80 0ACA

Команда rpm --checksig package.rpm показывает, корректны ли контрольная сумма и сигнатура неустановленного пакета. Ищите ключ на первом компакт-диске дистрибутива или на большинстве серверов ключей в мире.

• Регуоярно проверяйте резервные копии системных файлов файлов пользователей. Предположите, что если вы не проверите резерные копии на работоспособность, они в действительности могут быть повреждены.

• Проверяйте файлы логов. При возможности, напишите небольшой скрипт для поиска подозрительных записей. По общему признанию, это отнюдь не тривиальная задача. Поскольку только вы знаете, какие записи подозрительны, а какие таковыми не являются.

• Используйте tcp_wrapper для ограничения доступа к конкретным службам, запущенным на машине, что позволит явно контролировать IP-адреса, с которых будет возможен доступ к этим службам. Для получения дополнительной иформации о tcp_wrapper обратитесь к man-страницам tcpd и hosts_access (man 8 tcpd, man hosts_access).

• Используйте SuSEFirewall для еще большего увеличения безопасности, обеспеченной tcpd (tcp_wrapper).

• При создании мер безопасности предусмотрите их избыточность: сообщение, увиденное дважды, гораздо лучше, чем полное отсутствие сообщений.

• Если вы используете suspend-to-disk, предусмотрите шифрование полученного образа с помощью скрипта configure-suspend-encryption.sh. Программа создает ключ, копирует его в /etc/suspend.key и изменяет /etc/suspend.conf, чтобы использовать шифрование для образа.

1.3 Использования Единого Адреса для Отчетов по Безопасности

Если вы обнаружите связанную с безопасностью проблему (пожалуйста, проверьте сначала доступные обновления безопасности), напишите на security@suse.de. Так же необходимо включить подробное описание проблемы и версию затронутого пакета. Вам постараются ответить как можно скорее. Поощряется шифрования письма с помощью pgp. Ключ pgp SUSE:

ID:3D25D3D9 1999-03-06 SUSE Security Team <security@suse.de>

Key fingerprint = 73 5F 2E 99 DF DB 94 C4 8F 5A A3 AE AF 22 F2 D5

Этот ключ также доступен для загрузки с http://www.novell.com/linux/security/securitysupport.html.

Начал переводить документ сей.

Документ большой. Когда я смогу его закончить — неизвестно. Вполне вероятно, что некоторые вещи из него (NIS, например) переводиться не будут вообще. Остальное — по мере возможности. Надеюсь, что перевод к его окнчанию не успеет устареть окончательно. :) Итак, начнем...

«В этом руководстве объясняются основные концепции безопасности в SUSE Linux Enterprise Server. Оно охватывает обширную документацию о таких механизмах аутентификации, доступных в Linux, как NIS или LDAP. Оно также обращается к различным аспектам локальной безопасности вроде списков контроля доступа (ACL), шифрования и обнаружения вторжений. В части, касающейся безопасности сети, вы научитесь защищать компьютеры с помощью файерволла и маскарадинга, а также настраивать виртуальные частные сети (VPN). В этом руководстве также будет показано, как использовать встроенное программное обеспечение по безопасности вроде Novell AppArmor (которое позволяет указать программе, какие именно файлы она может читать, записывать и выполнять) или системы аудита, надежно собирающей сведения о любых событиях, относящихся к вопросам безопасности.

Многие разделы этого руководства содержат ссылки на дополнительную документацию. Они включают в себя как документацию, доступную в системе, так и находящуюся в Интернете.»

По причине того, что WordPress категорически отказывается отображать полную статью, придется писать сначала это вступление, а в следующем сообщение уже собственно дальнейший текст. Извиняюсь, что придется читать много.

]]> http://hrafn.me/2009/10/sles-security-guide-intro/feed/ 0 http://hrafn.me/2009/10/suse-linux-enterprise-sp3/ http://hrafn.me/2009/10/suse-linux-enterprise-sp3/#comments Fri, 16 Oct 2009 18:01:20 +0000 hrafn http://hrafn.me/?p=293 Что-то я совсем пропустил даже. 13 октября, по крайней мере, именно такая дата указана на сайте, вышел Support Pack 3 для SUSE Linux Enterprise Desktop.

Скачать можно после регистрации по этим ссылкам:

SUSE Linux Enterprise Desktop 10 SP3 — http://download.novell.com/Download?buildid=zZOX5rRmXMA~

Release Notes для SP3 можно прочитать по этой ссылке: http://www.novell.com/linux/releasenotes/i586/SUSE-SLED/10-SP3/

Когда я заказывал ноутбук, я выбрал самую лучшую видеокарту, имеющуюся в наличии, посчитав, что это будет лучший выбор при работе со SLED или openSUSE. Как оказалось, это была плохая идея.

Уже после покупки я узнал, что в определенных ситуациям с драйверами nVidia могут быть проблемы. Особенно это касается работоспособности suspend и hibernate. Ноутбук засыпает хорошо. Но проблемы начинаются, когда пытаешься его разбудить. Все запускается, но как только пытается загрузить драйвер X11 и переключиться на рабочий стол, появляется черный экран и система перестает реагировать на что-либо. Единственное, что в данном случае есть возможность сделать — выключить ноутбук или перегрузить. Что не очень хорошо влияет на целостность файловой системы, даже если она имеет журналирование, как ext3 или reiserfs.

Я перерыл множество форумов, сайтов вроде thinkwiki.org в посиках решения и не нашел ничего, что могло бы помочь в моем случае. Однако, я должен поблагодарить всех за помощь в поиске подходящего решения. Я не могу гарантировать, что  вас это тоже сработает, но, возможно, поможет.

Проблемы, как кажется, относятся к драйверу, который пытается управлять функциями AGP. В случае, сли вы не знакомы с термином, AGP — это возможность управления питанием, встроенная в любой современный компьютер. Похоже, что все управление питанием было делегировано драйверу видеосистемы в Linux и Windows.

Многие системные платы идут с интегрированными видеоконтроллерами, и установка другой видеокарты все только усложняет. Похоже, что у дистрибутивов Linux есть проблемы с конфигурированием настроек AGP в случае, сли в системе установлено два видеоадаптера. Лаптопы и десктопы могут поставляться с более продвинутыми видеокартами, использующими чипсеты ATI или nVidia, но интегрированое видео на материнских платах до сих пор скрывается на заднем плане.

Я также думаю, что необходимо проверить соответствие возможностей AGP компьютера и возможностей. встроенных в драйвер. Прочтите информацию, представленную ниже, и поймете, что я под этим подразумеваю.

Шаг 1.

Проверьте, какой драйвер загружается на вашей системе при запуске машины.

[bash]
lsmod | grep agp
[/bash]

Я получил intel_agp, но у вас может быть sis_agp или via_agp, в зависимости от материнской платы. Также может ыбть показано agppart, но это нормально. Запомните, какой из agp модулей установлен, поскольку эта информация потребуется нам для следующих шагов.

Шаг 2.

Откройте файл /etc/modprobe.local и добавьте следующую строку:

[plain]
blacklist intel_agp
[/plain]

Должно получиться вот что:

[plain]
#
# please add local extensions to this file
#
blacklist intel_agp
[/plain]

Шаг 3.

Теперь необходимо взглянуть на driver registry, чтобы определить, какие возможности поддерживаются. Запустите следующее:

[bash]
cat /proc/driver/nvidia/registry
[/bash]

Найдите NvAGP: 3. Число — это поддерживаемое AGP состояние.

Шаг 4.

Необходимо модифицировать настройки X Window System в соответствие с уже известными возможностями AGP вашей видеокарты. Откройте /etc/X11/xorg.conf и найдите секцию [Device]. В оригинале у меня выглядит так:

[plain]
Section "Device"
BoardName "Quadro FX 570M"
Driver "nvidia"
Identifier "Device[0]"
VendorName "NVidia"
EndSection
[/plain]

Добавьте новую запись Option «NvAGP» «3». После сделанных изменений она будет выглядеть таким образом:

[plain]
Section "Device"
BoardName "Quadro FX 570M"
Driver "nvidia"
Identifier "Device[0]"
VendorName "NVidia"
Option "NvAGP" "3"
EndSection
[/plain]

Вполне вероятно, что настройки будут работать сразу же после сохранения файла, но, на всякий случай, лучше перегрузиться. Я также обратил ванимание, что теперь, когда я проверяю драйвер agp с помощью lsmod | grep agp, я получаю вот что:

[plain]
agpgart 32308 1 nvidia
[/plain]

Заключение

Теперь моя система засыпает и просыпается должным образом. Hibernate работает, но при просыпании система отображает примерно в течение 2 минут черный экран и мигающий курсор в левом верхнем углу. Также система подает звуковой сигнал, а через несколько минут еще один. После этого система окончательно просыпается и вы попадаете на рабочий стол. Hibernate я использую редко, потому это меня не особо волнует. Но, по крайней мере,я  заню, что он сработает, если вдруг мне потребуется.

Сама статья опубликована на русском языке на сайте IBM developerWorks Россия. Вот и ссылка.

В принципе, вполне себе нормальная статья. Хотя, как частенько бывает на developerWorks, тема раскрыта кусками. Например, конкретно в этой статье совершенно упущена возможность создавать свои собственные профили.

В предыдущим сообщениях я рассказал, почему программные решения — это хорошо: они упрощают установку программного обеспечения и уменьшают стоимость поддержки. А также облегчают будущим клиентам процесс проверки нового приложения без необходимости прохождения через сложный процесс установки.

Мы считаем, что этих причин вполне достаточно, но всегда хорошо иметь что-либо выходящее за пределы этих проверок.

Так я был взволнован, обнаружив, что Microsoft активно продвигает программные решения многие годы, распространяя демо-версии своих программ в виде образов VirtualPС.

Например, существует демонстрационное решение, содержащее приложение Microsoft Dynamics CRM, и тут же есть решение Windows SharePoint Services.

Если вы взглянете на microsoft.com, вы сможете найти множество других примеров. Безусловно, что Microsoft осознает значение распространения демо-версий как программных решений.

Но совершенно не важно, как пристально вы будете всматриваться, вы не сможете найти множество примеров независимых поставщиков под Microsoft, делающих подобные вещи.

Почему нет?

Потому что, для отправки демонстрационного решения, независимым поставщикам программного обеспечения необходимо предварительно установить приложение на Windows и отправлять их вместе. А для того, чтобы сделать это, им необходимо иметь лицензию на перераспространение Windows, которая позволяет предварительно устанавливать, настраивать и затачивать Windows.

Но лишь некоторые наиболее крупные партнеры Microsoft могут делать это — и редистрибьюция, само собой, не разрешена под Windows EULA.

Подобный путь — один из тех, что играют на руку Linux. Linux — это open source и каждый может заняться распространением программных решений Linux. Вендоры Linux более гибкие. И Novell предлагает законченную программу программных решений, которая позволяет независимым поставщикам программного обеспечения чувствовать себя комфортно, поставляя нашу операционную систему с полной поддержкой.

Для независимых поставщиков Windows продажа вашего программного обеспечения намного жестче. Чтобы попробовать оценочную версию, вашим пользователям необходимо получить Windows, установить патчи, установить программы, требующиеся для начала установки приложения, установить приложение, настроить его, установить базу данных и потратить часы на перезагрузку. Если это не препятствие для продаж, тогда я не знаю, что является препятствием.

Так что, это означает, что независимые поставщики Microsoft в заморозке? Не совсем.

Благодаря Mono многие .NET-приложения легко запускаются на Linux. Есть даже плагин для Visual Studio, который позволяет портировать ваше приложение на Linux и генерировать Linux-решение вашего приложения, не покидая Visual Studio.

Возможно ли, что Microsoft будет регулировать их программы для облегчения независимым поставщикам распространения их программных решений? Я думаю, что это неизбежно. Программные решения — это огромный рынок, а преимущества огромны и для разработчиков, и для пользователей.

Но неизвестно сколько времени пройдет прежде, чем это произойдет. И, вероятно, для Microsoft будет не легко этот сделать, поскольку это стирает грань между двумя основными формами партнеров: редистрибьютерами и разработчиками.

А пока суд да дело, я думаю, что это хороший пример того, насколько убедительно быть под маской Linux.

