TrueCrypt больше не поддерживается, но dm-crypt и LUKS - отличный вариант с открытым исходным кодом, позволяющий шифровать и использовать шифрованные данные.
Безопасность данных стала одной из самых больших проблем среди интернет-пользователей. Новости о краже данных с веб-сайтов стали очень распространенными, но защита ваших данных - это не только обязанность сайтов, есть многое, что мы, как конечные пользователи, можем сделать для нашей собственной безопасности. Например, только некоторые примеры - использовать надежные пароли, шифровать жесткие диски, которые расположены на наших компьютерах, и использовать безопасные соединения. В частности, шифрования жесткого диска является хорошим способом обеспечения безопасности - оно не только защитит вас от любых троянов, пытающихся украсть ваши данные через сеть, но также и от физических атак.
В мае этого года остановилась разработка приложения TrueCrypt, известного инструментального средства с открытым исходным кодом, предназначенного для шифрования дисков. Как многие из вас знают, это был один из весьма надежных инструментов, предназначенных для шифрования дисков. Прискорбно видеть исчезновение инструмента такого калибра, но величие мира с открытым исходным кодом таково, что есть несколько других инструментов с открытым исходным кодом, которые помогут вам достичь безопасности с помощью шифрования дисков, у которых, к тому же, есть много конфигурационных настроек. Мы рассмотрим два из них - dm-crypt и LUKS - в качестве альтернативы TrueCrypt для платформы Linux. Давайте начнем с краткого рассмотрения dm-crypt, а затем - LUKS.
Это основная информация об устройстве, использующим LUKS, в которой указывается, какое используется шифрование, режим шифрования, алгоритм хэширования и другие криптографические данные.
Название приложения dm-crypt является сокращением от device mapper- crypt (шифрование при отображении устройства). Как следует из названия, оно базируется на отображении устройств — фреймворке ядра Linux, предназначенном для отображения блочных устройств на виртуальные блочные устройства более высокого уровня. При отображении устройств можно пользоваться несколькими функциями ядра, такими как dm-cache (создает гибридные тома), dm-verity (предназначена для проверки целостности блоков, является частью Chrome OS) и также очень популярным Docker. Для криптографических целей в dm-crypt применяется фреймворк ядра Linux Crypto API.
Итак, если подвести итог, то приложение dm-crypt является подсистемой шифрования на уровне ядра, предлагающее прозрачное шифрование диска: это означает, что файлы доступными сразу после монтирования диска - для конечного пользователя нет видимой задержки. Чтобы шифровать с использованием dm-crypt вы можете просто указать один из симметричных шифров, режим шифрования, ключ (любого допустимого размера), режим генерации IV, а затем в /dev создать новое блочное устройство. Теперь при любой записи на это устройство будет происходить шифрование, а при чтении — расшифровка. Вы можете как и обычно смонтировать на этом устройстве файловую систему, либо можете использовать устройство dm-crypt для создания других конструкций, таких как RAID или том LVM. Таблица соответствия для dm-crypt задается следующим образом:
Здесь значение start-sector (начальный сектор), как правило, равно значению 0, значение size (размер) равно размеру устройства, указываемую в секторах, а target name является именем, которое вы хотите присвоить зашифрованному устройству. Таблица целевого отображения target-mapping table состоит из следующих разделов:
Как мы уже видели на предыдущем шаге, приложение dm-crypt может самостоятельно шифровать / расшифровывать данные. Но у него есть несколько недостатков - если приложением dm-crypt пользоваться непосредственно, то оно не будет создавать на диске метаданные, и это может стать серьезной проблемой в случае, если вы хотите обеспечить совместимость между различными дистрибутивами Linux. Кроме того, приложение dm-crypt не поддерживает использование несколько ключей, тогда как в реальных ситуация очень важно пользоваться несколькими ключами.
Именно по этим причинам на свет появилась методика LUKS (Linux Unified Key Setup — Унифицированная настройка ключей в Linux). LUKS является в Linux стандартом шифрования жестких дисков и стандартизация позволяет обеспечить совместимость различных дистрибутивов. Также поддерживается использование нескольких ключей и парольных фраз. В рамках такой стандартизации к зашифрованным данным добавляется заголовок LUKS и в этом заголовке присутствует вся информация, необходимая для настройки. Когда есть такой заголовок с данными, то пользователи могут легко перейти на любой другой дистрибутив. Сейчас в проекте dm-crypt рекомендуется использовать LUKS в качестве предпочтительного способа настройки шифрования диска. Давайте рассмотрим, как установить утилиту cryptsetup и как ее использовать для создания томов на основе LUKS.
Шаг 03: Установка
Функциональные возможности уровня ядра, которые применяются в dm-crypt, уже есть во всех дистрибутивах Linux; нам нужно к ним только интерфейс. Мы будем пользоваться утилитой cryptsetup, с помощью которой можно создавать тома с использованием dm-crypt, стандарта LUKS, а также старого и доброго приложения TrueCrypt. Для того, чтобы установить cryptsetup на дистрибутивах Debian / Ubuntu, вы можете воспользоваться следующими командами:
Первая команда синхронизирует индексные файлы ракета с содержимым их репозиториев: она получает информацию о последних версиях всех доступных пакетов. Вторая команда загрузит и установит на ваш компьютер пакет cryptsetup. Если вы используете дистрибутив RHEL/Fedora/CentOS, то для установки утилиты cryptsetup вы можете воспользоваться командой yum.
$ yum install cryptsetup-luks
Шаг 04: Создание целевого файла
Теперь, когда утилита cryptsetup успешно установлена, мы должны создать целевой файл, в котором будет храниться контейнер LUKS. Хотя есть много способов создания такого файла, при его создании необходимо выполнить ряд условий:
Файл не должен состоять из нескольких частей, расположенных в различных местах диска, т. е. для него при создании следует сразу выделить достаточное количество памяти.
Весь файл нужно заполнить случайными данными с тем, чтобы никто не мог сказать, где будут расположены данные, применяемые при шифровании.
В создании файла, который будет удовлетворять вышеуказанным условиям, нам может помочь команда dd, хотя она и будет работать сравнительно медленно. Просто используйте ее вместе с файлом специального устройства /dev/random, указанным в качестве входных данных, и целевого файла, который должен быть указан в качестве выходных данных. Пример команды выглядит следующим образом:
В результате в каталоге /home/nitish будет создан файл с именем basefile, имеющий размер в 128 МБ. Однако, учтите, что на выполнение этой команды может потребоваться достаточно большое время; в системе, которой пользовался наш эксперт, на это потребовался час времени.
Шаг 05: Создаем dm-crypt LUKS
После того, как вы создали целевой файл, в этом файле необходимо создать раздел LUKS. Этот раздел служит в качестве основного слоя, на базе которого строится все шифрование данных. Кроме этого, в заголовке этого раздела (LUKS header) содержится вся информация, требуемая для совместимости с другими устройствами. Чтобы создать раздел LUKS применяется команда cryptsetup:
$ cryptsetup -y luksFormat /home/nitish/basefile
После того, как вы согласитесь с тем, что данные, находящиеся внутри файла basefile, будут безвозвратно удалены, введете парольную фразу, а затем — ее подтверждение, будет создан раздел LUKS. Вы можете проверить это с помощью следующей команды file:
$ file basefile
Обратите внимание, что фраза, которую вы здесь вводите, будет использоваться для расшифровки данных. Очень важно ее запомнить и хранить ее в безопасном месте, поскольку если вы ее забудете, то почти наверняка потеряете все данные, имеющиеся в зашифрованном разделе.
Шаг 06: Создаем и монтируем файловую систему
Контейнер LUKS, который мы создали на предыдущем шаге, теперь доступен в виде файла. В нашем примере, это /home/nitish/basefile. Утилита cryptsetup позволяет открывать контейнер LUKS как независимое устройство. Чтобы сделать это, сначала отобразите файл контейнера на имя устройства, а затем смонтируйте устройство. Команда, осуществляющая отображение, выглядит следующим образом:
После того как вы успешно введете парольную фразы, созданную на предыдущем шаге, контейнер LUKS будет отображен на имя volume1. Фактически происходит открытие файла как локального устройства типа loopback, так что остальная часть системы теперь может обрабатывать файл, как если бы это было реальное устройство.
Шаг 07: Файловая система - продолжение
Файл контейнера LUKS теперь доступен в системе в виде обычного устройства. Прежде, чем мы сможем использовать его для обычных операций, мы должны его отформатировать и создать на нем файловую систему. Вы можете пользоваться любой файловой системой, которая поддерживается в вашей системе. В моем примере, мы использовали ext4, поскольку это самая новая файловая система для систем Linux.
