21 декабря 2007

Russian policycoreutils translation

En: As a selinux-policy, policycoreutils in Fedora 8 now have Russian man pages (since package version 2.0.33-2). Thanks Anton Arapov and Andrew Martynov for corrections! My next goal for translation is libselinux.

Ru: Со вчерашнего дня в Fedora 8 доступны переводы справочной документации по пакту policycoreutils:

[root@andrey ~]# rpm -ql policycoreutils | grep "ru/man"
/usr/share/man/ru/man1
/usr/share/man/ru/man1/audit2allow.1.gz
/usr/share/man/ru/man1/secon.1.gz
/usr/share/man/ru/man8
/usr/share/man/ru/man8/audit2why.8.gz
/usr/share/man/ru/man8/chcat.8.gz
/usr/share/man/ru/man8/fixfiles.8.gz
/usr/share/man/ru/man8/genhomedircon.8.gz
/usr/share/man/ru/man8/load_policy.8.gz
/usr/share/man/ru/man8/open_init_pty.8.gz
/usr/share/man/ru/man8/restorecon.8.gz
/usr/share/man/ru/man8/restorecond.8.gz
/usr/share/man/ru/man8/run_init.8.gz
/usr/share/man/ru/man8/semanage.8.gz
/usr/share/man/ru/man8/semodule.8.gz
/usr/share/man/ru/man8/semodule_deps.8.gz
/usr/share/man/ru/man8/semodule_expand.8.gz
/usr/share/man/ru/man8/semodule_link.8.gz
/usr/share/man/ru/man8/semodule_package.8.gz
/usr/share/man/ru/man8/sestatus.8.gz
/usr/share/man/ru/man8/setfiles.8.gz
/usr/share/man/ru/man8/setsebool.8.gz

Спасибо Андрею Мартынову и Антону Арапову за исправления и комментарии. Следующая цель для переводов - libselinux.

18 декабря 2007

Confining Samba with SELinux (in Russian)

En: As Dan Walsh wrote he started updating the man pages for different confined domains. So, I will update Russian version because now in Fedora 8, Russian man pages are still based on old version of man pages.

Ru: Страницы руководств по сконфигурированным (для которых существует политика SELinux) доменам не обновлялись с 2005 года. Недавно Dan Walsh начал переписывать ряд руководств, приводя описание к современному состоянию политик. Обновленная страница samba_selinux уже в Fedora 7/8. Перевод же в дистрибутиве пока не доступен (точнее, там мой старый перевод на основе старого же оригинала). Новый:

$ man samba_selinux
samba_selinux(8) Samba Selinux Policy documentation samba_selinux(8)

НАЗВАНИЕ
samba_selinux - Защита Samba при помощи SELinux

ОПИСАНИЕ
Security-Enhanced Linux обеспечивает защиту сервера Samba при помощи гибко настраиваемого мандатного контроля доступа. По умолчанию политика SELinux для Samba использует принцип наименьших привилегий. Для настройки того, как SELinux работает с Samba, существует ряд переключателей (booleans) и контекстов файлов.

ОБЩИЙ ДОСТУП К ФАЙЛАМ
SELinux требует наличия у файлов расширенных атрибутов, определяющих тип файла. Политика управляет видом доступа демона к этим файлам. Когда вы предоставляете общий доступ к файлам, у вас есть несколько вариантов как пометить файлы. Если вы хотите предоставить общий доступ к файлам/директориям за пределами домашних или стандартных директорий, этим файлам/директориям необходимо присвоить контекст samba_share_t. Например, при создании специальной директории /var/eng, необходимо установить контекст для этой директории при помощи утилиты chcon.

# chcon -R -t samba_share_t /var/eng

Однако назначенные таким образом метки не сохранятся при выполнении операции обновления меток. Наилучшее решение - сделать эти изменения постоянными. Для этого требуется рассказать системе SELinux об этих изменениях. Команда semanage может изменить назначенный по умолчанию контекст файлов на вашей машине. А команда restorecon прочтет файл file_context и установит описанные контексты для файлов и директорий..

# semange fcontext -a -t samba_share_t ’/var/eng(/.*)?’
# restorecon -R -v /var/eng

ОБЩИЙ ДОСТУП К ДОМАШНИМ ДИРЕКТОРИЯМ
По умолчанию политика SELinux запрещает удаленный доступ к домашним директориям. Если вы настроили эту машину как сервер Samba и желаете предоставить доступ к домашним директориям, вы должны установить переключатель samba_enable_home_dirs.

# setsebool -P samba_enable_home_dirs 1

СОВМЕСТНОЕ ВЛАДЕНИЕ ФАЙЛАМИ
Если вы хотите организовать между несколькими доменами (Apache, FTP, rsync, Samba) совместный доступ к файлам, то вы можете установить контекст файлов в public_content_t и public_content_rw_t. Данный контекст позволяет любому из выше перечисленных демонов читать содержимое. Если вы хотите, чтобы конкретный домен имел право записи в домен public_content_rw_t, вы должны установить соответствующий переключатель allow_ДОМЕН_anon_write. Таким образом, для samba вы должны выполнить:

# semange fcontext -a -t public_content_rw_t ’/var/eng(/.*)?’
# restorecon -R -v /var/eng
# setsebool -P allow_smbd_anon_write 1

ОБЩИЙ ДОСТУП К СИСТЕМНЫМ ФАЙЛАМ
Замечание: Вы не должны применять действия, описанные выше, к стандартным или домашним директориям! Например, директориям, принадлежащим RPM. Если вы хотите сделать /usr доступным через Samba, то изменение контекста этой директории и всех поддиректорий на samba_share_t - плохая идея. Дело в том, что другие сконфигурированные домены не смогут получить доступ на чтение к /usr, что может вызвать катастрофические последствия для машины. Для предоставления общего доступа к стандартным директориям существуют два переключателя (booleans). Если вы хотите предоставить общий доступ только на чтение к любой стандартной директории, вы можете установить переключатель samba_export_all_ro.

# setsebool -P samba_export_all_ro 1

Данный переключатель позволяет Samba прочесть каждый файл в системе. Аналогично, если вы хотите предоставить общий доступ Samba ко всем файлам и директориям в системе, установите samba_export_all_rw

# setsebool -P samba_export_all_rw 1

Этот переключатель позволяет Samba читать и писать каждый файл в вашей системе. Таким образом, в случае компрометации Samba серверу может угрожать серьезная опасность.

ОБЩИЙ ДОСТУП К NFS ФАЙЛАМ
По умолчанию политика SELinux запрещает демонам Samba чтение/запись nfs ресурсов. Если вы используете Samba для предоставления общего доступа к файловым системам NFS, то вам нужно включить переключатель samba_share_nfs

# setsebool -P samba_share_nfs 1

ИСПОЛЬЗОВАНИЕ CIFS/SAMBA ДЛЯ РАЗМЕЩЕНИЯ ДОМАШНИХ ДИРЕКТОРИЙ
Политика SELinux для Samba запрещает любому сконфигурированному приложению доступ к удаленным samba-ресурсам, смонтированным на вашей машине. Если вы хотите использовать удаленный сервер Samba для хранения домашних директорий вашей машины, то необходимо установить переключатель use_samba_home_dirs.

# setsebool -P use_samba_home_dirs 1

СКРИПТЫ SAMBA
Samba можно настроить для исполнения пользовательских скриптов. По умолчанию если вы инсталлируете такие скрипты в /var/lib/samba/scripts, то они будут помечены как samba_unconfined_script_exec_t. Так как эти скрипты могут использоваться для различных действий в системе, вы можете запускать их как несконфигурированные. Но при этом вам необходимо включить переключатель samba_run_unconfined

# setsebool -P samba_run_unconfined 1

Если вы пишете собственную политику, в файле samba.if описан интерфейс, называемый samba_helper_template(APP). Этот интерфейс создает файловый контекст samba_APP_script_exec_t, и домен samba_APP_script_t. Samba запускает скрипт, помеченный samba_app_script_exec_t, в домене samba_APP_script_t. Далее при помощи audit2allow вы можете создать политику для своего скрипта.

