СОДЕРЖАНИЕ

1 Общие сведения 12 1.1 Общее описание 12 1.2 Основные характеристики 12 1.2.1 Аппаратная поддержка 12 1.2.2 Программная платформа 12 1.2.3 Программное обеспечение 12 1.2.4 Сети и развертывание 13 1.2.5 Защита информации 14 1.2.6 Состав дистрибутива 14 1.2.7 Доступные в репозитории компоненты 15 1.3 Приемка ОС 16 1.4 Требования к техническим средствам 17 1.5 Состав ОС 17 2 Установка Системы 18 2.1 Безопасная установка и эксплуатация ОС 18 2.1.1 Условия безопасной эксплуатации 18 2.1.2 Доверенная загрузка 18 2.1.3 Защита информации 18 2.1.4 Безопасная конфигурация ОС и ее целостность 19 2.1.5 Пользователи и администраторы 19 2.1.6 Настройка точного времени 19 2.2 Локальная установка 20 2.2.1 Подготовка к установке 20 2.2.2 Установка ОС на рабочую станцию 20 2.2.3 Установка серверной версии ОС 27 2.2.4 Парольная защита загрузчика ОС 27 2.3 Установка с использованием средств маскирования информации 28 2.3.1 Общие вопросы 28 2.3.2 Разметка носителя с маскированием информации 28 2.3.3 Поддержка tpm2 для автоматического ввода паролей 30 2.4 Установка на виртуальную машину 30 2.5 Автоматизированное развертывание 30 2.5.1 Введение в kickstart-сценарии 30 2.5.2 Типовой сценарий автоматизированной установки 31 2.5.3 Дополнительные действия в kickstart-сценариях 34 2.6 Сетевая загрузка с возможностью установки 35 2.6.1 Технология Intel PXE 35 2.6.2 Начальная настройка сервера для работы PXE 36 2.6.3 Настройка сервера DHCP (BOOTP) 36 2.6.4 Настройка веб-сервера 37 2.6.5 Настройка сервера TFTP 38 2.6.6 Настройка сети в LiveCD 39 2.7 Графическая установка с использованием VNC 40 2.8 OEM-установка 41 2.9 Установщик iso2img 43 2.10 Подготовительные процедуры после установки 43 3 Общие сведения о работе в Системе 45 3.1 Интерфейсы Системы 45 3.1.1 Общие сведения о работе в консоли 45 3.2 Администраторы и пользователи 48 3.2.1 Общая информация 48 3.2.2 Списки пользователей 50 3.2.3 Использование sudo и привилегии 50 3.2.4 Управление учетными записями пользователей 54 3.2.5 Принудительное завершение сеанса пользователя 57 3.2.6 Восстановление забытого пароля пользователя 58 3.2.7 Группы пользователей 60 3.3 Команды 63 3.3.1 Текстовые редакторы 65 3.3.2 Выполнение команд 69 3.3.3 Фоновые процессы 70 3.3.4 Выполнение нескольких команд 71 3.3.5 Потоки и перенаправление 73 3.3.6 Поиск и фильтрация информации 73 3.3.7 Переменные окружения 81 3.3.8 Справочные ресурсы по командам 82 3.4 Системный менеджер systemd 85 3.4.1 Управление службами 85 3.4.2 Unit-файлы 86 3.4.3 Состояние Системы 93 3.4.4 systemd-resolved 94 3.5 Файловые системы 96 3.5.1 Поддерживаемые файловые системы 97 3.5.2 Организация каталогов в Системе 98 3.5.3 Монтирование 100 3.5.4 Размонтирование 103 3.5.5 Файловая система GFS2 104 3.5.6 Указатели 105 3.5.7 Безопасное удаление файлов 107 3.6 Установка и удаление программ (репозитории) 109 3.6.1 Использование rpm 110 3.6.2 Файловый менеджер dnf 111 3.6.3 Установка программ из сторонних источников 112 3.6.4 Использование Notamock для сборки пакетов 113 3.7 Управление жесткими дисками 117 3.7.1 Fdisk 118 3.7.2 Gdisk 120 3.7.3 Диспетчер разделов KDE 125 3.7.4 GParted 128 3.7.5 Управление дисковыми квотами 130 3.7.6 Блокирование файлов (fileprotect) 132 3.8 Режимы работы Системы 133 3.8.1 Режим восстановления 134 3.8.2 Аварийный режим 134 3.8.3 Синхронизация с репозиториями 135 3.8.4 Восстановление функционирования ОС 135 3.8.5 Восстановление загрузчика GRUB2 (MBR и EFI) 136 3.8.6 Восстановление Системы из среды chroot 138 3.9 Перезагрузка и остановка Системы 140 3.9.1 Перезагрузка 140 3.9.2 Остановка 141 3.9.3 Использование команды shutdown 141 3.10 Обновление Системы 143 3.10.1 Общие сведения 143 3.10.2 Индикация обновлений 143 3.10.3 Порядок получения обновлений 144 3.11 Сохранение вывода консоли в файл 145 3.12 Запись экрана из консоли 147 3.12.1 Перекодирование видео 148 3.13 