LXF138:Ответы
|
|
|
Содержание |
Ответы
- Есть вопрос по открытому ПО? Пишите нам по адресу answers@linuxformat.ru
1 Неполадки с Firefox
В Последнее онлайн-обновление моей копии OpenSUSE 11.1 сгубило Firefox, и он теперь зависает, выдавая такие сообщения:
XML Parsing Error: undefined entity Location: chrome://browser/content/browser.xul Line Number 34, Column 1:<window id=”main window”
Что с этим делать? Мне нужен ответ в форме, доступной 75‑летнему «чайнику», который сражается с Linux со времен OpenSUSE Live Eval 7.0. Я пробовал загрузить 64‑битную версию 11.2, но на это ушло столько времени, что, по-моему, результат действительно ошибочен. Штука с торрентом не сработала, и мне вообще-то непонятно, как употребить этот ISO, и я, выходит, получил бесполезный файл и перевел время зря.
Дэвид Хокин [David Hockin]
О Возможно, Ваша проблема вызвана дополнением, которое некорректно работает с обновленным Firefox. Проверить, так ли это, можно, запустив Firefox в безопасном режиме. Убедитесь, что программа еще не загружена, а если у Вас уже есть зависшая копия, то перезагрузите компьютер, откройте терминал и наберите в командной строке
firefox -safe-mode
Выберите опцию Disable All Add-Ons и нажмите кнопку Continue In Safe Mode. Если Firefox продолжит работать без ошибки, внесенное изменение можно закрепить. Для этого закройте программу, снова запустите ее в безопасном режиме, выберите ту же опцию и нажмите кнопку Make Changes And Restart. Все Ваши дополнения, темы и модули расширения будут блокированы, но не деинсталлированы. После этого Вы сможете запускать Firefox обычным образом. Затем зайдите в меню Tools > Add-ons и начинайте активировать свои модули расширения, по одному за раз. Тогда Вы выявите, какой модуль вызвал возникшую у Вас проблему. Но перед этим щелкните по кнопке Find Updates в окне менеджера дополнений. Дело в том, что когда расширение Firefox отказывает при запуске с новым релизом, довольно часто вскоре после выхода нового релиза выпускается и обновление, исправляющее ошибку.
Загрузка ISO-образа, особенно образа DVD, действительно способна занять длительное время даже через BitTorrent: оно зависит от того, оставят ли другие пользователи файл в общем доступе после того, как сами завершат скачивание, так что скорость скачивания может быть переменной. Протокол включает коррекцию ошибок, и если скачивание объявлено завершенным [complete], Вы можете быть уверены, что полученный файл в порядке. Для пущей уверенности разработчики большинства дистрибутивов публикуют для своих ISO-образов контрольные суммы MD5. По завершении загрузки, запустите терминал и с помощью команды cd перейдите в каталог с загруженным файлом. Запустите команду
md5sum имя_файла.iso
Она выведет строку символов, которая должна совпадать с опубликованной контрольной суммой. Этот процесс будет еще проще, если контрольная сумма предоставляется для скачивания в виде файла. В таком случае сохраните этот файл в том же каталоге, что и ISO-файл дистрибутива, и скомандуйте следующее:
md5sum -c somedistro.iso.md5
Иногда имя файла выглядит так, как в приведенной команде, а иногда разработчики используют MD5SUMS. Опция -c сообщает команде md5sum о том, что она должна сравнить контрольную сумму из файла с контрольной суммой, вычисленной для загруженного Вами образа ISO, и сообщить об их совпадении (OK) или расхождении (FAIL).
ISO-файл – это просто содержимое CD или DVD, сохраненное в виде файла. Он содержит данные точно в том же виде, как если бы они были записаны на оптический носитель. Чтобы создать диск, Вы должны прожечь содержимое этого образа на оптический носитель как ISO-образ, а не просто скопировать его на диск, как обычный файл. Большинство программ прожига CD/DVD предоставляют для этого специальную опцию в меню. В K3b это делается через меню Tools > Burn Image, причем программа подсчитает для файла контрольную сумму MD5 и отобразит ее в окне Burn Image, избавив Вас от необходимости давать вышеописанные команды. В Brasero выберите в главном окне команду Burn Image, а затем укажите нужный файл образа. НБ
2 Шифрование NFS
В Я собираюсь приобрести сетевой накопитель, а именно Qnap 210. В отличие от более дорогих моделей, это устройство не поддерживает шифрования.