Под маской — это та область, где open source раз за разом проверяет сам себя. Модулное, открытое программное обеспечение может сохранить вам кучу времени, пока вы создаете или продаете свой продукт. Множество веб-сайтов пhblen в онлайн гораздо быстрее и дешевле с помощью open source, чем они могли бы это сделать другим образом. И сейчас традиционные продавцы программного обеспечения, которые десйствительно продвигают программы, могут извлечь выгоду для себя.

Программные решения станут известны как еще один способ придания силы Linux.

Другие статьи в этой серии:

• SUSE Studio 1.0
• Что такое программное решение?
• Запускаем Linux в браузер

От переводчика:

Косяков с переводом в тексте достаточно много, на мой взгляд. Если кто что найдет, пишите в комменты — поправлю.

]]> http://hrafn.me/2009/08/vasha-os-mozhet-sdelat-eto/feed/ 0 http://hrafn.me/2009/08/suse-studio-zapuskaem-linux-v-brauzere/ http://hrafn.me/2009/08/suse-studio-zapuskaem-linux-v-brauzere/#comments Mon, 24 Aug 2009 10:43:49 +0000 hrafn http://hrafn.me/?p=227 Продолжим переводить статьи Нэта Фридмана про SUSE Studio. На этот раз это вторая из серии статей, которые он пишет о SUSE Studio и программных решениях.

Кстати, сегодня мне вдруг подумалось, что термин «программное решение» может быть не совсем адекватным, но замену ему я придумать пока не смог. Можно было бы написать «софтверное решение» или «программный комплекс», но первый вариант, на мой взгляд, несколько жаргонным выглядит, второй получше, но, как мне кажется, ассоциируется не с тем, что имеется ввиду. В общем, если будут пожелания на тему терминологии — милости прошу в комменты.

Итак, начнем. Оригинал статьи.

Многие люди поражаются, увидев, что их операционная система загружается в веб-браузере. Но для SUSE Studio — это важная деталь удобства пользователя. В этом сообщении я собираюсь поговорить о моей любимой возможности в SUSE Studio: Testdrive. Почему мы создали это и как это все работает?

SUSE Studio — это веб-сервис, который позволяет до смешного просто для любого человека с веб-браузером и парой лет опыта работы в Linux создать программное решение или свой собственный дистрибутив Linux менее чем за 10 минут.

Одной из основных задач при создании SUSE Studio было предоставление пользователю ускоренного цикла «сборка-тестирование-настройка-пересборка», что бы он мог создавать и улучшать программные решения в несколько шагов.

Но мы также хотели, чтобы SUSE Studio имела как можно более низкий порог вхождения. Если вы приходилось устанавливать какую-либо новую программу для использования Studio, или, если бы  было необходимо иметь SUSE установленной на компьютере, думаем, что гораздо меньше людей решили бы попробовать Studio.

Таким образом, это объясняет, почему мы сделали SUSE Studio веб-сервисом, который можно использовать с любого компьютера, даже если у вас нет SUSE. И даже если у вас вообще нет Linux. (Не смотря на то, что для использования SUSE Studio желательно иметь некоторый опыт).

Но тут возникает другая проблема: если Studio — веб-сервис, то решение, которое вы создаете, находится на наших серверах, а не на вашем компьютере. Потому, для проверки созданного вам пришлось бы загрузить его, а потом загрузить на виртуальной машине или записать на диск. Это ужасно замедлило бы повторную разработку и сделало ее неудобной в использовании.

Введение в Testdrive

Мы решили эту проблему, сделав возможной загрузку вашего решения в веб-браузере, быстро, в один клик. Мы называем эту возможность «testdrive». Я сделал короткий, всего 1 минута, скринкаст testdrive, в чем вы можете убедиться сами.

Таким образом, вы можете наблюдать загрузку решения, вход в систему, запись данных и запустить свою проверку, дабы убедиться, что все работает — без необходимости скачивать что-либо. Если вы найдете проблему, то сможете исправить ее, пересобрать образ и снова запустить проверку.

Java vs Flash и VNC

Работает все это таким образом — мы загружаем наше готовое решение в копию KVM на нашем сервере и открываем доступ к фреймбуферу виртуальной машины через VNC, подключаясь при помощи Flash-апплета в браузере.

Первая версия Testdrive использовала Java-апплет, но с ним было много проблем. Апплет, реализованный посредством моста с Javascript, а также поведение центра окна сильно различалось в различных версиях Java, которые работали у наших пользователей. Иногда пользователи не могли вообще печатать в Java. Иногда они видели только серый прямоугольник. По этим причинам мы решили перейти на Flash, который работал намного лучше.

Мы также поигрались с протоколом VNC, чтобы проверить, возможно ли у него улучшить производительность. Существуют некоторые расширения VNC для сжатия траффика фреймбуфера с помощью группового кодирования и сжатия JPEG, но мы подумали, что можно было бы сделать еще лучше.

Мы добавили сжатие клеток PNG, посчитав, что это будет выглядеть лучше, чем JPEG. Использование PNG также позволило нам вернуться к разнообразию серых оттенков или к монохромному отображению на медленных соединениях. Мы также добавили к клиенту и серверу кэш клеток дабы избежать их избыточной передачи. И я работал на патчем для автоматического обнаружения скроллинга консоли, в следствие чего, мы смогли использовать CopyRec, чтобы избежать полной перерисовки экрана.

Мы тестировали это в течение нескольких месяцев, но в конечном итоге, эти расширения не возымели того действия, на которое мы рассчитывали. И, с учетом того, что они не стандартизированы, было тяжело поддерживать их и они требовали множества хаков. В конце концов, мы выкинули все это и сейчас используем более стандартные расширения VNC (ZRLE и Tight).

Хотя мы не прекратили использование это кода, это был хороший эксперимент. А также — это хороший пример нашей работы в команде: смелость пробовать что-то новое для улучшения удобства пользователей.

Измененные файлы

Очень полезно иметь интегрированный механизм тестирования, но мы также хотели сделать возможным тонкую настройку вашего решения изнутри Testdrive при помощи запуска команд, редактирования файлов или установки нового программного обеспечения.

Например, вы можете захотеть настроить рабочий стол, добавить иконку запуска программы, изменить размер или множество других мелких деталей, которые проще делать интерактивно, чем выискивая нужную команду или файл для изменения. Или у вашего приложения может быть интерактивный установщик, который вы хотите запустить таким образом, чтобы у пользователей его не было.

Когда система Linux загружается первый раз, она создает и изменяет множество файлов, которые вы точно не хотите включать в решение, предоставляемое пользователям: такие вещи, как ключи SSH, resolv.conf и т.д. Чтобы этого не происходило — включите режим «только для чтения» в сессии Testdrive.

(Если вы читаете это через RSS и не видите скринкаста, кликните здесь).

Как работают измененные файлы

Есть несколько возможностей выяснить это.

Нам требовалось решение, которому бы не требованлось взаимодействие с самим приложением. Отдельный модуль ядра или любой другой хак, добавленный в приложение, ограничил бы диапазон пользователей, который могли бы работать с SUSE Studio. Мы хотели, чтобы наши пользователи могли выбрать любое ядро, к примеру.

Нам также было необходимо сделать возможным динамическое создание списка изменений файловых систем в течение 1-2 секунд. Что-то более медленное делало бы не удобным интерактивное использование.

Я потратил неделю, проверяя различные способы и каждый раз упирался в препятствия. Большая часть из опробованного была слишком медленной.

Затем, как-то поздно ночью, во время телефонного разговора с Мигелем, мы натолкнулись на действительно великолепное решение.

QEMU (с помощью расширения KVM) имеет возможность запускать виртуальную машину с помощью образа диска с механизмом копирования при записи или cowfile.Каждый раз, когда виртуальная машина хочет прочитать заблокированный диск, она сначала проверяет, представлен ли этот блок в cowfile, и возвращается к оригинальному образу приложения, если нет.

Таким образом, вы фактически имеет две копии образа диска — оригинальный образ и измененный образ — без необходимости делать полную копию. Магия оператора «if».

Все это — обычная практика.

Необычность в том, что мы используем libext2fs, реализацию файловой системы ext2fs в пространстве пользователя, для чтения метаданных как оригинальной, так и модифицированной файловых систем. Мы считываем все inodes и dentries в память, сравниваем их и показываем различия. И это отлично работает. Когда diff запускается впервые, это занимает несколько секунд, но затем блоки метаданных кэшируются, и можно увидеть свежие различия многогигабайтных приложений менее чем за полсекунды.

После разговора с Мигелем мне потребовалось около двух дней, чтобы заставить все это работать. Это был великолепный хак, один из лучших за последние годы. Сделать это было довольно просто (как мы только что выяснили), но я никогда не видел, чтобы какое-нибудь приложение по виртуализации предлагало подобное ранее.

Между прочим, мы можем использовать ту же технику для поиска неиспользуемых файлов и пакетов, которые пользователь может удалить из приложения для уменьшения размера.

Это просто работает, если, конечно, вы запускали полноценный тест в Testdrive.

Сеть

Вы не можете создавать исходящие сетевые соединения во время тестовой сессии, но мы предоставляем возможность создавать входящие соединения по некоторым портам, чтобы вы могли использовать вход по SSH или тестировать веб-приложения, запущенные на вашем решении. По причинам безопасности, вам придется явно включить эту возможность, кликнув по кнопке , а входящие соединения будут ограничены IP-адресом вашего браузера. Мы осуществили это ограничение с помощью простого патча для QEMU, который Алекс Граф написал за 15 минут. (Алекс, кажется, все делает за 15 минут).

Серверы

Мы предоставляем каждому экземпляру Testdrive 512 MB оперативной памяти и час на работу. Современный сервер за $2000 держит одновременно 16 экземпляров Testdrive и имеет продолжительность жизни около 2 лет. Мы берем на себя 30% потребления и использование электроэнергии, охлаждения и пропускной способности, и оцениваем стоимость хостинга каждой сессии примерно в 6 центов. Нам это кажется справедливой ценой за предоставление возможности разработчикам создавать решения с помощью SUSE Linux.

Мы запускаем Testdrive на своей собственной серверной ферме, которую мы обслуживаем самостоятельно, не в облачном сервисе вроде EC2. Мы думаем, что EC2 — это действительно здорово, и фактически мы планируем добавить поддержку вывода EC2 AMI в Studio в будущем. Но только это может не сработать для какого-то специфического сервиса.

Стоимость — одна из причин. Мы можем управлять нашими серверами Testdrive, неся гораздо меньшие расходы, чем издержки Amazon на сегодня. Является фактом также то, что каждая сессия testdrive — самостоятельный эксземпляр виртуальной машины, и для запуска ее в EC2 необходима поддержки вложенной виртуализации, которая в данный момент не поддерживается в EC2. Хотя, Алекс Граф внедрил это в KVM во вложенных патчах SVM.

О QEMU

Краткое отступление, многие наши эксперимента с testdrive стали возможны из-за того, что у нас был QEMU в качестве основы. Первоначально написанный Фабрисом Белларом QEMU — одна из любимейших открытых кодовых баз. Не только по причине его мощности и возможностей — он эмулирует десятки устройств и ЦП в программном обеспечении — а из-за того, что код прост и дружелюбен для хакеров. Это чистый и модульный  и этого очень не достает в запутывающем слое абстракций и универсальности и проектно-специфического жаргона, который во многих больших программах затрудняет работу. Хотя я — полный новичок в технологиях виртуализации, я нашел, что могу понимать QEMU и писать основные патчи в пределах времени распаковки дерева исходников (конечно, возможно, что более глубокие части, до котолрых мне не добраться, гораздо более сложны для хаков). QEMU — основа и для KVM, и для Xen HVM, и, по моему мнению, невоспетый герой opensource-виртуализации.

Фабрис Беллар, доолжно быть, один из самых талантливых и плодовитых разработчиков, работающих сегодня, и я определенно рекомендую взглянуть на другие его проекты, включая ffmpeg, numcalc.com, tinygl, tinygcc и его алгоритмы для вычисления числа Пи.

Ok...

Я надеюсь, что вы найдете этот пост интересным. Я буду рад любым отзывам, и я хотел бы знать, что вы желаете услышать в дальнейших постах!

