Операционная система Linux

Double Commander файловый менеджер

Наверное очень многим известен знаменитый Total Commander, качественный и популярный файловый менеджер, используемый на операционных системах Windows. Это приложение всегда было не бесплатным и на данный момент остается быть таковым. Меж тем, существует целый ряд бесплатных программ-заменителей, которые порой не только не уступают своим платным собратьям, но иногда даже превосходят их по многим показателям.

Sunflower - файловый менеджер Ubuntu.

Sunflower - очень неплохой двухпанельный файловый менеджер, с наличием довольно приличного количества различных настроек и опций, расширяемых плагинами в настройках приложения. Отличительной особеностью этого менеджера, его простое управление, в совокупности с весьма мощными возможностями. Приложение отлично интегрируется в «Unity», «GNOME», обладает неплохой функциональностью и "не имеет разногласий" с «Nautilus(oм)».

Команды архивирования файлов

При работе с Linux вы, может быть, еще не скоро встретитесь с необходимостью работать с большинством консольных команд, поскольку имеются такие оболочки, как Midnight Commander или графические оболочки типа KDE. Но с командами архивирования (точнее, разархивирования) вам работать придется обязательно, хотя бы потому, что вы будете часто встречать архивированные файлы в Интернете.

Основным средством архивирования в UNIX (а, следовательно, и в Linux) является комплекс из двух программ -- tar и gzip. Хотя никто не запрещает пользоваться arj, pkzip, lha, rar и т.д. -- версии этих программ для Linux общедоступны. Просто уж исторически сложилось, что пользователи Unix чаще применяют именно tar и gzip, и именно в таком формате распространяется большая часть программного обеспечения для Unix. Поэтому овладеть работой с tar и gzip -- дело чести любого пользователя Linux.

Стратегии резервного копирования

Потеря критически важных данных может оказаться невосполнимой. И тем не менее миллионы профессионалов легкомысленно относятся к резервному копированию своих данных. И хотя причины этому в каждом случае свои, одно из наиболее часто встречающихся объяснений сводится к тому, что регулярное выполнение резервного копирования может быть неприятной рутинной работой. Поскольку машины являются непревзойденными исполнителями повторяющихся изо дня в день задач, автоматизация резервного копирования является важнейшим способом уменьшить объем связанной с данным процессом рутинной работы и побороть присущую человеку тенденцию к откладыванию важных дел.

Если вы - пользователь Linux, то в вашем распоряжении уже имеются исключительно мощные инструменты для создания специализированных решений резервного копирования. Решения, описанные в данной статье, позволяют выполнять как простое, так и более продвинутое сетевое резервное копирование, используя инструменты с открытыми исходными кодами, входящие в состав практически любого дистрибутива Linux.

Простая схема резервного копирования

Чтобы упростить освоение материала, в данной статье используется пошаговый подход.

Мы начнем с простого, но эффективного механизма архивирования, а затем перейдем к расширенному решению для распределенного резервного копирования. Взгляните на удобный скрипт arc, позволяющий создавать резервные копии из командной строки Linux.

Листинг 1. Shell-скрипт arc

#!/bin/sh

tar czvf $1.$(date +%Y%m%d-%H%M%S).tgz $1

exit $?

Скрипт arc принимает в качестве параметра путь к файлу или каталогу, после чего создает архивный файл, имя которого содержит текущую дату. Например, для архивирования каталога beoserver скрипту arc необходимо передать путь к нему, после чего будет сформирован сжатый архив, имеющий имя приблизительно следующего вида: beoserver.20040321-014844.tgz. Упорядочить архивные файлы поможет включение в их имена даты и времени с помощью команды date. Дата имеет следующий формат: год, месяц, день, час, минуты, секунды - секунды, вероятно, в нашем случае уже лишние. О параметрах команды date можно узнать из ее руководства, просмотреть которое можно командой man date. Кроме того, в листинге 1 мы используем параметр -v (verbose, подробно) команды tar. Команда tar, запущенная с данным параметром, отображает имена всех архивируемых файлов. Если этого не требуется, параметр -v можно убрать.

Листинг 2. Архивирование каталога beoserver

$ ls

arc beoserver

$ ./arc beoserver

beoserver/

beoserver/bookl.dat

beoserver/beoserver_ab_off

beoserver/beoserver_ab_on

$ ls

arc beoserver beoserver.20040321-014844.tgz

Лекция 10. Управление устройствами в ОС Linux

Вопросы лекции:

1. Управление печатью

2. Подключение и отключение устройств

3. Работа со сменными носителями

4. Управление сканерами

5. Управление модемами

Управление печатью

Система печати в Linux довольно сложна и настройка обычно происходит либо очень просто (потому что CUPS все сам обнаружит и настроит), либо очень сложно (к примеру попробуйте быстро заставить работать принтер Canon LBP-810 с Linux). Работа печати в Linux основана на нескольких различных пакетах. Основной - это пакет cups, содержащий демон печати. В большинстве дистрибутивов имеется пакет cups в репозитории. Право выбора, каким образом устанавливать ПО в Linux оставляю вам. Я установил так: apt-get install cups. Данный пакет отлично подхватывает все необходимые зависимости.

Давайте немного разберемся, что же такое PostScript, а что такое GhostScript? Как показывает практика, приложения Linux и UNIX в большинстве случаев генерируют на выходе файлы двух форматов:

PostScript

Язык Adobe PostScript - это один из многих языков принтеров. Большинство приложений, использующих сложное форматирование на выходе всегда создают файл формата PostScript.

К сожалению, современные принтеры не все поддерживают язык PostScript (особенно бюджетные модели для дома и малого бизнеса). В связи с этим, файл, полученный от приложения, должен пройти обработку GhostScript. GhostScript - это интерпретатор PostScript, который может размещаться в компьютере, а не в принтере.

Следует заметить, что GhostScript рассматривает все принтеры, как графические устройства. Таким образом, при выводе на печать обычного текстового документа GhostScript преобразует текст в растровый рисунок и отправляет этот рисунок принтеру. Это означает, что GhostScript не может использовать шрифты, встроенные в принтер. Это так же означает, что печать документов через GhostScript иногда выполняется более медленно, чем печать тех же документов на драйверах Windows. Хотя в большинстве случаев эта разница практически не заметна, бывают и большие задержки.