$ mkfs.ext4 -j /dev/mapper/volume1
После того, как устройство будет успешно отформатировано, следующим шагом будет его монтирование. Сначала вы должны создать точку монтирования, предпочтительно в /mnt (исходя из здравого смысла).
$ mkdir /mnt/files
Теперь выполняем монтирование:
$ mount /dev/mapper/volume1 /mnt/files
Для перекрестной проверки воспользуйтесь командой df –h - вы в конце списка смонтированные устройств увидите устройство "/dev/mapper/volume1". Видно, что заголовок LUKS уже занимает в устройстве уже некоторое место.
Благодаря этому шагу, вы теперь можете использовать устройство LUKS с файловой системой ext4. Просто используйте это устройство для хранения файлов - все, что вы будет записывать на это устройство, будет шифроваться, а все, что вы будете читать с него, будет расшифровано и показано вам.
Шаг 08: Использование шифруемого диска
Мы выполнили несколько шагов для того, чтобы достичь этого результата, и если вам не очень понятно, как все это работает, вы, скорее всего, запутаетесь в том, что нужно сделать только один раз (требуется для установки), и в том, что нужно делать регулярно при использовании шифрования. Давайте рассмотрим следующий сценарий: вы успешно выполнили все описанные выше шаги, а затем выключили компьютер. На следующий день, когда вы запускаете ваш компьютер, вы не в состоянии найти смонтированное устройство - куда оно делось? Чтобы со всем этим разобраться, нужно иметь в виду, что после запуска системы нужно смонтировать контейнер LUKS, а перед остановкой компьютера - размонтировать.
Для того, чтобы получить доступ к файлу LUKS, каждый раз, когда вы включаете компьютер, выполняйте следующие действия, а затем прежде, чем выключить компьютер, безопасно закрывайте файл:
Откройте файл LUKS (т.е. /home/nitish/basefile) и введите пароль. Команда выглядит следующим образом:
После того, как файл будет открыт, смонтируйте его (если он не монтируется автоматически):
$ mount /dev/mapper/volume1 /mnt/files
Теперь вы можете использовать смонтированное устройство как обычный диск и читать с него или записывать на него данные.
После того, как все сделаете, размонтируйте устройство следующим образом:
$ umount /mnt/files
После успешного размонтирования, закройте файл LUKS:
$ cryptsetup luksClose volume1
Шаг 09: Резервное копирование
Большинство потерь данных, хранящихся в контейнере LUKS, связаны с повреждением заголовка LUKS или слотов с ключами. Кроме того, что даже из-за случайной перезаписи в память заголовка могут быть повреждены заголовки LUKS, в реальных условиях также возможен полный выход жесткого диска из строя. Лучший способ защититься от таких проблем — это резервное копирование. Давайте посмотрим, какие доступны варианты резервного копирования.
Чтобы создать резервную копию файла заголовка LUKS, укажите в команде параметр luksHeaderBackup:
Для проверки файла заголовка LUKS и проверки того, что файл, с которым вы имеете дело, соответствует действительно существующему устройству LUKS, вы можете воспользоваться параметром isLuks.
$ sudo cryptsetup -v isLuks /home/nitish/basefile
Мы уже видели, как делать резервную копию файлов заголовков LUKS, но резервная копия заголовка LUKS на самом деле не защитит от полного отказа диска, так что вам с помощью следующей команды cat необходимо сделать резервную копию всего раздела:
$ cat /home/nitish/basefile > basefile.img
Шаг 10: Различные настройки
Есть несколько других настроек, которые при использовании шифрования dm-crypt LUKS могут оказаться полезными. Давайте их рассмотрим.
Чтобы сделать дамп заголовка LUKS, в команде cryptsetup есть параметр luksDump. Он позволит вам сделать снимок файла заголовка LUKS того устройства, которое вы используете. Пример команды выглядит следующим образом:
$ cryptsetup luksDump /home/nitish/basefile
В начале данной статьи мы упоминали о том, что LUKS поддерживает работу с несколькими ключами. Давайте сейчас это увидим в действии, добавив новый слот ключа (прим.пер.: слот ключа — место под ключ):
Эта команда добавляет ключ к слоту ключа с номером 1, но только после того, как вы введете текущий пароль (ключ, присутствующий в слоте ключа 0). Всего есть восемь слотов ключей, и вы можете расшифровывать данные с использованием любого ключа. Если вы после того, как добавили второй ключ, сделаете дамп заголовка, вы увидите, что второй слот ключа занят.
Вы можете удалить слоты с ключами следующим образом:
$ cryptsetup luksRemoveKey /home/nitish/basefile
В результате будет удален слот с ключом с самым большим номером слота. Будьте аккуратны и не удаляйте все слоты, иначе ваши данные будут навсегда потеряны.
Конечно, задумано это все от нечего делать, но, может быть, вы найдете применение данному скрипту.
1. В консоли напишем: sudo cat /dev/input/mouse0
И подвигаем мышью. Если появляются символы, то мы на правильном пути.
2.Теперь напишем скрипт на bash, который, собственно, будет выводить сообщение при движении мыши:
#!/bin/bash cat /dev/input/mouse0 | while read i; do echo "Кто-то прикоснулся к твоей мышке!!!!" done;
Назовем скрипт mouse.sh, сохраним в домашнюю папку и сделаем его исполняемым. Пробуем запустить его от root’а: sudo ./mouse.sh
Увидим, что при движении мыши выскакивает сообщение “Кто-то дотронулся до вашей мышки!!!!!!!” Но нам ведь мало этого, и мы пойдем дальше. Сделаем так, чтобы сообщения о прикосновении к мыше шли на ваш jabber аккаунт.
3.Установим “sendxmpp” через Synaptic или apt-get или как-нибудь еще
4.Отредактируем файл .sendxmpprc, который находится в домашней директории. Файл должен содержать jid, с которого будут идти сообщения и пароль. Все это должно выглядить так: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. пароль.
5.Вернемся к скрипту mouse.sh. Допишем к третьей строчке кода “| sendxmpp Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.”, где Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. jid, на который будут приходить уведомления. Итого, должен получиться такой скрипт:
#!/bin/bash cat /dev/input/mouse0 | while read i; do echo "Кто-то прикоснулся к твоей мышке!!!!" | sendxmpp Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. done;
Сохраняем и закрываем. Запускаем скрипт все той же командой, что и раньше (sudo ./mouse.sh), двигаем мышкой и ждем сообщения!
Мнение, что операционные системы на базе Linux годятся только для суровых программистов, родилось довольно давно и процветает до сих пор. Однако времена меняются, и операционные системы тоже. В этой статье я постараюсь вам доказать, что на сегодняшний день именно Linux является самой дружелюбной системой для начинающих пользователей.
Так уж повелось, что подавляющее большинство новичков в качестве своей первой операционной системы обычно выбирают Windows. Продукция Apple, к сожалению, доступна далеко не каждому, а свободные Linux-системы кажутся многим настолько суровыми, что в их сторону даже и не смотрят.
Но сейчас мы стали свидетелями интересных процессов, которые могут сильно изменить устоявшиеся представления. Компьютеры от Apple в свете недавних экономических катаклизмов стали ещё дороже. В Microsoft затеяли глобальное обновление, в результате чего появилась Windows 10, представляющая из себя запутанный лабиринт из обломков старых систем и новых идей. А Linux тем временем избавился от прошлых недостатков, усовершенствовал пользовательский интерфейс и обзавёлся солидным комплектом программного обеспечения.
Давайте сравним некоторые аспекты использования Windows 10 и популярного бесплатного дистрибутива Linux Mint.
Настройки
После выхода Windows 10 о запутанности настроек этой операционной системы не писал только ленивый. Большинство необходимых опций сосредоточено в новой панели управления, другие так и остались в старой, а некоторые вообще найти не удалось. Да, в последующих обновлениях Microsoft продолжила допиливать систему настроек, но лёгкой и понятной её всё равно не назовёшь.
В Linux Mint все настройки сосредоточены в одном месте — в специальной утилите под названием «Параметры системы». Здесь вы сможете изменять буквально любой параметр системы без необходимости продираться сквозь череду дополнительных утилит, диалоговых окон и выпадающих меню.
