Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
ОС СН Ленинград 8.1

Table of Contents



Info
titleДанная статья применима к:
  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

    • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2

    • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

    • Astra Linux Common Edition 2.12




    Добавление ярлыков на рабочий стол пользователя

    Действия по добавлению ярлыков на рабочем столе пользователя рассматриваются на примере добавления ярлыка приложения Zenity.  Для создания ярлыка приложения необходимо:

    1. Перейти в каталог /usr/share/applications и создать файл с расширением .desktop:

      Command
      cd /usr/share/applications
      sudo vi zenity.desktop


    2. Открыть созданный файл любым удобным редактором и заполнить следующими значениями (строка [Desktop Entry] - обязательна и должна быть первой, остальные - в любом порядке):

      Code Block
      [Desktop Entry]
      Type=Application
      Categories=System;Utility;
      Exec=/usr/bin/zenity
      Terminal=true
      Icon=zenity.png
      StartupNotify=true
      Name=Zenity
      Name[ru]=Zenity
      Comment=dialog window
      Comment[ru]=диалоговые окна
      NoDisplay=false
      Hidden=false

      где:

      Type=Application

      Тип объекта (Application - приложение; Directory - категория; Link - ссылка на ресурс Интернета)

      Categories=System;Utility;

      Заголовок подменю в общем меню приложений. В значении может быть несколько частей, их следует отделять символом ";". В конце строки рекомендуется также поставить символ ";"

      Exec=/usr/bin/zenity

      Команда для запуска приложения

      Terminal=true

      Нужно ли сначала открыть окно терминала, а потом запустить в нём значение Exec. Может принимать значения true/false

      Icon=zenity.png

      Файл значка. Значки хранятся в файле /usr/share/icons

      StartupNotify=true

      Нужно ли оповещать о запуске: помигать указателем мыши или аплетом списка задач. Может принимать значения true/false

      Name=Zenity

      Название ярлыка на английском

      Name[ru]=Zenity

      Название ярлыка на русском

      Comment=dialog window

      Описание, всплывающая подсказка

      Comment[ru]=диалоговые окна

      Описание, всплывающая подсказка на русском

      NoDisplay=false

      Не показывать в меню. Обычно "нет" (false). Может принимать значения true/false

      Hidden=false

      Не показывать в меню. Сделать вид, что приложения не существует. Обычно "нет" (false). Может принимать значения true/false


    3. После сохранения изменений сделать файл исполняемым:

      Command
      sudo chmod +x zenity.desktop


    4. Скопировать созданный ярлык в необходимый каталог (в нашем примере на рабочий стол пользователя с именем username):

      Command
      cp zenity.desktop /home/username/Desktop


    5. Созданный ярлык должен появиться на рабочем столе при входе в сессию пользователя.


    Добавление разделямого (общего) каталога и монтирование разделяемых файловых ресурсов

    1. Разделяемый каталог предварительно должен быть создан и настроен. Например, с помощью samba
    2. Должна быть создана точка монтирования, и пользователю должны быть предоставлены права на доступ к ней, например:

      Command
      sudo mkdir /media/share1
      sudo chmod 777 /media/share1


    3. Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo.
      Для того, чтобы пользователь мог монтировать ресурс без использования sudo в конфигурационном файле /etc/fstab должна быть объявлена строка монтирования, например следующего вида:

      Code Block
      //fileserver1.org.net/share1 /media/share1 cifs user,rw,noauto,iocharset=utf8,soft 0 0

      При этом опция user предоставляет возможность монтирования указанного ресурса простому пользователю, и пользователь при этом выполняет монтирование командой mount с указанием точки монтирования:

      Command
      mount /media/share1

      Полный список опций приведен в руководстве man для команд mount и mount.cifs. Описание формата конфигурационного файла /etc/fstab приведено в руководстве man для fstab.

