WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 4 | 5 || 7 |

«Ubuntu® Linux® TOOLBOX 1000+ Commands for Ubuntu and Deblan Power Users Christopher Negus Franois Caen 81C8NT8NNIAL 1807 =WILEY = 2007 -. ...»

-- [ Страница 6 ] --

Реги рация в удаленной си еме и нн ирование с помощью SSH Использование устаревших с едств коммуникации р Несмотря на тот факт, что SSH предоставляет более совершенные сред­ ства удаленной коммуникации, устаревшие команды (их иногда назы­ вают г-команды) до сих пор включаются во все крупные дистрибутивы Linux. Некоторые из этих инструментов будут работать быстрее, чем соответствующие им команды SSH, так как им не надо проводить шиф­ рование данных. Некоторые администраторы UNIX старой закалки могут иногда пользоваться ими в личных сетях или все еще в ючать в свои сценарии. Хотя по большей части вы будете просто оставлять в стороне устаревшие команды удаленного достуnа, в некоторых слу­ чаях te1 net может быть полезной.

Команда te1 net все еще применяется для связи с некоторыми сете­ выми устройствами (маршрутизаторы, переключатели, UPS и пр.), у которых нет мощности для запуска демона ssh. Хотя она несет в себе некоторый риск, связанный с безопасностью, некоторые производите­ ли все еще включают поддержку te1 net в свои устройства.

Отличным способом применения команды telnet является устране­ ние неполадок связанных с интернет-протоколами РОРЗ, SMTP, НТТР и др. На самом деле данные текс:rовые протоколы - это автоматические сессии te1 net, в течение которых клиент (например, браузер или почто­ вая программа пользователя) обменивается текстом с сервером. Един­ ственным отличием является используемый ТСР-порт. Вот пример использования te1 net через НТТР-порт (80) веб-сервера:

$ tel net www. exampl e. com Tryi ng 208. 77. 188. 166.

Connected to www. examp1 e. com.

Escape cha racter i s ' А] ' GET 1 НТТР/ 1. Введите в символ возвра та каретки торой НТТР 11. 1 200 ОК Подобно этому, вы можете настроить команду te1 net на работу с пор­ том 25 почтового сервера (SMTP) и 1 10 (РОРЗ) и использовать необ­ ходимые команды для устранения неполадок с электронной почтой.

Более подробно применение te1 net для устранения неполадок с сете­ выми протоколами описывается в книге Linux TrouЬleshooting BiЬle (Wiley Publishing, 2004).

Если вы хотите выйти из telnet-ceccии, задействуйте ЕSС-последо­ вательность (Ct r1 +] по умолчанию). Это прекратит посылку информа­ ции с вашей клавиатуры на удаленный компьютер и выведет окно ко­ мандной строки te1 net, где вы можете напечатать qui t для выхода или ?, чтобы увидеть все параметры.

278 Глава 13. Удаленн админи ри вание Н SSH а ройка На сегодняшний день настоящим многофункциональным инструментом сетевых администраторов является SSH. Команды и сервисы SSH заменяют все старые средства для уд енного доступа и добавляют отличное шифрование данных, от­ крытые ключи и другие функции. Наиболее распространенным воплощением SSH в мире Linux является OpenSSH ( w.openssh.com) - программа, обслуживаемая проектом OpenBSD. В OpenSSH входят клиентская и серверная части.

Для установки сервера OpenSSH выполните следующую команду:

$ sudo apt - get instal l openssh - server Рассмотрим некоторые новые особенности SSH.

О В среде Windows можно использовать утилиты SSH из Linux с помощью Cygwin (www.cygwin.com). Если вы уже используете Cygwin (эмулятор среды Linux для Windows), то мы рекомендуем PuTTY (www.chiark.greenend.org/uk/sgatatham/ putty). PuTTY - это мощный TelnetjSSH-клиeнт с открытым кодом доступа.

О Используйте SHH версии 2, где это возможно, так как она наиболее хорошо защищена. Некоторые сетевые устройства, поддерживающие SHH, могут рабо­ тать только с более ранними, менее безопасными версиями. OpenSSH поддер­ живает все версии. Некоторые предыдущие версии Ubuntu принимали под­ ключения SSH 1 и SSH 2. Однако новые выпуски работают с версией 2 по умолчанию.

О В Ubuntu выполните команду /etc/i ni t. d/ssh sta rt, чтобы запустить сервис SSH (демон sshd). Для настройки сервиса отредактируйте файл /etc/ssh/ sshd_confi g.

О Чтобы настроить иент ssh, отредактируйте файл /etc/ssh/ssh_confi g.

Если вы предпочитаете использовать графические утилиты для администриро­ вания уд енной Linuх-системы, то можете активировать Х 1 1 -туннелирование (его также называют Х 1 1 Port F orwarding). С включенным Х 1 1-туннелированием (как на сервере, так и на иенте) вы можете запустить приложение Хна сервере, и оно будет отображаться на иенте. Вся передаваемая через это подключение информация зашифрована.

В Ubuntu переадресация портов Х1 1 в ючена (XllForwa rdi ng yes) на сервере посредствам демона sshd. Вам все же необходимо включать ее на стороне клиента.

Чтобы в юч ь переадресацию Х11 на иенте в рамках одной сессии, подклю­ читесь с помощью следующей команды:

$ ssh -Х francoi s@myserver Чтобы в юч ь переадресацию ХН на постоянной основе я всех пользо­ вателей, добавьте строку ForwardXll yes в файл /etc/ ssh/ssh_confi g. Чтобы переад­ ресация Х 1 1 постоянно была активна для определенного пользователя, добавьте строку в файл этого пользователя -. ssh/confi g. Как только эти установки были заданы, параметр - Х больше не нужен для запуска Х 1 1-туннелирования. Выполни­ те команду ssh, как обычно, для подключения к удаленной системе. Для проверки работы туннелирования после установки соединения с удаленной машиной с по Реги рация в удаленной си еме и нн ирование с помощью SSH мощью ssh запустите команду xcl ock, и данное приложение запустится на Рабочем оле вашего клиента.

SSН-туннелирование - это отличный способ безопасного использования уда­ ленных графических утилит!

с И попь ование команды ssh э для с хода даленного в у у в и ем Для безопасного входа в уд енную систему вы можете использовать один из двух возможных синтаксисов указания имени пользователя:

$ ssh - 1 francoi s myserver $ ssh francoi s@myserver Однако команды scp и sftp, рассмотренные в гл. 12, поддерживают только син­ таксис user@server, поэтому мы рекомендуем привыкнуть именно к нему. Если вы не укажете имя пользователя, то ssh попытается под ючитья с тем именем, под которым вы находитесь в системе. Если во время подключения вы захотите сао­ стоятельно пре вать ssh-ceccию, наберите ЕSС-последовательность (- ).

р Д SSH е г п о п к ч рез ру о орт д й По причинам, связанным с безопасностью, удаленный хает-компьютер может ука­ зать другой порт для работы SSН-сервиса, нежели порт 22, который используется по умолчанию. При таких обстоятельствах используйте параметр - р для связи с этим сервисом:

$ ssh -р 12345 francoi s@turbosphere. com Подключиться к SSH через порт И ь я нн ан я ан сп зов ие SSH иров и (Х1 1 Port Fo a ing) Если SSН-туннелирование настроено, как показано выше, то сервис SSH перена­ правляет клиенты Х Window System на ваш лок ьный монитор. Однако тунне­ лираванне можно использовать и с другими ТСР-протоколами.

Туннели ованне я клиентов ХН. Следующая последовательность команд р демонстрирует запуск SSН-сессии, а затем открытие нескольких Х-приложений, которые должны появиться в вашей лок ьной рабочей области:

$ ssh francoi s@myserver Открыть ssh -подключение к myserver francoi s@myserver ' s password : ******* [francoi s@myserver -} $ echo SDISPLAY Показа ть текущее значение экрана Х l ocal host : lO. O SSH ус танавливает $DISPLA Y как loca lhost : l O. O [francoi s@myserver -}$ xeyes& Показать мобильные «глаза экрана» [francoi s@myserver -}$ gno - cups - manager& Настроить удаленные прин теры [francoi s@myserver -} $ gksu servi ces - admi n& Изменить системные сервисы Туннели ованне я уд енного администрирования принтеров CUPS. Х 1 1 р это не единственный протокол, который работает с переадресацией. Вы можете задать переадресацию на любой ТСР-порт с помощью SSH. Это отличный способ 280 Глава 13. Удаленное админи рирование быстрой и легкой настройки безопасных туннелей. На стороне сервера не требует­ ся никакой настройки.

Например, myserver является сервером принтеров с включенным пользователь­ ским веб-интерфейсом сервиса CUPS (работающим через порт 631). Этот графи­ ческий интерфейс доступен только с лок ьной машины. На текущем клиентском компьютере мы создаем туннель к этому сервису с помощью команды ssh со сле­ дующими параметрами:

$ ssh · L 1234: l ocal host : 631 myserver Этот пример устанавщt:вает переадресацию порта 1234 клиентской части на порт 63 1 на сервере. Теперь мы можем открыть http://localhost: 1234 на компьютере­ клиенте. Этот запрос будет перенаправлен команде cupsd, которая ожидает сигнала через порт 63 1 на сервере.

Переадресация интернет-сервисов. Рассмотрим еще один пример использова­ ния SSH-туннелирования. Когда ваша лок ьная машина не имеет доступа к Ин­ тернету, но может подключиться к другому компьютеру (myserver) с активным интернет-соединением. Следующий пример позволяет посетить сайт Google.com (НТТР, ТСР порт 80) через SSН-подключение к компьютеру по имени myserver, который подключен к Интернету:

$ ssh · L 12345 : googl e. com : 80 myserver При использовании этого примера любое подключение к лок ьному порту 12345 переадресовывается через SSH-туннель к myserver, который, в свою очередь, открывает подключение к Google.com через порт 80. Теперь вы можете зайти на http://localhost: 12345 и использовать myserver как ретранслятор сайта Google.com.

Поскольку вы используете команду shh для переадресации порта, а не для получе­ ния интерпретатора команд на сервере, то можете добавить параметр - N, чтобы предотвратить выполнение уд енных кома :

$ ssh · L 12345 : googl e. com : 80 - N myserver П ем-с SOCКS им ка пр к ер ера р ене е в че ве о в ин SSH Предыдущий пример демонстрирует, что вы можете переадресовать порт от кли­ ента к компьютеру, отличному от сервера. В реальности лучшим способом вы­ вести трафик браузера из вашей локальной сети через кодируемый туннель является использование встроенной в SSH функции прокси-сервера SOCKS.

Например:

$ ssh -D 12345 myserver Динамический параметр ( - D) ssh позволяет войти в myserver (как обычно). Пока подключение активно, все запросы, отправленные порту 12345, переадресовы­ ваются на myserver. Далее установите прокси-сервер SOCKS vS в браузере как localhost: 12345, и вы будете готовы к его использованию. Не вводите ничего в поля НТТР и других протоколов. Они все работают через SOCKS. На рис. 13. 1 показа­ но окно настройки под ючений Firefox.

Реги рация в удаленной си еме и нн ирование с nомощью SSH A l рtФ.у 11о /or r QI\ ecr • Р'""У uon I IПP Pt01< fJII\!Y "Мiif'l ftv nrni Sl Pr [IP Pr Pr loca/ • SOC KS yS, 1 Рис. 13.1. Исnол уйте окно на ройки nод ючений Flrefox я оnр ения nарам ров nрокси-сервера Для проверки настроек отключите сессию ssh и зайдите на любой сайт. Браузер должен выдать сообщение об ошибке прокси-сервера.

Выбрав команду Connection • SSH • Tunnels (Подключение • SSH • Туннели) в Putty, вы можете реализовать такую же переадресацию и в среде Windows.

SSН-а ен и икаци и ан м к ы г ю а т я ф с споп ов ие от р то о ч До сих пор мы использов и команду ssh с аутентификацией по умолчанию.

Команда также поддерживает аутентификацию с использованием открытого клю­ ча. Это имеет несколько преимуществ.

О Автоматический вход в систему я сценариев и процессов cron. У становив пустую фразу-пароль, вы можете использовать ssh в сценариях для автомати­ ческого входа в систему. Хотя это и удобно, но небезопасно, так как любой, кто получит доступ к вашему файлу с ключом, может подключиться к любой ма­ шине, к которой вы имеете доступ. Настройка автоматического входа в систему также может осуществляться с помощью фразы-пароля и агента по работе с клю­ чами. Как показано ниже, это компромисс между удобством и безопасностью.

О Двухфакторпая аутентификация. При использовании юча с фразой-паролем для интерактивного входа в систему аутентификация проводится по двум фак­ торам ( юч и фраза-пароль) вместо одного.

Вход в систему с использованием открытых ключей. Рассмотрим процесс установки связи между двумя Linuх-системами на основе ключа. В следующих 282 Глава 13. Удаленное админи рирование примерах мы используем пустые фразы-пароли, не применяя имя пользователя и пароль. Если вы желаете защитить юч с помощью пароля, то просто введите его во время первого шага (создание пары ключей).

Запустите следующую команду ssh-keygen на компьютере-клиенте для создания пары ключей, когда находитесь в системе под именем пользователя, которому необходимо установить связь:

$ ssh- keygen Generati ng puЫ i c/pri vate rsa key pa i r.

Enter fi l e i n whi ch to save the key ( / home/chri s/. ssh/i d_rsa ) : Enter passphrase C empty for no passphrase ) : Enter same passphrase agai n : Your i denti fi cati on has been saved i n /home/chri s/. ssh/ i d_rsa. Your puЬl i c key has been saved i n /home/chri s/. ssh/ i d_rsa. pub. The key fi ngerpri nt i s :

ac : db: a4: 8e: Зf: 2a : 90 : 4f: 05: 9f: b4: 44: 74: 0e: d3: db chri s@host. domai n. com Обратите внимание, что при каждом приглашении к действию вы нажимали Enter для создания файла ключа, используемого по умолчанию и для ввода (под­ тверждения) пароля. Теперь у вас есть частный ключ, который должен храниться в безопасном месте, в особенности если он не был защищен паролем.

Кроме того, у вас есть открытый ключ ( i d_rsa. pub ), который был создан преды­ дущей командой. Открытый ключ должен быть установлен на хает-компьютерах, к которым вы хотите под ючаться. Содержимое файла -/. ssh/i d_rsa. pub нужно скопировать (безопасно) в-1. ssh/authori zed_keys2 для пользователя, который будет использовать ssh на уд енном компьютере. Файл authori zed_keys2 может содер­ жать несколько ючей, если несколько пользователей использовали ssh для под­ ключения к этой учетной записи.

Войдите в уд енную серверную систему под именем пользователя, от имени которого хотите использовать ssh с ключом. Если у вас все еще нет папки -/. ssh, то первым делом необходимо создать ее:

$ cd $ mkdi r. ssh $ chmod 700. ssh Д ее копируйте (безопасно) файл открытого ключа с клиента и поместите в файл авторизированных ключей на сервере. Это можно сделать с помощью ко­ манды scp. Предположим, что имя клиентской системы - myclient, а пользова­ тель - chris. Введите на сервере следующее:

$ scp chri s@Щycl iet: /home/chri s/. ssh/id_rsa. pub Получить клиен тский id_rsa. pub $ cat id_rsa. pub >> -/. ssh/authori zed_keys2 Добавить к ва им кл а ш юч м $ chmod 600 -/. ssh/authori zed_keys2 Закрыть права доступа $ rm id_rsa. pub Удалить открытый ключ после копирования его содержимого Эта продедура также может быть выполнена путем редактирования текстового файла -/. ssh/authori zed_ keys2 на сервере и копирования/вставки открытого клЮча с компьютера иента. Убедитесь, что передача происходит безопасно через ssh, Реги рация в удаленной си еме и нн ирование с помощью SSH и не вставляйте никаких переносов на новую строку при записи юча. Полный ключ должен помещаться на одной строке, даже если он выходит за пределы экрана.

Затем вы можете просто выполнять команду ssh с компьютера- иента (при­ меняя учетные записи пользователей, для которых проводили настройку), и сервер будет использовать ключ. Если вы установите фразу-пароль, то у вас будут ее тре­ бовать, как обычный пароль.

Сохранение частных ключей для их использования с Flаsh-носителя. Если вы хотите хранить свой частный ключ в более безопасном месте, нежели жест­ кий диск, то можете использовать Flаsh-носитель (его также называют флеш­ кой):

$ mv -/. ssh/id_rsa / di a/THUMBDRIVEl/щypri vatekey Далее, когда вы захотите использовать юч, введите следующее:

$ ssh - 1 / di a/ТНUMBDRIVEl/щypri vatekey chri s@Щyserver Использование ключей с фразами-паролями более безопасно, чем применение обычных паролей, но и более затруднительно. Для облегчения работы можно ис­ пользовать команду ssh - agent, чтобы хранить разблокированные ючи на время текущей сессии. Добавив разблокированный юч в запущенный ssh-agent, вы сможете запускать команду ssh с ючом, но у вас теперь не будут каждый раз за­ прашивать фразу-пароль.

