Posts in 2007
Russian policycoreutils translation
En: As a selinux-policy, policycoreutils in Fedora 8 now have Russian man pages (since package version 2.0.33-2). Thanks Anton Arapov and Andrew Martynov for corrections! My next goal for translation is libselinux.
Ru: Со вчерашнего дня в Fedora 8 доступны переводы справочной документации по пакту policycoreutils:
[root@andrey ~]# rpm -ql policycoreutils | grep “ru/man”
/usr/share/man/ru/man1
/usr/share/man/ru/man1/audit2allow.1.gz
/usr/share/man/ru/man1/secon.1.gz
/usr/share/man/ru/man8
/usr/share/man/ru/man8/audit2why.8.gz
/usr/share/man/ru/man8/chcat.8.gz
/usr/share/man/ru/man8/fixfiles.8.gz
/usr/share/man/ru/man8/genhomedircon.8.gz
/usr/share/man/ru/man8/load_policy.8.gz
/usr/share/man/ru/man8/open_init_pty.8.gz
/usr/share/man/ru/man8/restorecon.8.gz
/usr/share/man/ru/man8/restorecond.8.gz
/usr/share/man/ru/man8/run_init.8.gz
/usr/share/man/ru/man8/semanage.8.gz
/usr/share/man/ru/man8/semodule.8.gz
/usr/share/man/ru/man8/semodule_deps.8.gz
/usr/share/man/ru/man8/semodule_expand.8.gz
/usr/share/man/ru/man8/semodule_link.8.gz
/usr/share/man/ru/man8/semodule_package.8.gz
/usr/share/man/ru/man8/sestatus.8.gz
/usr/share/man/ru/man8/setfiles.8.gz
/usr/share/man/ru/man8/setsebool.8.gz
Confining Samba with SELinux (in Russian)
En: As Dan Walsh wrote he started updating the man pages for different confined domains. So, I will update Russian version because now in Fedora 8, Russian man pages are still based on old version of man pages.
Ru: Страницы руководств по сконфигурированным (для которых существует политика SELinux) доменам не обновлялись с 2005 года. Недавно Dan Walsh начал переписывать ряд руководств, приводя описание к современному состоянию политик. Обновленная страница samba_selinux уже в Fedora 7/8. Перевод же в дистрибутиве пока не доступен (точнее, там мой старый перевод на основе старого же оригинала). Новый:
Hello Planet Fedora!
I’ve been reading Planet Fedora for a long time, and was very pleased to see the first blog in russian (my native language). Thank you Seth Vidal for adding me as well.
I am RHCE/RHCI in a russian Red Hat Partner company. Most of the articles in my blog are about Fedora/RHEL/SELinux. In Fedora project I work in mosttly as a translator.
Руководство по безопасности RHEL5
На днях NSA (АНБ) опубликовало руководство по настройке безопасной конфигурации RHEL 5 (читай Fedora, Scientific Linux, CentOS, StartCom и т.д.). Руководство в формате PDF доступно здесь. В объеме 170 страниц изложены пошаговые рекомендации, затрагивающие множество вопросов, начиная с защиты системы в целом и заканчивая конкретными службами.
Настоящее Open Source пиво
Вчера на первом этаже магазина в Tate Modern впервые увидел FREE BEER (version 3.2) от Корнуэльской пивоварни St.Austell Brewery (кстати, рекомендую их Tribute). На этикетке значиться: FREE BEER is based on classic ale brewing traditions, but with addded Guarana for a natural energy boost. The recipe and branding elements of FREE BEER is published under a Creative Commons (Attribution-ShareAlike 2.5) license, which means that anyone can use the recipe to brew their own FREE BEER or create a derivative of the recipe. Во как!
Часть 2.2. SELinux. MLS и MCS: что с чем едят. MCS
Разберемся, что такое MCS и как ограничить пользователям (в том числе и администратору) доступ к информации при помощи категорий SELinux. Продолжаем разговор, начатый постами:
Часть 1. SELinux. Максимальный уровень защиты – бесплатно.
Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.
