Распределение прав доступа

Первый и очень важный вопрос — это вопрос безопасности. Безопасность для школьного дистрибутива подразумевает четко определенный уровень доступа пользователя к средствам операционной системы, программам и файлам других пользователей.

Для операционных систем семейства Unix, к которым относится Ubuntu, характерно жесткое разграничение в правах между обычным пользователем и суперпользователем (или администратором, или пользователем root).

Ограничения, которые выставляет сама операционная система Ubuntu не достаточны для школьных нужд. В виду того, что за одним и тем же рабочим местом занимается множество учеников необходимо ограничить права доступа не только к системным настройкам, но и настройкам внешнего вида, чтобы она оставалась неизменной и узнаваемой для всех учеников.

Так же необходимо, контролировать возможность запуска программ которые либо не имеют отношения к предмету, и просто отвлекают внимание, либо нужны только на определенных занятиях.

Среди решений школьного дистрибутива имеются программы для дистанционно управления компьютером, чтобы управление рабочим местом ученика было не прерываемо, необходимо ограничить возможность изменения сетевого соединения.

Собственно само решение используемое в Школьном дистрибутиве приведено ниже. На компьютерах учеников заведен один пользователь — Ученик. Ученик — это псевдоним пользователя, в системе же он значится как lerner. Вход в систему осуществляется автоматически (это было указано при установке). Пароль для этого пользователя нигде не используется. Пользователь Ученик может запускать разрешенные приложения и сохранять наработки в каталогах на своем компьютере. Также для каждого ученика имеется возможность сохранения файлов на отдельном защищенном сетевом диске (это решение будет описано в следующем из разделов).

Для того, чтобы быстро и надежно привести систему к требуемому состоянию прав доступа, которое описано выше, достаточно выполнить скрипт (сценарий).

#!/bin/sh
#Команда запрещает изменение настроек сети
chmod o-rwx /usr/bin/nm-connection-editor
#Апплет настроек сети
chmod o-rwx /usr/bin/nm-applet
#Апплет блютуз
chmod o-rwx /usr/bin/bluetooth-applet
#Настройка автозапуска приложений
chmod o-rwx /usr/bin/gnome-session-properties
#Запретить пользователю менять свой пароль
chmod o-rwx /usr/bin/passwd
#Центр изменения настроек
chmod o-rwx /usr/bin/gnome-control-center #Изменение настроек Unity-2D
chmod o-rwx /usr/bin/unity-2d-settings
#Настройка принтеров
chmod o-rwx /usr/bin/system-config-printer #UbuntuTweak
chmod o-rwx /usr/bin/ubuntu-tweak
#Изменение языка системы
chmod o-rwx /usr/bin/gnome-language-selector #Пароли и ключи
chmod o-rwx /usr/bin/seahorse
#Метод ввода
chmod o-rwx /usr/bin/im-switch
#Центр приложений
chmod o-rwx /usr/bin/software-center
chmod o-rwx /usr/bin/software-center-gtk3 #Источники приложений
chmod o-rwx /usr/bin/software-properties-gtk #Обновление системы
chmod o-rwx /usr/bin/update-manager
#Установка и де/активация драйверов
chmod o-rwx /usr/bin/jockey-gtk

Для того чтобы вернуть права на запуск приложений используется такой же скрипт, где знаки минус — « -» заменены на «+».

Централизованный локальный репозиторий ПО [1]

При росте количества компьютеров неизбежно возникает вопрос обновления ПО. Даже при наличии безлимитного канала, трафик на обновление уже переходит из разряда количество в качество. Рассмотрим одно из возможных решений для кэширования обновлений запрашиваемых Debian-based системами (Linux системы основанные на дистрибутиве Debian к которым относится и Ubuntu).

Для начала нужно подготовить место для кэша пакетов. На локальный диск компьютера учителя (УК) <font face="Liberation Mono, Courier New, monospace">п</font>олностью переносим каталог /var/cache и вставляем на его место символическую ссылку. Это делается для удобства.

$ sudo mv /var/cache ~/repository/cache
$ sudo cp -s ~/repository/cache /var/cache

После выполнения этих команд подготовка заканчивается. Теперь установим и настроим сервер кэширования пакетов apt-cacher-ng. Устанавливаем сервер на учительском компьютере выполнив команду:

$ sudo apt-get install apt-cacher-ng

Создаем файл настройки для программы управления пакетами в котором укажем в качестве прокси-сервера локальный адрес УК.