Чтобы увидеть, что делает команда ssh-agent, запустите ее без параметров.

После запуска появится трехстрочный Ьаsh-сценарий:

$ ssh - agent SSH_AUTH_SOCK=/tmp/ssh- SkEQZ18329/agent. 18329 : export SSH_AUTH_SOCK:

SSH_AGENT_P ID=18330 : export SSH_AGENT_P I D:

echo Agent pi d 18330 :

Первые две строки вывода должны быть выполнены вашим интерпретатором команд. Скопируйте эти строки в командную оболочку (shell) прямо сейчас. Вы мо­ жете избежать этих действий, запустив ssh- agent и приказав интерпретатору ко­ манд bash выполнить результат работы команды. Это достигается следующим образом:

$ eval ' ssh- agent ' Agent pi d Теперь можно разблокировать ключи и добавлять их в запущенный агент.

Допустим, вы уже создали ключ командой ssh- keygen. Теперь добавим юч, ис­ пользуемый по умолчанию, с помощью команды shh - add:

$ ssh- add Enter passphrase for /home/chri s/. ssh/i d_rsa : ******* Identi ty added : /home/chri s/. ssh/ i d_rsa ( /home/chri s/. ssh/i d_rsa ) Далее вы можете добавить ключ, хранящийся на флешке:

$ ssh - add / di a/THUMBDRIVEl/щypri vatekey 284 Глава 13. Удаленное админи рирование Для вывода списка всех КJПОчей, хранящихся в агенте, используйте параметр - l :

$ ssh- add - 2048 f7 : b0 : 7a : 5a : 65: 3c: cd: 45: b5 : 1c: de: f8: 26: ee: 8d: 78 /home/chri s /. ssh/i d_rsa ( RSA) 2048 f7 : b0 : 7a : 5a : 65: 3c: cd: 45 : b5 : 1c: de: f8: 26: ee: 8d: /medi a /THUMBDRIVEl/mypri vatekey ( RSA ) Чтобы уд ить один юч из агента, например находящийся на флешке, запус­ тите команду ssh-add с параметром -d:

$ ssh- add - d / d;

a/THUMBDRIVEl/mypr;

vatekey Для уд ения всех ючей, хранJПЦИхся в агенте, используйте параметр - 0:

$ ssh- add - D screen:

е е е м д е При н ни богаты у ал нны й й е е п м д инт р р татор ко ан Команда ssh открывает только одно окно. Если вы его потеряете, то можете также потерять все, что сделали на удаленном компьютере. Это может быть плачевно, если вы в тот момент работали с чем-то важным, например с двенадцатичасовой компиляцией. Если же вы хотите выполнять три команды одновременно, например vi httpd. conf, tai l - f error_l og и servi ce httpd rel oad, необходимо открыть три отдельные ssh-ceccии.

По существу, screen - это мультиплексор терминалов. Если вы системный ад­ министратор, работающий на удаленных серверах, то screen станет для вас отличной утилитой для работы с удаленным компьютером, где доступна только командная строка. Кроме того, что она позволяет создавать несколько сессий интерпретатора команд, команда дает возможность отсоединиться от него, а затем обратно подклю­ читься к той же сессии.

Пакет программ screen установлен в Ubuntu по умолчанию.

Для использования screen запустите команду ssh из командной строки клиен­ та для подключения к Linux-cepвepy, где установлен пакет screen. Далее просто наберите следующую команду:

$ screen Если вы запустили команду screen из окна терминала, то сначала увидите при­ ветствие, которое вопрошает о пицце и пиве, а затем обычную командную строку bash в окне. Для управления screen нажмите сочетание клавиш ri+A и еще одну клавишу, например ri+A и ? (упоминается как Ctrl +A, ?), что приведет к отобра­ жению экрана помощи. Вот несколько команд и сочетаний клавиш, которые вы можете использовать для работы с запущенной программой screen:

$ screen - l s Список активных окон There i s а screen on :

7089. pts - 2. myserver ( Attached ) Указывает на то что окно прикреплено.

1 Socket i n /var/ run/screen/S- francoi s.

$ Ctrl +A, а Сненить заголовок окна Применение screen: гатый удаленный интерnретатор команд Set wi ndow' s titl e to : Му Server Набра ть новый заголовок $ Ctrl +A, с Создать новое окно $ Ctrl +A, " Показа ть активные заголовки окон Fl ags Num Name О Му Server Клавиши t и меняют окна 1 bash $ Ctrl +A. d Отключи ть окно от терминала $ screen - l s Список активных окон There i s а screen on :

7089. pts-2. myserver ( Detached ) Показывает. что окно отключено 1 Socket i n /var/ run/screen/S- francoi s.

Только что показанная сессия screen вывела два окна (в каждом запущен ин­ терпретатор команд shell). Вы можете создавать сколько угодно окон и называть их по своему желанию. Кроме того, вместо от ючения окна от сессии screen мож­ но просто закрыть его, выйдя из интерпретатора команд в каждом открытом окне (нажав сочетание клавиш ri+D).

Когда сессия screen отключена, вы возвращаетесь в интерпретатор команд, от­ крытый после первого входа в систему сервера. Вы можете повторно подключить­ ся к screen-ceccии так, как описано в следующем подразделе.

В табл. 13. 1 показаны другие полезные сочетания клавиш для управления, до­ ступные в screen.

Та ица 13.1. Сочетания авиш я уnравления командой screen Соч ание Опи ние Ctri+A, ? Покаэать экран nомощи Qri+A, C Создать новое окно Ctri+A, D От ючить окно от терминала;

screen-ceccия и ее окна о аются в ра чем со оянии Ctri+A, " Покаэать сnисок окон Qri+A, ' Строка я ввода номера или имени окна, на которое необходимо nе ючиться Qri+A, N Просмотреть ующ окно Ctri+A, Р Просмот ть n ыдущее окно Qri+A, [ В screen от ючена вертикальная nрокр ка терминала. Эти авиши в ючают режим nрокр ки в screen. Нажмите два ы Enter я выхода Qri+A, Shl +A Переименовать те щ окно Ctri+A, W Покаэать сnисок имен окон в роке заголовка к е screen П ю овторное под чение с ссии Отключившись от сессии screen, вы можете вернуться к ней позже (даже если вый­ дете из системы и отключитесь от сервера). Для повторного подключения к сессии с одним запущенным окном наберите следующее:

$ screen - r 286 Глава 13. Удаленное админи рирование Если запущено несколько сессий screen, то команда screen - r не сработает. На­ пример, следующие строки показывают, что случится, если работают две отклю­ ченные screen-ceccии:

$ screen - r There are severa l sui taЬl e screens on :

7089. pts - 2. myserver ( Detached ) 7263. pts - 2. myserver ( Detached ) Туре " screen [ - d] - r [pi d. ]tty. host " to resume one of them.

Как и предлагает результат выполнения команды, вы можете идентифициро­ вать сессии по их названиям (которыми по умолчанию являются комбинации ID процесса, названия tty и имени хает-компьютера). Например:

$ screen · r 7089. pts- 2. myserver И сс screen мена се ий Вместо названий, используемых по умолчанию, можно создавать более описа­ тельные имена после запуска screen. Например:

$ screen - S mysession $ screen - l s There i s а screen on :

26523. mysessi on (Attached ) к с П а редо авпение общего до п ессиям Команда screen также предоставляет общий доступ к сессиям. Эта функция пре­ красно подходит для технической поддержки, так как любой подключенный к этой сессии может как печатать, так и смотреть на происходящее. Присвоение названия окну, как показано в предыдущем разделе, делает эту процедуру еще проще. В ре­ зультате другой человек на другом компьютере может подключиться к серверу с помощью ssh (используя то же имя пользователя) и набрать следующее:

$ screen - х mysession Если запущена только одна сессия screen, то по аналогии с командой screen - r вам не надо указывать имя нужного окна для подключения:

$ screen - х е з а п ь ание уд л нного Ис ол ов Windows г а рабоче о ол Многие системные администраторы, привыкшие использовать Linux, по возмож­ ности предпочитают администрировать свои Windows-cиcтeмы именно через Linux.

В ней есть такие утилиты, как rdesktop и tsclient, которые позволяют присоеди­ ниться к системе Windows, на которой запущен Windows Terminal Services.

Чтобы иметь возможность подключиться к Рабочему столу Windows из среды Linux, необходимо включить удаленный рабочий стол в системе Windows. Для это Испол ование удаленного рабочего ола Windows го в Windows ХР, например, щелкните правой кнопкой мыши на значке Му Computer (Мой Компьютер) и выберите пункт Properties (Свойства). Затем перейдите на вкладку Remote (Удаленное использование) и установите флажок Allow users to conne remotely to this computer (Разрешить уд енное под ючение пользователей к этому компьютеру). Выберите пользователей, которым вы разрешаете под ю­ чаться к Windows, и нажмите кнопку ОК.

Теперь в Linux вы можете использовать утилиты dresktop или tsclient (графиче­ ский пакет на основе rdesktop) для под ючения к Windows с помощью протокола удаленного рабочего стола (RDP). В Ubuntu все эти компоненты установлены.

К tsclient оманда Если вы привыкли использовать в Windows приложение Remote Des op Conne ion (Подключение к удаленному рабочему столу) (ранее известное под названием Terminal Se ices Client (Клиент службы термин а)) для под ючения одного ком­ пьютера к другому, то, возможно, оцените tsclient как отличный способ подклю­ читься к Рабочему олу Windows из Linux. Запуск tsclient открывает окно Terminal Se er Client (Клиент сервера терминала), которое симулирует интерфейс клиента уд енного доступа к Рабочему лу Windows.

Когда пакет программ tsclient установлен, запустите tsclient из Рабочего ола GNOME, выполнив команду Applications • Internet • Terminal Se er Client (Приложе­ ния • Интернет • Клиент сервера терминала) или набрав следующую команду в своем интерпретаторе команд:

$ tscl ient & На рис. 13.2 показано окно Terminal Server Client (Клиент сервера термин а).

Туре t n..vn d t CM1puiU 01 c e t • ( pute-t ff thc n h5t Cnm RDr.s С "' Рис. 13.2. клиент сервера терминала (t:scient) подключа ся к Ра чему олу Windows 288 Глава 13. Удаленное админи рирование Возможно, что все, что вам необходимо ввести в этом окне, - это IР-адрес сис­ темы Windows. Вероятно, у вас запросят имя пользователя и пароль, в зависимости от настроек Windows. Выбирайте различные вкладки для более детальной настрой­ ки подключения к удаленному рабочему столу Windows.

Обратите внимание на то, что tsc 1 i ent также можно использовать для VNC и ХDМСР.

К rdes op оманда Если вы предпочитаете не использовать программу tclient, описанную выше, мож­ но войm в удаленную систему Windows с помощью команды rdesktop. Она запра­ шивает вход в систему Windows, затем открывает Рабочий ол Windows для теку­ щего пользователя. Вот примеры команды применения rdesktop:

$ rdesktop 172. 16. 18. 66 Вход на Рабочий стол по IР-адресу $ rdesktop - u chri s - р Н6руХХ wi n1 Указа ть иня поль зова теля /пар ль а для х ет-конпьютера winl а $ rdesktop - f wi n1 Запустить в полноэкраннон режине $ rdesktop - 0 - r sound : l ocal wi n1 Пряной звук от сервера к клиен ту $ rdesktop -Е wi n1 Отключить шифрование клиент/сервер Если вы от ючите шифрование клиент/сервер, пакет с данными о входе в сис­ тему будет шифроваться, а все остальное - нет. Это может намного повысить производительность, однако любой человек, проелушивающий ваш LAN, может увидеть текст проводимых операций связи (включая все интерактивные входы в систему после первого пакета с данными о входе в систему).

Есть еще несколько параметров команды rdesktop, способных повысить произ­ водительность:

О -m - не отсылать передвижения мыши;

О - D - скрыть оформление менеджера окон;

О - К - не переопределять назначения клавиш менеджера окон.

У е п а н д л н ы рабочи о й й Linux еи ж я и прило м Система Х Windows System (Х) не должна запускаться на обычных серверах по причинам безопасности и производительности. Но благодаря характеру клиент/ сервер вы можете запустить Х- программу на удаленном компьютере и перенапра­ вить ее графический вывод на свой Рабочий л. Таким образом, приложение, за­ пущенное на удаленной машине, - это Х-клиент, а ваш Рабочий ол - Х-сервер.

Запуская Х-приложения в ненадежных сетях или в Интернете, используйте опи­ санную ранее SSН-переадресацию. В надежных сетях делайте это без SSH, как описано ниже.

Удаленный ра чий стол и приложения Linux По умолчанию ваш Рабочий ол Хне будет позволять Х-приложениям подклю­ чаться к нему. Можно разрешить запуск уд енных программ на Рабочем столе с помощью команды xhost. Используйте ее на своей локальной Linux-cиcтeмe для контроля над удаленными машинами, которые моrут подключаться к Х и выводить приложения на вашем Рабочем оле. Рассмотрим примеры использования коман­ ды xhost:

$ xhost Вывести список хост-конпьютеров. которым разрешен доступ access control enaЫed. onl y authori zed cl i ents can connect $ xhost + Отключить контроль доступа (опасно ) access control di saЫ ed. cl i ents can connect from any host $ xhost - Повторно активировать контроль доступа access cont rol enaЫ ed, onl y authori zed cl i ents can connect $ xhost remotemach1 ne Добавить хост-конпьютер, которому разрешен доступ remotemachi ne bei ng added to access control l i st Контроль доступа отключается только для задач, связанных с устранением неполадок. Однако если для определенного хост-компьютера (в данном случае remotemachine) доступ открыт, можно выполнить следующую операцию в интер­ претаторе команд удаленной машины, чтобы приложения Х с этой машины появ­ лялись на локальном Рабочем оле (в данном случае localmachine):

$ export DISPLAY•l ocal mach1 ne : O Установить DISPLA Y как 7oca 7machine: O $ xterm & Открыть удаленный терминал на локальном онпьютере $ xcl ock & Открыть удаленные часы на локальном конпьютере $ gtal 1 & Открыть удаленную игру dice на локальном конпьютере После отправки переменной D ISPLAY на remo machine указания на localmachine любое приложение, запущенное из интерпретатора команд на удаленном компью­ тере, отобразится на Рабочем оле на локальной машине. В данном случае мы за­ пустили окно терминала, часы и приложение с игрой.

6 поспедних версиях Ubuntu X-server ПО умолчанию не ожидает ТСР-под ючений. я разрешения удаленных под ючений от а ируйте файл /etc/gdm/gdm.conf-custom на Х-серве сп ующим образом:

[securi ty] Di sal l owTCP=fa l se затем пе запу ите Х Windows.

Предоставить таким образом общий доступ к приложениям Х между Linux­ и UNIХ-системами достаточно легко. Однако довольно банально использовать его для связи с другими платформами. Если на вашем компьютере установлена Windows, вам придется запустить Х-сервер. Бесплатным решением этой проблемы является программа Cygwin, в которую входит Х -сервер. Существуют также мно­ гофункциональные коммерческие Х -серверы, но они моrут быть очень -дорогими.

Для предоставления общего доступа к уд енным рабочим столам между разными операционными системами мы предлагаем использовать виртуальную сеть пере­ дачи данных (VNC).

290 Глава 13. Удаленное админи рирование д а е е ще б д Пре о вл ни о го о п а к и VCN Р щ ю абоч м м п м ола с о о ь Виртуальная сеть передачи данных состоит из программ для сервера и клиента, которые позволяют получить доступ к полному отображению Рабочего стола с одного компьютера на другой. В Ubuntu по умолчанию установлена программа vncviewer длЯ доступа к удаленному рабочему столу с вашего компьютера (кли­ ент), но необходимо установить пакет программ vncserver, чтобы иметь возмож­ ность предоставить доступ на ваш Рабочий ол (сервер). Для этого наберите сле­ дующее:

$ sudo apt - get instal l vncserver Клиенты и серверы VNC работают со множеством операционных систем. VNС­ серверы можно применять в системах Linux, Windows (32-Ьit), Мае OS Х и UNIX.

VCN -клиенты используются в вышеперечисленных, а также во множестве других систем (включая OS/2, PalmOS) и даже могут применяться как jаvа-приложение в браузере.