Установка программ
Операционная система сама по себе — это только среда для выполнения программного обеспечения. Поэтому каждый новый пользователь прежде всего должен установить нужные ему программы. В Windows для этого приходится искать сайты разработчиков, потом разыскивать ссылку для загрузки, затем разбираться с тонкостями установки каждой утилиты. Да, теперь есть Windows Store, который призван упростить эту процедуру. Но его наполнение настолько скудное, что далеко не все юзеры пользуются его услугами, предпочитая инсталлировать программы по старинке.
В Linux Mint, как, впрочем, и в большинстве других свободных дистрибутивов, существует встроенный каталог доступного программного обеспечения. Вам необходимо только набрать название необходимой программы в строке поиска и нажать всего на одну кнопку — «Установить». Проще не придумаешь.
Интерфейс
Эпохальная история о том, как компания Microsoft сначала убрала кнопку «Пуск», потом вернула кнопку «Пуск» обратно, будет ещё долго будоражить умы возмущённых пользователей Windows. Это действительно имеет для них огромное значение, так как подобные изменения в интерфейсе могут делать только разработчики системы. Хорошо, что пользователям оставили хотя бы возможность изменить цвет панелек и поставить свои обои на рабочий стол.
Совсем иначе обстоят дела в Linux. Здесь вы сам себе хозяин и можете настраивать своё рабочее окружение именно так, как вам удобно. Расположение и вид панелей, кнопок, апплетов, меню, всплывающих подсказок находятся полностью под вашим контролем. А если вам покажется, что установленная среда вам не подходит, то вы сможете в два счёта сменить её на другую. Пользователи Linux Mint при желании могут преобразить интерфейс операционной системы таким образом, что он будет напоминать Windows или Mac OS. А могут ничего не менять, так как по умолчанию здесь и так всё красиво и продумано до мелочей.
Безопасность и приватность
Про ситуацию с вирусами неоднократно уже писали до меня. Я же хочу в этом разделе обратить ваше внимание на проблему слежения Windows за пользователями. Такая проблема действительно существует, и она вас волнует, судя по популярности посвящённых ей статей. Да, Windows 10 постоянно собирает информацию о пользователях и отправляет её в Microsoft. Отучить её от этого занятия довольно затруднительно, и это потребует наличия компьютерных знаний, тем более что при каждом обновлении появляются новые лазейки для утечки собранных сведений.
В операционных системах на основе Linux такая проблема отсутствует полностью. То есть вы можете установить себе практически любой популярный дистрибутив и навсегда забыть о том, что кто-то может подглядывать за вами и подслушивать вас. Если вопросы конфиденциальности имеют для вас значение, а время и силы на борьбу со шпионами в Windows тратить жалко, то выбор очевиден.
Отсутствие навязанного программного обеспечения
Практически все начинающие пользователи любят игры. Ещё больше они любят бесплатные или взломанные игры. Если эта страсть не сочетается хотя бы с минимальной компьютерной грамотностью, то очень быстро их операционная система оказывается под завязку забита мусорным софтом, который устанавливается вместе с игрушками и некоторыми бесплатными программами. Все эти дополнительные панели в браузерах, фейковые антивирусы, ускорители интернета и прочий хлам очень быстро приводят Windows в состояние полной непригодности.
Пользователи Linux вообще не знакомы с этим явлением. Для установки программ и игр существует, как я уже писал выше, специальный магазин ПО, в котором все программы проходят проверку. Кроме этого, для установки игр можно использовать Steam, безопасность которого ни у кого не вызывает сомнений.
Обновления
Обновления Windows и установленного программного обеспечения — это ещё одна проблема, с которой сталкиваются пользователи. Системные обновления часто очень громоздки, устанавливаются длительное время и требуют перезагрузки. Это настолько раздражает, что многие просто отключают систему автоматического обновления, хотя делать этого ни в коем случае нельзя. Что касается системы централизованного обновления установленных программ, то она в Windows просто отсутствует. Позаботился разработчик встроить «обновлялку» в свою программу — хорошо, если же поленился, то вы так и будете пользоваться старой версией.
В Linux Mint устанавливать обновления легко и приятно. Раз в день специальная утилита сама проверит наличие новых пакетов для операционной системы и всех установленных у вас программ. В случае их обнаружения вы увидите небольшую иконку в системном лотке. Вам достаточно просто кликнуть по ней, а затем в появившемся окне нажать на кнопку «Установить обновления», чтобы привести своё программное обеспечение в самое актуальное состояние. Никаких перезагрузок, никаких ожиданий, никаких проблем.
Как вы можете сами убедиться, современный облик свободных операционных систем на основе Linux, во всяком случае, самых популярных дистрибутивов, не имеет ничего общего с теми мифами, которыми часто пугают начинающих пользователей. Они просты, удобны, красивы и настолько дружелюбны, что с ними смогут справиться даже те пользователи, которые обладают минимальным уровнем компьютерной грамотности. Кроме того, Linux предлагает высочайший уровень надёжности и безопасности, что особенно важно для новичков.
chattr (Change Attribute) - это утилита командной строки в linux, которая используется для установки/снятия специальных атрибутов файлов для предотвращения случайной модификации и удаления файлов или директорий, даже если вы авторизованы как root.
Нативные файловые системы в Linux, такие как ext2, ext3, ext4, btrfs, поддерживают все флаги для файлов. Никто не сможет удалить или модифицировать файл/директорию, защищенный атрибутами, установленными с помощью команды chattr, даже имея полный доступ ко всем операциям с файлом. Очень полезно защитить атрибутами такие файлы , как passwd и shadow, содержащие информацию о пользователе.
Синтаксис chattr:
# chattr [operator] [flags] [filename]
Атрибуты и флаги
Ниже приведен список часто используемых атрибутов и соответствующих флагов, которые согут быть установлены с помощью команды chattr. 1. Если обращаются к файлу с установленным атрибутом "А", его запись atime не обновляется. 2. Если модифицируется файл с установленным атрибутом "S", изменения синхронизируются с диском. 3. Если установлен атрибут "a", файл может быть открыт для записи только в режиме добавления текста. 4. Если установлен атрибут "i", файл нельзя модифицировать (immutable). Это значит нельзя переименовывать, создавать символьные ссылки, исполнять и записывать, снять этот втрибут может только суперпользователь. 5. Если установлен атрибут "j", то при модификации файла сначала будет обновлена информация о файле в журнале ext3, а затем уже сам файл. 6. Если установлен атрибут "t", файл нельзя объединять с другими файлами. 7. Файл с атрибутом "d" не будет являться кандидатом для резервного копирования при запуске процесса dump. 8. При удалении файла с атрибутом "u" его данные сохраняются, и пользователь сможет восстановить его.
Операторы
+ : добавляет атрибут к существующим у файла атрибутам. - : удаляет атрибут файла. = : оставляет существующие у файла атрибуты.
Теперь мы продемонстрируем вам несколько примеров применения команды chattr.
1. Как защитить файл от удаления
Для демонстрационных целей мы будем использовать директорию demo и файл important_file.conf. Сначала посмотрим, какие атрибуты у них установлены, с помощью команды ls -l. Как можно видеть ниже пока никаких атрибутов нет.
[root@tecmint tecmint]# ls -l
total 0
drwxr-xr-x. 2 root root 6 Aug 31 18:02 demo
-rwxrwxrwx. 1 root root 0 Aug 31 17:42 important_file.conf
Для установки атрибута мы используем оператор +, для снятия - оператор -. Давайте защитим файл от удаления кем бы то ни было, даже суперпользователем.
Замечание: Бит +i может быть установлен только суперпользователем, либо пользователем с привилегиями sudo. Давайте проверим установленные атрибуты с помощью команды 'lsattr'.
Теперь, попытавшись удалить, переименовать или изменить права доступа к файлу, вы увидите сообщение: "Operation not permitted".
[root@tecmint tecmint]# rm -rf demo/
rm: cannot remove demo/: Operation not permitted
[root@tecmint tecmint]# mv demo/ demo_alter
mv: cannot move demo/ to demo_alter: Operation not permitted
[root@tecmint tecmint]# chmod 755 important_file.conf
chmod: changing permissions of important_file.conf: Operation not permitted
2. Как снять атрибут с файла
В приведенном выше примере мы увидели, как установить атрибут для предотвращения непреднамеренного удаления файл, здесь же мы научимся удалять атрибут, чтобы снова поучить возможность удалять или редактировать файл.
Флаг '-i' удален, поэтому мы спокойно можем удалить файлы и директории.