Другие посты о SUSE Studio и программных приложениях:

• SUSE Studio 1.0
• What is a software appliance?

Это первая из серии статей, которые я пишу о SUSE Studio и программных решениях.

Одной из основных задач при создании SUSE Studio была цель сделать таким образом, чтобы разработчики программного обеспечения могли распространять свои приложения в качестве программных решений. Но что представляет собой программное решение, и почему разработчики должны беспокоиться об этом?

Другими словами, какую проблему мы пытаемся здесь решить?

Сегодня установка программного обеспечения — это постоянно повторяющийся процесс, подверженный к тому наличию ошибок. Это особенно относится к серверным программам, и, в первую очередь, к коммерческому серверному программному обеспечению. Позвольте привести пример. Ниже представлено руководство по установке программы для популярной коммерческой базы данных на Linux:

Я удалил все страницы, которые не содержат пошаговых технических инструкций, таким образом осталось примерно 68 страниц, которые необходимо будет прочитать бедному айтишнику.

Первые 55 страниц «preinstallation» — это те вещи, которые необходимо сделать для подготовки операционной системы к установке приложения. 55 страниц до того момента, как вы просто сможете прикоснуться к приложению!

Руководство даже предоставляет неоходимую таблицу параметров ядра и их значение, которые айтишнику придется набирать руками:

Это ужасно, но в мире программного обеспечения это способ слишком часто встречается.

Конечно, многие приложения устанавливаются гораздо проще, чем в описанном примере. Но установка даже относительно простых приложений может закончиться неудачей из-за невозможности разрешить зависимость, несовместимой библиотеки или версии ядра. Это происходит и на Linux, и на Windows. Это происходит повсеместно.

Фактически, каждый человек, которых я знаю, имел опыт попытки и неудачной установки приложения. И отступал.

Я знаю, о чем я говорю: это случалось и с вами.

И еще, в этот самый момент тысячи людей устанавливают те же самые приложения на свои сервера. И не у всех это получится.

Такие системы репозиториев свободного программного обеспечения как apt-get, yum или OBS, которые заново компонуют общее множество приложений каждый раз при изменении основных библиотек, способны помочь. Но не все программное обеспечение свободно, и эти системы также подвержены ошибкам.

Разговаривая с продавцами программного обеспечения за последние два года, я выяснил, что неправильно установленное программное обеспечение является причиной почти 50 процентов обращений в службу поддержки.

Таким образом, современные способы установки программ разочаровывают конечных пользователей и затратны для разработчиков.

Что мы можем с этим сделать?

Введение программного решения.

Программное решение — это полный пакет приложений, содержащий операционную систему, программные приложения, любые необходимые зависимости, файлы конфигурации и файлы данных, требуемые для работы. Все уже предварительно подготовлено, интегрировано и готово к работе.

Вы можете рассматривать это в качестве экстремальной формы статической линковки.

Программные решения приходят в виде файлов, которые могут быть образом виртуальной машины, образом диска, образом для установки на USB-брелки или Amazon EC2 AMI.

Ниже приведено небольшое изображение.

Вместо обращения к своим клиентам для сборки приложений, операционных систем и промежуточное ПО вместе, поставщики программного обеспечения могут просто распространять готовый к использованию комплект, который загружает мастер установки.

Комплект собирается разработчиком, который является экспертом, производящим всю установку и интеграцию, а не новичком, читающим руководство или высокооплачиваемым консультантом, зарабатывающим на жизнь своими колдовскими профессиональными знаниями.

Старый путь

Путь программного решения.

Формат программного решения может облегчить разработчикам продажу их программного обеспечения, поскольку им не придется направлять предварительно «коммерческих инженеров» для установки приложения в случае, если клиенты хотят проверить приложение или получить общее представление.

Достоинство очевидно: как можно больше облегчить для людей возможность попробовать вашу разработку. Так что мы увидим большее количество разработчиков и opensource-проектов, размещающих образы VMware и образы Live CD на своих веб-сайтах для того, чтобы люди могли проверить их в работе.

Мы также выяснили, что компании, продающие большие, комплексные программы, могут использовать программные решения для продажи их небольшим компаниям, не имеющим в своем составе опытного IT-отдела. Некоторые из самых крупных софтверных компаний в мире, например SAP или Oracle, практически достигли предела в увеличении продаж среди крупнейших клиентов, и одна из возможностей роста для них — «downmarket», более мелкие компании, которые хотят более легкой установки и обслуживания.

Между прочим, я полагаю, что это одно из преимуществ, что Oracle смог добиться приобретения Sun: теперь они могут предоставить своим клиентам совершенный экспириенс ( :) так и не смог нормально перевести, от переводчика), связав приложения Oracle и PeopleSoft вместе с Solaris в единое решение.

Мастер установки

Конечно, подготовленное программное обеспечение в програмном решении не исключает одельных шагов в процессе установки.

Тенденцией, на данный момент, является обеспечение запуска мастера установки при первой загрузке. Обычно это веб-интерфейс, запускаемый удаленно. В некоторых случаях он автоматически настраивается через систему управления.

Мастер установки, запускающийся при загрузке, похож на установку беспроводной точки доступа, поскольку это подобно тому, как вы настраиваете ваш Linksys.

Пробуйте

Если вы разработчик программного обеспечения и хотите попробовать, вы можете перейти на SUSE Studio и создать программное решение прямо сейчас. Конечно, программное решение — не единственная причина создания SUSE Studio. Вы также можете создать свой собственный дистрибутив Linux с помощью Studio, и у нас большое количество пользователей, кто использует Studio именно для этой цели.

Заключительняа мысль. Автомобильные компании не просят нас покупать отдельно двигатель, трансмиссию и колеса и собирать их вместе в одном корпусе. Люди, которые тратят свое время, собирая автомобили, называются увлеченными, это их хобби. Почему же конечные пользователи вынуждены еще что-то собирать в мире программного обеспечения?

Готовьтесь к следующим статьям в этой серии!

]]> http://hrafn.me/2009/07/suse-studio-chto-takoe-programmnoe-reshenie/feed/ 6 http://hrafn.me/2009/07/suse-studio-1-0/ http://hrafn.me/2009/07/suse-studio-1-0/#comments Thu, 30 Jul 2009 11:08:46 +0000 hrafn http://hrafn.me/?p=193 Все, кто посещает и читает различные новостные ресурсы по компьютерной тематике и Linux, в частности, уже слышали, что такая штука, как SUSE Studio, вышла из стадии бэты. В этой и следующей заметке я хотел бы перевести серию статей, которую частично уже опубликовал Нэт Фридман (Nat Friedman) в своем блоге. Пока написано вступление, скажем так, а также первая статья. Посему и начнем. Ссылка на оригинал статьи.

SUSE Studio 1.0

Сегодня мы анонсировали SUSE Studio 1.0.

SUSE Studio — это веб-сервис, который позволяет любому, у кого есть есть пара лет опыта работы в Linux, легко и просто создать программное решение или ваш собственный дистрибутив Linux менее чем за 10 минут.

Больше скриншотов и скринкастов можно найти на susestudio.com

В этот проект была вложена огромная часть моей творческой энергии в течение последних двух лет, и я очень горд и счастлив вывести ее в мир. Команда SUSE Studio — одна из самых талантливых и веселых групп людей, с которыми я когда-либо имею честь работать (и я очень счастлив), и этот релиз является достижением, соответствующим столь великолепной команде.

Сегодня ночью я сел написать о SUSE Studio и через пару часов осознал, что могу рассказать много больше, чем можно вместить в одном-единственном сообщении.

Так что на следующей неделе я собираюсь опубликовать серию сообщений в своем блоге, которые охватят множество тем, имеющих отношение к SUSE Studio, от технических деталей рынка программных решений до уроков, которые я получил во время работы над этим потряающем проектом.

Я надеюсь публиковать, как минимум, одно сообщение в день, так что, пожалуйста, почаще проверяйте обновления. Если вы используете Google Reader, вы можете подписаться с помощью этой ссылки. Я также буду публиковать здесь ссылки на сообщения, как только они будут появляться:

• Что такое программный инструмент?
• SUSE Studio: Testdrive

А пока суд да дело, я предлагаю вам получить аккаунт SUSE Studio, или вы также можете утолить свой голод с помощью одной из следующих ссылок:

1. Cornelius’s blog post about the SUSE Studio launch
2. A tutorial on building a fluid modeling appliance with SUSE Studio, from Alberto Passalacqua
3. Novell Makes Linux Easy with SUSE Studio by Matt Asay
4. Follow SUSE Studio on Twitter

]]> http://hrafn.me/2009/07/suse-studio-1-0/feed/ 0 http://hrafn.me/2009/06/stop-ssh-brute-force-attack-using-susefirewall/ http://hrafn.me/2009/06/stop-ssh-brute-force-attack-using-susefirewall/#comments Mon, 22 Jun 2009 06:21:14 +0000 hrafn http://hrafn.me/?p=178 Маленькая заметка от Jidish Gohil.

Отредактируйте /etc/sysconfig/SuSEfirewall2:

#здесь не надо открывать порт для ssh

[plain]
FW_SERVICES_EXT_TCP=""
FW_CONFIGURATIONS_EXT=""
[/plain]

#добавьте это правило:

[plain]
FW_SERVICES_ACCEPT_EXT="0.0.0.0/0,tcp,22,,\
hitcount=3,blockseconds=60,recentname=ssh"
[/plain]

#перезапустите файерволл:

[bash]
rcSuSEfirewall2 restart
[/bash]

Теперь у атакующего будет только три попытки до того момента, как он будет заблокирован.
Кстати, вот заодно и вывод iptables-save, как и просили:

[bash]
home:/etc/sysconfig # iptables-save
# Generated by iptables-save v1.4.2-rc1 on Thu Jul 16 23:10:49 2009
*raw
:PREROUTING ACCEPT [1473494:1762742144]
:OUTPUT ACCEPT [1455294:88928001]
— A PREROUTING -i lo -j NOTRACK
— A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Thu Jul 16 23:10:49 2009
# Generated by iptables-save v1.4.2-rc1 on Thu Jul 16 23:10:49 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward_ext — [0:0]
:input_ext — [0:0]
:reject_func — [0:0]
— A INPUT -i lo -j ACCEPT
— A INPUT -m state --state ESTABLISHED -j ACCEPT
— A INPUT -p icmp -m state --state RELATED -j ACCEPT
— A INPUT -i eth0 -j input_ext
— A INPUT -i wlan0 -j input_ext
— A INPUT -i pan0 -j input_ext
— A INPUT -i wmaster0 -j input_ext
— A INPUT -j input_ext
— A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " \
— log-tcp-options --log-ip-options
— A INPUT -j DROP
— A FORWARD -m physdev  --physdev-is-bridged -j ACCEPT
— A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " \
— log-tcp-options --log-ip-options
— A OUTPUT -o lo -j ACCEPT
— A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
— A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " \
— log-tcp-options --log-ip-options
— A input_ext -m pkttype --pkt-type broadcast -j DROP
— A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
— A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
— A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 22 -m state --state NEW -m \
recent --rcheck --seconds 60 --hitcount 3 --name ssh --rsource -j LOG \
— log-prefix "SFW2-INext-DROPr " --log-tcp-options --log-ip-options
— A input_ext -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update \
— seconds 60 --hitcount 3 --rttl --name ssh --rsource -j DROP
— A input_ext -p tcp -m tcp --dport 22 -m state --state NEW -m limit --limit 3/min \
— j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
— A input_ext -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name \
ssh --rsource -j ACCEPT
— A input_ext -p tcp -m tcp --dport 22 -j ACCEPT
— A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG \
— log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
— A input_ext -m pkttype --pkt-type multicast -j DROP
— A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN \
— j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
— A input_ext -p icmp -m limit --limit 3/min -j LOG \
— log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
— A input_ext -p udp -m limit --limit 3/min -j LOG \
— log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
— A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG \
— log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
— A input_ext -j DROP
— A reject_func -p tcp -j REJECT --reject-with tcp-reset
— A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
— A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Thu Jul 16 23:10:49 2009

[/bash]

Следующая команда скопирует базу данных 'old_db' с локального хоста в 'new_db' на указанном удаленном хосте:

[bash]
mysqldump --add-drop-table --extended-insert --force \
— log-error=err.log -u[user] -p[pass] old_db | ssh -C user@host \
"mysql -u[user] -p[pass] new_db"
[/bash]

Если в вашей сети имеют место быть общие ресурсы на Windows-машинах и вы хотите получить доступ к ним, я покажу вам, как можно сделать это из командной строки. Я собираюсь рассказать о двух различных способах.