Если я создам на Qnap раздел, могу ли я монтировать его через мою домашнюю сеть и шифровать его с помощью LUKS на клиентском компьютере? Или для корректной работы устройства его нужно физически подключить к компьютеру, на котором работает LUKS?
daudi, с форумов
О LUKS, или, точнее, dm-crypt, работает на блочном уровне, глубже уровня файловых систем. Это значит, что Вы не можете использовать его поверх протокола NFS. Конечно, можно создать большой файл на сервере NFS и настроить его как виртуальное loopback-устройство, но элегантности тут мало.
Есть еще пара вариантов использования шифрования на устройстве. Если Qnap поддерживает протокол сетевого блочного устройства (Network Block Device, NBD), можно настроить его как блочное устройство на Вашем компьютере, а затем сконфигурировать на нем устройство dm-crypt. Можно также воспользоваться iSCSI, но оба этих варианта будут надежно работать только в том случае, когда к устройству подключается один компьютер за один раз. Если Вы хотите, чтобы устройство совместно использовалось более чем одним компьютером, хорошим выбором будет NFS. Но тогда потребуется инструмент шифрования, который работает поверх файловой системы, а не ниже ее уровня.
Linux предоставляет Вам именно то, что требуется: зашифрованную файловую систему encryptfs. Это файловая система верхнего уровня; она располагается над другой («настоящей»), подобно давно известной encfs в Fuse, но реализована на уровне ядра. Encryptfs работает на уровне каталогов, и ее использует Ubuntu для шифрования директорий в /home. Домашние каталоги различных пользователей шифруются с различными парольными фразами [passphrases], хотя все они находятся в одной и той же файловой системе. Все нужные опции уже будут активированы в ядре любого стандартного дистрибутива; Вам останется установить инструменты пространства пользователя [userspace tools] через Ваш менеджер пакетов, после чего поискать ecrypt. На устройстве NAS делать ничего не надо.
Пусть у Вас есть два каталога, /mnt/crypt и /mnt/plain. Первый находится на примонтированном ресурсе NFS, расположенном на Вашем устройстве NAS (это не обязательно должен быть корень файловой системы NFS), а второй – локальный, и оба каталога пусты. Чтобы настроить зашифрованный примонтированный каталог, дайте от имени root следующую команду:
mount -t ecryptfs /mnt/crypt /mnt/plain
Вам предложат ввести парольную фразу и ответить на ряд вопросов, позволив принять настройки по умолчанию, после чего Ваша точка монтирования будет готова. Создайте файл в каталоге /mnt/plain, и Вы увидите, что тот же файл появится и в каталоге /mnt/crypt, но только он зашифрованный. Отмонтируйте каталог /mnt/plain, и незашифрованный файл исчезнет – до тех пор, пока Вы снова не примонтируете этот каталог. Доступной окажется только зашифрованная версия. Прочесть данные без ввода парольной фразы будет невозможно; Вы еще лучше защитите их, если ответите «да» на вопрос о том, хотите ли Вы шифровать также и имена файлов. Если ответить на этот вопрос «нет», то имена файлов в каталоге /mnt/crypt останутся читаемыми.
Когда Вы перемонтируете файловую систему, Вам снова придется ответить на те же самые вопросы, что скоро начнет Вас бесить, если необходимо проделывать это часто. Но эти опции, которые уже находятся в правильном формате в файле /etc/mtab, можно добавить и в файл /etc/fstab. Чтобы увидеть строку, которую надо вставить в fstab, скомандуйте
grep ecryptfs /etc/mtab
Ради экономии на вставке полученной строки можно просто перенаправить вывод данной команды. Если Вы хотите, чтобы пользователи могли монтировать файловую систему, добавьте в список опций слово user; это позволит им монтировать зашифрованную файловую систему, но для чтения и записи на эту файловую систему им все равно потребуются определенные права доступа.
