База знаний
Войти

СОДЕРЖАНИЕ

1 Общие сведения 13 1.1 Общее описание 13 1.2 Место в экосистеме РОСА 13 1.3 Основные характеристики 14 1.1.1 Аппаратная поддержка 14 1.1.2 Программная платформа 15 1.1.3 Программное обеспечение 15 1.1.4 Сети и развертывание 16 1.1.5 Защита информации 16 1.1.6 Состав дистрибутива 17 1.1.7 Доступные в репозитории компоненты 17 1.4 Приемка ОС 18 1.5 Требования к техническим средствам 19 1.6 Состав ОС 19 2 Установка Системы 20 2.1 Безопасная установка и эксплуатация ОС 20 2.1.1 Условия безопасной эксплуатации 20 2.1.2 Доверенная загрузка 20 2.1.3 Защита информации 20 2.1.4 Безопасная конфигурация ОС и ее целостность 21 2.1.5 Пользователи и администраторы 21 2.1.6 Настройка точного времени 21 2.2 Локальная установка 22 2.2.1 Подготовка к установке 22 2.2.2 Установка ОС на рабочую станцию 22 2.2.3 Установка серверной версии ОС 30 2.2.4 Парольная защита загрузчика ОС 30 2.3 Установка с использованием средств маскирования информации 31 2.3.1 Общие вопросы 31 2.3.2 Разметка носителя с маскированием информации 31 2.3.3 Поддержка tpm2 для автоматического ввода паролей 32 2.4 Установка на виртуальную машину 33 2.5 Автоматизированное развертывание 33 2.5.1 Введение в kickstart-сценарии 33 2.5.2 Типовой сценарий автоматизированной установки 33 2.5.3 Дополнительные действия в kickstart-сценариях 36 2.6 Сетевая загрузка с возможностью установки 38 2.6.1 Технология Intel PXE 38 2.6.2 Начальная настройка сервера для работы PXE 39 2.6.3 Настройка сервера DHCP (BOOTP) 39 2.6.4 Настройка веб-сервера 40 2.6.5 Настройка сервера TFTP 41 2.6.6 Настройка сети в LiveCD 42 2.7 Графическая установка с использованием VNC 43 2.8 OEM-установка 44 2.9 Установщик iso2img 45 3 Общие сведения о работе в Системе 47 3.1 Интерфейсы Системы 47 3.1.1 Общие сведения о работе в консоли 47 3.2 Администраторы и пользователи 50 3.2.1 Общая информация 50 3.2.2 Списки пользователей 52 3.2.3 Использование sudo и привилегии 52 3.2.4 Управление учетными записями пользователей 56 3.2.5 Принудительное завершение сеанса пользователя 59 3.2.6 Восстановление забытого пароля пользователя 60 3.2.7 Группы пользователей 62 3.3 Команды 65 3.3.1 Текстовые редакторы 67 3.3.2 Выполнение команд 71 3.3.3 Фоновые процессы 72 3.3.4 Выполнение нескольких команд 73 3.3.5 Потоки и перенаправление 75 3.3.6 Поиск и фильтрация информации 75 3.3.7 Переменные окружения 83 3.3.8 Справочные ресурсы по командам 84 3.4 Системный менеджер systemd 89 3.4.1 Управление службами 90 3.4.2 Unit-файлы 91 3.4.3 Состояние Системы 98 3.4.4 systemd-resolved 99 3.5 Файловые системы 101 3.5.1 Поддерживаемые файловые системы 101 3.5.2 Организация каталогов в Системе 102 3.5.3 Монтирование 104 3.5.4 Размонтирование 107 3.5.5 Файловая система GFS2 108 3.5.6 Указатели 110 3.5.7 Безопасное удаление файлов 111 3.6 Установка и удаление программ (репозитории) 113 3.6.1 Использование rpm 114 3.6.2 Файловый менеджер dnf 115 3.6.3 Установка программ из сторонних источников 116 3.6.4 Использование Notamock для сборки пакетов 117 3.7 Управление жесткими дисками 122 3.7.1 Fdisk 122 3.7.2 Gdisk 125 3.7.3 Диспетчер разделов KDE 129 3.7.4 GParted 132 3.7.5 Управление дисковыми квотами 134 3.7.6 Блокирование файлов (fileprotect) 136 3.8 Режимы работы Системы 138 3.8.1 Режим восстановления 138 3.8.2 Аварийный режим 138 3.8.3 Синхронизация с репозиториями 139 3.8.4 Восстановление функционирования ОС 139 3.8.5 Восстановление загрузчика GRUB2 (MBR и EFI) 140 3.8.6 Восстановление Системы из среды chroot 142 3.9 Перезагрузка и остановка Системы 144 3.9.1 Перезагрузка 144 3.9.2 Остановка 145 3.9.3 Использование команды shutdown 145 3.10 Сохранение вывода консоли в файл 147 3.11 Запись экрана из консоли 149 3.11.1 Перекодирование видео 150 3.12 Процессы 150 3.12.1 Жизненный цикл процесса 151 3.12.2 Приоритезация процессов 153 