ИСПОЛЬЗОВАНИЕ SAMBA В КАЧЕСТВЕ КОНТРОЛЛЕРА ДОМЕНА
Если вы хотите использовать samba как контроллер домена, то есть добавить машины в файл passwd на сервере под управлением Linux, вам нужно включить переключатель samba_domain_controller. Это позволит демону Samba запускать и осуществлять переход в домены утилит passwd, useradd и groupadd. Данные утилиты предназначены для манипуляций базой данных passwd.

УТИЛИТА С ГРАФИЧЕСКИМ ИНТЕРФЕЙСОМ system-config-selinux
Для управления всеми описанными выше контекстами файлов и переключателями SELinux можно использовать утилиту с графическим интерфейсом system-config-selinux.

АВТОРЫ
Эту страницу руководства написал Dan Walsh.
Перевод руководства - Андрей Маркелов, 2007г.

СМОТРИ ТАКЖЕ
selinux(8), semanage(8), samba(7), chcon(1), setsebool(8), restorecon(8),

dwalsh at redhat com 9 Ноября 2007 samba_selinux(8)

07 декабря 2007

Hello Planet Fedora!

I've been reading Planet Fedora for a long time, and was very pleased to see the first blog in russian (my native language). Thank you Seth Vidal for adding me as well.
I am RHCE/RHCI in a russian Red Hat Partner company. Most of the articles in my blog are about Fedora/RHEL/SELinux. In Fedora project I work in mosttly as a translator.

06 декабря 2007

Руководство по безопасности RHEL5

На днях NSA (АНБ) опубликовало руководство по настройке безопасной конфигурации RHEL 5 (читай Fedora, Scientific Linux, CentOS, StartCom и т.д.). Руководство в формате PDF доступно здесь. В объеме 170 страниц изложены пошаговые рекомендации, затрагивающие множество вопросов, начиная с защиты системы в целом и заканчивая конкретными службами.

05 декабря 2007

Настоящее Open Source пиво

Вчера на первом этаже магазина в Tate Modern впервые увидел FREE BEER (version 3.2) от Корнуэльской пивоварни St.Austell Brewery (кстати, рекомендую их Tribute). На этикетке значиться: FREE BEER is based on classic ale brewing traditions, but with addded Guarana for a natural energy boost. The recipe and branding elements of FREE BEER is published under a Creative Commons (Attribution-ShareAlike 2.5) license, which means that anyone can use the recipe to brew their own FREE BEER or create a derivative of the recipe. Во как!


Судя по информации с сайта, впервые пиво было представлено в Tate Modern еще летом этого года в качестве участника выставки «Социальные системы». Продается оно по ₤3.95 (свободный!=бесплатный). И на вкус оказалось совсем не плохим :) Кстати, на официальном сайте http://freebeer.org уже доступны «исходники» версии 3.4 :) Неплохая идея для пивных стартапов :)

06 ноября 2007

Часть 2.2. SELinux. MLS и MCS: что с чем едят. MCS

Разберемся, что такое MCS и как ограничить пользователям (в том числе и администратору) доступ к информации при помощи категорий SELinux. Продолжаем разговор, начатый постами:

Часть 1. SELinux. Максимальный уровень защиты – бесплатно.
Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.

Итак, если воспользоваться преимуществами многоуровневой системы безопасности (multilevel security - MLS) можно только при использовании «строгой» (strict) политики SELinux, то поддержка мульти-категорийной безопасности (MCS) доступна нам в «целевой» (targeted) политике, используемой по умолчанию. В качестве тестовой машины будем использовать RHEL 5.0, но, по большому счету, это не принципиально. Перечисленные базовые вещи должны одинаково работать на всех последних Fedora/RHEL/CentOS/etc, поставляемых с политикой, собранной из Reference Policy. Выполним команду
[root@dhcppc5 ~]$ seinfo | grep Cat
Sensitivities: 1 Categories: 1024
Мы видим, что нам доступно 1024 категории и один тип чувствительности данных. Что это означает? Вспомним, как выглядел контекст безопасности в FС4 и RHEL4:
user:role:type
Такого контекста безопасности вполне достаточно для организации контроля доступа средствами RBAC и TE. Впрочем, если говорить о работе с целевой политикой, где главный инструмент – TE, пользователь и роль нас особенно не интересует. В MLS политике (а рассматриваемая мульти-категорийная безопасность – это подмножество MLS) контекст расширен и включает два уровня безопасности (security level):

user:role:type: sensitivity[:category,…][- sensitivity[:category,…]]

Первым указывается обязательный текущий уровень (low или current), затем через символ дефиса – наивысший разрешенный уровень (high или clearance). Каждый из двух возможных уровней безопасности включает в себя обязательную часть – чувствительность (sensitivity) данных и ноль или больше категорий (category). Sensitivity в целевой политике всегда будет s0. Чувствительности данных, отличные от 0, зарезервированы для государственных и военных организаций и используются только в политике MLS («секретно», «совершенно секретно» и т.п.). Собственно, то, что нам доступен только один уровень чувствительности и 1024 возможных категорий, мы уже видели в выводе команды seinfo. Кстати, число категорий и чувствительностей данных можно поменять, если вы решите пересобрать политику из исходных кодов. Как и для перекомпиляции ядра, у вас должна быть весомая причина, чтобы этим заниматься. Политика SELinux - модульная, и чаще всего нам приходиться компилировать только отдельные модули. Далее мы не будем касаться работы с sensitivity, а сосредоточимся на категориях.

По умолчанию возможности MCS доступны, но не используются в целевой политике. Все файлы имеют чувствительность s0 и не имеют назначенных категорий. Поэтому если вы в выводе команды ls –Z не видите уровня безопасности, хотя и используете политику с поддержкой MCS, знайте, что он равен s0.

Категории обозначаются как с0, с1,… c1024. Для повседневной работы это не очень удобно. Для того чтобы можно было работать с «говорящими» категориями, в Fedora/RHEL по умолчанию запущен демон mcstransd. Он использует конфигурационный файл /etc/selinux/<имя_политики>/setrans.conf. Наиболее «правильным» способом работы с конфигурационными файлами SELinux является использование утилиты semanage, появившейся в Fedora Core 5.

Из man-страницы semanage(8):


semanage используется для настройки некоторых элементов политики SELinux без необходимости модификации или повторной компиляции исходного текста политики. В число таких настроек входит сопоставление имен пользователей Linux пользователям SELinux (которые контролируют исходный контекст безопасности, присваиваемый пользователям Linux во время их регистрации в системе, и ограничивают доступный набор ролей). Также в число настраиваемых элементов входит сопоставление контекстов безопасности для различных видов объектов, таких как: сетевые порты, интерфейсы, сетевые узлы (хосты), а также контексты файлов.

Вводим команду, показывающую существующие имена уровней безопасности:

[root@dhcppc5 ~]# semanage translation -l
Level Translation
s0
s0-s0:c0.c1023 SystemLow-SystemHigh
s0:c0.c1023 SystemHigh

Как и ожидалось, напротив уровня безопасности s0 у нас пробелы, что мы собственно и видим при выводе команды ls –Z. При помощи команды semanege с ключевым словом translation и опциями -a, -d и -m можно добавлять, удалять и модифицировать имена категорий. Пока что после каждого изменения необходимо перезапускать демон mcstransd. В отличие от уровней чувствительности данных, категории не представляют собой иерархической структуры. Точка в синтаксисе обозначает диапазон категорий, запятая отделяет диапазоны и отдельные категории.