Можно сделать еще очень многое: например, поместить парольную фразу не в файл fstab в виде незашифрованного текста, а в файл, правом чтения которого обладает только суперпользователь-root. Дополнительная информация – на сайте http://ecryptfs/sourceforg.net/README. МС
3 Один в двух лицах
В Я сделал большую глупость. Я установил Ubuntu 10.04 на свой дополнительный компьютер просто из любопытства, и чтобы отличить этот компьютер от своего основного, я задал другие входное имя и пароль пользователя. Теперь я хочу скопировать некоторые каталоги и файлы с основного компьютера на дополнительную машину через внешний жесткий диск, и у меня, скорее всего, должны возникнуть проблемы, поскольку у этих файлов будут разные владельцы.
Я думаю, что мог бы перезагрузить Ubuntu 10.04 на дополнительном компьютере с использованием того же имени пользователя и пароля, что и на основном компьютере, но я надеюсь, что вы подскажете мне более простой и быстрый метод.
catgate, с форумов.
О Файловые системы используют численные идентификаторы пользователей и групп (UID и GID) для распознавания владельцев файлов, а операционные системы используют файлы /etc/passwd и /etc/group для преобразования между именами и идентификаторами. Ubuntu, как и большинство дистрибутивов, нумерует учетные записи пользователей, начиная с 1000, так что первый пользователь, для которого создается учетная запись во время установки, получит UID и GID, равные 1000, на любом компьютере, вне зависимости от фактического имени, которое вы введете. Пароль тут роли не играет: он нужен для аутентификации конкретного пользователя операционной системой, а не файловыми системами. Убедиться в этом Вы можете, просмотрев запись для Вашего пользователя в файле /etc/passwd, которая должна выглядеть примерно так:
nelz:x:1000:1000:Neil Bothwick:/home/nelz:/bin/zsh
Поля этой записи разделяются двоеточиями, и Вас интересуют первое, третье и четвертое из них – имя пользователя, UID и GID. Если UID и GID в двух системах совпадают, то Вы можете получить доступ к диску от имени основного пользователя в обеих системах.
Кроме того, можно просмотреть численные идентификаторы владельцев файлов командой ls с опцией -n (или --numeric-uid-gid). Эта опция аналогична опции -l в том, что выводит более подробную информацию о каждом файле, но вместо имен пользователя и группы она выводит численные идентификаторы.
Если идентификаторы на двух компьютерах различны, есть два способа изменить их. Команда
chown -r newuser: /home/olduser
сменит идентификаторы пользователя и группы владельца для всего содержимого каталога /home/olduser, какими бы ни были старые значения. Возможно, это не то, чего Вам на самом деле хочется, поскольку каталог может содержать файлы, принадлежащие разным пользователям. Тогда дайте команду
find /home -uid 1001 -exec chown 1000: “{}” +
Она найдет все файлы, для которых значение UID установлено на 1001, и установит это значение равным 1000. Символ двоеточия, следующий сразу же за новым значением UID, указывает команде chown и на необходимость исправления идентификатора группы. НБ
4 Перестройка на CD
В Я загрузил пару дистрибутивов Live CD, которые хочу модифицировать, добавляя/удаляя некоторые файлы. Для монтирования я применяю команду mount -o loop /путь/к/iso /путь/к/точке_монтирования. Пытаясь отредактировать содержимое ISO, я получаю от Nautilus сообщение «permission denied». Я проверил настройку полномочий с помощью Nautilus; выполнил команду chown над файлами, входящими в состав ISO; попытался использовать опцию remount, чтобы установить для файлов полномочия rw. Нет ли еще какой-нибудь опции, которую надо передать команде mount из-за опции loop, о которой man-страница толком не объясняет?
Во-вторых, я хотел прожечь ISO-образы CD на DVD с другого PC под управлением Linux, но K3b требует вставить болванку CD-R, хотя мне нужно создать загрузочный DVD. Подумал о genisomage, но опций на man-странице оказалось столько, что я даже не пойму, с чего начать. Есть идеи?
Рег [Reg]
О
И файловая система ISO9660, применяемая на CD, и ее «кузина» UDF с DVD – файловые системы только для чтения. Поэтому сообщение команде mount о том, что их надо примонтировать с полномочиями rw, ничего не меняет. Запустите команду mount без аргументов или просмотрите файл /proc/mounts, и Вы увидите, что примонтированный образ наделен полномочиями ro. При желании изменить содержимое ISO-образа примонтируйте его, скопируйте его содержимое в каталог на жестком диске, внесите необходимые изменения и соберите новый ISO-образ.
