Журнал LinuxFormat - перейти на главную

LXF81:Ответы

Материал из Linuxformat
Версия от 16:33, 16 марта 2008; Yaleks (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Содержание

VMWare не варит

Я пытался установить VMWare Player на свой ноутбук Dell Inspiron 5150, но получил сооб- щение “no vmmon modules suitable”. Попробовал удалить программу, но процесс, по-видимому, завис, и через 10 минут я его остановил. Затем я снова запус- тил установочный скрипт vmware-install.pl, но получил сообщение о том, что всё уже установлено. Хотелось бы получить совет по ликвидации программы или поиску под- ходящего модуля. Билл Эйлс [Bill Eyles]

Вы не сообщили нам, какой у Вас дистрибутив Linux, а от этого многое зависит. Во-первых, VMWare Player у Вас нормально установлен, о чем Вы и получили сообще- ние. Однако он не настроен. Для этого про- грамма установки сразу после копирования файлов запускает скрипт vmware-config.pl. Именно этот скрипт выдал ошибку об отсутствии подходящего модуля. VMWare Player поставляется с большим набором собранных модулей для различных дистри- бутивов, однако все предусмотреть невоз- можно. Например, есть модуль для SUSE 10.0, а для Mandriva 2006 его нет. Если гото- вого модуля нет, vmware-config.pl попытает- ся собрать его из исходных кодов, но для этого ему требуется компилятор C и исход- ные тексты ядра. В большинстве дистрибу- тивов компилятор устанавливается по умол- чанию, однако исходные тексты ядра чаще всего приходится устанавливать вручную. Откройте Ваш менеджер пакетов и поищите gcc и kernel-source. В некоторых дистри- бутивах, например, в Ubuntu, пакеты назы- ваются build-essential и linux-source. Но независимо от названия пакетов, исход- ные коды тексты должны быть той же вер- сии, на которой работает Ваша система. Версию ядра, на котором Вы работаете, можно узнать командой

uname -r

После установки исходных кодов ядра и компилятора запустите vmware-config.pl снова, на этот раз все должно пройти глад- ко. НБ

Простая статистика

У нас есть выделенный сервер, на котором работает Apache с мно- жеством виртуальных хостов. Я хотел бы иметь простую статисти- ку для каждого виртуального хоста без покупки дорогого пакета, который нужен не всем нашим заказчикам. Есть ли способ, не требующий дополнительных расходов? Дункан Вильямс [Duncan Williams]

Вам повезло, есть бесплатный анализатор журналов web-серве- ра, который генерирует деталь- ные отчеты в HTML – Webalizer (http://Webalizer.org).

Для Вашей задачи нужно настроить Apache на генерацию отдельного файла журнала для каждого домена:

CustomLog logs/domain.co.uk-access_log common

Следующий шаг – настройка Webalizer на анализ каждого журнала и генерацию индивидуальных отчетов. Создайте дирек- торию для файлов конфигурации: mkdir -p /etc/Webalizer/vhosts.

Скопируйте /etc/Webalizer.conf в / etc/Webalizer/vhosts для каждого вир- туального хоста. Дайте конфигурационным файлам имена доменов с расширением .conf (например, конфигурационный файл для domain.co.uk должен называться domain.co.uk.conf). Кроме того, каждый файл нужно отредактировать: как минимум, указать параметры HostName, OutputDir и LogFile. Быть может, Вам потребуются какие-то специфические настройки, напри- мер, HideReferrer, OutputDir и т.п., тогда ознакомьтесь с man-страницей по Webalizer. Типичный конфигурационный файл для одного домена выглядит так:

LogFile /var/log/httpd/domain.co.uk-access_log
OutputDir /var/www/vhosts/domain.co.uk/usage
HostName domain.co.uk

Теперь, для регулярного запуска анали- затора, создайте простой скрипт и помести- те его в /etc/cron.daily:

#!/bin/sh
for i in /etc/Webalizer/vhosts/*.conf;
do /usr/bin/Webalizer -c $i; done

Если Вам понадобится добавить домен, просто создайте для него файл конфигура- ции в /etc/Webalizer/vhosts. При следую- щем запуске скрипта для него также будет создан отчет. КК