Теперь посмотрим, к каким категориям разрешен доступ пользователям:

[root@dhcppc5 ~]# semanage login -l

Login Name SELinux User MLS/MCS Range

__default__ user_u s0
root root SystemLow-SystemHigh

Рядовым пользователям по умолчанию разрешен доступ только к s0. Отлично, давайте добавим новую категорию.

[root@dhcppc5 ~]# semanage translation -a -T chaos s0:c20
[root@dhcppc5 ~]# service mcstrans restart

Добавим категорию пользователю. Обратите внимание, что сейчас мы работаем с пользователями Linux (ключевое слово команды login) а не SELinux (ключевое слово user)

[root@dhcppc5 ~]# semanage login -a -r chaos butters

Теперь можно зайти пользователем butters, создать файл в /tmp, и посмотреть, сможет ли пользователь, не имеющий доступ к категории chaos, прочитать этот файл:

[butters@dhcppc5 tmp]$ touch /tmp/butters_file

[cartman@dhcppc5 tmp]$ ls -Z /tmp/butters_file
-rw-rw-r-- butters butters user_u:object_r:tmp_t:chaos /tmp/butters_file
[cartman@dhcppc5 tmp]$ cat /tmp/butters_file
cat: /tmp/butters_file: Permission denied

При этом в /var/log/audit/audit.log мы увидим сообщение:

type=AVC msg=audit(1194279634.604:130): avc: denied { read } for pid=10770 comm="cat" name="butters_file" dev=dm-0 ino=655970 scontext=user_u:system_r:unconfined_t:s0 tcontext=user_u:object_r:tmp_t:s0:c20 tclass=file

Кстати, если воспользоваться утилитой audit2allow:

[root@dhcppc5 ~]# cat /var/log/audit/audit.log | audit2allow -l
allow unconfined_t tmp_t:file read;

мы увидим, что с категориями она работать не умеет, а, значит, от чтения журналов нам все равно не уйти ;) Собственно, это и правильно. audit2allow в первую очередь предназначена для решения проблем с TE.

Можно удалить категорию chaos, чтобы позволить остальным доступ к файлу

[butters@dhcppc5 tmp]$ chcat -- -chaos butters_file

Той же самой командой можно добавить категорию для файла. Если файлу назначено несколько категорий (точнее – уровней безопасности), то пользователь должен иметь доступ ко всем категориям для работы с файлом.

При проведении этого маленького эксперимента не пользуйтесь командой su. Заходите с новой консоли или по ssh. Дело в том, что su не меняет текущий SELinux-контекст пользователя:

[cartman@dhcppc5 tmp]$ su -
Password:
[root@dhcppc5 ~]# cat /tmp/butters_file
cat: /tmp/butters_file: Permission denied

Что теперь? А теперь мы используя нашу стандартную целевую политику, которая включена по умолчанию, мы можем запретить системному администратору просмотр не предназначенных для него файлов.

В двух словах идея такова:
1. Создаем специальную категорию и специальных пользователей (сотрудников отдела ИБ).
2. Даем доступ к специальной категории только этим специальным пользователям.
3. Присваиваем semanage эту категорию, а сотрудникам ИБ даем возможность запускать этот файл через sudo.
4. В зависимости от ситуации, также поступаем с chcon и chcat.
5. Закрываем пользователю root возможность зайти в систему. Ограничиваем физический доступ. Оставляем su.
6. Все равно остается ряд проблем :) Строгая и MLS политика в этой ситуации подходит лучше, но и описанный вариант – жизнеспособен.

В следующем посте я постараюсь сделать небольшой обзор всех доступных в интернет и в off-line источников информации посвященных SELinux. К сожалению, в основном все на английском языке. Русскоязычных статей и переводов явный недостаток.

04 ноября 2007

Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.

Продолжаем разговор, начатый постом «Часть 1. SELinux. Максимальный уровень защиты – бесплатно».

Вслед за сообщениями о сертификации Red Hat Enterprise Linux 5 по Common Criteria EAL4+ (c расширениями LSPP, RBACPP и CAPP) на серверах HP и IBM, компания HP объявила о начале предоставления услуги поддержки конфигурации RHEL с включенной многоуровневой системой безопасности (multilevel security -MLS).

Что здесь понимается под MLS? MLS – это еще одна форма принудительного контроля доступа (mandatory access control - MAC), доступная нам при использовании SELinux. Политика с поддержкой MLS является опциональной и для большинства пользователей она будет намного менее полезной, чем принудительный контроль на основе Type Enforcement (TE) – основного механизма, используемого в SELinux. Но MLS – это «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись.

Политика MLS базируется на формальной модели Bell-LaPadula. В терминах этой модели все субъекты (для простоты - процессы) и объекты (файлы) имеют свой уровень допуска. Субъект с определенным уровнем допуска имеет право читать и создавать (писать/обновлять) объекты с тем же уровнем допуска. Кроме того, он имеет право читать менее секретные объекты и создавать объекты с более высоким уровнем. Субъект никогда не сможет создавать объекты с уровнем допуска ниже, чем он сам имеет, а также прочесть объект более высокого уровня допуска.

Уффф… Надеюсь, я вас не запутал. По-английски это формулируется намного короче:
«write up, read down» и «no write down, no read up».

Для поддержки MLS традиционный контекст SELinux, состоящий из трех частей: пользователь, роль и тип, был дополнен уровнем допуска. Уровень допуска состоит из диапазонов чувствительности данных (например, «секретно», «ДСП») и категорий данных («отдел кадров», «отдел финансовой отчетности»). Подробно мы поговорим об уровнях доступа, когда речь зайдет о мульти-категорийной безопасности (MCS), которую можно использовать и в «умолчальной» целевой политике.

Переходим к техническим деталям реализации, а вернее – к эксперименту с их использованием. Как опциональная, политика MLS доступна начиная с Fedora Core 5. Именно тогда разработчики перешли с использования оригинальной Example Policy на Reference Policy от Tresys. MLS нельзя установить интерактивно через Anaconda (но можно установить при использовании kickstart-файла). На установленной системе даем команду

yum –y install selinux-policy-mls

Тем самым мы устанавливаем базовый модуль MLS, появившийся в RHEL третьим после «целевой» (targeted) и «строгой» (strict) политики. Собственно, этот третий вариант политики и появился в RHEL для соответствия сертификации EAL4+ LSPP. Данная политика поддерживает принудительный контроль доступа TE, RBAC, и, естественно, модель Bell-LaPadula. Далее нам нужно поправить /etc/sysconfig/selinux, сказав, что теперь используется наша новая политика MLS. Меняем policy=targeted на policy=mls. Теперь, поскольку все файлы на существующей ФС создавались во время работы «целевой» (targeted) политики, нам необходимо обновить SELinux-контексты для всех файлов. Самый простейший/правильный способ – команды

touch /.autorelabel; init 6

Когда появиться меню загрузчика GRUB, нажмите «a», и в конец строки, определяющей параметры загрузки ядра, добавьте enforcing=0. Это (естественно, только на время до перезагрузки) переведет SELinux в «разрешительный» режим, когда правила отрабатываются и файлы создаются с правильным контекстом безопасности, но ограничения, налагаемые политикой SELinux, не применяются. Нам это нужно для того, чтобы ничто не помешало обновить контекст безопасности файлов. Ваша система загрузиться так, если бы SELinux был отключен, и все контексты будут обновлены (если вы не ошиблись при наборе touch /.autorelabel) . Теперь настало время снова перезагрузится, но уже без параметра enforcing=0. Перед перезагрузкой убедитесь, что работает демон sshd. В принципе можно обойтись и без перезагрузки, зайдя в текстовую консоль как пользователь root и отдав команду


setenforce 1

Кстати, выбор политики и необходимость обновления контекста безопасности файлов во время перезагрузки можно произвести из GUI, используя system-config-selinux.