Все это кажется достаточно несложным, но есть несколько «подводных камней». Первый – файлы сохраняются в ISO-образе с правами «только на чтение», потому что иное не имеет смысла при прожиге носителя, предназначенного только для чтения. Поэтому такие же права доступа будут иметь и файлы, скопированные на жесткий диск. Кроме того, владельцем этих файлов будет пользователь root. Проблема решается командами
sudo chown -R имя_пользователя:/путь/к/содержимому/ISO chmod -R u+w /путь/к/содержимому/ISO
Теперь Вы сможете внести изменения в копию файловой системы на жестком диске, а затем требуется создать из этой копии новый ISO-образ. Создание загрузочного диска немного сложнее, чем кажется, потому что mkisofs (или genisoimage) для создания загрузочного образа требуют установки некоторых опций, а для корректной работы эти опции обязаны быть такими же, как у оригинала. К счастью, если для создания образа использовалась утилита mkisofs, то указанные ей опции сохранятся в ISO-образе, и Вы можете извлечь их с помощью команды isodebug, например, так:
isodebug -i lxfdvd136.iso ISO-9660 image includes checksum signature for correct inode numbers. ISO-9660 image created at Wed Jul 28 14:56:34 2010 Cmdline: ‘3.00 -rdlJ -cache-inodes -inputcharset iso8859-1 -allow-leading-dots -hide-rrmoved -dir-mode 555 -A Linux Format 136 DVD -V LXFDVD136 -o lxfdvd136.iso -boot load-size 4 -no-emul-boot -boot-info-table -b boot/i386/loader/isolinux.bin -c boot/i386/ loader/boot.cat dvd’
Цифры 3.00 – это номер версии mkisofs, использованной для создания образа, а все прочее – аргументы, переданные mkisofs, поэтому Вы с легкостью сможете восстановить команду, собравшую исходный образ.
Если Вы хотите изменить файловую систему среды Live, придется распаковать и модифицировать образ файловой системы, содержавшейся на DVD – обычно это файловая система squashfs. Дойдя до данного этапа индивидуальной настройки дистрибутива, лучше всего обратиться к инструментарию, предоставляемому конкретным дистрибутивом. Например, в Fedora это будет Revisor, а в OpenSUSE – Kiwi.
CD и DVD отличаются друг от друга не только размером, и обычно образ CD на носитель DVD-R записать нельзя, потому-то K3b и отказывается такое делать. Вы можете попробовать обойти все проверки с помощью growisofs, но успеха это не гарантирует:
growisofs -dvd-compat -Z /dev/dvd=/путь/к/образу.iso
НБ
5 Беспроводное барахлит
В Моя проблема в том, что встроенный беспроводной адаптер моего Dell 1545 работает с Lucid Lynx, только если я загружаюсь с Live CD. Выполнив полную установку ОС, я не могу использовать беспроводное соединение ZoomMobile через мой беспроводной маршрутизатор D-Link! После включения ноутбука и загрузки Ubuntu 10.04 с Live CD, все успешно стартует.
Через какое-то время (при этом беспроводной маршрутизатор остается включенным) появляется всплывающее сообщение от апплета Network Manager (расположенного на правой границе панели, находящейся на верхней границе окна Gnome) и спрашивает меня, хочу ли я использовать проприетарный драйвер беспроводной карты. Ответив на этот вопрос утвердительно, я получаю возможность начать web-серфинг.
Но при полной установке Ubuntu 10.04 на жесткий диск такого сообщения не появляется.
Стэнли Боб-Карл Озэмена [Stanley Bob-Carl Ozoemena]
О Драйвер, используемый этим беспроводным адаптером, не включен в стандартную инсталляцию, но его можно добавить после загрузки установленной копии системы. Для этого потребуется проводное соединение с сетью, поэтому подключите Ethernet-порт Вашего ноутбука к маршрутизатору и дождитесь сообщения, что соединение через eth0 установлено. Затем выберите опции System > Administration > Hardware Drivers. Загрузится новейшая информация, Ваша система просканируется в поисках оборудования, которому нужны проприетарные драйверы, и будет обнаружен Ваш беспроводной адаптер. Вполне возможно, что Вам предложат выбрать, какой драйвер Вы предпочитаете – B43 или STA. Драйвер B43 – это открытый модуль, включенный в ядро Linux, но он не работает со всеми чипсетами Broadcom – в частности, с тем, что встроен в мой ноутбук Dell. Поэтому выберите драйвер Broadcom STA и нажмите кнопку Activate. Когда инсталляция завершится, а драйвер в окне Hardware Drivers отобразится как активированный, отключите сетевой кабель и перезагрузите компьютер (чтобы убедиться в том, что все остальные драйверы беспроводных устройств не загружены в память).