[root@tecmint tecmint]# rm -rf *
[root@tecmint tecmint]# ls -l
total 0
3. Как защитить файлы /etc/passwd и /etc/shadow
Предотвратив модификацию файлов /etc/passwd или /etc/shadow, мы защитим их от случайного удаления или подмены, а также отключим создание пользовательских аккаунтов.
Теперь попробуем создать создать нового пользователя, и получаем сообщение об ошибке 'cannot open /etc/passwd'.
[root@tecmint tecmint]# useradd tecmint
useradd: cannot open /etc/passwd
Таким образом вы можете защитить важные файлы от удаления.
4. Добавление данных в файл без изменения уже существующих
Если вы хотите разрешить только добавление данных файл, без редактирования уже существующих данных, это можно сделать с помощью установки атрибута 'a':
Теперь файл можно открыть на запись только в режиме добавления данных. Попробовав заменить существующее содержимое файла example.txt, вы увидите сообщение об ошибке 'Operation not permitted':
[root@tecmint tecmint]# echo "replace contain on file." > example.txt
-bash: example.txt: Operation not permitted
Попытаемся добавить в файл новый контент и проверить результат:
[root@tecmint tecmint]# echo "replace contain on file." >> example.txt
[root@tecmint tecmint]# cat example.txt
Here is the example to test 'a' attribute mean append only.
replace contain on file.
5. Как защищать директории
Для защиты всей директории вместе с содержащимися в ней файлами используется флаг '-R' (рекурсия) вместе с '+i'.
[root@tecmint tecmint]# chattr -R +i myfolder
После рекурсивной установки атрибута попробуем удалить директорию вместе со всеми файлами:
Всему приходит время, и каждый начинающий сисадмин изучает новые программные пакеты для работы. Вот и дошло время для Squid, я думаю не стоит обьяснять что это такое, если вы это читаете значит вы уже представляете что такое сквид и для чего он нужен!
Вот когда-то и мне тоже пришлось изучать эти дебри конфига… Я сначала думал что его просто не реально настроить, из-за большого количества параметров. Но со временем я понял, что там уже всё настроено для нормальной работы. Для раздачи интернета вам необходимо всего лишь добавить
acl all src 0.0.0.0/24
http_access allow all
Итак, эти две магические сточки сделают следущее: Первая строка Создаст acl (Access Control List) с именем all для абсолютно всех ip-адресов. Вторая разрешит acl all доступ.
Вот собственно и всё, теперь все кто будут ломиться на нашу проксю, смогут безнаказанно ломиться в инет, хотя можно и посмотреть кто, куда, и на сколько, но это тему уже другой статьи. Но этого можно избежать. Предположим у вас под сеть 192.168.0.0/24. Сервер со сквидом весит на адресе 192.168.0.1:3128(порт 3128 по дефолту), и второй интерфейс (не важно какой) смотрит в инет, то, для того чтобы пользоваться интернетом могли только компьютеры из вашей под сети необходимо убрать acl all, (его вообще не рекомендуется использовать в alllow!!!)и создать, к примеру вот так:
acl my_network src 192.168.0.0/24
acl all src 0.0.0.0/24
http_access allow my_network
http_access deny all
Теперь, в интернет смогут заходить все у кого ip-адресс входит в наш acl my_network.
Настройка
В этой части я расскажу вам про то, какие основные параметры необходимо менять, хотя и не обязательны, ведь разработчики самого сквида выставили довольно хорошо львиную долю значений. Итак, начнем по порядку... Так как я часто работаю через ssh соединение, иногда на некоторых серверах бывает отвратительная скорость, в связи с этой проблемой рекомендую писать все в самом начале конфига, что дает ему довольно хорошо читаемый вид, и не нужно поиском искать все значения. Хотя, хочу заметить, что все второстепенные параметры(кроме списков доступов ACL и парочки других) не задаются в конфиге по умолчанию. На деле же прописан дефолтный параметр, и он имеет комментарий. Так что нам не придется искать каждый параметр. НО(!!!) если вы уже правили, то не нужно начинать писать все в самом верху, необходимо найти рас комментированные значения и менять их. Поехали.
Первое что я советую сметить, хотя бы на время тестирования это параметр shutdown_lifetime по дефолту он имеет значение 30 секунд, что очень долго. Приведу пример, иногда бывает такое, что ты что-то накосячил, и инет у всего офиса пропал, ты быстро изменил свою ошибку, но сам сквид после того как ты ему послал SIGTERM или SIGHUP(перезагружаешь) ждет время, которое стоит в этом параметре, в течении которого новые соединения не будут устанавливаться, а старые должны закончить закачку. Я обычно ставлю: shutdown_lifetime 5 Слудущими параметрами будут параметры описывающие кеш cache_dir, maximum_object_size Итак, если у нас стоит нормальный шлюз, которые проксирует инет, и в организации хватает компов >30, то нужно ставить минимум 2 гига, хотя два в принципе и достаточно большинству. У параметра cache_dir много параметров, я не хочу на них останавливаться, ибо все это отлично описано в манах. Я привиду лишь, то что считаю наиболее рациональным, стандартные 256 Мб ни куда не годятся :) cache_dir ufs /var/squid/cache 2048 16 256 после этого необходимо пересоздать каталоги командой Squid -z, что сотрет весь наш предедуший кеш.
maximum_object_size говорит сквиду стоит ли записывать файлы размером больше определенного. maximum_object_size 10024, мне кажется что этого вполне хватит, потом некоторые можно будет выуживать из кеша. Иногда полезно если у вас работники качают свежую версию, например Adobe Flash Player.
visible_hostname "%Имя хоста%"
Совет
Вот кажется и все. Как я уже говорил, что в сквиде все уже хорошо настроено, и не нуждо беспокоиться… Хочу поделиться одним очень замечательным советом, который мне смог сэкономить много времени это команда squid -k reconfigure Этой командой сквид перечитает свой конфиг файл, и применит его. Теперь не нужно будет постоянно перезапускать сквид. Даже если у вас в конфиге остались ошибки, сквид на них сругнется, но работать останется на предыдушей версии конфига, которая находится в памяти.
Статистика
Каждый, кто поднимает проксю, потом хочет смотреть кто её пользуется, кто сколько качает. И иногда бывает очень полезным просмотр в режиме реального времени, кто что качает. В данном топике будут рассмотрены следующие программы: SqStat — Real Time статистика через web Sarg — Анализатор логов Squid с последующей генерации HTML SquidView — Интерактивный консольный монитор логов Squid
0. Введение
Я не буду здесь рассказывать как настроить Apache. В инете и так много мануалов на эту тему, так что вперед и с песней, я буду рассказывать про те фичи, которые внедрял у себя. Да, рассказывать буду на примере Debian Etch, у вас могут отличаться пути, имейте ввиду… Поехали…
1. SquidView
Данная программа работает в консоли, и выводит там же все что делает Squid. Установка:
aptitude install squidview
Подождем пару секунд, если у вас быстрый интернет. Все, теперь мы можем смотреть кто, что качает. Если у вы не меняли расположение логов, и оставили большинство параметров squid дефолтными, то для просмотра необходимо только запустить его, но с правами root'а, потомучто логи сквида пишутся им…
sudo squidview
Я думаю что этого вполне хватит вам, но также сообщу очень полезные вещи, нужно нажимать кнопки, и смотреть:
h — помощь, здесь мы можем узнат ь еще больше ;)
l — enter — генерация отчета, вы также можете настроить дополнительные настройки
T — начинется учет статистики по размеру скачиваемого
O — просмотре кто чё качал по юзерам, после T
По SquidView вроде бы все, если что нибудь не до рассказал, пишиите, добавлю!