1. Подключение к ресурсу интерактивно (этот способ подобен подключению по FTP)
2. Монтирование ресурса к локальному каталогу для доступа к нему, как локальному каталогу

Способ 1. Подключение к ресурсу/серверу интерактивно

Допустим, что «mirage» — это имя Windows-ресурса. А вот необходимая команда для интеактивного доступа к нему:

[bash]
mount //IP_ADDR_OF_Windows_machine/Sharename -Uusername
[/bash]

Пример:

[bash]
mount //192.168.1.14/mirage -Uadmin
[/bash]

В приведенном примере:

• 192.168.1.14 — IP-адрес машина Windows
• mirage — имя ресурса на этой машине
• admin — имя пользователя для доступа к этому ресурсу

При запросе пароля вы увидите команду, подобную следующей 'smb: >'. А с помощью команды 'Help' вы сможете получить список всех поддерживаемых команд. На представленном скриншоте показаны именно они:

Описание некоторых команд:

[bash]
get <remote file name > [local file name ]
[/bash]

Копировать файл с именем «remote file name» с ресурса/сервера на машину, с запущенным клиентом smb. Если указано, то имя локального файла будет соответствовать удаленному. Отметьте, что все передачи проходят в бинарном виде.

[bash]
put <local file name > [remote file name ]
[/bash]

Копировать локальный файл с именем «local file name» с машины с smb-клиентом на ресурс/сервер. Если указано, имя копии будет соответствовать локальному.

[bash]
open <file name>
[/bash]

Открыть удаленный файл и напечатать ID файла.

[bash]
close fileID
[/bash]

Закрыть файл, открытый командой open.

Способ 2. Монтирование ресурса к локальному каталогу и доступ к нему.

Далее показано необходимые шаги для монтирования Windows-ресурса к локальному каталогу.

1. Создать локальный каталог

[bash]
$mkdir test_dir
[/bash]

2. Примонтировать ресурс, используя следующую команду (заметьте, что эти команды должны выполняться от пользователя root):

[bash]
mount -t cifs //Windows_IP/share_name target_folder_path \
— o username=user,password=pwd
[/bash]

В представленной команде ключ -t используется для указания типа файловой системы или типа протокола для монтирования. Имя пользователя должны принадлежать одному из существующих пользователей на Windows-машине и он должен иметь соответствующие права доступа к этой машине.

Посмотрим пример:

[bash]
mount -t cifs //192.168.1.14/shared_folder ./test_dir \
— o username=user,password=abcdef
[/bash]

Для хранения информации о пользователе можно использовать текстовый файл и использовать его для аутентификации пользователя. Фомат файла должен быть следующим:

[plain]
username=value
password=value
[/plain]

Используйте ключ credentials для указания файла с данными для аутентификации:

[bash]
mount -t cifs //192.168.1.14/shared_folder ./test_dir \
— o credentials=filename
[/bash]

3. Перейти в каталог 'test_dir'. Теперь можно будет посмотреть содержимое общего ресурса.

Действия, которые можно выполнять на ресурсе, зависят от прав доступа к этому ресурсу. Эти права могут быть настроены при создании ресурса.

Отмонтировать смонтированный ресурс можно с помощью следующей команды:

[bash]
umount mounted_folder_path
[/bash]

Например:

[bash]
umount ./test_dir
[/bash]

Наследующем скриншоте показаны команды для монтирования и отмонтирования общего каталога.

6200 — Get Ready for Open Source: SUSE Linux Enterprise Desktop (Book 1)

6201 — Get Ready for Open Source: SUSE Linux Enterprise Desktop (Book 2)

Первый предназначен для детей от 10 до 14 лет, второй — старше 14.

6200 описывает основные навыки и умения при работе с программным обеспечением SUSE Linux Enterprise Desktop. Этот курс является первым в серии курсов, нацеленных на подготовку студентов для участия в open source проектах.

Курс 6201 предназначен для краткого введения в вопросы администрирования рабочего стола с упором на понимание shell и начального программирования в shell. Это второй из серии курсов.

Далее будет выложен еще и третий точно. Подробностей пока вроде нету, я не нашел точного описания, но что-то где-то встречал по поводу C#/Mono. Если найду — поправлю пост.

]]> http://hrafn.me/2009/05/uchebnye-posobiya-ot-novell-dlya-shkolnikov-i-studentov/feed/ 0 http://hrafn.me/2009/05/mbr-master-boot-record-backup-restore/ http://hrafn.me/2009/05/mbr-master-boot-record-backup-restore/#comments Sat, 23 May 2009 11:10:29 +0000 hrafn http://hrafn.me/?p=134 Полезность с сайта shell-fu$

Резервная копия MBR:

[bash]
dd if=/dev/sda of=/root/mbr.img bs=1 count=512
[/bash]

Восстановление MBR:

[bash]
dd if=/root/mbr.img of=/dev/sda bs=1 count=512
[/bash]

Восстановить только bootstrap (часть MBR):

[bash]
dd if=/temp/mbr.img of=/dev/sda bs=1 count=446
[/bash]

Восстановление только таблицы разделов (часть MBR):

[bash]
dd if=/temp/mbr.img of=/dev/sda skip=446 seek=446 bs=1 count=64
[/bash]

Взято с LinuxCenter.

«Многие годы беспроводные карты broadcom приносили страдания в беспроводное существование пользователей Linux.

Однако сейчас я рад сообщить, что появились драйвера Broadcom Wireless для SUSE Linux Enterprise Desktop 11. Для установки драйверов просто укажите в качестве источника установки этот адрес: http://www.broadcom.com/docs/linux_sta/repo/Novell/Novell-Common/sle11/install/

После его добавления, определитесь, какое ядро используется у вас:

uname -r

Откройте в YaST управление программным обеспечением:

yast2 sw_single

и ищите по запросу „broadcom“. Установите модуль, подходящий для вашего ядра.

Удачи!»

От себя же добавлю, что мне лично в таком случае удобней пользоваться штуковиной под названием zypper:

home:~ # zypper lr
# | Alias                                 | Name                                  | Enabled | Refresh
--+---------------------------------------+---------------------------------------+---------+--------
1 | SUSE-Linux-Enterprise-Desktop-11 11-0 | SUSE-Linux-Enterprise-Desktop-11 11-0 | Yes     | No
2 | nVidia-Driver-SLE11                   | nVidia-Driver-SLE11                   | Yes     | Yes

home:~ # zypper ar http://www.broadcom.com/docs/linux_sta/repo/Novell/Novell-Common/sle11/install/ \
> broadcom
Adding repository 'broadcom' [done]
Repository 'broadcom' successfully added
Enabled: Yes
Autorefresh: No
URI: http://www.broadcom.com/docs/linux_sta/repo/Novell/Novell-Common/sle11/install/

home:~ # zypper lr
# | Alias                                 | Name                                  | Enabled | Refresh
--+---------------------------------------+---------------------------------------+---------+--------
1 | SUSE-Linux-Enterprise-Desktop-11 11-0 | SUSE-Linux-Enterprise-Desktop-11 11-0 | Yes     | No
2 | broadcom                              | broadcom                              | Yes     | No
3 | nVidia-Driver-SLE11                   | nVidia-Driver-SLE11                   | Yes     | Yes

home:~ # zypper ref

File 'content' from repository 'broadcom' is signed with an unknown key '6EA40DA62345ED2E'.
Continue? [yes/NO]: yes

Retrieving repository 'broadcom' metadata [done]

Building repository 'broadcom' cache [done]

Repository 'nVidia-Driver-SLE11' is up to date.

All repositories have been refreshed.

home:~ # zypper search broadcom
Loading repository data...
Reading installed packages..

S | Name                          | Summary                            | Type
--+-------------------------------+------------------------------------+-----------
  | broadcom-wireless             | Broadcom wireless driver for Linux | srcpackage
  | broadcom-wireless-kmp-default | Broadcom Wireless for Linux        | package
  | broadcom-wireless-kmp-pae     | Broadcom Wireless for Linux        | package
  | broadcom-wireless-kmp-trace   | Broadcom Wireless for Linux        | package
  | broadcom-wireless-kmp-vmi     | Broadcom Wireless for Linux        | package
  | broadcom-wireless-kmp-xen     | Broadcom Wireless for Linux        | package

Поскольку у меня сего девайса не имеется, то работоспособность проверить не могу. Пробуйте! )))

Кстати. сайт download.novell.com недоступен :D

Статья доступна на странице Articles. Добро пожаловать!

Далее немного попереводим и скажем своими словами, но основываясь на следующей заметке с сайта компании Red Hat:

Thinstuff LX Server позволяет получить удаленный доступ к приложения X11, используя протокол Microsoft RDP (Remote Desktop).

Использование RDP в качестве протокола между клиентом и сервером позволяет объединить приложения X11 и приложения Microsoft на едином рабочем столе — без необходимости менять вашу инфраструктуру. Нет необходимости в установке клиентского придложения — с помощью Thinstuff LX Technology вы можете использовать любой RDP-совместимый клиент (тонкий клиент, компьютер с Windows/Linux, ноутбук и т.д.).

С помощью Thinstuff LX Server возможна миграция всех приложений, на основе как Windows, так и Linux, на единое устройство.

Некоторые детали о возможностях Thinstuff LX Server:

• управление посредством веб-интерфейса (настройка, статус сервера, лицензирование, пользователи, группы, права)
• совместим с Microsoft-® Remote Desktop Client (Windows) и rdesktop (Linux)
• повторное подключение (без потери данных при внезапном обрыве связи)
• динамическое изменение разрешения экрана во время работы в запущенной сессии
• простой настраиваемый таймер для отложенных сессий
• плавная интеграция в существующую инфраструктуру

Особенности протокола RDP:

• совместимость клиентов (Windows) делает возможным использовать повторно существующую клиентскую инфраструктуру
• сжатие данных и интеллектуальные графические команды гарантируют небольшое использование пропускной способности сети
• шифрование данных обеспечивает высокий стандарт безопасности
• перенаправление звука и принтера через виртуальные каналы

Особенности X11:

• виртуальный X11 Server (на основе X.org)
• поддержка расширение RANDR для изменения разрешение экрана во время работы
• поддержка расширения RANDR для антиалиасинга шрифтов
• широкие возможности тонкой настройки для конкретных приложений (в плане требований к пропускной способности и скорости)

Вот так вот кратенько мы и прошлись по возможностям. Может возникнуть вопрос, а зачем я собственно писал про все это. Это не реклама, как таковая. Просто возможности и вправду приличные. В том числе, и в качестве замены Terminal Server от Windows. Я попробовал поставить эту программу на несколько дистрибутивов Linux и в следующей заметке попробую описать установку и минимальное использование. Скриншоты будут )))

Как и десятая версия, SLED 11 основан на релизе openSUSE. Конкретно этот — на openSUSE 11.1. Инсталятор здесь точно такой же. К моему сожалению, основной цвет инсталятора, как и в будущем установленной операционной системы сменился с синего на зеленый. Я считаю, что это все-таки не верно было сделано. Лучше было бы разделить цветовую гамму корпоративного продукта и свободного. Но, что сделано, то сделано. Итак, теперь зеленый. В целом, установщик практически идентичны. Единственно, мне показалось, что в целом цвета и шрифты были чуть подкорректированы, в лучшую сторону. Четче что ли. В openSUSE было слегка размыто.

Основные шаги установщика повторяют шаги установщика openSUSE. Останавливаться подробно на них я смысла не вижу. Они не отличаются от подобных в 11.0 и 11.1. Лишней деталью при установке мне показалось наличие возможности установить пароль пользователя root равным паролю обычного пользователя, как в Ubuntu.