После этого Network Manager отобразит Ваше беспроводное соединение, и Вы сможете выбрать точку доступа, ввести парольную фразу и мгновенно подключиться к Интернету. НБ
6 Хостинг домена
В Я уже несколько лет приписан к интернет-провайдеру (ISP) Plusnet, и все было довольно хорошо, за вычетом пары инцидентов. У меня есть доменное имя и выделенный IP-адрес. Какие варианты мне будут доступны, если я перейду к другому провайдеру, возможно, TalkTalk или Sky? Понимаю, что выделенного IP-адреса у меня больше не будет, но я хотел бы сохранить свое доменное имя и, возможно, поддерживать хостинг для собственной почты и web-сервера из дома. Что нужно для этого предпринять?
Рой Льюис [Roy Lewis]
О Я бы рекомендовал Вам организовать хостинг для Вашего доменного имени у отдельного хостинг-провайдера, а не у Вашего ISP. Тогда при переходе от одного интернет-провайдера к другому Вам понадобится только изменить настройки хостинг-провайдера, и Ваш домен по-прежнему будет работать, даже если у Вашего ISP возникнут технические проблемы. Процедура изменения зависит от страны Вашего домена, но домены .uk переносить довольно легко. Вы запрашиваете у своего нового провайдера их IPS-тэг [Internet Provider Security tag], а затем просите текущего провайдера изменить тэг для Вашего домена на новый. Для разных доменов эта процедура отличается. Наилучшим вариантом будет найти хостинг-провайдера, способного удовлетворить Ваши запросы; по всей видимости, Вам не требуется web-пространство, а нужна просто «парковка» для домена. Поинтересуйтесь деталями – некоторые провайдеры выполнят всю работу за Вас.
Хостинг с предоставлением только домена очень дешев; некоторые даже дают его бесплатно и берут комиссию за обновление доменного имени. Возможно, это обойдется Вам даже дешевле, чем у Вашего текущего ISP. Посмотрите рекламные объявления в Linux Format или спросите совета на форумах. Вы даже мо-жете поддерживать собственный хостинг для своего web-пространства с динамическим IP-адресом, с помощью такого сервиса, как dyndns.org, но для электронной почты это довольно рискованно, потому что в промежутке между изменением Вашего IP-адреса и обновлением базы данных DynDNS и его распространением по другим DNS-серверам Ваша почта может уходить «в никуда». Если Вы действительно хотите поддерживать собственные серверы, лучше всего найти ISP, который предоставляет статический IP-адрес. НБ
7 Ubuntu Earth
В Как установить Google Earth на 64‑битную Ubuntu 10.04? У меня есть какой-то Google Earth, который создает архивный файл Debian, но как его выполнить?
Алекс Йорвик [Alex Jorvik]
О При загрузке в Ubuntu Deb-файла Вам обычно предлагается либо сохранить этот файл, либо выполнить установку. Если Вы сохранили файл, или загрузили его на другом компьютере на USB-носитель, можно установить его из командной строки, выполнив команду
gdebi-gtk Downloads/googleearth-version.deb
где замените имя полным именем конкретного файла, который Вы загрузили, или просто дважды щелкните мышью на загруженном файле.