Стандартная установка CUPS поддерживает довольно узкий спектр принтеров (хотя, это довольно спорный момент :) ). Обычно, это модели с поддержкой PostScript и принтеры компаний HP и Epson. Если принтер автоматически не определился, то необходимо посетить сайт производителя принтера для получения пакета драйверов и инструкций об установке принтера в системе Linux.

Подключение и отключение устройств

Прежде всего, подключение и настройка заключается в настройке аппаратных средств. То есть необходимо убедиться, что принтер физически соединен с компьютером и убедиться в исправности принтера и соединительных проводов. Проще всего настроить печать в Linux через принтер который совместим с Linux. Лучший признак совместимости с Linux - это наличие поддержки языка PostScript в принтере. Иногда, производители любят заявлять о поддержке PostScript ложно. Под словом "Ложно" необходимо понимать то, что поддержка PostScript реализована не в самом принтере, а в драйверах, поставляемых к принтеру, которые скорее всего рассчитаны на ОС Windows. Примеров можно привести кучу: принтеры компании Canon серии LBP, модели 810, 1120, принтеры компании HP серии LJ 10xx. Чтобы убедиться в поддержке принтера Linux, можно сходить сюда: http://www.linuxfoundation.org/collaborate/workgroups/openprinting/database/databaseintro. На данном сайте можно так же скачать файлы PPD для вашего принтера.

Для подключения принтеров существует несколько интерфейсов, таких как: USB, Ethernet, LPT и COM (последний безбожно устарел). Данным интерфейсам соответствуют устройства LPT - /dev/lp*, COM - /dev/ttyS* (вместо звездочек, естественно - цифра, обозначающая номер порта, к которому подключено устройство), для взаимодействия с USB используется дерево каталогов /proc/bus/usb, для Ethernet, естественно - IP.

Прежде чем настроить службы печати в Linux, необходимо убедиться, что соединение с принтером действительно установлено. Наверное, лучше всего это проверить из операционной системы windows, если она у вас установлена 2ой системой. Если нет такой возможности, то давайте попробуем обнаружить наш принетр средствами Linux. Если принтер подключен к LPT, либо COM, то можно выполнить команду для LPT: cat /etc/fstab > | /dev/lp0 или для com: cat /etc/fstab > | /dev/ttyS0. При этом, на устройстве в лучшем случае должно напечататься содержимое файла, в худшем - мигнуть индикаторы состояния. Если используется порт USB, то можно проверить подключение устройства с помощью команды lsusb, вывод которой должен содержать маркировку принтера. Для Ethetnet соединения, думаю достаточно проверить доступность IP принтера командой ping.

Работа со сменными носителями

Если используется графическая среда IceWM и в системе установлены пакеты autofsCD и autofsFlash (это происходит если в ходе инсталляции на этапе выбора варианта установки выбран вариант Установка на медленные компьютеры), монтирование устройств будет происходить автоматически. CD/DVD будет монтироваться в каталог /misc/cd, дискета -- в каталог /misc/floppy, USB-накопитель -- в каталог /misc/flash. Чтобы получить доступ к содержимому сменного носителя, запустите программу Midnight Commander и нажмите одновременно клавиши [Ctrl] и [\].

Выберите cdrom для получения доступа к содержимому CD/DVD, floppy для получения доступа к содержимому дискеты или flash для получения доступа к содержимому USB-накопителя и затем нажмите [Enter] -- в текущей панели появится содержимое носителя.

Если при нажатии комбинации клавиш [Ctrl]-[\] в Midnight Commander вы не увиделистрочек cdrom, floppy и flash, получить доступ к CD/DVD, дискете и USB-накопителю можно, запустив в командной строке команду:

ls /misc/cd

ls /misc/floppy

или

ls /misc/flash

соответственно

интерфейс программа файл редактор linux

Извлечь дискету из дисковода, диск из устройства для чтения CD/DVD или отсоединить USB-накопитель можно только после их отмонтирования. Отмонтирование происходит автоматически, если в течение какого-то времени сменное устройство не используется. Чтобы отмонтировать CD/DVD, дискету или USB-накопитель вручную, воспользуйтесь командой:

umount /misc/cd

umount /misc/floppy

или

umount /misc/flash

соответственно.

После этого можно вынуть диск, извлечь дискету или отсоединить USB-накопитель.

Чтобы извлечь диск, можно также воспользоваться командой eject, которая автоматически отмонтирует диск и откроет CD/DVD-устройство.

Управление сканерами

Сканеры и многофункциональные принтеры/копиры не работают в Linux "из коробки". Так что давайте совершим небольшую экскурсию с целью заставить их работать. Для примера мы возьмём Epson Stylus CX4800. (Не потому что это хорошая машина, а потому что она у меня есть. Он работает на удивительных скоростях и использует специальные чернил в виде комка, похожего на сгусток крови. Когда они случайно забивают носики печати - он сам их очищает. Бриллиант, не правда ли?)

Прежде всего убедитесь что ваше устройство поддерживается в Linux. Если это не так - даже udev не сможет вам помочь. Проверьте sane-project.org и Google перед покупкой устройства.

Посмотрите у себя файл /etc/udev/rules.d/*-libsane-rules. Естественно, что в разных дистрибутивах этот файл может называться по разному. В Kubuntu это 45-libsane.rules, в RedHat - 60-libsane.rule. Число в начале - приоритет файла с правилами. Файлы с меньшими приоритетами анализируются первыми.

Пример *-libsane-rules:

SUBSYSTEM!="usb_device", ACTION!="add",

GOTO="libsane_rules_end"

# Hewlett-Packard|ScanJet 4100C

SYSFS{idVendor}=="03f0", SYSFS{idProduct}=="0101", MODE="664",

GROUP="scanner"

# Hewlett-Packard|PhotoSmart S20

SYSFS{idVendor}=="03f0", SYSFS{idProduct}=="0102", MODE="664",

GROUP="scanner"

# Hewlett-Packard|ScanJet 4200C

[...]

Кажется довольно нелепым что udev делая грандиозную работу, всё же наполняет /dev некоторым количеством неверных нодов. В любом случае достаточно просто удалить лишние ноды.