Мне тяжело объяснить чем, но этот вариант кажется несколько лишним в дистрибутиве, нацеленном на корпоративный сегмент. С одной стороны, да, никто не заставляет отмечать этот пункт, но с другой стороны, такие вещи можно было бы из установщика и убрать. Лишним это уж точно не было бы. Но, что есть, то есть. В целом, кроме более четких цветов, шрифтов и нескольких пунктов, по которым возникли вопросы, особых претензий к инсталятору нет. Хотя переделанный пункт по разметке жестких дисков, появившийся еще в openSUSE 11.0, кажется мне неудобным. А может быть просто не привычным. Но задачи свои он выполняет, а больше от него ничего и не требуется.

Итак, система поставилась.

Пройдусь еще про одному пункту. И тоже претензии у меня есть. В последних версиях Gnome внешний вид GDM перестал меня устраивать.

Функционально он не изменился, а вот визуально показался совершенно испортившимся. К тому же, как я понимаю, функцию по смене темы GDM из Gnome решили убрать. Чем она им неугодила, мне не ведомо. Но все равно жаль. Этот вопрос я подниму еще чуть позже, но считаю, что если решили делать красивые вещи, то необходимо делать это до конца, а не останавливаться на полпути или делать что-то частями.

После ввода логина и пароля, попадаем на стандартный рабочий стол.

И тут же закончим тему красоты. Если обои еще как-то соответствуют общему впечатлению об дизайна установщика, то вот внешний вид рабочего стола, а именно темы иконок, Metacity и Gtk, можно, и даже, нужно было бы привести в соответствие с общим видом. Хороший пример соответствия — все та же Ubuntu. Но пора заканчивать с тематикой дизайна и сравнения с другими дистрибутивами, а обратимся лучше к изменениям в приложениях, входящих в стандартную поставку.

Открыв Проводник Приложений, мне. Например, первым бросилась в глаза иконка просмотрщика файлов .chm — Chmsee. Это радует, поскольку в предыдущей версии у меня лично с просмотром этих файлов были проблемы. Какие-то приложения больше не поддерживаются, какие-то, если и поддерживаются, то не входят в состав дистрибутива, а также и в репозитории с пакетами. К сожалению, некоторая часть документации в сети Интернет представлена только в этом формате. Теперь этот вопрос не будет стоять столь остро.

Также, в разделе Office присутствует приложение DICE Manager, которого ранее не было. DICE — это пакет компонентов программного обеспечения, нацеленный на интеграцию популярных серверов для коллективной работы с рабочим столом Linux. В данный момент разработчики DICE концентрируются на на интеграции Microsoft's SharePoint и Novell's Teaming+Conferencing. Никаких подробностей я дать не могу, поскольку пользоваться мне этим приложением не довелось.

В разделе Аудио и Видео добавились приложения Moonshine, предназначенное для просмотра Windows Media контента, и Brasero, которое вполне может заменить не очень требовательным пользователям программу K3B. Полной замены, конечно, не получится, но с основными задачами по записи дисков она вполне справляется. Тут же можно увидеть автономный Flash Player от Adobe. Целесообразность включения этой программы мне не понятна, с учетом того, что в браузере из коробки подключен он же в качестве плагина.

Далее, видим программу Chesee для работы с веб-камерами. В openSUSE 11.1 данная программа прекрасно работала на нетбуке Acer Aspire One. Думаю, и в SLED 11 проблем с ней не будет.

Также появились такие приложения, как Gnome Do (для поиска и запуска приложений), Multisync (для синхронизации личных данных). Центр Управления не изменился так же, как, впрочем, и пункты в YaST. Что касается некоторых других приложений, то в дистрибутиве присутствует Firefox 3.0.6, OpenOffice 3.0.0, Pidgin 2.5.1. Какие-то программы к моменту релиза возможно обновятся, но в целом, я думаю, что изменений не будет.

Если не уходить совсем в глубины дистрибутива, то основные моменты, показавшиеся мне интересными, я описал. Собственно, в глубины мне лезть пока не с руки. Времени для ознакомления было не очень много. Да и операционную систему я ставил под VirtualBox. До установки на основную машину я хотел бы убедиться, что изменения в системе управления пакетами программного обеспечения работают адекватно и беспроблемно. Кстати, на радость многим пользователям, теперь в системе остается только zypper, который стал основным способом для установки, удаления и управления приложениями вместо rug. Это позволяет надеяться, что скорость работы увеличится.

В завершение этого короткого описания могу сказать, что нововведения в дистрибутиве уровня предприятия достаточно сложно описывать. Связано это с тем, что ради стабильности в жертву приносится свежесть приложений. Но на то она и стабильность. Ждем релиза...

В этой статье я покажу, как установить и настроить fail2ban на системе openSUSE 10.3. Fail2ban — это инструмент, который отслеживает попытки залогиниться к раз личным сервисам, таким, как SSH, FTP, SMTP, Apache и другим, и если он находит постоянно повторяющиеся неудачные попытки с одного и того же IP-адреса или хоста, fail2ban остановит дальнейшие попытки залогиниться с этого IP-адреса/хоста, блокируя их с помощью правила iptables.

Этот документ не дает никаких гарантий! Я хочу сказать, что это не единственный способ установки такой системы. Есть много других способов достигнуть этой цели, но это путь, который выбрал я. Я не даю никакой гарантии, что это будет у вас работать!

Предварительное примечание

Fail2ban подобен DenyHosts, который я описывал в этом руководстве: http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts, но в отличие от DenyHosts, который фокусируется на SSH, fail2ban может контролировать любой сервис, который записывает попытки входа, и, вместо использования /etc/hosts.deny для блокировки IP-адреса хоста, fail2ban может использовать iptables и /etc/hosts.deny.

В этом примере, я настрою fail2ban для мониторинга попыток залогиниться к серверу SSH, серверу ProFTPD, .htaccess/.htpasswd, защищающим веб-сайт, Courier POP3 и Courier IMAP, и SASL (для отправленных писем). Я установлю пакет fail2ban, который доступен в openSUSE 10.3. Он включает в себя конфигурацию по умолчанию, но, к сожалению, эта конфигурация не всегда работает для всех перечисленных сервисов.

Установка fail2ban

Fail2ban доступен в репозитории Packman:

yast2

В YaST идите Software > Community Repositories

Затем отметьте Packman Repository и выберите [Finish]

Затем покиньте YaST

Далее можно установить fail2ban:

# yast2 -i fail2ban

Затем мы должны создать ссылки для запуска и запустить его:

# chkconfig –add fail2ban
# /etc/init.d/fail2ban start

Вы найдете все конфигурационные файлы fial2ban в директории /etc/fail2ban.

Конфигурирование fail2ban

Стандартное поведение fail2ban настроивается в файле /etc/fail2ban/jail.conf. Взгляните на него, он не сложен для понимания. Там имеется секция [Defaults], которая применяется ко всем другим секциям, если только опции по умолчанию не перезаписаны в других секциях.

Здесь я объясню некоторые опции конфигурации:

• ignoreip — это разделенный пробелами список ip-адресов, которые не могут быть блокированы fail2ban. Например, если компьютер, с которого вы подключаетесь к серверу, имеет статический IP-адрес, вы, возможно, захотите поместить его здесь.

• bantime — время в секунда, на которое блокируется хост, если он был пойман fail2ban (600 секунд = 10 минут).

• maxretry — Максимальное число неудавшихся попыток логина, прежде чем хост будет заблокирован fail2ban.

• filter — Ссылается на соответствующий файл фильтра в /etc/fail2ban/filter.d.

• action — Ссылается на соответствующий файл действия в /etc/fail2ban/action.d.

• logpath — Файл логов, который fail2ban проверяет для неудавшихся попыток логина.

Это то, как выглядит мой файл /etc/fail2ban/jail.conf:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 611 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1 192.168.0.99

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto". This option can be overridden in
# each jail too (use "gamin" for a jail and "polling" for another).
#
# gamin:   requires Gamin (a file alteration monitor) to be installed. If Gamin
#          is not installed, Fail2ban will use polling.
# polling: uses a polling algorithm which does not require external libraries.
# auto:    will choose Gamin if available and polling otherwise.
backend = auto

# This jail corresponds to the standard configuration in Fail2ban 0.6.
# The mail-whois action send a notification e-mail with a whois request
# in the body.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com]
logpath  = /var/log/messages
maxretry = 5

[proftpd-iptables]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=ProFTPD, dest=you@mail.com]
logpath  = /var/log/messages
maxretry = 6

# This jail forces the backend to "polling".

[sasl-iptables]

enabled  = true
filter   = sasl
backend  = polling
action   = iptables[name=sasl, port=smtp, protocol=tcp]
           sendmail-whois[name=sasl, dest=you@mail.com]
logpath  = /var/log/mail

# Here we use TCP-Wrappers instead of Netfilter/Iptables. "ignoreregex" is
# used to avoid banning the user "myuser".

[ssh-tcpwrapper]

enabled     = false
filter      = sshd
action      = hostsdeny
              sendmail-whois[name=SSH, dest=you@mail.com]
ignoreregex = for myuser from
logpath     = /var/log/messages

# This jail demonstrates the use of wildcards in "logpath".
# Moreover, it is possible to give other files on a new line.

[apache-tcpwrapper]

enabled  = true
filter   = apache-auth
action   = hostsdeny
logpath  = /var/log/apache2/error_log
maxretry = 6

# The hosts.deny path can be defined with the "file" argument if it is
# not in /etc.

[postfix-tcpwrapper]

enabled  = true
filter   = postfix
action   = hostsdeny
           sendmail[name=Postfix, dest=you@mail.com]
logpath  = /var/log/mail
bantime  = 300

# Do not ban anybody. Just report information about the remote host.
# A notification is sent at most every 600 seconds (bantime).

[vsftpd-notification]

enabled  = false
filter   = vsftpd
action   = sendmail-whois[name=VSFTPD, dest=you@mail.com]
logpath  = /var/log/messages
maxretry = 5
bantime  = 1800

# Same as above but with banning the IP address.

[vsftpd-iptables]

enabled  = false
filter   = vsftpd
action   = iptables[name=VSFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=VSFTPD, dest=you@mail.com]
logpath  = /var/log/messages
maxretry = 5
bantime  = 1800

# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.

[apache-badbots]

enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=BadBots, port="http,https"]
           sendmail-buffered[name=BadBots, lines=5, dest=you@mail.com]
logpath  = /var/log/apache2/access_log
bantime  = 172800
maxretry = 1

[courierpop3]

enabled  = true
port     = pop3
filter   = courierlogin
action   = iptables[name=%(__name__)s, port=%(port)s]
logpath  = /var/log/mail
maxretry = 5

[courierimap]
enabled  = true
port     = imap2
filter   = courierlogin
action   = iptables[name=%(__name__)s, port=%(port)s]
logpath  = /var/log/mail
maxretry = 5

Мой клиентский компьютер имеет статический IP-адрес 192.168.0.99, и поскольку я не хочу быть заблокированным, я внес его в список ignoreip.

Я хочу контролировать попытки логина к SSH, Apache, Proftpd, Courier-POP3, Courier-IMAP и Sasl, поэтому я установил значение “true” для этих сервисов и отключил с помощью “false” для всех остальных. Заметьте, что некоторые сервисы, например, SSH, могут блокироваться или iptables, или TCPWrappers (/etc/host.deny). Решите для себя, какой метод для вас предпочтительнее.

Убедитесь, что заменили адрес электронной почты you@mail.com на свой собственный адрес для получения уведомлений, когда fail2ban что-нибудь заблокирует.

Если вы сравните этот файл с файлом конфигурации по умолчанию /etc/fail2ban/jail.conf, вы заметите также, что я поменял несколько файлов логов, потому что log-файлы в стандартной комплектации не подходят для openSUSE 10.3.