Для этого Вам потребуется программа Gdebi, поставляемая в составе Ubuntu и большинства его производных. Если этой программы у Вас нет, можно установить пакет из командной строки, скомандовав
sudo dpkg --install package-name.deb
Но всегда лучше будет воспользоваться системным менеджером пакетов. Google Earth не входит в стандартные репозитории Ubuntu, но доступна из очень полезного репозитория Medibuntu (http://medibuntu.org), который Вы можете добавить к Вашему списку репозиториев в Synaptic, выбрав команды Settings > Repositories, перейдя в группу опций Other Settings и нажав кнопку Add. Тут Вам предложат ввести «строку APT», с информацией о репозитории для Synaptic. Каждый репозиторий должен сообщать Вам такую строку, которую можно вставить прямо в это поле. На странице Howto репозитория Medibuntu есть довольно сложный вызов команды, добавляющий репозиторий и ключи GPG, необходимые для аутентификации всех пакетов, устанавливаемых из этого репозитория, но фактически строка APT выглядит так:
deb http://packages.medibuntu.org/ lucid free non-free
Сделав это, Вы сможете устанавливать любые пакеты Medibuntu, включая Google Earth, через Synaptic. Если Вы почему-либо не хотите добавлять лишний репозиторий, можете загрузить отдельные пакеты с сайта http://packages.medibuntu.org и установить их с помощью Gdebi, но тогда Вы не будете автоматически получать извещений о наличии обновлений. ГМ
8 Путаница с Samba
В У меня есть ноутбук, настольный компьютер и сетевой накопитель (NAS), и на всех этих устройствах есть учетные записи с одним и тем же именем пользователя в удобочитаемом формате, но с разными UID и GID. Почему для этих целей нет единого стандарта? Для Ubuntu номера UID начинаются с 1000, для моего NAS — с 7000, а для Slackware — c 500.
Из-за этого усложняется настройка разделяемых ресурсов Samba. Это не было очевидным при настройке NAS и не слишком часто упоминается как общая проблема. В итоге отображаются верные данные регистрации, но при монтировании присваиваются не те полномочия. Нельзя ли установить одни и те же значения UID и GID на всех машинах, и нет ли для этого специального приложения?
Ник Брукс [Nick Brooks]
О Наилучший вариант – предпринять синхронизацию номеров UID и GID на всех Ваших машинах. На сегодняшний день стандартом считается нумерация UID, начинающаяся с 1000, хотя раньше эти номера начинались с 500, отсюда и другая начальная точка нумерации в Slackware.
Мне не извстны никакие специнструменты, выполняющие синхронизацию автоматически, но достаточно отредактировать файл /etc/passwd на двух Ваших машинах так, чтобы они совпадали с номером UID на третьей машине.
Я бы рекомендовал изменить UID на машинах NAS и Slackware, поскольку нумерация, начинающаяся с 1000, вероятно, будет создавать меньше проблем в будущем.
Не следует загружать файл /etc/passwd непосредственно в редактор: используйте команду vipw. Это «обертка», которая передает файл в редактор и проверяет корректность Ваших изменений, прежде чем перезаписать оригинал; это делается в предосторожности против блокирования доступа себе самому в процессе редактирования критически важных файлов. Еще две команды – vigr и visudo – выполняют аналогичные функции.
Как следует из «говорящего» имени команды, для редактирования файлов она обращается к Vi (который применяется по умолчанию); но на практике вызывается редактор, заданный в Вашей среде переменной окружения EDITOR. И если Вам по какой-либо причине не симпатичен Vi, можете установитьдля переменной окружения EDITOR в своем профиле значения nano или joe.
Затем Вам понадобится изменить владельцев файлов, что лучше всего сделать с помощью команды find:
find /home -uid 500 -exec chown someuser: “{}” +
Она найдет все файлы, принадлежащие пользователю с UID 500, в домашнем каталоге, и передаст их команде chmod, которая установит правильный UID для имени пользователя. Использование + вместо ; для завершения команды -exec ускоряет обработку, так как при этом производится обработка такого количества файлов, на которое способна командная строка.
Кроме того, можно настроить систему так, чтобы всем новым пользователям присваивались аналогичные UID: для этого на всех своих компьютерах от имени root отредактируйте файлы /etc/login.defs. Поменяйте значение UID_min на 1000, а значение SYS_UID_MAX установите в 999. Тогда новые пользователи каждой из машин всегда будут получать UID с минимальным значением, превышающим 1000, из числа свободных.
Этот подход хорошо работает при статичной конфигурации, но если Вам часто приходится добавлять новых пользователей, Вам, возможно, потребуется использовать списки контроля доступа (ACLs), чтобы обеспечить более точный контроль над пользовательскими полномочиями. НБ
9 Надежность и переносимость
В Я хочу носить с собой документы на USB-флэшке, но некоторые из них конфиденциальны, и мне нужен метод их шифрования. Сложность в том, что мне необходим доступ к этим файлам как из Windows, так и из Linux. Нет ли программы для шифрования содержимого флэшки, работающей и под Linux, и под Windows, чтобы без опасно переносить доку-менты и получать к ним доступ откуда угодно?
