Geekly articles weekly

Astra Linux 1.6(斯摩棱斯克)。 系统准备好与普通用户一起工作了吗? 拐杖的例子


用户中和以及安装新OS的过程

哈Ha 今天,我们想分享将一个组织(以下称“客户”)迁移到国内操作系统的经验,作为实施进口替代要求的一部分。 必须立即表明客户已选择并购买了该操作系统。 我们还喜欢此操作系统的部署,优化和信息保护要求的满足。

挑战赛


存在第二安全级别的状态信息系统(以下称为GIS),该系统具有大约1000个有条件的相同类型的用户,并且具有严格定义的官方任务范围。 GIS本身由分布在30多个站点的Web服务和本地数据库组成。 在定居点​​中也有远程工作。 同时,存在一个公共域(但并非到处都是),存在本地/公司范围。 在某些地方,计算机和办公设备的停放并不是头等大事;物体之间的传输通道并不是那么热。 有本地系统管理员和首席管理员。 一般而言,中型国家机构在迁移到家用软件之前就具有典型的特征。

问题,测试,研究



1.我们通过Astrov图形文件管理器(fly-fm)将球连接起来。 在“窗口”球上显示俄语文件名没有任何问题。 但是,当将这些文件复制到桌面和磁盘上的其他位置时,这些名称会变成一个人无法读取的字符集。 我们与开发人员就此问题进行了合作,尽管有修复程序,但问题很复杂。

不管Astrov软件的功能如何,都有一种使用Linux安装球的方法。 该方法有效,但是需要在真实条件下进行测试。 初步测试表明,文件在显示和复制时不会失真,但是某些版本的Windows Server存在兼容性问题。 连接Linux客户端时限制球上文件访问问题的本质是,我们使用负责安装球的cifs-tools软件包的开发人员推荐的各种选项来测试连接。 有时我们使用autofs,在其他情况下,我们根据习惯使用它们来指示“不需要做”。

2.与第一个关联。 从Astrov fly-fm安装球时,用户无法将Firefox中的文件直接保存到“球”中。 他们必须执行两项操作,首先将它们保存在Firefox中,然后再将文档扔到桌面上。 为了将文件放到站点上,同样的事情,首先他们将文件从球中带到桌面,然后将其放入数据库中。

这是由于Firefox使用其自己的对话框来打开和写入文件这一事实,在该对话框中无法指向我们在Astrov fly-fm中创建的球的符号链接。

如果Astra不使用他的图形环境,而是Linux中最流行的一些图形环境,就不会存在此问题。 目前,仍然可以使用autofs或向员工编写有关复制和下载文件规则的说明。

3.将USB打印机共享到网络。 两种标准选项:通过打印服务器杯和samba,协议在标准设置下并未生效。 我们将其转换为客户端模式,然后将其连接到另一台计算机的CUPS上,并且只能使用以下警告:一个客户端只能拥有1台打印服务器,并且以客户端模式配置的计算机不能使用其本地打印机,因为其打印服务器被卡住了。

4.机构经常在以前的办公套件中的文档中使用宏。 这些宏与Libre Office中的宏不兼容,因为在后者中它们不是用Visual Basic而是用Java编写的。

而且,Astra的创建者从分发工具包中删除了与Java相关的所有内容,因为它属于美国公司Oracle。 也就是说,仍然无法在Astrov办公室中编写宏。 唯一的选择是模拟或附近装有Windows的计算机。

结论与决定


根据对基础架构当前状况的分析,可以确定自动化过渡到家用操作系统可能会导致意外的问题。 这种方法只能在管理(中央办公室)中使用-在这种情况下,可以快速做出响应。 尽管在该地区的本地设施中存在相当典型的工作场所和技术流程,但这并不能完全实现标准化,也无法实现“静默安装”。

仍然阻止通过网络同时安装的原因:

  • 缺乏共同领域;
  • 铁和外围的动物园;
  • 从网络下载不是优先事项,您仍然需要进入远程工作站并更改下载顺序(由于缺少集中域,因此无法安装用于预配置的任何代理)。
  • 与远程工作站以及对象之间的沟通渠道差;
  • 技术流程虽然大部分都是标准的,但实际上并不是所有用户都被转移了,因为很大一部分任务目前只能在Windows上完成;
  • 在没有其他用户配置的情况下在所有计算机上同时重新安装OS会使整个机构的工作瘫痪,这是不可接受的。