Н VNC-cepвepa а ройка Предположим, что в своей системе Linux вы используете Рабочий ол, заданный по умолчанию (DISPLAY= : O) в качестве локального Рабочего ола. Для начала соз­ дадим независимые Рабочие олы, доступные через VNC. С оравами суперпользо­ вателя в любом текстовом редакторе откройте файл /etc/vnc. conf в своей Linux­ cиcтeмe, играющей роль VNC-cepвepa:

# vi /etc/vnc. conf Проверьте настройки в данном файле. Обратите внимание, что файл конфигу­ рации используется каждый раз, когда вы запускаете программу vncserver.

Затем от лица каждого пользователя, которым необходимо будет пqдключаться к их личным Рабочим лам на VNC-cepвepe, запустите команду vncpasswd. В нашем примере мы запускаем ее от лица пользователя francois:

$ vncpasswd Password : * ** Veri fy: ******* Наконец, вы можете запускать VNC-cepвep (vncserver). Наберите следующее от лица пользователя root:

$ vncserver vncserver не у ановлен как си емный nроц с no умолчанию. я nолучения л е nодробной е информации о назначении си емных nроцессов см. гл. 11.

Если вы используете встроенный в систему брандмауэр ip Ьies, убедитесь, что порты для VNC открыты. Каждый экран работает с отдельным портом. Экран с но П авление общего доступа к Ра чим олам с помощью VCN мером N доступен через ТСР-порт 5900+N. Например, экран 1 работает через порт 5901. Обращайтесь к гл. 14 для более подробной информации об ip Ыes.

Запу VNС- иент с к а Как только VNC-cepвep запущен, вы можете подключиться к Рабочему олу этого компьютера из любой клиентской системы, упомянутой выше (Windows, Linux, Мае OS Х, UNIX и пр.). Предположим, что ваш VNC-cepвep находится на ком­ пьютере по имени myse er. Вы можете набрать следующую команду, чтобы запус­ тить клиент с другой Linuх-системы:

$ vncvi ewer myserver : l Подключиться как franco is на экран $ vncvi ewer myserver : 2 Подключиться как chr is на экран · Если вы предварительно не определяли никаких команд для запуска, то у в иди· те фоновый экран окна системы Х Window System. Чтобы пойти д ее, необходи­ мо запустить программы на системе сервера или с вашего иента, которые поя­ вятся на экране VNC Х. Например:

$ xterm - di spl ay myserver : l & $ metacity · · di spl ay myserver : l & В большин ве программ Х Window необходимо указать, какой сервер испол уется (в этом спучае сервер VNC) с помощью параметра -display. Однако мен жер окон metacity требует два дефиса в этом параметре --display.

Кроме того, можно использовать tsclient для под ючения;

в этом примере вы бы просто указали myserver: 1 как компьютер, а VNC - как протокол.

спо ов VNC в SSH И пьз ание ме е с д х в нена е ных сетя ж VNC считается небезапасным протоколом. Пароль посылается при довольно сла­ бом методе шифрования, а остальная сессия вообще не шифруется. По этой при­ чине при использовании VNC в неиадежмых сетях либо в Интернете рекоменду­ ется туннелировать его через SSH.

Работа SSH описывается в разд. •Использование команды ssh для уд енного входа в систему• этой главы. Для переадресации VNС-экрана 2 (порт 5902) на компьютер по имени myse er на тот же локальный порт наберите следующее:

$ ssh - L 5902 : l ocal host : 5902 myserver Есnи вы будете использовать VNC на п оянной основе, взгляните на tightvnc (пакет программ с таким же именем). Хотя он и не в ючен в Ubuntu, это еще одно воплощение протокола VNC с открытым исходным кодом, которое подвергается а ивным разработкам. У пакета е ь масса новых функций и оптимизаций. Эти функции таюке в ючают в себя в роенное ssh- нн иро­ вание.

292 Глава 13. Удаленн админи риние Пакет прогр Vino амм Если вы работаете с GNOME и хотели бы предоставить общий доступ к суще­ ствующему Рабочему олу GNO МЕ ( di sp 1 ау : 0), то можете сделать это с помощью • пакета программ Vino. На рабочей паиели GNOME выберите System • Preference Remote Desktop (Система • Настройка • Удаленный рабочий стол) для отображения окна Remote Desktop Preferences (Настройки удаленного рабочего стола) (команда vi no - preferences), показанного на рис. 13.3.

В окне Remote Des op Preferences (Настройки удаленного рабочего стола) мож­ но установить флажок Allow other users to view your desktop (Разрешить другим пользователям ВИдеть ваш рабочий стол) и таким образом позволить удаленным пользователям C просматривать ваш Рабочий стол. Установка флажка дllow other users control your desktop (Разрешить другим пользователям контролировать ваш рабочий стол) позволит пользователям управлять вашим Рабочим олом с по­ мощью мыши и клавиатуры.

iuwo l 1 U> " О Vl 1 >IUII llnw ' "' ln r tui V kt 1 1, ran • kll!fllr wonl f:WIVfl Рис. 13.3. Vino nозволяет удаленным nол ователям nр матривать ваш Ра чий ол и даже уnравлять им Если стоит флажок Ask you for confirmation (Спрашивать меня о подтверждении), то удаленный запрос на просмотр вашего Рабочего стола выведет всплывающее окно для подтверждения соединения до того, как удаленный пользователь сможет просматривать ваш Рабочий ол. Установка флажка Require the user enter this password (Требовать от пользователя ввода пароля) - отличн идея. Это не даст тем пользователям, у которых нет пароля, просматривать Рабочий ол. Не забудь­ те проверить, чтобы длина пароля была не менее восьми символов.

Как указано в окне Remote Des op Preferences (Настройки удаленного рабочего стола), вы можете использовать vncviewer из другой системы Linux (с показанным адресом и номером экрана) для отображения общего Рабочего ла.

Резюме Р ю ез ме Если вам когда-нибудь придется администрировать несколько систем, можете не беспокоиться - Linux предлагает богатый выбор команд для удаленного админи­ стрирования. SSH предоставляет шифрованную коммуникацию для удаленного входа в систему, туннелирования и передачи файлов.

Виртуальная сеть передачи данных (VNC) позволяет системе Linux предостав­ лять к,лиентской системе общий доступ к Ра чему олу, чтобы он появлялся прямо на экране компьютера-клиента. С помощью утилиты Vino можно предоставлять такой вид общего доступа, когда VNC-cepвep и клиент могут работать на одном Ра чем оле одновременно.

я П о ен е овн р выш и у е опасно б з и Обеспечение безопасности Linuх-системы означает, во-первых, ограничение до­ ступа к учетным записям пользователей и сервисам в этой системе. Во-вторых, необходимо удостовериться, что никто не проник за установленные барьеры безо­ пасности.

Ubuntu, Deblan и другие системы на основе этих дистрибутивов имеют высокий уровень безопасности по умолчанию. Это означает, что не существует учетных записей пользователей без пароля и большинство сетевых служб (WеЬ, FTP и т. д.) отключено по умолчанию (даже если связанные с ними программы установ­ лены).

Хотя множество команд, описанных в этой книге, могут быть использованы для Проверки и повышения уровня безопасности вашей системы, некоторые функции Linux оснащены специальными командами подобного действия. Например, безопас­ ные учетные записи пользователей с хорошей парольной защитой, достойный брандмауэр и единообразный вход в систему (а также его мониторинг) крайне важны для безопасности системы Linux. В этой главе мы описываем команды, относящиеся к этим функциям, и некоторые продвинутые функции, например SELinux и tripwire.

rруппа и Р з е м абота п ь м с ол о ат ля и и в Во время большинства процедур установки Linux вас просят ввести параль для суперпользователя root (для администрирования системы). Далее, возможно, вас попросят создать учетную запись с выбранным именем и ввести для нее параль (для ежедневного пользования компьютером). Мы рекомендуем всегда входить в систему в качестве обычного пользователя и только при необходимости работать с командами su или sudo для использования прав суперпользователя. Как только Linux установлена, вы можете применять команды или графические утилиты для создания пользователей, редактирования учетных записей, а также задания и из­ менения паролей.

Ubuntu повышает безопасность, запрещая вход в систему как суперпользова­ тель по умолчанию. Вместо этого во время установки вы создаете пользователя с паролем, который может выполнять некоторые административные функции.

Используйте команду sudo в Ubuntu, чтобы выполнять одиночные rооt-команды.

Работ а с п ьзова ями и г ппами тел ру Команда sudo запрашивает пароль администратора, обычно являющийся вашим паролем. Это позволит избежать большинства случаев выполнения команд от лица суперпользователя, которые вы не намеревались вводить.

У е а а а пр ние пользов телями из гр фической о бопочки На Рабочем оле Ubuntu, поддерживающем приложения Х, можно управлять пол­ зователями и группами из окна User Manager (Диспетчер пользователей) (System • Administration • Users and Groups (Система • Администрирование • Пользователи и группы)). Существует вариант использования графического вебинтерфейса для управления учетными записями пользователей на сервере. Наиболее популярной утилитой такого плана является Webmin ( w.webmin. m ). Убедитесь, что W ebinin не работает через порт, используемый по умолчанию (1000), по причинам, свя­ занным с безопасностью. Вы также можете использовать специальные неб-интер­ фейсы. Например, существует множество автоматических графических интер­ фейсов для организации веб-хостинга, таких как cPanel (www.cpanel.com), Plesk (www.swsoft.com/plesk)lи Ensim ( w.ensim.com).

е а зователей об вп ние четных записей поль Д у Для добавления новых пользователей можно воспользоваться командой useradd.

Единственным необходимым аргументом является имя создаваемого пользовате­ ля. Вы можете увидеть некоторые установки, используемые по умолчанию, для добавления новых пользователей с помощью параметра - D:

$ useradd · D Показать значения. используемые по умолчанию командой useradd GROUP=lOO Установить идентифика тор группы 100 (nользова тели ) HOME=/home Установить корневой ка талог /home INACТIVE=- 1 Отключить истечение времени действия пароля ( -1 ) EXPI RE= Не устанавливать дату истечения срока действия учетной записи SHELL=/ Ьi n/sh Установить интерпрета тор команд, используемый по умолчанию как /b ln/bash SKEL=/etc/skel (копирова ть файлы конфигурации.

используемые по умолчанию из /etclske l в $НОМЕ CREATE MAI L SPOOL=no Создать папку для хранения временных данных электронной поч ты Ubuntu и другие DеЬlаn-системы заменяют группу, используемую по умолча­ нию (100), и создают новую для каждого пользователя. По умолчанию идентифи­ катор (ID) первого созданного пользователя и группы равен 1000. Имя группы совпадает с именем пользователя. Базовый каталог - это имя пользователя, добав­ ленное к /home. Так, например, можно создать первую обычную учетную запись пользователя в системе следующим образом:

$ sudo useradd -m wi l l z Результатом станет новая учетн запись пользователя с именем willz ( UID 1001) и группа willz (GID 1001). Параметр -m указывает на то, что необходимо 296 Глава 14. Повышение уровня безопасн и создать ·домашний каталог / home/wi 1 1 z и копию набора файлов конфигурации (каждый из них начинается с точки (. ) ) в домашний кат ог из папки 1 etcl ske l.

Учетная запись будет активной неопределенное время (без даты истечения срока действия). Добавьте пароль следующим образом.

$ sudo passwd horati o Changi ng pa ssword for user horati o New UN I X password : ******** Retype new UN I X pa ssword : ******** passwd : а1 1 authenti cati on tokens updated successfu1 1y.

В большинстве случаев это все, что необходимо сделать, чтобы иметь рабочую учетную запись пользователя.

Помните, ч надо испол овать ожные пароли.

Существует множество параметров для замены используемых по умолчанию параметров во время создания нового пользователя. Совмещайте различные па­ раметры по своему выбору. Рассмотрим несколько примеров:

$ sudo useradd - u 1101 - g 1300 skol mes Использова ть заданный UID (иден тифика тор пользова теля ) и GID (иден тифика тор групnы ) для пользова теля $ sudo useradd -m - d /home/jj jones Созда ть корневой ка талог /var/x/jj $ sudo useradd -G support. sal es timd Добавить пользова теля в группы support и sa les $ sudo useradd - с "Tom G. Lotto" tl ot Добавить полное имя поль зова теля в поле комментария $ sudo useradd - s /bi n/tcsh joeq Назначить новый ин терпре та тор команд используемый по умолчанию.

(tcsh );

вы должны его установить· $ sudo useradd - е 2008- 04- 01 jerry Да та истечения срока действия учетной записи Apri l 01. $ sudo useradd · f О jdoe Создать отключенную учетную запись $ sudo useradd - s /sbi n/nol ogi n bi l l t Не позволя ть поль зова телю входить в систему $ sudo useradd bi l l yq Предотвра тить создание корневого ка талога. отсутствие -т Перед тем как добавить пользователя в группу, нужно создать эту группу (см. команду groupadd, описываемую в подразд. •добавление групп• далее в этом разделе). Пользователь должен принадлежать к изначальной группе, которую можно определить с помощью параметра -g, а также к дополнительным группам, что определяется параметром -G.

Для вывода списка групп, к которым принадлежит пользователь, используйте команду groups:

$ groups francoi s Вывод списка групп к которым принадлежит поль зова тель.

francoi s ftpusers Пример с созданием учетной записи со сроком действия (-е) является довольно полезным для установки даты окончания действия учетной записи временного бота Ра с пол ователями и группами пользователя. Измените интерпретатор команд, используемый по умолчанию, на nologin, если хотите, чтобы пользователь имел доступ к компьютеру (через FTP, РОРЗ и т. д.), но не мог работать с обычным интерпретатором команд Linux. Ана­ логично, в последнем примере, где для создания корневого каталога не применя­ ется параметр -m, пользователю позволяется иметь доступ к компьютеру, однако у него не будет базовой директории. Обратите внимание, что, если вы не добавите параметр -m, команда useradd не создаст корневого каталога для пользователя.

Изменение настроек, используемых по умолчанию командой useradd. Значе­ ния, используемые по умолчанию во время создания новой учетной записи поль­ зователя с помощью useradd (интерпретатор команд по умолчанию, GID, даты истечения срока действия и т. д.), устанавливаются в файлах 1 etc/ 1 ogi n. defs и 1 etc/ defaul t/ useradd. Вы можете отредактировать эти файлы для изменения значений, используемых по умолчанию, либо запустить команду useradd с параметром -D для вывода списка или выборочного изменения значений:

$ useradd -D Вывести значения, используемые по умолчанию для useradd $ s11do useradd · D · Ь /home2 - s /bi n/csh Установить базовую директорию и ин терпрета тор команд исполь зуемый.

по умолчанию $ sudo useradd · D -е 2009- 01· 01 Установить да ту истечения срока действия всех учетных записей как 2009-й год Как указано выше, после создания учетной записи пользователя с параметром -m файлы и папки из /etc/skel копируются в корневой каталог нового пользовате­ ля. Они включают в себя некоторые файлы интерпретатора команд bash и ссылку на папку-образец. Вы можете добавить другие файлы и папки в /etc/skel, чтобы все новые пользователи получали их. Например, занимаясь настройкой веб-серве­ ра, вы можете создать папки puЫic_ p и puЬiic_html, чтобы пользователи могли до­ бавлять туда страницы и файлы для общего доступа.

И п й зменение четных записей попьэовате е у После того как учетная запись пользователя создана, можно изменить ее настрой­ ки с помощью команды use od. Большинство параметров совпадают с исполь­ зуемыми командой useradd. Например:

$ sudo usermod ·с "Thomas Lotto " tl ot Изменить имя пользова теля в поле коммен тария $ sudo usermod - s /bi n/sh joeq Изменить ин терпрета тор команд.

исполь зуемый по умолчанию на sh $ sudo usermod · L swanson Заблокирова ть учетную запись пользова теля swanson $ sudo usermod ·U travi s Разблокировать учетную запись пользова теля travis Обратите внимание, что два последних примера соответственно блокируют и разблокируют учетную запись пользователя. Блокировка пользователя не уда­ ляет из системы учетную запись, пользовательские файлы и папки. Однако она предотвращает вход этого пользователя в систему. Блокировка учетной записи полезна, когда.работник покидает компанию, однако его работа должна быть 298 Глава 14. Повышение у вня безопасности передана другому человеку. При таких обстоятельствах блокировка, а не удаление записи предотвращает ситуацию, когда файлы, принадлежавшие пользователю, ока­ зываются принадлежащими несуществующему идентификационному номеру.

Поскольку обычный пользователь не может применять команды useradd и usenпod, существуют специальные команды для изменения личной информации в учетной записи. Вот несколько примеров:

$ chsh - s /bi n/sh Изменить текущий интерпрета тор команд на Jb inlsh $ sudo chsh · s /bi n/sh francoi s Изменить интерпре та тор команд на lb inlsh $ sudo chfn \ \ · О "8· 205" Изменить номер офиса · h "212· 555 · 1212 " \ Изменить домашний номер телефона ·W "212· 555 · 1957 " Изменить офисный номер телефона $ fi nger francoi s Logi n : francoi s Name : Francoi s Caen Di rectory : /home/ francoi s Shel l : /bi n/bash Offi ce : В-205. 212- 555 - 1212 Home Phone : 212-555- On si nce Sat Aug 4 13 : 39 C CDT ) on tty1 4 seconds i dl e No ma i l.

No Pl an.

Информация, измененная командой chfn и отображенная с помощью fi nger, хранится в пятом поле файла etc/passwd для выбранного пользователя (этот файл может редактироваться только пользователем o t, и выполнять данную операцию нужно с большой осторожностью, применяя команду vi pw).

В других версиях Linux можно использовать параметр - f с командой chfn для изменения вашего ре ьного или полного имени. В Ubuntu эта функция отключе­ на по умолчанию. Вы можете изменить данное обстоятельство, отредактировав файл /etc/ l ogi n. defs. Найдите данную строку:

CHFN RESTRICT rwh и измените ее на такую:

CHFN RESTRI CT frwh У дапение четных запис поп зоват е у ей й ь Посредством команды userdel можно удалять учетные записи пользователей из системы, а также другие файлы (корневые кат оги, спул-файлы электронной поч­ ты и т. д.). Рассмотрим примеры:

# userdel jimbo Удапить пользова теля. но не его корневой ка талог # userdel · r l i l y Удапить поль зова теля. корневой ка талог и спул -файпы электронной поч ты У авп ропями пр ение па Добавить или изменить параль легко с помощью команды pa s swd. Однако у нее существуют дополнительные параметры, позволяющие администраторам управ­ лять такими вещами, как блокировка учетных записей, истечение срока действия Работа с пол ова ями и тел группами паролей и сообщения о необходимости смены пароля. Помимо passwd, для работы с паролями предназначены команды chage, chfn и vi pw.

Обычные пользователи могут изменять только свой пароль, в то время как суперпользователь имеет право менять пароли любого пользователя. Например:

$ passwd Изменить личный пароль поль зова теля Changi ng password for user chri s.

Changi ng password for chri s. ( current ) UN I X password : ******** New UN I X password : * BAD PASSWORD : i t' s WAY too short New UN I X password : ********* Retype new UN I X password : ********* passwd : password updated successful l y $ sudo passwd joseph Rооt-пользова тель может меня ть пароль любого пользова теля Changi ng password for user joseph.

New UN I X password : * Retype new UN I X password : * passwd : password updated successful l y В первом примере обычный пользователь (chris) меняет свой собственный па­ роль. Даже будучи зарегистрированным в системе, он должен ввести свой текущий пароль перед вводом нового. К тому же команда passwd предотвращает установку слишком короткого пароля, основанного на словарном слове, с недостатком раз­ нообразных символов или такого пароля, который легко угадать. Во втором при­ мере rооt-пользователь может изменить пароль любого пользователя без старого пароля.

Пароли должны иметь как минимум восемь символов, одновременно состоять из букв и других символов (цифр, знаков препинания и т. д.), а также не должны содержать реальных слов. Создайте легкий для запоминания пароль, но чтобы его было сложно угадать.

Системный администратор может использовать команду passwd я блокиров­ ки и разблокировки учетных записей пользователей. Например:

$ sudo passwd - 1 carl Блокирова ть учетную запись пользова теля (car l ) Locki ng P.assword for user carl. passwd : Success $ sudo passwd -u carl Разблокировать учетную запись поль зова теля (car l ) Unl ock i ng password for user ca rl. passwd : Success $ sudo passwd -u jordan Неудачная попытка разблокировать учетную запись лен с пустым пара Unl ock i ng password for user jordan.

passwd : Warni ng : unl ocked password woul d Ье empty.

pa sswd : nsafe operati on ( use - f to force ) Блокировка учетной записи с помощью команды passwd подставляет восклица­ тельный знак (1) перед полем с паролем в файле /etc/shadow (где хранятся пользо­ вательские пароли). Когда учетную запись разблокируют, восклицательный знак удаляется и восстанавливается предыдущий пароль пользователя.

Администратор может использовать команду passwd, чтобы обязать пользова­ телей регулярно менять пароль, а также для того, чтобы оповестить о том, что. Повышение уровня безопасн и 300 Глава срок действия пароля истекает. Для использования функции истечения срока действия пароля в учетной записи пользователя должно быть активировано ис-rе­ чение срока действия пароля. Следующие примеры используют команду passwd работы с истечением срока действия пароля:

$ sudo passwd - n 2 vern Установить минимальный срок действия пароля 2 дня $ sudo passwd -х 300 vern Установить максимальный срок действия пароля 300 дней $ sudo passwd -w 10 vern Оповеща ть о6 истечении срока действия пароля за 10 дней $ sudo passwd. ;

14 vern Количество дней до отключения учетной записи после истечения срока действия пароля В первом примере пользователь должен подождать хотя бы два дня ( -n 2) до установки нового пароля. Во втором пользователь должен поменять свой параль в течение 300 дней ( - х 300). В следующем примере пользователя предупреждают за 10 дней до истечения срока действия пароля ( -w 10). В последнем примере учет­ ная запись пользователя отключается через 14 дней после истечения срока дей­ ствия пароля ( - i 14).

Для просмотра сроков действия паролей можно воспользоваться командой chage:

$ sudo chage -1 vern Показа ть информацию о да те истечения пароля Last password change Aug 04. Password expi res Мау 31. Password i nacti ve Jun 14. Account expi res never Mi nimum number of days between password change Maxi mum number of days between pa ssword change Number of days of wa rni ng before password expi res Как системный администратор вы можете использовать команду chage для управления сроками истечения действия паролей. Кроме возможности установки миним ьного ( -m) и максим ьного ( -М) количества дней действия, а также дней до выдачи предупреждения ( -W), команда chage позволяет указать день, в который пользователю необходимо задать новый пароль, или определенную дату, когда учетная запись становится неактивной:

$ sudo chage - 1 46 frank Отключить учетную запись пользова теля по прошествии 40 дней $ sudo chage -d 5 perry Срок действия пароля закончится через 5 дней Вместо пяти дней ( -d 5) вы можете установить для этого параметра значение О, что вынудит пользователя изменить свой параль в следующий раз при входе в сис­ тему. Например, при установке -d О у пользователя per запросили бы новый па­ роль во время следующего входа в систему:

1 ogi n: perry Password : ******** You are requi red to change your password i mmedi atel y ( root enforced ) Changi ng password for perry.

Наблюдение за пол ователями ( current ) UN I X password :

New UN I X password : ********* Retype new UN I X password : ********* а об влени групп Д е Каждый новый пользователь приписан к одной или нескольким группам. Вы мо­ жете создавать группы в любое время и добавлять в них пользователей. Права каждой группы на использование файлов и папок в Linux зависят от того, как рас­ пределены права доступа. Добавление пользователя в группу позволяет определить права доступа к файлам, каталогам и приложениям. Таким образом, пользователи могут работать вместе над проектом или иметь общий доступ к ресурсам.

Команды, подобные тем, что применяются для работы с пользователями, до­ ступны и для управления группами. Вы можете добавлять (g roupadd) и удалять группы (groupdel ), изменять их настройки (groupmod), а также добавлять и удалять членов этих групп (groupmems ). Рассмотрим несколько примеров создании новых групп с помощью команды groupadd:

$ sudo groupadd marketing Созда ть новую группу со следующим дос тупны GID $ sudo groupadd - g 1701 sal es Создать новую груnпу с GID. равным $ sudo groupadd - о - g 74 щysshd Создать груnпу с существую им GID щ Применяя команду groupmod, вы можете изменять имв или идентификационный номер (ID) существующей группы. Например:

$ sudo groupmod - g 491 щyadmi n Изменить GID группы myadmin на $ sudo groupmod - n щуаd myadmi n Измени ть имя группы myadmin на myad Для того чтобы удалить существующую группу, используйте команду groupde l :

$ sudo groupdel myad Удапи ть су ествующую группу myad щ Обратите внимание, что удаление группы или пользователя не удаляет файлы, папки, устройства или другие элементы, принадлежащие группе или пользова­ телю. Если вы выведете полный список (l s - 1 ) файлов или папок, приписанных удаленной группе или пользователю, то будут показаны UID и GI D удаленного пользователя или группы.

юд е з ь е м з аб ени а пол о ат ля и л Н в Создав учетные запQси, которые позволяют пользователям работать за вашим ком­ пьютером, можете понаблюдать за их активностью. Для этого предназначены спе­ циальные команды, которые уже были описаны в предыдущих главах.

О Используйте команду fi nd (см. гл. 4) для поиска файлов по всей системе, кото­ рые принадлежат определенному пользователю.

О Применяйте команду du (см. гл. 7), чтобы увидеть, сколько места занимают папки выбранных пользователей.

О Используйте команды fuser, ps и top (см. гл. 9) для просмотра запущенных пользователями процессов.

зопасн и 302 Глава 14. Повышение у вня бе Помимо умомянутых выше, существуют команды для просмотра всех зареги­ стрированных в системе пользователей на данный момент, а также для получения общей информации о пользователях с учетными записями в вашей системе. Рас­ смотрим команды для получения информации о пользователях, находящихся в системе:

·s 1 ast Вывести список недавних удачных входов в систему greek tty3 Sun Aug 5 18 : 05 sti 1 1 1 ogged i n chri s tty1 Sun Aug 4 13 : 39 sti 1 1 1 ogged i n root pts /4 thompson Sun Aug 5 14 : 02 sti 1 1 1 ogged i n chri s pts /1 : 0. 0 Sat Aug 4 15 : 47 sti 1 1 1 ogged i n 3 13 : 46 - 15 : 40 ( 01 : 53) francoi s pts /2 Thu Aug 2 11 : 14 - 13 : 38 ( 2+02 : 24) $ 1 ast - а Упрощает процесс чтения имени хает-конпьютера удаленного клиента $ sudo 1 astb Вывести список недавних неудачных входов в систему ju1 i an ssh : notty ri tchi e Mon Aug б 12 : 28 - 12 : 28 ( 00 : 00) morri s ssh : notty thompson Tue Ju1 31 13 : 08 13 : 08 ( 00 : 00) baboon ssh : notty 10. 0. 0. 50 Sun Ju1 8 09 : 40 - 09 : 40 ( 00 : 00) francoi s ssh : notty 000db9034dce. cl i Fri Jun 22 17 : 23 - 17 : 23 ( 00 : 00) $ who - u Вывести список всех пользова телей в системе на данный нонент (полный вариант ) greek tty3 2007 - 08 - 05 18 : 05 17 : 24 ji m pts/0 2007 - 08- 06 12 : 29 20959 ( server1. exampl e. com ) root pts /3 2007-08- 04 18 : 18 13 : 46 17982 ( server2. exampl e. com) francoi s pts/2 2007 -07-31 23 : 05 o1 d 4700 ( 0a0d9b34x. examp1 e. com ) chri s pts/1 2007 -08-04 15 : 47 o1 d 17502 ( : 0. 0 ) $ users Вывести список всех пользова телей в системе на данный нонент (кра ткий вариант ) chri s francoi s greek ji m root Применяя команду 1 ast, вы можете увидеть каждого зарегистрировавшегося в системе пользователя (или каждого открывшего новый интерпретатор команд) либо узнать, как долго они находились в системе. Вы также можете увидеть отмет­ ку "sti 1 1 1 ogged i n" ( все еще в системе). Строки терминала tty1 и tty3 показывают пользователей, работающих с виртуальных терминалов в консоле. Строки pts означают людей, открывших интерпретатор команд с удаленного компьютера (thompson) или локальный экран Х ( : О. 0). Мы рекомендуем использовать пара­ метр - а для улучшенного отображения данных. Команда 1 astb показывает неудач­ ные попытки входа в систему и их направление. Команды who - u и users показыва­ ют информацию о текущих пользователях, находящихся в системе.

Рассмотрим несколько команд для получения дополнительной информации о находящихся в системе пользователях:

$ id Ваша принадлежность (UID. GID и группа для текvщего интерпрета тора команд ) ui d=1000 ( chri s) gi d=1000 ( chri s) groups=4( adm). 20( di a1 out). 24( cdrom), 25 ( f1 oppy), 29( audi o). 30( di p), 44( vi deo). 46( p1 ugdev). 104( scanner). l12( netdev).

113( 1 padmi n), 1 15 ( powerdev), 117 ( admi n). l000 ( chri s ) $ who am i Ваша принадлежность (пользова тель. tty.

да та входа в систему, местонахождение ) chri s pts/0 Aug 3 2140 ( : 0. 0 ) На ка встроенного брандмауэра С'ТJ)ОЙ $ fi nger - s chri s Информация о поль зова теле (кра ткая ) Logi n Name Tty Id1 e Logi n Ti me Offi ce Offi ce Phone ch ri s Chri s Negus tty1 1d Aug 4 13 : 39 А-111 555 - $ fi nger -1 chri s Информация о пользова теле (nолная ) Logi n: chri s Name : Chri s Negus Oi rectory : /home/chri s She1 1 : /bi n/bash Offi ce : А- 111. 555 - 1212 Home Phone : 555 - On si nce Sat Aug 4 13 : 39 ( СОТ ) on tty1 2 days i d1 e New ma i 1 recei ved Mon Aug б 13 : 46 2007 ( СОТ ) Unread si nce Sat Aug 4 09 : 32 2007 ( СОТ ) No P1 an.

Помимо вывода стандартной информации о пользователе (имя, корневой ката­ лог, интерпретатор команд и т. д.), команда fi nger также отображает информацию, хранящуюся в специ ьных файлах в корневом кат оге пользователя. Например, содержание файлов пользователя -/. р1 an и -1. project (если они существуют) ото­ бражается в конце вывода команды fi nger. С существующим файлом. proj ect в одну строку и файлом. p1 an в несколько строк это может выглядеть следующим образом:

$ fi nger - 1 chri s Информация о пользова теле (nолная информация.

файлы. project и. plan ) Project :

Му project i s to take over the wor1 d. P1 an :

Му grand pl an i s to take over the worl d Ьу i nstal 1 i ng Li nux on every computer е ного брандмау ра а ро ка в ро н Н й э Брандмауэр - одна из важнейших утилит для поддержания компьютера в безопас­ ности, исключающая возможность вторжения в систему через сеть или Интернет.

Он может защищать компьютер, проверяя каждый пакет с данными, поступающи­ ми в сетевые интерфейсы, а затем принимая решение о д ьнейшей судьбе пакета в соответствии с заданными вами параметрами. Брандмауэр, встроенный в текущее ядро Linux, называется iptaЬles (вы также могли слышать о ipchains - предше­ ственнике iptaЬles в ядрах версии 2.2 и ниже). В Ubuntu iptaЬles запускается и на­ страивается в процессе установки.

Функция iptaЬles ( wnetfilter.org) является невероятно мощной, но достаточно.

сложной для использования через командную строку. По этой причине многие устанавливают основные правила поведения брандмауэра посредством графиче­ ского интерфейса. Чтобы получить графический интерфейс, установите пакет программ firestarter. В нем есть помощник для настройки брандмауэра. Для запус­ ка Firestarter выберите System Administration Firesta er (Система Администри­ рование Firestarter ). Вы также можете опробовать такие дополнительные пакеты программ, как FWBuilder (пакет программ fwbuilder) и Shorewall (пакет программ shorewall) для графической настройки брандмауэров.

304 Глава 1. Повышение уровня безопасн и У станавливая Ubuntu, вы одновременно установили в систему брандмауэр.

Ubuntu создает конфигурацию iptaЬles, которая является хорошим нач ом для использования брандмауэра через Рабочий л. Эта конфигурация открывает толь­ ко несколько портов для работающих демонов и блокирует ост ьные. Вы можете изменить настройки по умолчанию с помощью команд, описанных далее.

П е чем читать дальше, пр мотрите до мент я Ubuпtu под названием IpTaЫes HowTo, рас­ положенный на сайте https://help.ubuпtu.com/commuпity/IptaЫesHowTo. В нем с ержится много полезной информации об испол овании iptaЫes в Ubuпtu, сильно отличающемся от других ве ий Uпux, таких как Fedora.

Для более сложных задач, когда, к примеру, iptaЬles используется как бранд­ мауэр нескольких компьютеров, мы рекомендуем воспользоваться одной из гра­ фических утилит, упомянутых выше. Однако бывают случаи, когда у вас нет досту­ па к графическому интерфейсу или вам необходимо воспользоваться функцией, которая недоступна через него. Вот тогда знание синтаксиса команды i pta Ы es оказывается полезным для вывода списка текущих правил и самостоятельного добавления новых.

Перед тем как вы начнете работать с брандмауэром в Ubuntu, нужно проверить, как он настроен в вашей системе. Рассмотрим способ выведенив списка текущих правил брандмауэра в системе Linux:

$ sudo iptaЫ es - L Chai n INPUT ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on Cha i n FORWARD ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on Chai n OUTPUT ( pol i cy АССЕРТ) ta rget prot opt source desti nati on После установки Ubuntu вы увидите вывод предыдущей команды, означающий, что ни одно правило не было задано. После некоторых изменений вы можете уви­ деть уже созданный список правил, подобный тому, что показан ниже:

$ sudo iptaЫ es - L Отобразить текущую таблицу филь тров iptaЫes Chai n I NPUT ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on АССЕРТ udp anywhere anywhere udp dpt: i pp АССЕРТ tcp anywhere anywhere tcp dpt : i pp АССЕРТ О anywhere anywhere state RELATED. ESTABLI SHED АССЕРТ tcp anywhere anywhere state NEW tcp dpt : ftp anywhere anywhere state NEW tcp dpt : ssh АССЕРТ tcp АССЕРТ tcp anywhere anywhere state NEW tcp dpt : http REJECT О anywhere anywhere reject -wi th i cmp- host - prohi bi ted Chai n FORWARD ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on anywhere anywhere rej ect -wi th i cmp -host - prohi bi ted REJ ECT О Chai n OUTPUT ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on Н а ройка встроенного брандмауэра Пример демонстрирует таблицу фильтров брандмауэра iptaЬles, используемую по умолчанию. Она показывает, что из всех пакетов, поступающих в сетевые ин­ терфейсы компьютера, пакеты для протокола печати через Интернет ( ipp) по про­ токолам udp и tcp допускаются в систему. К тому же принимаются tср-пакеты, направленные в порты FTP (ftp), Secure Shell (ssh) и Web (http). Кроме того, при­ ем пакетов происходит, если они ассоциируются с установкой соединения. Ниже вы можете ознакомиться с nаt-таблицей:

$ sudo iptaЫ es - t nat · L Отобразить текущую паt- таблицу программы iptaЫes Chai n PREROUTI NG ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on DNAT tcp О. О. О. 010 11. 22. 33. 44 tcp dpt : 8785 to : 10. 0. 0. 155 : DROP tcp 0. 0. 0. 0/0 0. 0. 0. 010 tcp dpt : DROP udp 0. 0. 0. 0/0 0. 0. 0. 0/0 udp dpt : Chai n POSTROUTI NG ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on МASQUERADE al l 0. 0. 0. 0/0 0. 0. 0. Chai n OUTPUT ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on Показаипая nаt-таблица относится к функции иреобразования сетевых адресов (Network Address Translation, NAT). NAT позволяет использовать секретные адре­ са с помощью брандмауэра. Когда пакеты посылаются одним из внутренних ком­ пьютеров локальной сети, IР-адрес источника иреобразуется с помощью внешнего интерфейса брандмауэра. Брандмауэр следит за этими сессиями, чтобы принимать.трафик для машин лок ьной сети. Все это настраивается в строке MASQUERADE из цепочки POSTROUTI NG.

В предыдущем примере строка DNAT из цепочки PREROUТING указывает на то, что все запросы на IР-адрес 1 1.22.33.44 с портом 8785 перенаправляются на внутрен­ ний IР-адрес в лок ьной сети 10.0.0. 155 с портом 22 (уловка, позволяющая кому­ либо подключиться к компьютеру в обход брандмауэра, используя нестандартный порт).

Вот еще несколько примеров, показывающих, как выводить информацию о бра мауэре. Команда i pstate является частью пакета программ ipstate.

$ sudo iptaЫ es - n - L Правила филь тров IР-адреса (без просмотра.

DNS-записей ) $ sudo iptaЫ es - v - L Расширенный вывод (с подсчетом пакетов /бит)) $ sudo iptaЫ es · L - - l ine- numbers Показывать номер строки в цепочке для каждого правила $ sudo iptaЫ es - nvL · · l i ne- numbers Любиное сочетание нашего технического редактора Вы можете очистить или остановить все правила iptaЬles в Ubuntu следующим образом:

$ sudo iptaЬl es · F Очистить все правила iptaЫes Данная команда устраняет все правила, поэтому будьте осторожны с ее исполь­ зованием. Вам придется немедленно установить новые правила.

306 Глава 14. Повышение уровня безопасн и Рассмотрим несколько примеров того, как использовать команду i ptaЫes для измененив правил активного бра мауэра:

$ sudo iptaЫ es ·А INPUT - р ТСР \ Добавить правило внутреннего филь тра. ;

ethO \ для ТСР·пакетов первого Еthеrпеt -интерфейса - - desti nation- port 25 \ Направление в пор т электронной поч ты (25 ) - j АССЕРТ Принима ть пакеты $ sudo iptaЬl es - t nat \ Добавить паt-правило ·А POSTROUTING \ Цепочка POSTROUTING - о eth1 \ Пакеты. полученные ин терфейсом eth - j SNAT \ Перейти к преобразованию сетевых адресов - - to- source 11. 22. 33. 1 Использова ть адрес 11. 22. 33. для отправки исходящей информации Первый пример создает правило, позволяющее принимать новые запросы, вхо­ дящие в систему через порт 25. Возможной причиной может служить то, что вы настроили компьютер как почтовый сервер (с sendmail, postfix или другим SМТР­ сервисом). Второй пример создает nаt-правило, которое позволяет брандмауэру использовать иреобразование сетевого адреса источника (Source Network Address Translation, SNAT). Благодаря функции SNAT после прохождения информации через брандмауэр создается скрытый IР-адрес, через который можно поддерживать связь с Интернетом, используя внешний IР-адрес брандмауэра.

Для того чтобы иметь возможность применять SNAT или любую другую форму N АТ, вам необходимо разрешить перенаправление IP на компьютере. Это можно сделать, отредактировав файл /etc/sysctl. conf путем снятия закомментированно­ сти следующей переменной:

net. i pv4. conf. defaul t. forwa rdi ng=l Если вы имеете доступ к компьютеру с выходом в Интернет за границами дей­ ствия брандмауэра, то можете настроить брандмауэр для перенаправления пакетов этой службы на такой компьютер. В следующем примере используется функция под названием п енапра ение портов для передачи запросов определенной служ­ бы через брандмауэр на внешний компьютер назначения:

$ sudo iptaЫ es -t nat ·А PREROUTING \ Добавить паt-правило для цепочки PREROUTING - р tcp · d 11. 22. 33. 1 \ Принима ть tср-запросы на 11. 22. 33. · - dport 80 \ Для пор та ВО (веб -служба) · j DNAT \ Перейти к ели DNA T ц - - to- desti nati on 10. 0. 0. 2 Перенаправи ть эти пакеты на 10. 0. 0. Можно создать множество других типов правил, изменяющих поведение бранд­ мауэра. Для получения более подробной информации по использованию про­ граммы iptaЬles обратитесь к руководству, расположенному на сайте Netfiller ( wnetfiller.com).

.

После внесения описанных изменений вы увидите, что определены следующие правила:

$ sudo iptaЫ es - t nat · L Chai n PREROUT I NG ( pol i cy АССЕРТ) target prot opt source dest i nat i on Р бота а с файлами си много журнала DNAT tcp anywhere 11. 22. 33. 1 tcp dpt : www to : 10. 0. 0. Chai n POSTROUTI NG ( po1 i cy АССЕРТ ) ta rget prot opt source desti nati on SNAT О anywhere anywhere to : 1 1. 22. 33. Chai n OUTPUT ( po1 i cy АССЕРТ ) ta rget prot opt source desti nati on Все изменения в правилах iptaЬles сохраняются только на время текущей сес­ сии. После перезагрузки компьютера активным станет набор правил, используе­ мых по умолчанию. Обычно это не то, что нужно. Для сохраненив ваших правил iptaЬles запустuте команду i ptab1 es - save:

$ sudo iptaЫ es - save > iptaЫ es. rul es Сохраняет правила в файл в текvщен ка талоге $ sudo ер iptaЫ es. rul es /etc Копируе т сохраненные правила в letc Двухфазовый процесс необходим из-за прав доступа к папке 1 etc (вы можете изменить их, но это не очень хорошая идея). Наконец, правила сохранены для дальнейшего использования.

Д ее можно настроить Ubuntu для загрузки этих сохраненных правил для каждого подключенного Еthеrnеt-интерфейса (правила уник ьны для каждой сетевой карты или интерфейса в системе). Отредактируйте файл /etc/network/ i nterfaces. После каждой информации о настройках i face для Еthеrnеt-интерфей­ са, например для ethO, вызывайте команду i рtаЫ es - restore, как показано в следую­ щем отрывке файла:

auto ethO i face ethO i net dhcp pre- up i ptaЫ es - restore < /etc/i ptaЫ es. ru1 es Это дополнение к файлам правил интерфейсов вызывает функцию i ptaЫ es ­ restore для восстановления правил, сохраненных ранее в /etc/i рtаЫ es. ru1 es.

Р е а м м на абота с ла и си о о р ла ф й н г Большинство Linux-cиcтeм настроены на ведение записей о действиях, которые происходят в рамках данных систем. Эти действия затем записываются в файлы журнала, находящиеся в папке /va r 11 og или в ее подпапках. Такие записи произво­ дятся программным обеспечением Syslog.

Для управления ведением журн а событий Ubuntu использует sys 1 ogd (демон записи системного журнала) и k 1 ogd (демон записи журн а ядра) установочных пакетов sysklogd и klogd. Эти демоны включаются автоматически посредством сценария запуска sys 1 og (/etc/i ni t. d/sysk1 ogd). Затем информация об активности системы, основанная на настройках файла 1 etclsys 1 og. conf, направляется в файлы папки /var/l og, например messages, secure, cron и boot. 1 og.

Периодическое создание файлов журн а обеспечивается программой logrotate с настройками, хранящимися в файле /etc/ 1 ogrotate. conf и папке /etc/1 ogrotate. d.

Сrоn-процесс команды /etc/cron. da i 1у/1 ogrotate позволяет периодически в течение дня заполнять журнальные файлы.

308 Глава 14. Повышение уровня безоnасно и Вы можете просмотреть любой файл журнала вручную (с помощью vi или дру­ гого текстового редактора). Однако, установив пакет logwatch, вы будете каждый день получать наиболее существенную информацию из журнальных файлов на почтовый ящик пользователя root. Можно изменить адреса отправки и получения этого сообщения в файле /etc/cron. dai l y/Ol ogwatch. Чтобы избежать замкнутых циклов отправки электронной почты, укажите существующий адрес для отправи­ теля, в то время как адрес получателя должен находиться за пределами локаль­ ного компьютера. Другой способ изменения получателя - это перенаправление электронной почты rооt-пользователя на другой адрес. Это можно сделать, отре­ дактировав файл /etc/al i ases и запустив программу newaliases для вступления изменений в силу. В противном случае просто зайдите в систему как суперпользо­ ватель и работайте с почтовой программой пользователя, как это описано в гл. 12, для прочтения электронных сообщений программы logwatch.

Вы можете отсылать свои собственные сообщения службе ведения системно­ го журн а syslogd с помощью команды l ogger. Вот несколько примеров:

$ l ogger Added new vi deo card Информация добавлена в файл сооб ения щ $ l ogger - р info -t CARD - f /tmp/my. txt Приорите тег файл сооб ения.

т. щ В первом примере фраза Added new vi deo ca rd отправляется в файл сообщения.

Во втором примере приоритет письма установлен как i nfo и тег CARD добавляется в каждую строку сообщения. Текст сообщения извлекается из файла /tmp/my. txt.

Чтобы просматривать системный журнал в реальном времени, используйте коман­ ды tai l - f или l ess, как это описано в гл. 5.

е д е е ю · Про вин ы илиты п бе п ч ни о о с и ез б па о сно На десятке страниц невозможно рассказать обо всем многообразии утилит по обес­ печению безопасности, доступных администраторам Linux-cиcтeм. Помимо ко­ манд, рассмотренных в этой главе, мы представляем описание некоторых достой­ ных внимания функций для дальнейшей зашиты Linux.

О Security Enhanced Linux (SE:tinux) - функция предоставляет средства для за­ щиты файлов, папок и программ Linuх-системы, предотвращая несанкциониро­ ванный доступ из одной используемой системной области в другую. Например, если бы злоумышленники получили незаконный доступ к вашему неб-демону, это не означало бы, что они получили бы доступ к остальной системе. SELinux был разработан Агентством национальной безопасности США, на сайте которо­ го ( w.nsa.gov/selinux,/info/faq.cfm) есть путеводитель по часто задаваемым вопро­ сам, связанным с данной программой. SELinux устанавливается с помощью не­ скольких пакетов. Обращайтесь на страницу h ps://wiki.ubuntu.com/SELinux для получения более подробной информации.

О Центр изованный системный журн - если вы управляете несколькими серверами Linux, то для вас предпочтительнее хранить файлы системного жур­ нала на центральном сервере syslog. Используя свой syslog-cepвep, вы можете Резюме просматривать информацию о системных событиях с помощью пакета syslog-ng.

Кроме того, если пакет logwatch уже не подходит вам из-за недостатка функцио­ нальности, попробуйте использовать аналиатор системного журнала Splunk.

О Tripwire - с помощью этого приложения вы можете сделать моментальный снимок всех файлов в системе, а затем использовать его, чтобы найти изменения в файлах. Эта функция особенно полезна, когда нужно выяснить, подвергались ли определенные программы ненужным изменениям. Вы берете базовые харак­ теристики системного файла, затем регулярно запускаете tripwire и проводите проверку целостности, чтобы увидеть возможные изменения в файлах конфи­ гурации или приложениях.

О База данных АРТ - еще одним способом проверить, подвергались ли програм­ мы изменениям, является использование команд АРТ для проверки достовер­ ности приложений и файлов конфигурации, установленных в системе. Обра­ щайтесь к гл. 2 для получения информации об использовании команд apt и dpkg для проверки содержимого установленных пакетов программ.

О Chkrootkit - если вы подозреваете, что в систему проникли злоумышленники, скачайте и соберите программу chkrootkit с сайта w.chkrootkit.org. Это помо­ жет обнаружить руткиты1, которые могли быть использованы для захвата ком­ пьютера. Мы рекомендуем запускать chkrootkit с LiveCD или после монтиро­ вания подозрительного диска в чистой системе.

ю Рез ме В то время как существует множество утилит для защиты Linux, перв линия обес­ печения безопасности начинается с защиты учетных записей пользователей и служб, работающих в системе. Команды useradd, groupadd и password являются стандартными средствами для настройки учетных записей пользователей и групп.

Поскольку большинство взломов, происходящих извне, осуществляются зло­ умышленниками, получающими доступ к системам через общедоступные сети, то настройка брандмауэров важна для любой системы, подключенной к Интернету.

Утилита iptaЬles предоставляет функции брандмауэра, встроенные в ядро Linux.

Программа Syslog следит за процессами, происходящими в системе. Она запи­ сывает информацИю практически обо всех действиях. С помощью пакетов про­ грамм logrotate и logwatch, установленных по умолчанию, можно легко управлять файлами системного журнала и ежедневно проверять их.

Набор утилит, которые хакер устанавливает на взломанном компьютере после получе­ ния первоначальноrо доступа.

1.

П л ри ожен е и И ль е спо о ани з в в vi vim о о е т р р д к и а Хотя легкие в использовании графические редакторы (такие как gedit и kedit) всегда доступны в Linux, большинство опытных пользователей все еще работают в vi или Emacs при редактировании текстовых файлов. Помимо того, что vi и Emacs работают из любого интерпретатора команд (графический интерфейс необязате­ лен), они имеют еще несколько преимуществ, например возможность работы в ре­ дакторе только с помощью клавиатуры и интеграция с удобными утилитами.

Кроме того, в отличие от графических текстовых редакторов, с редакторами, осно­ ванными на тексте, можно работать, имея подключение к Интернету на малой ско­ рости, например коммутируемый доступ или подключение через спутник.

Это приложение рассматривает функции редактора vi для базового редактиро­ вания текста, но также поможет вам научиться более сложным операциям с тек­ стом. Мы предпочли рассказать о vi, а не о Emacs, так как он более универсальный и гибкий, а также потому, что горячие клавиши vi можно нажимать двумя руками.

Поскольку многие системы Linux вместо старого vi используют редактор vim (Vi Improved - << Vi У лучшенный•), примеры в этом приложении касаются также и vim. Вот некоторые функции, которые есть в vim, но отсутствуют в vi: множествен­ ные уровни отмены ввода, выделение синтаксиса и помощь в режиме онлайн.

Е и вы никогда п е не ра тали с vi или vim, обратите внимание на ин рукцию, входящую в расши нный пакет программ vim. Запу ите команду tutor и следуйте инструкциям я ознаком­ ления со многими ключевыми функциями этих а оров.