Убедитесь что у вас установлен SANE. Подключите сканер к компьютеру и выполните следующую команду:

# sane-find-scanner

# sane-find-scanner will now attempt to detect your scanner

[...]

found USB scanner (vendor=0x04b8, product=0x0819) at libusb:003:002

# Your USB scanner was (probably) detected. It may or may not be

supported by

# SANE. Try scanimage -L and read the backend's manpage [...]

Теперь попробуйте выполнить scanimage -L под простым пользователем.

Если не получится - повторите тоже самое от имени пользователя root:

# scanimage -L

device `epson:libusb:003:002' is a Epson Unknown model flatbed scanner

В сообщение говориться о проблеме с правами доступа к сканеру. На самом деле это не проблема. Для начала отредактируйте /etc/sane.d/epson.conf, чтобы иметь правильно сконфигурированный сканер. Закомментируйте все строчки кроме двух:

usb

usb 0x4b8 0x0819

Откуда берутся эти шестнадцатиричные значения? Из вывода команды sane-find-scanner. Впишите корректные значения, а затем добавьте в /etc/udev/rules.d/*-libsane-rules следующуе

#epson stylus cx4800

SYSFS{idVendor}=="04b8", SYSFS{idProduct}=="0819", MODE="664",

GROUP="scanner"

Фактически это банальный копи-паст строчек из начала файла. Начальные нули можно удалить.

В первой части было описано как получить уникальный ID из /sys для испоьзования в правилах udev. Вот то, как выглядит наш Epson:

$ udevinfo -a -p /class/usb_device/usbdev3.2

follow the "device"-link to the physical device:

looking at the device chain at '/sys/devices/pci0000:00/0000:00:02.2/usb3/3-

6':

BUS=="usb"

ID=="3-6"

DRIVER=="usb"

SYSFS{configuration}=="USB2.0 MFP_Hi-Speed_"

SYSFS{devnum}=="2"

SYSFS{idProduct}=="0819"

SYSFS{idVendor}=="04b8"

SYSFS{manufacturer}=="EPSON"

SYSFS{product}=="USB2.0 MFP_Hi-Speed_"

SYSFS{serial}=="L84010507120939390"

SYSFS{speed}=="480"

SYSFS{version}==" 2.00"

Вот и всё. Сохраните изменения, перезагрузитесь и - вуаля! Вы больше не должны заходить как root чтобы использовать ваш сканер.

SANE поставляется с огромным количеством страниц man, которые помогут вам настроить ваш сканер. Команда man sane покажет вам их список.

Владельцы и права доступа. Имена и симлинки

Конфигурация udev оперирует тремя основными понятиями: права и владельцы, имена, симлинки. Kubuntu раскидывает эти настройки по трём различным файлам: 20-names.rules, 40-permissions.rules, и 60-symlinks.rules. В RedHat они не разделены на категории таким образом. Все настройки хранятся в файле 50-udev.rules. Вы можете редактировать его, или создать свой, например 50-udev.rules.

Когда вы хотите изменить права доступа то вам нужно проверить /etc/udev/rules.d и убедиться что вы имеет соответствующие правила.

Легче всего для этого использовать grep. Пример поиска правил для дисковых устройств:

$ grep -ir 'group="disk"' /etc/udev

/etc/udev/rules.d/40-permissions.rules:SYSFS{removable}!="1",

GROUP="disk"

/etc/udev/rules.d/40-permissions.rules:KERNEL=="raw1394",

GROUP="disk"

Этот пример показывает имя файла и найденную строку. Вы можете так же добавить ключ -B 5 для просмотра ещё и пяти предыдущих строк, или -A 5 для просмотра последующих пяти строк.

Управление модемами

Как известно большинство 3G модемов поддерживаются Ubuntu из коробки. Но, к сожалению, нет штатной возможности просмотреть СМС или отправить USSD запрос для проверки баланса или подключения/отключения услуги.

С недавних пор появилась отличная программа - Modem Manager GUI, позволяющая принимать/отправлять смс сообщения, пользоваться USSD запросами и получать информацию о модеме и используемой SIM карте.

Установить ее можно из центра приложений Ubuntu 12.04 и выше. Для предыдущих версий нужно использовать ppa.

Установить ее можно из центра приложений, набрав в строке поиска Modem Manager GUI. Так же можно установить из терминала, выполнив команду: sudo apt-get install modem-manager-gui

Для тех, у кого нет в стандартных репозиториях этой программы, нужно подключить сторонний PPA.

sudo add-apt-repository ppa:linuxonly/modem+manager+gui

sudo apt-get update

sudo apt-get install modem-manager-gui

Лекция 11. Управление правами пользователей ОС Linux

Вопросы лекции:

1. Права доступа к файлам

2. Права администраторов

3. Создание учетных записей пользователей

4. Создание групп. Добавление и удаление учетных записей

5. Системные команды. Системные файлы

Права доступа к файлам

Поскольку Linux -- система многопользовательская, вопрос об организации

разграничения доступа к файлам и каталогам является одним из существенных вопросов, которые должна решать операционная система. Механизмы разграничения доступа, разработанные для системы UNIX в 70-х годах (возможно, впрочем, они предлагались кем-то и раньше), очень просты, но они оказались настолько эффективными, что просуществовали уже более 30 лет и по сей день успешно выполняют стоящие перед ними задачи.

В основе механизмов разграничения доступа лежат имена пользователей и имена групп пользователей. Вы уже знаете, что в Linux каждый пользователь имеет уникальное имя, под которым он входит в систему (легируется). Кроме того, в системе создается некоторое число групп пользователей, причем каждый пользователь может быть включен в одну или несколько групп.

Создает и удаляет группы суперпользователь, он же может изменять состав участников той или иной группы. Члены разных групп могут иметь разные права по доступу к файлам, например, группа администраторов может иметь больше прав, чем группа программистов. В индексном дескрипторе каждого файла записаны имя так называемого владельца файла и группы, которая имеет права на этот файл. Первоначально, при создании файла его владельцем объявляется тот пользователь, который этот файл создал. Точнее -- тот пользователь, от чьего имени запущен процесс, создающий файл. Группа тоже назначается при создании файла по идентификатору группы процесса, создающего файл. Владельца и группу.