Пол Томпсон [Paul Thompson]
О Вероятно, лучшим выбором для Вас будет TrueCrypt (http://truecrypt.org) – кросс-платформенная система шифрования. Существуют два способа ее применения с USB-флэшкой. Первый – шифровать все устройство; этот простейший подход подразумевает, что ПО TrueCrypt установлено на всех компьютерах, с которых Вы собираетесь читать файлы. Это удобно, если надо переносить файлы только с работы домой или из дома на работу. Альтернативный вариант – установка зашифрованного контейнера в файле образа на USB-брелке, а на оставшемся пространстве установить ПО TrueCrypt для Windows и Linux. Это даст Вам преимущество хранения на оставшемся месте других файлов, не нуждающихся в шифровании.
Установите TrueCrypt из репозиториев Вашего дистрибутива, как любую другую программу, запустите вновь установленное ПО и нажмите кнопку Create Volume для запуска программы-мастера. В следующем окне Вам предложат создать зашифрованный контейнер в файле (более гибкий вариант) или зашифровать весь раздел. Затем укажите файл, применяемый как контейнер. Не используйте существующие файлы: они будут перезаписаны, а не зашифрованы. В руководстве пользователя TrueCrypt описаны опции шифрования, выбираемые в следующем окне, но можно спокойно оставить их по умолчанию.
Самый важный – следующий шаг: надо выбрать хорошую парольную фразу не короче 20 символов, включая буквы и спецсимволы. В следующем окне Вам предложат выбрать файловую систему для использования внутри контейнера. FAT обеспечит максимальную совместимость между платформами. Подвигайте мышью около минуты, а затем нажмите кнопку Format, чтобы создать зашифрованный контейнер.
Закрыв программу-мастер, вернитесь в главное окно и нажмите кнопку Select File. Выберите созданный Вами файл, нажмите кнопку Mount и введите парольную фразу. Шифрованный том примонтируется к /media/truecrypt1; нажатием кнопки Options в окне запроса пароля точку монтирования можно сменить. Если на компьютере, с которого Вы хотите работать с контейнером, нет ПО TrueCrypt, можно запускать его в портабельном режиме. Загрузив 32‑разрядные пакеты TrueCrypt для Windows и Linux, запустите их под своими ОС. Пакет для Linux сперва надо распаковать. Установщик для Windows можно запустить с помощью Wine. В обоих случаях извлеките файлы из пакета, а не выполняйте установку. Установщик Windows поместит файлы TrueCrypt в текущий каталог, а установщик Linux создаст tar-архив в каталоге /tmp, и его нужно будет распаковать. Скопируйте файлы Windows TrueCrypt.exe и Linux truecrypt на USB-брелок, и Вы сможете запускать их оттуда без инсталляции. НБ
Шаг за шагом: Шифрованный контейнер с TrueCrypt
- 1 Файл или диск
- Сначала выберите, хотите ли вы использовать файл-контейнер или зашифруете все устройство. Зашифрованный контейнер дает более гибкие возможности.
- 2 Опции шифрования
- Вариантов выбора алгоритма шифрования много, но опции, предложенные по умолчанию, подойдут большинству людей.
- 3 Следите за размером
- На USB-флэшках, отформатированных под FAT, размер контейнера не должен превышать 4 ГБ. Если нужен больший объем, шифруйте все устройство или используйте файловую систему NTFS.
- 4 Самый важный выбор
- Шифрование бесполезно без надежной парольной фразы. Соблюдайте рекомендации, приведенные в этом окне.
- 5 Монтирование зашифрованного контейнера
- Создав зашифрованный контейнер, выделите файл контейнера и нажмите кнопку Mount, а затем введите пароль.
- 6 Добудьте Windows-версию программы
- Воспользуйтесь Wine для запуска установщика Windows и извлеките Windows-версию программы на USB-флэшку.
Часто задаваемые вопросы: Компиляция ядра
- Ядро у меня уже есть. Зачем мне компилировать новое?
- Ядра, поставляемые с дистрибутивами, включают поддержку для широкого диапазона аппаратных устройств, но не всеобъемлющего. И сборка нового ядра из исходников с kernel.org обычно позволяет получить более новую версию, что тоже может быть важно для вас.
- Где брать исходные файлы для ядра?