Нет сети в сети для Firefox

Я работаю в Windows XP и раз- личных дистрибутивах Linux. Мой компьютер подключен к Интернет через маршрутизатор Netgear DG632. Я предпочитаю пользоваться про- граммами Firefox и Thunderbird, и они отлично работают в XP, однако во всех дис- трибутивах Linux, которые я пробовал, отка- зываются подключиться к сети. Тем не менее, Konqueror и KMail работают без про- блем. Я не использую прокси, и я проверил, что все настройки программ в XP и Linux идентичны. Джон Фишер [John Fisher]

Причина в том, что Firefox и Thunderbird пытаются установить соединение по протоколу IPv6, а приложения KDE по умолчанию используют более старый и широко распро- страненный IPv4. Если Ваш провайдер не использует IPv6, или Ваш маршрутизатор не поддерживает его, наблюдается именно то, что Вы описали.

Есть два решения этой проблемы. Более элегантное – обновить прошивку Вашего маршрутизатора. Некоторые изде- лия Netgear очень от этого выигрывают. Вы можете найти свежие прошивки для продуктов Netgear по адресу http://www.netgear.co.uk/product_support.php.

Другой вариант – отключить поддержку протокола IPv6 в Linux, и Firefox перестанет пытаться им вопользоваться. Для этого добавьте следующие строки в файл конфи- гурации модулей:

alias net-pf-10 off
alias ipv6 off

Имя и расположение этого файла в различных дистрибутивах отличается: в Mandriva, SUSE и Slackware это /etc/modprobe.conf, в Fedora Core, Debian и Ubuntu – /etc/modprobe.d/aliases, а в Gentoo – /etc/modules.d/aliases. НБ

Кде искать KDE

Я купил специальные выпуски вашего журнала, посвященные дистрибутивам OpenSUSE и Mandriva. Для престарелого новичка вроде меня это отличные дистри- бутивы. В журнале вы писали, что в SUSE рабочий стол по умолчанию – Gnome. Однако KDE на диске тоже есть, и я его загрузил. Для некоторых задач я пред- почёл бы KDE. Как можно организовать выбор рабочего стола при загрузке? Адам Оув [Adam Ow]

А Вы не устанавливали KDE через YaST? Если нет, запустите YaST, перейдите в Software Managment и поищите KDE (поис- ком только по имени). Позвольте менедже- ру пакетов установить все, связанное с KDE. Не беспокойтесь о зависимостях – YaST разрешит их автоматически. Еще надо обя- зательно установить пакет kdebase3- session, он позволит выбирать при загруз- ке рабочее окружение – KDE или Gnome. Когда Вы все установите, выйдите из рабо- чего стола, кликните на кнопку Сессия (Session) внизу экрана входа в систему. Вы должны увидеть KDE в списке доступных окружений.

Если же Вы хотите выбирать нужное рабочее окружение при каждой загрузке, откройте терминал суперпользователя (оба рабочих стола имеют такой пункт меню), запустите gdmsetup и отключите опцию автоматического входа. НБ

Исход – исходник

Хочу попробовать программу для обработки звука Sweep, которую вы поместили на диск к LXF78. У меня Ubuntu (Breezy Badger), и во всех справках написано только про установ- ку из репозитариев. У меня только ваш диск, Интернета нет, а как установить про- грамму с диска, я не знаю. Я скопировал архив с диска, распаковал его в домашнюю директорию, в итоге у меня куча непонят- ных файлов. Пожалуйста, научите меня устанавливать программы с диска. Мартин Топпинг [Martin Topping]

Репозитарий – самый простой путь установки программ в боль- шинстве дистрибутивов, при условии, что в репозитарии есть нужный Вам пакет и у Вас есть доступ Интернет. Однако это не единственный спо- соб установить программу: можно собрать ее из исходных кодов. Именно этим зани- маются maintainer’ы пакетов.