Самоучитель Linux для пользователя файла можно поменять в ходе дальнейшей работы с помощью команд chown и chgrp (подробнее о них будет сказано чуть позже).

Теперь давайте еще раз выполним команду is -i. Но зададим ей в качестве дополнительного параметра имя конкретного файла, например, файла, за- дающего саму команду is. (Обратите, кстати, внимание на эту возможность команды is -1 -- получить информацию о конкретном файле, а не о всех файлах каталога сразу).

[user]$ Is -I /bin/Is

-rwxr-xr-x 1 root root 49940 Sep 12 1999 /bin/Is

Вы видите, что в данном случае владельцем файла является пользователь root и группа root. Но нас сейчас в выводе этой команды больше интересует первое поле, определяющее тип файла и права доступа к файлу. Это поле в приведенном примере представлено цепочкой символов -rwxr-xr-x. Эти символы можно условно разделить на 4 группы. Первая группа, состоящая из единственного символа, определяет тип файла.

Этот символ в соответствии с возможными типами файлов, рассмотренными в предыдущем разделе, может принимать такие значения:

О - -- обычный файл;

О d -- каталог;

О ь -- файл блочного устройства;

О с -- файл символьного устройства;

П s -- доменное гнездо (socket);

П р -- именованный канал (pipe);

П 1 -- символическая ссылка (link).

Далее следуют три группы по три символа, которые и определяют права доступа к файлу соответственно для владельца файла, для группы пользователей, которая сопоставлена данному файлу, и для всех остальных пользователей системы. В нашем примере права доступа для владельца определены как rwx, что означает, что владелец (root) имеет право читать файл (г), производить запись в этот файл (w), и запускать файл на выполнение (х).

Замена любого из этих символов прочерком будет означать, что пользователь лишается соответствующего права. В том же примере мы видим, что все остальные пользователи (включая и тех, которые вошли в группу root) лишены права записи в этот файл, т.е. не могут файл редактировать и вообще как-то изменять.

Права администраторов

В любой Linux-системе обязательно есть один привилегированный пользователь -- root. Этот пользователь имеет права на выполнение любых действий, удаление любых файлов и изменение любых параметров. Как-то ограничить свободу действий root практически невозможно. С другой стороны, все остальные пользователи системы обычно не имеют большинства необходимых прав, например, прав на установку программ, поскольку это является административной операцией, права на которую есть только у root. Ещё одной распространённой операцией, доступной только суперпользователю, является копирование и изменение файлов в системных папках, куда обычный пользователь доступа не имеет.

Раньше данная проблема решалась достаточно просто: при обладании паролем root можно было зайти в систему под его аккаунтом либо временно получить его права, используя команду su. Потом выполнить все необходимые операции и вернуться обратно под обычного пользователя. В принципе, такая схема работает неплохо, однако у неё есть много существенных недостатков, в частности, невозможно никак (точнее, очень сложно) ограничивать административные привилегии только определённым кругом задач.

Поэтому в современных дистрибутивах Linux вместо root аккаунта для администрирования используется утилита sudo.

В Ubuntu по умолчанию root аккаунт вообще отключён, т.е. вы никаким способом не сможете попасть под root, не включив его. Root именно что отключён, т.е. он присутствует в системе, под него всего лишь нельзя зайти. Если вы хотите вернуть возможность использовать root, смотрите ниже пункт о включении root аккаунта.

Что такое SUDO

Sudo -- это утилита, предоставляющая привилегии root для выполнения административных операций в соответствии со своими настройками. Она позволяет легко контролировать доступ к важным приложениям в системе. По умолчанию, при установке Ubuntu первому пользователю (тому, который создаётся во время установки) предоставляются полные права на использование sudo. Т.е. фактически первый пользователь обладает той же свободой действий, что и root. Однако такое поведение sudo легко изменить, об этом см. ниже в пункте про настройку sudo/

Sudo используется всегда, когда вы запускаете что-то из меню Администрирования системы. Например, при запуске Synaptic вас попросят ввести свой пароль. Synaptic - это программа управления установленным ПО, поэтому для её запуска нужны права администратора, которые вы и получаете через sudo вводя свой пароль.

Однако не все программы, требующие административных привилегий, автоматически запускаются через sudo. Обычно запускать программы с правами администратора приходится вручную.

Создание учетных записей пользователей

Для создания учетной записи пользователя в Linux применяется команда useradd (обычно в каталоге /usr/sbin/, в некоторых системах именуемая adduser). Простейший способ создания учетной записи пользователя - с параметрами, устанавливаемыми по умолчанию. Например, чтобы создать учетную запись для пользователя testuserl, достаточно ввести # /usr/sbin/useradd testuserl

По этой команде выполняется следующая последовательность операций создания учетной записи.

Создание записи в файле /etc/passwd без указания пароля. В Linux Red Hat 7.1 пользователь не может воспользоваться своей учетной записью, пока не определен пароль.

Присвоение пользователю идентификатора. В Linux Red Hat 7.1 в качестве идентификатора пользователя по умолчанию выбирается минимальное число, которое больше 500 и больше идентификаторов всех существующих пользователей.

Включение пользователя в определенную группу. В Linux Red Hat 7.1 это означает создание группы, в которую будет включен один конкретный пользователь.

Создание исходного каталога для данного пользователя (в большинстве систем Linux - каталог /home/testuserl) и копирование в него содержимого скелетного каталога /etc/skel.

В Red Hat Linux 7.1 опции по умолчанию для создания учетной записи нового пользователя специфицированы в конфигурационных файлах /etc /login, defs и /etc/default/useradd.

При создании учетной записи по команде useradd задача предоставления пароля пользователю остается за администратором системы. (Поставить пароль можно по команде от root passwd <имя учетной записи, где хотим поставить или сменить пароль>).

Что произойдет, если поменять схему предоставления пользователю идентификатора? Представьте организацию, в которой идентификаторы пользователей в Linux Red Hat присваиваются по индивидуальным идентификационным номерам сотрудников. В этом случае придется указывать идентификатор в команде создания учетной записи, для чего служит флажок -и.