$ sudo touch /etc/apt/apt.conf.d/01proxy

поместим в него строку настроек введя команду

$ sudo sh -c "echo \"Acquire::http { Proxy \\\"http://localhost:3142\\\"; }; \"> /etc/apt/apt.conf.d/01proxy"

На этом установка и настройка программы на УК закончена. Осталось настроить компьютеры учеников (УУК). Внесем в настройки в программу управления пакетами аналогично предыдущим командам

$ sudo touch /etc/apt/apt.conf.d/01proxy
$ sudo sh -c "echo \"Acquire::http { Proxy \\\"http://АдресУК:3142\\\"; }; \"> /etc/apt/apt.conf.d/01proxy"

После всех произведенных действий можно выполнять команду обновления источников приложений их обновления

$ sudo apt-get update
$ sudo apt-get upgrade

Ждем пока все обновится и посмотрим результат использования нашего сервера, отчеты лежат по адресу http://Адрес_УК/acng-report.html

Удаленное управление

Компьютеры учеников требуют регулярной проверки, настройки и управления. Даже при небольшом числе компьютеров дело сильно усложняется. Дистанционное управление позволяет упростить задачу.

Так же есть необходимость следить за действиями учеников и направлять их работу; демонстрировать содержимое экрана учительского компьютера на экраны учеников.

Поставленные задачи решаются с помощью ряда средств описание которых, установка и настройка приведены ниже.

Epoptes [2]

Epoptes (Επόπτης - слово греческое, в переводится как епископ) является программой с открытым исходным кодом, инструментом для управления и мониторинга. Она может быть установлена в Ubuntu, Debian и SUSE Linux Enterprise

Принципиальные характеристики Epoptes:

• Возможность просмотра и записи происходящего на компьютерах учеников.

• Удаленный контроль компьютеров входящих в сеть, для поддержки и помощи учащимся.

• Показ учебных материалов (в режиме полного экрана или в отдельном окне) на всех компьютерах сети.

• Блокировка рабочих станций для привлечения большего внимания к изложению материала.

• Пересылка текстовых сообщений учащимся.

• Включение и выключение всех компьютеров сети.

• Удаленный вход и выход и запуск команд и скриптов.

Ниже приведен список команд с пояснениями для установки и настройки программы Epoptes:

$ sudo apt-get install epoptes epoptes-client

Добавляем себя Учителя в группу epoptes для получения прав управления классом

$ sudo usermod -a -G epoptes Teacher

Копируем с заменой файл сертификата УК на УУК. Эту процедуру необходимо выполнять с правами суперпользователя. Переносить файл можно с помощью флешки или файлового хранилища

$ cp /etc/epoptes/server.crt

Добавляем программу Epoptes client в список программ автозапуска на УУК, вносим строку epoptes-client перед строкой exit 0 в файл

$ sudo gedit /etc/rc.local

Настраиваем Epoptes client на УУК для работы с УК, редактируем файл настроек

$ sudo gedit /etc/default/epoptes-client

где вносим изменения в строке #SERVER=server и приводим ее к следующему виду

SERVER=Адрес_УК

После этого можно перезапустить УУК и запустить программу Epoptes на УК.

Работа с этой программой не требует пояснений. Она имеет простой и понятный графический интерфейс и доступный набор функций.

SSH

SSH (англ. Secure SHell — «безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов), он шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем так же доступен и ОС Ubuntu.

SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол. Таким образом, можно не только удалённо работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удалённого запуска клиентов X Window System.

Установка OpenSSH

Для установки программы OpenSSH — открытой реализации протокола SSH в системе Ubuntu достаточно ввести команду

$ sudo apt-get install openssh-server openssh-client

SSH без пароля [3]

Для того чтобы получить удаленно права суперпользователя root на УУК, SSH вполне подходит. Но, возникает трудность — нужно постоянно вводить пароль.

При использовании метода идентификации Identity/Pubkey исключается использования статических паролей. Чтобы каждый раз не набирать пароли, мы будем хранить на диске УК пару ключей, которые и будут использоваться для проверки подлинности.