ты ачало рабо Н Если вы хотите потренироваться в использовании vi, то сначала скопируйте тек­ стовый файл. Например, введите:

$ ер /etc/passwd /tmp Затем откройте этот файл с помощью команды vi следующим образом:

$ vi /tmp/passwd Чтобы испытать все преимущества vim, убедитесь, что установлен расширен­ ный пакет программ vim-enhanced (который по умолчанию входит в Ubuntu).

Навигация Во многих системах vi - это псевдоним команды vim. В Ubuntu обе команды за­ пускают vim. Вы можете перепроверить это с помощью команды а 1 i as.

/bi n/vi /tmp/text. txt Рассмотрим еще несколько способов запуска vi:

$ vi +25 /tmp/inittab Начать со строки номер $ vi + /tmp/ini ttab Нача ть редактирование с последней строки $ vi +/tty /tmp/inittab Нача ть с первой строки со слова tty $ vi - r /tmp/inittab Восс ановить файл после сбоя в рабо те сессии т $ view /tmp/i nittab Редактировать файл в режиме олько чтения т После окончания работы с vi нужно сохранить данные и выйти из программы, для чего существует несколько способов. Чтобы сохранить файл до того, как выйти, наберите : w. Если вы хотите выйти и сохранить изменения, наберите zz либо : wq. Чтобы выйти без сохранения, используйте команду : q!. Если вы обна­ ружите, что не можете изменять редактируемый файл, то, возможно, он открыт в режиме только для чтения. Если это так, то вы можете заставить программу за­ писать данные, набрав : w!, или сохранить содержимое файла под дру м именем.

Например, наберите оледующую команду, чтобы сохранить содержимое текущего файла в файл myfi 1 е. txt:

:w /tmp/myfi l e. txt Редактор vi также позволяет одновременно выбрать несколько фа ов для редактирования. Например, введите следующее:

$ cd /tmp $ touch a. txt b. txt c. txt $ vi a. txt b. txt c. txt В этом примере vi откроет файл а. txt первым. Вы можете перейти к следую­ щему файлу, набрав : n. Возможно, вам понадобится сохранить изменения перед переходом к следующему файлу ( : w) или сохранить изменения и перейти к сле­ дующему файлу ( : wn). Чтобы отменить изменения и перейти к следующему фай­ лу, наберите : n !.

Скорее всего, будет легче открывать несколько файлов сразу, разделяя экран vi. Находясь в vi и открыв файл, можно горизонтально или вертикально разделить экран несколько раз:

: spl it /etc/motd. tai l : vspl it /etc/motd. tail Используйте клавишу ТаЬ, чтобы указать путь к файлам, как в обычном интер­ претаторе команд bash. Чтобы перемещаться между разделенными окнами, на­ жмите сочетание Ctri+W и клавишу W. Чтобы закрыть текущие окна, используйте обычную команду выхода из vi ( : q).

Навигация Первое, к чему следует привыкнуть, работая с vi, - это то, что нельзя сразу начать печатать. У vi есть множество режимов для выполнения различных типов задач.

312 Приложение 1. Испол ование редакто в vi и vim Вы начинаете сессию vi в режиме Normal (Обычный), в то время как vi ждет коман­ ды для нач а работы. Находясь в режиме Normal (Обычный), вы можете просмат­ ривать любое место в файле. Чтобы ввести или изменить текст, необходимо перей­ ти в режим Insert (Вставка) или Replace (Замена).

Если в vi открыт файл с несiWлькими страницами текста, то для навигации по файлу в режиме No al (Обычный) можно использовать клавиши и их сочетания, приведеиные в табл. П 1. 1.

Та ица П1.1. Горячие авиши я навигации авиwи Оnи ние авиwи Опи ние Page Down Проли ать одну аницу вниз Page Up Проли ать одну аницу вверх или Qri+F или Qri+B Qri+D Проли ать пол раницы вниз Qri+U Проли ать пол раницы вверх Shi +G Перейти к по ней роке :L Перейти к первой роке файла файла (испол уйте любую цифру для пе хода на соответствующую ро } Shift+H Переме ить рсор в верхнюю Shi +L Переме ить ор в нижнюю ча ь экрана ча ь экрана Shi +M Переме ить рсор в ср нюю Qri+L Обновить изображение (если ча ь экрана Enter Переме ить рсор в начало Перем ить курсор в начало ующ й пр ыдущей роки е роки Home или $ Переме ить курсор в конец End или л Переместить рсор в начало или о Пе ме ить курсор в начало Переме ить ку ор в начало пр ыдущего пре ожения ующего предложения Переме ить курсор в начало Перем ить рсор в начало { } пр ыдущего абзаца ующего абзаца w Переместить курсор Shi +W Переме ить ку ор к ующему ову (пробел, к ующему ову (проб новая рока или знак или новая рока} пунктуации} в Переме ить курсор Shi +B Переме ить курсор к пр ыдущему ову (пробел, у ову (nробел к п ыдущем новая рока или знак или новая рока} пунктуации) Е Перем ить рсор к концу Shi +E Переме ить ор к концу ующего ова (пробел, новая ующего ова (пробел или рока или знак пунктуации} новая ка} +-- или Переме ить курсор на одну --+ или L Пе ме ить рсор на одну 8ackspase букву влево букву вправо к или t Переме ить рсор на одну J или.J.. Пе ме ить рсор на одну ку ввер ро вниз х /string Найти едующую комбинацию ?string Найти предыдущую символов: string комбинацию символов ки N Искать далее Shift+N Искать в обратном напра ении Изменение и удаление тек а зме е е е е е И н ни и удал ни т к а Чтобы начать изменять и добавлять текст с помощью vi, можно войти в режимы Inse (Вставка) или Replace (Замена), как показано в табл. П1.2. Когда вы перехос дите в эти режимы, набранные символы будут появляться в текстовом документе (в отличие от их интерпретации как команд).

Нажмите клавишу Esc, чтобы выйти обратно в режим Normal (Обычный) после того, как вы закончили вставлять или заменять текст.

ица П1.2. Клавиши я изменения тек а авиwи Опи ние авиwи Опи ние Набранный тек появляется Shi +I Набранный те появляется пер те щим символом в начале текущей роки А Набранный тек появляется Shi +A Набранный те появляется по е текущего символа в конце текущей роки о Создать новую року п Shi +O Создать новую року над текущей я начала вв а текущей я начала ввода S, Ст рет кущий символ Shi +S Стереть те щую року е ь те и заменить новым текстом и заменить новым текстом С? Сменить ? на 1, w, $ или с я Shift+C Стереть все от ме а у ановки изменения те щей буквы, рсора до конца роки слова, конца роки или и вве и новый тек роки R заменить текущий символ Shift+R Заменить все по мере набора едующим набранным тек а, начиная с текущего символом символа и далее вперед Таблица П 1.3 содержит клавиши для удаления или вставки текста.

Та ица П1.З. Клавиши я удаления и в авки тек а авиwи Описание авиwи Опи ние х Удалить тек под курсором Shift+X Удалить тек слева от курсора D? Сменить ? на 1, w, $ или d, Shift+D Вырезать все, начиная от ме а чтобы вырезать текущий у ановки курсора до конца символ, слово или конец роки роки, начиная от курсора или целой роки У? Сменить ? на 1, w или $, чтобы Shift+Y Копировать текущую року копировать (копировать в буфер в буфер) текущий символ, слово или конец роки, начиная от курсора р Вставить вырезанный или Shift+P Вставить вырезанный или скопированный в буфер тек скопированный в буфер текст после курсора пер курсором 314 Приложение 1. Испол ование акторов vi и vim В е е п л м с омогат ьны ко анды В табл. П 1.4 показаны несколько вспомогательных, но важных для работы клавиш и их сочетаний.

Та ица П1.4. Вспомогат ьные авиши авиwи Опи ние u Отменить п ыдущее изменение. Несколько нажатий U подряд отменят соответ вующее количе во дей вий Повторить ующую команду. Таким образом, если вы удалили ро, заменили ово, изменили четы буквы и т. д., та же самая команда будет выполнена с того ме а, где у ановлен курсор (команда сбрасывается при повторном входе в режим ввода) Shift+J Объ инить текущую строку со ующей Esc Возвратиться в командный режим из режима ввода. Это одна из авиш, испол уемых наиболее ча о м м щ ю е а я а д с п о Моди ик ци ко н о ь чис л ф Почти каждая описанная выше команда может быть подвержена модификации с помощью цифр. Другими словами, вместо уд ения одного слова, замены буквы или изменения строки вы можете удалить шесть слов, заменить двенадцать букв и изменить девять строк. В табл. П 1.5 показаны примеры.

Та ица П1.5. Модификация команд с помощью чис авиwи Опи ние 7CN Удалить ующие семь ов и заменить набранным тек ом 5, Shi +D Вырезать ующие пять рок (в ючая текущую) ЗР Вставить удаленный до этого тек три раза по е ку ора DB 9 Вырезать девять ов пер рсором 10J Опу ить ку ор вниз на десять рок У2) Копировать (копировать в буфер) тек, начиная от рсора и до конца ующих двух предложений 5, Ctri+F Перейти впе на пять раниц, Shi +J Объ инить ующие ше ь рок б Из этих примеров видно, что большинство горячих клавиш vi, предназначенных для изменения текста, уд ения или навигации, могут быть модифицированы с помощью чисел.

Е -ко ан ы м д х Редактор vi был построен на основе редактора под названием Ех. Некоторые коман­ ды vi, описанные выше, начинаются с точки с запятой и известны как Ех-команды.

Ех-команды Для ввода таких команд начните работу в режиме Normal (Обычный) и наберите двоеточие ( : ). Это позволит перейти в режим командной строки. В этом режи­ ме можно использовать клавишу ТаЬ для завершения команды или имени файла, а также клавиши управления курсором для навигации по журн у команд, как в интерпретаторе команд bash. Нажимая в конце команды Enter, вы переходите в режим Normal (Обычный).

В табл. П1.6 показаны примеры Ех-команд.

Табпица П1.6. Примеры Ех-команд а Ком Оnи ние : ! Ьash Пе йти в интерп татор команд Ьash. Когда необходимо, наберите exit я возврата в vi : !date запу ить date (или любую команду по вашему вы ру). Нажмите Eпter я возврата : ! ! Повторно запу ить п ыдущую команду :20 Перейти к роке 20 в файле :S,lOw aЬc.txt Вписать роки с пятой по деся ю в файл abc.txt :е aЬc.txt Выйти из те щего файла и начать р а ировать файл aЬc.txt :. r def.txt Пом ить содержим def.txt ниже те щей роки в те щем файле :s/RH/RedHat Изменить Red Hat при первом совпадении на RH в текущей роке :s/RH/Red Hat/g И зменить Red Hat при всех совпадениях на RH в те щей роке :%s/RH/Red Hat/g Изменить Red Hat при всех совпадениях на RH во всем файле :g/Red Hat/p Просмотреть ка ую ро в файле, с ержащую "Red Hat" :g/gaim/s//pidgiп/gp Найти ка ую реализацию gaim и изменить на pidgiп В командной строке ех вы также можете просмотреть и изменить настройки сессии vi, используя команду set. В табл. П1.7 показаны примеры.

Табпица П1.7. Команда set в ех- жиме Кома а Оnи ние : all Выве и список всех на роек :set Покаэать только те на ройки, которые были изменены с испол уемых по умолчанию на новые : пumЬer Выве и номера рок ева от ка ой роки (используйте set попu я сбр а) :set ai У ановить автосгруктурирование;

таким образом, новая рока й руктурируется в соответ вии с п ыдуще :set ic Игнорировать ги р, чтобы поиск тек а производился вне зависимо и от ги ра : list Показывать $ на конце ка ой роки и л 1 я позиции табуляции :set wm Позволить vi добавлять разрывы ме у овами рядом с концом роки 316 Приложение 1. Испол ование редакто в vi и vim Р е еж ме г р абота в ра ич ском и ф Редактор vim предоставляет интуитивный метод выбора текста, называемый гра­ фическим режимом. Чтобы начать работу в графическом режиме, поставьте курсор на первый символ нужного текста и нажмите клавишу V. Вы увидите, что вошли в графический режим, так как вверху появится текст:

- - VI SUAL - Теперь можно использовать любые клавиши управления курсором (стрелки, Page Down, End и т. д.) для перемещения курсора к концу текста, который вы хоти­ те выбрать. Вы увидите, что, по мере того как страница и курсор двигаются, текст выделяется. Когда весь необходимый текст выделен, можете выполнять команды для работы с ним. Например, d удаляет текст, с позволяет изменять выбранный текст, : w /tmp/test. txt сохраняет выбранный текст в файл и т. д.

П и ж ни 2.

л р о е е е ль е ол Сп циа н ы сим в ы и п м ере енн е ы инт о ом е ре ат ра к а н рп д т В Ubuntu интерпретатор команд bash используется по умолчанию. В гл. 3 расска­ зано, как работать с ним. В этом приложении приводятся ссылки на множество символов и переменных, которые имеют особое значение в интерпретаторе команд bash. Многие их этих элементов представлены в табл. П2. 1 и П2.2.

п е м е ьны с С циал и волы м интерпретатора ко анд Вы можете использовать специальные символы из интерпретатора команд для сравнения нескольких файлов, сохранения сочетаний горячих клавиш или для выполнения других операций. В табл. П2. 1 показаны некоторые полезные специ­ альные символы интерпретатора команд.

Табпица П2.1. Сnециальные символы интерnретатора команд Симв Опи ни ы е * Обозначает любой набор символов ? Оnред яет любой символ. Обозначает любой символ, за юченный в скобки [.. ] Указывает удалить специальное значение символа в скобках. Переменные не расширяются То же самое, что и одинарные кавычки, только символы nерехода ($ • и \) сохраняют сnециальное значение Символ nерехода я удаления сnециального значения nо едующего символа Ссылка на nапку $НОМЕ Значение nеременной PWD интерnретатора команд (рабочая дире ория) Продолжение 318 Приложение 2. Специальные символы и пе менные интерп та ра команд Та ица П2.1 (продолжение) Симв ы Опи ние Ссылка на пр ыдущую ра чую пап Ссылка на те щую ра чую пап Ссылка на пап, расположенную над те щей. Символ может быть испол ован н колько раз подряд я указания папок, нах ящихся выше в де ве каталогов $param Используется я расши ния параметра пе менной ин рп татора команд те cmdl ' cmd2 ' или cmd2 выполня ся первым. затем вызов cmd2 заменяется зульта м cmdl $(cmd2) выполнения cmd2 и выполня ся cmdl cmdl > Пе направляет андартный вывод команды cmdl < Пе направляет андартный вв команды cmdl >> Прик пляет андартный вывод команды в файл, не удаляя его те щего с ержимого cmdl l cmd2 Связывает вывод ной команды и вв другой cmd & запускает команду в фоновом жиме cmdl && cmd2 запускает первую команду. Е и получено нулев значение, запускает вторую команду cmd l l l cmd2 запускает первую команду. Е и не получено нулев значение, запускает вторую команду cmdl ;

cmd2 запускает первую команду и, когда вып нение завершается, запускает вторую е е е ет пр а Перем нны инт р тора ко ан м д Вы можете создать параметр (переменную), поставив $ перед цепочкой символов (как в $НОМЕ). Переменные среды интерпретатора команд могут хранить информацию, используемую самим интерпретатором, а также командами, которые вы запускаете из него. Не все переменные среды будут наполнены по умолчанию. Некоторые пе­ ременные можно изменять (как оринтер по умолчанию $PRI NTER или командную строку в $PS1). Другие управляются интерпретатором команд (например, $0LDPWD).

В табл. П2.2 приводится список полезных переменных интерпретатора команд.

Та ица П2.2. Пе менные интерпретатора команд Пе менная Опи ние BASH Показывает п ь к команде bash UЫп/Ьаsh) BASH_COMMAND Команда, выполняемая в те щий момент BASH_VERSION Ве ия Ьash COLORS П ь к файлам конфигурации цв ов ls COLUMNS Ширина роки терминала (в символах) Переменные интерп татора команд Пе енная Опи ние DISPLAY Обозначает Х-экран, в котором будут отображаться команды, эапущенные иэ те щего интерп татора команд (например, :0.0) EUID Идентификационный номер те щего пол ователя. Основывается на эаписи в /etr./passwd я вош шего в си ему пол оват я FCEDIТ Оп яет тек овый актор, испольэующийся командой fc я а ирования команд history. Р а ор vi испол у ся по умолчанию GROUPS Выводит список групп, в которые вх ит те щий пол оват ь HISТCMD Показывает те щий номер журнальной эаписи те щей команды HISТFILE Отображает м онахо ение файла журнала (обычно находится в папке $HOME/.bash_history) HISТFILESIZE Общее количе во записей в журнале я хранения (1000 по умолчанию).