# useradd -и 10001 testuserl

По этой команде создается учетная запись пользователя testuserl с идентификационным номером 10001.

Что нужно сделать, чтобы добавить нового пользователя в определенную группу? Как добавить нового пользователя в группу (например, users) а не создавать для него отдельную группу? Для этого существует флажок -g.

# useradd -g users testuserl

Предположим, пользователь testuserl должен быть включен не только в группу users. но и в группы groupl и group2. Надо при создании учетной записи указать в команде useradd флажок -G.

# useradd -g users -G groupl,group2 testuserl

Наконец, чтобы определить пользователю другой исходный каталог, укажите в команде флажок -d.

# useradd -d /other/home/directory testuserl.

Создание групп. Добавление и удаление учетных записей

Программа groupadd создаёт новую группу согласно указанным значениям командной строки и системным значениям по умолчанию.

Пример использования:

sudo groupadd testgroup

Основные ключи:

- g - Установить собственный GID.

- p - Пароль группы.

- r - Создать системную группу.

Добавление пользователя

Добавление пользователя осуществляется при помощи команды useradd. Пример использоания:

sudo useradd vasyapupkin

Эта команда создаст в системе нового пользователя vasyapupkin. Чтобы изменить настройки создаваемого пользователя, вы можете использовать следующие ключи:

- b - Базовый каталог. Это каталог, в котором будет создана домашняя папка пользователя. По умолчанию /home

- с - Комментарий. В нем вы можете напечатать любой текст.

- d - Название домашнего каталога. По умолчанию название совпадает с именем создаваемого пользователя.

- e - Дата, после которой пользователь будет отключен. Задается в формате ГГГГ-ММ-ДД. По умолчанию отключено.

- f - Количество дней, которые должны пройти после устаревания пароля до блокировки пользователя, если пароль не будет изменен (период неактивности). Если значение равно 0, то запись блокируется сразу после устаревания пароля, при -1 - не блокируется. По умолчанию -1.

- g - Первичная группа пользователя. Можно указывать как GID, так и имя группы. Если параметр не задан будет создана новая группа название которой совпадает с именем пользователя.

- G - Список вторичных групп в которых будет находится создаваемый пользователь

- k - Каталог шаблонов. Файлы и папки из этого каталога будут помещены в домашнюю папку пользователя. По умолчанию /etc/skel.

- m - Ключ, указывающий, что необходимо создать домашнюю папку. По умолчанию домашняя папка не создается.

- p - Зашифрованный пароль пользователя. По умолчанию пароль не задается, но учетная пользователь будет заблокирован до установки пароля

- s - Оболочка, используемая пользователем. По умолчанию /bin/sh.

- u - Вручную задать UID пользователю.

Системные команды. Системные файлы

Файлы и директории

cd /homeперейти в директорию '/home'

cd ..перейти в директорию уровнем выше

cd ../..перейти в директорию двумя уровнями выше

cd - перейти в домашнюю директорию

cd ~user - перейти в домашнюю директорию пользователя user

cd - перейти в директорию, в которой находились до перехода в текущую директорию

pwd - показать текущюю директорию

lsотобразить содержимое текущей директории

ls -F отобразить содержимое текущей директории с добавлением к именам символов, храктеризующих тип

ls -l показать детализированое представление файлов и директорий в текущей директории

ls -a - показать скрытые файлы и директории в текущей директории

ls *[0-9]* - показать файлы и директории содержащие в имени цифры

tree - показать дерево файлов и директорий, начиная от корня (/)

lstree

mkdir dir1 - создать директорию с именем 'dir1'

mkdir dir1 dir2 - создать две директории одновременно

mkdir -p /tmp/dir1/dir2 - создать дерево директорий

rm -f file1 - удалить файл с именем 'file1'

rmdir dir1 - удалить директорию с именем 'dir1'

rm -rf dir1 - удалить директорию с именем 'dir1' и рекурсивно всё её содержимое

rm -rf dir1 dir2 - удалить две директории и рекурсивно их содержимое

mv dir1 new_dir - переименовать или переместить файл или директорию

cp file1 file2 - копировать файл file1 в файл file2

cp dir/* . - копировать все файлы директории dir в текущую директорию

cp -a /tmp/dir1 . - копировать директорию dir1 со всем содержимым в текущую директорию

cp -a dir1 dir2копировать директорию dir1 в директорию dir2

ln -s file1 lnk1создать символическую ссылку на файл или директорию

ln file1 lnk1создать "жёсткую" (физическую) ссылку на файл или директорию

touch -t 0712250000 fileditest - модифицировать дату и время создания файла, при его отсутствии, создать файл с указанными датой и временем (YYMMDDhhmm)

Поиск файлов

find / -name file1 - найти файлы и директории с именем file1. Поиск начать с корня (/)

find / -user user1 - найти файл и директорию принадлежащие пользователю user1. Поиск начать с корня (/)

find /home/user1 -name "*.bin" - Найти все файлы и директории, имена которых оканчиваются на '. bin'. Поиск начать с '/ home/user1'

find /usr/bin -type f -atime +100 - найти все файлы в '/usr/bin', время последнего обращения к которым более 100 дней

find /usr/bin -type f -mtime -10 - найти все файлы в '/usr/bin', созданные или изменённые в течении последних 10 дней

find / -name *.rpm -exec chmod 755 '{}' \; - найти все фалы и директории, имена которых оканчиваются на '.rpm', и изменить права доступа к ним

find / -xdev -name "*.rpm" - найти все фалы и директории, имена которых оканчиваются на '.rpm', игнорируя съёмные носители, такие как cdrom, floppy и т.п.

locate "*.ps" - найти все файлы, сожержащие в имени '.ps'. Предварительно рекомендуется выполнить команду 'updatedb'

whereis halt - показывает размещение бинарных файлов, исходных кодов и руководств, относящихся к файлу 'halt'

which halt - отображает полный путь к файлу 'halt'

Лекция 12. Настройка сетевых служб ОС Linux

Вопросы лекции:

1. Общие сведения о сетевых протоколах и службах

2. Управление сетевыми интерфейсами

3. Управление сетью

4. Сетевая файловая система

Общие сведения о сетевых протоколах и службах

Сетевой протокол -- набор правил и действий (очерёдности действий), позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть устройствами.