Файлы, которые Вы увидели после рас- паковки – исходные тексты Sweep. Их сбор- ка очень проста и не потребует от Вас каких- то специфических навыков. Откройте тер- минал, перейдите в директорию с програм- мой и запустите configure, для проверки, все ли у Вас есть для сборки программы:

cd Sweep-0.9.1
./configure

Если configure вылетит с ошибкой, значит, чего-то не хватает. Чего именно – смотрите по сообщению. Установите все, что нужно, и снова попробуйте собрать. В Ubuntu после установки обычно не хватает компилятора C, поэтому откройте в сис- темном меню Synaptic, кликните на Поиск (Search) и наберите build-essential; выбе- рите его из результатов поиска и клик- ните Применить (Apply). Затем запусти- те ./configure, чтобы узнать, чего еще недостаёт.

Когда ./configure перестанет выда- вать ошибки, запустите следующие коман- ды для сборки и установки:

make
sudo make install

Иногда ./configure уверяет, что како- го-либо пакета нету, хотя он установлен. Если это произошло, нужно установить еще и соответствующий -devel пакет, в котором есть все необходимое для сбор- ки. Некоторые пакеты, от которых зависят программы, помещаемые на наши диски, есть в директории dependencies. К сожа- лению, похоже, что не все нужные devel- пакеты имеются на Вашем диске Ubuntu. Если у Вас нет интернет-соединения, лучше использовать дистрибутив, поставляемый на нескольких CD или DVD и содержащий как можно больше пакетов. SUSE 10.1 – прекрасный выбор. НБ

RAID значит «наезд»

Я хотел бы воспользоваться LVM и создать программный RAID 1 на своем сервере под управлением Red Hat, однако по ряду причин я не могу пользоваться графической утили- той для его настройки. Можно как-нибудь обойтись без нее? Келли Дил [Kelly Deal]

Вы можете настроить RAID и LVM с помощью инсталлятора в текстовом режиме, хотя это будет посложнее. Для RAID 1 нужно как минимум 2 диска. Запустите загрузку; дойдя до этапа разметки диска, переключи- тесь на свободную консоль (Alt+F2). С помощью fdisk создайте новый раз- дел на 100 МБ для / boot на каждом дис- ке (/boot не может быть логическим томом), а также раз- дел подкачки и все остальные разделы. Смените тип всех разделов на fd для “Linux raid autodetect” и не забудьте сохра- нить изменения на диске. Если у Вас SATA-диски, то для fdisk используйте пара- метры /dev/sda и /dev/sdc; если IDE (каж- дый IDE-диск должен быть первичным на своем контроллере) – /dev/hda и /dev/ hdc; если SCSI, то /dev/sd*.

Теперь создайте собственно RAID 1 из соответствующих разделов:

mdadm --create --verbose /dev/md0 --level=raid1 --raid-devices=2 /dev/sda1 /dev/sdс1
mdadm --create --verbose /dev/md1 --level=raid1 --raid-devices=2 /dev/sda2 /dev/sdс2

Запустите RAID:

raidstart /dev/md0
raidstart /dev/md1

Посмотрите на его статус:

cat /proc/mdstat

Создание LVM; для начала создадите физический том:

lvm pvcreate -M 2 --metadatacopies 2 /dev/md1

После этого можно создать группу и активировать ее:

lvm vgcreate -A y -M 2 VolGroup00 /dev/md1
lvm vgchange -a y VolGroup00

Наконец, создайте логические тома (/, /usr, /var, /tmp, /home, swap):

lvm lvcreate -L 512M -n lvroot VolGroup00
lvm lvcreate -L 10G -n lvusr VolGroup00
lvm lvcreate -L 5G -n lvvar VolGroup00
lvm lvcreate -L 128M -n lvtmp VolGroup00
lvm lvcreate -L 2G -n lvhome VolGroup00
lvm lvcreate -L 1G -n lvswap1 VolGroup00

Логические тома могут быть уменьше- ны или увеличены, а такой конфигурации достаточно для установки (G и M озна- чает гига- и мегабайты, соответственно). Закончив, перейдите обратно в установщик (Alt+F1). Вам осталось лишь указать точки монтирования и продолжить установку. КК

Firefox и иконки

Я использую Mandrake 9.2 и Firefox 1.0.6. В моих закладках есть маленькие иконки напротив каждого пункта – для одних ресурсов это нормальные логотипы, для других – пустые листы. Я нигде не нашел, как их можно поменять. Теперь еще однО после LXF у меня в закладках идет Linux Magazine, и у него точ- но такая же иконка! Как такое может быть, и как это исправить? Ричард Меллерш [Richard Mellersh]

Эти иконки впервые были приме- нены в Internet Explorer. Если на сайте есть файл favicon.ico, большинство браузеров будут показывать эту иконку в строке адреса и в закладках. Похоже, Ваш Firefox путает сай- ты журналов о Linux, но есть способ это исправить.

Наберите в адресной строке about: config, поищите параметры browser.chrome.site_icons и browser.chrome.favicons и изме- ните их значения на false. Перезапустите Firefox и очистите кэш (Tools > Clear Private Data). После этого восстановите измененные в about:config параметры в true, перезапустите браузер снова и посе- тите нужные сайты для обновления иконок. Вместо всей этой возни можно установить расширение FavIcon Picker, которое позво- лит Вам самим изменять и удалять иконки ресурсов.

Ваша версия Firefox устарела и содер- жит уязвимости, поэтому лучше обновить браузер. Favicon Picker Вы можете скачать с http://forums.mozillazine.org/viewtopic.php?t=321562. Сохраните файл, а затем откройте его в браузере через Ctrl+0. НБ

Сканер в беде

У меня есть SCSI-сканер, имя устройства – /dev/sg0. Для управления сканером я пользу- юсь KDE, Sane и XSane. Проблема в том, что права на /dev/sg0 не дают мне доступа к нему. Когда я запускаю XSane, он сообщает, что сканер не подключен.

Владелец сканера – суперпользова- тель; устройство также принадлежит груп- пе disks, я состою в этой группе. Права по умолчанию – запись-чтение для владельца и только чтение для группы. Группе требу- ется также запись-чтение для того, чтобы нормально пользоваться сканером через Sane/XSane. Каждый раз, когда мне нуж- но что-то отсканировать, мне приходится заходить в терминал суперпользователь и менять права на устройство. К сожалению, после следующей перезагрузки все опять сбрасывается. Это произошло после обнов- ления до SUSE 10, в ранних версиях все было нормально. Мне посоветовали написать новое пра- вило для udev, полагаясь на информацию, выданную утилитой udevinfo, однако пока ни одна из этих попыток не увенчалась успехом. Кристофер Хаггинс [Christopher Huggins]

Вы правы, тут виноват udev: в более ранних версиях SUSE он не использовался. Загляните в файл /etc/udev/rule.d/50- udev.rules, там должно быть такое правило:

KERNEL==”sg*”, NAME=”%k”,GROUP=”disk”,MODE=”640”

Все, что Вам нужно для нормальной работы с устройством – заменить MODE с 640 на 660. Однако этого делать не рекомендуется, поскольку при первом же обновлении udev все вернётся к прежнему. Вместо этого создайте отдельный файл /etc/udev/rule.d/10-udev.rules и запи- шите туда такую строку:

KERNEL= =”sg*”,NAME=”%k”,GROUP:=”disk”, MODE:=”660”

:= означает, что эта настройка не будет изменена в дальнейшем. В зависимости от того, сколько человек работает за Вашим компьютером, Вам, быть может, захочется создать отдельную группу доступа к ска- неру. Тогда создайте в YaST новую группу scanner (или с помощью groupadd scanner) и поменяйте параметр GROUP в Вашем пра- виле. Теперь можете добавлять в эту группу пользователей сканера. НБ

Ограничивая SSH

Недавно я столкнулся со следую- щей задачей: мы планируем пре- доставить всем нашим разработ- чикам удаленный доступ по SSH. Одно из требований – при соединении пользовате- ли должны полу- чать текст с условиями использования предоставленно- го им доступа. Как это можно настроить в RHEL 4? И еще, я хотел бы ограничить доступ с 2-х до 4-х утра. В это время на сер- вере работают довольно ресурсоемкие скрипты, вызываемые из планировщика. Патрик Харпер [Patrick Harper]