1. Генерация SSH ключей

Для генерации пары ключей нам необходимо воспользоваться утилитой ssh-keygen. На всех УУК и УК выполним команду генерации пары ключей

$ ssh-keygen -t rsa

Опцией -t rsa мы указали тип создаваемых ключей (возможны варианты ключей — rsa1, rsa или dsa). На все запросы команды отвечаем нажатием клавиши Enter.

2. Настройка SSH

Оказывается возможно обойтись без дополнительных настроек сервера SSH, поэтому выполнять этот шаг следует, если у вас не получится после выполнения с 3-го по 5-й шаги.

Настройка производится на УУК. Разрешим аутентификацию по файлу ключа (авторизации) на сервере SSH УУК. Установим следующие настройки в файле /etc/ssh/sshd_config на УУК (прочие строки текста не отображены):

# Should we allow Identity (SSH version 1) authentication?
RSAAuthentication yes
# Should we allow Pubkey (SSH version 2) authentication?
PubkeyAuthentication yes
# Where do we look for authorized public keys?
# If it doesn't start with a slash, then it is
# relative to the user's home directory
AuthorizedKeysFile ~/.ssh/authorized_keys

Приведенные выше значения разрешают аутентификацию Identity/Pubkey для протокола SSH версии 1 и 2, и проверяют наличие публичных ключей в файле $HOME/.ssh/authorized_keys.

Необходимо проверить наличие этих строк в файле конфигурации /etc/ssh/sshd_config, если таковых нету — добавить и перезапустить сервис.

sudo service ssh restart

3. Размещение публичного ключа для авторизации на удаленных машинах

Копируем любым способом (FTP, FlashUSB и т. д. и т. п.) файл публичного ключа id_rsa.pub с УК из папки ~/.ssh в каталог /root/.ssh на всех УУК под именем <font color="#000000">authorized_keys</font>

4. Меняем права доступа к файлу <font color="#000000">authorized_keys</font>

После копирования файла authorized_keys на всех УУК, изменим права доступа и владельца этого файла. Если этого не сделать — то вход по ключу будет не возможен. Описанная операция производится командами:

$ sudo chown root:root /root/.ssh/authorized_keys
$ sudo chmod 0600 /root/.ssh/authorized_keys

5. Проверяем проделанную работу

После всех произведенных выше действий проверим возможность получения удаленного доступа с правами администратора на ученических компьютерах (УУК). Прежде получим IP — адрес одной из машин. Для этого можно воспользоваться сведениями из программы Epoptes. Нажимаем на одном из активных компьютеров ученика правой кнопкой и выбираем пункт «Информация» в контекстном меню, находим IP — адрес в окне «Свойств» компьютера и копируем его. Обращаемся к этому компьютеру по SSH, используя команду

$ ssh root@IP_адрес_УУК

Если описанные выше операции вами проделаны правильно, то в ответ вы увидите примерно следующее

Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.5.0-030500-generic i686)
* Documentation: https://help.ubuntu.com/
Last login: Wed Nov 21 16:19:14 2012 from teacherpc.school
root@uuk-4:~#

Если у вас этого не получилось, попробуйте перезагрузить УУК.

Cssh [4]

Cluster SSH — программа с графическим интерфейсом, позволяющая открыть несколько соединений по SSH и выполнять одновременно во всех них команды.

Мы настроим эту программу для удаленного администрирования сразу всем дисплейным классом. Это нужно, к примеру, для выполнения обновления ПО компьютеров, для его установки и т.п.

Устанавливаем программу

Все необходимые пакеты программы входят в официальный репозиторий Ubuntu, поэтому для установки достаточно ввести команду

$ sudo apt-get install clusterssh

Создадим файл конфигурации, который ускорит работу с программой. Делается это путем выполнения команд

sudo -s
sudo cssh -u > /home/vash_user_name/.csshrc

После того как разберетесь с работой программы, этот файл можно будет отредактировать и настроить её интерфейс. А пока настроим кластер нашего учебного класса, отредактируем файл /etc/clusters с правами администратора

$ sudo gedit /etc/clusters

Потому как файла ранее не было, то будет создан новый файл в содержимом которого нужно записать что-то подобное

pm1 root@10.42.0.53
pm2 root@10.42.0.54
pm3 root@10.42.0.55
pm4 root@10.42.0.56

mobileclass pm1 pm2 pm3 pm4

где pm1--4 — это названия рабочих мест учеников, mobileclass — название группы рабочих мест.

Проверим работу программы, выполним в терминале команду

$ cssh

После запуска мы должны увидеть окно с заголовком CSSH [0]. Используя главное меню программы, запустим команду Hosts > Add Host(s) or Cluster(s) или нажмем сочетание клавиш Ctrl + Shift + «+». Откроется новое окно с заголовком Add Host(s) or Cluster(s) в главном разделе которого мы увидим список рабочих мест и кластера рабочих мест. Выбираем нужный пункт и нажимаем кнопку Add. Если вы настроили доступ по SSH без пароля и рабочие станции запущены, то вы тут же получите к ним полный доступ. При первом подключении к удаленному компьютеру в консоли cssh должен появиться вопрос о том что вы действительно желаете подключиться к неизвестному ране хосту? На этот вопрос нужно ввести слово yes и нажать Enter. После этого можно выполнять все административные действия. Только будьте осторожны, неправильными действиями вы можете нанести серьезный ущерб системе или даже группе систем!

Немного о работе с программой. Она имеет свое главное окно с полем ввода команд. Команды введенные в это поле передаются во все запущенные сессии. Если нужно выполнить команду на конкретной машине, то делать это нужно в соответствующем окне терминала. Ниже список заметок по работе с программой:

• если команду нужно выполнить только для одного сервера, обратитесь к нужному окну терминала.

• Чтобы исключить сеанс из перечня массового выполнения команд, нужно снять соответствующий флажок в меню ‘Hosts’ в основном окне утилиты.

• Чтобы исключить все сеансы сразу, используйте команду ‘Toggle active state’ – в основном окне. Применив ее – не жалуемся, сеансы действительно отключаются.

• Для упорядочивания окон на экране применяем команду ‘Retile’.

• Справка по программе есть и в меню Help – Documentation, и в консоли – man cssh, и на <font color="#000080">sourceforge.net</font>.

Сетевое хранение файлов

На всех уроках и в первую очередь на уроках информатики требуется наличие каталога для хранения файлов с учебным материалом, доступ к которому осуществлялся бы по сети. Права на файлы в таком каталоге и на сам каталог должны быть жестко ограничены, во избежание случайного или намеренного удаления файлов учениками.

Для организации работы такого хранилища файлов в среде Linux имеется ряд возможностей. Это и FTP-сервер, Файловое хранилище с Web-интерфейсом, NFS — сетевая файловая система, SMB — сетевой протокол прикладного уровня. Для решения поставленной выше задачи мы будем использовать последние два сетевых сервиса.

SMB

Начнем с более простого — SMB. Настройка этого сервиса осуществляется так же как и в среде Windows.

Создадим на нашем, преподавательском компьютере каталог в котором будут хранится методические материалы для уроков по информатике. Назовем, к примеру, наш каталог xranilische. Этот каталог может находится где угодно в структуре каталогов, главное — чтобы вы имели на него все права.

Теперь предоставим ученикам доступ к нашему каталогу. Делается это просто. В файловом обозревателе Nautilus жмем правой кнопкой на ранее созданный каталог xranilische и в контекстном меню выбираем пункт Свойств. В открывшемся окне открываем вкладку Общий доступ и опубликовываем эту папку, разрешая гостевой доступ без права изменять содержимое каталога. Если система попросит установки дополнительных пакетов для осуществления этой операции, сделайте это.

Мы предоставили доступ к Хранилищу по сети, теперь откроем его с компьютера ученика. На одном из компьютеров учеников (управление которым возможно осуществлять через программу Epoptes <font color="#000080">смотрите раздел</font>) открываем обозреватель файлов и в панеле слева, в разделе Сеть открываем Обзор сети. Отыскиваем в содержимом сети наш опубликованный каталог.

Для дальнейшего быстрого доступа к Хранилищу можно добавить его в закладки обозревателя файлов. Находясь в сетевой папке Хранилище, в главном меню обозревателя файлов Nautilus открываем раздел Закладки и добавляем текущий каталог в закладки. Поместившись среди закладок в боковой панеле обозревателя, каталог может получить неприглядное имя и, хуже того, при просмотре закладок во время разорванного сетевого соединения на его месте будет имя smb. Чтобы исправить это, переименуем нашу закладку и дадим ей имя Хранилище. На этом настройка сетевого хранилища с помощью SMB закончена.

NFS [5]

Решим задачу сетевого хранилища, которая описывалась в одноименном разделе <font color="#000080">Сетевое хранилище файлов</font> с помощью протокола NFS. Это наиболее изящное решение так как протокол обладает более гибкими по сравнению с SMB настройками.

Network File System (NFS) — протокол сетевого доступа к файловым системам, разработан Sun Microsystems в 1984 году. NFS предоставляет клиентам прозрачный доступ к файлам и файловой системе сервера. В отличие от <font color="#000080">FTP</font>, протокол NFS осуществляет доступ только к тем частям файла, к которым обратился процесс, и основное достоинство его в том, что он делает этот доступ прозрачным. Это означает, что любое приложение клиента, которое может работать с локальным файлом, с таким же успехом может работать и с NFS файлом, без каких либо модификаций самой программы.

Последняя особенность программы очень для нас важная так как позволяет реализовать подключение шифрованных контейнеров с помощью программы TrueCryp, о чем речь пойдет в следующем разделе. И это именно та причина по которой SMB-протокол не подходит. Контейнеры публикуемые с помощью SMB не доступны для подключения в программе.

1. Установка NFS

Для установки NFS срвера в терминале наберите следующую команду:

$ sudo apt-get install nfs-kernel-server

2. Настройка

Вы можете настроить какие каталоги будут экспортированы, добавив их в файл /etc/exports. Наша задача — экспортировать папку xranilische на учительском компьютере. Отредактируем с правами администратора и сохраним файл /etc/exports

$ sudo gedit /etc/exports

Добавим в него следующее содержимое

/home/teacher/xranilische *(rw,sync,all_squash,no_subtree_check)

Поясню содержимое этой строки. Первое слово в ней указывает на каталог, который мы желаем экспортировать — это каталог, размещенный у нас, на учительском компьютере. Перед скобками стоит знак *, он указывает, что каталог будет доступен всем IP-адресам сети, которой мы принадлежим. Если вы желаете предоставить папку ограниченным адресам, укажите их вместо *, при этом можно использовать подстановочные знаки (* — любое значение, ? — любой символ). В скобках размещаются параметры экспорта каталога.

Очень важным в списке параметров является этот — all_squash. Он указывает программе, что должна происходить подмена всех UID пользователей и групп их анонимными значениями. Что это значит и почему это важно. Дело в том, что пользователь в системе Linux определяется своим UID — идентификационным номером. Если UID пользователя учителя на учительском компьютере совпадает с UID ученика на ученическом компьютере, то он (ученик), после подключения сетевой папки, будет обладать всеми правами на неё как и учитель. Чтобы избежать этого, используется параметр all_squash, благодаря которому после подключения сетевой папки на удаленном компьютере пользователь получает права виртуального пользователя и права его ограничены.

3. Запуск и проверка работы

Для запуска NFS сервера вы можете выполнить следующую команду в терминале

$ sudo /etc/init.d/nfs-kernel-server start

После перезагрузки компьютера, сервис будет запускать автоматически.

Проверим работу сетевой файловой системы сначала локально. Подключим экспортированный каталог на нашем же учительском компьютере. Делается это командой

$ sudo mount localhost:/home/teacher/xranilische /mnt

Первый параметр программы монтирования — localhost:/home/teacher/xrani-lische указывает на наш компьютер, на экспортированный каталог Хранилища. Второй параметр — это каталог в локальной файловой системе к которому чаще всего производят монтирование. Если после выполнения команды не возникло никакик сообщений, то операция прошла успешно, и мы должны увидеть в папке /mnt то же самое что и в папке /home/teacher/xranilische.

4. Настройка клиентов

Для начала установим пакет nfs-common на ученических компьютерах (УУК). Для установки этого пакета введите следующую команду в терминале

$ sudo apt-get install nfs-common

Перед тем как монтировать Хранилище, нужно создать точку монтирования — каталог в локальной файловой системе УУК

$ sudo mkdir /home/xranilische

Используем команду mount для подключения NFS каталога общего пользования на УУК, набрав в терминале команду, похожую на приведенную ниже.