Разные протоколы зачастую описывают лишь разные стороны одного типа связи. Названия «протокол» и «стек протоколов» также указывают на программное обеспечение, которым реализуется протокол.

Новые протоколы для Интернета определяются IETF, а прочие протоколы -- IEEE или ISO. ITU-T занимается телекоммуникационными протоколами и форматами.

Наиболее распространённой системой классификации сетевых протоколов является так называемая модель OSI, в соответствии с которой протоколы делятся на 7 уровней по своему назначению -- от физического (формирование и распознавание электрических или других сигналов) до прикладного (интерфейс программирования приложений для передачи информации приложениями).

Сетевые протоколы предписывают правила работы компьютерам, которые подключены к сети. Они строятся по многоуровневому принципу. Протокол некоторого уровня определяет одно из технических правил связи. В настоящее время для сетевых протоколов используется модель OSI (Open System Interconnection -- взаимодействие открытых систем, ВОС).

Модель OSI -- это 7-уровневая логическая модель работы сети. Модель OSI реализуется группой протоколов и правил связи, организованных в несколько уровней:

- на физическом уровне определяются физические (механические, электрические, оптические) характеристики линий связи;

- на канальном уровне определяются правила использования физического уровня узлами сети;

- сетевой уровень отвечает за адресацию и доставку сообщений;

- транспортный уровень контролирует очередность прохождения компонентов сообщения;

- задача сеансового уровня -- координация связи между двумя прикладными программами, работающими на разных рабочих станциях;

- уровень представления служит для преобразования данных из внутреннего формата компьютера в формат передачи;

- прикладной уровень является пограничным между прикладной программой и другими уровнями -- обеспечивает удобный интерфейс связи сетевых программ пользователя.

Другая модель -- стек протоколов TCP/IP -- содержит 4 уровня:

- канальный уровень (link layer),

- сетевой уровень (Internet layer),

- транспортный уровень (transport layer),

- прикладной уровень (application layer).

Примеры сетевых протоколов:

TCP/IP -- набор протоколов передачи данных, получивший название от двух принадлежащих ему протоколов: TCP (англ. Transmission Control Protocol) и IP. Наиболее известные протоколы, используемые в сети Интернет:

HTTP (Hyper Text Transfer Protocol) -- это протокол передачи гипертекста. Протокол HTTP используется при пересылке Web-страниц между компьютерами, подключенными к одной сети.

FTP (File Transfer Protocol) -- это протокол передачи файлов со специального файлового сервера на компьютер пользователя. FTP дает возможность абоненту обмениваться двоичными и текстовыми файлами с любым компьютером сети. Установив связь с удаленным компьютером, пользователь может скопировать файл с удаленного компьютера на свой или скопировать файл со своего компьютера на удаленный.

POP (Post Office Protocol) -- это стандартный протокол почтового соединения. Серверы POP обрабатывают входящую почту, а протокол POP предназначен для обработки запросов на получение почты от клиентских почтовых программ.

SMTP (Simple Mail Transfer Protocol) -- протокол, который задает набор правил для передачи почты. Сервер SMTP возвращает либо подтверждение о приеме, либо сообщение об ошибке, либо запрашивает дополнительную информацию.

TELNET -- это протокол удаленного доступа. TELNET дает возможность абоненту работать на любой ЭВМ находящейся с ним в одной сети, как на своей собственной, то есть запускать программы, менять режим работы и так далее. На практике возможности ограничиваются тем уровнем доступа, который задан администратором удаленной машины.

Управление сетевыми интерфейсами

Сетевые интерфейсы в Linux представляют собой физические устройства, которые взаимодействуют с ядром, а деле и с пользователем через соответствующий драйвер (например Ethernet-драйвера именуют интерфейсы как eth0, eth1...). Чтобы сетевой интерфейс функционировал, на нем нужно задать настройки какого-либо протокола сетевого уровня (IP, IPX или др.). В современных сетях используется протокол IP. Для управления сетью используется команда ip.

Иногда необходимо переназначить имя сетевого интерфейса. Например, при замене сетевой карты, если используется статика в настройках интерфейса или к имени интерфейса подвязаны скрипты, удобно просто переназначить новый интерфейс eth1 на старый eth0.

Делается это так:

В файле /etc/udev/rules.d/70-persistent-net.rules прописаны все интерфейсы. Привязка идет по MAC-адресу. Чтоб изменить название достаточно в конце строки с необходимым интерфейсом изменить название, например, eth1 меняем на eth0. Reboot. Все, карты видны, как нам нужно.

Полезные команды по управлению сетевыми интерфейсами в Ubuntu:

$ifconfig - вывод инфы об активных интерфейсах

$ifconfig -a - вывод инфы о ВСЕХ интерфейсах

#ifconfig eth0 up - активировать интерфейс eth0

#ifconfig eth0 down - деактивировать интерфейс eth0

#ifconfig eth0 inet 192.168.10.1

- назначить интерфейсу eth0 IP-адрес 192.168.10.1

#ifconfig eth0 hw ether 00:e1:12:56:19:b2

- назначить интерфейсу eth0 MAC-адрес 00:e1:12:56:19:b2

#ifconfig eth0 netmask 255.0.0.0

- назначить интерфейсу eth0 маску подсети 255.0.0.0

Сделанные таким способом настройки сбрасываются после ребута. На постоянку их можно прописать в /etc/network/interfaces:

auto lo

iface lo inet loopback

# The primary network interface

auto eth0

iface eth0 inet static

address 192.168.10.1

hwaddress ether 00:e1:12:56:19:b2

netmask 255.0.0.0

network 192.168.10.0

broadcast 192.168.10.255

gateway 192.168.10.2

dns-nameservers 192.168.10.3, 192.168.10.4

# The secondary network interface

auto eth1

iface eth1 inet dhcp

Здесь всё понято. Адрес DNS сервера можно задать здесь или в /etc/resolv.conf так:

nameserver 192.168.10.3

nameserver 192.168.10.4

Для вступления изменений в силу ребутим сетевые службы:

#/etc/init.d/networking restart

Управление сетью

Linux одна из самых лучших операционных систем в мире по поддерживаемым сетевым функциям. Большое количество серверов знают об этом и активно используют его. Понимание вашего сетевого оборудования и всех файлов связанных с сетью очень важно для полного контроля над тем, с чем сталкивается сервер. Хорошее знание всех основных сетевых команд жизненно важно. Управление сетью охватывает обширный ряд тем. В общем, они включают сбор статистических данных о состоянии частей сети и принятие мер в случае необходимости при возникновении сбоев или других причин. Наиболее примитивная техника сетевого мониторинга это периодическое пингование проблемных хостов. Более сложная система контроля за сетью требует наличия возможности сбора состояний и статистической информации о работе различных устройств сети. В этой главе мы будем давать ответы на фундаментальные вопросы относительно сетевых устройств, файлов связанных с функционированием сети и важнейших сетевых команд.