Ограничение доступа к сервисам – основная забота системных администраторов. По поводу сообщений при соединении все очень просто ознакомьтесь с man-страница- ми по motd и issue. Но мы пойдем другим путем. Для ограничения доступа по време- ни и показа сообщения мы будем использо- вать PAM [Pluggable Authentication Modules]. PAM – мощный механизм, позволяющий использовать систему аутентификации во многих программах. Каждая программа, поддерживающая PAM, имеет свою конфи- гурацию в /etc/pam.d. Вот как выглядит /etc/pam.d/ssh по умолчанию:

#%PAM-1.0
auth required pam_stack.so 
service=system-auth
auth required pam_nologin.so 
account required pam_stack.so
service=system-auth password required pam_stack.so
service=system-auth session required pam_stack.so
service=system-auth session required pam_loginuid.so

В Red Hat есть общие правила PAM (/etc/pam.d/system-auth), но мы хотим настроить только ssh и будем править толь- ко файл /etc/pam.d/sshd. Для ограниче- ния по времени существует директива pam_time, которой мы и воспользуемся:

#%PAM-1.0
account required pam_time.so 
auth required pam_stack.so
service=system-auth 
auth required pam_nologin.so 
account required pam_stack.so
service=system-auth password required pam_stack.so
service=system-auth session required pam_stack.so
service=system-auth session required pam_loginuid.so
session required pam_motd.so
motd=/etc/sshmotd

Теперь поместите нужное сообщение в файл /etc/sshmotd, а время – в /etc/ security/time.conf:

sshd;*;*;!Al0200-0400

Будьте осторожны с PAM, это очень мощный механизм, который может полно- стью блокировать Ваш доступ в систему. Поэтому все испытания рекомендуется про- водить на тестовой машине. КК

Видео редактор

Я хотел бы немного поредактиро- вать видео в Linux. Моя цифро- вая фотокамера умеет снимать видеоролики (в QuickTime), одна- ко сохраняет их в формате mov, который не понимают ни Kino, ни Avidemux.

Я скачал Cinelerra, но в форумах эту программу называют избыточной для любительских нужд. Я попытался конвер- тировать видео в AVI из Cinelerra, чтобы воспользоваться другими программами, но обнаружил, что изменилась цветовая палитра (это видно при просмотре видео из Xine). Таким образом, я зашел в тупик. Мне нужно лишь склеить несколько роликов в один большой и сохранить его в любом приемлемом формате.

Или, нельзя как-нибудь обновить мою систему (Fedora Core 4), чтобы Kino стал понимать формат mov? С форума LXF

Вам потребуется последняя вер- сия Kino – 0.8.0, позволяющая импортировать файлы с помо- щью FFMpeg и MEncoder. В Ваш дистрибутив включена версия 0.7.6. Нужный пакет имеется в репозитарии Dries (http://dries.studentenweb.org/rpm/packages/Kino/info.html).

При первой попытке импортировать видео, Вы можете получить ошибки, напри- мер, такую:

The playlist is empty and the default preferences for video creation have not been specified – aborting. (нет плей-листа и уста- новок по умолчанию – аборт).

Для ее исправления перейди- те в настройки и выставьте параметр Normalisation в PAL или NTSC. Если у Вас установлен MPlayer, Вы также можете полу- чить ошибку «файл не найден».

Бывает, что Kino не всегда может нор- мально проиграть видеофайл с помощью MEncoder. Если это случилось, откройте /usr/share/Kino/scripts/import/media. sh в текстовом редакторе и замените 13-ю строку на следующую:

which mencoder REMOVE > /dev/null

Теперь, если Kino не найдет MEncoder, то вместо него воспользуется FFmpeg. Имя Mencoder можно изменить на любое нерас- познаваемое командой which; добавление REMOVE намекает на то, зачем это было сделано. НБ

SUSE сачкует

У меня есть два компьютера, под- ключенные через концентратор Belkin KVM к монитору KDS Visual Sensation 190. Обе машины без проблем работали на SUSE 9.3. Однако после установки SUSE 10.0 я столкнулся с трудно- стями. Система перестала опознавать раз- мер и разрешение моего монитора. Это не проблема в SUSE 9.3, поскольку там я вво- дил все вручную, и все отлично работало. А в новой версии Sax2 предложил протестиро- вать настройки. После этого монитор погас и вошел в режим энергосбережения. Так как это произошло на обеих машинах, я думаю, что что-то случилось с концентратором или самим монитором. Марк Бесяда [Mark Biesiada], Мичиган, США

Виноват, скорее всего, концент- ратор, и проверить это легкО просто подсоедините монитор напрямую к одной из машин. KVM не давал распознать монитор, а эта процедура решит проблему. Потом подклю- чите монитор к другому компьютеру и пов- торите настройку. Теперь графический сер- вер настроен на обеих машинах, и можно вновь подключить монитор через концентратор.

Кстати, похожая штука происходит при установке SUSE в виртуальной машине. Все просто нужно зайти в YaST и вручную выбрать подходящую видеокарту и мони- тор. НБ

Linux в школах

Я – администратор сети в боль- шой средней школе, заинтересо- ван в уменьшении расходов на ПО и рассчитываю, что Linux и свободные программы помогут мне в этом. Сейчас я использую FC4 как интранет- и web-сервер, однако хотелось бы расши- рить использование Linux за счет файло- вых и серверов печати, и в конечном итоге, рабочих станций. Какие дистрибутивы вы порекомендуете для серверов и рабочих станций? Есть ли какие-нибудь хорошие ресурсы с информацией об использова- нии Linux в образовании? Арти Болл [Artie Ball], Эшфорд, Кент.

Лучший совет в данном случае – скачать и попробовать несколь- ко дистрибутивов, и остановить- ся на самом удобном для Вас. Вы можете найти образы для записи на CD на http://www.linuxiso.org, там есть и Free/NetBSD (строго говоря, это не совсем Linux, но тоже бесплатно). Потом посмот- рите, какой лучше «приживётся» в Вашей среде. Я бы порекомендовал дистрибутив, поддерживающий стандарт LSB (http://www.linuxbase.org), это повышает портируе- мость приложений.

По поводу того, какой дистрибутив больше подходит для использования в образовании, однозначного ответа нет: все современные дистрибутивы хороши для обучения и развития умственных способ- ностей. И не забывайте, что можно легаль- но копировать дистрибутивы с GPL-лицен- зией и раздавать Вашим ученикам: они смогут изучать систему и дома. (См. наш материал в этом номере по поводу исполь- зования Linux в образовании). КК

OpenOffice.org

Я работаю в SUSE 10.0, которая включает в себя OpenOffice.org 2.0 build 1.9.125.1.2. У меня никак не получается настроить принтер (Canon MP760), чтобы он использовался по умолчанию. Он отлично опознается в OpenOffice.org, и тестовая печать нормаль- но проходит. Однако после перезагрузки в OpenOffice.org по умолчанию выставляется generic printer. Кен Халл [Ken Hull]

Если Вы печатаете через CUPS, то generic printer указывает на Ваш принтер и должен нормаль- но работать. Так происходит потому, что OpenOffice.org всего лишь отправляет документ программе lpr, а та использует принтер, заданный у Вас в YaST по умолчанию. Если Вы хотите сменить его, откройте терминал суперпользователя и запустите программу spadmin. Выберите System > Terminal > Terminal program – Super User Mode в меню SUSE и наберите

/usr/lib/ooo-2.0/program/spadmin

Теперь Вы можете удалить принтер, переименовать его или добавить новый. Если generic printer нормально работа- ет, просто дайте ему более осмысленное имя. Если нет – создайте новый принтер и отметьте его по умолчанию. Обратите вни- мание, что если у Вас запущен CUPS, то spadmin не позволит Вам добавить новый принтер. Нажмите на кнопку «Новый при- нтер», а затем щелкните «Отмена», и OOo заново просканирует систему в поисках принтеров. НБ

Брандмаузер

Я прочитала в вашем журнале FAQ о брандмауэрах, и заинтере- совалась защищённостью своего компьютера: вдруг кто достанет мои cookies и получит доступ о моего име- ни на те сайты которых я зарегистрирована или узнает пароль от моего ящика элект- ронной почты? Мелочь, конечно, но прият- ного мало. Я решила настроить свой бранд- мауэр через Центр управления Mandriva 2006. Уровень безопасности у меня стан- дартный (его рекомендует система для большинства случаев), там тьма разных параметров и везде стоит “по умолчанию”, но что конкретно дают мне эти параметры я не знаю, и не могу понять что мне нужно а что нет. Уровень безопасности повышать боюсь (у одного знакомого на Windows XP из-за брандмауэра невозможно стало даже в сетевой чат выйти!).