После перезагрузки зайдите на машину по ssh. Дает ли доступ к привилегиям команда su? А sudo? А получится ли перевести SELinux в «разрешительный» режим или вообще выключить? Нет. Попробуйте создать файл из-под учетной записи root, а потом простым пользователем посмотреть его метаданные командой ls. «Вместо строчки – только точки».
Также после перезагрузки вы уже не сможете работать с X Window (как не запустится и ряд других служб). Хотя бы из-за того, что будет существовать возможность скопировать информацию из окна терминала с высоким уровнем допуска в терминал с низким.

Привести свою тестовую (подчеркиваю, тестовую!) систему в исходное состояние вы сможете снова перегрузившись с параметром ядра enforcing=0 и выбрав «целевую» политику.

Написание «строгой» MLS политики весьма сложная и комплексная задача. И от версии к версии политика становиться более гибкой, охватывая большее число служб. Для простого пользователя многоуровневая безопасность – излишество. Для большинства задач достаточно того уровня безопасности, который достигается при использовании включенной по умолчанию «целевой» политики SELinux. Однако, и в рамках «целевой» политики можно использовать реализацию мульти-категорийной безопасности (MCS), о чем мы и поговорим в продолжении этого поста «Часть 2.2. SELinux. MLS и MCS: что с чем едят. MCS». А пока ждем выхода Fedora 8! ;)


Кстати, благодаря Dan Walsh, там уже должны появиться некоторые из моих переводов руководств по SELinux на русском.

История Англии: Window Tax

В последнее время увлекаюсь изучением истории Англии. Так вот, знаете ли вы, что словосочетание «налог на окна» («Window Tax», или, как следует из Wikipedia, иногда - «Microsoft Tax»), которое у «айтишников» ассоциируется с необходимостью платить за пре-инсталлированную OEM-версию операционной системы, поставляемую вместе с ПК, даже если вы не собираетесь ее использовать, это – реально существовавший когда-то налог.


Этот налог был введен в 1696 королем Вильгельмом III, и отменен только лишь в 1851 году (год Всемирной Промышленной Выставки). Смысл кажущегося сейчас абсурдным большинству людей налога в том, что чем больше у вас окон в доме, тем больший налог вы платите. Доходило до того, что домовладельцы специально заколачивали в домах часть окон, а в Эдинбурге так и вовсе был построен квартал с домами без окон.

Впрочем, и современный «налог на окна» некоторые считают абсурдным и ухудшающим конкуренцию в соответствующем сегменте рынка.

22 октября 2007

Перевод отличной книги по ядру ОС

Последние несколько месяцев я веду в журнале «Системный администратор» рубрику обзоров «Книжная полка». Это позволяет оставаться в курсе книжных новинок русскоязычной литературы, не тратя время и деньги на походы по книжным магазинам. И вот сегодня, просматривая новинки, наткнулся на книгу, IMHO абсолютный «must buy», которая у меня займет место на полке рядом с «Операционными системами» Эндрю Таненбаума и «Внутренним устройством Microsoft Windows...» Руссиновича и Соломона. В оригинале «Understanding the Linux Kernel (3rd Edition)» я приобрел еще год назад. А теперь отечественному читателю издательство «БХВ-Петербург» предоставило возможность ознакомиться с этой классической книгой по устройству ядра современной открытой операционной системы и на русском. В переводе книга вышла под названием «Ядро Linux, 3-е издание». В руках книжку я еще не держал, так что про качество перевода пока ничего не скажу.

Update. За качество перевода, наверное, можно не волноваться. Сейчас получил комментарий по аське от давнего товарища Валентина Синицина который уже долгое время пишет новости для Линуксцента, а сейчас и редактор Linux Format RE. В качестве редактора этой книги выступал именно он.

17 октября 2007

Еще одна площадка для блогов

На прошедшей неделю назад конференции для сертифицированных тренеров Microsoft Ренат Минаждинов (MSFT) рекламировал новый ресурс itcommunity.ru в качестве площадки для блогов it-профессионалов. Ну, раз нас всех туда звали - встречайте, и не жалуйтесь, что в текстах слово "Linux" встречается :)

Этот пост должен появиться параллельно с оригинальным блогом и на itcommunity.ru. С импортом же старых сообщений движок почти справился, опустив, правда, некоторые теги. Кстати, на itcommunity.ru, насколько я понял, используется то же ПО что и на itblogs.ru Михаила Елашкин (communityserver.org). Там как раз проблем с импортом не было. Плюс форматирование в ряде случаев расползается. Видимо, не тестировали под Firefox, но, учитывая статус беты на логотипе, это, безусловно, простительно.

15 октября 2007

AppArmor от Novell больше "не от Novell"?

Когда говорят о мандатном контроле доступа (MAC) в Linux, обычно сравнивают Novell AppArmor (система более простая в использовании) и Fedora/RHEL SELinux (система, обеспечивающая более комплексную защиту). Так вот, на днях стало известно, что Novell уволил лидера проекта AppArmor Crispin Cowan вместе с еще четырьмя разработчиками, работавшими над этим проектом. Cowan, ошеломленный увольнением, не собирается бросать свое детище. Он создал консалтинговую компанию Mercenary Linux, и, видимо, ждет, когда ее кто-нибудь поглотит: "If somebody loves us and one day wants to acquire Mercenary, that's great."

26 сентября 2007

С переводами policycoreutils и selinux-policy закончил :)

Понемногу дело движется... Закончил переводы man-страниц policycoreutils (20 страниц) и selinux-policy (8 страниц). Соответственно, bug #250741 и bug #306521. Оттуда же можно скачать непосредственно сами переводы в tar.gz. Когда переводы появятся в самом дистрибутиве, как я понимаю, зависит от maintainer'а пакетов.

02 сентября 2007

«Пасхальные яйца»: Авиасимулятор в Google Earth

Вчера на Slashdot встретил информацию о том, что в последнюю версию Google Earth вслед за звездным небом встроили и подобие авиасимулятора.


Первый раз попасть в симулятор можно по комбинации клавиш Ctrl+a (в Windows-версии Ctrl+Alt+a). Второй и последующие разы можно использовать как ту же комбинацию, так и появившийся после первого запуска новый пункт в меню «Инструменты».

Доступны два самолета – SR22 и F-16. Рекомендую первый из них, так как он обладает меньшей скоростью полета и позволяет в большей степени насладиться расстилающимся под крылом «пейзажем». Полный список клавиш управления доступен тут. Также без проблем заработал и джойстик.

21 июля 2007

Ассоциативный тест: Open Source или Microsoft?

В одном из блогов прочитал о забавном тесте, разработанном в Harvard и позволяющем определить, чему вы подсознательно отдаете предпочтение: Open Source или Microsoft. Тест основывается на том, что вам нужно на скорость «раскидать» в две «кучи» понятия из областей Open Source/Microsoft, Good/Bad. Тест занимает не более 5 минут и, наверно, ничего нового не откроет, но все равно очень занятно. В общем, полезно для людей, которые, в зависимости от проекта, работают с теми или иными продуктами. Чтобы перестали врать самим себе :)



17 июля 2007

EAL4+ для RHEL5: HP не отстает от IBM

Выбор – это хорошо. "Железо" от HP, плюс RHEL5 (c включенным мандатным контролем доступа) вслед за IBM получило абсолютно такую же сертификацию Common criteria EAL4+ (c расширениями LSPP, RBACPP и CAPP), как и парой недель раньше - сервера "голубого гиганта".

