Здравствуйте, уважаемые читатели моего блога!
Сегодня мы рассмотрим вопрос установки операционной системы Astra Linux на примере версии 1.7.5, но общий алгоритм будет применим для версий 1.5 и 1.6 (просто вопросов, задаваемых установщиком, будет меньше).
Тема достаточно простая, однако имеет пару неочевидных тонкостей, особенно, если Вы устанавливаете систему впервые. В принципе, графическая установка происходит настолько просто, что ошибиться в ней практически невозможно. Можно нажимать «далее», выбирать что-то из предложенных вариантов и Вы получите рабочую систему (но, возможно, плохо и недолго работающую :-)).
В интернете существует огромное число статей по установке операционной системы – все они написаны по одному и тому же шаблону. Далее-далее-далее-готово.
Я же хочу научить Вас устанавливать систему так, чтобы Вы задумывались о последствиях каждого Вашего выбора на шаг вперёд.
Эта статья по-прежнему для новичков, а не для профессионалов. Но с такой установкой новички смогут избежать распространённых ошибок «на старте».
Итак, начнём! Установщик Astra Linux 1.7.5 предложит на выбор три варианта работы «Графическая установка» (её и будем выбирать), «Установка» (используется псевдографический интерфейс), «Режим восстановления».
Выбираем «Русский язык» нажатием Enter и «Графическая установка».
Внимательно почитаем «Лицензионное соглашение» и нажмём «Продолжить».
Выберем комбинацию клавиш для смены раскладки – «Alt+Shift» мне привычна, поэтому оставлю без изменений и нажму «Продолжить».
Укажем имя компьютера. После установки Вы можете изменить указанное имя на любое другое (подробнее — man hostnamectl и man hosts). Поэтому даже если сомневаетесь, укажите временное имя или оставьте astra. Указав имя, нажмём «Продолжить».
Имя домена так же можно указать в любой момент после установки (man hosts). Можете оставить имя пустым и нажать «Продолжить».
Укажем имя учётной записи, которая будет иметь административные права «по-умолчанию». Вы всегда можете создать другую учётную запись и наделить её «правами администратора» (просто включите пользователя в группу astra-admin). Поэтому указывайте любое имя и нажимайте «Продолжить».
Введите пароль от учётной записи, имя которой вы указали в предыдущем шаге (подробнее о смене пароля man passwd). Даже если Вы его забудете, Вы всё равно сможете зайти в операционную систему (об этом я написал отдельную статью — ссылка), но лучше всё-таки запомнить этот пароль, чтобы не начинать знакомство с Astra Linux «с места в карьер». Нажмите «Продолжить».
Укажите часовой пояс. Также позже можно заменить (dpkg-reconfigure tzdata). Нажмите «Продолжить».
Но самый больной вопрос для новичка — это разметка диска.
Если бы Вы знали, какое количество «новичков-администраторов» мучается с Astra Linux из-за неправильной разметки. А сколько ПК поставляется с предустановленной системой, где разметка диска выполнена в режиме — «всё в одном»…
Приведу пару самых популярных последствий неправильной разметки:
при активации подсистемы гарантированного удаления система работает очень медленно — гарантированно затирается всё и везде (включая логи, временные файлы, всевозможные кэши и т.п.);
постоянно заполняется свободное место — графический режим внезапно перестаёт работать (если это уже произошло, пути решения размещены по ссылке).
Почему так? Дело в том, что на этапе установки мы должны определиться, где будем хранить защищаемые файлы (выбрать отдельный раздел) и уже далее, при настройке операционной системы точечно подойти к его защите — когда все файлы хранятся на одном большом корневом разделе, сделать это не получится.
И наоборот, отдельный раздел home это хорошо и правильно, но если на корневом разделе хранятся директории var и tmp — ждите проблем.
Банальное открытие большого архива через mc приведёт к зависанию системы, так как временные файлы создаются в каталоге tmp (либо просто архив не откроется, как повезёт).
Неправильная работа системного демона с повторяющимся сообщением в syslog утилизирует свободное место, не дав другим программам создавать временные файлы — тем самым приведя к непредсказуемым последствиям (man logrotate).
Есть также любители работать через пользователя root (не надо так). Однако ввиду того, что по умолчанию домашняя директория пользователя root размещена на корневом разделе, копирование большого файла на рабочий стол приведёт к тем же печальным последствиям, что отражены мной в предыдущих абзацах.
Я рекомендую использовать LVM – данный механизм позволит изменять размеры разделов «на лету». На серверах, на мой взгляд, это обязательно, а вот на рабочих станциях достаточно просто грамотно разбить дисковое пространство.
Выберем «Авто» — использовать весь диск» и нажмём «Продолжить».
Выберем диск, на который произведём установку, нажмём «Продолжить».
Выберем «Отдельный раздел для /home», нажмём «Продолжить».
Зачем мы выбрали «Отдельный раздел для /home»? Я так делаю специально, чтобы самому не создавать таблицу разделов, корневой раздел и раздел подкачки (EFI раздел для UEFI). Так получается быстрее.
Теперь удалим раздел /home и внесём свои коррективы. Дважды нажмём левой кнопкой мыши на раздел /home и нажмём «Удалить раздел».
Теперь создадим свои разделы.
Лично я всегда использую следующий вариант разметки:
Корневой раздел оставляю по умолчанию;
Раздел подкачки оставляю по умолчанию, на SSD использую файл подкачки.
Выношу на отдельный раздел директории:
var — не менее 25 Гб дискового пространства;
tmp — не менее 20 Гб дискового пространства;
home – оставшееся дисковое пространство (помимо хранения домашних директорий, размещаю на нём общую локальную папку с документами пользователей (аналог диска D:/ для Windows администраторов) — как это сделать? —ссылка).
Дважды нажмём левой кнопкой мыши на «Свободное место» и «Продолжить». Нажмём «Создать новый раздел» и «Продолжить», укажем размер раздела и «Продолжить», выберем «Логический» и «Продолжить», «Начало» и «Продолжить» (либо просто дважды щёлкайте по необходимому пункту — ещё одно «Продолжить» и я сойду с ума не дописав эту заметку :-)).
В качестве точки монтирования укажем нужную директорию (home, var, tmp). Дважды нажмём на «Настройка раздела закончена».
Обратите внимание, я разбивал диск на виртуальной машине с объёмом дискового пространства 50 Гб. Это сделано для примера – необходимо осмысленно подойти к выбору размера раздела (соблюдая рекомендации, указанные ранее).
Дважды нажать «Закончить разметку и записать изменения на диск».
Выбрать «Да» и «Продолжить».
После установки базовой системы Вам будет предложено выбрать версию ядра для установки. Однозначно ответить, что выбрать — трудно. В общем случае нужно выбрать ядро с самым большим сроком поддержки (можно посмотреть в интернете), либо просто самое новое. Однако при возникновении проблем с используемым железом, возможно, потребуется попробовать разные варианты.
В любом случае, в ходе работы мы всегда может установить другую версию ядра и загрузиться с него.
Выбор программного обеспечения необходимо осуществить соблюдая правило, чем меньше, тем лучше. Позже Вы всегда можете что-то доустановить.
Если бы Вы знали, сколько систем поставляются в нашу бюджетную организацию в качестве рабочих мест, но с установленными apache, postgresql, браузерами, графическими редакторами и т.п. Но суть в том, что объём программ определяется, исходя из требований эксплуатации, а лишний хлам просто тратит ресурсы ПК.
И хорошо, если кто-то потом удалит всё лишнее – но зачем, если можно это просто не устанавливать.
Отметим необходимые программы и нажмём «Продолжить».
Выберем уровень защищённости операционной системы, исходя из потребностей, и нажмём «Продолжить».
Выберем дополнительные настройки операционной системы. Я выбрал «Смоленск» — для него выберем «Мандатный контроль целостности», «Мандатное управление доступом», запрет трассировки.
Все остальные запреты вы можете установить после полной настройки операционной системы – сначала устанавливаем программное обеспечение, проверяем работу и только потом включаем защиту на полную (и никак иначе).
Подробнее про запрет консоли можно прочитать по ссылке.
Подробнее про запрет установки бита исполнения можно прочитать по ссылке.
Также я против настройки сети NetworkManager’ом.
В общем случае — это дело вкуса. Однако я часто вижу, как другие специалисты при установке операционной системы на автономных компьютерах не отключают автоматическую настройку сети (ну а после установки не отключают Network Manager). Таким образом, при подключению к компьютеру какого-нибудь «Orange PI» создаются предпосылки к утечке информации.
В заключение убедимся, что устанавливаемая операционная система у нас одна.
Кстати был у меня случай, когда администратор безопасности филиала нашей организации защитил Windows (всё серьёзно SecretNet с режимом ЗПС, Kaspersky Endpoint Security), а вторую Linux-like операционную систему нет :-). С её помощью я скопировал защищаемые файлы на флешку (в качестве практического примера факта несанкционированного доступа). После этого Linux он сразу удалил :-).
Нажмём «Да» и «Продолжить».
Укажем пароль от загрузчика Grub. Позже вы можете его сменить, главное — не указывайте пароль, как на скриншоте :-).
В самом простом случае данный пароль нужен будет для сброса забытого пароля администратора (как это сделать — ссылка).
Кстати, о безопасности Grub я писал отдельную статью — ссылка.
Введём пароль, повторим его и «Продолжить».
На этом установка будет завершена. Нажмём «Продолжить» и дождёмся загрузки нашей новой системы.
Для удобства работы пользователей Вы можете вынести их имена на главный экран входа в систему. Как это сделать, Вы можете посмотреть по ссылке.