SqStat
Это скрипт который позволяет смотреть активные соединения, загрузку канала, и среднюю загрузку канала. Я предполагаю что у вас уже настроен апач. Скачиваем последнюю версию,
wget -c samm.kiev.ua/sqstat/sqstat-1.20.tar.gz tar xvfz sqstat-1.20.tar.gz cd ./sqstat-1.20 mkdir /var/www/squid-stat cp -R * /var/www/squid-stat*
Всё, теперь нам необходимо настроить Squid-cgi или cachemgr.cgi, Ставим: aptitude install squid-cgi
Теперь необходимо настраивать доступ…
nano /etc/squid/squid.conf
Добавляем acl manager proto cache_object http_access allow manager localhost http_access deny manager #Данная строка задает пароль secret и разрешает делать все cachemgr_passwd secret all
Сейчас необходимо поправить /etc/squid/cachemgr.conf echo "*" >> /etc/squid/cachemgr.conf Вместо * можете поставить адрес сетевой которую прослушивает squid
У меня почему то не получилось завести при адресе 127.0.0.1 и ввел 192.168.0.1 и все заработало. теперь вам необходимо ввести в поле Cache Host адрес внещней сетевой. Порт какой у вас стоит, в поле логин, если вы делали всё по мануалу, можно ничего не водить, и в поле пароля пишем secret. Если всё прошло удачно, то вы увмидете список доступных параметров… Можете посмотреть, а мы переходим к настройке SqStat…
nano /var/www/squid-stat/config.inc.php //Это адрес на котором слушает ваш сквид $squidhost[0]="192.168.0.1"; $squidport[0]=3128; $cachemgr_passwd[0]="secret"; //Этот параметр разрешает резолвить имена записями в ващей системе $resolveip[0]=false; //В этом файле содержится айпи и имена кмопьютеров, можно использовать кирилицу :) $hosts_file[0]="hosts"; $group_by[0]="host";
В принципе, сам конфиг хорошо документирован, изучайте, благо там изучать нечего ))
Теперь делаем поддомен, так намного удобнее)
nano /etc/apache2/sites-enabled/sqstat <VirtualHost squid.server.local:80> ServerAdmin Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. DocumentRoot /var/www/squid-stat/ ServerName proxy.server.local
Для резолвинга пишем в /etc/hosts
nano /etc/hosts 192.168.0.1 proxy.server.local
Вот и всё :) почти все
squid -k reconfigure /etc/init.d/apache2 reload
3. Sarg
Эта программа генерирует html отчеты, риcует графики, и тд… Ставим:
aptitude install sarg
nano /etc/squid/sarg.conf language Russian_koi8 graphs yes title "Squid User Access Reports" temporary_dir /tmp output_dir /var/www/sarg max_elapsed 28800000 charset Koi8-r
Kонечно же никто Вам не запрещает поизгаляться над стилем отображения всего этого хозяйства — конфиг снабжён очень подробными комментариями.
Вот мы и создали списки, а точнее три группы пользователей, адреса которых содержаться в файлах. Так как айпи были присвоены до меня, и не сходятся по разрешению что им качать а что нет, будет проше выписать их IP в файл чем создавать диапозоны, но для вас все что угодно :) acl mego_super_user src 192.168.0.0-256 # =) только аккуратно с этим диапозоном Пример содержания файла со списком nano "/etc/squid/lists/mp3_deny_users" 192.168.0.213 192.168.0.75 192.168.0.52 195.168.0.254
Теперь пора создать список запрещенных разрешений: acl mobile urlpath_regex -i (\.thm|\.sis|\.swf|\.jad|\.jar|\.3gp|\.mp4)((\#|\&|\?|\s){1}|$) acl multimedia urlpath_regex -i (\.swf|\.mp3|\.m3u|\.flv|\.wav|\.vqf|\.avi|\.wmv|\.mpeg|\.mp|\.asf|\.mpe|\.dat|\.mpg|\.wma|\.midi|\.aiff|\.au|\.qt|\.ram|\.rm|\.iso|\.raw|\.mov)((\#|\&|\?|\s){1}|$) acl archive urlpath_regex -i (\.tar.gz|\.gz|\.tar|\.zip|\.rar|\.cab|\.arj|\.lzh|\.ace|\.7-zip|\.gzip|\.uue|\.bz2|\.iso)((\#|\&|\?|\s){1}|$) acl soft urlpath_regex -i (\.exe|\.msi|\.rpm)((\#|\&|\?|\s){1}|$) acl mp3 urlpath_regex -i (\.wav|\.mp3|\.mp4)((\#|\&|\?|\s){1}|$)
Самое главное. Что же это такое, DELAY POOL
Вот теперь все, теперь нам нужно разобраться с этими delay pools с которыми некоторые не решаются работать, потому что не поняли. А я вам скажу, что если вы вьедите, то все будет замечательно, и никаких проблем не будет, ну а если нет, то пишите в каменты, я буду писать для вас ваши delay pools пока не поймете :) В сквиде существует три типа delay pools, говоря по русски, я дальше и буду так оперировать, ведра. Вот предположим у нас есть ведро к которому подведен мегалитровый канал, в него заливается вода без ограничений, кроме провайдера, который нам её и ограничил, можно создать три типа ведра, на главное ведро, на ведро подсети, и на конретное ведро(на конкретный IP). Пытаюсь еще раз обьсянить, у нас идет вода в главное ведро(если вам не нравиться такое сравнение, то думайте что это буфер), в нем висит сквид который отдает воду всем кому она нужна. delay class 1 1 #создает первое ведро с глобальным ограничением тоесть, все кто будут брать воду из первого ведра, то у них будет ограничение. delay class 1 2 #создает первое ведро с ограничение на под сеть, тоесть 192.168.0.0/24 ну или чё вы у себя пропишите. Теперь разьясняю: Предположим у вас 3 под сети, 192.168.0.0, 192.168.1.0 192.168.200.0. в ней Н-ое количество качающих. У вас канал 1024кбит/сек. и вы решили поделить на каждую подсеть по 340 кбит/сек. Так вот, если вася из 0 подсети начал качать фильм, потом петя из 1 подсети тоже начал качать новый дистр линуха, и маша начала качать новую программку для… для чегонибудь… При такой ситуации у каждого скорость будет 340 кбит/сек, или 42 кбайт/сек. Если в этот момент федя из 0 подсети решил скачать что-то то унего и у васи скорость поделится пополам, будет 170, если к пети подключаться еще 3 качальщика, то скорость поделиться на 4, и скорость будет 85. Ну а маша будет качать в одиночку… ИтогоЖ Канал 1024(Загруженость полная){: 192.168.0.0_340 (Загруженость полная){: Вася: 170 Федя: 170} 192.168.1.0_340(Загруженость полная){: Петя: 85 192.168.1.28: 85 192.168.1.30: 85 192.168.1.2 : 85} 192.168.200_340(Загруженость полная){: Маша: 340}} В итоге, чё мы получаем, тот кто качает фильм режет канал тому кто качает в этот момент очень важный файл. А Качающая маша никому не мешает, так как на данном этапе режется подсеть, а не глобальное ведро… Надеюсь Вы поняли. Если нет, loop; Продолжаем… delay class 1 3 # Создает ведро для резания скорости по IP Вот наш пример на котором вы изучаете действие Ведер… мы видим что маша неправильно режет канал! Что Мы должны сделать? Правильно обрубить скачку её софтины, как резать скорость скачки по файлам мы будем во время работы с конфигами. скажу только, что мы специально создали два регэкса archive и soft для этого, мы зажимаем шланг на программу аж на 50кбит/сек. Теперь, если вы не ограничивали скорость на ведро подсети(делается -1/-1), то можно посмотреть что нам это дает: Без ограничений подсети: Канал 1024(Загруженость полная){: 192.168.0.0_470 (Загруженость полная){: Вася: 235 Федя: 235} 192.168.1.0_470(Загруженость полная){: Петя: 117,5 192.168.1.28: 117,5 192.168.1.30: 117,5 192.168.1.2: 117,5} 192.168.200_80(Загруженость полная){: Маша: 80}} Как видите, такое ограничение дает другим участникам обмена данными через ведра существенный прирост, а вот что было бы если вы ограничили бы скорость ведра подети на 340: Канал 1024(Загруженость 74%){: 192.168.0.0_340 (Загруженость полная){: Вася: 170 Федя: 170} 192.168.1.0_340(Загруженость полная){: Петя: 85 192.168.1.28: 85 192.168.1.30: 85 192.168.1.2: 85} 192.168.200_80(Загруженость полная){: Маша: 80}} Как вы можете наблюдать, при таком раскладе выигрывают только те кто будут качать из 200 подсети, соседи маши! Как ограничивать и что, решать вам, моё дело вам обьяснить как. И порекомендовать что. Едем дальше…
Разрабатываем схему движения инета
Теперь давайте набрасаем небольшой шаблон, по которому у нас будут получать инет:
Вспоминаем что у нас есть списки по расширению: mobile, multimedia, archive, soft, mp3
Так как у нас создано 4 ACl группы, они могут отличаться от основных, мы будем расчитывать канал на 4 подсети
Теперь Нужно посмотреть кто у вас больше всех забивает канал: качает файлы, музыку, фильмы. У меня есть те кто качают файлы для мобилы, я это выяснил с помощью SqStat из пред. части, вам тоже стоит понаблюдать в течении дня кто что качает, чтобы потом не бится ап стену и не правя наш шаблон, пока ктото начал качать очередной фильм
Найти тех личностей кто боги, ну или почти :) обычно руководителям позволяется больше, ну кроме качания фильмов на больших скоростях, больших от половины ширины канала :)
Вот вроде бы и все. Я вам рекомендую сначала узнать кто что качает, а уже потом начинать резать им канал, ибо это самый тру way…
вот и всё, самый большой интерес представляет шестое ведро: каждый из него качает все на скорости в 10, если в под сети скорость превышает, то начинется резанье канал, Если из других подсетей тоже качают, и их больше двух, то и тогда скорость начинает резаться… Если вы делаете на фряхе, то при сборке сквида обязательно соберите с опцией --enable-delay-pools! P.S. очень старался всё как можно понятней разжевать. Если я вам помог разобраться, то значит я не зря писал этот топик. Я буду очень рад. Если что-то не понятно, задавайте вопросы, обязательно отвечу. P.S.S. написать всё это сне помог дефолтный конфиг сквида, если вы его начнете читать, то сможете узнать туеву кучу новго! P.S.S.S Уважаемый KorP к сожаленнию сейчас нет времени на домен, так что пока что есть в голове то и пишу UPD. reply_body_max_size 1000 allow all файл больше 1 килобайта не качает
Существует множество USB устройств, которые могут заблокировать, взломать, повысить безопасность компьютера. Вообще USB можно использовать даже в качестве тестов на ВИЧ с точностью до 95%, генератора паролей и т.п.