16 июля 2007

Перевод man-страниц policycoreutils (SELinux)


Вечера вечером начал перевод man-страниц утилит из пакета policycoreutils (основные утилиты для работы с политиками SELinux). Двадцать руководств различного объема планирую закончить через 1-2 недели. В качестве некой основы в переводе терминов я взял .po-файл (который, кстати, "вытянут" из Fedora) из того же пакета. Однако, в сообщениях, выводимых утилитами, присутствуют не все встречающиеся термины. Поэтому приходиться пытаться подбирать какие-то русские термины.

В качестве сервиса для размещения общедоступных черновиков выбрал http://selinux.ru.googlepages.com/ - удобная служба от вездесущего Google для быстрого создания маленьких сайтов (до 100М). После перевода всех двадцати руководств, надеюсь, все это будет доступно в составе базового пакета в SELinux-enabled дистрибутивах. В настоящее время информация на страничке активно обновляется – комментарии/замечания/исправления крайне приветствуются.

01 июля 2007

Размышления, навеянные статистикой

Хотя Россия - единственная из европейских стран, где локальные поисковики пользуются большей популярностью, чем традиционные поисковые сервисы от Google и Microsoft, по моим наблюдениям среди знакомых «айтишников», большинство из них предпочитают Google. Возможно, это из-за того, что ответ на свой вопрос вы с большей вероятностью найдете на английском - «языке оригинала». Вот и отпадает необходимость в локально-ориентированном Yandex.

С другой стороны, Yandex, по моим наблюдениям, предпочитает новое поколение «айтишников», которым знание английского-то, впрочем, и не нужно. С учетом того внимания, которое Microsoft уделяет поддержке русского языка в своих продуктах, своевременным переводам руководств и документации, множеству (даже!) узкоспециализированных и качественных книг от различных издательств, IMHO, успешным Microsoft-ориентированным специалистом можно стать и без знания языка. Кстати, работа в эту сторону продолжается – форумы Microsoft на русском, а в будущем обещают и русскоязычную социальную сеть IT-профессионалов. И это, наверно, здорово. С другой стороны, не очень здорово, когда возникает такой диалог по «аське»:

- Привет! Я тут прочел твою статью. У меня вопрос как то-то и то-то...

- Привет! Вот. (ссылка например, на сообщение в списке рассылки).

- А чонить на русском нет?


- :(


У меня-то и самого, конечно, проблемы с языком, но в IT используется достаточно небольшое его подмножество. Вполне можно не знать как по английски «флипать с космодрома», но как «запустить скрипт» выучить достаточно не сложно...

Отдельную категорию, наверно, составляют специалисты по 1С, которым предпочтительнее как-раз отечественный поисковый сервис.

Собственно, статистика переходов (за пол-года) c поисковых систем на мою домашнюю страничку со статьями как раз показывает:

Тройка лидеров:

Google – 70,73%
Yandex – 28,72%
MSN – 0,21%

Еще статистика показала, что в Болгарии Linux, наверно, популярнее чем в России :) По ссылке на слайды Fedora c linux-bg.org народу пришло больше, чем по ссылкам с популярных отечественных Linux-сайтов :) На counter.li.org Россия, кстати, на 98 месте, а Болгария на 26. Впрочем, это очень относительный показатель...

29 июня 2007

Часть 1. SELinux. Максимальный уровень защиты – бесплатно

Пару недель назад в новостях промелькнуло сообщение о том, что Red Hat Enterprise Linux на серверах IBM получил уровень сертификации по безопасности EAL4 Augmented with ALC_FLR.3. Это наивысший уровень сертификации, который когда-либо достигался операционной системой. Кроме RHEL5 эта планка достигнута лишь Trusted Solaris. Такой уровень как правило не нужен при внедрениях в коммерческих организациях, но он открыл дорогу для участия в проектах связанных с правительственными и военными организациями США. До этого другие дистрибутивы Linux уже имели подтвержденный уровень доверия EAL4, но без сертификации Labeled Security Protection Profile (LSPP).

Что важно нам, «простым смертным», - нет необходимости платить никому ни копейки для того, чтобы получить на своей машине столь же высокий уровень защиты, какой требуется в военных ведомствах. Как известно, Enterprise Linux строится на кодовой базе Open Source проекта Fedora (прежнее название Fedora Core). Забавно, что в RHEL5 Server более 300 пакетов даже не пересобирались специально под Enterprise Linux – это видно по тегу fc6 в имени пакета (в RHEL5 тег - el5). Так что в ряде случаев общий не только код, но и сами «бинарники». Fedora же совершенно бесплатно доступна для скачивания. Сравнение Enterprise Linux и Fedora приведено здесь.

Итак, каким же образом обеспечивается соответствие столь высокому критерию безопасности? В немалой степени это стало возможным благодаря SELinux (Security-Enhanced Linux) - реализации системы мандатного контроля доступа (MAC), которая может работать (и работает по умолчанию) параллельно с классической дискреционной системой контроля доступа (DAC).

Оставаясь в рамках DAC, мы имеем фундаментальное ограничение в плане разделения доступа пользователей к ресурсам – доступ к ресурсам основывается на правах доступа пользователя. Это классические права rwx на трех уровнях – владелец, группа-владелец и остальные. Плюс к этому, POSIX ACL, которые лишь расширяют число уровней, на которых можно определить права, но не более.

Таким образом, любое приложение, запущенное с правами usera, теоретически может сделать все что угодно со всеми данными, к которым имеет доступ usera. И не важно, например, что данное приложение – это почтовая программа, которой нужно иметь доступ только к письмам usera. Эта программа будет иметь доступ и, например, к видеофайлам usera, и к картинкам usera. И мало того, что сама программа имеет доступ, но она же может и все эти данные сделать доступными остальным. Все становиться гораздо хуже, когда usera имеет UID=0 (то есть это root). Мы утыкаемся в классическую «проблему суперпользователя». В данном случае мы получаем всего лишь два уровня доступа: root и обыкновенные пользователи. Иными словами, становиться невозможным реализовать доступ с использованием минимально необходимых привилегий.

В MAC же права доступа определяются самой системой при помощи специально определенных политик. Если же говорить конкретно о рассматриваемой реализации – SELinux, то такие политики работают на уровне системных вызовов и применяются самим ядром (но можно реализовать и на уровне приложения). SELinux изначально был разработан АНБ США, а в настоящий момент является Open Source-проектом и входит в стандартное «ванильное» ядро Linux. Коммерческая поддержка доступна уже более двух лет в составе RHEL4.

SELinux действует после классической модели безопасности Unix. Иными словами, через SELinux нельзя разрешить то, что запрещено через права доступа пользователей/групп. Политики описываются при помощи специального гибкого языка описания правил доступа. В большинстве случаев правила SELinux «прозрачны» для приложений, и не требуется никакой их модификации. В состав Fedora/RHEL входят готовые политики, в которых права могут определяться на основе совпадения типов процесса (субъекта) и файла (объекта) – это основной механизм SELinux. Две других формы контроля доступа – доступ на основе ролей и на основе многоуровневой системы безопасности (например, ДСП, секретно, совершенно секретно).

Самый простой для работы и поддержки с точки зрения ИТ службы предприятия тип политики - так называемая «целевая» политика, разработанная в рамках проекта Fedora. Эта политика устанавливается и включается по умолчанию и в RHEL4, и в RHEL5 и является единственной, поддерживаемой Red Hat в составе стандартных контрактов поддержки, политикой. В рамках политики описано более 200 процессов, которые могут выполняться в RHEL5 (в RHEL4 описано намного меньше, в том числе httpd,squid,pegasus,Mailman,Named, dhcpd,mysqld, nscd,ntpd,portmap,postgresql,snmpd,syslogd,winbindd). Все, что не описано «целевой» политикой, выполняется в домене (с типом) unconfined_t. Процессы, работающие в этом домене, не защищаются SELinux. Таким образом, все сторонние пользовательские приложения будут без всяких проблем работать в системе с «целевой» политикой в рамках классических разрешений DAC.