Каждый раз, как мы меняем файл конфигурации, мы должен рестартануть fail2ban, что мы сейчас и сделаем:

/etc/init.d/fail2ban restart

Все готово. Fail2ban записывает логи в /var/log/fail2ban.log, так что вы можете проверить этот файл для выяснения почему/какие хосты были блокированы. Если хост заблокирован fail2ban, это выглядит примерно так:

2007-10-07 17:49:09,466 fail2ban.actions: WARNING [apache-tcpwrapper] Ban 1.2.3.4
2007-10-07 18:08:33,213 fail2ban.actions: WARNING [sasl-iptables] Ban 1.2.3.4
2007-10-07 18:26:37,769 fail2ban.actions: WARNING [courierlogin] Ban 1.2.3.4
2007-10-07 18:39:06,765 fail2ban.actions: WARNING [courierimap] Ban 1.2.3.4

Вы также можете проверить свой файерволл, чтобы посмотреть, заблокированы ли какие-либо хосты. Для этого просто запустите:

iptables -L

Про сервисы, которые используют TCPWrapper для блокировки хостов, смотрите /etc/hosts.deny.

Ссылки:

• Fail2ban: http://www.fail2ban.org/
• openSUSE: http://www.opensuse.org/

Проблема:

Имеется машина, расположенная за proxy-сервером и не имеющая доступа к другим машинам по SSH.

Решение:

Использовать утилиту SSH proxy

Окружение:

Эта статья была протестирована на:

• SUSE Linux Enterprise Desktop 10

• SUSE Linux Enterprise Server 10

• SUSE Linux Enterprise Desktop 10 SP1

SSH proxying

В этой статье я собираюсь показать вам, как установить утилиту SSH (Secure Shell) proxy, которая позволит вам перенаправлять сетевые подключения через SOCKS и HTTPS. Утилита очень полезна в том случае, если вы работаете в пределах офиса, в котором запрещены прямые SSH-подключения к хостам за пределами офиса. Особенности, доступные при использовании утилиты SSH proxy, показаны в таблице:

Установка

Установка утилиты SSH proxy очень простая. Для устаноки требуется наличие установленного компилятора GCC, так как будет необходимо компилировать исходный код.

Первая задача, которую нам необходимо будет выполнить — проверить, установлены ли пакеты разработки. Запустите “yast sw_single” и найдите пакет GCC, как показано на рисунке.

Компилятор GCC был установлен при установке на моей машине, поэтому показан знак “i” рядом с именем пакета. “i” указывает, что пакет установлен (install), если у вас такого нету, значит пакет не был установлен.

Как только пакет GCC будет установлен, вы можете скачать файл “connect.c” с веб-сайта (http://www.meadowy.org/~gotoh/projects/connect). После загрузки вы можете скомпилировать его, используя команду gcc:

fsc_nono:~/Desktop # gcc connect.c -o connect-proxy 

После компиляции файла “connect.c” вы получите испольняемый файл в текущей рабочей директории, называющийся “connect-proxy”. Вам нужно переместить этот бинарный файл в директорию /usr/bin/:

fsc_nono:~/Desktop # mv connect-proxy /usr/bin

Конфигурация

После того, как утилита “connect-proxy” была перемещена в директорию /usr/bin/, вам необходимо создать файл в директории “~/.ssh” и назвать его “config”:

fsc_nono:~ # touch ~/.ssh/config

После создания файла, его необходимо открыть в текстовом редакторе и добавить туда следующее:

Host *
        ProxyCommand connect-proxy -H 192.168.0.1:81 %h %p

IP-адрес “192.168.0.1:81″ необходимо будет заменить IP-адресом вашего proxy-сервера. Однажды установив эту конфигурацию, вы сможете использовать SSH для подключения к любой машине за пределами вашей сети:

fsc_nono:~ # ssh damian@server.outside.network.com

Это также работает для SFTP (Secure File Transfer Protocol) и SCP (Secure Copy), также как и с любой другой утилитой, которая зависит от SSH.

Заключение

Утилита SSH proxy — очень полезный инструмент, так как позволяет администраторам использовать SSH-подключения к другим машинам за пределами своей сети через proxy. Пользователи, возможно, также найдут эту утилиту полезной, так как она позволяет переносить файлы с одной машины на другую, используя SFTP и SCP. Я рекомендовал бы прочитать документацию по этой утилите на сайте (http://www.meadowy.org/~gotoh/projects/connect), так как там показано, как использовать ее в полной мере.

1.Pm-utils — инфраструктура спящего режима нового поколения

pm-utils будет новой структурой спящего режима. Обычно используется HAL для выполнения различных хаков в обход багов в драйверах и подсистемах, которые еще не знают про спящий режим.

Хотя pm-utils — структура, которая будет общей среди всех Linux-дситрибутивов в будущем, есть еще некоторые Suse-специфичные особенности и патчи, которые пока неизвестны. Я укажу варианты конфигураций, которые до сих пор относятся только к Suse.

2.Основные функциональные возможности (или “Как это работает”)

Концепция очень проста: основной скрипт (pm-action, вызываемый через символическую ссылку как pm-suspend или pm-hibernate) выполняет так называемые “крюки”, скрипты, расположенные в /etc/pm/hooks в алфавитном порядке, с параметрами suspend (suspend to RAM) или hibernate (suspend to disk). Как только все “крюки” сделаны, компьютер отправляется в “сон”. После того, как машина снова пробудилась, все “крюки” выполняются в обратном порядке с параметром resume (resume from RAM) или thaw (resume from disk). “Крюки” делают различные вещи, например, готовят bootloader, останавливают подсистему bluetooth или выгружают критические модули.

Обычно pm-suspend и pm-hibernate вызываются HAL’ом, который в свою очередь вызывается апплетами Рабочего Стола, такими как gnome-power-manager или kpowersave.

3.Конфигурация

Основной файл конфигурации — /etc/pm/config. Дополнительные файлы могут быть расположены в /etc/pm/config.d. Необходимо отметить, что файлы конфигурации и “крюки” должны быть исполняемыми файлами (иметь установленный бит “x”).

Переменные в /etc/pm/config

SUSPEND_MODULES=”button” # список модулей, которые должны быть выгружены до остановки

Suse-специфичные варианты:

HIBERNATE_METHOD={userspace,kernel} # выбирается метод suspend-to-disk. По-умолчанию, userspace.

S2RAM_OPTS= “” # опции, передающиеся s2ram. Смотрите также s2ram для большей информации.

4.Поиск неисправностей

Если suspend или hibernate не сработают корректно, вы вероятно сможете найти некоторую информацию в лог-файле /var/log/pm-suspend.log, например, какие “крюки” были запущены и каков был их выход.

5.Создание собственных “крюков”

Если вы хотите сделать нечто специфического в течение выполния suspend/hibernate, вы можете легко поместить вам собственный “крюк” в /etc/pm/hooks. “Крюки” в этой директории будут вызываться по очереди в алфавитном порядке в течение выполнения suspend (это причина того, что их название начинается с двух цифр, чтобы сделать порядок выполнения более явным) и в обратном порядке в течение выполнения resume.

Я показываю для демонстрации довольно бесполезный “крюк”, который просто поместит некоторую информацию в ваш лог-файл:

#!/bin/sh
case $1 in
hibernate)
echo “Hey guy, we are going to suspend to disk!”
;;
suspend)
echo “Oh, this time we’re doing a suspend to RAM. Cool!”
;;
thaw)
echo “Oh, suspend to disk is over, we are resuming…”
;;
resume)
echo “Hey, the suspend to RAM seems to be over…”
;;
*) echo “somebody is calling me totally wrong.”
;;
esac

Поместите это в /etc/pm/hooks/66dummy, сделайте chmod +x /etc/pm/hooks/66dummy и оно будет изрыгать некоторые ссобщения в течение работы suspend/resume.

Внимание: Все “крюки” запускаются от пользователя root. Это означает, что вы должны быть осторожны, создавая временные файлы, проверьте, чтобы переменные PATH были установлены корректно и т.д., чтобы избежать проблем с безопасностью.

6.Различные tips & tricks

Вызов suspend вручную

Если вы хотите вызвать suspend вручную для отладки, без использования HAL или других структур, вызывайте pm-suspend или pm-hibernate от имени пользователя root.

Внимание: Это полезно для отладки. И было бы хорошо, если бы вы знал, что делаете, используя это.

Использования suspend-to-RAM на машинах, не входящих в whitelist s2ram

Если вы хотите вызвать suspend-to-RAM, вам необходимо добавить -f к переменной S2RAM_OPTS в /etc/pm/config. Вы также должны поместить все другие варианты, которые вам необходимы, в эту переменную. Например:

S2RAM_OPTS=”-f -a 3″

Это может быть хорошей идеей, чтобы сообщить о вашей машине, как о прописанной в S2RAM-Page, так чтобы вам не пришлось этого делать в дальнейшем.

Отключение “крюка”

Если вам не нравится, как работает “крюк”, или он бесполезен, или даже вреден, мы бы оценили bugreport от вас по этому поводу. Вы можете однако просто отключить “крюк”, удалив бит “x” из файла при помощи

chmod -x /etc/pm/hooks/the_hook

S2ram — способ заставить suspend-to-RAM работать “из коробки”.

Цель S2ram состоит в том, чтобы добиться работы suspend-to-RAM работать “из коробки” на как можно большем количестве машин.

Важно.

Пакет называется suspend или uswsusp и устанавливается по-умолчанию во многих дисрибутивах.

Если ваша версия S2ram не содержит всех опций, которые описываются в этой статье, попробуйте получить более свежую версию, например здесь .

Опции -m и -v были добавлены довольно недавно.

А на заднем плане…

suspend-to-RAM уже работает на многих машинах. Это означает, что компьютер “просыпается” и продолжает работу, клавиатура работает, есть доступ к жесткого диску, но зачастую не работает видео и лампа подсветки монитора. Есть некоторые параметры для этого:

• передача ядру параметра acpi_sleep=s3_ bios
• передача ядру параметра acpi_sleep=s3_mode
• передача ядру обоих вышеупомянутых параметра (acpi_sleep=s3_bios и s3_mode)
• регистрация видеокарты из пространства пользователя после побуждения, используя vbetool
• получение номера видеорежима до засыпания и установка такого же режима после пробуждения, используя vbetool
• сохранение статуса VBE перед засыпанием и восстановление его после пробуждения, используя vbetool
• сохранение пространства PCI config карты VGA перед засыпанием и восстановление его после пробуждения

Начиная с ядра 2.6.16, параметр acpi_sleep может быть установлен во время работы машины (в перезагрузке нет необходимости) в /proc/sys/kernel/acpi_video_flags. Варианты: “1″ для s3_bios, “2″ для s3_mode, “3″ для обеих сразу. Больше информации об этом “хаке” можно найти в исходниках ядра (обычно устанавливаются в /usr/src/linux) в файле Documentation/power/video.txt.

Есть некоторые машин, которые не просыпаются, используя консольный framebuffer. Недавние модели Dell и HP, например, очень часто попадают в их число. Вы можете выключить framebuffer, установив в файле конфигурации загрузчика — “vga=0″. Конфигурация grub обычно находится в /boot/grub/menu.lst.

Если ни один из способов, описанных здесь, не работает должным образом, обязательно проверьте, действительно ли машина не просыпается или только видео не работает так, как надо. Хороший способ проверить это состоит в том, чтобы запустить систему в минимальной конфигурации (init=/bin/bash), запустить s2ram -f, и после пробуждения, когда дисплей еще выключен, проверить, работает ли все еще клавиша “Caps Lock” (вы должны увидеть загорание индикатора Caps Lock на клавиатуре). Если так и есть, то скорее всего проблема действительно в инициализации видео. Если же нет, то это вероятно проблема BIOS или ошибка в ядре Linux.

Почему S2ram?

• использовать vbetool для сохранения состоянияVBE нелегко: вы должны сохранить дамп состояния карты во временный файл до засыпания и восстановить его оттуда после пробуждения. Конечно, это можно записать в скрипт оболочки, но иметь его в одном бинарном файле гораздо проще.
• вам необходимо знать, какой режим нужен машине и нужен ли вообще. S2ram содержит баду данных известных рабочих машин и режимов, которые этим машинам необходимы. Поэтом, если ваша машина поддерживается, она засыпает так же легко, как вы пишете “s2ram”.

Ок, достаточно! Давайте начнем!

Где я могу получить это?

s2ram — часть проекта suspend на sourceforge и пакет для Suse 10.1 также доступен.

Как это использовать?

Установите пакет и потом наберите в консоли s2ram. Если ваша машина есть в whitelist, должен сработать suspend-to-RAM. Будьте осторожны, некоторые поврежденные драйвера необходимо выгрузить до засыпания и загрузить после пробуждения. Если вы просто хотите узнать, известна ли ваша машина и какие режимы она поддерживает (если поддерживает), наберите команду s2ram -n.

S2ram также входит в последнюю сборку powersaved: если пакет suspend установлен, powersaved до своего старта проверит (используя s2ram -n) машину на возможность работы suspend-to-RAM, и в зависимости от результатов проверки включит или выключит “suspend button”.

Моей машины нет в whitelist? Что мне делать?

Просто узнайте какой режим необходим вашей машине (если необходим), затем отправьте эту информацию у нам вместе с выводом команды s2ram -i.

Режимы работы могут быть включены из командной строки s2ram:

seife@susi:~> s2ram -h
Usage: s2ram [-nhi] [-fspmrav]

Options:
— h, –help: this text.
— n, –test: test if the machine is in the database.
returns 0 if known and supported
— i, –identify: prints a string that identifies the machine.
— f, –force: force suspending, even on unknown machines.

the following options are only available with –force:
— s, –vbe_save: save VBE state before suspending and restore after resume.
— p, –vbe_post: VBE POST the graphics card after resume
— m, –vbe_mode: get VBE mode before suspend and set it after resume
— r, –radeontool: turn off the backlight on radeons before suspending.
— a, –acpi_sleep: set the acpi_sleep parameter before suspend
1=s3_bios, 2=s3_mode, 3=both
— v, –pci_save: save the PCI config space for the VGA card.

Опции, в большинстве случаев, понятны сами по себе. Отметьте, что вы должны использовать опцию -f на всех неизвестных машинах, затем добавить надлежащие режимы работы. Опция -n нуждается в дополнительном числовом аргументе — от 1 до 3 — определяя, таким образом, режимы s3_bios, s3_mode или и то, и другое.

Лучший способ начать изучение неизвестной машины состоит в том, чтобы загрузить ее, набрав init=/bin/bash в приглашении загрузчика, в минимальном окружении, а затем сделать следующее:

#mount /proc

#mount /sys

#s2ram -f

Если первая попытка увенчалась успехом, значит все отлично. Отправьте нам вывод команды s2ram -i (смотрите #Как связаться с разработчиками s2ram? далее в этой статье). Если же это не удалось, попробуйте следующие варианты:

• s2ram -f -a 1
• s2ram -f -a 2
• s2ram -f -a 3
• s2ram -f -p -m
• s2ram -f -p -s
• s2ram -f -m
• s2ram -f -s
• s2ram -f -p
• s2ram -f -a 1 -m
• s2ram -f -a 1 -s

Если ни одна из этих комбинаций не сработала, попробуйте добавить ключ “-v”.

Заметка: смешивание опций “-a” с опциями vbetool (”-p”, “-m”, “-s”) — это крайняя мера, обычно она не имеет большого смысла.

Мы надеемся, что один из вариантов вернул вашу машину к жизни (и подсветка включилась). Если вы нашли комбинацию, которая работает, отправьте нам эту информацию вместе с выводом s2ram -i. Если вы нашли несколько комбинаций, которые работают, например, “s2ram -f -a 3″ и “s2ram -f -p -m”, предпочтительней использовать метод в ядре “-a”, чем в пространстве пользователя (”-p”, “-m”, “-s”).

Если вы нашли комбинацию, которая работает, пожалуйста, проверьте работает ли это в обеих перечисленных ниже случаях, прежде чем сообщать об успехе разрабатчикам:

• когда запускается s2ram в консольном режиме
• когда запускается s2ram непосредственно в Иксах

Нормально, когда содержимое текстовой консоли исчезает после использования “-p” и “-m”, при использовании фреймбуфера это можно легко решить переходом на другую консоль. Хотя мог бы быть лучший результат при использовании опции “-s”, все же предпочтительней использовать “-m” в первую очередь, если это работает.

Отметьте, что вы действительно должны попробовать проделать все это, находят в минимальном окружении текстовой консоли . Сообщения, что это там работает, намного более полезны, чем сделанные только в Иксах. При этом вы также не получите такие побочные эффекты, как сообщения об остановке сразу после пробуждения от демонов управления питанием.

Все прекрасно работает, но подсветка моей машины работает в течение засыпания

Если на вашей машине установлена графическая карта Radeon, попробуйте добавить ключ “-r” к вашей комбинации. Известно, что это помогает ThinkPad 30-й серии (T30, X31, R32…). Если карта Radeon у вас отсутсвует, то данный ключ не имеет смысла использовать.

Моя машина в whitelist, но не работает. Что можно сделать?

В whitelist есть несколько обобщенных разделов, и возможно, что какой-то из них может соответствовать машинам, которые отличаются от проверенных. Сделайте то же самое, что описано в разделе “Моей машины нет в whitelist? Что мне делать?“, узнайте, какие варианты подходят вашей машине и отправьте нам информацию об этом вместе с выводом s2ram -i. Таким образом, мы, соответственно, сможем обновить whitelist.

Как связаться с разработчиками s2ram?

Отправьте письмо в список рассылки suspend-devel на suspend-devel@list.sourceforge.net. Если все это не работает по каким-то причинам, мы можете отправить письмо непосредственно мне, seife @ suse.de. Но список рассылки обычно отличается более быстрой скоростью ответа и большим количеством хорошо осведомленных людей.

Как проверить, ничего не устанавливая

Sitsofe Wheeler выяснил, что много машин можно проверить, не устанавливая ничего, просто используя OpenSUSE 10.2 Live DVD.

Свежие пакеты для различных дистрибутивов

SUSE/OpenSUSE

Свежие пакеты могут быть найдены в проекте Stefan Seyfried’s Buildservice на http://software.opensuse.org/download/home:/seife или непосредственно на OpenSUSE Factory. Пакет называется “suspend”. Для последних пакетов вам возможно придется установить пакет libx86, который находится в том же самом месте.

Debian

Tim Dijkstra поддерживает пакет в Дебиан (называется uswsusp). Он находится на http://packages.debian.org/unstable/admin/uswsusp.

Другие

Если вы знаете об обновленных пакетах для других дистрибутивов, пожалуйста, обновите эту статью или сообщите мне в список рассылки suspend-deve, чтобы мог обновить это.

Интеграция в другие проекты

openSUSE 10.2 / pm-utils

openSUSE 10.2 будет использовать окружение pm-utils, поэтому варианты конфигураций, описанные здесь, могут использоваться в опциях s2ram.

Powersave

s2ram входит в последнюю версию powersaved, имеются некоторые варинты конфигураци, которые позволяют выбрать вам режим работы, если ваша машина не входит в whitelist. Они описаны здесь.

SUSE 10.1

SUSE 10.1 использует powersaved, поэтому варианты конфигураций, описанные здесь, могут использоваться для определения режима работы.

Полезные штуки

Это только tips & tricks, которые я узнал, пытаясь заставить машины засыпать. Используйте их с осторожностью.

Intel Graphics Chipsets

Машины с Intel Graphics Chipsets часто работают с “s2ram -f -a 3“, используя фреймбуфер vesafb. Если “s2ram -f -a 3” не работает, часто работает хорошо “s2ram -f -p -m”.

Более новые драйвера Intel похоже имеют проблемы с “-s” (VBE_SAVE), таким образом, если это вообще возможно, надо использовать “-m” (VBE_MODE). Смотрите https://bugzilla.novell.com/show_bug.cgi?id=229603. Вообще говоря, VBE_MODE предпочтительней, чем VBE_SAVE.

ATI Graphics Chipsets

В последнее время множество машин с ATI Graphics Chipsets, с которыми я столкнулся, вообще не работают с каким-либо фреймбуфером (часто они висели в BIOS, даже Caps Lock не работал). Часто они прекрасно работали с “vga=0” и “s2ram -f -p -m” или “s2ram -f -p -s“.

При проблемах с пробуждением s2ram у драйвера fglrx-driver-8.32.xx, обновите его до 8.34.хх.

NVidia Graphics Chipsets

После нескольких специфичных действий машина с картой NVidia заработала с “s2ram -f”. Смотрите подробную инструкцию здесь: NVidia Suspend Howto.

Проблемы APIC

Я видел много машин в последнее время, которые нуждались в выключении APIC в командной строке ядра с “noapic”, иначе они не просыпаются или начинаются вести себя странно после пробуждения (timer interrupts no longer working etc.) В этом нет необходимости с недавними ядрами, openSUSE 10.2 в этом уже не нуждается.

Машина сразу отключается после пробуждения

s2ram — первичный “низкоуровневый” системный инструмент. Чтобы использовать это в “реальном производстве”, вы должны включить это в вашу установку управления питанием, например, в ваш скрипт acpid (они могут вызвать suspend нажатием на кнопку, например). Если у вас дистрибутив, использующий powersave, пожалуйста, прочитайте Powersave_s2ram.

Это должно быть исправлено, по крайней мере с ядра 2.6.20, таким образом в режимах работы больше не будет необходимости.

Не бросайте!

Иногда, чтобы добиться работы suspend to RAM, приходится приложить много усилий. Если вы хотите почитать примеры того, что пришлось пройти людям, посмотрите здесь: the following report from Bugzilla. Winfried — мой герой! :) Также весьма важно знать, виснет ли машина после пробуждения целиком или только дисплей не работает. Смотрите статью, чтобы узнать, как это сделать.

Итак, очередной перевод. Оригинал, как всегда, на Novell Cool Solutions. Читайте.

Создать разделы через интерфейс командной строки — просто и быстро, также учитывая знание ядра о модифицированной таблице разделов и наличия схемы разделов, позволяет получить нужный эффект без необходимости перезагрузки рабочей станции/сервера и без необходимости использовать утилиты для разделения.

Первым делом необходимо посмотреть, какие жесткие диски доступны, и какой жесткий диск необходимо разделить. Если на вашей машине установлено несколько жестких дисков, fdisk сообщит вам об этом. Два жестких диска показано в следующем листинге как sda и sdb.

Команда fdisk с оператором -l (fdisk -l) покажет вам текущие таблицы разделов наряду с жесткими дисками, подключенными к вашей рабочей станции или серверу:

linux-1reo:~ # fdisk -l

Disk /dev/sda: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 1402 11261533+ 7 HPFS/NTFS
/dev/sda2 1403 1415 104422+ 83 Linux
/dev/sda3 1416 1546 1052257+ 82 Linux swap / Solaris
/dev/sda4 1547 9729 65729947+ 5 Extended
/dev/sda5 1547 7920 51199123+ 8e Linux LVM

Disk /dev/sdb: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sdb1 * 1 9729 78148161 8e Linux LVM

Disk /dev/sdc: 500.1 GB, 500107862016 bytes
255 heads, 63 sectors/track, 60801 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Как только вы определили, какой жесткий диск вы хотите разделить, вы можете запустить команду fdisk, завершив ее нужным жестким диском (fdisk /dev/sda). В этой статье мы будем использовать первый жесткий диск — sda.

linux-1reo:~ # fdisk /dev/sda
The number of cylinders for this disk is set to 9729.
There is nothing wrong with that, but this is larger than 1024,
and could in certain setups cause problems with:
1) software that runs at boot time (e.g., old versions of LILO)
2) booting and partitioning software from other OSs
(e.g., DOS FDISK, OS/2 FDISK)Command (m for help):

Как только fdisk будет запущен, ваше приглашение командной строки изменится на “Command (m for help):“, и вы будете готовы к проверке и разделению жесткого диска. Команды, которые поддерживает fdisk, можно просмотреть нажав клавишу m, а затем Enter. Команды, которые мы будем использовать:

• p — для печати таблицы раздела
• n — для создания нового раздела
• w — для сохранения изменений и выхода

Отображение текущей таблицы раздела

Перед тем, как мы начнем делить жесткий диск, необходимо узнать какой объем дискового пространства нам доступен и как вообще выгдялит текущая таблица раздела. “p“, команда, которую мы будеи использовать, выведет текущую таблицу раздела:

Command (m for help): p

Disk /dev/sda: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 1402 11261533+ 7 HPFS/NTFS
/dev/sda2 1403 1415 104422+ 83 Linux
/dev/sda3 1416 1546 1052257+ 82 Linux swap / Solaris
/dev/sda4 1547 9729 65729947+ 5 Extended
/dev/sda5 1547 7920 51199123+ 8e Linux LVM

Вывод, приведенный выше, показывает, что у нас доступно 1809 цилиндров (9729 — 7920 = 1809), и мы можем выполнить вычисление (1809 * 16065 * 512) = 14879531520байтов, что примерно равно 14 гигабайтов.