$ sudo mount IP_УК:/home/teacher/xranilische/ /home/xranilische

где последний параметр — есть созданная чуть ранее точка монтирования. IP_УК — это IP-адрес или доменное имя учительского компьютера. Если все сделано правильно, то после выполнения команды не должно возникнуть никаких сообщений, а в каталоге /home/xranilische мы обнаружим содержимое нашего файлового хранилища.

Альтернативным вариантом подключения NFS ресурса является добавления строки в файл /etc/fstab. Строка должна содержать сетевое имя NFS сервера, экспортируемый каталог на сервере и каталог на локальной машине, куда будет монтироваться NFS ресурс.

Общий синтаксис для этой строки в файле /etc/fstab следующий

IP_УК:/home/teacher/xranilische/ /home/xranilische nfs rw,bg,intr,soft

Последние параметры — параметры монтирования bg,intr,soft очень полезны в нашем случае, так как позволяют без нарушения работы системы подключить сетевой каталог, даже если сервер не работал до попытки подключения или дал сбой. Проверить правильность записи строки в фале /etc/fstab можно сразу же, выполнив команду

$ sudo mount -a

По этой команде монтируются все файловые системы, прописанные в fstab. Если после выполнения этой команды не возникло каких-либо сообщений, значит запись составлена правильно и мы обнаружим содержимое файлового хранилища в папке /home/xranilische. На этом настройка клиентов — УУК закончена.

TrueCrypt [6]

TrueCrypt — компьютерная программа для шифрования «на лету». Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жесткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память. Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.

Для решения школьных задач эта программа очень привлекательна, потому как решает сразу множество проблем. Выше, в разделе <font color="#000080">NFS</font> оговаривалась причина использования NFS-файлового хранилища вместо SMB. TrueCrypt — та самая причина.

Связка NFS и TrueCrypt легко решает один важный вопрос в безопасности хранения данных учеников в дисплейном классе. Вопрос этот стоит так: заводить для каждого ученика отдельного системного пользователя со своей домашней папкой и настройками? или на всех машинах будет один системный пользователь, а результаты работы учеников будут хранится централизованно с доступом по паролю? Этот вопрос можно решить еще одним способом. Настроить сервер централизованной аутентификации на учительском компьютере и для каждого ученика завести виртуального пользователя с сетевой домашней папкой. Так это делается в среде сформированной в дистрибутивах от ALTLinux для школ. Можно пойти по среднему пути, использовать сервер ALTLinux School Server и настроить клиентов Ubuntu для аутентификации по сети. Но мы всего этого делать не будем.

1. Установка программы TrueCrypt [7]

Программа в системе Ubuntu устанавливается через PPA — репозиторий. Добавляем репозиторий в список источников и устанавливаем программу

$ sudo add-apt-repository ppa:michael-astrapi/ppa
$ sudo apt-get update && sudo apt-get install truecrypt

После выполнения этих команд установку можно считать законченной.

2. Создание шифрованных контейнеров для учеников

Для начала можно заготовить таблицу примерно такого вида

№, п/п Класс ФИО                               Имя контейнера Пароль

1          8      Иванов Иван Иванович     IvanovII         <font face="Liberation Mono, Courier New, monospace">gnd4f</font>

2          9      Петров Петр Петрович     PetrovPP         <font face="Liberation Mono, Courier New, monospace">we7dg</font>

Это упростит процесс создания множества контейнеров и предотвратит ошибки.

Для создания контейнеров можно воспользоваться графическим интерфейсом программы TrueCrypt. Даже если нужно создать контейнеры для 50 пользователей — это не сложная задача. Коротко опишу порядок действий для создания контейнера.

1. Запускаем программу TrueCryp.

2. Жмем кнопку Create Volume.

3. Create an encrypted file container.

4. Standard TrueCrypt volume.

5. Volume Location — /home/tacher/xranilische/ivanovii.

6. Encryption Algorithm — AES.

7. Volume Size — 10 MB.

8. Volume Password — из таблицы паролей.

9. Format Options — FAT

10. Exit

Есть вариант сделать всё это через командную строку (программа поддерживает текстовый ражим) или, даже, написать скрипт и автоматизировать работу.