Кроме «целевой» политики, в состав дистрибутива входит политика с многоуровневой моделью безопасности (с поддержкой модели Bell LaPadula). Коммерческая поддержка этой политики доступна в RHEL5 со специальной лицензией и только для серверных систем с ограниченным числом установленных пакетов и без X Window System. Именно системы с данной политикой теперь имеют сертификацию EAL4+/LSPP.

Третий вариант политики - «строгий». Тут действует принцип «что не разрешено, то запрещено». Политика основывается на Reference Policy от компании Tresys. Данная политика не имеет коммерческой поддержки в RHEL.

Графическая утилита настройки system-config-selinux

Fedora и RHEL, безусловно, не единственные дистрибутивы, поддерживающие SELinux. Достаточно вспомнить Debian и Hardened Gentoo. Но, на мой взгляд, именно в Fedora/RHEL воспользоваться преимуществом мандатного контроля доступа наиболее просто «из коробки». Для удобства управления в состав дистрибутива входят графические утилиты управления и мониторинга от Red Hat и Tresys.

В дальнейших постах блога я предполагаю более подробно коснуться SELinux и привести ссылки на ресурсы в Интернет.

Update. Продолжение разговора о SELinux:
Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.
Часть 2.2. SELinux. MLS и MCS: что с чем едят. MCS

05 июня 2007

Windows XP глазами пользователя Linux :)

Тут «пробегАли» достаточно давно появившиеся вещи типа «Анти-GPL» и т.д. Наверно, будет не очень зазорно запостить «баян» про впечатления от Windows XP, человека, ранее работавшего под Linux. Автор утерян – найдено на просторах Интернет. Конечно, многие вещи слишком преувеличены (все-таки это, скорее всего, в раздел «Юмор»). Да и XP, видимо, рассматривается еще без SP, судя по замечаниям про брандмауэр..

«Я устанавливаю windows ХР, как мне установить мой домашний каталог на отдельный раздел, чтоб в случае чего не потерять мои файлы? Читать документацию и создавать файл unattended? а что это собственно такое? и в чем мне его создавать?

Мне нравится reiserfs, но кроме fat и ntfs, других файловых систем не предлагается, но мне они не нравятся, reiser не требует дефрагментации, быстрее и лучше работает с маленькими файлами, у меня их будет много, как мне поставить ХР на reiser ? Никак?

Машина будет работать в офисе, с документами, где нет интернета, как мне отменить установку всего, связанного с сетью и интернетом? При установке вообще нельзя ничего выбрать!
А в чем мне тексты набирать? Офисный пакет в дистрибутив тоже не входит.. так он дороже чем windows стоит!!! Да, попал я... И картинки подправить не в чем... Ладно, антивирус купил, теперь офис покупать... Ворованное нельзя - мигом арестуют, у нас контора на видном месте. Опенофис поставить, что ли? ....»

Ну и так далее...
Один из «оригиналов» тут.
Еще раз. Это не сравнение. Это субъективное. Это баян. Это юмор.
Приятного чтения! А я пойду 2277 в памяти освежать – вечером нужно заниматься пропагандой продуктов Microsoft :)

10 мая 2007

Слайды учебного курса по Fedora Core Linux - 2

Работа над курсом по ОС Linux движется... Помимо версии в pdf, теперь доступна и версия слайдов в html, для просмотра непосредственно с сайта. Сейчас там около 250 слайдов. Все презентации будут выложены к 17 июня. Общая продолжительность курса – 100 академических часов. Новые слайды будут выкладываться 2-3 раза в неделю (как только вернусь из отпуска).

06 мая 2007

«Всадник без головы» вооруженный N800 (Headless Install)

Fedora Core на Nokia N800? :)

Нет.
Всего лишь «безголовая» установка по Wi-Fi через VNC.
Управление по VNC – это стандартная возможность программы установки Anaconda в Fedora/RHEL. В сочетании со сценариями автоматической установки Kickstart очень упрощает жизнь администратора.


Подробности можно поискать в документации на Anaconda или в статье из Red Hat Magazine. Мой перевод этой статьи - тут.

01 мая 2007

«Linux в кармане» - Nokia N800

Впечатления после пары часов использования...

В пятницу в фирменном салоне Nokia на Тверской появились наверно первые в России официально продающиеся «интернет-планшеты» Nokia N800, работающие на ОС Linux. Одним из счастливых обладателей этого чуда и стал ваш покорный слуга. Очень порадовала цена устройства в сравнении с моим предыдущим Linux-гаджетом Sharp Zaurus SL-C860. Кстати, в отличие от QT в Zaurus, в N800 используется GTK+. Из ТТХ, доступных на официальном сайте Nokia, можно выделить: небольшой вес устройства (206 грамм), экран (800 на 400 при 65k цветов), Bluetooth и Wi-Fi, камера для видеоконференций, а также возможность расширения памяти двумя SD-карами до 2Гб каждая.

Уделить устройству кое-какое время получилось только сегодня.

Итак, «из коробки» доступны:

- Opera 8 + Flash 7
- Почтовая программа на основе Sylpheed. Кстати, этим почтовиком я как основным пользуюсь на «большом брате» уже около двух лет, отказавшись от «тормозного» Evolution. Впрочем, за два года, возможно, evolution в этом плане изменился в лучшую сторону.
- RSS-читалка
- Google Talk. Поддержку Skype обещают к лету.
- Медиа-плеер (аудио, видео, Интернет-радио).
- Просмотр PDF
- Часы, калькулятор и прочая мелочь...



Есть встроенное FM-радио, но для него нужно установить отдельную программу, а в качестве антенны используются наушники. Я же предпочел воспользоваться Интернет-радио, и буквально уже через минуту слушал «Наше Радио».

Основной сайт для пользователей N770/N800 – это maemo.org. Оттуда можно скачать среду разработки приложений + среду исполнения для того, чтобы собирать и тестировать программы на ПК. Вся установка заняла не более получаса. Правда, потребовалось временно перевести на «большом брате» SELinux в permissive mode. Для тех же, «кто еще кипятит», есть образ виртуальной машины.

Также на maemo.org расположены различные руководства, блоги, и, конечно, каталог программ.

Из программ, которые я успел установить за недолгое время общения с устройством, могу назвать:

X-Terminal
MPlayer – после чего получил поддержку проигрывания DivX-фильмов
FM-Radio - необходимо замечание, что для этой программы не создался ярлык в меню, и она доступна через установку widget на стартовый экран
VNC Viewer – пока что мне его хватило. Собранного под N800 RDP-клиента еще не искал.
Nethack – Rouge-like игра



Из того, что пока не нравится – неудобное переключение языка в виртуальной клавиатуре. Возможно, просто не разобрался.

До Лондона постараюсь сделать в блоге подборку наиболее полезных ссылок и "must have" приложений.

23 апреля 2007

Слайды учебного курса по Fedora Core Linux

У одного из заказчиков читаю авторский курс по системному администрированию Linux, расчитанный на 100 академических часов. "Обкатывается" курс на двух группах по восемь человек.Выложил первые 110 слайдов презентаций полутора первых дней занятий под лицензией Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License. К июню должен накопиться и будет доступен весь комплект - примерно 800-900 слайдов. Курс примерно соответствует LPI 2, но с ориентацией на Fedora. Поэтому "соответствие" действительно примерное.