Конечно же есть множество людей, которые желают получить доступ к какому-нибудь устройству, а Raspberry Pi неплохая основа для таких устройств. В большинстве случаев такие платы являются DIY хаками. Такие устройства используют уязвимости различных операционных систем.
PoisonTap
Это устройство было создано исследователем безопасности, Сами Камкаром, которое по сути является Raspberry Pi Zero с установленным на него специально настроенным Linux дистрибутивом. При подключении к компьютеру через USB или Thunderbolt, ПК воспринимает это устройство как новую сетевую плату, через которую доступен шлюз для обращения к локальной сети, охватывающей половину адресного пространства. Вроде в этом нет ничего сверхъестественного, но это устройство может получить доступ в интернет, даже если компьютер заблокирован/защищён паролем. Потом это устройство может назначить IP адрес компьютеру так, как это делает DHCP.
Веб-браузер на компьютере будет работать через ложный веб-сервер PoisonTap, который основан на Node.js. Это всё нужно для того, чтобы собирать нужные данные для рекламы, аналитики и некоторых услуг. PoisonTap является устройством, которое использует низкоуровневый сетевой интерфейс, но это устройство может перехватывать весь интернет трафик, так как он уходит через новый сетевой интерфейс независимо от наличия шлюза по умолчанию на более приоритетном интерфейсе.
Так же данное устройство для взлома может хранить HTTP куки и данные сессии веб-браузера, создавать веб-бэкдоры для неопределённого числа доменов, причём эти бэкдоры будут храниться в кэше HTTP. Загрузка веб-сайтов происходит через множество фреймов.
PoisonTap требуется всего одна минута для совершения всех этих действий. Созданные устройством бэкдоры будут работать, даже если PoisonTap будет извлечён из ПК. Эти бэкдоры переприсваивают DNS и используют исходящий интерфейс WebSocket, чтобы получить доступ к внутреннему маршрутизатору компьютера.
Как защититься от PoisonTap и его подобных?
Для серверов достаточно включить Secure флаг для куки и реализации HSTS политики.
Для обычных пользователей ПК достаточно закрывать браузер, когда вы блокируете ваш компьютер, так же можно отключить USB порты, если это возможно. Ещё одним эффективным способом является использование зашифрованного спящего режима, который никому не будет давать доступ через различные интерфейсы.
Remix OS - это операционная система на базе Android-x86(). Ее целью является создание версии Android для работы на PC. Она разработана компанией Jide Technology. Последняя версия Remix OS базируется на Android Marshmallow.
Компьютер, на котором мы тестировали операционную систему, имеет процессор AMD Athlon и 2 Гб оперативной памяти. Remix OS устанавливалась на жесткий диск, особых проблем при установке не возникло.
Предупреждение: хотя Remix OS выглядит стабильной, она еще находится в стадии бета-версии, поэтому ее использование может привести к потере ваших данных. Лучше всего установить ее на съемный диск USB 3.0 (на USB 2.0 все будет работать очень медленно).
Установка Remix OS или Android For PC
Установка Remix OS похожа на установку распространенных дистрибутивов Linux, поэтому вряд ли вы увидите здесь что-то новое.
В Windows распакуйте архив и вы увидите ISO-образ и файл инсталлятора. Запустите инсталлятор, выберите ISO-образ и укажите, куда вы хотите установить систему. После завершения установки вам будет необходимо перезагрузить компьютер. Установка занимает 10 - 20 минут. После выбора языка согласитесь с условиями лицензии и настройте WiFi, на этом все.
Установка в Linux
Для Linux нет официального инсталлятора Remix OS, но для установки на съемный носитель мы можем использовать Unetbootin.
Совместимость с оборудованием
Операционная система поддерживает большую часть железа для PC, поэтому вы не должны столкнуться с большими проблемами в этой части.
Потребление ресурсов
Операционная система занимает около 800 Мб оперативной памяти без запущенных приложений. Ноутбук проработал от батареи около 4 часов при использовании в смешанном режиме, что достаточно неплохо. Для нормальной работы системы лучше иметь не менее 2 Гб RAM.
Юзабилити
Имеется меню Start, похожее на App Drawer, с помощью которого можно искать и запускать программы. В наличии также панель задач и центр уведомлений. Мы также можем добавлять ярлыки приложений на рабочий стол. Также поддерживается drag and drop для копирования файлов и подобных операций, как и в других операционных системах.
Установка приложений Android на PC
Play activator
На рабочем столе вы обнаружите приложение "play activator", которое активирует сервисы Google play. Кликните “Yes, Let's activate!”, и вы сможете пользоваться Google Play Store и другими приложениями от Google.
Так как Google Play Store предустановлен, мы можем использовать его для установки нужных нам программ. Необходимо только убедиться, что устанавливаемая программа приспособлена для работы на планшетах, иначе могут возникуть проблемы с размером окна.
Remix central
Remix central - это коллекция приложений, которые были протестированы разработчиками и оптимизированы для Remix OS.
Remix OS содержит следующие предустановленные программы:
Chrome browser Messenger Facebook Mxplayer Google play store Quick pic
Игры для Android на PC
Имеется разработка под названием Gaming Toolkit, используя которую вы сможете выбирать управление с тачскрина или с клавиатуры для того, чтобы играть на PC в мобильные игры. Так как у моего PC нет тачскрина, я выбрал клавиатуру, и играл в аркадные игры, не испытывая особых проблем, за исключением того, что я не нашел способа наклоняться, так как не было клавиши, симулирующей это действие.
Заключение
Remix OS хорошо подходит для работы, общения в социальных сетях или мессенджерах и казуальных игр. Если у вас есть старый компьютер, вы можете превратить его в android PC. Операционная система работает отлично, несмотря на то, что ей предстоит еще длительный путь до релиза.
В статье описан самый простой способ заставить работать Microsoft Office в вашем Linux.
Скачивание инсталлятора
В этом руководстве речь идет о Microsoft Office 2013, поскольку Office 2016 пока нормально не работает в Wine. Перейдите по этой ссылке, создайте аккаунт Microsoft (или войдите в него), и скачайте Office 2013. Обратите внимание, что скачивать нужно только 32-битную версию, даже если у вас 64-битная система.
Установка PlayOnLinux
Установка программ Windows с помощью Wine не представляет особой сложности, тем не менее многих новичков в Linux различные его аспекты могут поставить в тупик.
Для решения этих проблем написана PlayOnLinux. Это "обертка" wine, которая упрощает работу с ним. Она представляет собой графическую надстройку над Wine для быстрой установки огромного количества игр и программ Windows (в том числе MS Office).
PlayOnLinux доступна в большинстве репозиториев для современных дистрибутивов Linux. Установите ее с помощью своего менеджера пакетов или из терминала (в Ubuntu):
sudo apt install playonlinux
Установка Microsoft Office с помощью PlayOnLinux
PlayOnLinux предлагает большое количество различных возможностей. На данный момент нас интересует только кнопка "Install". Она вызывает окно поиска, в котором необходимо ввести "Microsoft Office".
В результатах поиска вы увидите несколько версий Microsoft Office. Каждая представляет собой профиль установки, и при выборе ее пользователем PlayOnLinux создаст соответствующее окружение Wine и запустит процесс установки.
Выберите в результатах поиска "Microsoft Office 2013" и нажмите кнопку "Install". Вы увидите предупреждение, о том, что данная программа еще находится в стадии тестирования. Нажмите "ОК".
Появится мастер установки в стиле Windows. Читайте указания и жмите "Next" для продолжения установки. PlayOnLinux запросит у вас файл инсталлятора.
Укажите путь к скачанному ранее файлу или выберите опцию "Use DVD-ROM(s)", если вы собираетесь устанавливать MS Office 2013 с диска.
При запуске процесса установки PlayOnLinux настроит отдельное окружение Wine и установит Microsoft Office внутри него.
Известные проблемы с Office 2013
Иногда устновка Office 2013 может завершиться неудачей, так как использовалась 64-битная версия. В Linux и Wine должна использоваться только 32-битная версия.
Кроме того, иногда инсталлятор Office может упасть в процессе установке. Это проблема скорее не инсталлятора, а установочного скрипта PlayOnLinux. Если такое случилось, попробуйте перезапустить PlayOnLinux и начать сначала.
WineHQ
Установка программ Windows в Linux - нетривиальный процесс. Проблемы встречаются достаточно часто. Поэтому пользователи часто обращаются к WineHQ. Это сайт, где размещены каталоги с программами Windows и описанием, насколько хорошо они работают в Wine, а также как можно исправить возникающие ошибки.
Альтернативы
Хотя можно работать в Microsoft Office в Linux с помощью Wine, это не единственный способ пользоваться Office Suite. Есть альтернативы.
В настоящее время Microsoft предлагает альтернативу Google Docs, известную как Office 365. Эта программа не столь хороша, как ее десктопный собрат, однако вполне годится для повседневной работы.
Если у вас в Linux не работают Office 2013 и 365, вы можете посмотреть в сторону LibreOffice. Это хорошо известный офисный пакет, представляющий собой альтернативу Microsoft Office, и разработчики прилагают огромные усилия, чтобы сделать его более функциональным и совместимым с технологиями Microsoft.
Кроме того, есть WPS Office - пакет, который создавался максимально похожим на Microsoft Office, а также FreeOffice.
Заключение
Переход на Linux не означает, что вы должны забыть о своих любимых приложениях из Windows. Наличие Wine (и PlayonLinux) делает установку и использование таких программ (в данном случае Microsoft Office 2013) очень простыми.
Множество программ работает под WINE вообще без каких-либо дополнительных настроек. К сожалению, так бывает не всегда. К тому же программы постоянно обновляются и список работающих приложений постоянно меняется. Поэтому было бы неплохо настроить WINE для работы с потенциально проблемными программами.
Для настройки есть две основные утилиты - winecfg и winetricks. В этом руководстве мы рассмотрим первую из них. В большинстве случаев, впрочем, возможностей winecfg вполне достаточно, чтобы заставить программу работать.
winecfg - это графическая утилита. Различные дистрибутивы и окружения рабочего стола работают с WINE и приложениями WINE по разному, поэтому проще всего в любом дистрибутиве запустить winecfg в терминале.
После запуска программы вы увидите простое окно с семью или восемью вкладками, в зависимости от версии WINE. Восьмая вкладка "Staging" появляется только при использовании промежуточных версий WINE.
2. Библиотеки
Вкладка "Libraries" наверное самая важная в winecfg. Она позволяет контролировать работу WINE с библиотеками Windows. Это особенно важно, так как некоторые приложения несовместимы с определенными версиями библиотек, или требуют определенных нестандартных библиотек. Код WINE также модифицировали, чтобы решать эти проблемы. Так как WINE - это не Windows, он не всегда может использовать ту же нативную версию библиотеки Windows до того, как эта библиотека будет адаптирована для работы с WINE.
Первый элемент во вкладе - выпадающий список "New override". Он позволяет вам выбрать библиотеку Windows из невероятно длинного списка, или ввести свою. После этого вы кликаете кнопку "Add" для добавления в список.
После нажатия "Add" библиотека появится в поле ниже, называемом "Existing overrides.". Это поле содержит список переопределяемых библиотек, добавленных в WINE. По умолчанию, новое переопределение (native, builtin) будет следующим. Это значит, что WINE сначала будет пробовать использовать нативную Windows-версию библиотеки. Если попытка будет неудачной, WINE вернется к своей встроенной версии. Эти опции можно изменять. Для этого выделите нужное вам переопределение, затем кликните "Edit" сбоку от поля "Existing overrides".
Кликнув кнопку "Edit", мы увидим окно, которое позволяет редактировать переопределение. Здесь можно выбрать из пяти доступных опций, большинство которых представляют собой различные комбинации "Native" and "Builtin." Последний доступный вариант - "Disable". Какую опцию выбрать, зависит от типа ошибок, с которыми вы столкнулись. Найти нужное сочетание опций может быть достаточно трудно, особенно если программа не документирована в WINE Appdb (https://appdb.winehq.org). Вы можете попробовать запустить программу в WINE из командной строки, чтобы просмотреть вывод, в котором можно найти немало полезной информации.
Если вам необходимо удалить переопределение, просто выделите его в поле "Existing overrides" и кликните кнопку "Remove". Время от времени приходится это делать при обновлении программы.
3. Графика
Вкладкой "Graphics" вы скорее всего будете пользоваться не очень часто. Если у вас проблемы с разрешением экрана, можно настроить dpi, а если ваш менеджер окон ведет себя неправильно, можно отключить его контроль над окнами WINE.
Более часто вы будете использовать опцию "Emulate a virtual desktop" вкладки "Graphics". Эта опция позволяет вам заставить приложение WINE запускаться в окне, которое ведет себя как виртуальный рабочий стол. Помните, что это не виртуальная машина. Она просто заставляет приложения работать в WINE в окне.
Вероятно эта опция выглядит достаточно странной, но есть по крайней мере пара случаев, когда она может стать необходимой.
Очень часто в WINE программы отказываются запускаться в оконном режиме. Обычно эта проблема встречается в играх, где какой-то странный баг проявляется только в оконном режиме. Обходной путь для запуска таких игр в оконном режиме - использовать опцию "Emulate virtual desktop".
Другой случай более проблематичный. Иногда приложение пытается изменить разрешение экрана и в процессе падает. Снова, чаще всего это происходит с играми, особенно со старыми. Крах может в итоге привести к черному экрану, выставленному неправильному разрешению или к зависанию X-сервера. В любом случае это проблема. Для ее предотвращения запускайте программу с опцией "Emulate a virtual desktop". Она возможно не предотвратит падения программы, но должна предотвратить проблемы с остальной системой. Это полезная методология отладки.
4. Интеграция десктопа
Вероятно вы никгода не использовали эту вкладку. Вкладка "Desktop Integration" позволяет вам менять внешний вид приложений, запущенных в WINE. Однако, большинство графических оболочек и менеджеров окон и так прекрасно справляются с этой задачей, в результате чего практически никогда не возникает необходимости в смене темы. Худшее, что может вас ждать, если вы не будете использовать эту вкладку - оформление в стиле Windows 98.
Также здесь есть опция "Folders". Она позволяет менять привязки ваших директорий в /home к их эквивалентам Windows. Обычно всех устраивают установки по умолчанию.
5. Диски
Обычно WINE хорошо справляется с обнаружением дисков. Если же диск не определился, или вам необходимо добавить в систему физический или виртуальный привод, для этого служит вкладка "Drives".
При добавлении физического привода вы можете вопользоваться кнопкой "Autodetect", чтобы WINE попробовал определить новый привод. Если это не сработало, или вы добавляете виртуальный привод, вы можете кликнуть "Add..." и задать букву для нового диска. Далее выберите диск в окне "Drive configuration" и измените путь к устройству в поле "Path".
Эта вкладка очень полезна при запуске игр, которые размещаются на нескольких дисках, или игр, которые требуют наличия диска в приводе для запуска. Это также может помочь, если у вас есть назначенный диск или раздел Windows, на котором находятся игры или другие программы.
6. Аудио
Эта вкладка позволяет настраивать ввод и вывод звука. Обычно лучше оставить здесь настройки по умолчанию. Если вы знаете, что делаете, и для чего, тогда можете менять их.