Итак, если воспользоваться преимуществами многоуровневой системы безопасности (multilevel security - MLS) можно только при использовании «строгой» (strict) политики SELinux, то поддержка мульти-категорийной безопасности (MCS) доступна нам в «целевой» (targeted) политике, используемой по умолчанию. В качестве тестовой машины будем использовать RHEL 5.0, но, по большому счету, это не принципиально. Перечисленные базовые вещи должны одинаково работать на всех последних Fedora/RHEL/CentOS/etc, поставляемых с политикой, собранной из Reference Policy. Выполним команду
Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.
Продолжаем разговор, начатый постом «Часть 1. SELinux. Максимальный уровень защиты – бесплатно».
Вслед за сообщениями о сертификации Red Hat Enterprise Linux 5 по Common Criteria EAL4+ (c расширениями LSPP, RBACPP и CAPP) на серверах HP и IBM, компания HP объявила о начале предоставления услуги поддержки конфигурации RHEL с включенной многоуровневой системой безопасности (multilevel security -MLS).
Что здесь понимается под MLS? MLS – это еще одна форма принудительного контроля доступа (mandatory access control - MAC), доступная нам при использовании SELinux. Политика с поддержкой MLS является опциональной и для большинства пользователей она будет намного менее полезной, чем принудительный контроль на основе Type Enforcement (TE) – основного механизма, используемого в SELinux. Но MLS – это «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись.
История Англии: Window Tax
В последнее время увлекаюсь изучением истории Англии. Так вот, знаете ли вы, что словосочетание «налог на окна» («Window Tax», или, как следует из Wikipedia, иногда - «Microsoft Tax»), которое у «айтишников» ассоциируется с необходимостью платить за пре-инсталлированную OEM-версию операционной системы, поставляемую вместе с ПК, даже если вы не собираетесь ее использовать, это – реально существовавший когда-то налог.

Этот налог был введен в 1696 королем Вильгельмом III, и отменен только лишь в 1851 году (год Всемирной Промышленной Выставки). Смысл кажущегося сейчас абсурдным большинству людей налога в том, что чем больше у вас окон в доме, тем больший налог вы платите. Доходило до того, что домовладельцы специально заколачивали в домах часть окон, а в Эдинбурге так и вовсе был построен квартал с домами без окон.
Перевод отличной книги по ядру ОС

Последние несколько месяцев я веду в журнале «Системный администратор» рубрику обзоров «Книжная полка». Это позволяет оставаться в курсе книжных новинок русскоязычной литературы, не тратя время и деньги на походы по книжным магазинам. И вот сегодня, просматривая новинки, наткнулся на книгу, IMHO абсолютный «must buy», которая у меня займет место на полке рядом с «Операционными системами» Эндрю Таненбаума и «Внутренним устройством Microsoft Windows…» Руссиновича и Соломона. В оригинале «Understanding the Linux Kernel (3rd Edition)» я приобрел еще год назад. А теперь отечественному читателю издательство «БХВ-Петербург» предоставило возможность ознакомиться с этой классической книгой по устройству ядра современной открытой операционной системы и на русском. В переводе книга вышла под названием «Ядро Linux, 3-е издание». В руках книжку я еще не держал, так что про качество перевода пока ничего не скажу.
Еще одна площадка для блогов
На прошедшей неделю назад конференции для сертифицированных тренеров Microsoft Ренат Минаждинов (MSFT) рекламировал новый ресурс itcommunity.ru в качестве площадки для блогов it-профессионалов. Ну, раз нас всех туда звали - встречайте, и не жалуйтесь, что в текстах слово “Linux” встречается :)
Этот пост должен появиться параллельно с оригинальным блогом и на itcommunity.ru. С импортом же старых сообщений движок почти справился, опустив, правда, некоторые теги. Кстати, на itcommunity.ru, насколько я понял, используется то же ПО что и на itblogs.ru Михаила Елашкин (communityserver.org). Там как раз проблем с импортом не было. Плюс форматирование в ряде случаев расползается. Видимо, не тестировали под Firefox, но, учитывая статус беты на логотипе, это, безусловно, простительно.
AppArmor от Novell больше “не от Novell”?