Инсталляция более одной Ethernet-карты на одной машине

Вы можете использовать Linux как шлюз между двумя сетями. Для этого Вы должны иметь на сервере две сетевые карты. Ядро Linux не определяет несколько сетевых карт автоматически при загрузке. Если Вы хотите иметь больше одной сетевой карты, то надо определить параметры карт в lilo.conf для монолитного ядра или в conf.modules для модульного ядра. При работе с сетевыми картами Вы можете столкнуться со следующими проблемами.

Проблема 1.

Если драйвер карты был создан как загружаемый модуль (модульное ядро), в случае PCI-карт, модули определяют карты автоматически. Для ISA-карт надо определить I/O адрес карты, чтобы модуль знал, где ее смотреть. Эта информация хранится в /etc/conf.modules.

Например, мы рассмотрим две ISA-карты 3c509, у первой I/O=0x300, а у второй I/O = 320. Для ISA-карт редактируем файл conf.modules (vi /etc/conf.modules) и добавляем в него:

alias eth0 3c509

alias eth1 3c509

options 3c509 io=0x300,0x320

Это говорит, что драйвер 3c509 должен быть загружен для eth0 и eth1, и что при этом I/O=0x300 и 0x320 соответственно. Обратите внимание на запись. Прерывания записываются как 0x, а не как в DOS 300h.

Для PCI-карт обычно достаточно alias-строк, определяющих связь между устройством (ethN) и драйвером (3c509), потому что обычно I/O спокойно определяется автоматически.

Для PCI-карт редактируйте файл conf.modules (vi /etc/conf.modules) и добавьте в него:

alias eth0 3c509

alias eth1 3c509

Проблема 2

Если драйверы вкомпилированы в ядро (монолитное ядро), проверка PCI будет находить все карты автоматически. ISA-карты также будут определяться автоматически, но в некоторых случаях нужно сделать следующее. Эта информация сохраняется в файле /etc/lilo.conf. Метод заключается в передаче аргументов для загрузки ядру, которую обычно делает LILO.

Для ISA-карт, редактируйте файл lilo.conf (vi /etc/lilo.conf) и добавьте в него:

Append="ether=0,0,eth1"

Замечание. В первый раз попробуйте загрузиться без аргументов загрузки, и только если ничего не получится, воспользуйтесь вышеприведенной строкой. В этом случае eth0 и eth1 будут назначаться в порядке, в котором карты будут определены. Так как мы перекомпилировали ядро, мы должны использовать второй метод (если драйверы встроены в ядро) для инсталляции второй Ethernet-карты в нашей системе. Помните, что он нужен только в ряде случаев для ISA-карт, PCI-карты будут определяться автоматически.

Сетевая файловая система

Сетевая файловая система - это сетевая абстракция поверх обычной файловой системы, позволяющая удаленному клиенту обращаться к ней через сеть так же, как и при доступе к локальным файловым системам. Хотя NFS не является первой сетевой системой, она сегодня развилась до уровня наиболее функциональной и востребованной сетевой файловой системы в UNIX. NFS позволяет организовать совместный доступ к общей файловой системе для множества пользователей и обеспечить централизацию данных для минимизации дискового пространства, необходимого для их хранения.

Протокол NFS

Когда клиент начинает работать с NFS, первым действием выполняется операция mount, которая представляет собой монтирование удаленной файловой системы в пространство локальной файловой системы. Этот процесс начинается с вызова процедуры mount (одной из системных функций Linux), который через VFS перенаправляется в NFS-компонент. Затем с помощью RPC-вызова функции get_port на удаленном сервере определяется номер порта, который будет использоваться для монтирования, и клиент через RPC отправляет запрос на монтирование. Этот запрос на стороне сервера обрабатывается специальным демоном rpc.mountd, отвечающим за протокол монтирования (mount protocol). Демон проверяет, что запрошенная клиентом файловая система имеется в списке систем, доступных на данном сервере. Если запрошенная система существует и клиент имеет к ней доступ, то в ответе RPC-процедуры mount указывается дескриптор файловой системы. Клиент сохраняет у себя информацию о локальной и удаленной точках монтирования и получает возможность осуществлять запросы ввода/вывода. Протокол монтирования не является безупречным с точки зрения безопасности, поэтому в NFSv4 вместо него используются внутренние RPC-вызовы, которые также могут управлять точками монтирования.

Для считывания файла его необходимо сначала открыть. В RPC нет процедуры OPEN, вместо этого клиент просто проверяет, что указанные файл и каталог существуют в смонтированной файловой системе. Клиент начинает с выполнения RPC-запроса GETATTR к каталогу, в ответ на который возвращаются атрибуты каталога или индикатор, что каталог не существует. Далее, чтобы проверить наличие файла, клиент выполняет RPC-запрос LOOKUP. Если файл существует, для него выполняется RPC-запрос GETATTR, чтобы узнать атрибуты файла. Используя информацию, полученную в результате успешных вызовов LOOKUP и GETATTR, клиент создает дескриптор файла, который предоставляется пользователю для выполнения будущих запросов.

После того как файл идентифицирован в удаленной файловой системе, клиент может выполнять RPC-запросы типа READ. Этот запрос состоит из дескриптора файла, состояния, смещения и количества байт, которое следует считать. Клиент использует состояние (state), чтобы определить может ли операция быть выполнена в данный момент, т.е. не заблокирован ли файл. Смещение (offset) указывает, с какой позиции следует начать чтение, а счетчик байт (count) определяет, сколько байт необходимо считать. В результате RPC-вызова READ сервер не всегда возвращает столько байт, сколько было запрошено, но вместе с возвращаемыми данными всегда передает, сколько байт было отправлено клиенту.