Скажите, пожалуйста, какие службы отвечают за возможность отправки писем, использования ICQ, доступ к cookies и как настроить их так, чтобы никто посторонний не мог ничего достать с моей системы, но при этом сайты имели возможность запом- нить мои реквизиты и пароль. Аня

Увеличенный уровень безопас- ности, как правило, предполагает меньший комфорт при работе с системой – Вам приходится чаще вводить пароль, вручную предоставлять доступ к службам и т.п. Поэтому Mandriva рекомендует вариант «Стандартный» – это неплохой компромисс между удобством работы и защищенностью для обычного пользователя, который не хранит на жест- ком диске по-настоящему секретные сведе- ния, например, составляющие коммерчес- кую или государственную тайну.

Занявшись защитой своего ком- пьютера, в первую очередь необходимо запретить все входящие соединения, в особенности на привилегированные пор- ты (1-1024). Если в Вашей системе не запущены Web-сервер, FTP-сервер и т.п. (или они запущены, но не должны быть доступны извне), установления легальных соединений с этими портами не предви- дится. Однако, это может повлиять на работу некоторых клиентских приложений, которые желают устанавливать входящие соединения: например, FTP-клиентов (в момент начала закачки файла сервер и клиент как бы меняются местами), клиента ICQ (это касается режима «прямого под- ключения» и передачи файлов – обмени- ваться сообщениями через сервер можно независимо от этих настроек), локальные сетевые чаты, клиенты P2P-сетей и игры. Как правило, эти проблемы решаемы, пре- имущественно, двумя путями: подгрузкой специальных модулей ядра (так обеспе- чивается работа с FTP) – это обычно обес- печивают инструменты настройки вроде Центра Управления Mandriva и так назы- ваемым «пробросом портов» – то есть разрешением входящих соединений для определенных сервисов. Например, если Вы запретили все входящие соединения, а затем разрешили принимать входящие соединения на порт 2000, то указав этот порт в настройках клиента ICQ (точное местоположение настройки зависит от конкретного клиента, обычно она находит- ся недалеко от галочки “I’m behind firewall/ NAT”), вы получите возможность обме- ниваться файлами и общаться с другими пользователями не через сервер. Какие порты необходимо открыть, обычно указа- но в документации или на сайте/форумах, посвященных той или иной программе. Учтите, что порты бывают двух типов – TCP и UDP. Протокол HTTP, по которому вы общаетесь с Web-сайтом, проброса портов не требует, поэтому, если Вы пользуетесь только web-браузером и ICQ, то вполне можете запретить все входящие соединения и не ощутить дискомфорта.

Но такой уровень защищенности – толь- ко половина дела. Ничто не совершенно, и в программах, которые вы используете (в том же Mozilla Firefox) обнаруживаются «дыры» – лазейки, позволяющие злоумыш- ленникам утянуть Ваши конфиденциальные данные, не устанавливая для этого специ- ального соединения. От этого существует одна защита – регулярно устанавливайте обновления безопасности. В принципе, и Linux, и открытые приложения содержат сравнительно небольшое число дыр, но пренебрегать этой возможностью не стоит. Наконец, помните об общих правилах гигиены – не используйте простые пароли (свое имя, дату рождения, кличку собаки и т.д.) или простые «секретные» вопросы на бесплатных сервисах (в свое время один крупный портал бесплатной почты пред- лагал в качестве «секретного» вопроса указать Ваш рост, естественно, ответ уга- дывался с 5-10 попыток методом простого перебора), старайтесь не пересылать их по незащищенному каналу (кстати, большая часть общений с Web-сайтами, за исклю- чением, пожалуй, инетрнет-магазинов с оплатой по кредитным картам, происходит без шифрования) и т.п. ВС




Персональные инструменты
купить
подписаться
Яндекс.Метрика