Когда говорят о мандатном контроле доступа (MAC) в Linux, обычно сравнивают Novell AppArmor (система более простая в использовании) и Fedora/RHEL SELinux (система, обеспечивающая более комплексную защиту). Так вот, на днях стало известно, что Novell уволил лидера проекта AppArmor Crispin Cowan вместе с еще четырьмя разработчиками, работавшими над этим проектом. Cowan, ошеломленный увольнением, не собирается бросать свое детище. Он создал консалтинговую компанию Mercenary Linux, и, видимо, ждет, когда ее кто-нибудь поглотит: “If somebody loves us and one day wants to acquire Mercenary, that’s great.”
С переводами policycoreutils и selinux-policy закончил :)
Понемногу дело движется… Закончил переводы man-страниц policycoreutils (20 страниц) и selinux-policy (8 страниц). Соответственно, bug #250741 и bug #306521. Оттуда же можно скачать непосредственно сами переводы в tar.gz. Когда переводы появятся в самом дистрибутиве, как я понимаю, зависит от maintainer’а пакетов.
«Пасхальные яйца»: Авиасимулятор в Google Earth
Вчера на Slashdot встретил информацию о том, что в последнюю версию Google Earth вслед за звездным небом встроили и подобие авиасимулятора.
Первый раз попасть в симулятор можно по комбинации клавиш Ctrl+a (в Windows-версии Ctrl+Alt+a). Второй и последующие разы можно использовать как ту же комбинацию, так и появившийся после первого запуска новый пункт в меню «Инструменты».
Доступны два самолета – SR22 и F-16. Рекомендую первый из них, так как он обладает меньшей скоростью полета и позволяет в большей степени насладиться расстилающимся под крылом «пейзажем». Полный список клавиш управления доступен тут. Также без проблем заработал и джойстик.
Ассоциативный тест: Open Source или Microsoft?
В одном из блогов прочитал о забавном тесте, разработанном в Harvard и позволяющем определить, чему вы подсознательно отдаете предпочтение: Open Source или Microsoft. Тест основывается на том, что вам нужно на скорость «раскидать» в две «кучи» понятия из областей Open Source/Microsoft, Good/Bad. Тест занимает не более 5 минут и, наверно, ничего нового не откроет, но все равно очень занятно. В общем, полезно для людей, которые, в зависимости от проекта, работают с теми или иными продуктами. Чтобы перестали врать самим себе :)
EAL4+ для RHEL5: HP не отстает от IBM
Выбор – это хорошо. “Железо” от HP, плюс RHEL5 (c включенным мандатным контролем доступа) вслед за IBM получило абсолютно такую же сертификацию Common criteria EAL4+ (c расширениями LSPP, RBACPP и CAPP), как и парой недель раньше - сервера “голубого гиганта”.
Перевод man-страниц policycoreutils (SELinux)

Вечера вечером начал перевод man-страниц утилит из пакета policycoreutils (основные утилиты для работы с политиками SELinux). Двадцать руководств различного объема планирую закончить через 1-2 недели. В качестве некой основы в переводе терминов я взял .po-файл (который, кстати, “вытянут” из Fedora) из того же пакета. Однако, в сообщениях, выводимых утилитами, присутствуют не все встречающиеся термины. Поэтому приходиться пытаться подбирать какие-то русские термины.
В качестве сервиса для размещения общедоступных черновиков выбрал http://selinux.ru.googlepages.com/ - удобная служба от вездесущего Google для быстрого создания маленьких сайтов (до 100М). После перевода всех двадцати руководств, надеюсь, все это будет доступно в составе базового пакета в SELinux-enabled дистрибутивах. В настоящее время информация на страничке активно обновляется – комментарии/замечания/исправления крайне приветствуются.
Размышления, навеянные статистикой
Хотя Россия - единственная из европейских стран, где локальные поисковики пользуются большей популярностью, чем традиционные поисковые сервисы от Google и Microsoft, по моим наблюдениям среди знакомых «айтишников», большинство из них предпочитают Google. Возможно, это из-за того, что ответ на свой вопрос вы с большей вероятностью найдете на английском - «языке оригинала». Вот и отпадает необходимость в локально-ориентированном Yandex.