3. Проверка монтирования

Для проверки монтирования воспользуемся графическим интерфейсом программы. Запускаем программу и следуем списку действий ниже

1. Select File... Выбираем один из контейнеров, помещенных в Хранилище.

2. Выбираем один из слотов Slot.

3. Нажимаем кнопку Mount

4. Вводим соответствующий контейнеру пароль, жмем OK.

5. Программа запросит пароль администратор, вводим.

6. Готово.

После проделанных действий мы обнаружим в проводнике файлов подключенный диск. Называться он будет truecryptX.

4. Монтирование контейнера TrueCrypt без пароля root [8]

Исправим один неприятный момент. Программ запрашивает пароль администратора при монтировании контейнера.

Создадим группу truecrypt на всех компьютерах. Эту задачу можно упростить при использовании <font color="#000080">CSSH</font>

$ sudo addgroup truecrypt

Добавим себя учителя в группу truecrypt командой на УК

$ sudo usermod -a -G truecrypt teacher

На ученических компьютерах (УУК) выполняем аналогичную команду

$ sudo usermod -a -G truecrypt lerner

Для того чтобы изменения вступили в силу нужно выполнить выход из системы и вход.

Для этой группы мы откроем возможность монтирования контейнеров TrueCrypt без пароля администратора. Отредактируем на всех машинах файл /etc/sudoers.

$ sudo gedit /etc/sudoers

В нем определяются права пользователей на запуск программ с правами администратора. Поместим в конце этого файла строку

%truecrypt ALL=(root) NOPASSWD:/usr/bin/truecrypt

Эта строка указывает, что любой пользователь группы truecrypt имеет право запускать программу /usr/bin/truecrypt с правами администратора без ввода пароля.

5. Скрипт монтирования и размонтирования контейнера для Nautilus'a

Чтобы облегчить и ускорить процесс монтирования контейнера, настроим программу Nautilus — проводник файлов среды Ubuntu соответствующим образом.

Nautilus способен запускать скрипты (сценарии) из контекстного меню для выполнения каких-либо действий с файлами. Создадим скрипты для монтирования и размонтирования контейнера. Оба скрипта, а это обычные текстовые файлы, размести в домашних папках пользователей ~/.gnome2/nautilus-scripts. Папка .gnome2 по умолчанию не видна (она скрыта), чтобы ее отобразить нужно в Nautilus'е выполнить команду Вид > Показывать скрытые файлы, или нажать сочетание клавиш Ctrl+H.

Первый файл назовем Подключить личное хранилище файлов и разместим в нем текст

#!/bin/bash
truecrypt $1

Второй файл назовем Отключить личное хранилище файлов и разместим в нем текст

#!/bin/bash
truecrypt $1 -d

Оба файла сделаем исполняемыми, для этого выделим их и нажмем правой кнопкой мыши на одном из них; в контекстном меню выберем Свойства и откроем вкладку Права; отметим Разрешить исполнение файла как программы; готово.

После всех действий станет возможным подключение контейнера TrueCrypt в программе Nautilus с помощью контекстного меню. Откроем Хранилище и нажмем на одном из контейнеров правой кнопкой мыши. В контекстном меню выбираем пункт Сценарии > Подключить личное хранилище файлов. По завершению работы с личным хранилищем отключаем его также используя пункты контекстного меню.

Внутри-сетевой Web-сервис

LAMP

1. Корпоративный сервер обновлений с apt-cacher-ng

<font color="#000080">http://www.qdesnic.ru/apt-cacher-ng.html</font>

3. Epoptes

<font color="#000080">http://www.epoptes.org/</font>

3. SSH без пароля

<font color="#000080">http://rizloff.com/linux/ssh-login-without-password-use-authorized-keys</font>

4. CSSH

<font color="#000080">http://testitquickly.com/2008/05/13/cssh-используем-несколько-компьютеров-д/</font>

5. NFS

<font color="#000080">http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/файловые_сервера/nfs</font>

6. TrueCrypt описание

<font color="#000080">http://ru.wikipedia.org/wiki/TrueCrypt</font>

7. TrueCrypt установка

<font color="#000080">http://www.liberiangeek.net/2012/07/install-truecrypt-via-ppa-in-ubuntu-12-04-precise-pangolin/</font>

8. TrueCrypt без пароля root

<font color="#000080">http://unixforum.org/index.php?showtopic=118965</font>