Процессы 149 3.13.1 Жизненный цикл процесса 149 3.13.2 Приоритезация процессов 151 3.13.3 Получение информации о процессе 152 3.13.4 Управление процессами 155 3.14 Отладка и диагностика 162 3.14.1 Консольный отладчик GDB 162 3.14.2 Диагностика и отладка процессов с помощью утилиты strace 164 3.14.3 Мониторинг и анализ состояния системы через псевдо-файловую систему /proc (procfs) 165 4 Управление пользователями 167 4.1 Управление учётными данными пользователей 167 4.1.1 Настройка основных параметров пользователей в /etc/passwd/ 167 4.1.2 Управление паролями в/etc/shadow/ 168 4.2 Управление механизмами аутентификации и авторизации через модули PAM 170 4.2.1 Механизм работы PAM 171 4.2.2 Конфигурация распространённых модулей PAM 173 4.2.3 Блокирование неактивных учётных записей 179 4.2.4 Отладка и проверка работы PAM 180 4.3 Настройка двухфакторной аутентификации 182 4.3.1 Подготовка рабочих станций 183 4.3.2 Подготовка токена Рутокен 183 4.3.3 Извлечение и перенос публичного ключа 184 4.3.4 Подготовка целевой станции 184 4.3.5 Список ключей пользователя 185 4.3.6 Создание общего файла настроек PAM 186 4.3.7 Расширенная настройка 187 4.4 Управление пользователями в локальной сети с FreeIPA 192 4.4.1 Настройка сервера домена IPA 192 4.4.2 Настройка клиента домена IPA 195 4.4.3 Вход в домен 196 5 Сетевые подключения 197 5.1 Способы настройки сетевых соединений 197 5.1.1 NetworkManager 197 5.1.2 Использование nmtui 198 5.1.3 Использование nmcli 199 5.1.4 Использование ifconfig и ip 200 5.1.5 Виртуальный сетевой интерфейс Loopback 202 5.1.6 Сетевой интерфейс ens* 203 5.2 Настройка статических соединений 204 5.2.1 Настройка статического IP-адреса 206 5.3 Настройка динамических соединений 206 5.3.1 Настройка динамических соединений (кроме DNS) 206 5.4 Переадресация 207 5.4.1 Включение переадресации IPv4 208 5.4.2 Включение переадресации IPv6 208 5.4.3 Настройка правил переадресации с использованием nftables 209 5.5 Мониторинг и диагностика сети 210 5.6 Межсетевой экран Nftables 211 5.6.1 Общие сведения о Nftables 211 5.6.2 Установка и запуск Nftables 213 5.6.3 Работа с Nftables 213 5.7 Синхронизация времени с использованием Chrony 215 5.7.1 Настройка Chrony в качестве сервера времени 217 6 Настройка и управление сетевыми сервисами 218 6.1 Сервер DHCP 218 6.1.1 Установка 218 6.1.2 Настройка 218 6.1.3 Присвоение адреса 220 6.1.4 Настройка клиента 221 6.2 Сервер DNS 221 6.2.1 Установка 221 6.2.2 Настройка 222 6.2.3 Переадресация 223 6.3 Сервер Samba 224 6.3.1 Настройка сети 224 6.3.2 Запуск контроллера домена 226 6.3.3 Перенаправление 228 6.3.4 Использование внешнего DNS-сервера BIND 230 6.3.5 Подключение клиента ROSA к домену 231 6.4 Веб-серверы 236 6.4.1 Apache 236 6.4.2 Веб-сервер Nginx 240 6.4.3 Веб-сервер Angie 258 6.5 Веб-интерфейс управления Cockpit 272 6.6 Сервер журналирования 274 6.6.1 journald 274 6.6.2 rsyslog 279 6.7 Сервер печати CUPS 285 6.7.1 Добавление и настройка принтеров 286 6.8 Почтовый сервер OpenSMTPD 289 6.8.1 Настройка OpenSMTPD 290 6.8.2 Проверка работы OpenSMTPD 291 6.8.3 Интеграция OpenSMTPD с Dovecot 293 6.8.4 Дополнительные рекомендации по безопасности и интеграции 294 6.9 Почтовый сервер Postfix 297 6.9.1 Установка и начальная подготовка 297 6.9.2 Основные параметры конфигурации 298 6.9.3 Настройка исходящей почты (SMTP-клиент) 300 6.9.4 Настройка входящей почты 301 6.9.5 Настройка безопасности 302 6.9.6 Управление очередями сообщений 303 6.9.7 Проверка работы и диагностика 304 6.9.8 Примеры типовых конфигураций 305 7 Безопасность 307 7.1 Контроль доступа к файлам 307 7.1.1 Общие сведения о правах доступа 307 7.1.2 Смена владельца файла или каталога 309 7.1.3 Изменение прав доступа 309 7.1.4 Изменение атрибутов файлов 311 7.1.5 Расширенные списки контроля доступа (ACL) 315 7.2 Резервное копирование данных 321 7.2.1 Планирование резервного копирования и восстановления