С другой стороны, Yandex, по моим наблюдениям, предпочитает новое поколение «айтишников», которым знание английского-то, впрочем, и не нужно. С учетом того внимания, которое Microsoft уделяет поддержке русского языка в своих продуктах, своевременным переводам руководств и документации, множеству (даже!) узкоспециализированных и качественных книг от различных издательств, IMHO, успешным Microsoft-ориентированным специалистом можно стать и без знания языка. Кстати, работа в эту сторону продолжается – форумы Microsoft на русском, а в будущем обещают и русскоязычную социальную сеть IT-профессионалов. И это, наверно, здорово. С другой стороны, не очень здорово, когда возникает такой диалог по «аське»:
Часть 1. SELinux. Максимальный уровень защиты – бесплатно
Пару недель назад в новостях промелькнуло сообщение о том, что Red Hat Enterprise Linux на серверах IBM получил уровень сертификации по безопасности EAL4 Augmented with ALC_FLR.3. Это наивысший уровень сертификации, который когда-либо достигался операционной системой. Кроме RHEL5 эта планка достигнута лишь Trusted Solaris. Такой уровень как правило не нужен при внедрениях в коммерческих организациях, но он открыл дорогу для участия в проектах связанных с правительственными и военными организациями США. До этого другие дистрибутивы Linux уже имели подтвержденный уровень доверия EAL4, но без сертификации Labeled Security Protection Profile (LSPP).
Windows XP глазами пользователя Linux :)
Тут «пробегАли» достаточно давно появившиеся вещи типа «Анти-GPL» и т.д. Наверно, будет не очень зазорно запостить «баян» про впечатления от Windows XP, человека, ранее работавшего под Linux. Автор утерян – найдено на просторах Интернет. Конечно, многие вещи слишком преувеличены (все-таки это, скорее всего, в раздел «Юмор»). Да и XP, видимо, рассматривается еще без SP, судя по замечаниям про брандмауэр..
«Я устанавливаю windows ХР, как мне установить мой домашний каталог на отдельный раздел, чтоб в случае чего не потерять мои файлы? Читать документацию и создавать файл unattended? а что это собственно такое? и в чем мне его создавать?
Слайды учебного курса по Fedora Core Linux - 2
Работа над курсом по ОС Linux движется… Помимо версии в pdf, теперь доступна и версия слайдов в html, для просмотра непосредственно с сайта. Сейчас там около 250 слайдов. Все презентации будут выложены к 17 июня. Общая продолжительность курса – 100 академических часов. Новые слайды будут выкладываться 2-3 раза в неделю (как только вернусь из отпуска).
«Всадник без головы» вооруженный N800 (Headless Install)
Fedora Core на Nokia N800? :)
Нет.
Всего лишь «безголовая» установка по Wi-Fi через VNC.
Управление по VNC – это стандартная возможность программы установки Anaconda в Fedora/RHEL. В сочетании со сценариями автоматической установки Kickstart очень упрощает жизнь администратора.
Подробности можно поискать в документации на Anaconda или в статье из Red Hat Magazine. Мой перевод этой статьи - тут.
«Linux в кармане» - Nokia N800
Впечатления после пары часов использования…
В пятницу в фирменном салоне Nokia на Тверской появились наверно первые в России официально продающиеся «интернет-планшеты» Nokia N800, работающие на ОС Linux. Одним из счастливых обладателей этого чуда и стал ваш покорный слуга. Очень порадовала цена устройства в сравнении с моим предыдущим Linux-гаджетом Sharp Zaurus SL-C860. Кстати, в отличие от QT в Zaurus, в N800 используется GTK+. Из ТТХ, доступных на официальном сайте Nokia, можно выделить: небольшой вес устройства (206 грамм), экран (800 на 400 при 65k цветов), Bluetooth и Wi-Fi, камера для видеоконференций, а также возможность расширения памяти двумя SD-карами до 2Гб каждая.
Слайды учебного курса по Fedora Core Linux
У одного из заказчиков читаю авторский курс по системному администрированию Linux, расчитанный на 100 академических часов. “Обкатывается” курс на двух группах по восемь человек.Выложил первые 110 слайдов презентаций полутора первых дней занятий под лицензией Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License. К июню должен накопиться и будет доступен весь комплект - примерно 800-900 слайдов. Курс примерно соответствует LPI 2, но с ориентацией на Fedora. Поэтому “соответствие” действительно примерное.