Лекция 13, 14. Информационная безопасность в ОС Linux

Вопросы лекции:

1. Антивирусная защита

2. Встроенный брандмаузер

3. Фильтрация потоков данных

4. Обеспечение сохранности паролей

5. Противодействие захвату полномочий администраторов

6. Ограничение прав пользователей

7. Борьба с компьютерными правонарушениями

Антивирусная защита

До недавнего времени считалось, что Linux не подвержен опасности заражения вирусами. Это даже преподносилось как одно из достоинств этой операционной системы. Однако в последнее время стало ясно, что это далеко не так. Впрочем, это и не удивительно, если вспомнить, что самый известный из вирусов -- червь Морриса - был создан и распространялся именно в UNIX-сетях. Просто до некоторого времени авторы вирусов не уделяли внимания Linux из-за малой распространенности этой ОС и отсутствия у них необходимых знаний о ней. Так что антивирусные утилиты становятся необходимым компонентом программного обеспечения также и на компьютерах, работающих под Linux.

К счастью, создатели антивирусного ПО тоже не дремлют. Уже выпустили версии своих известных антивирусных программ AVP (или KAV) и DrWeb для Linux. К сожалению, эти продукты распространяются на коммерческой основе. Однако обе фирмы предоставляют всем желающим "урезанные" версии своих программ, которые позволяют обнаружить заражение, но не обладают способностью лечить зараженные файлы

Встроенный брандмаузер

Фаервол (firewall) служит для защиты компьютера от хакерских атак из Интернета, отрезает возможность злоумышленникам несанкционированного доступа к вашему компьютеру. Фаервол запретит несанкционированные исходящие подключения от программ, что позволит уменьшить риск отправки в Интернет Ваших конфиденциальных данных. Помимо всего прочего, с его помощью можно ограничить возможность доступа к некоторым сайтам для пользователей данного компьютера.

В Ubuntu имеется мощнейший встроенный фаервол. Однако он не активирован «из коробки» (по умолчанию). Для работы с фаерволом в Ubuntu имеется два варианта:

1)«Linux way»: курим документалку по iptables и настраиваем Фаервол. Однако новичкам это будет довольно геморройное.

2)Вариант для тех, кто недавно сбежал с Windows, но все еще не отвык от всяких менюшек графических -- использование GUI оболочек к iptables. С ними настроить Фаервол в Ubuntu для новичка не составит проблем, поскольку все предельно ясно и просто.

Установка Firestarter:

Пишем в консоли с правами администратора:

apt-get install firestarter

Теперь запустим Firestarter. При первом запуске он захочет провести некоторые настройки. Выборы по дефолту обычно правильны. Если вы используете для интернет соединения Wifi или Беспроводной модем то выберите соответствующий тип соединения, для того чтобы Firestarter его защищал из выпадающего меню Detected Device(s). Чтобы узнать через какое устройство вы сидите в Интернете -- нажмите правой кнопкой мыши на иконку NetworkManager, выберите «Информация о Соединении» и внизу строчки будет искомый девайс. Когда закончите настройку -- сохраните настройки.

Настройка Входящих Соединений

Запускаем Firestarter и переходим в Policy Tab. Убедитесь, что выбрано значение “Inbound Traffic Policy” выпадающем списке. Потом нажмите в нижнем окошке, с заглавием Allow serviсe и нажмите Add Rule. И выберите там Samba(SMB). Без этого не будет работать Bit Torrent клиент.

Настройка исходящих Соединений

По умолчанию Firestarter разрешает все исходящие соединения. Я предлагаю сменить это правило на то, чтобы он разрешал исходящие лишь тем программам, которые вы уполномочили на это. Выбираем Outound traffic Policy и ставим птичку напротив Restrictive by Default, white list. После чего следует сформировать наш список программ, которые будут получать право выходить в Сеть.

Теперь в Allow Service добавим правило HTTP чтобы дать выход в сеть веб-браузеру Firefox и системе управления пакетами ubuntu. Затем добавим HTTPS, POP3, SMTP. Это базовый набор. Если используете ICQ -- добавляем еще и порт 5190, отвечающий за AOL IM. Ну вот и все. Теперь жмем Зеленую галочку Apply Policy и все изменения вступают в силу.

Отключаем инструменты диагностики сети

Может остановить ответы интернет диагностики, которые посылаются с Вашего компьютера. Эти инструменты полезны для решения проблем с подключением, но были и случаи когда эти же инструменты использовались хакерами для сами знаете чего. Так что советую их отрубить. Для этого жмем Edit -- Preferences -- Фильтрация ICMP и ставим галочку напротив «Enable ICMP Filtering», но те галочки которые под ней НЕ активируем. И жмем «Accept» для принятия изменений.

Вот и всё. Базовая настройка Firewall для Ubuntu произведена успешно. Фаервол теперь будет запускаться по умолчанию сразу с запуском системы.

Фильтрация потоков данных

Поток - это всего лишь последовательность байтов, которые могут быть считаны или записаны с помощью библиотечных функций, скрывающих подробности реализации и работы устройств от приложений. Одна и та же программа может считывать или отправлять данные на терминал, в файл или сетевое местоположение с помощью потоков независимо от используемого устройства. В современных средах программирования и командных интерпретаторах используются три стандартных потока:

stdin - стандартный поток ввода (standard input stream), обеспечивающий ввод для команд.

stdout - стандартный поток вывода (standard output stream), обеспечивающий отображение результатов выполнения команд.

stderr - стандартный поток ошибок (standard error stream), обеспечивающий отображение ошибок, возникающих при выполнении команд.

Фильтрация текста - это процесс получения входного текстового потока, выполнения неких преобразований над ним и передача измененных данных в выходной поток. Хотя входные или выходные данные могут поступать из файлов, в UNIX® и Linux фильтрация обычно осуществляется путем составления конвейеров из команд, в которых вывод одной команды передается по программному каналу (или перенаправляется) на вход следующей команде

...