По е д ижения этого чи а арые команды не учитываются HISTCMD Номер те щей команды в файле журнала НОМЕ Ме онахо ение домашней дире ории те щего пол оват я. Команда cd беэ параметров возвращает в домашний каталог HOSТNAME Имя х -уэла те щей машины НОSТТУРЕ Содержит архитектуру компьютера, на которой работает Liпux (i386, i 86, ) i586, i686, х86_64, р или ррс LESSOPEN Приписана команде, конвертирующей содержание файла, отличн нки, RPM, ZIР-файлы и т. д.), я работы от чи ого тек а (рису с командой less UNES У анавливает колич во рок в те щем терминале LOGNAME Содержит имя текущего пол оват я LS_COLORS Приписыва т опр енные цвета расширениям файлов;

в зультате е команда ls их отображает, когда алкивается с ними МАСНТУРЕ Отображает информацию об архитекту машины, компании и операционной си еме (например, i686-redhat-liпux-gпu) MAIL Обозначает м онахо ение файла почтового ящика (обычно э имя п оват я в пaпкe/var/spool/mail) MAILCHECK П веряет поч с указанными интервалами (60 по умолчанию) OLDPWD Папка, которая являлась рабочей до смены на текущую ди орию ОSТУРЕ Имя, обозначающее те щую операционную систему (как liпux или liпux-gпu) РАТН Список папок, разд енных двоеточиями, испол уемый я нахо ения и очника набираемых команд (/Ып, /usr/blп и $НОМЕ/Ып обычно входят в РАТН) PPID Идентификационный номер процесса команды, запу ившей этот интерпретатор команд PRINТER У ановить принтер, применяемый по умолчанию, который используется такими командами, как lpr и lpq Продо ение 320 Приложение 2. Специальные символы и пе менные интерп та ра команд Та ица П2.2 (продолжение) Пе менмая Оnи ние РRОМРТ_COMMAND У ановить имя команды я запуска пе появлением приглашения командного процессора. Например, РRОМРТ_COMMAND=Is выводит список команд в щей папке пе отображением командной те роки PSl У анавливает приглашение командного процессора. Оно может в ючать в себя даты, в мя, имена пол оват ей, имя хо -уэла и т. д. Дополнит ьные приглашения командного п ц сара могут быть у ановлены с помощью PS2, РSЗ и т. д.

PWD Эта папка является те щей RANDOM Данная переменная генерирует учайное чи о от О до 32 SECONDS К ич во се нд с начала ра ты интерпрета ра команд SHELL Содержит полный путь те щего ин рпр атора команд те SHELLOPТS Выве и список в юченных параметров интерпрета ра команд П ж 3.

л и ри о ен е П ни и ол ф че е н о рмации у с о о ь ф л п м щ ю а ово й й системы /proc Файловая система /proc изначально предназначалась для хранения информации, используемой запущенными процессами. В конце концов она стала главным ме­ стом хранения информации, используемой ядром Linux. Несмотря на появление /sys для вывода более упорядоченной информации о состоянии ядра, многие ути­ литы Linux все еще собирают и представляют информацию о работающей системе с помощью /proc.

Если вы не любите выполнять лишние действия, то можете не использовать улилиты, которые обращаются к файлам /proc и иногда проводят записи в jproc.

Просматривая jproc, можно узнать текущее состояние процессов, устройств, под­ систем ядра и других атрибутов Linux.

росмотр ин орма ф ции П Просмотр информации в файлах папки /proc можно осуществить с помощью про­ стой команды cat. В папке /proc существуют отдельные директории для каждого работающего процесса (названные в соответствии с их идентификаторами), кото­ рые содержат информацию о процессе. Кроме того, в ней хранятся файлы, содер­ жащие данные о некоторых других свойствах системы, например о процессоре, состоянии оперативной памяти, версиях программ, разделов дисков и т. д.

Следующие примеры показывают, какую информацию можно получить из папки /proc в системе Linux:

$ cat /proc/cmdl ine Показывае параме переданные ядру при загруз ке т тры.

root=UU I D=db2dac48 - a62e -4dbe -9529- e88a57Ы5bac ro qui et spl ash $ cat /proc/cpui nfo Показывает информацию о процесс ре а Processor : О vendor i d : Genui nel ntel cpu fami l y : б model model name Penti um I I I C Coppermi ne ) steppi ng cpu MHz 648. cache si ze 256 КВ 322 Приложение 3. Пол учение информации с помощью файловой си емы /proc В этом примере скорость может быть намного ниже, чем ре ьная, если запущен оптимизатор процессора, например cpuspeed.

$ cat /proc/devices Отображает существующие устройства посимвольного ввода -вывода и блочные устройства Cha racter devi ces :

1 mem 4 /dev/vc/ 4 tty 4 ttys 5 /dev/tty Bl ock devi ces :

1 ramdi sk 8 sd 9 md $ cat /proc/di skstats Отображает диски. разделы и ста тистику по ним 1 О ramO О О О О О О О О О О О 1 1 ram1 О О О О О О О О О О О 8 О sda 2228445 1032474 68692149 216727 10 1098740 47790770 101074392 о 15385988 8 1 sda1 330077 13060510 188002 8 1 sda2 1491 1759 50 7 о 1 оор о о о а о о о о о о о о В только что показаинам выводе команды di skstats можно увидеть псевдодиск ( ramO, ram1 и т. д.) и ци ические устройства ( l oopO, l oop1 и т. д.). Что касается раз­ делов жестких дисков, то пример отображает статистику по целому жесткому диску (sda) и каждому разделу (sda 1, sda2 и т. д.).

Поле 1 1 информации о жестком диске отображает (слева направо): общее ко­ личество чтений;

количество объединенных чтений;

прочитанных секторов;

мил­ лисекунд, затрачиваемых каждым чтением;

завершенных записей;

объединенных записей;

секторов, в которые производилась запись;

миллисекунд, затрачиваемых на запись;

текущих запросов ввода-вывода;

миллисекунд, затраченных на ввод­ вывод;

среднее количество миллисекунд, затраченных н ввод-вывод. Поля для определенных разделов показывают (слева направо): количество заданных чтений;

прочитанных секторов;

заданных записей;

секторов, в которых произведена запись.

$ cat /proc/fi l esystems Вывести список поддерживаемых ядром файловых систем nodev sysfs nodev означает. что данный тип не исполь зуется ни одним устройством nodev rootfs ext3 ехtЗ исполь зуется на смонтированнон блочном устройстве i so9660 iso9660 исполь зуется на смон тированнон блочном устройстве Просмотр информации $ cat /proc/i nterrupts Просмотр присвоенных IRQ каналов CPUO о : 198380901 XT- PIC-XT ti mer 1 : 28189 XT- PIC-XT i 2: о XT- PIC-XT cascade 6: 3770197 XT- PIC-XT Ensoni q Audi oPC I 7 : 660 XT- PIC-XT pa rportO $ cat /proc/iomem Показать адреса физической памя ти 00000000 - 0009fbff : System RАМ 00000000 - 00000000 : Crash kernel 0009fc00 - 0009ffff : reserved OOOaOOOO - OOObffff : Vi deo RдМ area 000c0000 - 000c7fff : Vi deo ROM 000c8000 - 000c8fff Adapter ROM OOOfOOOO - OOOfffff : System ROM 00100000 - 0febffff : System RАМ $ cat /proc/i oports Показать адреса виртуальноq памя ти 0000 - 001f : dma 0020 - 0021 pi c 0040 -0043 : timerO 0050 - 0053 : ti mer 0060 - 006f : keyboa rd 0070 - 0077 : rtc 0080 - 008f : dma page reg 00а0 - 00а1 : pi c OOcO - OOdf : dma OOfO - OOff : fpu $ cat /proc/l oadavg Показать 1 -. 5- и 15-минутные средние загрузки.

1. 77 0. 56 0. 19 2/247 1869 запущенные процессы/общий и наивысший PID $ cat /proc/ mi nfo Показать доступную опера тивную памя ть и памя ть подкачки MemTotal : 482992 kB MemFree : 25616 kB Buffers : 12204 kB Cached : 64132 kB SwapCached : 117472 kB Acti ve: 321344 kB I nacti ve : 93168 kB О kB Hi ghTotal :

Hi ghFree : О kB LowTota l : 482992 kB $ cat /proc/mi sc Показать имя/младший номер устройств.

229 fuse зарегистрированных главным устройством misc (1 0) 63 devi ce-mapper 175 agpga rt 144 nvram 324 Приложение З. Получение информации с помощью файловой си емы /proc $ cat /proc/modul es Показать загруженные модули. размер памя ти.

nl s_utf8 6209 1 - Li ve Oxd0c59000 загруженные копии программы. состояние загруженных зависимостей и памя ть яАра ci fs 213301 О - Li ve Oxd0e3b nfs 226861 О - Li ve Oxd0e nfsd 208689 17 - L1 ve Oxd0d8a exportfs 9537 1 nfsd. Li ve OxdOcfbOOO l ockd 62409 3 nfs. nfsd. Li ve Oxd0d nfs acl 7617 2 nfs. nfsd. Li ve Oxd0c fus 45909 2 - Li ve Oxd0d vfat 16193 О - Li ve Oxd0cf $ cat /proc/mounts Показа ть информацию о смонтированных локальных/удаленных файловых системах rootfs 1 rootfs rw О О nопе /sys sysfs rw. nosui d. nodev. noexec О О поnе /proc proc rw. nosui d. nodev. noexec О О udev /dev tmpfs rw О О.

/dev/di sk/by - uui d/db2dac48 -a62e -4dbe -9529 - e88a57Ы5bac 1 ext3 rw. data= ordered О О /dev/di sk/by - uui d/db2dac4B - a62e - 4dbe - 9529 - e88a 57Ы5bac /dev/. stati c/dev ext rw. data=ordered О О tmpfs /var/run tmpfs rw. nosui d. nodev. noexec О О tmpfs /var/l ock tmpfs rw. nosui d. nodev. noexec О О tmpfs /l i Ь/modul es/2. 6. 20 - 16-generi c/vol ati l e tmpfs rw О О tmpfs /dev/shm tmpfs rw О О devpts /dev/pts devpts rw О О usbfs /dev/bus/usЫ. usbfs usbfs rw О О udev /proc/bus/usb tmpfs rw О О usbfs /proc/bus/usЫ. usbfs usbfs rw О О fusectl /sys/fs/fuse/connecti ons fusectl rw О О tmpfs /var/run tmpfs rw. nosui d. nodev. noexec О О tmpfs /var/l ock tmpfs rw. nosui d. nodev. noexec О О /dev/di sk/by-uui d/4f419cb8 -a920 -4b6e - a8fd - b3946f9bf644 /boot ext rw. data=ordered О О /dev/di sk/by - uui d/91ae7a92-ca5c-4ef0 -9729- ba0cdcf2a07f /home2 ext rw. dataordered О О nfsd /proc/fs/nfsd nfsd rw О О rpc_pi pefs /var/l i Ь/nfs/ rpc_pi pefs rpc_pi pefs rw О О bi nfmt_mi sc /proc/ sys /fs/bi nfmt_mi sc bi nfmt_mi sc rw О О $ cat /proc/partitions Показать смонтированные локальные разделы # major mi nor Ыocks name 8 О 400317 12 sda 8 1 200781 sda 8 2 10241437 sda 8 3 6160927 sda $ cat /proc/mdstat Если используется программное обеспечение ID.

показа ть статус RAID Persona l i ti es : [ rai d1] read ahead 1024 sectors Event : mdO : acti ve ra i d1 sdЬ1 [1] sda2[0] 69738048 Ыocks [2/2] [UUJ unused devi ces : И зменение информации Файл /proc/mdstat содержит детальную информацию о положении программ­ ных устройств RAID, если вы их устанавливали. В этом примере mdO - это RAID (зеркало), составленный из разделов /dev/ sdЫ и /dev/sda1. В этой строке присут­ ствует буква U для каждого рабочего RАID-устройства. Если вы потеряете диск, вывод будет выглядеть как [U_].

$ cat /proc/stat Отобразить ста тисти ядра с момента запуска системы cpu 1559592 1488475 710279 218584583 1446866 5486 cpuO 1559592 1488475 710279 218584583 1446866 5486 i ntr 215956694 200097282 28242 О 1 3 О 3770197 660 1 1 О 3753340...

ctxt bti me 1181950070 processes 519308 procs_runni ng 1 procs_Ьl ocked О Файл /proc/ stat содержит статистику активности процессов и системного про­ цессора. Строка cpu отображает общее количество всех процессоров, в то время как отдельные строки для каждого процессара ( cpuO, cpu1 и т. д.) показывают статисти­ ку по каждому процессору на компьютере. Есть семь полей (слева направо) инфор­ мации о процессоре: количество обычных процессов, выполняемых в режиме поль­ зователя;

niсеd-процессы, запущенные в режиме пользователя;

процессы ядра;

свободные процессы;

iowait-пpoцeccы (ожидающие ввода-вывода для завершения);

прерванные службы (IRQ);

программы обслуживания IRQ.

$ cat /proc/swaps Отобразить информацию о размере файла подкачки Fi l ename Туре Si ze Used Pri ori ty /dev/sda2 pa rti ti on 1020088 201124 - $ cat /proc/upti Секунды с момента загрузки системы/общее количество секунд простоя 2300251. 03 2261855. $ cat /proc/version Вывести версию ядра и соответствующего конпиля тора Li nux vers i on 2. 6. 20- 16-generi c ( root@terranova ) ( gcc vers i on 4. 1. 2 ( Ubuntu # 4. 1. 2-0ubuntu4) ) 2 SMP Fri Aug 31 00 : 55: 27 UTC зме е е И н ни ин орма ии ф ц В некоторых версиях Linux определенные значения в папке /proc/sys могут быть изменены в процессе работы системы. Команда sysctl - это наиболее удачный метод изменения информации /proc/sys. Для окончательного изменения этих на­ строек нужно добавить записи в файл /etc/sysctl. conf. Вот несколько примеров команды sysct l :

$ sudo sysctl -А 1 l ess Отобразить все линамические параметры ядра $ sudo sysctl -w net. i pv4. i p_forward=l Включить перенаправление пакетов IPV Обращайтесь к руководствам sysctl и sysctl. conf, а также к гл. 1 О для получения более подробной информации.