Скачать слайды можно здесь в разделе “Презентации учебного курса по Linux”
Статистика по уязвимостям в RHEL 4 за два года
Вчера Марк Кокс (Director of the Red Hat Security Response Team) опубликовал в Red Hat Magazine статью, посвященную обнаруженным уязвимостям за два года, прошедших с выпуска Red Hat Enterprise Linux. Некоторые выдержки из статьи.
За два года во всех пакетах RHEL 4 AS было 5 критических уязвимостей, не связанных с браузером. Из них три связаны с IM. Оставшиеся две – это sendmail и модуль “Апача” mod_auth_pgsql. Обе уязвимости были устранены в течение одного дня. Если выбиралась установка пакетов “по умолчанию”, общее число критических уязвимостей за два года – три штуки. По всем уязвимостям со всеми уровнями критичности процент выпуска “заплатки” в течение дня обнаружения уязвимости – 75%. Сто процентов всех критических уязвимостей устранялось в течении двух календарных дней с момента появления информации об этих уязвимостях в открытых источниках.
Microsoft больше не требует от преподавателей преподавать
Уходя из CPLS в системный интегратор, столкнулся с дилеммой. Или не обременять себя продлением сертификации MCT, или договориться с одним из учебных центров и прочитать вечерние курсы, «добив» тем самым число необходимых отзывов студентов в MTM до минимального порога. Вчера, наконец, закончил двухнедельный «вечерний марафон», отучив слушателей даже на треть больше необходимого числа. А сегодня приходит рассылка: “All MCTs are eligible to renew–we have removed the annual requirement to train at least 15 students using Official Microsoft Learning Products…” :) Эх, “знал бы прикуп…”
Вышел RHEL5
Наконец, после нескольких переносов даты релиза, вышел “главный” корпоративный дистрибутив Linux. С моим кратким обзором (на основеRHEL5 beta 1) в еженедельнике PCWeek/RE, №41/2006 вы можете ознакомиться здесь.
Скачать же дистрибутив можно прямо сейчас, зайдя в RHN.
“Мама для пингвиненка”
На первом дне занятий по Linux обычно рассказываешь про историю этой операционной системы и историю Unix в целом. При этом неплохо было бы иллюстрировать рассказ ссылками в Интернет. Особенно мне в свое время понравилось “генеалогическое древо” дистрибутивов Linux (плюс альтернативная версия 1 и альтернативная версия 2). Дистрибутивы, как правило, характеризуются своим набором ПО, программой установки, своей версией ядра Linux, политикой технической поддержки и командой разработчиков.
Аналогичная схема существует для Unix (похоже, это та же самая схема, что в распечатанном виде висит в УЦ Hewlett-Packard на Космодамианской набережной :), а также для операционных систем от Microsoft. Причем, судя по последней, системное ПО для приставки X-Box ведет свою родословную от Windows 2000 и XP. Может кто-нибудь из читателей блога это подтвердит или опровергнет?
А что там с технической поддержкой Red Hat?
Периодически сталкиваюсь с таким явлением: заказчик давно уже имеет подписку на RHEL, но по каким-то причинам (возможно из-за недоработок того, кто ему в свое время эту подписку продал) не в курсе как, куда и с каким вопросом можно обращаться. А ведь техническая поддержка – это существенная часть комплекса предоставляемых вендором услуг, и заказчик должен по максимуму получить все за что отдал «свои кровные». Благо Red Hat нас не ограничивает числом открытых в тех. поддержке запросов. И уже относительно давно существует «русскоговорящая» 1-я линия поддержки.
AIGLX + Compiz на рабочем столе
Из года в год различные он-лайн и офф-лайн СМИ обещают нам скорый приход Linux на рабочий стол пользователя. Однако думаю, всем давно уже понятно, что не стоит ждать некоего прекрасного момента, когда пользователи вдруг проснутся и начнут искать более экономичную/безопасную/и т.д. альтернативу прекрасно у них работающему (и с каждой версией все лучше и лучше) ПО от Microsoft. Да и не факт, что для каждого конкретного пользователя (организации) альтернативы будут безопаснее или дешевле…
Экзамены LPI и журнал Linux Format в виде PDF
На днях, в связи с возросшей вероятностью в ближайшем времени осуществить “марафонский забег” в виде чтения пяти первых курсов программы Linux Professional Institute (LPI) , сдал второй из экзаменов необходимых для получения сертификата LPI Level 1 (LPIC-1). Чтобы иметь право читать курсы, выбранные заказчиком, осталось досдавать два экзамена на уровень LPIC-2.