Скачать слайды можно здесь в разделе "Презентации учебного курса по Linux"

19 апреля 2007

Статистика по уязвимостям в RHEL 4 за два года

Вчера Марк Кокс (Director of the Red Hat Security Response Team) опубликовал в Red Hat Magazine статью, посвященную обнаруженным уязвимостям за два года, прошедших с выпуска Red Hat Enterprise Linux. Некоторые выдержки из статьи.

За два года во всех пакетах RHEL 4 AS было 5 критических уязвимостей, не связанных с браузером. Из них три связаны с IM. Оставшиеся две – это sendmail и модуль “Апача” mod_auth_pgsql. Обе уязвимости были устранены в течение одного дня. Если выбиралась установка пакетов “по умолчанию”, общее число критических уязвимостей за два года – три штуки. По всем уязвимостям со всеми уровнями критичности процент выпуска “заплатки” в течение дня обнаружения уязвимости – 75%. Сто процентов всех критических уязвимостей устранялось в течении двух календарных дней с момента появления информации об этих уязвимостях в открытых источниках.

17 марта 2007

Microsoft больше не требует от преподавателей преподавать

Уходя из CPLS в системный интегратор, столкнулся с дилеммой. Или не обременять себя продлением сертификации MCT, или договориться с одним из учебных центров и прочитать вечерние курсы, «добив» тем самым число необходимых отзывов студентов в MTM до минимального порога. Вчера, наконец, закончил двухнедельный «вечерний марафон», отучив слушателей даже на треть больше необходимого числа. А сегодня приходит рассылка: “All MCTs are eligible to renew--we have removed the annual requirement to train at least 15 students using Official Microsoft Learning Products…” :) Эх, “знал бы прикуп…”

14 марта 2007

Вышел RHEL5

Наконец, после нескольких переносов даты релиза, вышел “главный” корпоративный дистрибутив Linux. С моим кратким обзором (на основеRHEL5 beta 1) в еженедельнике PCWeek/RE, №41/2006 вы можете ознакомиться здесь.
Скачать же дистрибутив можно прямо сейчас, зайдя в RHN.

07 марта 2007

“Мама для пингвиненка”

На первом дне занятий по Linux обычно рассказываешь про историю этой операционной системы и историю Unix в целом. При этом неплохо было бы иллюстрировать рассказ ссылками в Интернет. Особенно мне в свое время понравилось “генеалогическое древо” дистрибутивов Linux (плюс альтернативная версия 1 и альтернативная версия 2). Дистрибутивы, как правило, характеризуются своим набором ПО, программой установки, своей версией ядра Linux, политикой технической поддержки и командой разработчиков.

Аналогичная схема существует для Unix (похоже, это та же самая схема, что в распечатанном виде висит в УЦ Hewlett-Packard на Космодамианской набережной :), а также для операционных систем от Microsoft. Причем, судя по последней, системное ПО для приставки X-Box ведет свою родословную от Windows 2000 и XP. Может кто-нибудь из читателей блога это подтвердит или опровергнет?

Ну и “вдогонку” GUI Timeline, проиллюстрированная снимками с экрана.

15 февраля 2007

А что там с технической поддержкой Red Hat?

Периодически сталкиваюсь с таким явлением: заказчик давно уже имеет подписку на RHEL, но по каким-то причинам (возможно из-за недоработок того, кто ему в свое время эту подписку продал) не в курсе как, куда и с каким вопросом можно обращаться. А ведь техническая поддержка – это существенная часть комплекса предоставляемых вендором услуг, и заказчик должен по максимуму получить все за что отдал «свои кровные». Благо Red Hat нас не ограничивает числом открытых в тех. поддержке запросов. И уже относительно давно существует «русскоговорящая» 1-я линия поддержки.

Ответы на большинство вопросов можно найти в пресловутом SLA. К сожалению, путь к нему по ссылкам на сайте «тернист и сложен». Прямая ссылка. Плюс существует перевод на русский язык, сделанный специалистами компании VDEL.

Тут описана область проблем, по которым можно (и нужно) «мучить» тех.поддержку. Отсюда, в частности, следует, например, что в рамках подписки не поддерживаются конфигурации с модифицированной политикой SELinux, перекомпилированным ядром и другие, менее заметные нюансы.

Перед тем, как обращаться в тех.поддержку, стоит прочитать руководство по доступу к поддержке, и поискать возможно уже существующий ответ на ваш вопрос в Базе знаний. База знаний – это общедоступный список вопросов и ответов на технические вопросы. Он будет полезен любому пользователю Linux-систем, так как там много общих вопросов, не привязанных к продукту Red Hat. И, кстати, пользователи различных свободных дистрибутивов на подобие CentOS, Scientific Linux и т.п. могут с успехом и без всяких корректировок использовать документацию по RHEL. Для нее на сайте одной из компаний-партнеров существует русскоязычный перевод, над которым я в свое время успел потрудиться. :)

Основной же мыслью моего поста я хотел бы считать следующее. Используйте на все 100% то, за что отдали деньги! :)

14 февраля 2007

AIGLX + Compiz на рабочем столе

Из года в год различные он-лайн и офф-лайн СМИ обещают нам скорый приход Linux на рабочий стол пользователя. Однако думаю, всем давно уже понятно, что не стоит ждать некоего прекрасного момента, когда пользователи вдруг проснутся и начнут искать более экономичную/безопасную/и т.д. альтернативу прекрасно у них работающему (и с каждой версией все лучше и лучше) ПО от Microsoft. Да и не факт, что для каждого конкретного пользователя (организации) альтернативы будут безопаснее или дешевле…

Однако, если бы лет пять назад даже ярые приверженцы открытой ОС согласились бы с тем, что Linux подходит скорее для серверов, чем для рабочего места простого пользователя, то сейчас, обрастая экосистемой приложений и улучшая способы взаимодействия с пользователем, Linux во многих случаях уже готов прийти на «десктопы». Пингвин в данном случае хотя и движется относительно медленно, но вполне решительно (К слову, вот вчерашняя новость от IBM, демонстрирующая тенденцию) .

Ну и если смотреть с точки зрения «простого пользователя», первое, с чем он сталкивается в повседневной работе с операционной системой – это ее интерфейс.

За несколько лет, привыкнув к неприхотливому удобству «рабочей лошадки» GNOME, я с восхищением, как и любой «простой пользователь», наблюдал за красотами графического интерфейса Aero. C Aero я познакомился еще в прошлом году, поработав с бета-версиями Microsoft Vista. А вот с более впечатляющей реализацией 3D-красивостей (и полезностей!) в Linux, я столкнулся к своему стыду только на днях.



Да, конечно, в свое время я видел забавно вращающийся кубик-переключатель рабочих столов на презентациях Novell, но практический смысл в дополнительной нагрузке на видеокарту, на мой взгляд, отсутствовал.



На прошлой же неделе мне по работе пришлось знакомиться с новым для себя дистрибутивом от Mandriva, в котором, в отличие от привычных мне Fedora, прямо в основной программе настройки системы присутствовала не требующая никакого напряжения и настройки радио-кнопка «включить AIGLX + Compiz». Про текущую версию RHEL я умолчу, так как она имеет слишком почтенный возраст для веяний 3D-рабочего стола. Итак, буквально после пары щелчков мышью в Mandriva Linux 2007 и рестарта X-сервера мой рабочий ноутбук с наклейкой «Windows Vista Capable» явил для мною любимого GNOME графические «навороты», не хуже чем в Microsoft Vista. Как минимум не хуже, но и при этом лично для меня, они более «полезные». Чего только стоит выстраивание окошек в ряд при взмахе курсором мышки в правый верхний угол экрана (без всяких «горячих клавиш»).