结果,决定组成最通用的分发版,以便现场部署。 此外,有必要为实地的系统管理员组织技术支持渠道,以进行咨询和翻译官方任务的经验。

通常,在切换到家用软件这一主题上:目前,许多应用程序的迁移问题尚未解决。 完全标准和特殊(包括自写)。 因此,向新操作系统的迁移现在包括,除其他外,找到最佳解决方案以重新执行正式任务,并可能在组织的现有技术流程中进行重大更改。 反过来,这可能需要更新/修订设计和认证文档,以及在全国范围内对信息安全主题的其他哲学思考。

所考虑的组织中的迁移仍在继续。 概述了这些阶段,选择了以下对象和其他作业以过渡到新的OS。 此外,该项目与从上方启动的计划过渡,该计划是我们其他客户和新客户向家用软件过渡的计划。 尽管该过程很难进行,但有时有时很紧急,但已测试并应用了多种方法。 有大量的信息可用于分析,解决方案的选择,我们一定会尽可能地覆盖所有信息。

其他技术细节,萨满教和拐杖。

闪存驱动器的准备和安装


1.要安装,您将需要一个闪存驱动器或其他外部NTFS USB驱动器,其卷
小于16GB。 Porteus映像重270MB。 本质上,这是一个移动Linux,仅需运行我们的安装程序脚本即可。 已安装的Astra Linux的映像重8GB。 如果您愿意,可以将图像缩小到1 GB的地板上,然后8 GB的闪存驱动器就足够了。

2.在我们稍加修改的Porteus便携式OS上,将系统映像和目录树复制到该映像。

3.通过运行脚本使闪存驱动器可启动:

/boot/Porteus-installer-for-Linux.com —  Linux /boot/Porteus-installer-for-Windows.exe —  Windows

4.从准备好的驱动器启动,然后按照说明进行操作:



对于Porteus,我们创建了一个包含bash脚本的模块 ,用于以交互方式部署Astra Linux。



该脚本在引导驱动器中扫描系统映像,允许您选择磁盘来安装系统,将映像部署到该磁盘,并允许您在首次引导系统之前进行一些设置。

剧本
 #!/bin/sh # unmount swap disks for i in `cat /proc/swaps | grep dev | awk -F" " '{print $1}'`; do swapoff $i; done #variables DIALOG=${DIALOG=dialog} tempfile=`mktemp 2>/dev/null` || tempfile=/tmp/temp$$ tempfile1=`mktemp 2>/dev/null` || tempfile1=/tmp/temp$$ tempfile2=`mktemp 2>/dev/null` || tempfile2=/tmp/temp$$ tempfile3=`mktemp 2>/dev/null` || tempfile3=/tmp/temp$$ tempfile4=`mktemp 2>/dev/null` || tempfile4=/tmp/temp$$ #image selection setimage () { mdevs=`mount | grep fuseblk | awk -F" " '{print $3}'` cd / $DIALOG --backtitle "   :" \ --menu " " 15 80 5 \ `find $mdevs -name *.di -type f | awk '{print $0,"image"}'` 2> $tempfile retval=$? case $retval in 0) image=`cat $tempfile | awk -F/ '{print $6}'` input=`cat $tempfile` echo "  : $image" sleep 2;; 1) echo "  ." exit 0;; 255) echo "  ESC." exit 0;; esac } #disk selection setdisk () { sdisk=`mount | grep fuseblk | awk -F" " '{print $1}' | awk -F/ '{print $3}' | tr -d [0-9]` $DIALOG --backtitle "     $image :" \ --menu "`parted -l | grep -E "| \/"`" 15 80 5 \ `fdisk -l | grep " /"| grep "/dev/s" | awk -F" " '{print $2,$1}'| awk -F: '{print $1,$2}' | sed "/$sdisk/d"` 2> $tempfile1 retval=$? case $retval in 0) disk=`cat $tempfile1 | awk -F/ '{print $3}'` output=`cat $tempfile1` echo " $disk       $image" sleep 2;; 1) echo "  ." exit 0;; 255) echo "  ESC." exit 0;; esac } #cloning (dd process) cloning () { bs=`hdparm -I $output | grep "cache/buffer size" | awk -F" " '{print $4}'` umount -l $output"*" dd if=/dev/zero of=$output bs=512 count=1 clear sleep 1 echo "  $image   $disk..." #dd if=$input of=$output bs=$bs 2>/tmp/error & pid=$! dd if=$input of=$output bs=8M 2>/tmp/error & pid=$! sleep 2 while [ -d /proc/$pid ]; do kill -USR1 $pid && tail -n 2 /tmp/error | grep GB && sleep 10 && clear; done clear tail -n 3 /tmp/error echo "  ." rm /tmp/error sleep 2 } #resize second partition resizepart () { echo "     :" fdisk -l $output"2" | head -n 1 echo "    $disk..." parted $output rm 2 parted $output mkpart primary 2GB 100% resize2fs -f $output"2" e2fsck $output"2" echo "   :" fdisk -l $output"2" | head -n 1 sleep 2 } #hostname sethost () { $DIALOG --inputbox "  :" 10 80 2> $tempfile2 retval=$? case $retval in 0) hostn=`cat $tempfile2` mount $output"2" echo $hostn >/mnt/$disk"2"/etc/hostname hosts=/mnt/$disk"2"/etc/hosts /bin/cat << ENDFILE >$hosts 127.0.0.1 localhost 127.0.1.1 $hostn # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback ff02::1 ip-allnodes ff02::2 ip6-allrouters ENDFILE echo "   : `cat /mnt/$disk"2"/etc/hostname`" sleep 2;; 1) echo "  ." exit 0;; 255) echo "  ESC." exit 0;; esac } #adduser adduser () { $DIALOG --inputbox "  :" 8 40 --inputbox " :" 8 40 2> $tempfile3 retval=$? case $retval in 0) name=`awk '{print $1}' $tempfile3` pass=`awk '{print $2}' $tempfile3` passf=/mnt/$disk"2"/tmp/pass /bin/cat << ENDFILE >$passf parsec_pam del useradd -m -N -s /bin/bash -G cdrom,audio,video,floppy,plugdev,dialout,users $name echo -e "$pass\n$pass\n" | passwd $name passwd -w 14 -x 90 $name parsec_pam add ENDFILE chmod 755 $passf chroot /mnt/$disk"2" /tmp/pass echo " : $name" echo " : $pass" sleep 2;; 1) echo "  ." exit 0;; 255) echo "  ESC." exit 0;; esac } #kasperftp kasper () { $DIALOG --inputbox " ip  ftp    :" 10 80 2> $tempfile4 retval=$? case $retval in 0) kftp=`cat $tempfile4` obnovftp=/mnt/$disk"2"/opt/kaspersky/kesl/bin/kesl-obnovftp /bin/cat << ENDFILE >$obnovftp SourceType=Custom ConnectionTimeout=10 [CustomSources.item_1] URL=ftp://ftpuser:1qwertyuiop_0@$kftp/Updates Enabled=Yes ENDFILE echo "ip  ftp    : $kftp" sleep 2;; 1) echo "  ." exit 0;; 255) echo "  ESC." exit 0;; esac } autofs () { mcedit /mnt/$disk"2"/etc/auto.share } #statement state () { echo " $image    $disk." echo "     $disk:" fdisk -l /dev/$disk echo "ip  ftp    : `cat /mnt/$disk"2"/opt/kaspersky/kesl/bin/kesl-obnovftp | grep URL | awk -F@ '{print $2}' | awk -F/ '{print $1}'`" echo " : `cat /mnt/$disk"2"/etc/hostname`" echo " : $name" echo " : $pass" echo "  :" cat /mnt/$disk"2"/etc/group | grep $name | awk -F: '{print $1}' echo "  .  reboot   Ctrl+Alt+Del   ." } #program start: setimage setdisk cloning resizepart sethost adduser kasper autofs state exit 0


我们对系统配置进行的更改


1.打开系统欢迎屏幕上的数字小键盘,默认情况下它已关闭。 配置文件中的选项“ NumLock = On”:

/ etc / X11 / fly-dm / fly-dmrc

2.消除了基于Intel芯片的嵌入式视频卡的伪影和缓慢的窗口渲染,从而在文件中启用了UXA渲染模式:

/etc/X11/xorg.conf.d/20-intel.conf

 Section "Device" Identifier "Intel Graphics" Driver "intel" Option "AccelMethod" "uxa" Option "TearFree" "true" Option "Tiling" "true" EndSection Section "Extensions" Option "Composite" "Enable" Option "RENDER" "Enable" EndSection Section "ServerFlags" Option "AIGLX" "true" EndSection

3.添加了使本地CUPS打印服务器成为另一台服务器的客户端的功能。 当通过Web界面通过网络连接打印机时,这使您可以使用通过USB连接到其他Linux机器的打印机。

创建的文件:

/etc/cups/client.conf

 #ServerName 10.12.xx

在这里,您需要删除注释行,并使用打印机添加远程计算机的地址。 之后,打印机将立即可供打印。

4.重写了字体映射配置文件。 添加了在系统级别而不是应用程序级别启用和禁用其平滑的功能。

档案:

/etc/fonts/conf.avail/11-fontsalias.conf

代号
 <?xml version="1.0"?> <!DOCTYPE fontconfig SYSTEM "fonts.dtd"> <fontconfig> <alias> <family>serif</family> <prefer><family>PT Sans</family></prefer> </alias> <alias> <family>sans-serif</family> <prefer><family>PT Sans</family></prefer> </alias> <alias> <family>sans</family> <prefer><family>PT Sans</family></prefer> </alias> <alias> <family>monospace</family> <prefer><family>PT Sans</family></prefer> </alias> <alias> <family>mono</family> <prefer><family>PT Sans</family></prefer> </alias> <match> <test name="family"><string>Arial</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Helvetica</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Verdana</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Tahoma</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <!-- Insert joke here --> <test name="family"><string>Comic Sans MS</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Times New Roman</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Serif</string> </edit> </match> <match> <test name="family"><string>Times</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Courier New</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Arimo</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Roboto</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>OpenSymbol</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Noto Sans</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Carlito</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Fixed</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> <match> <test name="family"><string>Lucida</string></test> <edit name="family" mode="assign" binding="strong"> <string>PT Sans</string> </edit> </match> </fontconfig>


/etc/fonts/conf.avail/12-noaa.conf

代号
 <?xml version = '1.0'?> <!DOCTYPE fontconfig SYSTEM "fonts.dtd"> <!-- /etc/fonts/local.conf file for local customizations --> <fontconfig> <match target="font" > <edit mode="assign" name="hinting" > <bool>true</bool> </edit> </match> <match target="font" > <edit mode="assign" name="antialias" > <bool>false</bool> </edit> </match> <match target="font" > <edit mode="assign" name="embeddedbitmap" > <bool>false</bool> </edit> </match> <match target="font" > <edit mode="assign" name="hintstyle" > <const>hintfull</const> </edit> </match> <match target="font" > <edit mode="assign" name="autohint" > <bool>false</bool> </edit> </match> <match target="font" > <edit mode="assign" name="lcdfilter" > <const>lcdlight</const> </edit> </match> <match target="font" > <edit mode="assign" name="rgba" > <const>rgb</const> </edit> </match> <match target="pattern" > <edit mode="assign" name="dpi" > <double>96</double> </edit> </match> </fontconfig>


/etc/fonts/conf.avail/13-aa.conf

代号
 <?xml version = '1.0'?> <!DOCTYPE fontconfig SYSTEM "fonts.dtd"> <!-- /etc/fonts/local.conf file for local customizations --> <fontconfig> <match target="font" > <edit mode="assign" name="hinting" > <bool>true</bool> </edit> </match> <match target="font" > <edit mode="assign" name="antialias" > <bool>true</bool> </edit> </match> <match target="font" > <edit mode="assign" name="embeddedbitmap" > <bool>false</bool> </edit> </match> <match target="font" > <edit mode="assign" name="hintstyle" > <const>hintslight</const> </edit> </match> <match target="font" > <edit mode="assign" name="autohint" > <bool>false</bool> </edit> </match> <match target="font" > <edit mode="assign" name="lcdfilter" > <const>lcdlight</const> </edit> </match> <match target="font" > <edit mode="assign" name="rgba" > <const>rgb</const> </edit> </match> <match target="pattern" > <edit mode="assign" name="dpi" > <double>96</double> </edit> </match> </fontconfig>