в н ый у з т т фа и ка а ель atrm, команда А удаление задачи из списка АIFF-файлы очередности коди вание в формат FLAC aumix, команда коди вание в формат W АV настройки аудиокан ов конвертирование в формат awk, команда OGG извлечение столбцов из текста прои ыванне музыки разделитель изменение, alias, команда алиасы в определение для командного badЬlocks, команда процессара безопасное тестирование на чтение/ отображение запись установка контроль выполнения ALSA (Advanced Linux Sound несколько тестов Architecture) особенность alsamixer, команда поврежденные блоки, поиск управление уровнем звука bash (Bourne Again Shell) apt, команда bash, команда, открытие командной как инструмент безопасности консоли редактор JОЕ, установка 1 Ьatch, команда, запуск команд агр, команда bg, команда, управление процессами кэш АRР BIOS (базов система ввода/вывода) добавление статичных записей процессы за узки просмотр bzip2, команда кэш ARP, уд ение записи сжатие разрешения имен от ючение, aгping, команда с IР-адрес, проверка использования aspell cal, команда команда 1 отображение к ендаря пакет 1 1 case, команда at, команда проверка переменных автоматический запуск команд cat, команда atq, команда ASCII -кодировка, извлечение текста проверка очередности установленных задач информация о процессаре 216, 32 Ал фавитный указат ь проверка одного файла 108 создание эскизов текст, замена 122 специ ьные эффекты текстовые файлы, форматы файлов, конвертирование конвертирование ер, команда, копирование файлов 100, просмотр 1 crontab, оманда содержимое параметры CDDA (Compact Disc Digital Audio) переан ьный файл crontab, cdparanoia, команда создание CDDA, проверка совместимости 132 CUPS, система печати оцифровка музыки 132 ннелирование cdrecord, команда 184, 187 curl, команда мультисессионные CD/DVD, FТР-сервер, просмотр кат ога jpubj запись имя пользователяjпароль, образы, запись на компакт-диски 188 добавление приводы, по ержка записи 188 однократн передача файлов chage, команда cut, команда просмотр сроков действия паралей 300 разделитель столбцов, добавление chattr, команда столбцы, просмотр атрибуты файлов, изменение chgrp, команда D права собственности, изменение date, команда chmod, команда дата и время, изменение 22· область подкачки, создание в виде дата и время, отображение файла Date and Time Settings (Настройка даты права доступа, закрытие и времени) права доступа, изменение dd, команда сценарий командного процессора, ISО-образ, копирование исполняемый данные, копирование chown, команда области подкачки, создание в виде права собственности, изменение файла chsh, команда особенности информация об учетной записи, пустой файл-образ диска, создание изменение раздел IDЕ-диска, копирование clockdiff, команда резервное копирование со сжатием системные часы, проверка времени df, команда СОМ LVМ-том, монтирование настройки, просмотр данные о файловых системах, подключение к устройству Cisco ограничение объема convert, команда объем дискового пространства, изображения п верка добавление текста объем файлов inode, п верка изменение размера смонтированные файловые системы, отчет пакеты, конвертирование тип файловой системы, добавление поворот фавитны 328 й указатель diff, команда DVD объединение выхода двух файлов 125 ISО-образ, копирование сравнение файлов 124 объем dig, команда приложения GUI IР-адрес хост-компьютера, резервное копирование просмотр запись образов 187, запрос мулътисессия к блоку иреобразования имен по ержка записи приводом, обратный, поиск информации о DNS проверка по IР-адресу о типе записи Е рекурсивный, отслеживание e2fsck, команда, проверка файловой имя в DNS-cepвepe, поиск системы dirs, команда, управление порядком e2label, команда кат огов метки раздела disown, команда назначение запущенные процессы просмотр отделение от консоли echo, команда управление журн bash, количество команд dmesg, команда eject, команда содержимое кольцевого буфера ядра, CD, размонтирование и извлечение отображение из привода dmidecode, команда, информация об elinkskeys, команда, настройки устройствах 23 браузера DNS (Domain Name Service) else, оператор, тестирование имени серверы, запросы файла dрkg, команда env, команда, просмотр переменных проrраммные пакеты среды список, разбиение 1 ethtool, команда dstat, команда, информация о загрузке автоматическое согласование, процессара отключение du, команда драйвер сетевой карты, вирту ьн файлов система, информация проверка размера настройки NIC ис ючение файлов из поиска изменение несколько каталогов, выбор просмотр объем дискового пространства, синтаксис проверка статистика NIC, просмотр система прав пользователей, ethX, беспроводной интерфейс обход export, команда, наследование уровни дерева каталогов, определение exportfs, команда количества экспортированные общие папки, dump, команда, дамп файловой загрузка системы фавитный указат ь fsck, команда 150, F параметры fc, команда, просмотр журнала решение проблем bash файлов система fdisk, команда ext3, проверка параметры файлов система, проверка работа с конкретным диском ser, команда разделы жесткого диска процессы как р делы подкачки использующие открытые файлы, просмотр информации просмотр создание уничтожение 20 fg, команда sermount, команда fg, команда, управление запущенными уд енный каталог, демонтирование процессами file, команда G содержимое файла, определение тип файла, определение gimp, команда find, команда 104, запущенные процессы в фоновом временные метки режиме кат оги, поиск GNOME, среда критерий поиска, удаленный рабочий стол, просмотр инвертирование через VCN недоступные каталоги, grep, команда 1 исключение вывод имен файлов, отключение параметр ехес, действие конкретные строки, поиск на файлы нечувствительность к регистру регулярные выражения результаты поиска, р ные цвета файлы определенного р мера, рекурсивный поиск поиск строки, не содержащие ук анное чувствительность к регистру сочетание findfs, команда, поиск р дела grоuраdd, команда, добавление групп findsmb, команда, SМВ-хосты, пользователей 30 сканирование groupdel, команда, удаление групп fingeг, команда, изменение учетной пользователей 30 записи groupmod, команда, изменение имени flac, команда или ID 30 конвертирование groups, команда, просмотр групп пользователей AIFF в FLAC growisofs, команда WAV в FLAC доцолнительные параметры записи у вень сжатия, увеличение мультисессионн запись Flаsh-носители, частные ючи обр DVD, запись for, оператор gunzip, команда, распаковка free, команда, использование архивов 175, памяти фавитный указат ь ээо gvim, команда, запуск редактора vim 1 1 6 i p/ifdown, команды gzip, команда в ючение/отключение сетевых интерфейсов вместе с командной tar 17 init, команда сжатие запуск и остановка процессов уровень выполнения н запуск HAL (Hardware Abstraction Layer) изменение halt, команда iostat, команда особенности определение узких мест преимущество отчет об использовании процессора hdparm, команда установка 21О информация о жестком диске ip, команда особенности 23 информация о сетевом интерфейсе head, команда, просмотр файла с ero маршрутизация, просмот,Р нач а 1 информации host, команда, обратный маршруты, добавление/удаление DNS-зaпpoc сведения об использовании объекта 24 hostname, команда статичные записи ARP, добавление временное имя хоста, установка в кэш имя хоста лок ьного компьютера, шлюз по умолчанию, проверка просмотр IР-адреса локальное имя хоста для запуска, Samba, переопределение установка информация о DNS, обратный hwclock, команда запрос аппаратное время используемые, запрос определение под ючение к шлюзу, проверка синхронизация с системным преобраэование имен установка 219, просмотр вместо хост-имен местное время, просмотр разрешение перенаправления системное время, сброс расчет маски подсети 24 хост-компьютеров, просмотр ipcalc, команда ices, клиент для стриминrа музыки маска подсети, расчет с помощью CIDR id, команда, информация IР-адреса о пользователях iptaЬles, команда identify, команда, информация nаt-таблица, просмотр об изображении информация о брандмауэре ifjthen, операторы, тестирование имен перенаправление пакетов службы файлов правила ifconfig, кoмaндa. изменение адресjста с Еthеmеt-интерфейса ethO, остановка просмотр список текущих правил, просмотр состояние сетевых интерфейсов, проверка 239 таблица фильтров, просмотр фавитны указатель й IRC (Internet Relay Chat) 270 текущ директория freenode-cepвep, подключение 271 проверка IRС-канал, подключение 271 просмотр irssi, установка и запуск 27 1 l pget, команда, неинтерактивные сессии пакет программ xchat ln, кома а isoinfo, команда, информация заголовка образа 187 создание жестких и символьных ссылок 93, iwconfig, команда locate, команда беспроводные сетевые карты, поиск 242 поиск файлов настройки беспроводного интерфейса, lo er, команда изменение отправление сообщений в журн syslogd losetup, кома а ] состояние петлевых устройств jobs, кома а, управление фоновыми демонтирование процессами просмотр ls, команда к выводимые данные в качестве KDE параметров К3Ь, приложение длинные списки файлов и ката,логов, отображение текстовый редактор именованные каналы, создание кат оги, идентификация L перенаправление данных la e, команда типы файлов, различное от ражение конвертирование файлов файлы устройств, просмотр в формат МР3 lsattr, команда, просмотр атрибутов теги, д авление файла в МР3-файл ls od, команда last, команда, проверка имени имена загружаемых модулей, пользователя просмотр less, команда lsof, команда, поиск открытых файлов вопросы безопасности 81, и кат огов прокрутка страниц 1 lspci, кома а l p, команда беспроводные карты, поиск FТР-сервер, подключение информация об устройствах PCI загрузка в фоновом режиме lvcreate, команда, создание загрузка файлов на сервер LVМ-раздела закрытие сессии lvre ove, команда локальн директория удаление логического LVM -тома из изменение группы томов создание на сервере lvresize, команда, изменение размера нов директория, изменение 262 LVМ-тома особенности 261 lzop, кома а, сжатие фавитный указатель параметры монтирования м петлевое монтирование mail, команда способы монтирования интерактивное использование тип файловой системы для примеры монтирования, ста с сообщений определение mdadm, команда файловые системы, управление устройствами просмотр so raid mdadm, команда, проверка устройств N so raid netstat, команда minicom, команда NI С-статистика настройка модема обновление обращение к модему просмотр особенности ТСР-подключения, росмотр справочн информация активные UDР-подключения, mkdir, команда просмотр кат оги, создание информация о демонах, связанных точки монтирования, с портом ТСР создание пакеты, пересылаемые между mkfifo, команда, создание именованного протоколами ТСР и UDP канала сервер icecast, проверка запуска mkfs, команды nice, команда метки, добавление в раздел запущенные процессы, установка файловай система ext3, создание приоритетон на LVМ-разделе значение параметра nice файловые системы, создание изменение mkinitrd, команда, исправление определение псевдодиска особенности mkisofs, команда nmap, команда ISО-образы, создание получение полной несколько источников, добавление в образ 185 информации mknod, команда, создание файла сканирование устройства всей сети mkpartfs, команда, особенности портов использования хостов, полное mkswap, команда nmЬlookup, команда, идентификация поврежденные блоки1 проверка IР-адреса р дел подкачки, создание nоhuр, команда, доступность сигн а mount, команда 156 hang-up метки и имена разделов, ntpdate, команда отображение NTP, настройка времени метки разделов, просмотр 157 системы параметры 156, 158 ntpd как замена фавитны й указатель play, команды о доступные аудиоформаты и эффекты, оd, команда просмотр символы музык ьные файлы, нулевые проигрыванне специальные рорd, команда o enc, команда добавление/уд ение кат огов конвертирование файлов управление порядком отображения с компакт-диска каталогов в стеке o info, команда ps, команда 191, просмотр заголовка ОGG-файла запущенные процессы OpenSSH иерарJ;

ический порядок команды индивиду ьный формат резервное копирование через сеть отображения функции столбцы вывода OSS (Open Souгce Sound System) текущего пользователя, просмотр каждый выполняемый процесс, р отображение рае, метка, параметры виртуальной среды текстовые файлы, постраничный Xen просмотр 1 1 раrtеd, команда pstree, команда, отображение дерева интерактивное использование процессов особенности pushd, команда разделы диска добавление/удаление каталогов изменение управление порядком отображения изменение размеров 149 каталогов в стеке просмотр 148 pwd, команда passwd, команда 298 каталоги, связанные символьными ссылками, просмотр блокировка/разблокировка учетных записей 299 рабочий кат ог, проверка пароли · добавление R обычные пользователи, RАID-диски изменение 3ware Disk Manager (3dm2), суперпользователи, изменение использование суперпользователи, установка настройка управление сроком действия устройства so raid patch, коr:.анда, добавление заплаток проверка pgrep, команда управление поиск по имени команды функции поиск процесса 191, rdesktop, команда процессы конкретного пользователя подключение к уд енному рабочему ping, команда, проверка IР-соединения столу Windows фавитны указатель й reboot, команда службы, просмотр особенность 228 установка преимущества 228 хает-компьютер SMB 267, renice, команда 191, 208 scp, команда значение параметра nice, особенности изменение передача файлов приоритет процессов, права доступа и временные метки, изменение 20 сохранение приоритеты процессов, рекурсивные копии изменение screen resize, команда, изменение размера команда раздела диска активные окна, просмотр resize2fs, команда запуск утилиты изменение размера LVM -тома имена сессий route, команда общий доступ к сессиям локальн таблица маршрутизации, отключение окна от сессии отображение мультиплексор терминалов маршрут, удаление отключение от сессии новый маршрут, добавление сочетания клавиш таблица маршрутизации ядра для управления шлюз по умолчанию, добавление установка rsnapshot, команда функции копии файловой системы, создание sdiff, команда, объединение двух установка файлов rsync, команда SELinux (Security Enhanced Linux) зерк о каталога setserial, команда, последовательные использование жестких ссылок порты резервное копирование 179, информация непрерывное пошаговое перераспределение runlevel, команда, просмотр уровня просмотр выполнения sfdisk, команда LVМ-разделы, просмотр s параметры Samba 266 таблицы разбиения, копирование Linuх-пользователь, добавление 267 s p, команда, передача файлов блокировка файлов, отображение 268 shutdovvn, кoмaндa доступ к удаленным директориям 266 особенности информация о состае сети 267 преимущества конфигурационные файлы, slabtop, команда проверка использование ядром оперативной монтирование во время загрузки 156 памяти монтирование общих ресурсов 268 монтирование удаленной папки подключение как к FTP 268 slocate, команда, поиск файлов Алфавитны й указатель sort, команда 121 swapoff, команда, деактивация области подкачки сортировка swapon, команда загруженные модули ядра область подкачки процессы по уровню использования памяти 121 деактивация содержимое файла или результат использование выполнения команды файлы/раЗделы подкачки, spell, команда просмотр проверка правописания в редакторе sysctl, команда nano 1 изменение информации jprocjsys split, команда, разделение окон параметры ядра в редакторе vi изменение ssh, команда просмотр аутентификация с использованием открытого ключа т доступ к SSH через другой порт использование на C-cepвepe 29 1 ТаЬ, авиша, дополнение командной строки как прокси-сервер SOCKS tar, команда ключ по умолчанию, добавление добавление файлов в архив папка ssh, создание объединение файлов пара ключей, создание параметры туннелирование поведение в разных системах 17 удаленные команды, предотвращение выполнения 280 распаковка файлов, сжатых с помощью bzip2 уд енный вход в систему содержимое архива, просмотр хранящиеся ючи, уд ение создание архивов и сжатие частные ючи, сохранение информации 17 SSН-сервис с тире и без тире аутентификация с использованием уд ение файлов из архивов 17 4, открытого ключа tcpdump, команда, поиск пакетов использование вместе с C telnet, команда, интернет-протоколы как прокси-сервер SOCKS testparm, команда команды значения по умолчанию, просмотр различные порты, доступ конфигурационные файлы, туннелирование тестирование уд енный вход в систему конфигурация Samba, просмотр установка top, команда 191, sudo, команда журнал процессов, создание командный процессор, права запущенные процессы суперпользователя влияние особенности непрерывный просмотр распределение прав информация о процессах, swapfs, команда, создание раздела фиксирование подкачки, 336 фавитный указатель используем память, просмотр 210 umount, команда параметры сортировки 198 вир альн файлов справочн информация 199 система tг, команда 123 побочное размонтирование Замена СИМВОЛОВ 123 том LVM, размонтирование определение рядов символов 124 файловые системы, демонтирование удаление символов 123 unalias, команда, уд ение иаса tгacepath, команда, UDP uname, команда, отображение имени для отслеживания 252 ядра tгaceгoute, команда unison, команда IСМР-пакеты, использование при автоматическ работа отележивании в режиме командной строки установка другого порта профиль, создание хост-компьютеры, поиск проблем 25 резервное копирование в сети 179, tsclient, команда учетные записи суперпользователей, удаленный рабочий стол Windows, создание подключение UNIX tune2fs, команда редактор динамическ проверка Emacs 1 файлов система vi 1 1 изменение настроек текстовые файлы, конвертирование преобразование ext2 в ext3 153 в DOS проверк_а на основе интерв ов 153 until, команда просмотр атрибутов 152 update, команда, включение/выключение NТР-служб updatedb, команда, обновление базы u данных Ubuntu Linux uptime, команда, продолжительность безопасность работы системы запущенные процессы useгadd, команда звук настройки по умолчанию, изменение изображения резервное копирование 173 новые пользователи, добавление сетевые подключения 233 useгmod, команда сетевые ресурсы 256 учетные записи, изменение текст 1 10 useгs, команда, проверка имен пользователей уд енное администрирование управление системой установка v проверка пароля vgcгeate, команда, создание группы файловые системы томов файлы vgгemove, команда, уд ение группы UDР-подключения, просмотр 253 LVМ-томов umask, команда, просмотр прав доступа 97 vgs, команда, просмотр группы томов Алфавитны й указатель vi, команда микширование запуск VNC-cepвepa 290 объединение запуск редактора vi 310 проигрывание открытие файлов в редакторе vi 31 1 wс, команда vimdiff, команда, сравнение файлов 125 количество строк, слов, байт в файле, отображение visudo, команда, запуск редактора nano wget, команда vmstat, команда FТР-серверы использование памяти, постоянн информация 210 загрузка параметры одной веб-страницы скорость чтения/записи диска, с уд енного сервера просмотр незавершенн закачка, продолжение статистика кэш-памяти ядра присвоение локальных имен VNC (Virtual Network Computing) расширение HTML, присоединение SSН-туннелирование 29 к файлам вопросы безопасности сайты запуск рекурсивное дублирование команды удобн копия настройка сервера whereis, команда пакет программ Vino поиск парали установленные пакеты установка файлы vncpasswd, команда, настройка which, команда VNС-пароля поиск vncserver, команда, запуск установленные пакеты VNC-cepвepa файлы vncviewer, команда who, команда VNС-клиент, запуск текущий пользователь, информация volname, команда текущий пользователь, проверка ISО-образ, запись информации whoami, команда w суперпользователь, подтверждение Win-модемы watch, команда NIС-статистика, вывод, Windows ориентированный на экран передача файлов, утилиты наблюдение разделы жесткого диска за командами текстовые файлы, конвертирование за файлами wlanX, беспроводной интерфейс WАV-файлы wvdial, команда конвертирование в формат модемный пул, использование AIFF wvdialconf, команда FLAC модемы, поиск МР3 файл конфигурации модема, конвертирование в формат OGG 132 создание 338 фавитны указатель й Безопасность х FТР-клиенты Х 1 1 -туннелирование SUID посредством демона SSHD С. проблемы xargs, команда биты закрепления в сочетании с командой ехес брандмауэры перенаправ;

Pages:     | 1 |   ...   | 4 | 5 || 7 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.