Как известно графическая подсистема в Linux также как и в Unix-системах построена по модульному принципу. За описываемую составляющую в той или иной степени отвечают X-сервер (X.Org или Xgl) и оконный менеджер (Compiz или его «форк» Beryl) .Что называется «Out of the box» расширение стандартного X-сервера X.Org под названием AIGLX в связке с оконным менеджером Compiz доступно в таких дистрибутивах как Fedora Core 6, Mandriva Linux 2007, Ubuntu 6.10, и, конечно, будет в «грядущем» RHEL 5. Кстати, начиная с версии X.Org 7.1, AIGLX является частью этого, стандартного для большинства Linux-систем X-сервера.

Novell же в своих продуктах openSUSE 10.1 и SLED 10 сделала ставку на собственный X-сервер Xgl, который также требует специального оконного менеджера - того-же Compiz. Нужно заметить, что пользователям Mandriva доступны оба альтернативных варианта плюс утилитка dark3d, позволяющая в несколько щелчков мыши все это настроить.



Дальнейшую «доводку» конкретных эффектов и функций проще всего осуществлять при помощи утилиты gset-compiz. Большинство возможностей Compiz реализовано как Plugins и представлено в gset-compiz своими вкладками.

Список комбинаций клавиш «по умолчанию», который, насколько я понял, одинаков для обоих оконных менеджеров (Compiz и Beryl), можно найти на wiki Beril.

09 февраля 2007

Экзамены LPI и журнал Linux Format в виде PDF

На днях, в связи с возросшей вероятностью в ближайшем времени осуществить "марафонский забег" в виде чтения пяти первых курсов программы Linux Professional Institute (LPI) , сдал второй из экзаменов необходимых для получения сертификата LPI Level 1 (LPIC-1). Чтобы иметь право читать курсы, выбранные заказчиком, осталось досдавать два экзамена на уровень LPIC-2.

Теперь, уже вплотную познакомившись с двумя основными сертификациями по Linux для технических специалистов, от LPI и от Red Hat (первый экзамен Red Hat сдал еще в 2004 году), наверное, могу с полным правом их сравнить. На мой взгляд, если есть желание подтвердить свою квалификацию сдачей экзамена, лучше заказать performance-based тест а не отвечать на вопросы "какая опция отвечает за такую-то функцию". Зачем помнить сотни опций, если есть man? Поэтому практический экзамен за реальной системой всегда в этом плане предпочтительнее… Кроме того, практический экзамен менее подвержен проблеме дампов. Интересующихся сертификацией от Red Hat, отсылаю к своей статье, опубликованной в "Системном администраторе" в прошлом году.

Возвращаясь к LPI. Меньше месяца назад были анонсированы экзамены для получения третьего уровня сертификации LPI. Сбор "экспы" для перехода на следующий уровень потребует от "манчикина" знаний и опыта эксплуатации систем уровня предприятия, LDAP, вопросов интеграции Linux-систем и Windows. Помимо "базового" экзамена уже доступен и один для получения дополнительной специализации. За подробностями отсылаю на www.lpi.org. Надеюсь, что вместе с выпуском новых экзаменов, Linux Professional Institute не забудет и про старые. То что требуется на экзаменах сейчас – это достаточно устаревшая информация. Например, вместо CUPS – вопросы по lpd; вместо ядра 2.6 – ядро 2.4….

Ну и раз уж этот пост целиком посвящен Linux, то не могу не отметить замечательную новость, которой нас порадовала редакция журнала Linux Format. На сайте журнала официально доступны для скачивания в виде PDF-файлов все номера по ноябрь прошлого года. Валентин Синицын, главный редактор журнала заверил меня что хотя и не на регулярной основе, в будущем, скорее всего политика доступности старых номеров будет сохраняться. Что же касается самого издания - это отличный журнал, целиком посвященный операционной системе Linux. Материалы – как переводные, так и отечественных авторов. Вашему покорному слуге, также удается периодически "засветиться" на страницах журнала как со своими статьями, так и в качестве эксперта рубрики "Вопрос-ответ" :)

Всем удачи, и хороших выходных!

06 февраля 2007

Введение в "альтернативные" ОС на русском

За последнюю неделю две компании-производителя “альтернативных” операционных систем разродились вводными руководствами по своим операционным системам.

Во-первых это “Руководство по Windows Vista” на русском языке. Как сказано на сайте Microsoft: “В руководстве по Windows Vista содержится подробное описание иновационных возможностей и функций следующего поколения клиентских операционных систем Windows.”

Во-вторых компания Sun Microsystems опубликовала практическое руководство “Введение в операционные системы: практический подход в рамках проекта OpenSolaris”. Фактически это учебный курс, целью которого является изучение построения операционных систем с использованием кода ОС Solaris. Рассмотрен ряд тем, включая настройку зон, настройку ZFS и использование DTrace.

05 февраля 2007

Спутниковая тарелка петровских времен

Вчера вернулся из поездки в "колыбель революции". Когда проходил мимо "Пяти углов" по Загородному проспекту, заметил на одном из зданий спутниковую тарелку… Судя по внешнему виду, установлена она была сразу после окончания строительства дома и как минимум помнит двух-трех последних Российских царей…



Если по взгляду на первое фото вы подумали что речь идет о большой белой "тарелке", то вот приближенное изображение:



Кстати, на одном из следующих зданий по направлению движения к Владимирскому проспекту (скорее всего это дом 7 или 5 по Загородному), на крыше тоже имеется забавная деталь. Видимо ее назначение как-то связанно с расположением в этом здании религиозной организации/церкви. Другое дело, как в этот колокол предполагается звонить? Вероятно, прямо над ним на крыше расположен какой-то люк.

27 января 2007

Проблемы с хостингом и чтение курсов

Вчера минимум на десять часов моя домашняя страничка на www.markelov.net была недоступна. И хотя РБК-Хостинг прислал извещение, плюс сообщение о том, что «В качестве компенсации компания Хостинг-Центр РБК продляет срок действия Ваших услуг на 1 неделю», все равно неприятный осадок остался. Пользуюсь услугами хостинга РБК с 2003 года и из четырех случаев перебоев в оказании услуг, три произошли за последние пол-года. Настораживает, однако…

Самое неприятное, что мне именно сегодня понадобился ресурс, размещенный на моем же сайте – ссылка на транскрипт с номером инженерского сертификата, без которого установка класса на понедельник могла бы несколько усложниться… Хорошо, что в учебном центре сохранилась распечатка сертификата на котором есть номер. Нужно было только сдуть с рамки пыль :)

Да, об установке класса. На следующей неделе после полугодового перерыва читаю 131, а потом и 253 курсы. Если честно, то после ухода в интегратор как-то не хватает преподавательской работы. К сожалению, вечерних курсов в тех УЦ, с которыми поддерживаю контакт, не так уж много, а читать дневные курсы длинной более одного-двух дней с учетом полной занятости на основной работе почти не реально. :( А ведь помимо курсов Red Hat нужно еще получить пару оставшихся отзывов в MTM для продления MCT на следующий год…

25 января 2007

Статья про шифрование дисков в Red Hat Magazine

В новом году Red Hat Magazine переехал на новый сервер и новую CMS. Однако, из кучи заметок (за исключением новых статей из Knowledgebase), эта первая, которая мене показалась интересной. В статье обсуждается прошлое, настоящее и будущее шифрования дисков в Fedora: Cryptsetup, LUKS, шифрование swap-раздела. Также дается ссылка на патч mkinitrd, включающий в образ initrd поддержку шифрованной корневой системы (статья в Bugzilla 124789). Могу только присоединится к автору статьи в надежде, что вслед за патчем в mkinitrd появиться поддержка шифрования корневой ФС в Anaconda.