这些脚本负责打开和关闭平滑:

/ usr /本地/ bin / aaon
/ usr /本地/ bin / aaoff

5.已添加网络文件夹以从网络MFP进行扫描,该网络文件夹允许使用smb协议保存图像。 到标准的Samba服务器配置文件:

/etc/samba/smb.conf

本节介绍:

 [scan] path = /var/scan comment = scan read only = no guest ok = no guest only = no valid users = scan create mask = 0666 directory mask = 0777

以及用于快速创建公共交换文件夹的带注释的部分:

 #[share] #path = /var/share #comment = share #read only = no #guest ok = yes #create mask = 0666 #directory mask = 0777

samba用户扫描,并在系统中注册了密码扫描

6.已经为系统的新注册本地用户创建了设置框架。 它包含对桌面外观的细微更改,更改的用户应用程序设置,用于将浏览器连接到必要的网络资源的证书等。 一些更改将在下文中详细描述。

7.已经为Linux初始化子系统创建了一个rc-local服务配置文件。 这样就可以在必要时在系统初始化阶段加载任何脚本。

档案:

/etc/rc.local

 #!/bin/sh -e exit 0

/etc/systemd/system/rc-local.service

 [Unit] Description=/etc/rc.local Compatibility ConditionPathExists=/etc/rc.local [Service] Type=forking ExecStart=/etc/rc.local start TimeoutSec=0 StandardOutput=tty RemainAfterExit=yes SysVStartPriority=99 [Install] WantedBy=multi-user.target

8.为某些网络打印机添加了专有的Xerox驱动程序。

9. autofs软件包已安装并配置。 允许您在系统级别通过cifs-utils连接网络文件夹。 要提交:

/etc/auto.master

添加的行:

 /mnt /etc/auto.share --ghost --timeout=60

创建了一个配置文件,其中包含以下说明:

/etc/auto.share

10.已编写脚本来初始化卡巴斯基反病毒软件的更新服务器并检查数据库更新:

/ usr /本地/ bin / kasperftp

 #!/bin/sh echo " ,    ..." /opt/kaspersky/kesl/bin/kesl-control --stop-task 6 sleep 2 echo "   ." /opt/kaspersky/kesl/bin/kesl-control --set-settings 6 --file /opt/kaspersky/kesl/bin/kesl-obnovftp echo " ..." /opt/kaspersky/kesl/bin/kesl-control --start-task 6 /opt/kaspersky/kesl/bin/kesl-control -W exit 0

11.添加了桌面墙纸和系统欢迎屏幕的自定义主题。

打印机的连接。

通过浏览器中的CUPS配置页面配置打印机: 127.0.0.1 :631或localhost :631

该页面已翻译成俄语,非常直观。 要安装打印机,您需要系统管理员权限。 要在网络上发布打印机,您需要激活服务器设置中的两项。

添加网络打印机时,通常使用具有IP地址的AppSocket / HP JetDirect或Internet打印协议(ipp)。

如果网络打印机未使用这些方法进行连接,则可以通过编辑文件/etc/cups/client.conf ,使本地CUPS打印服务器成为另一台服务器的客户端,在其中指出连接打印机的机器的网络地址。 在这种情况下,您不需要安装任何驱动程序。 尽管CUPS数据库中有大量驱动程序,但有时仍需要安装品牌驱动程序。

对于某些Xerox网络打印机,我们已经安装了专有驱动程序和配置程序,该命令为:

 xeroxprtmgr

如果检测到打印机,则需要选择它并指定队列名称,该名称也是系统中打印机的名称。 默认情况下,某些打印机型号配置为打印每个作业带有编号的页面。 在队列设置中找到此选项并将其禁用。

如果您有一台HP打印机,则最好使用系统上也预先安装的品牌驱动程序。 转到控制面板>设备>安装其他HP插件,然后在其中>安装打印机,传真,HP扫描仪。

扫描仪

要安装扫描仪,您需要在系统管理员的终端中输入scanimage -L命令。 如果找到扫描仪,您将看到带有其名称的输出。 如果输出为空,则应在Internet上寻找品牌驱动程序。

现在就这些了。 在评论中分享您实施家用操作系统的经验。

Source: https://habr.com/ru/post/zh-CN463447/

More articles:


All Articles