3.12.3 Получение информации о процессе 154 3.12.4 Управление процессами 157 3.13 Отладка и диагностика 164 3.13.1 Консольный отладчик GDB 164 3.13.2 Диагностика и отладка процессов с помощью утилиты strace 166 3.13.3 Мониторинг и анализ состояния системы через псевдо-файловую систему /proc (procfs) 167 4 Управление пользователями 168 4.1 Управление учётными данными пользователей 168 4.1.1 Настройка основных параметров пользователей в /etc/passwd/ 168 4.2 Управление механизмами аутентификации и авторизации через модули PAM 169 4.2.1 Механизм работы PAM 170 4.2.2 Конфигурация распространённых модулей PAM 172 4.2.3 Блокирование неактивных учётных записей 178 4.2.4 Отладка и проверка работы PAM 179 4.3 Настройка двухфакторной аутентификации 182 4.3.1 Подготовка рабочих станций 182 4.3.2 Подготовка токена Рутокен 183 4.3.3 Извлечение и перенос публичного ключа 183 4.3.4 Подготовка целевой станции 184 4.3.5 Список ключей пользователя 185 4.3.6 Создание общего файла настроек PAM 185 4.3.7 Расширенная настройка 186 4.4 Управление пользователями в локальной сети с FreeIPA 191 4.4.1 Настройка сервера домена IPA 191 4.4.2 Настройка клиента домена IPA 194 4.4.3 Вход в домен 196 5 Сетевые подключения 197 5.1 Способы настройки сетевых соединений 197 5.1.1 NetworkManager 197 5.1.2 Использование nmtui 198 5.1.3 Использование nmcli 199 5.1.4 Использование ifconfig и ip 200 5.1.5 Виртуальный сетевой интерфейс Loopback 202 5.1.6 Сетевой интерфейс ens* 203 5.2 Настройка статических соединений 204 5.2.1 Настройка статического IP-адреса 206 5.3 Настройка динамических соединений 206 5.3.1 Настройка динамических соединений (кроме DNS) 206 5.4 Переадресация 207 5.4.1 Включение переадресации IPv4 208 5.4.2 Включение переадресации IPv6 208 5.4.3 Настройка правил переадресации с использованием nftables 209 5.5 Мониторинг и диагностика сети 210 5.6 Межсетевой экран Nftables 211 5.6.1 Общие сведения о Nftables 211 5.6.2 Установка и запуск nftables 213 5.6.3 Работа с Nftables 213 5.7 Синхронизация времени с использованием Chrony 215 5.7.1 Настройка Chrony в качестве сервера времени 217 6 Настройка и управление сетевыми сервисами 218 6.1 Сервер DHCP 218 6.1.1 Установка 218 6.1.2 Настройка 218 6.1.3 Присвоение адреса 220 6.1.4 Настройка клиента 221 6.2 Сервер DNS 221 6.2.1 Установка 221 6.2.2 Настройка 222 6.2.3 Переадресация 223 6.3 Сервер Samba 224 6.3.1 Настройка сети 224 6.3.2 Запуск контроллера домена 226 6.3.3 Перенаправление 228 6.3.4 Использование внешнего DNS-сервера BIND 230 6.3.5 Подключение клиента ROSA к домену 231 6.4 Веб-серверы 236 6.4.1 Apache 236 6.4.2 Веб-сервер Nginx 240 6.4.3 Веб-сервер Angie 258 6.5 Веб-интерфейс управления Cockpit 272 6.6 Сервер журналирования 274 6.6.1 journald 274 6.6.2 rsyslog 279 6.7 Сервер печати CUPS 285 6.7.1 Добавление и настройка принтеров 286 6.8 Почтовый сервер OpenSMTPD 289 6.8.1 Настройка OpenSMTPD 290 6.8.2 Проверка работы OpenSMTPD 291 6.8.3 Интеграция OpenSMTPD с Dovecot 293 6.8.4 Дополнительные рекомендации по безопасности и интеграции 294 6.9 Почтовый сервер Postfix 297 6.9.1 Установка и начальная подготовка 297 6.9.2 Основные параметры конфигурации 298 6.9.3 Настройка исходящей почты (SMTP-клиент) 300 6.9.4 Настройка входящей почты 301 6.9.5 Настройка безопасности 302 6.9.6 Управление очередями сообщений 303 6.9.7 Проверка работы и диагностика 304 6.9.8 Примеры типовых конфигураций 305 7 Безопасность 307 7.1 Контроль доступа к файлам 307 7.1.1 Общие сведения о правах доступа 307 7.1.2 Смена владельца файла или каталога 309 7.1.3 Изменение прав доступа 309 7.1.4 Изменение атрибутов файлов 311 7.1.5 Расширенные списки контроля доступа (ACL) 315 7.2 Резервное копирование данных 321 7.2.1 Планирование резервного копирования и восстановления данных 322 7.2.2 Создание резервных копий 323 7.2.3 Восстановление данных из