- Стандартные исходные файлы ядра можно загрузить с http://www.kernel.org или найти их на любом из наших DVD. Большинство дистрибутивов используют исходники с заплатками, и некоторые их инструменты могут зависеть от этих заплаток. Установить исходный пакет, соответствующий вашему текущему ядру, можно через обычные средства управления пакетами вашего дистрибутива. Ищите пакет c именем вроде kernel-source или linux-sources. Совместимые версии обычно доступны в тестовом репозитории вашего дистрибутива.
- Какие файлы нужно использовать?
- Лучшим выбором будут исходные коды с заплатками для вашего дистрибутива. Если вы хотите наложить собственные заплатки или использовать последнюю версию ядра, лучше всего брать исходники kernel.org.
- Как следует компилировать и устанавливать ядро?
- Чтобы выполнить установку из tar-архива kernel.org, скачайте архив и выполните от имени root следующие команды:
cd /usr/src tar xjf /path/to/downloaded/linux x-y-z.bz2 rm -f linux ln -s linux-x.y.z linux
- Здесь x.y.z – версия ядра, скажем, 2.6.36. При установке из дистрибутивного пакета эти шаги выполнятся за вас автоматически. Какой бы метод вы ни избрали – выполнив вышеупомянутые действия, дайте следующие команды, чтобы запустить меню настройки:
cd /usr/src/linux make menuconfig
- Пошагово пройдите все опции и задайте их по своему усмотрению. Если надо найти конкретную опцию, то ядро 2.6 предоставляет функцию поиска. Нажмите клавишу / и введите строку для поиска, после чего увидите все опции, касающиеся введенной вами строки. Закончив настройку параметров, выйдите из меню, сохраните настройки, затем выполните компиляцию и установку.
- Как это делается?
- Во-первых, если у вас отдельный раздел /boot, убедитесь, что он примонтирован. Затем скомандуйте:
make make modules_install make install
- или, одной командой,
make modules_install install
На первом шаге скомпилируются ядро и модули, на втором – установятся модули, а на третьем – само ядро установится в каталог /boot. Затем создадутся символьные ссылки между новым ядром и /boot/vmlinuz и между старым ядром и /boot/vmlinuz.old. Если в вашем загрузочном меню есть опции для обоих ядер, в процессе загрузки вы сможете выбирать между ними, что очень важно в том случае, если новое ядро окажется неработоспособным. Кроме того, команда install создает резервную копию вашей конфигурации ядра в каталоге /boot.
- Это все, что мне необходимо знать?
- Если вы пользуетесь загрузчиком Grub, то все. Но если у вас загрузчик Lilo, необходимо будет запустить /sbin/lilo, чтобы велеть Lilo загружать новое ядро, а не старое.
Краткая справка про… Вежливость
Помните, как мама учила вас вежливости? Она хотела, чтобы вы были дружелюбнее к другим детям и не забирали все игрушки себе. То же применимо к программам, запускаемым на вашем компьютере. У вас конечное число циклов работы процессора, выделяемых на все ваши приложения; и если одна программа заберет львиную их долю себе, пострадают другие программы. Linux поставляется с командой, заставляющей программы вести себя вежливее, и она называется nice. Bы можете запустить ее так:
nice любая_программа
или
nice -n 5 любая_программа
Число после -n – это приращение «вежливости» программы. По умолчанию программы запускаются с «вежливостью» 0 (чем выше число, тем «вежливее» запускаемая программа); программы уступают программам с меньшей вежливостью, но будут иметь приоритет над программами с большей вежливостью. Цифра в команде nice добавляет значение к существующему: так, дважды запустив nice -n 5, получим вежливость, равную 10.
Наивысшая вежливость равна 19, и она специально предназначена для использования процессора, только когда он никому не нужен. Программы, запущенные с таким параметром, могут работать очень медленно, но на реакции системы это никак не скажется. Обычный пользователь может только увеличивать значение вежливости, но при наличии доступа root можно также вводить отрицательные значения. Сломать систему очень легко, поэтому «строить» программы разрешается только суперпользователю.
Хотя nice помогает в загрузке процессора, она ничего не может поделать с программами, требующими частого доступа к диску и заклинивающими процессор ожиданием ввода/ вывода. Решение данной проблемы – ionice: она делает со вводом/выводом то же, что nice с процессором.