Теперь, уже вплотную познакомившись с двумя основными сертификациями по Linux для технических специалистов, от LPI и от Red Hat (первый экзамен Red Hat сдал еще в 2004 году), наверное, могу с полным правом их сравнить. На мой взгляд, если есть желание подтвердить свою квалификацию сдачей экзамена, лучше заказать performance-based тест а не отвечать на вопросы “какая опция отвечает за такую-то функцию”. Зачем помнить сотни опций, если есть man? Поэтому практический экзамен за реальной системой всегда в этом плане предпочтительнее… Кроме того, практический экзамен менее подвержен проблеме дампов. Интересующихся сертификацией от Red Hat, отсылаю к своей статье, опубликованной в “Системном администраторе” в прошлом году.
Введение в “альтернативные” ОС на русском
За последнюю неделю две компании-производителя “альтернативных” операционных систем разродились вводными руководствами по своим операционным системам.
Во-первых это “Руководство по Windows Vista” на русском языке. Как сказано на сайте Microsoft: “В руководстве по Windows Vista содержится подробное описание иновационных возможностей и функций следующего поколения клиентских операционных систем Windows.”
Во-вторых компания Sun Microsystems опубликовала практическое руководство “Введение в операционные системы: практический подход в рамках проекта OpenSolaris”. Фактически это учебный курс, целью которого является изучение построения операционных систем с использованием кода ОС Solaris. Рассмотрен ряд тем, включая настройку зон, настройку ZFS и использование DTrace.
Спутниковая тарелка петровских времен
Вчера вернулся из поездки в “колыбель революции”. Когда проходил мимо “Пяти углов” по Загородному проспекту, заметил на одном из зданий спутниковую тарелку… Судя по внешнему виду, установлена она была сразу после окончания строительства дома и как минимум помнит двух-трех последних Российских царей…
Если по взгляду на первое фото вы подумали что речь идет о большой белой “тарелке”, то вот приближенное изображение:
Кстати, на одном из следующих зданий по направлению движения к Владимирскому проспекту (скорее всего это дом 7 или 5 по Загородному), на крыше тоже имеется забавная деталь. Видимо ее назначение как-то связанно с расположением в этом здании религиозной организации/церкви. Другое дело, как в этот колокол предполагается звонить? Вероятно, прямо над ним на крыше расположен какой-то люк.
Проблемы с хостингом и чтение курсов
Вчера минимум на десять часов моя домашняя страничка на www.markelov.net была недоступна. И хотя РБК-Хостинг прислал извещение, плюс сообщение о том, что «В качестве компенсации компания Хостинг-Центр РБК продляет срок действия Ваших услуг на 1 неделю», все равно неприятный осадок остался. Пользуюсь услугами хостинга РБК с 2003 года и из четырех случаев перебоев в оказании услуг, три произошли за последние пол-года. Настораживает, однако…
Самое неприятное, что мне именно сегодня понадобился ресурс, размещенный на моем же сайте – ссылка на транскрипт с номером инженерского сертификата, без которого установка класса на понедельник могла бы несколько усложниться… Хорошо, что в учебном центре сохранилась распечатка сертификата на котором есть номер. Нужно было только сдуть с рамки пыль :)
Статья про шифрование дисков в Red Hat Magazine
В новом году Red Hat Magazine переехал на новый сервер и новую CMS. Однако, из кучи заметок (за исключением новых статей из Knowledgebase), эта первая, которая мене показалась интересной. В статье обсуждается прошлое, настоящее и будущее шифрования дисков в Fedora: Cryptsetup, LUKS, шифрование swap-раздела. Также дается ссылка на патч mkinitrd, включающий в образ initrd поддержку шифрованной корневой системы (статья в Bugzilla 124789). Могу только присоединится к автору статьи в надежде, что вслед за патчем в mkinitrd появиться поддержка шифрования корневой ФС в Anaconda.