7. Staging
Вкладка "Staging" будет у вас только в том случае, если вы устанавливаете промежуточные релизы или патчи. Она представляет собой просто набор чекбоксов, которые позволяют включать или отключать различные возможности, предоставляемые патчами. Главная функция - возможность активировать поддержку CSMT или Gallium Nine, в зависимости от установленных патчей. CSMT доступна для всех видеокарт и драйверов, и позволяет значительно увеличить производительность во многих программах и играх. Gallium Nine доступен только для пользователей Mesa и может потенциально получить огромный прирост производительности. Однако две эти опции нельзя использовать одновременно. Другие опции могут также обеспечить некоторый прирост производительности.
8. Настройки под конкретные программы
Так как большинство настроек WINE служит для устранения проблем, связанных с различными приложениями, имеет смысл создание определенных конфигураций под разные программы. Вкладка "Application" позволяет вам создавать конфигурации, выбираемые при запуске в WINE определенных приложений, а также выбирать эмулируемую версию Windows для обеспечения совместимости.
Для создания заданного набора настроек кликните "Add application...". Вы увидите окно, которое позволяет выбрать исполняемые файлы Windows.
winecfg будет менять настройки в зависимости от того, какое приложение выбрано во вкладке. По умолчанию выбраны настройки по умолчанию. Это общие параметры, которые будут применяться ко всем приложениям, за исключением специфичного набора настроек, предназначенного для конкретного приложения. Выбрав приложение во вкладке "", вы увидите настройки этого приложения во всех вкладках. Изменения, которые вы делаете в других вкладках, применяются только к выбранному приложению.
9. Заключение
winecfg - это маленькая, но мощная утилита, которая позволяет вам настраивать WINE в соответствии со своими нуждами. Познакомившись с нею, и научившись правильно использовать, вы сможете создавать работающие конфигурации со многими приложениями, которые запускаются с помощью WINE. Кроме того, используя winecfg вместе с winetricks, вы сможете добиться практически нативного уровня производительности для многих программ.
Работая в Linux у нас всегда предстоит выбор, какой из офисных пакетов для работы с документами выбрать чтобы работать с таблицами, с обычными текстовыми файлами word, excel, с файлами презентаций, с формулами итд. Да, выбор не легкий, сегодня я постараюсь описать возможности OnlyOffice и LibreOffice этих двух замечательных офисных пакетов.
LibreOffice
Офисный пакет который содержит в себе:
Writer — очень удобный текстовый редактор который входит в составе LibreOffice. Вы можете использовать его для любых текстовых документов, например (написание писем, вёрстка книги, публикация иллюстраций, написание биографии или чего еще, составление портфолио, создание диаграмм. Также вы можете пользоваться функционалом (авто-завершение, авто-форматирования и встроенная проверка орфографии), это сложные задачи для WPS Office, но легкие для LibreOffice. При необходимости вы можете отключить все эти функции. Writer является достаточно мощным для повседневных настольных задач, таких как создание информационных бюллетеней и брошюр с несколькими колонками. Ваши возможности по оформлению текста ограничены только вашим воображением!
Calc — повелитель цифр и помощник в решении трудных задач. Используя Calc, вы можете выполнить анализ многих математических данных, которые в итоге можете отобразить в удобной для вас форме (например, в виде графика или диаграммы). Полностью интегрированная система помощи Calc всячески помогает и облегчает работу со сложными формулами. Так же стоит добавить, что вы можете импортировать данные из внешних баз данных (таких как SQL или Oracle), после по необходимости отсортировать или отфильтровать их, для последующего статистического анализа. Можно использовать графические функции для отображения большого количества 2D-и 3D-графиков из списка в 13 категорий (в том числе — линий, областей, баров, круговых диаграмм, XY) — среди десятков вариантов вы обязательно найдёте тот, который подходит вашему проекту.
Impress — повелитель презентаций, самый быстрый и самый простой способ для создания эффектных мультимедийных презентаций. Вы можете использовать анимацию или добавлять спецэффекты, что поможет поразить вашу аудиторию для которой готовилась презентация.
Draw — повелитель диаграмм, позволяет с нуля создавать диаграммы и эскизы. Используя этот инструмент вы можете легко нарисовать, например линейные диаграммы возможно прямоугольники. Или же пойти еще дальше, и создать 3D-иллюстраций с использованием эффектов. Draw - это одновременное очень простой и тут же очень мощный инструментарий с помощью которого можно выполнить очень много, все зависит лишь от ваших пожеланий.
Base — повелитель баз данных, позволяет работать с базами данных с пакета LibreOffice без использования дополнительного ПО. При инструмента Base, вы можете легко интегрировать имеющиеся БД в компоненты LibreOffice, или же создать интерфейс для использования и администрирования данных в виде отдельного приложения. Вы можете импортировать таблицы из БД MySQL, PostgreSQL, Microsoft Access и многих других источников, так же можете создать свою базу данных с удобной оболочкой (front-end), которая способна обеспечить поддержку управления современными формами, отчётами итд. Присутствует встроенная поддержка HSQL, MySQL, Adabas D, Microsoft Access и PostgreSQL, в дополнение вы можете легко использовать множество других СУБД.
Math — повелитель формул LibreOffice. Очень простой редактор формул, который позволяет легко отображать математические, химические, электрические или при необходимости научные уравнения, используя стандартные символьные обозначения. Даже сложные расчёты вы можете преподнести в понятной форме, например E = mc2.
Основным форматом файлов, использующимся в приложении, является открытый международный формат OpenDocument (ODF, ISO/IEC 26300), но возможна работа и с другими популярными форматами, в том числе Office Open XML, DOC, XLS, PPT, CDR.
Офисный пакет распространяется под общественной лицензией GNU LGPL, поэтому может свободно устанавливаться и использоваться в бюджетных и коммерческих организациях, а также на домашних компьютерах и в учебных заведениях.
Установка LibreOffice
Если вы устанавливали систему с нуля и это Ubuntu или же Linux Mint и подобные дистрибутивы основанные на Debian, этот офисный пакет устанавливается по умолчанию без необходимости выполнять установку вручную. В том случае если вы удаляли, установить можно очень просто, откройте терминал CTRL+ALT+T и выполним команду:
sudo apt install libreoffice
так же как вариант, вы можете скачать deb пакет с официального сайта:
Отличное многофункциональное офисное приложение в пакет которого входит возможность работы в онлайне позволяя работать с текстом, таблицами и создавать презентации используя в дополнение функции совместного редактирования, систему документ-менеджмента, CRM, менеджер проектов, почтовый клиент, календарь, корпоративную социальную сеть. Используя ONLYOFFICE, вы должны понимать, что используя это офисное приложение, вы сможете работать с документами как локально без сети интернет так и онлайн храня ваши документы в облаке. Данные хранятся на удаленных серверах в удобной для вас точке мира.
Возможности OnlyOffice:
Поддержка работы с word, excel, с презентациями и формулами.
Онлайн-редактор документов (вы можете редактировать ваши документы используя браузер).
Поддержка работы с форматами doc, docx, pptx, xlsx так же без проблем откроет (odt, ods, odp и odf), только стоит заметить, что при открытии документов в формате odt приложение конвертирует их в docx.
Совместная работа и система документ-менеджмента (имеется встроенный функционал для редактирования документов совместно с коллегами в офисах, встроенный чат, возможность комментирования документов, редактирование документа для нескольких человек, возможность скрытого редактирования документов и прочий другой функционал).
CRM система (Имеет встроенную CRM систему которая позволяет интегрировать почту, календарь для управления продажами, контроль возможных сделок и ведение базы клиентов итд).
Менеджер проектов (встроенный планировщик задач, вы можете запланировать работу для каждого сотрудника и наблюдать за сроками выполнения).
Встроенный календарь и почтовый клиент.
Десктопные редакторы ONLYOFFICE (вы можете установить редактор в Windows, Mac OS и Linux).
По производительности, скорости работы OnlyOffice уступает LibreOffice, при создании или открытии документов это очень хорошо видно или же при запуске приложения.
Разработчики честно признаются, что при конвертации odf и odt в docx, вы будете иметь потерю в качестве документа на 1%, все же это хорошо и терпимо, это не потеря в 40-50%, а лишь в 1%.
Пользоваться или не пользоваться и чем пользоваться, решать вам, и первый и второй офисные пакеты очень хороши, конечно, первый немного слабее по функционалу чем второй, но пользоваться можно. На этом наш краткий обзор возможностей LibreOffice и OnlyOffice окончен, если у вас остались вопросы, спрашивайте в комментариях.