данных 322 7.2.2 Создание резервных копий 323 7.2.3 Восстановление данных из резервной копии 327 7.2.4 Архивирование 327 7.2.5 Сжатие 331 7.3 Контроль целостности Системы 336 7.3.1 Контроль целостности с помощью AIDE 336 7.3.2 Контроль целостности на основе Afick 340 7.4 Формирование замкнутой программной среды 344 7.4.1 Общие принципы 344 7.4.2 Создание ключей 345 7.4.3 Создание политики IMA 346 7.4.4 Подписывание файлов 347 7.4.5 Подготовка файловой системы 349 7.4.6 Добавление в образ начальной загрузки 349 7.4.7 Пробный запуск подписанной Системы 349 7.4.8 Рабочий запуск и проверка работы 350 7.5 Конфигурация системы для защиты информации 351 7.5.1 Общее описание 351 7.5.2 Настройки службы SSH 351 7.5.3 Отключение файловых систем без атрибутов безопасности 351 7.5.4 Отключение редких сетевых протоколов 351 7.5.5 Отключение дампов оперативной памяти 352 7.5.6 Настройка переменных ядра 352 7.5.7 Настройки аудита 352 7.5.8 Отключение настроек блокировки экрана 352 7.5.9 Настройка автоблокировки консольного режима 353 7.6 Аудит 353 7.6.1 Общие сведения о auditd 353 7.6.2 Управление службой аудита 354 7.6.3 Настройка конфигурации аудита 354 7.6.4 Настройка правил аудита 354 7.6.5 Выборка из логов аудита 356 7.6.6 Примеры работы со службой аудита 357 7.7 Отказоустойчивый кластер 361 7.7.1 Общие сведения 361 7.7.2 Развёртывание кластера высокой доступности 363 7.7.3 Управление ресурсами и политиками в кластере 364 7.7.4 Проверка работоспособности кластера 366 7.7.5 Мониторинг и управление отказами 367 7.7.6 Управление ресурсами и диагностика 367 8 Удаленный доступ к серверу 369 8.1 Доступ по OpenSSH 369 8.1.1 Общие сведения об OpenSSH 369 8.1.2 Настройка SSH 369 8.1.3 Пары ключей 371 8.1.4 Процессы, запущенные пользователями, сеанс которых завершен 373 8.2 Терминальный доступ с использованием XRDP 380 8.2.1 Настройка локальных пользователей 381 8.2.2 Настройка доменных пользователей 382 8.2.3 Подключение с клиента 383 9 Автоматизация инфраструктуры 384 9.1 Написание bash-скриптов 384 9.1.1 Команды 384 9.1.2 Сценарии 385 9.1.3 Ввод и вывод данных 387 9.1.4 Функции и аргументы 388 9.1.5 Области видимости и потоки 390 9.1.6 Операторы 391 9.1.7 Циклы и конструкции 394 9.1.8 Арифметические операции и массивы 396 9.2 Ansible 398 9.2.1 Установка и подключение хостов 398 9.2.2 Проверка подключения 399 9.2.3 Описание сценариев Ansible 400 9.2.4 Создание сценариев 401 9.2.5 Выполнение одиночных команд 402 10 Контейнеризация 403 10.1 Docker 403 10.2 Podman 405 10.2.1 Общие сведения 405 10.2.2 Установка и базовая настройка 407 10.2.3 Работа с контейнерами Podman 409 10.2.4 Интеграция Podman с systemd 411 10.3 Kubernetes 414 10.3.1 Общие сведения 414 10.3.2 Установка kubernates master-node 415 10.3.3 Установка kubernates worker-nodes (pods-контейнеры) 416 11 Cбор отчетов о производительности 419 11.1 Общие сведения о Zabbix 419 11.2 Установка и настройка 420 11.2.1 Установка компонентов Zabbix 420 11.2.2 Настройка веб-интерфейса 421 11.2.3 Установка Zabbix Agent на целевых машинах 421 11.2.4 Завершение настройки 422 12 Решение прикладных задач 423 12.1 Системы управления базами данных 423 12.1.1 Доступные СУБД 423 12.1.2 PostgreSQL 423 12.1.3 MySQL 424 12.1.4 SQLITE 425 12.2 Локальная виртуализация с использованием qemoo 426 12.2.1 Запуск виртуальных машин с помощью qemoo 426 12.2.2 Установка ОС на виртуальный диск 428 12.2.3 Сетевые режимы и проброс устройств 428 12.2.4 Работа в демон-режиме (SPICE) 429 12.2.5 Конфигурация и приоритет параметров 431 13 Создание собственного репозитория пакетов 433 13.1 Зеркалирование репозиториев 433 13.2 Создание собственного репозитория 434 13.3 Подключение локального репозитория 435 13.4 Доступ к репозиторию по сети 435 13.4.1 Доступ по HTTP 435 13.4.2 Доступ по NFS 437 Приложение А. Список доступных консольных команд 439 Перечень терминов и сокращений 462