резервной копии 327 7.2.4 Архивирование 327 7.2.5 Сжатие 330 7.3 Контроль целостности Системы 334 7.3.1 Контроль целостности с помощью AIDE 334 7.3.2 Контроль целостности на основе Afick 339 7.4 Формирование замкнутой программной среды 342 7.4.1 Общие принципы 342 7.4.2 Создание ключей 343 7.4.3 Создание политики IMA 344 7.4.4 Подписывание файлов 346 7.4.5 Подготовка файловой системы 347 7.4.6 Добавление в образ начальной загрузки 347 7.4.7 Пробный запуск подписанной Системы 348 7.4.8 Рабочий запуск и проверка работы 348 7.5 Конфигурация сертифицированной Системы для защиты информации 349 7.5.1 Общее описание 349 7.5.2 Настройки службы SSH 349 7.5.3 Отключение файловых систем без атрибутов безопасности 349 7.5.4 Отключение редких сетевых протоколов 350 7.5.5 Отключение дампов оперативной памяти 350 7.5.6 Настройка переменных ядра 350 7.5.7 Настройки аудита 350 7.5.8 Отключение настроек блокировки экрана 350 7.5.9 Настройка автоблокировки консольного режима 351 7.6 Аудит 351 7.6.1 Общие сведения о auditd 351 7.6.2 Управление службой аудита 352 7.6.3 Настройка конфигурации аудита 352 7.6.4 Настройка правил аудита 352 7.6.5 Выборка из логов аудита 354 7.6.6 Примеры работы со службой аудита 355 7.7 Отказоустойчивый кластер 359 7.7.1 Общие сведения 359 7.7.1.1 Типы ресурсов кластера 360 7.7.2 Развёртывание кластера высокой доступности 361 7.7.3 Управление ресурсами и политиками в кластере 363 7.7.4 Проверка работоспособности кластера 364 7.7.5 Мониторинг и управление отказами 365 7.7.6 Управление ресурсами и диагностика 366 8 Удаленный доступ к серверу 367 8.1 Доступ по OpenSSH 367 8.1.1 Общие сведения об OpenSSH 367 8.1.2 Настройка SSH 367 8.1.3 Пары ключей 369 8.1.4 Процессы, запущенные пользователями, сеанс которых завершен 371 8.2 Терминальный доступ с использованием XRDP 379 8.2.1 Настройка локальных пользователей 380 8.2.2 Настройка доменных пользователей 380 8.2.3 Подключение с клиента 381 9 Автоматизация инфраструктуры 383 9.1 Написание bash-скриптов 383 9.1.1 Команды 383 9.1.2 Сценарии 384 9.1.3 Ввод и вывод данных 386 9.1.4 Функции и аргументы 387 9.1.5 Области видимости и потоки 389 9.1.6 Операторы 390 9.1.7 Циклы и конструкции 393 9.1.8 Арифметические операции и массивы 395 9.2 Ansible 397 9.2.1 Установка и подключение хостов 397 9.2.2 Проверка подключения 398 9.2.3 Описание сценариев Ansible 399 9.2.4 Создание сценариев 400 9.2.5 Выполнение одиночных команд 401 10 Контейнеризация 402 10.1 Podman 402 10.1.1 Общие сведения 402 10.1.2 Установка и базовая настройка 404 10.1.3 Работа с контейнерами Podman 406 10.1.4 Интеграция Podman с systemd 410 10.2 Kubernetes 413 10.2.1 Общие сведения 413 10.2.2 Установка kubernates master-node 414 10.2.3 Установка kubernates worker-nodes (pods-контейнеры) 415 11 Cбор отчетов о производительности 418 11.1 Общие сведения о Zabbix 418 11.2 Установка и настройка 419 11.2.1 Установка компонентов Zabbix 419 11.2.2 Настройка веб-интерфейса 420 11.2.3 Установка Zabbix Agent на целевых машинах 420 11.2.4 Завершение настройки 421 12 Решение прикладных задач 422 12.1 Системы управления базами данных 422 12.1.1 Доступные СУБД 422 12.1.2 PostgreSQL 422 12.1.3 MySQL 423 12.1.4 SQLITE 424 12.2 Локальная виртуализация с использованием qemoo 425 12.2.1 Запуск виртуальных машин с помощью qemoo 425 12.2.2 Установка ОС на виртуальный диск 427 12.2.3 Сетевые режимы и проброс устройств 427 12.2.4 Работа в демон-режиме (SPICE) 428 12.2.5 Конфигурация и приоритет параметров 430 13 Создание собственного репозитория пакетов 432 13.1 Зеркалирование репозиториев 432 13.2 Создание собственного репозитория 433 13.3 Подключение локального репозитория 434 13.4 Доступ к репозиторию по сети 434 13.4.1 Доступ по HTTP 434 13.4.2 Доступ по NFS 436 Приложение А. Список доступных консольных команд 438 Перечень терминов и сокращений 463