Создание нового раздела

Следующий шаг — создание нашего нового раздела. Для примера, мы создадим раздел с типом “Linux” и размером 1 гигабайт. Мы используем команду “n” для создания нового раздела. Нас спросят, с какого цилиндра будет начинаться раздел (я советую оставить по умолчанию) и необходимый размер раздела:

Command (m for help): n
First cylinder (7921—9729, default 7921):
Using default value 7921
Last cylinder or +size or +sizeM or +sizeK (7921—9729, default 9729): +1024M

После того, как раздел будет создан, мы, используя команду “p“, можем отобразить на экране нашу новую таблицу раздела:

Command (m for help): p

Disk /dev/sda: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 1402 11261533+ 7 HPFS/NTFS
/dev/sda2 1403 1415 104422+ 83 Linux
/dev/sda3 1416 1546 1052257+ 82 Linux swap / Solaris
/dev/sda4 1547 9729 65729947+ 5 Extended
/dev/sda5 1547 7920 51199123+ 8e Linux LVM
/dev/sda6 7921 8045 1004031 83 Linux

Запись нового раздела на диск

Теперь, когда раздел был успешно создан, вы можете записать изменения на диск, нажав клавишу “w“, а затем Enter:

Command (m for help): w
The partition table has been altered!

Calling ioctl () to re-read partition table.

WARNING: Re-reading the partition table failed with error 16: Device or resource busy.
The kernel still uses the old table.
The new table will be used at the next reboot.
Syncing disks.

Активирование вновь созданного раздела

Как только новая таблица раздела записана на жесткий диск, ядро имеет возможность читать новую таблицу раздела без необходимости перезагрузки. Первый шаг — создание точки монтирования для нового раздела, в нашем примере мы будем использовать /media/newpart, а также использование команды “partprobe” для того, чтобы ядро имело возможность перечитать таблицу раздела:

linux-1reo:~ # mkdir /media/newpart
linux-1reo:~ # partprobe

Теперь, когда новая точка монтирования создана и ядро перечитало таблицу раздела, вы можете отформатировать раздел и разместить на нем файловую систему на ваш выбор (ext2, ext3, reiserfs и т.д.). В нашем примере, мы выбрали reiserfs:

linux-1reo:~ # mkfs.reiserfs /dev/sda6
mkfs.reiserfs 3.6.19 (2003 www.namesys.com)

A pair of credits:
The Defense Advanced Research Projects Agency (DARPA, www.darpa.mil) is the
primary sponsor of Reiser4. DARPA does not endorse this project; it merely
sponsors it.

Alexander Lyamin keeps our hardware running, and was very generous to our
project in many little ways.

Guessing about desired format... Kernel 2.6.16.21-0.8-default is running.
Format 3.6 with standard journal
Count of blocks on the device: 126496
Number of blocks consumed by mkreiserfs formatting process: 8215
Blocksize: 4096
Hash function used to sort names: “r5″
Journal Size 8193 blocks (first block 18)
Journal Max transaction length 1024
inode generation number: 0
UUID: e20e2dc1-7277-4ab1-930c-038e54548540
ATTENTION: YOU SHOULD REBOOT AFTER FDISK!
ALL DATA WILL BE LOST ON ‘/dev/sda3′!
Continue (y/n):y
Initializing journal — 0%….20%….40%….60%….80%….100%
Syncing...ok
ReiserFS is successfully created on /dev/sda3.
linux-1reo:~ #

Как только размер будет отформатирован, вы можете примонтировать и использовать ваш вновь созданный раздел:

linux-1reo:~ # mount /dev/sda6 /media/partnew

Заключение

После монтирования созданного и отформатированного раздела вы можете хранить ваши файлы на этом разделе безо всяких пробле, вы можете также добавить ваш новый раздел в файл /etc/fstab для того, чтобы ваш раздел монтировался после каждой перезагрузки.

Протестировано на:

• SUSE Linux Enterprise Desktop 10
• SUSE Linux Enterprise Server 10

Проблема

Не совсем очевидно и понятно, каким образом поставить Skype на SLED 10 SP1.

Решение

Скачать и установить статически скомпилированную версию Skype, которая прекрасно работает на SLED 10.

Пример

Перейдите по ссылке http://www.skype.com/intl/en/download/skype/linux/ и выберите для скачивания «Static» (Static означает, что бинарник включает в себя все необходимое, в том числе и все нужные библиотеки). Не скачивайте rpm-пакет, предназначенный для openSUSE, так как он не устанавливается корректно на SLED 10 (по крайней мере, я пытался это сделать и у меня не работало).

Как только вы кликните на «Static», Firefox спросит у вас, хотите вы открыть файл с помощью File Roller или хотите сохранить его на диск. Выберите сохранение на диск и сохраните на Desktop.

Так, теперь кликните на Рабочем Столе правой клавишей и выберите «Open Terminal» для открытия терминала Gnome. Вы должны ввести команду ls и увидите файл, названный как-нибудь, типа “skype_static-1.4.0.99.tar.bz2″. (Прим.переводчика: я так думаю, что прежде, чем вводить ls, необходимо для начала перейти на Desktop). Версия может быть новее, потому вам потребуется скорректировать команду в таком случае).

В терминале наберите:

	tar -jxf skype_static-1.4.0.99.tar.bz2

это распакует архив в папку на Рабочем Столе с именем “skype_static-1.4.0.99″.

Наберите

	cd skype_static-1.4.0.99

для перехода в только что созданную папку. Теперь необходимо получить с помощью su для установки skype в нужное место. Итак, наберите su и напечатайте пароль root’а, который вы выбрали при установке системы.

Теперь создайте папку /usr/share/skype (это место рекомендуется в README skype). Итак, напечатайте:

mkdir /usr/share/skype

Здесь следует отметить, что согласно Linux Standards Base, skype должен быть расположен в /opt/skype. Если вы пожелаете создать папку именно там и создать ссылку с /usr/share/skype — вперед, оставим это в качестве упражнения для читателя.

Если вы не считаете это удобным, просто следуйте инструкциям дальше.

Теперь скопируйте содержимое папки, в которой вы находитесь, в /usr/share/skype:

	cp * /usr/share/skype

Затем переместите бинарник skype в /usr/bin:

	mv /usr/share/skype/skype /usr/bin

Сейчас вы все это выполняете как пользователь root — теперь напечатайте exit для возврата к аккаунту обычного пользователя.

Не закрывайте окно, так как необходимо сделать еще один шаг.

Теперь в качестве обычного пользователя вам необходимо запустить skype с терминала. Если вы хотите, чтобы на Рабочем Столе была прикольная иконка для Skype, скопируйте файл на ваш рабочий Стол. Например, так:

	cp /usr/share/skype/skype.desktop ~/Desktop

При желании, вы можете изменить использующуюся иконка на одну из расположенных в /usr/share/skype. Я оставлю это вам.

Сейчас у вас должна быть установлена последняя версия Skype — поздравляю вас!

Окружение

SLED 10 SP1

Окружение рабочего стола Gnome (но также должно аналогично работать и в KDE).

Добавлю от себя уже. Инструкция приводится для первого сервис-пака, но думаю, что также прекрасно будет работать и на втором. Сам я еще не пробовал.

Подключите bluetooth-адаптер к вашему компьютеру. Вы должны увидеть что-то похожее на это в /var/log/messages:

        usb 1-1: new full speed USB device using uhci_hcd and address 2
	usb 1-1: new device found, idVendor=0a12, idProduct=0001
	usb 1-1: new device strings: Mfr=0, Product=0, SerialNumber=0
	usb 1-1: configuration #1 chosen from 1 choice
	Bluetooth: Core ver 2.8
	NET: Registered protocol family 31
	Bluetooth: HCI device and connection manager initialized
	Bluetooth: HCI socket layer initialized
	Bluetooth: HCI USB driver ver 2.9
	usbcore: registered new driver hci_usb

Включите bluetooth, используя Yast: Hardware -> Bluetooth

Включите аутентификацию и шифрование (Yast -> Bluetooth -> Security Options)

Установите следующие пакеты, используя Yast, rug или zypper: automake, autoconf, gcc, alsa, alsa-tools, alsa-devel, m4, cvs, kernel-source.

Добавьте самого себя в группу «audio» (используя права пользователя root): отредактируйте файл /etc/group и добавьте свое имя в конец строки группы «audio» (мое имя пользователя — stingleff): (Прим.переводчика: на мой взгляд нет необходимости лезть руками в этот файл. Подобную вещь можно сделать, используя Yast в консольном или gui-виде или просто выполнив команду от root’а — usermod -G audio stingleff):

	audio:x:17:stingleff

Убедитесь, что bluetooth запущен, и определите MAC-адрес вашего bluetooth-адаптера. Напоминаю, что увидев надпись XX:XX:XX:XX:XX:XX вы должны поменять ее на актуальное значение вашего устройства:

	# sudo hcitool dev
	Devices:
	        hci0    XX:XX:XX:XX:XX:XX

Отредактируйте /etc/bluetooth/rfcomm.conf, включив туда MAC-адрес вашего адаптера:

      ...
	device XX:XX:XX:XX:XX:XX;
	...

Создайте shell-скрипт /etc/bluetooth/feed-pin.sh для отправки пин-кода для вашей гарнитуры:

	#!/bin/sh
	echo "PIN:0000"

Сделайте скрипт исполняемым:

	# chmod 700 /etc/bluetooth/feed-pin.sh

Задайте опцию pin_helper в файле /etc/bluetooth/hcid.conf для использования этого скрипта:

	...
	pin_helper /etc/bluetooth/feed-pin.sh
	...

Перезапустите сервисы bluetooth:

	# sudo /etc/init.d/bluetooth restart

Перевести гарнитуру в режим подключения и выяснить MAC-адрес. Напомню, что MAC-адрес YY:YY:YY:YY:YY:YY необходимо поменять на тот, который существует у вас:

	# sudo hcitool scan
	Scanning ...
 	       YY:YY:YY:YY:YY:YY       Jabra BT 250v

Соединиться с гарнитурой:

	# sudo hcitool cc YY:YY:YY:YY:YY:YY

Проверим исходный код btsco. btsco используется для подключения гарнитуры к звуковому устройству:

	# cvs -d:pserver:anonymous@cvs.sf.net:/cvsroot/bluetooth-alsa co btsco

Соберем и установим btsco:

	# cd btsco
	# ./bootstrap
	# ./configure
	# make
	# sudo make install

Соберем и установим модуль ядра btsco:

	# cd kernel
	# make
	# sudo make install
	# sudo /sbin/depmod -e

Загрузите модуль ядра emu10k1 (добавьте команду ‘/sbin/modprobe
emu10k1‘ (без кавычек) в файл /etc/rc.d/boot.local для загрузки модуля автоматически во время старта системы):

	# sudo /sbin/modprobe emu10k1

Добавьте команду ‘/sbin/modprobe snd-bt-sco‘ (без кавычек) в файл /etc/rc.d/boot.local для загрузки модуля автоматически во время старта системы:

	# sudo /sbin/modprobe snd-bt-sco

Соедините btsco с гарнитурой:

	# sudo btsco -v YY:YY:YY:YY:YY:YY

Настройте skype на использования /dev/dsp1 (Tools -> Options -> Hand/Headsets)

Для автоматизации процесса каждый раз во время запуска Skype сохраните этот скрипт как ~/bin/skype.sh и выполняйте вместо стандартной команды для запуска Skype:

	#!/bin/bash

	gnomesu btsco -v YY:YY:YY:YY:YY:YY &

	skype

	gnomesu pkill btsco

SLES-11-DVD-x86_64-RC4-DVD1.iso и SLED-11-DVD-i586-RC4a-DVD1.iso

Прямая ссылка на скачивание, как всегда, доступна только после регистрации. Пробуйте. Я же, в свою очередь, на днях выложу кратенькие визуальные впечатления во время установки и после нее.