    4. Для того чтобы пользователю были доступны каталоги при входе с ненулевой классификационной меткой нужно в файле /etc/fstab на компьютере клиента указать следующие параметры в одну строку:

      Code Block
      //fileserver1.org.net/share1 /media/share1    cifs    user,rw,noauto,iocharset=utf8,nosharesock,vers=1.0,soft        0       0


    5. Для монтирования разделяемых файловых ресурсов на компьютере-клиенте должен быть установлен пакет cifs-utils:

      Command
      sudo apt install cifs-utils


    6. Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:

      1. Command
        sudo mount.cifs //сервер/ресурс /точка_монтирования [-o опции]



      2. Command
        sudo mount.cifs //192.168.1.1/share1 /mnt -o user=admin


      3. либо

        Command
        mount -t cifs //сервер/ресурс /точка_монтирования [-o опции]


    7. В качестве опций команде могут передаваться параметры монтирования, такие как:

      1. имя пользователя;

      2. используемый тип аутентификации;

      3. кодировка;

      4. использование прав доступа

    Добавление принтера

    Инструкции по добавлению принтера см. Система печати CUPS

    Удаление временных файлов

    Удаление временных файлов пользователя

    Удаление временных файлов пользователя можно выполнить командой:

    Command
    sudo rm -R /home/имя_пользователя/tmp/

    Удаление временных файлов компьютера

    Warning
    Временные файлы создаются в каталоге /tmp и автоматически уничтожаются при каждой перезагрузке. Удалять их вручную не рекомендуется, так как это с высокой вероятностью приведёт к нарушению работы компьютера.

    Команды:

    Command
    sudo rm -R /var/tmp/
    sudo rm -R /tmp/

    Открытие IP-портов

    Посмотреть все открытые порты, ip адреса и имена процессов, которым принадлежат соединения, можно командой:

    Command
    netstat -ltupn


    Открыть порт можно командой (в данном примере открывается порт 1900 по протоколу TCP):

    Command
    sudo iptables -I INPUT -p tcp --dport 1900 -j ACCEPT

    Далее следует выпонить проверку и сохранить изменения:

    Command
    sudo iptables -L
    sudo iptables-save

    Подробнее о опциях и работе iptables можно почитать в

    Command
    iptables —help
    man iptables

    При использовании межсетевого экрана ufw приведенная выше команда открытия порта 1900 по протоколу TCP будет выглядеть так:

    Command
    sudo ufw allow 1900/tcp


    Кроме этого правило можно создать с помощью графической утилиты ufw, для чего:

    1. Запустить утилиту Gufw Firewall, выполнив в терминале команду:

      Command
      gufw


    2. Воспользоваться кнопкой «Правила» и добавить правила для нужного порта и сетевого интерфейса, нажать кнопку «добавить».

    Установка домашней страницы браузера firefox

    Способ 1

    Домашняя страница браузера firefox может быть задана путём редактирования значения

    Code Block
    pref("browser.startup.homepage", "www.example.al")

    в файле /usr/lib/firefox/browser/defaults/preferences/firefox.js

    Однако заданное таким способом значение перебивается настройками пользователя, что вызывает необходимость удалить всё по пути /home/пользователь/.mozilla/firefox/ (сессия пользователя также будет удалена):

    Command
    sudo rm -R /home/пользователь/.mozilla/firefox/.

    Способ 2

    Добавить аргумент с нужным адресом в ярлык запуска firefox:

    Code Block
    /usr/lib/firefox/firefox www.example.al


    Запрет чтения/записи на Flash-накопитель

    Способ 1 Путём изменения прав на точку монтирования.

    Если правила автомонтирования монтируют все сменные устройства в каталог, например, /media, то запретив доступ к этому каталогу, мы запретим доступ ко всему его содержимому.
    Этот способ удобен, если нужно на одной и той же машине кому-то разрешить, а кому-то запретить доступ к внешним устройствам хранения. В примере единственный пользователь, который может писать и читать данные с Flash-накопителя это root (если root является владельцем и группой каталога /media).
    Если сменить группу каталогу /media например на "storage" и сменить права доступа к этому каталогу,  то только пользователи из группы "storage" смогут получить доступ к сменным носителям:

    Command
    sudo chown root:storage /media
    sudo chmod 0750 /media

    Способ 2 Путём запрета монтирования пользователям

    Чтобы у пользователя для монтирования запрашивался пароль администратора:
    Создать файл /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla:

    Command
    sudo touch /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla

    Перезапустить polkit.service:

    Command
    sudo systemctl restart polkit.service


    Установка программ

    Скачанные пакет(ы) с расширением .deb

    Перейти в каталог с загруженными файлами:

    Command
    cd /home/user/Загрузки

    Выполнить установку командой:

    Command
    sudo dpkg -i example.deb


    Если необходимо выполнить установку всех deb пакетов находящихся в каталоге, то выполнить установку командой:

    Command
    sudo dpkg -i *.deb

    Дополнительно, при наличии подлюченных репозиториев, установить необходимые зависимости:

    Command
    sudo apt -f install

    Установка из репозиториев

    Command
    sudo apt install *имя пакета*


    Автоматический запуск приложений при входе пользователя:

    Для всех пользователей

    Поместить ярлык с содержимым в каталог /etc/xdg/autostart/

    Для отдельных пользователей

    Поместить ярлык с содержимым в каталог ~/.config/autostart/

    Запрет пользователям доступа к определённым сайтам

    Info
    В правильно построенной системе запретом доступа к определенным ресурсам должен централизованно заниматься Proxy Server, например Squid.

    С помощью iptables

    Пример блокировки сайта vk.com при использовании Network-Manager.

    1. Добавить блокировку сайта vk.com в таблицу itables:

      Command
      sudo iptables -A OUTPUT -d vk.com -j REJECT

      Аналогично можно добавить любой сайт, заменив vk.com на его имя, например, rambler.ru.

    2. Сохранить правила в файл (например, файл с именем /etc/stoplist.rules):

      Command
      sudo iptables-save > /etc/stoplist.rules


    3. Добавить правила в автозагрузку, для чего создать исполняемый файл /etc/NetworkManager/dispatcher.d/pre-up.d/stoplist с командой загрузки ранее сохранённых файлов: 

      Command
      cat << EOT | sudo tee /etc/NetworkManager/dispatcher.d/pre-up.d/stoplst
      #!/bin/bash
      /sbin/iptables-restore < /etc/stoplist.rules
      EOT
      chmod +x /etc/NetworkManager/dispatcher.d/pre-up.d/stoplist


    4. Перезагрузить систему и проверить наличия правил командой:

      Command
      sudo iptables -L

      В выводе команды должен присутствовать запрет на обращение к пулу серверов vk.com

    Аналогичным образом добавляется любой сайт, при этом нет необходимости создавать дополнительный stoplist.rules: все старые и новые добавленные правила можно сохранять повторно в /etc/stoplist.rules.

    С помощью ufw

    Для добавления правил в ufw:

    Определить IP-адреса блокируемого сайта, например командой host:

    Command
    Titlehost vk.com
    vk.com has address 87.240.190.78
    vk.com has address 93.186.225.208
    vk.com has address 87.240.139.194
    vk.com has address 87.240.137.158
    vk.com has address 87.240.190.67
    vk.com has address 87.240.190.72
    vk.com mail is handled by 20 mx2.vk.com.
    vk.com mail is handled by 0 mx.vk.com.

    В данном случае сайт vk.com имеет несколько IP-адресов, поэтому будет необходимо создать правила для каждого IP-адреса:

    1. Запустить графический интерфейс настройки ufw:

      Info
      "Панель управления" — "Прочее" — "Настройки Межсетевого экрана".


    2. Активировать работу ufw (нажать на пиктограмму включения напротив слова Статус.



    3. Создать расширенное правило c запретом передачи данных в оба направления для сетевого интерфейса eth-N, для чего:
      1. Нажать «Правила», затем «+» и выбрать вкладку «Расширенные»:


      2. В открывшейся форме выбрать:
        1. В пункте «Политика»: «Запретить»;
        2. В пункте «Направление»: «Оба»;
        3. В пункте «Интерфейс»: «eth0» указать сетевой интерфейс, через который пользователь получает доступ к сети интернет;
        4. В поле из: «ip адрес» указать IP-адрес сетевого интерфейса, который указывали в поле «Интерфейс» пункт 3.
        5. В пункте «В»: указать первый IP-адрес из списка адресов vk.com.
        6. Когда первый ip адрес добавлен, нажмите кнопку «Добавить» один раз и правило будет добавлено (при этом окно не закрывается и закрывать его не надо).


    4. Теперь необходимо добавить другие IP-адреса из пула vk.com. Для этого редактируются поля: «Имя» и «В»:
      1. В поле «Имя» - указать, например, "vk.com – IP-адрес".
      2. В поле «В» - указать следующий (второй) IP-адрес пула сайта vk.com;
      3. Нажать кнопку «Добавить».

    5. Аналогичным образом добавьте все IP-адреса:


    Дополнительный пример с одним IP-адресом rambler.ru: