https://www.altlinux.org/api.php?action=feedcontributions&user=Manowar&feedformat=atomALT Linux Wiki - Вклад [ru]2024-03-29T09:35:40ZВкладMediaWiki 1.38.2https://www.altlinux.org/index.php?title=%D0%A0%D0%B0%D0%B1%D0%BE%D1%82%D0%B0_%D1%81_%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%D0%BC%D0%B8_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0&diff=60124Работа с ключами разработчика2022-04-21T11:33:58Z<p>Manowar: /* Отправка публичной части GPG-ключа */</p>
<hr />
<div>[[Категория:Devel]]<br />
[[Категория:Sisyphus]]<br />
При [[Процедура принятия в Team|приёме]] участник предоставляет два криптографических ключа, по которым он идентифицируется в дальнейшем. '''Берегите свои приватные ключи!'''<br />
<br />
При утере одного из ключей участник может заменить его, заверив вторым. При утрате обоих ключей участник обязан незамедлительно известить об этом принимающих. Его доступ в [[git.alt]] прекращается до восстановления ключей.<br />
<br />
Два ключа могут быть восстановлены либо посредством личной встречи с одним из принимающих, либо посылкой их письмом, заверенным ключом одного из участников ALT Linux Team. В последнем случае всю ответственность за дальнейшую безопасность репозитория несёт участник, заверивший ключи.<br />
<br />
== Создание SSH-ключа ==<br />
<br />
Если у вас нет SSH-ключа, то создать его можно, например, следующей командой:<br />
$ ssh-keygen [-t <тип ключа>] [-b <размер ключа (для RSA)>]<br />
(рекомендуется ключ ED25519, RSA >= 4096-bit)<br />
<br />
Ключ настоятельно рекомендуется сделать с паролем. Для упрощения работы с ключами с паролями можно воспользоваться [[SSH|SSH-агентом]].<br />
<br />
Публичная часть ключа — файл <tt>~/.ssh/id_ed25519.pub</tt> для ED25519-ключа или <tt>~/.ssh/id_rsa.pub</tt> для RSA-ключа.<br />
<br />
== Создание GPG-ключа ==<br />
<br />
Создать новый GPG-ключ можно командой<br />
$ gpg --gen-key<br />
В процессе ответа на вопросы выберите тип ключа — RSA и RSA (можно выбрать RSA (sign only), но тогда этот ключ будет непригоден для шифрования), размер — не менее 4096 bit. В качестве email укажите <tt>псевдоним@altlinux.org</tt>. Где <tt>псевдоним</tt> - это тот псевдоним, под которым вы хотите быть в ALT Linux Team (желательно только латинские буквы нижнего регистра).<br />
Все входные данные для <tt>gpg --gen-key</tt> должны быть указаны в ASCII.<br />
<br />
== Модификация существующего GPG-ключа ==<br />
<br />
Проверьте, что тип ключа — RSA, размер не менее 4096bit. Добавьте идентификатор в ключ с помощью команд<br />
$ gpg --edit-key <key id><br />
Command> adduid<br />
Укажите своё имя и email вида <tt>псевдоним@altlinux.org</tt>, после чего сохраните изменения<br />
Command> save<br />
<br />
== Отправка публичной части GPG-ключа ==<br />
Экспортируйте публичную часть ключа для отправки:<br />
$ gpg --armor --export псевдоним@altlinux.org<br />
<br />
Обратите внимание: может быть экспортировано ''несколько'' ключей с одним uid (email), а требуется ''один'' ключ; в подобном случае (например, после редактирования) удалите лишние ключи из связки перед экспортом:<br />
<br />
$ gpg --delete-key старый/ключ<br />
<br />
Если же нужно убрать ''подключ'', то сделать это можно непосредственно в процессе экспорта, воспользовавшись функцией фильтрации, которая есть в GnuPG v2. Например:<br />
<br />
$ gpg2 --export-filter 'drop-subkey=usage !~ e' --export --armor псевдоним@altlinux.org<br />
<br />
отфильтрует подключ для шифрования.<br />
<br />
== Обновление существующего GPG-ключа в пакете alt-gpgkeys==<br />
Для замены просроченного или недействительного ключа, используемого для подписи пакетов, необходимо клонировать последнюю актуальную сборку пакета [http://git.altlinux.org/gears/a/alt-gpgkeys.git alt-gpgkeys.git], обновить в нём свой ключ и выложить модифицированную версию на git.alt в своё личное пространство (private repo) — этим вы подтверждаете аутентичность модификации. Далее необходимо (пере-)открыть заявку на пакет (компонент) alt-gpgkeys для продукта Sisyphus в [https://bugzilla.altlinux.org/enter_bug.cgi?product=Sisyphus багзилле] и ждать реакции мэйнтейнера.<br />
<br />
Также можно приложить новый ключ, экспортированный в текстовый файл, к заявке.<br />
<br />
== Обновление SSH-ключа==<br />
Для обновления SSH ключа (в случае, если он не был скомпрометирован), используемого для доступа к git.alt, можно воспользоваться процедурой, аналогичной обновлению GPG ключа - создать специальный репозиторий на git.alt (например, git.alt:private/ssh-key.git) в своём личном пространстве и выложить в нем новый ключ. Этим вы подтверждаете аутентичность модификации. После этого необходимо открыть заявку в [https://bugzilla.altlinux.org Bugzilla] на компонент '''alt-gpgkeys''' для продукта '''Sisyphus''' со ссылкой на созданный репозиторий. В случае, если одновременно обновляются SSH и GPG ключи, ссылку на SSH ключ можно дать в одной заявке с GPG.<br />
<br />
=== dsa ключи ===<br />
<br />
Начиная с версии 7.1p1 ssh-client отказывается работать с ssh-dss:<br />
<br />
[https://lists.altlinux.org/pipermail/sisyphus/2016-January/364679.html Обновление ssh от 13.01.16]<br />
<br />
рекомендуется обновить ключ, либо включить поддержку ssh-dss в конфигурации своего клиента, как указано в сообщении об обновлении ssh.<br />
<br />
== Ссылки ==<br />
* [http://www.opennet.ru/docs/RUS/gph/ch01.html Быстрый старт] с gpg-ключами на opennet (генерация новой пары ключей, обмен ключами, шифрование, цифровые подписи и их проверка).<br />
* [http://www.opennet.ru/docs/RUS/gph/ch03.html Управление ключами] там же (управление вашей парой ключей, проверка достоверности ключей, распространение ключей).<br />
{{Category navigation|title=Team|category=Team|sortkey=*}}</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%93%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0&diff=57337Главная страница2021-11-23T12:13:17Z<p>Manowar: Мета-ссылка на канал в Matrix</p>
<hr />
<div>__NOTOC__<br />
<br />
[[Изображение:Gnome-media-optical.svg]] '''[[Пользователю]]''' &nbsp;<br />
[[Изображение:Gnome-preferences-system.svg]] '''[[Sysadmin|Системному администратору]]''' &nbsp;<br />
[[Изображение:Gnome-applications-development.svg]] '''[[Sisyphus|Разработчику]]''' &nbsp;<br />
[[Изображение:Migration.png]] '''[[Миграция]]''' &nbsp;<br />
<span class="plainlinks" style="background-color: #ffc905; padding: 12px 16px; font-weight: bold;border-radius: 5px;">[https://getalt.org ЗАГРУЗИТЬ «АЛЬТ»]</span><br />
<br />
----<br />
{| style="float: right;"<br />
|-<br />
|<br />
<br />
{| style="border:1px solid #AAA; background:#F9F9FF; width:250px; margin: 0 0 1em 1em; padding:.2em; text-align:left; " class=noprint<br />
|-<br />
|[[Изображение:ru.png|right]]<br />
* '''[[:en:Main Page|English]]'''<br />
* '''[[:uk:Main Page|Українська]]'''<br />
----<br />
* [[Статистика wiki]]<br />
<!-- * [http://altlinux.com.br/wiki/ Português] --><br />
|}<br />
<br />
{| style="border:1px solid #AAA; background:#F9F9FF; width:250px; margin: 0 0 1em 1em; padding:.2em; text-align:left; " class=noprint<br />
|-<br />
|<br />
'''Выпуски'''<br />
* [[Образование]]<br />
* [[Workstation]]<br />
* [[Simply Linux]]<br />
* [[KWorkstation]]<br />
* [[Starterkits]]<br />
* [[Rescue]]<br />
* [[Releases|все]] | [[Releases/Download|скачать]]<br />
'''Популярные страницы'''<br />
* [[Install|Установка и обновление программ]]<br />
* [[Write|Запись на DVD и USB Flash]]<br />
* [[Su|Как получить права суперпользователя]]<br />
* [[Эльбрус]]<br />
|}<br />
<!--<br />
{| style="border:4px solid #0F9528;background:#E3FFC7;width:200px; margin: 0 0 1em 1em; padding:.2em; text-align:left;border-radius: 9px;float:right;" class=noprint<br />
|-<br />
|<br />
<center>[[Image:Bug-slanted.png]]<br />
'''17 сентября 2011 года, суббота'''<br />
----<br />
[[BugDay|Cубботник по исправлению ошибок]]</center><br />
|}<br />
--><br />
|}<br />
<br />
[[Изображение:Gnome-stock_person.svg]] '''Об ALT Linux'''<br />
* [[ALT Linux Team]] (команда ALT Linux)<br />
* [[Sisyphus|Сизиф]] ([[Что такое Sisyphus?]]) — см. тж. [[Changes|метеосводку]]<br />
* [https://docs.altlinux.org Документация ALT Linux Team/Базальт СПО]<br />
* [[Компания «Альт Линукс»]]<br />
* [[Компания «Базальт СПО»]]<br />
* [https://www.basealt.ru/products/ Покупка дистрибутивов]<br />
* [[FAQ|Часто задаваемые вопросы и ответы на них]] (FAQ)<br />
* [[Обновление ОС]] (тоже FAQ :)<br />
* [[Features|Особенности операционной системы ALT Linux]]<br />
* [[BugTracking|Сообщить об ошибке]]<br />
<br />
[[Изображение:Internet-group-chat.svg]] '''Общение'''<br />
* [[MailingLists|Списки рассылки]]<br />
* [http://forum.altlinux.org/ Форум]<br />
* [https://telegram.me/alt_linux Telegram]<br />
* Matrix (Element, Nheko): [https://matrix.to/#/#altlinux-ru:matrix.org #altlinux-ru:matrix.org]<br />
<!--* [http://planet.altlinux.org/ Планета] (блоги)--><br />
* [https://vk.com/altlinux ВКонтакте] (+[https://vk.com/simplylinux Simply]), [https://www.facebook.com/groups/136328550579/ Facebook]<br />
* [[IRC|IRC]]<br />
* [[Contacts|Контакты]]<br />
<br />
[[Image:Applications-graphics.svg]] '''Медиа'''<br />
* [[Логотипы]]<br />
* [[Журнал ALT-review]]<br />
<br />
[[Изображение:Compat.png]] '''Совместимость'''<br />
* [[HCL|Совместимое оборудование]]<br />
* [[:Категория:Enterprise Software|Совместимость стороннего программного обеспечения]]<br />
<br />
<br />
[[Категория:ALT Linux|*]]<br />
<br />
[[en:Main Page]]<br />
[[uk:Main Page]]<br />
<!-- [[pt:Página_principal]]--></div>Manowarhttps://www.altlinux.org/index.php?title=%D0%93%D0%BB%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F_%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B8%D1%86%D0%B0&diff=57336Главная страница2021-11-23T12:09:22Z<p>Manowar: Riot is dead</p>
<hr />
<div>__NOTOC__<br />
<br />
[[Изображение:Gnome-media-optical.svg]] '''[[Пользователю]]''' &nbsp;<br />
[[Изображение:Gnome-preferences-system.svg]] '''[[Sysadmin|Системному администратору]]''' &nbsp;<br />
[[Изображение:Gnome-applications-development.svg]] '''[[Sisyphus|Разработчику]]''' &nbsp;<br />
[[Изображение:Migration.png]] '''[[Миграция]]''' &nbsp;<br />
<span class="plainlinks" style="background-color: #ffc905; padding: 12px 16px; font-weight: bold;border-radius: 5px;">[https://getalt.org ЗАГРУЗИТЬ «АЛЬТ»]</span><br />
<br />
----<br />
{| style="float: right;"<br />
|-<br />
|<br />
<br />
{| style="border:1px solid #AAA; background:#F9F9FF; width:250px; margin: 0 0 1em 1em; padding:.2em; text-align:left; " class=noprint<br />
|-<br />
|[[Изображение:ru.png|right]]<br />
* '''[[:en:Main Page|English]]'''<br />
* '''[[:uk:Main Page|Українська]]'''<br />
----<br />
* [[Статистика wiki]]<br />
<!-- * [http://altlinux.com.br/wiki/ Português] --><br />
|}<br />
<br />
{| style="border:1px solid #AAA; background:#F9F9FF; width:250px; margin: 0 0 1em 1em; padding:.2em; text-align:left; " class=noprint<br />
|-<br />
|<br />
'''Выпуски'''<br />
* [[Образование]]<br />
* [[Workstation]]<br />
* [[Simply Linux]]<br />
* [[KWorkstation]]<br />
* [[Starterkits]]<br />
* [[Rescue]]<br />
* [[Releases|все]] | [[Releases/Download|скачать]]<br />
'''Популярные страницы'''<br />
* [[Install|Установка и обновление программ]]<br />
* [[Write|Запись на DVD и USB Flash]]<br />
* [[Su|Как получить права суперпользователя]]<br />
* [[Эльбрус]]<br />
|}<br />
<!--<br />
{| style="border:4px solid #0F9528;background:#E3FFC7;width:200px; margin: 0 0 1em 1em; padding:.2em; text-align:left;border-radius: 9px;float:right;" class=noprint<br />
|-<br />
|<br />
<center>[[Image:Bug-slanted.png]]<br />
'''17 сентября 2011 года, суббота'''<br />
----<br />
[[BugDay|Cубботник по исправлению ошибок]]</center><br />
|}<br />
--><br />
|}<br />
<br />
[[Изображение:Gnome-stock_person.svg]] '''Об ALT Linux'''<br />
* [[ALT Linux Team]] (команда ALT Linux)<br />
* [[Sisyphus|Сизиф]] ([[Что такое Sisyphus?]]) — см. тж. [[Changes|метеосводку]]<br />
* [https://docs.altlinux.org Документация ALT Linux Team/Базальт СПО]<br />
* [[Компания «Альт Линукс»]]<br />
* [[Компания «Базальт СПО»]]<br />
* [https://www.basealt.ru/products/ Покупка дистрибутивов]<br />
* [[FAQ|Часто задаваемые вопросы и ответы на них]] (FAQ)<br />
* [[Обновление ОС]] (тоже FAQ :)<br />
* [[Features|Особенности операционной системы ALT Linux]]<br />
* [[BugTracking|Сообщить об ошибке]]<br />
<br />
[[Изображение:Internet-group-chat.svg]] '''Общение'''<br />
* [[MailingLists|Списки рассылки]]<br />
* [http://forum.altlinux.org/ Форум]<br />
* [https://telegram.me/alt_linux Telegram]<br />
* [matrix] (Element, Nheko) #altlinux-ru:matrix.org<br />
<!--* [http://planet.altlinux.org/ Планета] (блоги)--><br />
* [https://vk.com/altlinux ВКонтакте] (+[https://vk.com/simplylinux Simply]), [https://www.facebook.com/groups/136328550579/ Facebook]<br />
* [[IRC|IRC]]<br />
* [[Contacts|Контакты]]<br />
<br />
[[Image:Applications-graphics.svg]] '''Медиа'''<br />
* [[Логотипы]]<br />
* [[Журнал ALT-review]]<br />
<br />
[[Изображение:Compat.png]] '''Совместимость'''<br />
* [[HCL|Совместимое оборудование]]<br />
* [[:Категория:Enterprise Software|Совместимость стороннего программного обеспечения]]<br />
<br />
<br />
[[Категория:ALT Linux|*]]<br />
<br />
[[en:Main Page]]<br />
[[uk:Main Page]]<br />
<!-- [[pt:Página_principal]]--></div>Manowarhttps://www.altlinux.org/index.php?title=Girar/girar-nmu&diff=56696Girar/girar-nmu2021-10-19T14:41:18Z<p>Manowar: /* girar-nmu-task-add */ -t — это тэг, task_id — это -a</p>
<hr />
<div>{{DISPLAYTITLE:girar/girar-nmu}}<br />
[[Категория:Справочники]]<br />
<br />
Upstream-ный репозиторий --- http://git.altlinux.org/people/viy/girar-nmu.git [https://lists.altlinux.org/pipermail/devel/2015-November/200351.html]; собирается в [[Sisyphus]] как пакет {{pkg|girar-nmu}}.<br />
<br />
<br />
__TOC__<br />
<br />
== Знакомство с утилитами girar-nmu ==<br />
<br />
утилиты предназначены для проведения NMU.<br />
<br />
=== утилиты общего назначения. ===<br />
<br />
Опции:<br />
* {{cmd|-b rpm репозиторий}}, например, {{cmd|-b 5.1}}. По умолчанию {{cmd|sisyphus}}.<br />
* {{cmd|-d локальная ветвь git}}. Позволяет менять имя используемой локальной ветви git <br />
для тех команд, где это имеет смысл.<br />
<br />
==== girar-get-upload-method <name> ====<br />
<br />
Позволяет быстро узнать, как нужно заливать указанный пакет:<br />
через src.rpm или через git tag в git/gear репозитории.<br />
<br />
Примеры:<br />
<br />
$ girar-get-upload-method xmms <br />
srpm<br />
<br />
$ girar-get-upload-method -b p5 hplip<br />
git<br />
<br />
В обычном режиме, если имя пакета не найдено в репозитории, выводится srpm.<br />
Код возврата 0 (TRUE) если git, иначе код возврата >0 (FALSE).<br />
С опцией -v можно узнать дополнительные подробности, в частности,встречалось<br />
ли ранее данное имя в истории репозитория.<br />
<br />
Есть отдельный режим 'missing-mode', который включается опциями <tt>-m|--missing|--show-missing</tt>.<br />
В этом режиме, если имя пакета не найдено,выводится строка missing.<br />
Код возврата 0 (TRUE) если git, 2 если srpm, 4 если missing.<br />
<br />
<br />
Пример:<br />
$ girar-get-upload-method --missing python<br />
git<br />
<br />
$ girar-get-upload-method --missing python14<br />
missing<br />
<br />
==== girar-fetch-build-commit ====<br />
<br />
Удобна, когда на ваш пакет сделан NMU и чужой NMU commit нужно втянуть<br />
в ваш репозиторий. По умолчанию, за имя локальной ветки<br />
берется имя rpm репозитория (sisyphus или значение опции -b).<br />
<br />
Пример:<br />
hplip.git $ girar-fetch-build-commit <br />
From git://git.altlinux.org/gears/h/hplip<br />
1359385..1970106 sisyphus -> sisyphus<br />
<br />
==== girar-clone-build-commit <name> ====<br />
<br />
Клонирует репозиторий для name с git://git.altlinux.org/gears/,<br />
Устанавливает локальную ветвь git (по умолчанию master) на <br />
последний build commit.<br />
<br />
==== girar-print-build-commit <name> ====<br />
<br />
Удобна для работы совместно с командой git.alt check-git-inheritance.<br />
girar-task check-git-inheritance <task_id> <subtask_number> disable `girar-print-build-commit <name>`<br />
<br />
=== утилиты для вычисления списка файлов на NMU и порядка сборки. ===<br />
<br />
==== girar-nmu-sort-transaction ====<br />
* https://lists.altlinux.org/pipermail/devel/2014-December/199334.html<br />
* https://lists.altlinux.org/pipermail/devel/2012-January/193169.html<br />
<br />
=== утилиты для подготовки NMU. ===<br />
<br />
Эти утилиты принимают либо список путей к файлам, либо список %{NAME} src.rpm файлов.<br />
<br />
==== утилиты для преобразования списков имен в файлы и наоборот ====<br />
<br />
Утилита {{cmd|girar-nmu-helper-name2path}} позволяет преобразовать<br />
список имен в список путей к файлам.<br />
girar-nmu-helper-name2path /path/to/files/SRPMS `cat names.txt` > files.txt<br />
Обратное преобразование можно выполнить так:<br />
rpmquery --queryformat '%{NAME}\n' -p `cat files.txt` > names.txt<br />
<br />
Эти утилиты универсальные, так как работают напрямую с rpm, минуя индексы.<br />
Поэтому же они и достаточно медленные.<br />
<br />
Если NMU проводится на пакеты в репозитории ALTLinux, то гораздо быстрее будут<br />
специализированные утилиты из [[Sisyphus/Tools/Repolist]].<br />
<br />
==== girar-nmu-prepare ====<br />
<br />
{{cmd|girar-nmu-prepare}} является основной утилитой пакета girar-nmu. Её простейший вызов выглядит так:<br />
girar-nmu-prepare `cat files.txt`<br />
Если же удобнее работать с именами, то необходимо указать путь к src.rpms опцией {{cmd|--srpmdir}}:<br />
girar-nmu-prepare --srpmdir /path/to/SRPMS `cat names.txt`<br />
Кроме ключей, общих с другими утилитами girar-nmu, {{cmd|girar-nmu-prepare}} поддерживает ряд ключей утилиты {{cmd|srpmnmu}}. <br />
Эта утилита еще в разработке, поэтому не все ключи документированы. Поддерживаемые ключи:<br />
* {{cmd|--changelog '- message'}}<br />
* {{cmd|--hook /path/to/hook}}. <br />
Пример<br />
girar-nmu-prepare --changelog '- rebuild with new perl' --hook ./perl_51x_fixes.pl --srpmdir /path/to/SRPMS `cat names.txt`<br />
Опцию {{cmd|--hook}} можно повторять несколько раз. Эта опция позволяет подгрузить программу на perl, которая выполнит над spec файлом<br />
дополнительные преобразования, такие как переименование макросов, изменение и добавление Requires и BuildRequires и т. д.<br />
Эти программы используют встроенный язык манипуляций спек-файлами, введение в который находится на странице [[Packaging Automation/Embedded Language]]. По вопросам написания такой программы обращайтесь к viy@.<br />
<br />
Для каждого src.rpm файла (или его name) указанного в качестве аргумента, {{cmd|girar-nmu-prepare}} определяет тип заливки,<br />
srpm или git tag; клонирует при необходимости git репозиторий пакета; вызывает утилиту {{cmd|srpmnmu}} над src.rpm файлом пакета<br />
или SPEC файлом в git репозитории пакета. Результат складируется <br />
как {{path|OUT.gits/name.git}} для пакетов, собираемых по git тегу, либо {{path|OUT.SRPMS/name/name-version-nmurelease.src.rpm}}<br />
для пакетов, собираемых из src.rpm файлов.<br />
<br />
Полученные пакеты можно пересобрать локально с помощью {{cmd|girar-nmu-local-build}} и отправить в сборочницу с помощью<br />
{{cmd|girar-nmu-task-*}}.<br />
<br />
==== girar-nmu-local-build ====<br />
Утилита позволяет локально проверить на собираемость полученные NMU пакеты.<br />
<br />
{{cmd|girar-nmu-local-build}} работает с деревом каталогов, созданным {{cmd|girar-nmu-prepare}}, поэтому ее надо<br />
либо запускать в том же каталоге, что и {{cmd|girar-nmu-prepare}}, либо явно указывать нужный путь в опциях {{cmd|-S}} и {{cmd|-G}}.<br />
<br />
В примерах предполагается, что у вас уже настроен hasher, например,<br />
$ cat ~/.hasher/config<br />
workdir=/tmp/hasher<br />
packager="`rpm --eval %packager`"<br />
known_mountpoints=/proc<br />
иначе опции hsh придется указывать после {{cmd|--}}, см. {{cmd|man girar-nmu-local-build}}.<br />
<br />
Для разных типов транзакций утилиту надо вызывать по-разному.<br />
Если все пакеты будут собираться в строгой очередности в одном task, то<br />
нужна опция hasher'а {{cmd|--with-stuff}} и вызов будет иметь вид<br />
girar-nmu-local-build `cat names.txt` -- hsh --with-stuff --apt-config=/etc/apt/apt.conf.SS<br />
Если же пакеты будут собираться независимо, в разных task, то {{cmd|--with-stuff}} не нужна,<br />
и можно добавить опцию {{cmd|-f}}, чтобы не останавливать пересборку из-за несобравшихся пакетов.<br />
В этом случае вызов имеет вид <br />
girar-nmu-local-build -f `cat names.txt` -- hsh --apt-config=/etc/apt/apt.conf.SS<br />
или, если настроен {{path|~/.hasher/config}}, то можно просто<br />
girar-nmu-local-build -f `cat names.txt`<br />
<br />
По результатам тестовой пересборки в дерево, созданное {{cmd|girar-nmu-prepare}}, можно вносить изменения: <br />
добавлять коммиты в git репозитарии вручную и замещать сгенерированные src.rpm исправленными.<br />
<br />
=== утилиты для заливки NMU пакетов на сборку. ===<br />
<br />
Эти утилиты работают с деревом каталогов, созданным {{cmd|girar-nmu-prepare}}, поэтому их надо<br />
либо запускать в том же каталоге, что и {{cmd|girar-nmu-prepare}}, либо явно указывать нужный путь в опциях {{cmd|-S}} и {{cmd|-G}}.<br />
<br />
==== girar-nmu-task-add ====<br />
<br />
girar-nmu-task-add [-a taskid] `cat names.txt`<br />
Добавляет пакеты, подготовленные с помощью {{cmd|girar-nmu-prepare}}, на сборку в указанный task.<br />
Полученный task надо запустить на сборку вручную с помощью<br />
ssh git.alt task run<br />
<br />
==== girar-nmu-task-for-each ====<br />
girar-nmu-task-for-each `cat names.txt`<br />
В отличие от {{cmd|girar-nmu-task-add}}<br />
запускает на сборку пакеты автоматически каждый пакет в отдельной task.<br />
<br />
==== Основные опции: ====<br />
* {{cmd|-t task ID}}.<br />
* {{cmd|-H git.alt alias}}. По умолчанию, {{cmd|git.alt}}.<br />
* -n | -g | -r. Опции подписывания rpm пакетов. По умолчанию, -g (использовать gpg agent).<br />
-g) использовать gpg agent (внутренняя обвязка rpm-sign-gpg-agent)<br />
-n) если нет gpg agent, но ключ без passphrase - (внутренняя обвязка rpm-sign-no-passphrase)<br />
-r) использовать обычный rpm --sign, требует постоянного ввода ключа с клавиатуры.<br />
<br />
* {{cmd|-p git repository prefix}}. По умолчанию, {{cmd|00-tmp-}}.<br />
<br />
==== особенности сборки из git ====<br />
00-tmp- -- это префикс по умолчанию, (можно поменять опцией -p)<br />
который добавляется перед именем временного git репозитория,<br />
из которого будет производиться сборка.<br />
Этот временный репозиторий создается прямо перед добавлением пакета в task и '''сразу же''' удаляется.<br />
<br />
Поверьте, вам этот временный репозиторий не нужен.<br />
Если сборка удалась, то изменения вы втянете, запустив {{cmd|girar-fetch-build-commit}}<br />
или, при желании, руками из <br />
{{path|git://git.altlinux.org/gears/${name:0:1}/${name}.git refs/heads/sisyphus}};<br />
если же сборка не удалась, то они и не нужны.<br />
<br />
Почему удалять?<br />
<br />
* иначе у майнтайнера на 100-м -- 200-м пакете кончится дисковая квота на git.alt.<br />
* иначе каталог майнтайнера на git.alt, который делал nmu, засоряется машинным генератом.<br />
<br />
Почему префикс?<br />
<br />
* чтобы случайно не испортить на git.alt рабочий репозиторий.<br />
* чтобы на git.alt легко отличать, где рабочие репозитории,а где машинный генерат.<br />
<br />
==== внутренние утилиты подписывания rpm пакетов ====<br />
NMU часто требуют подписывать сотни пакетов.<br />
Для git тегов спасает [[Настройка gpg-agent|gpg agent]], но rpm не умеет с ним работать напрямую.<br />
Чтобы не отсохли руки вводить pass phrase, в состав girar-nmu включены обвязки<br />
rpm-sign-gpg-agent и rpm-sign-no-passphrase.<br />
Эти обвязки вызываются утилитами автоматически<br />
и наружу не видны, кроме как в виде опций,<br />
но их можно использовать и как самостоятельные приложения.<br />
<br />
Использование:<br />
rpm-sign-gpg-agent <--addsign | --resign> *.src.rpm<br />
<br />
{{cmd|rpm-sign-gpg-agent}} заставляет rpm использовать gpg agent для подписи.<br />
{{cmd|rpm-sign-no-passphrase}} удобен для удаленной работы.<br />
Когда вы заходите на удаленную песочницу, ваш gpg agent<br />
остается на локальной машине. Если ключ с пассфразой,<br />
то никуда не деться, надо настраивать локальный gpg agent.<br />
Но если пассфразы нет, gpg agent не нужен.<br />
Но rpm все равно попросит нажать Enter.<br />
так вот, {{cmd|rpm-sign-no-passphrase}} нажмет Enter за вас.<br />
<br />
==== внутренние утилиты для заливки srpm на сборку. ====<br />
Утилиты {{cmd|girar-nmu-helper-*}} изначально были предназначены для внутреннего употребления и продвинутых пользователей.<br />
Однако многими из них можно пользоваться и независимо от {{cmd|girar-nmu-prepare}}. <br />
Приведенные ниже утилиты позволяют полностью автоматизировать отправку srpm на сборку в incoming.<br />
<br />
Добавить указанные src.rpm пакеты в task:<br />
girar-nmu-helper-task-add-srpm *.src.rpm<br />
Собрать указанные src.rpm пакеты для 5.1 каждый в своей собственной task:<br />
girar-nmu-helper-task-for-each-srpm -b 5.1 *.src.rpm<br />
<br />
названия утилит достаточно длинные, для регулярного использования советую сразу объявить для них alias.<br />
<br />
== Использование girar-nmu utils на примере обновления perl ==<br />
<br />
План следующий:<br />
I. Получаем список пакетов, сортируем транзакцию.<br />
II. Готовим новые версии.<br />
III. Добавляем в task.<br />
<br />
girar-nmu-sort-transaction --mark '^libperl\.so\.5\.' \<br />
/Sisyphus/files/SRPMS /Sisyphus/files/noarch/RPMS /Sisyphus/files/i586/RPMS | \<br />
grep -v '^perl$' > names.txt<br />
<br />
girar-nmu-helper-name2path /Sisyphus/files/SRPMS `cat names.txt` > files.txt<br />
girar-nmu-prepare --changelog '- rebuild with new perl' --hook ./perl_510_upgrade.pl `cat files.txt`<br />
girar-nmu-local-build `cat names.txt` -- hsh --with-stuff<br />
<br />
ssh git.alt task new<br />
ssh git.alt task add repo perl.git <tag name><br />
girar-nmu-task-add `cat names.txt`<br />
ssh git.alt task run<br />
<br />
== Использование girar-nmu utils на примере ручных точечных обновлений по сообщениям repocop ==<br />
<br />
=== пример 1 ===<br />
Есть python-module-pybox2d-2.3.2-alt1.diff от repocop.<br />
<br />
Сначала узнаем, как заливался пакет.<br />
Для этого есть команда <br />
$ girar-get-upload-method python-module-pybox2d<br />
srpm<br />
<br />
$ rpm -i /var/ftp/pub/Linux/ALT/Sisyphus/files/SRPMS/python-module-pybox2d-2.3.2-alt1.src.rpm<br />
<br />
$ add_changelog pybox2d.spec<br />
<br />
$ hashertarbuild -bs pybox2d.spec<br />
Записан: /home/igor/src/RPM/SRPMS/python-module-pybox2d-2.3.2-alt1.1.src.rpm<br />
$ girar-nmu-helper-task-for-each-srpm ../SRPMS/python-module-pybox2d-2.3.2-alt1.1.src.rpm <br />
spawn rpm --define __gpg_check_password_cmd /bin/true --define __gpg_sign_cmd %{__gpg} --batch --no-verbose --no-armor --use-agent --no-secmem-warning -u '%{_gpg_name}' -sbo %{__signature_filename} %{__plaintext_filename} --resign ../SRPMS/python-module-pybox2d-2.3.2-alt1.1.src.rpm<br />
Введите ключевую фразу: <br />
Ключевая фраза принята.<br />
../SRPMS/python-module-pybox2d-2.3.2-alt1.1.src.rpm:<br />
<br />
Необходима фраза-пароль для доступа к секретному ключу пользователя:<br />
[...]<br />
sending incremental file list<br />
python-module-pybox2d-2.3.2-alt1.1.src.rpm<br />
[...]<br />
new task #194665: owner=viy repo=sisyphus<br />
task #194665: added #100: build srpm python-module-pybox2d-2.3.2-alt1.1.src.rpm<br />
task #194665: try #1 is AWAITING, result will be emailed to viy@altlinux.org<br />
<br />
<br />
$ girar-get-upload-method wesnoth<br />
git<br />
<br />
cd wesnoth.git<br />
$ wget https://downloads.sourceforge.net/project/wesnoth/wesnoth/wesnoth-1.13.10/wesnoth-1.13.10.tar.bz2<br />
<br />
$ gear-update ./wesnoth-1.13.10.tar.bz2 wesnoth<br />
<br />
<br />
{{Category navigation|title=Автоматизация работы с пакетами|category=Packaging Automation}}<br />
{| class="wide"<br />
| Разработано при поддержке [http://www.fasie.ru/ Фонда содействия развитию МП НТС] в рамках НИОКР 01201066526<br />
| [[Изображение:Logo_FASIE_preview.jpg|200px|rigft]]<br />
|}</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5:Watch&diff=56223Обсуждение:Watch2021-09-14T09:56:32Z<p>Manowar: Ссылка на баг</p>
<hr />
<div>==copy: debian/watch==<br />
А что если я хочу просто копировать {{path|debian/watch}}, имея debian/ в исходном Git-репозитории, без лишних затрат?<br />
<br />
{{path|.gear/rules}}:<br />
<br />
copy: debian/watch<br />
<br />
не даст желаемого результата, потому что имя файла не такое, как тут советуется (будет просто {{path|watch}} в моём .src.rpm)?<br />
<br />
Нельзя адаптировать обработку и для таких watch-файлов? (https://bugzilla.altlinux.org/show_bug.cgi?id=32521 на {{pkg|perl-RPM-Source-Editor}}) --[[Участник:IvanZakharyaschev|imz]] 18:06, 23 сентября 2016 (MSK)<br />
<br />
----<br />
<br />
На странице ничего не сказано о том, как и можно ли настроить оповещения о выходе новых версий по электронной почте. А если напоминаний по почте нет, то вся инфраструктура watch представляется мне бесполезной... --[[Участник:Manowar|Manowar]] ([[Обсуждение участника:Manowar|обсуждение]]) 09:44, 14 сентября 2021 (UTC)<br />
<br />
----<br />
<br />
Полностью с вами согласен. Вся остальная инфраструктура у нас имеет почтовый интерфейс в т. ч. как движок уведомлений, иногда это интерфейс единственный, но самый нужный инструмент мейнтейнера в почту почему-то не умеет. Надо, наверное, связаться с viy@ по этому поводу или просто сделать вариант реализации и предложить ему. --[[Участник:ArsenyMaslennikov|ArsenyMaslennikov]] ([[Обсуждение участника:ArsenyMaslennikov|обсуждение]]) 09:49, 14 сентября 2021 (UTC)<br />
<br />
----<br />
<br />
https://bugzilla.altlinux.org/40913 --[[Участник:Manowar|Manowar]] ([[Обсуждение участника:Manowar|обсуждение]]) 09:56, 14 сентября 2021 (UTC)</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5:Watch&diff=56221Обсуждение:Watch2021-09-14T09:44:24Z<p>Manowar: Как настроить оповещения о выходе новых версий по электронной почте?</p>
<hr />
<div>==copy: debian/watch==<br />
А что если я хочу просто копировать {{path|debian/watch}}, имея debian/ в исходном Git-репозитории, без лишних затрат?<br />
<br />
{{path|.gear/rules}}:<br />
<br />
copy: debian/watch<br />
<br />
не даст желаемого результата, потому что имя файла не такое, как тут советуется (будет просто {{path|watch}} в моём .src.rpm)?<br />
<br />
Нельзя адаптировать обработку и для таких watch-файлов? (https://bugzilla.altlinux.org/show_bug.cgi?id=32521 на {{pkg|perl-RPM-Source-Editor}}) --[[Участник:IvanZakharyaschev|imz]] 18:06, 23 сентября 2016 (MSK)<br />
<br />
----<br />
<br />
На странице ничего не сказано о том, как и можно ли настроить оповещения о выходе новых версий по электронной почте. А если напоминаний по почте нет, то вся инфраструктура watch представляется мне бесполезной... --[[Участник:Manowar|Manowar]] ([[Обсуждение участника:Manowar|обсуждение]]) 09:44, 14 сентября 2021 (UTC)</div>Manowarhttps://www.altlinux.org/index.php?title=Alterator/JSON&diff=47462Alterator/JSON2020-01-14T10:10:53Z<p>Manowar: Описание</p>
<hr />
<div>Пакет {{pkg|alterator-bro}} — специальный модуль Альтератора, в котором реализована трансляция JSON в woo и обратно. С помощью этого модуля программа может использовать [[Alterator-ahttpd-server|ahttpd]] как единую точку доступа к бакендам по протоколу HTTPS и обмениваться данными в формате JSON вместо Scheme. Для разработки на JavaScript в комплект поставки уже входит библиотека {{prg|bro.js}}. Пример программы и описание API {{prg|bro.js}} есть в пакете {{pkg|alterator-bro-demo}}.<br />
<br />
[[Категория:Alterator]]</div>Manowarhttps://www.altlinux.org/index.php?title=Alterator&diff=47461Alterator2020-01-14T09:51:17Z<p>Manowar: /* Разное */ Обмен в формате JSON</p>
<hr />
<div>[[Category:Sisyphus]]<br />
[[en:Alterator]]<br />
'''Alterator''' — новое поколение платформ для разработки сложных систем. Используются по большей части [[Scheme]], C и старый добрый sh+awk. На данный момент используется как [[Installer|инсталлятор]] и конфигуратор системы. Копия части этой документации содержится в пакете [http://sisyphus.ru/srpm/alterator alterator]. <br />
<br />
<!-- Для обсуждения вопросов, связанных с alterator, существует список рассылки {{lists|devel-conf}}. => уехало в devel@ // mike@ --><br />
<br />
=== Пользователю ===<br />
*[[Первое знакомство с альтератором]]<br />
*[[ЦУС]]<br />
<br />
=== Обращение к системным администраторам ===<br />
Наверняка в alterator недостаточно модулей для решения ваших задач. Каждый модуль состоит из бэкенда и интерфейса. Разработка интерфейса — это работа для программиста, но создать бэкенд вы вполне сможете. Бэкенд пишется на произвольном языке программирования по достаточно простым правилам. Имея бэкенд, при помощи интерфейса командной строки вы уже сразу же сможете использовать наработки в своих скриптах. Хороший бэкенд — это фиксация знаний и возможность повторного использования ваших наработок другими администраторами.<br />
Напишите в список рассылки или [https://bugzilla.altlinux.org/enter_bug.cgi?product=Sisyphus повесьте] предложение в bugzilla на компонент alterator в проекте Sisyphus — мы поможем сделать интерфейс.<br />
<br />
===Общие сведения===<br />
*[[Alterator/faq|Часто задаваемые вопросы]]<br />
*[[Alterator/debug|Отладка модулей]]<br />
*[[Alterator/todo|Книга жалоб и предложений]]<br />
*[[Alterator/releases|Выпуски]]<br />
<br />
=== Руководства ===<br />
*[[Alterator/module/first|Первый модуль]]<br />
*[[Alterator/module/structure|Структура модуля]]<br />
*[[Alterator/module/backend|Бэкенд]]<br />
*[[Alterator/module/interface|Интерфейс]]<br />
*[[Alterator/module/types|Автоматическая проверка данных]]<br />
*[[Alterator/module/debug|Отладка модулей]]<br />
*[[Alterator/module/testing|Тестирование модулей]]<br />
<br />
===Справочная информация===<br />
<br />
*[[Alterator/architecture|Архитектура]]<br />
<br />
*[[Alterator/libraries|Стандартные библиотеки scheme, предоставляемые alterator]]<br />
*[[Alterator/reserved|Зарезервированные имена]]<br />
*[[Alterator/woo|Функции для запроса бакендов]]<br />
*[[Alterator/form|Функции для работы с полями форм]]<br />
*[[Alterator/shell|Бэкенды на shell]]<br />
*[[Alterator/perl|Бэкенды на perl]]<br />
*[[Alterator/ruby|Бэкенды на ruby]]<br />
<br />
*[[Alterator/i18n|Интернационализация]]<br />
*[[Alterator/l10n|Локализация]]<br />
<br />
<br />
'''Lookout:'''<br />
*[[Alterator/evolution|Описание общей структуры документа lookout]]<br />
*[[Alterator/widgets|Краткий справочник по виджетам]]<br />
<br />
===Разное===<br />
*[[Alterator/objects|Объектная система alterator]]<br />
*[[Alterator/rfc|Протокол работы с бэкендами, черновик]]<br />
*[[Alterator/role-setup|Типичные тематические роли для альтератора]]<br />
*[http://uneex.cs.msu.su/uneex/SeminarALTerator/Conspect UNИX-конспект]<br />
*[[Alterator/html-validate|Проверка корректности html]]<br />
<br />
<br />
'''Конкретные модули'''<br />
*[[Alterator/AlteratorServices|alterator-services]]<br />
*[[Alterator/AlteratorX11|alterator-x11]]<br />
*[[Alterator/AlteratorXinetd|alterator-xinetd]]<br />
*[[Alterator/AlteratorLilo|alterator-lilo]]<br />
*[[Alterator/AlteratorNetIptables|alterator-net-iptables]]<br />
*[[Alterator/Alterator-net-domain|alterator-net-domain]]<br />
*[[:Категория:Модули_Alterator|Прочие модули Alterator]]<br />
<br />
'''Интересные проекты'''<br />
*[http://www.redhat.com/spacewalk/ SpaceWalk]<br />
*[http://www.openpegasus.org/ OpenPegasus]<br />
*[http://live.gnome.org/JsonGlib JsonGLIB]<br />
*[http://ex-parrot.com/~pdw/Mail-RFC822-Address.html регулярное выражение для валидации e-mail адреса]<br />
*[http://freesource.info/wiki/SergeyLebedev/EisSystem Проект единой информационной системы]<br />
<br />
'''Технические требования'''<br />
*[[Alterator/Выбор_DE|Выбор DE]]<br />
<br />
'''HTML, AJAX, BACKEND'''<br />
*[[Alterator/class_alterator-listbox|Таблица alterator-listbox]]<br />
*[[Alterator/class_test_and_btn|Поле ввода и кнопка "Добавить"]]<br />
*[[Alterator/catch_message|Обработка ошибок]]<br />
*[[Alterator/translate|Перевод в alterator-е]]<br />
*[[Alterator/JSON|Обмен в формате JSON]]<br />
<br />
== Настройка внешнего вида ==<br />
<br />
* [[Alterator/Appearance|Настройка внешнего вида Alterator]]<br />
<br />
=== См. также ===<br />
* <DPL><br />
namespace =<br />
titlematch = {{PAGENAME}}/%<br />
nottitlematch = {{PAGENAME}}/%/%<br />
mode = inline<br />
inlinetext=&nbsp;&bull;&#32;<br />
</DPL><br />
<br />
<br />
{{Category navigation|title=Alterator|category=Alterator|sortkey=*}}</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%93%D0%9E%D0%A1%D0%A2_%D0%B2_OpenSSL&diff=46634ГОСТ в OpenSSL2019-10-28T10:25:36Z<p>Manowar: control-скрипт</p>
<hr />
<div>== Поддержка шифрования по ГОСТ в OpenSSL ==<br />
<br />
Поддержка ГОСТ была добавлена в OpenSSL 1.0.0 сотрудниками "Криптоком".<ref>[https://archive.fo/sVgC http://www.cryptocom.ru/opensource/openssl100.html ГОСТ в OpenSSL 1.0.0]</ref><br />
<br />
1. Установите пакет с поддержкой ГОСТ:<br />
<br />
Для OpenSSL 1.0:<br />
apt-get install openssl-engines<br />
<br />
Для OpenSSL 1.1:<br />
apt-get install openssl-gost-engine<br />
<br />
2. Измените конфигурационный файл OpenSSL.<br />
<br />
Начиная с версии {{term|1.1.0.3.0.255.ge3af41d.p1-alt2}} в пакете {{pkg|openssl-gost-engine}} доступен control-скрипт для включения и выключения поддержки ГОСТ. Для включения достаточно ввести (от суперпользователя) команду:<br />
<br />
control openssl-gost enabled<br />
<br />
=== Старый способ ===<br />
<br />
Для этого создайте скрипт {{path|gost-for-openssl}} следующего содержания:<br />
<source lang="Bash"># Adapt OpenSSL for GOST cryptography support<br />
# See http://www.cryptocom.ru/products/openssl-1-config-en.html<br />
<br />
. shell-version<br />
. shell-ini-config<br />
<br />
shell_ini_config_prefix=""<br />
cfg="/etc/openssl/openssl.cnf"<br />
<br />
grep -q '^openssl_conf' $cfg || sed -i '1iopenssl_conf = openssl_def' $cfg<br />
<br />
subst 's/^default_md/#default_md/g' $cfg<br />
<br />
if [ $libshell_version -ge 3 ] ; then<br />
ini_config_set $cfg openssl_def engines engine_section<br />
ini_config_set $cfg engine_section gost gost_section<br />
ini_config_set $cfg gost_section engine_id gost<br />
ini_config_set $cfg gost_section default_algorithms ALL<br />
ini_config_set $cfg gost_section CRYPT_PARAMS id-Gost28147-89-CryptoPro-A-ParamSet<br />
else<br />
grep -q 'Gost' $cfg && exit<br />
cat >> $cfg << _EOF_<br />
[openssl_def]<br />
engines = engine_section<br />
<br />
[engine_section]<br />
gost = gost_section<br />
<br />
[gost_section]<br />
engine_id = gost<br />
default_algorithms = ALL<br />
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet<br />
_EOF_<br />
fi</source><br />
<br />
Запустите скрипт ([[Su|под правами root]]):<br />
<br />
sh gost-for-openssl<br />
<br />
3. Проверьте, доступны ли шифры ГОСТ для OpenSSL:<br />
<source lang="Bash">$ openssl ciphers|tr ':' '\n'|grep GOST<br />
GOST2001-GOST89-GOST89<br />
GOST94-GOST89-GOST89</source><br />
<br />
== Создание ключей ==<br />
<br />
1. Создаём закрытый ключ с алгоритмом ГОСТ-2001 ({{path|ca.key}}):<br />
<br />
<source lang="text" highlight="1">$ openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out ca.key</source><br />
<br />
2. Создаём сертификат на 365 дней ({{path|ca.cer}}):<br />
<br />
<source lang="text" highlight="1-2">$ openssl req -new -x509 -days 365 -key ca.key -out ca.cer \<br />
-subj "/C=RU/ST=Russia/L=Moscow/O=SuperPlat/OU=SuperPlat CA/CN=SuperPlat CA Root"</source><br />
<br />
3. Проверка сертификата ({{path|ca.cer}}):<br />
<br />
<source lang="text" highlight="1">$ openssl x509 -in ca.cer -text -noout<br />
Certificate:<br />
Data:<br />
Version: 3 (0x2)<br />
Serial Number:<br />
cc:54:ca:0b:b6:db:b0:3c<br />
Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001<br />
Issuer: C=RU, ST=Russia, L=Moscow, O=SuperPlat, OU=SuperPlat CA, CN=SuperPlat CA Root<br />
Validity<br />
Not Before: Oct 10 11:37:49 2016 GMT<br />
Not After : Oct 10 11:37:49 2017 GMT<br />
Subject: C=RU, ST=Russia, L=Moscow, O=SuperPlat, OU=SuperPlat CA, CN=SuperPlat CA Root<br />
Subject Public Key Info:<br />
Public Key Algorithm: GOST R 34.10-2001<br />
Public key:<br />
X:F02426CE38041BC250153A86DB138FB6B7CCBF6C0D220314D3FF3CA38490083<br />
Y:FC5E3F8D99D2EA6ED51CC014E92E617CB32CAEBCB5B7D4FAA0CC9B0702CD0B6A<br />
Parameter set: id-GostR3410-2001-CryptoPro-A-ParamSet<br />
X509v3 extensions:<br />
X509v3 Subject Key Identifier: <br />
38:17:87:F5:DF:60:3D:90:8A:41:D6:96:E0:F8:BD:DD:18:A8:A7:0D<br />
X509v3 Authority Key Identifier: <br />
keyid:38:17:87:F5:DF:60:3D:90:8A:41:D6:96:E0:F8:BD:DD:18:A8:A7:0D<br />
<br />
X509v3 Basic Constraints: <br />
CA:TRUE<br />
Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001<br />
a4:12:d4:6c:d5:75:20:08:1e:a8:8d:9c:08:02:78:8a:f3:b6:<br />
e7:d5:54:44:ea:e3:8d:35:61:5a:d9:50:fe:3b:fb:ec:9d:5d:<br />
78:62:a2:fd:a6:3a:23:92:3d:b9:d3:12:d9:97:df:dd:8b:3b:<br />
de:0b:c7:47:30:b2:34:1d:ec:0b</source><br />
<br />
== Используемая литература ==<br />
* http://habrahabr.ru/post/189352/<br />
* http://ali47802.blogspot.ru/2012/11/openssl-gost-42-gost.html<br />
* https://habrahabr.ru/post/192446/<br />
* http://lists.altlinux.org/pipermail/devel/2017-August/202929.html<br />
<br />
[[Категория:Криптография]]<br />
<br />
== Ссылки ==<br />
# {{altbug|24587}}<br />
# https://habr.com/ru/post/353534/<br />
<references/><br />
<br />
{{Category navigation|title=ПО уровня предприятия|category=Enterprise Software|sortkey={{SUBPAGENAME}}}}<br />
{{Category navigation|title=HOWTO|category=HOWTO|sortkey={{SUBPAGENAME}}}}</div>Manowarhttps://www.altlinux.org/index.php?title=Starterkits/Download&diff=46285Starterkits/Download2019-10-07T08:44:46Z<p>Manowar: Было p8/alt-p9... /* дополнительные */</p>
<hr />
<div>== Прямые ссылки на загрузку ==<br />
'''Обратите внимание:''' это ссылки непосредственно на сами '''файлы довольно заметного объёма'''<ref>ориентировочно размер указан в скобках: до полугигабайта/средний/более гигабайта</ref>; см. тж. [http://nightly.altlinux.org/p9/release/ содержимое каталога], также есть '''[http://mirror.yandex.ru/altlinux-starterkits/release/ яндекс-зеркало]'''. Более устойчивые ко времени ссылки содержатся в каталоге [http://nightly.altlinux.org/p9/permalink/ permalink/].<br />
<br />
{{note|если полученный образ похож на битый, '''проверьте''' его контрольную сумму по [http://nightly.altlinux.org/p9/release/MD5SUM MD5SUM]; странно скачавшийся файл возможно исправить при помощи {{cmd|rsync}} и префикса {{path|nightly.altlinux.org::nightly/p9/}}.}}<br />
Сборки для x86_64 и i586 основаны на ядре Linux версии ''4.19.69''; в некоторых образах применены [[Kernels/Flavours|другие варианты]], указанные ''особо'' (обычно более новое <tt>un-def</tt>). Для других архитекутр указано также отдельно.<br />
{{Attention|UNetbootin и UltraISO '''портят загрузку''', штатные способы<br />записи гибридных образов на CD/DVD и USB Flash описаны '''[[write|на этой странице]]'''.}}<br />
<div id="rescue"></div><br />
=== Спасательный диск ===<br />
Содержит консольные утилиты для обслуживания различных файловых систем, диагностики и восстановления системы.<br>'''Свежайшая версия''' еженедельно доступна [[Rescue|отдельно]].<br />
* [[Rescue]]: [http://nightly.altlinux.org/p9/release/alt-p9-rescue-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-rescue-20190912-x86_64.iso x86_64], [http://nightly.altlinux.org/p9-e2kv4/contents/alt-p9-rescue-20190903-e2k.img.txt e2k], [http://nightly.altlinux.org/p9-e2kv4/contents/alt-p9-rescue-20190903-e2kv4.img.txt e2kv4] <small>(небольшой)</small> ''5.2.11''<ref>для e2k доступен образ системы, пригодный для [[write|записи]] на USB-флэшку или HDD/SSD с последующим увеличением размера разделов при помощи gparted при необходимости</ref><br />
<br />
<div id="livecd"></div><br />
<br />
=== Устанавливаемые LiveCD ===<br />
Эти сборки в качестве системы инициализации используют в основном [[systemd]], за исключением gnustep, icewm и xfce-sysv, где применяется [[sysvinit]].<br />
<br />
Некоторые из них доступны для платформы [[Эльбрус]]<ref>по письменному запросу обладателей оборудования, т.к. требуется NDA с МЦСТ; также обратите внимание на [[эльбрус/загрузчик|порядок выбора загрузочного носителя]]</ref>; опубликованы списки пакетов в составе образов (ядро 4.9.146).<br />
<br />
<div id="main"></div><br />
==== основные ====<br />
* '''Cinnamon''': [http://nightly.altlinux.org/p9/release/alt-p9-cinnamon-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-cinnamon-20190912-x86_64.iso x86_64], [http://nightly.altlinux.org/p9-e2kv4/contents/alt-p9-cinnamon-20190903-e2kv4.iso.txt e2kv4] <small>(средний)</small><br />
* '''[http://community.kde.org/Plasma/LiveImages KDE5]''': [http://nightly.altlinux.org/p9/release/alt-p9-kde5-20190912-x86_64.iso x86_64] <small>(большой)</small><br />
* '''[http://wiki.mate-desktop.org/download MATE]''': [http://nightly.altlinux.org/p9/release/alt-p9-mate-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-mate-20190912-x86_64.iso x86_64], [http://nightly.altlinux.org/p9-e2k/contents/alt-p9-mate-20190903-e2k.iso.txt e2k], [http://nightly.altlinux.org/p9-e2kv4/contents/alt-p9-mate-20190903-e2kv4.iso.txt e2kv4] <small>(средний)</small><br />
* '''Xfce''': [http://nightly.altlinux.org/p9/release/alt-p9-xfce-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-xfce-20190912-x86_64.iso x86_64], [http://nightly.altlinux.org/p9-e2k/contents/alt-p9-xfce-20190903-e2k.iso.txt e2k], [http://nightly.altlinux.org/p9-e2kv4/contents/alt-p9-xfce-20190903-e2kv4.iso.txt e2kv4] <small>(средний)</small> ''5.2.11''<br />
* '''Xfce''' (sysvinit): [http://nightly.altlinux.org/p9/release/alt-p9-xfce-sysv-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-xfce-sysv-20190912-x86_64.iso x86_64] <small>(средний)</small><br />
<br />
<div id="auxiliary"></div><br />
<br />
==== дополнительные ====<br />
<br />
* '''GNOME''': [http://nightly.altlinux.org/p9/release/alt-p9-gnome3-20190912-x86_64.iso x86_64] <small>(большой)</small> ''5.2.11''<br />
* '''[https://phab.enlightenment.org/w/livecd/ Enlightenment]''': [http://nightly.altlinux.org/p9/release/alt-p9-enlightenment-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-enlightenment-20190912-x86_64.iso x86_64] <small>(средний)</small><br />
* '''[http://wiki.lxde.org/en/Comparison_between_LXDE_and_Xfce LXDE]''': [http://nightly.altlinux.org/p9/release/alt-p9-lxde-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-lxde-20190912-x86_64.iso x86_64] <small>(большой)</small><br />
* '''LXQt''': [http://nightly.altlinux.org/p9/release/alt-p9-lxqt-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-lxqt-20190912-x86_64.iso x86_64], [http://nightly.altlinux.org/p9-e2k/contents/alt-p9-lxqt-20190903-e2k.iso.txt e2k], [http://nightly.altlinux.org/p9-e2kv4/contents/alt-p9-lxqt-20190903-e2kv4.iso.txt e2kv4] <small>(средний)</small><br />
<br />
<div id="experimental"></div><br />
<br />
==== экспериментальные ====<br />
* '''[[Starterkits/gnustep|GNUstep]]''': [http://nightly.altlinux.org/p9/release/alt-p9-gnustep-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-gnustep-20190912-x86_64.iso x86_64] <small>(средний)</small><br />
* '''[[Regular/icewm|IceWM]]''': [http://nightly.altlinux.org/p9/release/alt-p9-icewm-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-icewm-20190912-x86_64.iso x86_64] <small>(средний)</small> ''5.2.11''<br />
<br />
<div id="beta"></div><br />
==== особые ====<br />
* [[Engineering|'''LXDE/Engineering''']]: [http://nightly.altlinux.org/p9/release/alt-p9-engineering-20190912-x86_64.iso x86_64] <small>(большой)</small><br />
<br />
=== Классические инсталяторы ===<br />
<br />
Эти сборки по умолчанию снабжены классической системой инициализации — [[sysvinit|SysV init]] (иное отмечено). Все образы, кроме jeos<ref>инсталятор jeos поддерживает только [[RAID]], но не [[LVM]] (и не включает поддержку [[UEFI]])</ref>, поддерживают установку на [[RAID]]/[[LVM]] и включают базовый спасательный образ.<br />
<br />
<div id="server"></div><div id="hyperv"></div><br />
* '''[[Starterkits/server|сервер]]''': [http://nightly.altlinux.org/p9/release/alt-p9-server-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-server-20190912-x86_64.iso x86_64] <small>(средний)</small><br />
* '''[[Starterkits/server-pve|PVE-сервер]]''': [http://nightly.altlinux.org/p9/release/alt-p9-server-pve-20190912-x86_64.iso x86_64] <small>(средний)</small> ''systemd''<br />
<!--* [[OpenVZ]]: [http://nightly.altlinux.org/p9/beta/alt-p9-server-ovz-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/beta/alt-p9-server-ovz-20190912-x86_64.iso x86_64] <small>(средний)</small> ''4.4.13+2.6.32/042stab116.1''--><br />
<div id="jeos"></div><br />
* «пустышка» '''JeOS''': [http://nightly.altlinux.org/p9/release/alt-p9-jeos-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-jeos-20190912-x86_64.iso x86_64], [http://nightly.altlinux.org/p9-e2k/contents/alt-p9-jeos-20190821-e2k.iso.txt e2k], [http://nightly.altlinux.org/p9-e2k/contents/alt-p9-jeos-20190821-e2kv4.iso.txt e2kv4] <small>(средний)</small><br />
<br />
<div id="arm"></div><br />
<br />
=== Архивы rootfs для armh и aarch64 ===<br />
<br />
Это архивы rootfs для записи на SD-карту. Поддерживаются микрокомпьютеры Raspberry Pi 2 и 3, а также на базе Allwinner SoC, например, Orange Pi Prime. Ознакомьтесь с [[write/rootfs|инструкцией по установке на SD-карту]]. Более подробно описано на [[regular/arm|странице регулярных сборок]].<br />
<br />
Сборки включают два ядра [https://packages.altlinux.org/ru/sisyphus/srpms/kernel-image-mp '''mp'''] ''5.1.16'' и [https://packages.altlinux.org/ru/sisyphus/srpms/kernel-image-lts '''lts'''] ''4.19.72'', если не указано иное.<br />
<br />
'''''Для Raspberri Pi 2 и 3 рекомендуется использовать ядро lts.'''''<br />
<br />
====Десктопные<ref>Данные сборки не имеют предустановленного пользователя. При первом запуске вам будет предложено создать пользователя и задать пароль суперпользователя root</ref>:====<br />
<br />
* lxde: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-lxde-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-lxde-20190912-armh.tar.xz armh]<br />
<br />
* lxqt: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-lxqt-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-lxqt-20190912-armh.tar.xz armh]<br />
<br />
* mate: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-mate-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-mate-20190912-armh.tar.xz armh]<br />
<br />
* xfce: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-xfce-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-xfce-20190912-armh.tar.xz armh]<br />
<br />
* icewm: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-icewm-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-icewm-20190912-armh.tar.xz armh] ''sysvinit''<br />
<br />
====Без графического интерфейса<ref>У данных сборок пароль суперпользователя '''altlinux'''</ref>:====<br />
<br />
* jeos-sysv: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-jeos-sysv-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-jeos-sysv-20190912-armh.tar.xz armh]<br />
<br />
* jeos-systemd: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-jeos-systemd-20190912-aarch64.tar.xz aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-jeos-systemd-20190912-armh.tar.xz armh]<br />
<br />
====Nvidia Jetson Nano====<br />
<br />
Архивы rootfs для компьютера Nvidia Jetson Nano с ядром [https://packages.altlinux.org/ru/sisyphus/srpms/kernel-image-tegra '''tegra'''] ''4.9.140''.<br />
Ознакомьтесь с [[write/rootfs|инструкцией по установке на SD-карту]].<br />
<br />
* cinnamon: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-cinnamon-tegra-20190912-aarch64.tar.xz aarch64]<br />
<br />
* kde5: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-kde5-tegra-20190912-aarch64.tar.xz aarch64]<br />
<br />
* lxqt: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-lxqt-tegra-20190912-aarch64.tar.xz aarch64]<br />
<br />
* mate: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-mate-tegra-20190912-aarch64.tar.xz aarch64]<br />
<br />
* xfce: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-xfce-tegra-20190912-aarch64.tar.xz aarch64]<br />
<br />
====ЭЛВИС Салют ЭЛ24ПМ2 (mcom02)====<br />
<br />
Архивы rootfs для процессорного модуля [[mcom02|ЭЛВИС Салют ЭЛ24ПМ2]] с ядром [https://packages.altlinux.org/ru/sisyphus/srpms/kernel-image-mcom02 '''mcom02'''] ''4.4.178.2''.<br />
<br />
Процессорный модуль требует обязательного [[mcom02#Обновление_u-boot|обновления загрузчика u-boot]].<br />
<br />
Также обязательно ознакомьтесь с [[write/rootfs|инструкцией по установке на SD-карту]].<br />
<br />
* lxde: [http://nightly.altlinux.org/p9-armh/release/alt-p9-lxde-mcom02-20190912-armh.tar.xz armh]<br />
<br />
* lxqt: [http://nightly.altlinux.org/p9-armh/release/alt-p9-lxqt-mcom02-20190912-armh.tar.xz armh]<br />
<br />
* mate: [http://nightly.altlinux.org/p9-armh/release/alt-p9-mate-mcom02-20190912-armh.tar.xz armh]<br />
<br />
=== Образы qemu aarch64 и armh ===<br />
<br />
Это образы для запуска в qemu-aarch64 и qemu-arm. Они идентичны по составу сборкам rootfs.<br />
Ознакомьтесь с [[regular/arm#Запуск_на_QEMU|инструкцией по запуску в QEMU]].<br />
<br />
'''Десктопные<ref>Данные сборки не имеют предустановленного пользователя. При первом запуске вам будет предложено создать пользователя и задать пароль суперпользователя root</ref>:'''<br />
<br />
* lxqt: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-lxqt-20190912-aarch64.qcow2c aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-lxqt-20190912-armh.qcow2c armh]<br />
<br />
* mate: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-mate-20190912-aarch64.qcow2c aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-mate-20190912-armh.qcow2c armh]<br />
<br />
* xfce: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-xfce-20190912-aarch64.qcow2c aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-xfce-20190912-armh.qcow2c armh]<br />
<br />
'''Без графического интерфейса<ref>У данных сборок пароль суперпользователя '''altlinux'''</ref>:'''<br />
<br />
* jeos-systemd: [http://nightly.altlinux.org/p9-aarch64/release/alt-p9-jeos-systemd-20190912-aarch64.qcow2c aarch64] [http://nightly.altlinux.org/p9-armh/release/alt-p9-jeos-systemd-20190912-armh.qcow2c armh]<br />
<br />
=== Архивы rootfs для mipsel ===<br />
<br />
[[Установка_Альт_из_тарболов_rootfs_на_BFK3.1|Инструкция]] для прошивки платы BFK3.1.<br />
<br />
[[ports/mipsel/Прошивка_образа_в_формате_recovery.tar_на_Таволга_Терминал|Инструкция]] для прошивки Таволга Терминал.<br />
<br />
'''Десктопные<ref>Данные сборки не имеют предустановленного пользователя. При первом запуске вам будет предложено создать пользователя и задать пароль суперпользователя root</ref>:'''<br />
<br />
* lxde: [http://nightly.altlinux.org/p9-mipsel/release/bfk3-alt-p9-lxde-20190703-mipsel.tar.xz BFK3.1] [http://nightly.altlinux.org/p9-mipsel/release/tavolga-alt-p9-lxde-20190703-mipsel.recovery.tar Таволга]<br />
<br />
* lxqt: [http://nightly.altlinux.org/p9-mipsel/release/bfk3-alt-p9-lxqt-20190703-mipsel.tar.xz BFK3.1] [http://nightly.altlinux.org/p9-mipsel/release/tavolga-alt-p9-lxqt-20190703-mipsel.recovery.tar Таволга]<br />
<br />
* mate: [http://nightly.altlinux.org/p9-mipsel/release/bfk3-alt-p9-mate-20190703-mipsel.tar.xz BFK3.1] [http://nightly.altlinux.org/p9-mipsel/release/tavolga-alt-p9-mate-20190703-mipsel.recovery.tar Таволга]<br />
<br />
* xfce: [http://nightly.altlinux.org/p9-mipsel/release/bfk3-alt-p9-xfce-20190703-mipsel.tar.xz BFK3.1] [http://nightly.altlinux.org/p9-mipsel/release/tavolga-alt-p9-xfce-20190703-mipsel.recovery.tar Таволга]<br />
<br />
* icewm: [http://nightly.altlinux.org/p9-mipsel/release/bfk3-alt-p9-icewm-20190703-mipsel.tar.xz BFK3.1] [http://nightly.altlinux.org/p9-mipsel/release/tavolga-alt-p9-icewm-20190703-mipsel.recovery.tar Таволга] ''sysvinit''<br />
<br />
'''Без графического интерфейса<ref>У данных сборок пароль суперпользователя '''alt'''</ref>:'''<br />
<br />
* jeos-sysv: [http://nightly.altlinux.org/p9-mipsel/release/bfk3-alt-p9-jeos-sysv-20190703-mipsel.tar.xz BFK3.1] ''sysvinit''<br />
<br />
=== Образы qemu mipsel ===<br />
<br />
[[ports/mipsel/Запуск_в_QEmu|Инструкция]] по запуску в qemu.<br />
<br />
'''Десктопные<ref>Данные сборки не имеют предустановленного пользователя. При первом запуске вам будет предложено создать пользователя и задать пароль суперпользователя root</ref>:'''<br />
<br />
* [http://nightly.altlinux.org/p9-mipsel/release/alt-p9-lxde-20190703-mipsel.img.xz lxde]<br />
<br />
* [http://nightly.altlinux.org/p9-mipsel/release/alt-p9-lxqt-20190703-mipsel.img.xz lxqt]<br />
<br />
* [http://nightly.altlinux.org/p9-mipsel/release/alt-p9-mate-20190703-mipsel.img.xz mate]<br />
<br />
* [http://nightly.altlinux.org/p9-mipsel/release/alt-p9-xfce-20190703-mipsel.img.xz xfce]<br />
<br />
* [http://nightly.altlinux.org/p9-mipsel/release/alt-p9-icewm-20190703-mipsel.img.xz icewm] ''sysvinit''<br />
<br />
'''Без графического интерфейса<ref>У данных сборок пароль суперпользователя '''alt'''</ref>:'''<br />
<br />
* [http://nightly.altlinux.org/p9-mipsel/release/alt-p9-jeos-sysv-20190703-mipsel.img.xz jeos-sysv] ''sysvinit''<br />
<br />
<div id="ovz"></div><br />
<br />
=== Шаблон для [[OpenVZ]] ===<br />
* '''базовый'''<ref>server-ovz входит в [[Starterkits/p7|p7 starterkits]]</ref>: [http://nightly.altlinux.org/p9/release/alt-p9-ovz-generic-20190912-i586.tar.xz i586], [http://nightly.altlinux.org/p9/release/alt-p9-ovz-generic-20190912-x86_64.tar.xz x86_64] <small>(~40 Мб)</small> ''--''<br />
<br />
<div id="vm"></div><div id="kvm"></div><br />
<br />
=== Образы диска для виртуальных машин ===<br />
<!-- * '''базовый'''<ref>пароль <tt>root</tt> (не забудьте сменить!): <tt>altlinux</tt></ref>: [http://nightly.altlinux.org/p9/release/alt-p9-vm-net-20190912-i586.img.xz i586], [http://nightly.altlinux.org/p9/release/alt-p9-vm-net-20190912-x86_64.img.xz x86_64] <small>(~72 Мб)</small> --><br />
* '''облачный''': [http://nightly.altlinux.org/p9/release/alt-p9-cloud-20190912-x86_64.img.xz x86_64] <small>(~100 Мб)</small><br />
* '''opennebula''': [http://nightly.altlinux.org/p9/release/alt-p9-opennebula-20190912-x86_64.qcow2c x86_64] <small>(~200 Мб)</small><br />
* '''пустышка jeos-systemd''': [http://nightly.altlinux.org/p9/release/alt-p9-jeos-systemd-20190912-x86_64.img.xz x86_64] <small>(~250 Мб)</small> (пароль: altlinux)<br />
* '''пустышка jeos-sysv''': [http://nightly.altlinux.org/p9/release/alt-p9-jeos-sysv-20190912-x86_64.img.xz x86_64] <small>(~250 Мб)</small> (пароль: altlinux)<br />
<div id="builder"></div><br />
<br />
=== Сборочное окружение ===<br />
<br />
* '''[[Starterkits/builder|базовое]]''': [http://nightly.altlinux.org/p9/release/alt-p9-builder-20190912-i586.iso i586], [http://nightly.altlinux.org/p9/release/alt-p9-builder-20190912-x86_64.iso x86_64] <small>(небольшой)</small><br />
<br />
<div id="torrents"></div><br />
<br />
== Торренты ==<br />
=== p9 ===<br />
Для загрузки доступны торренты для следующих процессорных архитектур:<br />
<br />
[http://nightly.altlinux.org/p9/release/ i586, x86_64]: [http://torrent.altlinux.org/gettorrent.php?info_hash=039e61fddcb9bafaeea48c9aed1ff451ce949ec9 torrent-файл]<br />
<br />
[http://nightly.altlinux.org/p9-aarch64/release/ aarch64]: [http://torrent.altlinux.org/gettorrent.php?info_hash=ff97e981ec8a0778366e5618f36579ab547427e2 torrent-файл]<br />
<br />
[http://nightly.altlinux.org/p9-armh/release/ armh]: [http://torrent.altlinux.org/gettorrent.php?info_hash=3d49018eb8078a6313f1849ab1b0251d0eeb24fa torrent-файл]<br />
<br />
[http://nightly.altlinux.org/p9-mipsel/release/ mipsel]: [http://torrent.altlinux.org/gettorrent.php?info_hash=29b06fcce180f0eaa20569aa5c4c7dfbbadb23c8 torrent-файл]<br />
<br />
=== p8 ===<br />
Для загрузки выпуска [http://nightly.altlinux.org/p8/release/ 20190312] можно воспользоваться [http://torrent.altlinux.org/gettorrent.php?info_hash=7bab6bb2dbf12210e591f3883d20f95bab7f7fb1 данным torrent-файлом]<!--; см. тж. [https://rutracker.org/forum/viewtopic.php?t=5325086 rutracker]-->.<br />
<br />
=== p7 ===<br />
Для загрузки выпуска [http://nightly.altlinux.org/p7/release/ 20160312] на основе p7 можно воспользоваться [http://torrent.altlinux.org/gettorrent.php?info_hash=e43ab0eb1baae4ea07188eee6b8ba77680bcd353 этим torrent-файлом] ([http://rutracker.org/forum/viewtopic.php?t=5189533 rutracker]).<br />
<br />
== Примечания ==<br />
<references /><br />
<br />
{{Category navigation|title=Starterkits|category=Starterkits|sortkey=*}}</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=44084GnuPG-GOST2019-03-01T10:00:33Z<p>Manowar: Заменил ссылки на свои рабочие ветви ссылками на патчи и /gears</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/gears/g/gnupg2.git {{prg|gpg}}], [https://packages.altlinux.org/ru/sisyphus/srpms/gnupg2/patches/gnupg2-2.2.10-gost-1.0.0.patch {{path|gnupg2-2.2.10-gost-1.0.0.patch}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/gears/g/gnupg2.git {{prg|gpgsm}}], [http://git.altlinux.org/gears/l/libksba.git {{pkg|libksba}}], [https://packages.altlinux.org/ru/sisyphus/srpms/gnupg2/patches/gnupg2-2.2.10-gost-1.0.0.patch {{path|gnupg2-2.2.10-gost-1.0.0.patch}}], [https://packages.altlinux.org/ru/sisyphus/srpms/libksba/patches/libksba-1.3.6-gost-1.0.0.patch {{path|libksba-1.3.6-gost-1.0.0.patch}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/gears/l/libgcrypt.git {{pkg|libgcrypt}}], [http://git.altlinux.org/gears/l/libpkcs11-helper.git {{pkg|libpkcs11-helper}}], [https://packages.altlinux.org/ru/sisyphus/srpms/libgcrypt/patches/libgcrypt-1.8.3-vko-1.0.0.patch {{path|libgcrypt-1.8.3-vko-1.0.0.patch}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/gears/g/gnupg-pkcs11-scd.git {{pkg|gnupg-pkcs11-scd}}], [https://packages.altlinux.org/ru/sisyphus/srpms/gnupg-pkcs11-scd/patches/gnupg-pkcs11-scd-0.9.2-gost-1.0.0.patch {{path|gnupg-pkcs11-scd-0.9.2-gost-1.0.0.patch}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/gears/g/gnupg2.git {{prg|dirmngr}}], [https://packages.altlinux.org/ru/sisyphus/srpms/gnupg2/patches/gnupg2-2.2.10-issuers-1.0.0.patch {{path|gnupg2-2.2.10-issuers-1.0.0.patch}}]<br />
|}<br />
<br />
== Порядок настройки и работы ==<br />
<br />
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).<br />
<br />
Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с {{prg|gpgsm}}, то необходимо создать и пользовательский сертификат.<br />
<br />
Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно {{prg|gpg}} это делается несколько нетривиальным способом, в два подхода: сперва {{prg|gnupg-pkcs11-scd}} напрямую даётся команда {{term|LEARN}}, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в {{prg|gpg}}.<br />
<br />
В случае использования {{prg|gpgsm}} процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ, может понадобиться использовать новую ''спецнастройку'' в файле {{path|~/.gnupg/dirmngr_issuers.conf}}. Например:<br />
<code>(issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl)</code><ref>Данная настройка включает режим последовательной обработки всех указанных URL списков отзыва, чтобы избежать проблемы, отмеченной здесь — [https://lists.altlinux.org/pipermail/devel/2018-August/205109.html https://lists.altlinux.org/pipermail/devel/2018-August/205109.html]</ref>.<br />
<br />
После настройки {{prg|gnupg-pkcs11-scd}} и импорта ключей (через «создание») и сертификатов, команды {{cmd|gpg}} и {{cmd|gpgsm}} работают вполне ожидаемым образом: {{prg|gpg-agent}} запрашивает ПИН-код, после чего производится подпись (шифрование). Аналогичные операции также доступны из Kleopatra и Dolphin.<br />
<br />
<hr/><br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=42861GnuPG-GOST2018-10-08T09:12:09Z<p>Manowar: /* Порядок настройки и работы */ Черта</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpg}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpgsm}}], [http://git.altlinux.org/people/manowar/packages/?p=libksba.git;a=shortlog;h=refs/heads/gost {{pkg|libksba}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/people/manowar/packages/?p=libgcrypt.git;a=shortlog;h=refs/heads/gost/vko {{pkg|libgcrypt}}], [http://git.altlinux.org/people/manowar/packages/?p=libpkcs11-helper.git;a=shortlog;h=refs/heads/patches/gost-derive {{pkg|libpkcs11-helper}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/people/manowar/packages/?p=gnupg-pkcs11-scd.git;a=shortlog;h=refs/heads/patches/gost {{pkg|gnupg-pkcs11-scd}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/revocation {{prg|dirmngr}}]<br />
|}<br />
<small>''Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.''</small><br />
<br />
== Порядок настройки и работы ==<br />
<br />
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).<br />
<br />
Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с {{prg|gpgsm}}, то необходимо создать и пользовательский сертификат.<br />
<br />
Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно {{prg|gpg}} это делается несколько нетривиальным способом, в два подхода: сперва {{prg|gnupg-pkcs11-scd}} напрямую даётся команда {{term|LEARN}}, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в {{prg|gpg}}.<br />
<br />
В случае использования {{prg|gpgsm}} процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ, может понадобиться использовать новую ''спецнастройку'' в файле {{path|~/.gnupg/dirmngr_issuers.conf}}. Например:<br />
<code>(issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl)</code><ref>Данная настройка включает режим последовательной обработки всех указанных URL списков отзыва, чтобы избежать проблемы, отмеченной здесь — [https://lists.altlinux.org/pipermail/devel/2018-August/205109.html https://lists.altlinux.org/pipermail/devel/2018-August/205109.html]</ref>.<br />
<br />
После настройки {{prg|gnupg-pkcs11-scd}} и импорта ключей (через «создание») и сертификатов, команды {{cmd|gpg}} и {{cmd|gpgsm}} работают вполне ожидаемым образом: {{prg|gpg-agent}} запрашивает ПИН-код, после чего производится подпись (шифрование). Аналогичные операции также доступны из Kleopatra и Dolphin.<br />
<br />
<hr/><br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=42860GnuPG-GOST2018-10-08T09:11:15Z<p>Manowar: /* Порядок настройки и работы */ Подпись, зашифровка</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpg}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpgsm}}], [http://git.altlinux.org/people/manowar/packages/?p=libksba.git;a=shortlog;h=refs/heads/gost {{pkg|libksba}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/people/manowar/packages/?p=libgcrypt.git;a=shortlog;h=refs/heads/gost/vko {{pkg|libgcrypt}}], [http://git.altlinux.org/people/manowar/packages/?p=libpkcs11-helper.git;a=shortlog;h=refs/heads/patches/gost-derive {{pkg|libpkcs11-helper}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/people/manowar/packages/?p=gnupg-pkcs11-scd.git;a=shortlog;h=refs/heads/patches/gost {{pkg|gnupg-pkcs11-scd}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/revocation {{prg|dirmngr}}]<br />
|}<br />
<small>''Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.''</small><br />
<br />
== Порядок настройки и работы ==<br />
<br />
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).<br />
<br />
Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с {{prg|gpgsm}}, то необходимо создать и пользовательский сертификат.<br />
<br />
Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно {{prg|gpg}} это делается несколько нетривиальным способом, в два подхода: сперва {{prg|gnupg-pkcs11-scd}} напрямую даётся команда {{term|LEARN}}, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в {{prg|gpg}}.<br />
<br />
В случае использования {{prg|gpgsm}} процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ, может понадобиться использовать новую ''спецнастройку'' в файле {{path|~/.gnupg/dirmngr_issuers.conf}}. Например:<br />
<code>(issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl)</code><ref>Данная настройка включает режим последовательной обработки всех указанных URL списков отзыва, чтобы избежать проблемы, отмеченной здесь — [https://lists.altlinux.org/pipermail/devel/2018-August/205109.html https://lists.altlinux.org/pipermail/devel/2018-August/205109.html]</ref>.<br />
<br />
После настройки {{prg|gnupg-pkcs11-scd}} и импорта ключей (через «создание») и сертификатов, команды {{cmd|gpg}} и {{cmd|gpgsm}} работают вполне ожидаемым образом: {{prg|gpg-agent}} запрашивает ПИН-код, после чего производится подпись (шифрование). Аналогичные операции также доступны из Kleopatra и Dolphin.<br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=42859GnuPG-GOST2018-10-08T08:54:59Z<p>Manowar: /* Порядок настройки и работы */ О single-crl</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpg}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpgsm}}], [http://git.altlinux.org/people/manowar/packages/?p=libksba.git;a=shortlog;h=refs/heads/gost {{pkg|libksba}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/people/manowar/packages/?p=libgcrypt.git;a=shortlog;h=refs/heads/gost/vko {{pkg|libgcrypt}}], [http://git.altlinux.org/people/manowar/packages/?p=libpkcs11-helper.git;a=shortlog;h=refs/heads/patches/gost-derive {{pkg|libpkcs11-helper}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/people/manowar/packages/?p=gnupg-pkcs11-scd.git;a=shortlog;h=refs/heads/patches/gost {{pkg|gnupg-pkcs11-scd}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/revocation {{prg|dirmngr}}]<br />
|}<br />
<small>''Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.''</small><br />
<br />
== Порядок настройки и работы ==<br />
<br />
=== Подготовительный этап ===<br />
<br />
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).<br />
<br />
Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с {{prg|gpgsm}}, то необходимо создать и пользовательский сертификат.<br />
<br />
Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно {{prg|gpg}} это делается несколько нетривиальным способом, в два подхода: сперва {{prg|gnupg-pkcs11-scd}} напрямую даётся команда {{term|LEARN}}, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в {{prg|gpg}}.<br />
<br />
В случае использования {{prg|gpgsm}} процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ, может понадобиться использовать новую ''спецнастройку'' в файле {{path|~/.gnupg/dirmngr_issuers.conf}}. Например:<br />
<code>(issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl)</code><ref>Данная настройка включает режим последовательной обработки всех указанных URL списков отзыва, чтобы избежать проблемы, отмеченной здесь — [https://lists.altlinux.org/pipermail/devel/2018-August/205109.html https://lists.altlinux.org/pipermail/devel/2018-August/205109.html]</ref>.<br />
<br />
<br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=42829GnuPG-GOST2018-10-05T14:42:06Z<p>Manowar: /* Порядок настройки и работы */ Подготовительный этап</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpg}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpgsm}}], [http://git.altlinux.org/people/manowar/packages/?p=libksba.git;a=shortlog;h=refs/heads/gost {{pkg|libksba}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/people/manowar/packages/?p=libgcrypt.git;a=shortlog;h=refs/heads/gost/vko {{pkg|libgcrypt}}], [http://git.altlinux.org/people/manowar/packages/?p=libpkcs11-helper.git;a=shortlog;h=refs/heads/patches/gost-derive {{pkg|libpkcs11-helper}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/people/manowar/packages/?p=gnupg-pkcs11-scd.git;a=shortlog;h=refs/heads/patches/gost {{pkg|gnupg-pkcs11-scd}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/revocation {{prg|dirmngr}}]<br />
|}<br />
<small>''Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.''</small><br />
<br />
== Порядок настройки и работы ==<br />
<br />
=== Подготовительный этап ===<br />
<br />
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).<br />
<br />
Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с {{prg|gpgsm}}, то необходимо создать и пользовательский сертификат.<br />
<br />
Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно {{prg|gpg}} это делается несколько нетривиальным способом, в два подхода: сперва {{prg|gnupg-pkcs11-scd}} напрямую даётся команда {{term|LEARN}}, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в {{prg|gpg}}.<br />
<br />
В случае использования {{prg|gpgsm}} процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ может понадобиться использовать новую спецнастройку в файле {{path|~/.gnupg/dirmngr_issuers.conf}}. Например:<br />
<code>(issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl)</code>.<br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=42828GnuPG-GOST2018-10-05T14:33:22Z<p>Manowar: + Порядок настройки и работы</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpg}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpgsm}}], [http://git.altlinux.org/people/manowar/packages/?p=libksba.git;a=shortlog;h=refs/heads/gost {{pkg|libksba}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/people/manowar/packages/?p=libgcrypt.git;a=shortlog;h=refs/heads/gost/vko {{pkg|libgcrypt}}], [http://git.altlinux.org/people/manowar/packages/?p=libpkcs11-helper.git;a=shortlog;h=refs/heads/patches/gost-derive {{pkg|libpkcs11-helper}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/people/manowar/packages/?p=gnupg-pkcs11-scd.git;a=shortlog;h=refs/heads/patches/gost {{pkg|gnupg-pkcs11-scd}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/revocation {{prg|dirmngr}}]<br />
|}<br />
<small>''Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.''</small><br />
<br />
== Порядок настройки и работы ==<br />
<br />
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).<br />
<br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=GnuPG-GOST&diff=42827GnuPG-GOST2018-10-05T14:27:08Z<p>Manowar: Введение + состав изменений</p>
<hr />
<div>= Добавление поддержки ГОСТ в GnuPG =<br />
<br />
Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).<br />
<br />
В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.<br />
<br />
== Состав изменений ==<br />
<br />
{| class="wikitable"<br />
|-<br />
! Описание изменения !! Затронутые программы и модули<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpg}}]<br />
|-<br />
| Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/gost {{prg|gpgsm}}], [http://git.altlinux.org/people/manowar/packages/?p=libksba.git;a=shortlog;h=refs/heads/gost {{pkg|libksba}}]<br />
|-<br />
| Реализация алгоритма вычисления общего ключа (ВКО) || [http://git.altlinux.org/people/manowar/packages/?p=libgcrypt.git;a=shortlog;h=refs/heads/gost/vko {{pkg|libgcrypt}}], [http://git.altlinux.org/people/manowar/packages/?p=libpkcs11-helper.git;a=shortlog;h=refs/heads/patches/gost-derive {{pkg|libpkcs11-helper}}]<br />
|-<br />
| Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG || [http://git.altlinux.org/people/manowar/packages/?p=gnupg-pkcs11-scd.git;a=shortlog;h=refs/heads/patches/gost {{pkg|gnupg-pkcs11-scd}}]<br />
|-<br />
| Дополнительные опции настройки обработки информации о списках отзыва сертификатов || [http://git.altlinux.org/people/manowar/packages/?p=gnupg2.git;a=shortlog;h=refs/heads/patches/revocation {{prg|dirmngr}}]<br />
|}<br />
<small>''Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.''</small><br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=OSS-GOST-Crypto&diff=42826OSS-GOST-Crypto2018-10-05T13:35:19Z<p>Manowar: Добавление поддержки ГОСТ в GnuPG</p>
<hr />
<div>= ГОСТ криптография в мире open-source =<br />
<br />
Список рассылки [https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto '''oss-gost-crypto'''] посвящен различным аспектам гостовой криптографии в мире open-source.<br />
<br />
== Реализации алгоритмов и полезные ссылки ==<br />
* https://github.com/gost-engine/engine '''A reference implementation of the Russian GOST crypto algorithms for OpenSSL'''<br />
* https://github.com/adegtyarev/streebog '''Reference implementation of GOST R 34.11-2012: RFC-6986 cryptographic hash function''' (https://www.streebog.net/)<br />
* https://www.bouncycastle.org/ '''Java library providing some GOST algorithms'''<br />
* https://tc26.ru/standard/gost/PR_GOSTR_bch_v9.zip (Каноническая) реализация базовых блочных шифров и режимов их работы (''не open-source'').<br />
* https://github.com/GostCrypt/nettle Реализация алгоритмов шифрования, форк библиотеки Nettle<br />
* https://www.gnupg.org/software/libgcrypt/ Реализация алгоритмов шифрования, код в основной ветке<br />
Ряд реализаций от Александра Венедюхина:<br />
* https://dxdt.ru/2016/06/09/7967/ - описание "Кузнечика" на Go.<br />
* https://dxdt.ru/golang/gost/gost_cipher.tar.gz - архив с исходными кодами к предыдущему.<br />
* https://dxdt.ru/golang/gost/cipher/kuznec/kuznec.go - код.<br />
* https://dxdt.ru/golang/gost/cipher/test_grasshoopper/test_grasshoopper.go - пример использования.<br />
* https://dxdt.ru/arduino-crypto/ - описание алгоритма "Магма" для Arduino<br />
* https://dxdt.ru/arduino/MagmaEncryptor.zip - сама библиотека, в формате, пригодном для импорта в IDE от Arduino.<br />
<br />
== Внедрение ГОСТ в open-source продукты (Сизиф) ==<br />
* http://git.altlinux.org/people/vt/packages/?p=libcrypt.git Поддержка gost+yescrypt (<code>$gy$</code>) хэшей в [libx]crypt<br />
* [[GnuPG-GOST|Добавление поддержки ГОСТ в GnuPG]]<br />
<br />
== Внедрение ГОСТ в open-source продукты (upstream) ==<br />
* https://gostcrypt.github.io/ '''GOST Cryptography project'''<br />
* https://github.com/vt-alt/tfm-streebog Реализация хэш функции Streebog для ядра Линукс<br />
* https://habr.com/post/306544/ Настройка TLS с поддержкой сертификатов ГОСТ и RSA на nginx<br />
* https://gnutls.org/ С версии 3.6.3 поддерживает работу с сертификатами и ключами ГОСТ<br />
* https://gitlab.com/GostCrypt/gnutls/ Реализация TLS с поддержкой ГОСТ. Ветка '''gost''' содержит стабильный код, поддерживающий существующие криптонаборы, ветка '''gost-cleaned''' — только реализация <code>draft-smyshlyaev-tls12-gost-suites</code>, WIP.<br />
<br />
== Open-source продукты, использующие криптографию по ГОСТ ==<br />
* https://www.aleksey.com/xmlsec/ — XMLSec library<br />
* https://www.gostcrypt.org Дисковое шифрование с использованием алгоритмов ГОСТ (форк TrueCrypt)<br />
<br />
== Стандарты ==<br />
* https://tc26.ru/standarts/ Технический комитет по стандартизации «Криптографическая защита информации» ('''ТК 26''')<br />
* https://tools.ietf.org/html/rfc4357 '''Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms''' [''January 2006'']<br />
* https://tools.ietf.org/html/rfc4491 '''Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile''' [''May 2006'']<br />
* https://tools.ietf.org/html/rfc5831 '''GOST R 34.11-94: Hash Function Algorithm''' [''March 2010'']<br />
* https://tools.ietf.org/html/rfc5832 '''GOST R 34.10-2001: Digital Signature Algorithm''' [''March 2010'']<br />
* https://tools.ietf.org/html/rfc6986 '''GOST R 34.11-2012: Hash Function''' [''August 2013'']<br />
* https://tools.ietf.org/html/rfc7091 '''GOST R 34.10-2012: Digital Signature Algorithm''' [''December 2013'']<br />
* https://tools.ietf.org/html/rfc7801 '''GOST R 34.12-2015: Block Cipher "Kuznyechik"''' [''March 2016'']<br />
* https://tools.ietf.org/html/rfc7836 '''Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012''' [''March 2016'']<br />
* https://tools.ietf.org/html/draft-irtf-cfrg-re-keying-13 '''Re-keying Mechanisms for Symmetric Keys''' [''August 17, 2018'']<br />
* https://tools.ietf.org/html/draft-smyshlyaev-tls12-gost-suites-01 '''GOST Cipher Suites for TLS 1.2''' [''June 29, 2018'']<br />
<br />
== Статьи ==<br />
* '''EC''' криптография по ГОСТу от её разработчиков:<br />
** https://www.cryptopro.ru/blog/2014/01/21/ellipticheskie-krivye-dlya-novogo-standarta-elektronnoi-podpisi<br />
** https://www.cryptopro.ru/blog/2014/12/04/skruchennye-ellipticheskie-krivye-edvardsa-kogda-zachem-dlya-kogo<br />
* Введение в '''re-keying''' (Key meshing/ACPKM, KEYTREE):<br />
** https://www.cryptopro.ru/blog/2017/05/17/o-nagruzke-na-klyuch-chast-1<br />
** https://www.cryptopro.ru/blog/2017/05/29/o-nagruzke-na-klyuch-chast-2<br />
<br />
== Конференции ==<br />
* https://ctcrypt.ru/archive Симпозиум «Современные тенденции в криптографии» CTCrypt<br />
* https://www.ruscrypto.ru/accociation/archive/ Конференция «РусКрипто» <br />
<br />
<br />
[[Категория:Криптография]]</div>Manowarhttps://www.altlinux.org/index.php?title=Alterator-auth-token&diff=42431Alterator-auth-token2018-08-22T18:30:27Z<p>Manowar: /* Поддержка ГОСТ */ В новой версии — только установка сертификатов</p>
<hr />
<div>== Назначение ==<br />
<br />
Модуль {{pkg|alterator-auth-token}} предназначен для настройки аутентификации по аппаратным токенам и смарт-картам.<br />
<br />
Принцип действия описан [[Аутентификация_по_ключу|здесь]].<br />
== Настройка ==<br />
<br />
Модуль {{pkg|alterator-auth-token}} доступен в GUI ЦУС: раздел {{nav|Пользователи|Аутентификация по аппаратным токенам и смарт-картам}}<br />
<br />
[[Файл:Alterator-auth-token-gui.png|Аутентификация по аппаратным токенам и смарт-картам]]<br />
<br />
== Использование модуля ==<br />
=== Аутентификация по логин/паролю ===<br />
<br />
Если система должна быть настроена на аутентификацию по логин/паролю, то данный модуль в принципе не требуется. Если уже был настроен механизм аутентификации по ключу, то снимите галку "Enable token-based authentication" и нажмите кнопку "Apply".<br />
<br />
=== Аутентификации по аппаратным токенам и смарт-картам ===<br />
<br />
Для включения данного типа необходимо установить флажок "Enable token-based authentication" и выбрать один из типов токенов:<br />
* OpenSC default<br />
* Rutoken ECP ({{pkg|pkcs11-profiles-rutokenecp}})<br />
* PKCS#11 Kit Proxy ({{pkg|pkcs11-profiles-p11-kit-proxy}})<br />
В конце настройки нажмите кнопку «Apply».<br />
<br />
==== Поддержка ГОСТ ====<br />
При наличии в системе пакета {{pkg|ca-gost-certificates}} модуль позволяет установить данные сертификаты в расположение {{pkg|pam_pkcs11}}. Для этого необходимо установить флажок "Install GOST Certificate Authorities".<br />
<br />
==== Автоматическая регистрация учетных записей ====<br />
Для включения необходимо установить флажок "Generate user accounts on-demand".<br />
<br />
[[Аутентификация по ключу#Настройка аутентификации с одновременным созданием пользователей]]<br />
<br />
== Полезные ссылки ==<br />
* http://0x1.tv/Аутентификация_по_аппаратным_токенам_в_дистрибутивах_Альт_(Павел_Волнейкин,_OSSDEVCONF-2017)<br />
<br />
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}<br />
[[Категория:Модули Alterator]]</div>Manowarhttps://www.altlinux.org/index.php?title=Pkcs11-profiles&diff=42430Pkcs11-profiles2018-08-22T17:57:20Z<p>Manowar: + Базовый набор параметров</p>
<hr />
<div>Управляет конфигурацией {{pkg|pam_pkcs11}} с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.<br />
<br />
Подробнее о профилях см. [[lightdm-profiles]].<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/pkcs11-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/pkcs11-profiles sisyphus.ru].'''<br />
<br />
== Управление конфигурацией ==<br />
<br />
Управление профилями производится командами {{cmd|control pam-pkcs11-profile}}, {{cmd|control pam-pkcs11-param-set}}, {{cmd|control pam-pkcs11-messages}}, а также дополнительными командами {{cmd|control pam-pkcs11-module}} и {{cmd|control pam-pkcs11-mapping}}. Профили располагаются в директории {{path|/etc/security/pam_pkcs11}}. Разделение команд принято следующее:<br />
<br />
* {{cmd|control pam-pkcs11-profile}} отвечает за настройку {{pkg|pam_pkcs11}} на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);<br />
* {{cmd|control pam-pkcs11-param-set}} задаёт определённый вариант поведения {{pkg|pam_pkcs11}}, который от железа не зависит;<br />
* {{cmd|control pam-pkcs11-messages}} определяет набор выводимых пользователю сообщений.<br />
<br />
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации {{pkg|pam_pkcs11}}.<br />
<br />
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).<br />
<br />
== Базовый набор параметров ==<br />
<br />
По команде {{cmd|control pam-pkcs11-param-set default}} устанавливаются следующие параметры процедуры аутентификации:<br />
<br />
# публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории {{path|/etc/security/pam_pkcs11/cacerts}} ('''Внимание!''' Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства {{cmd|verify(1)}});<br />
# файлы с информацией об отозванных сертификатах размещаются в директории {{path|/etc/security/pam_pkcs11/crls}};<br />
# для идентификации пользователя, его публичный сертификат должен быть помещён в директорию {{path|$HOME/.eid/}}, либо же будет проверен {{path|$HOME/.ssh/authorized_keys}}.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D0%BE_%D0%BA%D0%BB%D1%8E%D1%87%D1%83&diff=42429Аутентификация по ключу2018-08-22T17:50:18Z<p>Manowar: /* Дополнительные материалы по теме */ Ссылка на alterator-auth-token</p>
<hr />
<div>{{note|Все нижеописанные действия уже реализованы в модуле Альтератора [[alterator-auth-token]].}}<br />
<br />
== Настройка аутентификации с помощью профилей ==<br />
<br />
Новая версия пакета {{pkg|pam_pkcs11}} (≥ 0.6.9-alt5) поддерживает настройку с использованием ''профилей''. Список доступных профилей выводится по команде {{cmd|control pam-pkcs11-profile list}}. Дополнительную информацию см. в [[pkcs11-profiles]].<br />
<br />
Применение профиля относится только к конфигурации модуля <code>pam_pkcs11</code>, но оставляет без изменения системный механизм аутентификации. Поэтому следом нужно выбрать системный механизм аутентификации, основанный на <code>pam_pkcs11</code>. Например, команда<br />
<br />
{{cmd|control system-auth pkcs11_strict}}<br />
<br />
установит такой механизм аутентификации, при котором только пользователи из группы <code>wheel</code> (т.е. администраторы) имеют возможность входа в систему без токена, по паролю.<br />
<br />
=== Дополнительные инструменты ===<br />
<br />
Пакет {{pkg|card-actions}} предоставляет вариант скрипта <code>/usr/bin/card-removed</code>, который блокирует пользовательский сеанс, если токен был извлечён. (Другие варианты могут предоставляться другими пакетами через механизм ''альтернатив''.) Активировать эту полезную команду, можно командами<br />
<br />
{{cmd|control pkcs11-events card_actions}}<br />
{{cmd|systemctl start pkcs11-eventmgr}}<br />
<br />
в результате чего будут внесены необходимые изменения в файл {{path|/etc/security/pam_pkcs11/pkcs11_eventmgr.conf}} и включена служба {{pkg|pkcs11-eventmgr}} по наблюдению за токенами.<br />
<br />
== Настройка аутентификации с одновременным созданием пользователей ==<br />
<br />
Установите или обновите следующие пакеты: {{pkg|pam_pkcs11}}, {{pkg|pam_mkuser}}, {{pkg|lightdm}}, {{pkg|lightdm-gtk-greeter}} (или {{pkg|light-gtk-greeter-pd}}), {{pkg|card-actions}}.<br />
<br />
Введите следующие команды для переключения конфигурационных параметров:<br />
# {{cmd|control lightdm-login-unknown enabled}}<br />
# {{cmd|control pam_mkuser enabled}}<br />
# {{cmd|control pam-pkcs11-mapping snils_scrambled}}<br />
<br />
Перезапустите менеджер экрана командой {{cmd|systemctl restart lightdm}}. После вставки токена в разъём будет выведено автоматически сгенерированное имя пользователя и приглашение для ввода PIN-кода.<br />
<br />
При необходимости, соответствие между автоматически сгенерированными именами и системными можно определить при помощи специального файла. Его имя затем нужно передать в качестве значения параметра {{term|mapping}} в подразделе {{term|mapper generic}} конфигурационного файла {{path|pam_pkcs11.conf(5)}}.<br />
<br />
Узнать автоматически сгенерированное имя до входа в систему можно введя команду {{cmd|pklogin_finder}}.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D0%BE_%D0%BA%D0%BB%D1%8E%D1%87%D1%83&diff=42428Аутентификация по ключу2018-08-22T17:49:46Z<p>Manowar: + Дополнительные материалы по теме</p>
<hr />
<div>{{note|Все нижеописанные действия уже реализованы в модуле Альтератора [[alterator-auth-token]].}}<br />
<br />
== Настройка аутентификации с помощью профилей ==<br />
<br />
Новая версия пакета {{pkg|pam_pkcs11}} (≥ 0.6.9-alt5) поддерживает настройку с использованием ''профилей''. Список доступных профилей выводится по команде {{cmd|control pam-pkcs11-profile list}}. Дополнительную информацию см. в [[pkcs11-profiles]].<br />
<br />
Применение профиля относится только к конфигурации модуля <code>pam_pkcs11</code>, но оставляет без изменения системный механизм аутентификации. Поэтому следом нужно выбрать системный механизм аутентификации, основанный на <code>pam_pkcs11</code>. Например, команда<br />
<br />
{{cmd|control system-auth pkcs11_strict}}<br />
<br />
установит такой механизм аутентификации, при котором только пользователи из группы <code>wheel</code> (т.е. администраторы) имеют возможность входа в систему без токена, по паролю.<br />
<br />
=== Дополнительные инструменты ===<br />
<br />
Пакет {{pkg|card-actions}} предоставляет вариант скрипта <code>/usr/bin/card-removed</code>, который блокирует пользовательский сеанс, если токен был извлечён. (Другие варианты могут предоставляться другими пакетами через механизм ''альтернатив''.) Активировать эту полезную команду, можно командами<br />
<br />
{{cmd|control pkcs11-events card_actions}}<br />
{{cmd|systemctl start pkcs11-eventmgr}}<br />
<br />
в результате чего будут внесены необходимые изменения в файл {{path|/etc/security/pam_pkcs11/pkcs11_eventmgr.conf}} и включена служба {{pkg|pkcs11-eventmgr}} по наблюдению за токенами.<br />
<br />
== Настройка аутентификации с одновременным созданием пользователей ==<br />
<br />
Установите или обновите следующие пакеты: {{pkg|pam_pkcs11}}, {{pkg|pam_mkuser}}, {{pkg|lightdm}}, {{pkg|lightdm-gtk-greeter}} (или {{pkg|light-gtk-greeter-pd}}), {{pkg|card-actions}}.<br />
<br />
Введите следующие команды для переключения конфигурационных параметров:<br />
# {{cmd|control lightdm-login-unknown enabled}}<br />
# {{cmd|control pam_mkuser enabled}}<br />
# {{cmd|control pam-pkcs11-mapping snils_scrambled}}<br />
<br />
Перезапустите менеджер экрана командой {{cmd|systemctl restart lightdm}}. После вставки токена в разъём будет выведено автоматически сгенерированное имя пользователя и приглашение для ввода PIN-кода.<br />
<br />
При необходимости, соответствие между автоматически сгенерированными именами и системными можно определить при помощи специального файла. Его имя затем нужно передать в качестве значения параметра {{term|mapping}} в подразделе {{term|mapper generic}} конфигурационного файла {{path|pam_pkcs11.conf(5)}}.<br />
<br />
Узнать автоматически сгенерированное имя до входа в систему можно введя команду {{cmd|pklogin_finder}}.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D0%BE_%D0%BA%D0%BB%D1%8E%D1%87%D1%83&diff=42427Аутентификация по ключу2018-08-22T17:48:56Z<p>Manowar: Добавил ссылку на страницу pkcs11-profiles</p>
<hr />
<div>{{note|Все нижеописанные действия уже реализованы в модуле Альтератора [[alterator-auth-token]].}}<br />
<br />
== Настройка аутентификации с помощью профилей ==<br />
<br />
Новая версия пакета {{pkg|pam_pkcs11}} (≥ 0.6.9-alt5) поддерживает настройку с использованием ''профилей''. Список доступных профилей выводится по команде {{cmd|control pam-pkcs11-profile list}}. Дополнительную информацию см. в [[pkcs11-profiles]].<br />
<br />
Применение профиля относится только к конфигурации модуля <code>pam_pkcs11</code>, но оставляет без изменения системный механизм аутентификации. Поэтому следом нужно выбрать системный механизм аутентификации, основанный на <code>pam_pkcs11</code>. Например, команда<br />
<br />
{{cmd|control system-auth pkcs11_strict}}<br />
<br />
установит такой механизм аутентификации, при котором только пользователи из группы <code>wheel</code> (т.е. администраторы) имеют возможность входа в систему без токена, по паролю.<br />
<br />
=== Дополнительные инструменты ===<br />
<br />
Пакет {{pkg|card-actions}} предоставляет вариант скрипта <code>/usr/bin/card-removed</code>, который блокирует пользовательский сеанс, если токен был извлечён. (Другие варианты могут предоставляться другими пакетами через механизм ''альтернатив''.) Активировать эту полезную команду, можно командами<br />
<br />
{{cmd|control pkcs11-events card_actions}}<br />
{{cmd|systemctl start pkcs11-eventmgr}}<br />
<br />
в результате чего будут внесены необходимые изменения в файл {{path|/etc/security/pam_pkcs11/pkcs11_eventmgr.conf}} и включена служба {{pkg|pkcs11-eventmgr}} по наблюдению за токенами.<br />
<br />
== Настройка аутентификации с одновременным созданием пользователей ==<br />
<br />
Установите или обновите следующие пакеты: {{pkg|pam_pkcs11}}, {{pkg|pam_mkuser}}, {{pkg|lightdm}}, {{pkg|lightdm-gtk-greeter}} (или {{pkg|light-gtk-greeter-pd}}), {{pkg|card-actions}}.<br />
<br />
Введите следующие команды для переключения конфигурационных параметров:<br />
# {{cmd|control lightdm-login-unknown enabled}}<br />
# {{cmd|control pam_mkuser enabled}}<br />
# {{cmd|control pam-pkcs11-mapping snils_scrambled}}<br />
<br />
Перезапустите менеджер экрана командой {{cmd|systemctl restart lightdm}}. После вставки токена в разъём будет выведено автоматически сгенерированное имя пользователя и приглашение для ввода PIN-кода.<br />
<br />
При необходимости, соответствие между автоматически сгенерированными именами и системными можно определить при помощи специального файла. Его имя затем нужно передать в качестве значения параметра {{term|mapping}} в подразделе {{term|mapper generic}} конфигурационного файла {{path|pam_pkcs11.conf(5)}}.<br />
<br />
Узнать автоматически сгенерированное имя до входа в систему можно введя команду {{cmd|pklogin_finder}}.<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D0%BE_%D0%BA%D0%BB%D1%8E%D1%87%D1%83&diff=42426Аутентификация по ключу2018-08-22T17:34:44Z<p>Manowar: Добавил отступ</p>
<hr />
<div>{{note|Все нижеописанные действия уже реализованы в модуле Альтератора [[alterator-auth-token]].}}<br />
<br />
== Настройка аутентификации с помощью профилей ==<br />
<br />
Новая версия пакета {{pkg|pam_pkcs11}} (≥ 0.6.9-alt5) поддерживает настройку с использованием ''профилей''. Список доступных профилей выводится по команде<br />
<br />
control pam-pkcs11-profile list<br />
<br />
На сегодняшний день подготовлен профиль для аутентификации через токены RuToken ECP. Он станет доступен после установки пакета {{pkg|pkcs11-profiles-rutokenecp}}.<br />
Применить его можно командой<br />
<br />
control pam-pkcs11-profile rutokenecp<br />
<br />
Применение профиля относится только к конфигурации модуля <code>pam_pkcs11</code>, но оставляет без изменения системный механизм аутентификации. Поэтому следом нужно выбрать системный механизм аутентификации, основанный на <code>pam_pkcs11</code>. Например, команда<br />
<br />
control system-auth pkcs11_strict<br />
<br />
установит такой механизм аутентификации, при котором только пользователи из группы <code>wheel</code> (т.е. администраторы) имеют возможность входа в систему без токена, по паролю.<br />
<br />
=== Что входит в профиль <code>rutokenecp</code>? ===<br />
<br />
Профиль не только настраивает <code>pam_pkcs11</code> для работы с RuToken ECP, но также выбирает следующие умолчания для процедуры аутентификации:<br />
<br />
# публичные сертификаты, которые удостоверяют подлинность пользовательских сертификатов, размещаются в директории <code>/etc/security/pam_pkcs11/cacerts</code> ('''Внимание!''' Имена файлов в данной директории должны соответствовать хэшам сертификатов. Прочтите страницу руководства <code>verify(1)</code>);<br />
# файлы с информацией об отозванных сертификатах размещаются в директории <code>/etc/security/pam_pkcs11/crls</code>;<br />
# публичный сертификат пользователя должен быть помещён в его ''домашнюю директорию'' <code>$HOME/.eid/</code>.<br />
<br />
=== Дополнительные инструменты ===<br />
<br />
Пакет {{pkg|card-actions}} предоставляет вариант скрипта <code>/usr/bin/card-removed</code>, который блокирует пользовательский сеанс, если токен был извлечён. (Другие варианты могут предоставляться другими пакетами через механизм ''альтернатив''.) Активировать эту полезную команду, можно командами<br />
<br />
control pkcs11-events card_actions<br />
systemctl start pkcs11-eventmgr<br />
<br />
в результате чего будут внесены необходимые изменения в файл <code>/etc/security/pam_pkcs11/pkcs11_eventmgr.conf</code> и включена служба <code>pkcs11-eventmgr</code> по наблюдению за токенами.<br />
<br />
== Настройка аутентификации с одновременным созданием пользователей ==<br />
<br />
Установите или обновите следующие пакеты: {{pkg|pam_pkcs11}}, {{pkg|pam_mkuser}}, {{pkg|lightdm}}, {{pkg|lightdm-gtk-greeter}}, {{pkg|card-actions}}.<br />
<br />
Введите следующие команды для переключения конфигурационных параметров:<br />
# <code>control lightdm-login-unknown enabled</code><br />
# <code>control pam_mkuser enabled</code><br />
# <code>control pam-pkcs11-mapping snils_scrambled</code><br />
<br />
Перезапустите менеджер экрана командой <code>systemctl restart lightdm</code>. После вставки токена в разъём будет выведено автоматически сгенерированное имя пользователя и приглашение для ввода PIN-кода.<br />
<br />
При необходимости, соответствие между автоматически сгенерированными именами и системными можно определить при помощи специального файла. Его имя затем нужно передать в качестве значения параметра <code>mapping</code> в подразделе <code>mapper generic</code> конфигурационного файла <code>pam_pkcs11.conf(5)</code>.<br />
<br />
Узнать автоматически сгенерированное имя до входа в систему можно введя команду <code>pklogin_finder</code>.<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%94%D0%B2%D1%83%D1%85%D1%84%D0%B0%D0%BA%D1%82%D0%BE%D1%80%D0%BD%D0%B0%D1%8F_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F&diff=42425Двухфакторная аутентификация2018-08-22T17:34:22Z<p>Manowar: Убрал лишний параграф</p>
<hr />
<div>{{Stub}}<br />
{{note|Информация по аутентификации с помощью профилей размещена [[Аутентификация_по_ключу|здесь]].}}<br />
<br />
== Настройка двухфакторной аутентификации в Альт Рабочая станция К 8.0 (KDE5) ==<br />
=== Двухфакторная аутентификация для входа на рабочую станцию ===<br />
<br />
1. Установить следующие пакеты используя Менеджер пакетов [[Synaptic|Synaptic]] или интерфейс командной строки (apt-get install): {{pkg|opensc}}, {{pkg|pam_pkcs11}}, {{pkg|pcsc-lite-ccid}}, {{pkg|openssl-engine_pkcs11}}, {{pkg|nss-utils}}, {{pkg|libhal}};<br />
<br />
2. Для 64-битных систем установить следующие пакеты: {{pkg|libc.so.6}}, {{pkg|libdbus-1.so.3}}, {{pkg|libhal.so.1}}, {{pkg|libpcsclite.so.1}}, {{pkg|libstdc++.so.6}}, {{pkg|libusb-1.0.so.0}};<br />
<br />
3. Установить пакеты SafeNet Authentication Client, выполнив команду:<br />
<pre><br />
rpm -ihv SafeNet*<br />
</pre><br />
<br />
4. Подготовить токен (сформировать ключевую пару и сертификат). Данная операция может быть выполнена в среде Linux (используя openssl) или Windows (Microsoft CA);<br />
<br />
5. Выполнить импорт корневого сертификата в формате Base64, путем выполнения команды:<br />
<pre><br />
certutil -A -n "Root CA" -t "CT,C,C" -a -d /etc/pki/nssdb -i <расположение сертификата><br />
</pre><br />
<br />
6. В конфигурационный файл {{path|/etc/security/pam_pkcs11/pam_pkcs11.conf}} внести следующие изменения:<br />
<pre><br />
use_pkcs11_module = etoken;<br />
debug = false;<br />
pkcs11_module etoken {<br />
module = /lib/libeToken.so.9<br />
#/lib64 для 64 битных систем<br />
description = "Gemalto SafeNet";<br />
slot_num = 0;<br />
support_threads = true;<br />
ca_dir = /etc/pam_pkcs11/cacerts;<br />
crl_dir = /etc/pam_pkcs11/crls;<br />
cert_policy = signature;<br />
}<br />
<br />
use_mappers = subject;<br />
<br />
mapper subject {<br />
debug = false;<br />
module = internal;<br />
ignorecase = false;<br />
mapfile = file:///etc/security/pam_pkcs11/subject_mapping;<br />
}<br />
</pre><br />
<br />
7. Выполнить команду:<br />
<pre><br />
pkcs11_insect > /etc/security/pam_pkcs11/subject_mapping<br />
</pre><br />
и удалить все, за исключением имени субъекта (пример, /DC=local/DC=gemalto/OU=SAS/CN=mrozhnov/emailAddress=mrozhnov@gemalto.local);<br />
<br />
8. Проверить корректность работы ключа eToken, выполнив команду:<br />
<pre><br />
pklogin_finder debug<br />
</pre><br />
[[Файл:EToken.png]]<br />
<br />
9. Далее необходимо установить следующие пакеты: {{pkg|lightdm}} и {{pkg|lightdm-kde-greeter}} и выполнить перезагрузку рабочей станции;<br />
<br />
10. Для возможности аутентификации по сертификату в консоли необходимо в файл {{path|/etc/pam.d/login}} вначале добавить строку:<br />
<pre><br />
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so<br />
</pre><br />
Для проверки под учетной записью root выполнить команду:<br />
<pre><br />
init 3<br />
</pre><br />
Далее аутентифицироваться с помощью токена:<br />
<br />
[[Файл:Login_token.png|Аутентификация по сертификату в консоли]]<br />
<br />
11. Для возможности аутентификации по сертификату в графическом интерфейсе необходимо выполнить команду:<br />
<pre><br />
control system-auth pkcs11<br />
</pre><br />
Далее аутентифицироваться с помощью токена (в поле окна необходимо ввести PIN код ключевого носителя):<br />
<br />
[[Файл:Login_token_kde.png|Аутентификация по сертификату в графическом интерфейсе]]<br />
<br />
12. Для того, чтобы отключить аутентификацию по паролю, необходимо выполнить следующую команду:<br />
<pre><br />
passwd –l <логин пользователя><br />
</pre><br />
<br />
[[Файл:Password_off.png|Аутентификация в консоли без пароля]]<br />
<br />
=== Двухфакторная аутентификация для работы в браузере Firefox ===<br />
<br />
При инсталляции SafeNet Authentication Client приложение автоматически подгружает устройства защиты в браузер Firefox. Для верификации данного факта необходимо запустить браузер и перейти к пункту {{nav|Настройки|Дополнительные|Сертификаты|Устройства защиты}} и убедиться, что токен виден в приложении:<br />
<br />
[[Файл:EToken_firefox.png|800px|Проверка подгрузки устройства защиты в браузер Firefox]]<br />
<br />
В случае если модуль eToken отсутствует его нужно загрузить из папки {{path|/lib}} или {{path|/lib64}}: <br />
<br />
[[Файл:Load_eToken.png|Загрузка eToken]]<br />
<br />
[[Файл:Load_eToken1.png|800px|Выбор eToken]]<br />
<br />
Далее можно использовать механизм двухфакторной аутентификации для доступа к веб-приложениям:<br />
<br />
[[Файл:Firefox_login.png|Механизм двухфакторной аутентификации для доступа к веб-приложениям]]<br />
<br />
== Настройка двухфакторной аутентификации в Альт Рабочая станция 8.1 (Mate) и Альт Сервер 8 ==<br />
=== Двухфакторная аутентификация для входа на рабочую станцию ===<br />
<br />
1. Установить следующие пакеты используя Менеджер пакетов [[Synaptic|Synaptic]] или интерфейс командной строки (apt-get install): {{pkg|opensc}}, {{pkg|pam_pkcs11}}, {{pkg|pcsc-lite-ccid}}, {{pkg|openssl-engine_pkcs11}}, {{pkg|nss-utils}}, {{pkg|libhal}};<br />
<br />
2. Для 64-битных систем установить следующие пакеты: {{pkg|libc.so.6}}, {{pkg|libdbus-1.so.3}}, {{pkg|libhal.so.1}}, {{pkg|libpcsclite.so.1}}, {{pkg|libstdc++.so.6}}, {{pkg|libusb-1.0.so.0}};<br />
<br />
3. Установить пакеты SafeNet Authentication Client, выполнив команду:<br />
<pre><br />
rpm -ihv SafeNet*<br />
</pre><br />
<br />
4. Подготовить токен (сформировать ключевую пару и сертификат). Данная операция может быть выполнена в среде Linux (используя openssl) или Windows (Microsoft CA);<br />
<br />
5. Выполнить импорт корневого сертификата в формате Base64, путем выполнения команды:<br />
<pre><br />
certutil -A -n "Root CA" -t "CT,C,C" -a -d /etc/pki/nssdb -i <расположение сертификата><br />
</pre><br />
<br />
6. В конфигурационный файл {{path|/etc/security/pam_pkcs11/pam_pkcs11.conf}} внести следующие изменения:<br />
<pre><br />
use_pkcs11_module = etoken;<br />
<br />
debug = false;<br />
<br />
pkcs11_module etoken {<br />
module = /lib/libeToken.so.9<br />
#/lib64 для 64 битных систем<br />
description = "Gemalto SafeNet";<br />
slot_num = 0;<br />
support_threads = true;<br />
ca_dir = /etc/pam_pkcs11/cacerts;<br />
crl_dir = /etc/pam_pkcs11/crls;<br />
cert_policy = signature;<br />
}<br />
<br />
use_mappers = cn; (Возможно использовать другие маперы subject, mail, etc)<br />
<br />
mapper cn {<br />
debug = false;<br />
module = internal;<br />
ignorecase = false;<br />
mapfile = file:///etc/security/pam_pkcs11/cn_mapping;<br />
}<br />
</pre><br />
<br />
7. Проверить корректность работы ключа eToken, выполнив команду:<br />
<pre><br />
pklogin_finder debug<br />
</pre><br />
[[Файл:EToken_Mate.png|Проверка корректности работы ключа eToken]]<br />
<br />
8. Для возможности аутентификации по сертификату в консоли необходимо в файл {{path|/etc/pam.d/login}} вначале добавить строку:<br />
<pre><br />
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so<br />
</pre><br />
Для проверки под учетной записью root выполнить команду:<br />
<pre><br />
init 3<br />
</pre><br />
Далее аутентифицироваться с помощью токена:<br />
<br />
[[Файл:Login_token1.png|Аутентификация по сертификату в консоли]]<br />
<br />
9. Для возможности аутентификации по сертификату в графическом интерфейсе необходимо выполнить команду:<br />
<pre><br />
control system-auth pkcs11<br />
</pre><br />
Далее аутентифицироваться с помощью токена (в поле окна необходимо ввести PIN код ключевого носителя):<br />
<br />
[[Файл:Login_token_mate.png|Аутентификация по сертификату в графическом интерфейсе]]<br />
<br />
10. Для того, чтобы отключить аутентификацию по паролю, необходимо выполнить следующую команду:<br />
<pre><br />
passwd –l <логин пользователя><br />
</pre><br />
<br />
[[Файл:Password_off1.png]]<br />
<br />
[[Файл:Password_off2.png|Аутентификация в консоли без пароля]]<br />
<br />
=== Двухфакторная аутентификация для работы в браузере Firefox ===<br />
<br />
При инсталляции SafeNet Authentication Client приложение автоматически подгружает устройства защиты в браузер Firefox. Для верификации данного факта необходимо запустить браузер и перейти к пункту {{nav|Настройки|Дополнительные|Сертификаты|Устройства защиты}} и убедиться, что токен виден в приложении:<br />
<br />
[[Файл:EToken_firefox.png|800px|Проверка подгрузки устройства защиты в браузер Firefox]]<br />
<br />
В случае если модуль eToken отсутствует его нужно загрузить из папки {{path|/lib}} или {{path|/lib64}}: <br />
<br />
[[Файл:Load_eToken.png|Загрузка eToken]]<br />
<br />
[[Файл:Load_eToken1.png|800px|Выбор eToken]]<br />
<br />
Далее можно использовать механизм двухфакторной аутентификации для доступа к веб-приложениям:<br />
<br />
[[Файл:Firefox_login1.png|800px|Механизм двухфакторной аутентификации для доступа к веб-приложениям]]<br />
<br />
= Ссылки =<br />
* http://www.linuxquestions.org/questions/blog/vik-404221/configuring-pam_pkcs11-smart-card-logins-for-gentoo-64-bit-linux-35613/<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%94%D0%B2%D1%83%D1%85%D1%84%D0%B0%D0%BA%D1%82%D0%BE%D1%80%D0%BD%D0%B0%D1%8F_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F&diff=42424Двухфакторная аутентификация2018-08-22T17:33:56Z<p>Manowar: Сделал примечание примечанием (note)</p>
<hr />
<div>{{Stub}}<br />
<br />
{{note|Информация по аутентификации с помощью профилей размещена [[Аутентификация_по_ключу|здесь]].}}<br />
<br />
== Настройка двухфакторной аутентификации в Альт Рабочая станция К 8.0 (KDE5) ==<br />
=== Двухфакторная аутентификация для входа на рабочую станцию ===<br />
<br />
1. Установить следующие пакеты используя Менеджер пакетов [[Synaptic|Synaptic]] или интерфейс командной строки (apt-get install): {{pkg|opensc}}, {{pkg|pam_pkcs11}}, {{pkg|pcsc-lite-ccid}}, {{pkg|openssl-engine_pkcs11}}, {{pkg|nss-utils}}, {{pkg|libhal}};<br />
<br />
2. Для 64-битных систем установить следующие пакеты: {{pkg|libc.so.6}}, {{pkg|libdbus-1.so.3}}, {{pkg|libhal.so.1}}, {{pkg|libpcsclite.so.1}}, {{pkg|libstdc++.so.6}}, {{pkg|libusb-1.0.so.0}};<br />
<br />
3. Установить пакеты SafeNet Authentication Client, выполнив команду:<br />
<pre><br />
rpm -ihv SafeNet*<br />
</pre><br />
<br />
4. Подготовить токен (сформировать ключевую пару и сертификат). Данная операция может быть выполнена в среде Linux (используя openssl) или Windows (Microsoft CA);<br />
<br />
5. Выполнить импорт корневого сертификата в формате Base64, путем выполнения команды:<br />
<pre><br />
certutil -A -n "Root CA" -t "CT,C,C" -a -d /etc/pki/nssdb -i <расположение сертификата><br />
</pre><br />
<br />
6. В конфигурационный файл {{path|/etc/security/pam_pkcs11/pam_pkcs11.conf}} внести следующие изменения:<br />
<pre><br />
use_pkcs11_module = etoken;<br />
debug = false;<br />
pkcs11_module etoken {<br />
module = /lib/libeToken.so.9<br />
#/lib64 для 64 битных систем<br />
description = "Gemalto SafeNet";<br />
slot_num = 0;<br />
support_threads = true;<br />
ca_dir = /etc/pam_pkcs11/cacerts;<br />
crl_dir = /etc/pam_pkcs11/crls;<br />
cert_policy = signature;<br />
}<br />
<br />
use_mappers = subject;<br />
<br />
mapper subject {<br />
debug = false;<br />
module = internal;<br />
ignorecase = false;<br />
mapfile = file:///etc/security/pam_pkcs11/subject_mapping;<br />
}<br />
</pre><br />
<br />
7. Выполнить команду:<br />
<pre><br />
pkcs11_insect > /etc/security/pam_pkcs11/subject_mapping<br />
</pre><br />
и удалить все, за исключением имени субъекта (пример, /DC=local/DC=gemalto/OU=SAS/CN=mrozhnov/emailAddress=mrozhnov@gemalto.local);<br />
<br />
8. Проверить корректность работы ключа eToken, выполнив команду:<br />
<pre><br />
pklogin_finder debug<br />
</pre><br />
[[Файл:EToken.png]]<br />
<br />
9. Далее необходимо установить следующие пакеты: {{pkg|lightdm}} и {{pkg|lightdm-kde-greeter}} и выполнить перезагрузку рабочей станции;<br />
<br />
10. Для возможности аутентификации по сертификату в консоли необходимо в файл {{path|/etc/pam.d/login}} вначале добавить строку:<br />
<pre><br />
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so<br />
</pre><br />
Для проверки под учетной записью root выполнить команду:<br />
<pre><br />
init 3<br />
</pre><br />
Далее аутентифицироваться с помощью токена:<br />
<br />
[[Файл:Login_token.png|Аутентификация по сертификату в консоли]]<br />
<br />
11. Для возможности аутентификации по сертификату в графическом интерфейсе необходимо выполнить команду:<br />
<pre><br />
control system-auth pkcs11<br />
</pre><br />
Далее аутентифицироваться с помощью токена (в поле окна необходимо ввести PIN код ключевого носителя):<br />
<br />
[[Файл:Login_token_kde.png|Аутентификация по сертификату в графическом интерфейсе]]<br />
<br />
12. Для того, чтобы отключить аутентификацию по паролю, необходимо выполнить следующую команду:<br />
<pre><br />
passwd –l <логин пользователя><br />
</pre><br />
<br />
[[Файл:Password_off.png|Аутентификация в консоли без пароля]]<br />
<br />
=== Двухфакторная аутентификация для работы в браузере Firefox ===<br />
<br />
При инсталляции SafeNet Authentication Client приложение автоматически подгружает устройства защиты в браузер Firefox. Для верификации данного факта необходимо запустить браузер и перейти к пункту {{nav|Настройки|Дополнительные|Сертификаты|Устройства защиты}} и убедиться, что токен виден в приложении:<br />
<br />
[[Файл:EToken_firefox.png|800px|Проверка подгрузки устройства защиты в браузер Firefox]]<br />
<br />
В случае если модуль eToken отсутствует его нужно загрузить из папки {{path|/lib}} или {{path|/lib64}}: <br />
<br />
[[Файл:Load_eToken.png|Загрузка eToken]]<br />
<br />
[[Файл:Load_eToken1.png|800px|Выбор eToken]]<br />
<br />
Далее можно использовать механизм двухфакторной аутентификации для доступа к веб-приложениям:<br />
<br />
[[Файл:Firefox_login.png|Механизм двухфакторной аутентификации для доступа к веб-приложениям]]<br />
<br />
== Настройка двухфакторной аутентификации в Альт Рабочая станция 8.1 (Mate) и Альт Сервер 8 ==<br />
=== Двухфакторная аутентификация для входа на рабочую станцию ===<br />
<br />
1. Установить следующие пакеты используя Менеджер пакетов [[Synaptic|Synaptic]] или интерфейс командной строки (apt-get install): {{pkg|opensc}}, {{pkg|pam_pkcs11}}, {{pkg|pcsc-lite-ccid}}, {{pkg|openssl-engine_pkcs11}}, {{pkg|nss-utils}}, {{pkg|libhal}};<br />
<br />
2. Для 64-битных систем установить следующие пакеты: {{pkg|libc.so.6}}, {{pkg|libdbus-1.so.3}}, {{pkg|libhal.so.1}}, {{pkg|libpcsclite.so.1}}, {{pkg|libstdc++.so.6}}, {{pkg|libusb-1.0.so.0}};<br />
<br />
3. Установить пакеты SafeNet Authentication Client, выполнив команду:<br />
<pre><br />
rpm -ihv SafeNet*<br />
</pre><br />
<br />
4. Подготовить токен (сформировать ключевую пару и сертификат). Данная операция может быть выполнена в среде Linux (используя openssl) или Windows (Microsoft CA);<br />
<br />
5. Выполнить импорт корневого сертификата в формате Base64, путем выполнения команды:<br />
<pre><br />
certutil -A -n "Root CA" -t "CT,C,C" -a -d /etc/pki/nssdb -i <расположение сертификата><br />
</pre><br />
<br />
6. В конфигурационный файл {{path|/etc/security/pam_pkcs11/pam_pkcs11.conf}} внести следующие изменения:<br />
<pre><br />
use_pkcs11_module = etoken;<br />
<br />
debug = false;<br />
<br />
pkcs11_module etoken {<br />
module = /lib/libeToken.so.9<br />
#/lib64 для 64 битных систем<br />
description = "Gemalto SafeNet";<br />
slot_num = 0;<br />
support_threads = true;<br />
ca_dir = /etc/pam_pkcs11/cacerts;<br />
crl_dir = /etc/pam_pkcs11/crls;<br />
cert_policy = signature;<br />
}<br />
<br />
use_mappers = cn; (Возможно использовать другие маперы subject, mail, etc)<br />
<br />
mapper cn {<br />
debug = false;<br />
module = internal;<br />
ignorecase = false;<br />
mapfile = file:///etc/security/pam_pkcs11/cn_mapping;<br />
}<br />
</pre><br />
<br />
7. Проверить корректность работы ключа eToken, выполнив команду:<br />
<pre><br />
pklogin_finder debug<br />
</pre><br />
[[Файл:EToken_Mate.png|Проверка корректности работы ключа eToken]]<br />
<br />
8. Для возможности аутентификации по сертификату в консоли необходимо в файл {{path|/etc/pam.d/login}} вначале добавить строку:<br />
<pre><br />
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so<br />
</pre><br />
Для проверки под учетной записью root выполнить команду:<br />
<pre><br />
init 3<br />
</pre><br />
Далее аутентифицироваться с помощью токена:<br />
<br />
[[Файл:Login_token1.png|Аутентификация по сертификату в консоли]]<br />
<br />
9. Для возможности аутентификации по сертификату в графическом интерфейсе необходимо выполнить команду:<br />
<pre><br />
control system-auth pkcs11<br />
</pre><br />
Далее аутентифицироваться с помощью токена (в поле окна необходимо ввести PIN код ключевого носителя):<br />
<br />
[[Файл:Login_token_mate.png|Аутентификация по сертификату в графическом интерфейсе]]<br />
<br />
10. Для того, чтобы отключить аутентификацию по паролю, необходимо выполнить следующую команду:<br />
<pre><br />
passwd –l <логин пользователя><br />
</pre><br />
<br />
[[Файл:Password_off1.png]]<br />
<br />
[[Файл:Password_off2.png|Аутентификация в консоли без пароля]]<br />
<br />
=== Двухфакторная аутентификация для работы в браузере Firefox ===<br />
<br />
При инсталляции SafeNet Authentication Client приложение автоматически подгружает устройства защиты в браузер Firefox. Для верификации данного факта необходимо запустить браузер и перейти к пункту {{nav|Настройки|Дополнительные|Сертификаты|Устройства защиты}} и убедиться, что токен виден в приложении:<br />
<br />
[[Файл:EToken_firefox.png|800px|Проверка подгрузки устройства защиты в браузер Firefox]]<br />
<br />
В случае если модуль eToken отсутствует его нужно загрузить из папки {{path|/lib}} или {{path|/lib64}}: <br />
<br />
[[Файл:Load_eToken.png|Загрузка eToken]]<br />
<br />
[[Файл:Load_eToken1.png|800px|Выбор eToken]]<br />
<br />
Далее можно использовать механизм двухфакторной аутентификации для доступа к веб-приложениям:<br />
<br />
[[Файл:Firefox_login1.png|800px|Механизм двухфакторной аутентификации для доступа к веб-приложениям]]<br />
<br />
= Ссылки =<br />
* http://www.linuxquestions.org/questions/blog/vik-404221/configuring-pam_pkcs11-smart-card-logins-for-gentoo-64-bit-linux-35613/<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=%D0%94%D0%B2%D1%83%D1%85%D1%84%D0%B0%D0%BA%D1%82%D0%BE%D1%80%D0%BD%D0%B0%D1%8F_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F&diff=42423Двухфакторная аутентификация2018-08-22T17:32:54Z<p>Manowar: + Дополнительные материалы по теме</p>
<hr />
<div>{{Stub}}<br />
Информация по аутентификации с помощью профилей размещена [[Аутентификация_по_ключу|здесь]].<br />
<br />
== Настройка двухфакторной аутентификации в Альт Рабочая станция К 8.0 (KDE5) ==<br />
=== Двухфакторная аутентификация для входа на рабочую станцию ===<br />
<br />
1. Установить следующие пакеты используя Менеджер пакетов [[Synaptic|Synaptic]] или интерфейс командной строки (apt-get install): {{pkg|opensc}}, {{pkg|pam_pkcs11}}, {{pkg|pcsc-lite-ccid}}, {{pkg|openssl-engine_pkcs11}}, {{pkg|nss-utils}}, {{pkg|libhal}};<br />
<br />
2. Для 64-битных систем установить следующие пакеты: {{pkg|libc.so.6}}, {{pkg|libdbus-1.so.3}}, {{pkg|libhal.so.1}}, {{pkg|libpcsclite.so.1}}, {{pkg|libstdc++.so.6}}, {{pkg|libusb-1.0.so.0}};<br />
<br />
3. Установить пакеты SafeNet Authentication Client, выполнив команду:<br />
<pre><br />
rpm -ihv SafeNet*<br />
</pre><br />
<br />
4. Подготовить токен (сформировать ключевую пару и сертификат). Данная операция может быть выполнена в среде Linux (используя openssl) или Windows (Microsoft CA);<br />
<br />
5. Выполнить импорт корневого сертификата в формате Base64, путем выполнения команды:<br />
<pre><br />
certutil -A -n "Root CA" -t "CT,C,C" -a -d /etc/pki/nssdb -i <расположение сертификата><br />
</pre><br />
<br />
6. В конфигурационный файл {{path|/etc/security/pam_pkcs11/pam_pkcs11.conf}} внести следующие изменения:<br />
<pre><br />
use_pkcs11_module = etoken;<br />
debug = false;<br />
pkcs11_module etoken {<br />
module = /lib/libeToken.so.9<br />
#/lib64 для 64 битных систем<br />
description = "Gemalto SafeNet";<br />
slot_num = 0;<br />
support_threads = true;<br />
ca_dir = /etc/pam_pkcs11/cacerts;<br />
crl_dir = /etc/pam_pkcs11/crls;<br />
cert_policy = signature;<br />
}<br />
<br />
use_mappers = subject;<br />
<br />
mapper subject {<br />
debug = false;<br />
module = internal;<br />
ignorecase = false;<br />
mapfile = file:///etc/security/pam_pkcs11/subject_mapping;<br />
}<br />
</pre><br />
<br />
7. Выполнить команду:<br />
<pre><br />
pkcs11_insect > /etc/security/pam_pkcs11/subject_mapping<br />
</pre><br />
и удалить все, за исключением имени субъекта (пример, /DC=local/DC=gemalto/OU=SAS/CN=mrozhnov/emailAddress=mrozhnov@gemalto.local);<br />
<br />
8. Проверить корректность работы ключа eToken, выполнив команду:<br />
<pre><br />
pklogin_finder debug<br />
</pre><br />
[[Файл:EToken.png]]<br />
<br />
9. Далее необходимо установить следующие пакеты: {{pkg|lightdm}} и {{pkg|lightdm-kde-greeter}} и выполнить перезагрузку рабочей станции;<br />
<br />
10. Для возможности аутентификации по сертификату в консоли необходимо в файл {{path|/etc/pam.d/login}} вначале добавить строку:<br />
<pre><br />
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so<br />
</pre><br />
Для проверки под учетной записью root выполнить команду:<br />
<pre><br />
init 3<br />
</pre><br />
Далее аутентифицироваться с помощью токена:<br />
<br />
[[Файл:Login_token.png|Аутентификация по сертификату в консоли]]<br />
<br />
11. Для возможности аутентификации по сертификату в графическом интерфейсе необходимо выполнить команду:<br />
<pre><br />
control system-auth pkcs11<br />
</pre><br />
Далее аутентифицироваться с помощью токена (в поле окна необходимо ввести PIN код ключевого носителя):<br />
<br />
[[Файл:Login_token_kde.png|Аутентификация по сертификату в графическом интерфейсе]]<br />
<br />
12. Для того, чтобы отключить аутентификацию по паролю, необходимо выполнить следующую команду:<br />
<pre><br />
passwd –l <логин пользователя><br />
</pre><br />
<br />
[[Файл:Password_off.png|Аутентификация в консоли без пароля]]<br />
<br />
=== Двухфакторная аутентификация для работы в браузере Firefox ===<br />
<br />
При инсталляции SafeNet Authentication Client приложение автоматически подгружает устройства защиты в браузер Firefox. Для верификации данного факта необходимо запустить браузер и перейти к пункту {{nav|Настройки|Дополнительные|Сертификаты|Устройства защиты}} и убедиться, что токен виден в приложении:<br />
<br />
[[Файл:EToken_firefox.png|800px|Проверка подгрузки устройства защиты в браузер Firefox]]<br />
<br />
В случае если модуль eToken отсутствует его нужно загрузить из папки {{path|/lib}} или {{path|/lib64}}: <br />
<br />
[[Файл:Load_eToken.png|Загрузка eToken]]<br />
<br />
[[Файл:Load_eToken1.png|800px|Выбор eToken]]<br />
<br />
Далее можно использовать механизм двухфакторной аутентификации для доступа к веб-приложениям:<br />
<br />
[[Файл:Firefox_login.png|Механизм двухфакторной аутентификации для доступа к веб-приложениям]]<br />
<br />
== Настройка двухфакторной аутентификации в Альт Рабочая станция 8.1 (Mate) и Альт Сервер 8 ==<br />
=== Двухфакторная аутентификация для входа на рабочую станцию ===<br />
<br />
1. Установить следующие пакеты используя Менеджер пакетов [[Synaptic|Synaptic]] или интерфейс командной строки (apt-get install): {{pkg|opensc}}, {{pkg|pam_pkcs11}}, {{pkg|pcsc-lite-ccid}}, {{pkg|openssl-engine_pkcs11}}, {{pkg|nss-utils}}, {{pkg|libhal}};<br />
<br />
2. Для 64-битных систем установить следующие пакеты: {{pkg|libc.so.6}}, {{pkg|libdbus-1.so.3}}, {{pkg|libhal.so.1}}, {{pkg|libpcsclite.so.1}}, {{pkg|libstdc++.so.6}}, {{pkg|libusb-1.0.so.0}};<br />
<br />
3. Установить пакеты SafeNet Authentication Client, выполнив команду:<br />
<pre><br />
rpm -ihv SafeNet*<br />
</pre><br />
<br />
4. Подготовить токен (сформировать ключевую пару и сертификат). Данная операция может быть выполнена в среде Linux (используя openssl) или Windows (Microsoft CA);<br />
<br />
5. Выполнить импорт корневого сертификата в формате Base64, путем выполнения команды:<br />
<pre><br />
certutil -A -n "Root CA" -t "CT,C,C" -a -d /etc/pki/nssdb -i <расположение сертификата><br />
</pre><br />
<br />
6. В конфигурационный файл {{path|/etc/security/pam_pkcs11/pam_pkcs11.conf}} внести следующие изменения:<br />
<pre><br />
use_pkcs11_module = etoken;<br />
<br />
debug = false;<br />
<br />
pkcs11_module etoken {<br />
module = /lib/libeToken.so.9<br />
#/lib64 для 64 битных систем<br />
description = "Gemalto SafeNet";<br />
slot_num = 0;<br />
support_threads = true;<br />
ca_dir = /etc/pam_pkcs11/cacerts;<br />
crl_dir = /etc/pam_pkcs11/crls;<br />
cert_policy = signature;<br />
}<br />
<br />
use_mappers = cn; (Возможно использовать другие маперы subject, mail, etc)<br />
<br />
mapper cn {<br />
debug = false;<br />
module = internal;<br />
ignorecase = false;<br />
mapfile = file:///etc/security/pam_pkcs11/cn_mapping;<br />
}<br />
</pre><br />
<br />
7. Проверить корректность работы ключа eToken, выполнив команду:<br />
<pre><br />
pklogin_finder debug<br />
</pre><br />
[[Файл:EToken_Mate.png|Проверка корректности работы ключа eToken]]<br />
<br />
8. Для возможности аутентификации по сертификату в консоли необходимо в файл {{path|/etc/pam.d/login}} вначале добавить строку:<br />
<pre><br />
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so<br />
</pre><br />
Для проверки под учетной записью root выполнить команду:<br />
<pre><br />
init 3<br />
</pre><br />
Далее аутентифицироваться с помощью токена:<br />
<br />
[[Файл:Login_token1.png|Аутентификация по сертификату в консоли]]<br />
<br />
9. Для возможности аутентификации по сертификату в графическом интерфейсе необходимо выполнить команду:<br />
<pre><br />
control system-auth pkcs11<br />
</pre><br />
Далее аутентифицироваться с помощью токена (в поле окна необходимо ввести PIN код ключевого носителя):<br />
<br />
[[Файл:Login_token_mate.png|Аутентификация по сертификату в графическом интерфейсе]]<br />
<br />
10. Для того, чтобы отключить аутентификацию по паролю, необходимо выполнить следующую команду:<br />
<pre><br />
passwd –l <логин пользователя><br />
</pre><br />
<br />
[[Файл:Password_off1.png]]<br />
<br />
[[Файл:Password_off2.png|Аутентификация в консоли без пароля]]<br />
<br />
=== Двухфакторная аутентификация для работы в браузере Firefox ===<br />
<br />
При инсталляции SafeNet Authentication Client приложение автоматически подгружает устройства защиты в браузер Firefox. Для верификации данного факта необходимо запустить браузер и перейти к пункту {{nav|Настройки|Дополнительные|Сертификаты|Устройства защиты}} и убедиться, что токен виден в приложении:<br />
<br />
[[Файл:EToken_firefox.png|800px|Проверка подгрузки устройства защиты в браузер Firefox]]<br />
<br />
В случае если модуль eToken отсутствует его нужно загрузить из папки {{path|/lib}} или {{path|/lib64}}: <br />
<br />
[[Файл:Load_eToken.png|Загрузка eToken]]<br />
<br />
[[Файл:Load_eToken1.png|800px|Выбор eToken]]<br />
<br />
Далее можно использовать механизм двухфакторной аутентификации для доступа к веб-приложениям:<br />
<br />
[[Файл:Firefox_login1.png|800px|Механизм двухфакторной аутентификации для доступа к веб-приложениям]]<br />
<br />
= Ссылки =<br />
* http://www.linuxquestions.org/questions/blog/vik-404221/configuring-pam_pkcs11-smart-card-logins-for-gentoo-64-bit-linux-35613/<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Admin]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-profiles&diff=42422Lightdm-profiles2018-08-22T17:32:04Z<p>Manowar: /* Дополнительные материалы по теме */ Ссылка на статью Аутентификация по ключу</p>
<hr />
<div>Управляет конфигурацией LightDM с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основных конфигурационных файлах.<br />
<br />
Настройка подсистемы аутентификации часто предполагает типовое решение. Однако распространять типовые решения в виде готовых конфигурационных файлов далеко не всегда удобно: изменение любого второстепенного параметра конфигурации формально делает её не типовой, а вносить такие изменения приходится тоже часто. Выйти из такого положения может помочь механизм конфигурационных "профилей". Идея его проста: выделить и сгруппировать вместе те параметры конфигурации, которые связаны с той или иной политикой, назначением, поведением и т.п. — короче говоря с типом решения, и распространять их отдельно от основного файла (или файлов), где они непосредственно вступают в силу. Применение профиля означает, что перечисленные в нём параметры будут установлены в основных файлах; проверка на соответствие профилю означает, что значения перечисленных параметров будут сверены с их фактическим состоянием в основных файлах.<br />
<br />
В настоящее время подобный механизм профилей реализован для настройки LightDM, а также пакета {{pkg|pam_pkcs11}} (см. [[pkcs11-profiles]]).<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/lightdm-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/lightdm-profiles sisyphus.ru].'''<br />
<br />
== Управление профилями ==<br />
<br />
Управление профилями производится командой {{cmd|control lightdm-profile}}. Профили располагаются в директории {{path|/etc/lightdm/profile.d}}.<br />
<br />
== Формат профиля ==<br />
<br />
Профиль делится на ''секции'', в заголовке которых указывается целевой конфигурационный файл, а также имя секции ''внутри'' этого файла. Следом указываются конфигурационные параметры и их значения.<br />
<br />
Пример профиля:<br />
<br />
# "Zastava"<br />
<br />
[lightdm.conf:Seat:*]<br />
login-unknown=true<br />
greeter-hide-users=true<br />
default-username=nobody<br />
<br />
[lightdm-gtk-greeter.conf:greeter]<br />
implicit-messages=false<br />
restart-on-cancel=true<br />
default-info-text=Подождите, пожалуйста<br />
default-comment=Читается карта…<br />
hide-login-noprompt=true<br />
hide-chpass-noprompt=true<br />
hide-cancel-noprompt=true<br />
chpass-button-label=Сменить ПИН<br />
enable-chpass-on=Карта заблокирована!|ПИН-код введён неверно!<br />
show-chpass-button=true<br />
chpass-key-code=65<br />
chpass-key-mod=12<br />
css-path=/etc/lightdm/zastava.css<br />
<br />
Данный профиль предназначен для использования совместно с модулем [[lightdm-gtk-greeter-pd]], поэтому распространяется в пакете, имеющем зависимости на него. Этот пакет имеет в составе также таблицу стилей, на которую ссылается профиль и те файлы, которые использует она.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Pkcs11-profiles&diff=42421Pkcs11-profiles2018-08-22T17:31:35Z<p>Manowar: Ссылка на статью Аутентификация по ключу</p>
<hr />
<div>Управляет конфигурацией {{pkg|pam_pkcs11}} с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.<br />
<br />
Подробнее о профилях см. [[lightdm-profiles]].<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/pkcs11-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/pkcs11-profiles sisyphus.ru].'''<br />
<br />
== Управление конфигурацией ==<br />
<br />
Управление профилями производится командами {{cmd|control pam-pkcs11-profile}}, {{cmd|control pam-pkcs11-param-set}}, {{cmd|control pam-pkcs11-messages}}, а также дополнительными командами {{cmd|control pam-pkcs11-module}} и {{cmd|control pam-pkcs11-mapping}}. Профили располагаются в директории {{path|/etc/security/pam_pkcs11}}. Разделение команд принято следующее:<br />
<br />
* {{cmd|control pam-pkcs11-profile}} отвечает за настройку {{pkg|pam_pkcs11}} на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);<br />
* {{cmd|control pam-pkcs11-param-set}} задаёт определённый вариант поведения {{pkg|pam_pkcs11}}, который от железа не зависит;<br />
* {{cmd|control pam-pkcs11-messages}} определяет набор выводимых пользователю сообщений.<br />
<br />
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации {{pkg|pam_pkcs11}}.<br />
<br />
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42420Lightdm-gtk-greeter-pd2018-08-22T17:30:56Z<p>Manowar: Ссылка на статью Аутентификация по ключу</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]], [[аутентификация по ключу]] и т.п.).<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/lightdm-gtk-greeter-pd packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/lightdm-gtk-greeter-pd sisyphus.ru].'''<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
Дополнительно о настройке {{pkg|lightdm}} и его модулей см. [[lightdm-profiles]].<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
* [[Аутентификация по ключу]]<br />
* [[alterator-auth-token]]<br />
<br />
[[Категория:Программы]]<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42419Lightdm-gtk-greeter-pd2018-08-22T17:28:04Z<p>Manowar: Информация о пакете</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/lightdm-gtk-greeter-pd packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/lightdm-gtk-greeter-pd sisyphus.ru].'''<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
Дополнительно о настройке {{pkg|lightdm}} и его модулей см. [[lightdm-profiles]].<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Программы]]<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Pkcs11-profiles&diff=42418Pkcs11-profiles2018-08-22T17:27:23Z<p>Manowar: Информация о пакете</p>
<hr />
<div>Управляет конфигурацией {{pkg|pam_pkcs11}} с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.<br />
<br />
Подробнее о профилях см. [[lightdm-profiles]].<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/pkcs11-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/pkcs11-profiles sisyphus.ru].'''<br />
<br />
== Управление конфигурацией ==<br />
<br />
Управление профилями производится командами {{cmd|control pam-pkcs11-profile}}, {{cmd|control pam-pkcs11-param-set}}, {{cmd|control pam-pkcs11-messages}}, а также дополнительными командами {{cmd|control pam-pkcs11-module}} и {{cmd|control pam-pkcs11-mapping}}. Профили располагаются в директории {{path|/etc/security/pam_pkcs11}}. Разделение команд принято следующее:<br />
<br />
* {{cmd|control pam-pkcs11-profile}} отвечает за настройку {{pkg|pam_pkcs11}} на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);<br />
* {{cmd|control pam-pkcs11-param-set}} задаёт определённый вариант поведения {{pkg|pam_pkcs11}}, который от железа не зависит;<br />
* {{cmd|control pam-pkcs11-messages}} определяет набор выводимых пользователю сообщений.<br />
<br />
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации {{pkg|pam_pkcs11}}.<br />
<br />
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-profiles&diff=42417Lightdm-profiles2018-08-22T17:27:05Z<p>Manowar: Информация о пакете</p>
<hr />
<div>Управляет конфигурацией LightDM с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основных конфигурационных файлах.<br />
<br />
Настройка подсистемы аутентификации часто предполагает типовое решение. Однако распространять типовые решения в виде готовых конфигурационных файлов далеко не всегда удобно: изменение любого второстепенного параметра конфигурации формально делает её не типовой, а вносить такие изменения приходится тоже часто. Выйти из такого положения может помочь механизм конфигурационных "профилей". Идея его проста: выделить и сгруппировать вместе те параметры конфигурации, которые связаны с той или иной политикой, назначением, поведением и т.п. — короче говоря с типом решения, и распространять их отдельно от основного файла (или файлов), где они непосредственно вступают в силу. Применение профиля означает, что перечисленные в нём параметры будут установлены в основных файлах; проверка на соответствие профилю означает, что значения перечисленных параметров будут сверены с их фактическим состоянием в основных файлах.<br />
<br />
В настоящее время подобный механизм профилей реализован для настройки LightDM, а также пакета {{pkg|pam_pkcs11}} (см. [[pkcs11-profiles]]).<br />
<br />
'''Информация о пакете: [https://packages.altlinux.org/lightdm-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/lightdm-profiles sisyphus.ru].'''<br />
<br />
== Управление профилями ==<br />
<br />
Управление профилями производится командой {{cmd|control lightdm-profile}}. Профили располагаются в директории {{path|/etc/lightdm/profile.d}}.<br />
<br />
== Формат профиля ==<br />
<br />
Профиль делится на ''секции'', в заголовке которых указывается целевой конфигурационный файл, а также имя секции ''внутри'' этого файла. Следом указываются конфигурационные параметры и их значения.<br />
<br />
Пример профиля:<br />
<br />
# "Zastava"<br />
<br />
[lightdm.conf:Seat:*]<br />
login-unknown=true<br />
greeter-hide-users=true<br />
default-username=nobody<br />
<br />
[lightdm-gtk-greeter.conf:greeter]<br />
implicit-messages=false<br />
restart-on-cancel=true<br />
default-info-text=Подождите, пожалуйста<br />
default-comment=Читается карта…<br />
hide-login-noprompt=true<br />
hide-chpass-noprompt=true<br />
hide-cancel-noprompt=true<br />
chpass-button-label=Сменить ПИН<br />
enable-chpass-on=Карта заблокирована!|ПИН-код введён неверно!<br />
show-chpass-button=true<br />
chpass-key-code=65<br />
chpass-key-mod=12<br />
css-path=/etc/lightdm/zastava.css<br />
<br />
Данный профиль предназначен для использования совместно с модулем [[lightdm-gtk-greeter-pd]], поэтому распространяется в пакете, имеющем зависимости на него. Этот пакет имеет в составе также таблицу стилей, на которую ссылается профиль и те файлы, которые использует она.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-profiles&diff=42416Lightdm-profiles2018-08-22T17:26:32Z<p>Manowar: Информация о пакете</p>
<hr />
<div>Управляет конфигурацией LightDM с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основных конфигурационных файлах.<br />
<br />
Настройка подсистемы аутентификации часто предполагает типовое решение. Однако распространять типовые решения в виде готовых конфигурационных файлов далеко не всегда удобно: изменение любого второстепенного параметра конфигурации формально делает её не типовой, а вносить такие изменения приходится тоже часто. Выйти из такого положения может помочь механизм конфигурационных "профилей". Идея его проста: выделить и сгруппировать вместе те параметры конфигурации, которые связаны с той или иной политикой, назначением, поведением и т.п. — короче говоря с типом решения, и распространять их отдельно от основного файла (или файлов), где они непосредственно вступают в силу. Применение профиля означает, что перечисленные в нём параметры будут установлены в основных файлах; проверка на соответствие профилю означает, что значения перечисленных параметров будут сверены с их фактическим состоянием в основных файлах.<br />
<br />
В настоящее время подобный механизм профилей реализован для настройки LightDM, а также пакета {{pkg|pam_pkcs11}} (см. [[pkcs11-profiles]]).<br />
<br />
Информация о пакете: [https://packages.altlinux.org/lightdm-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/lightdm-profiles sisyphus.ru].<br />
<br />
== Управление профилями ==<br />
<br />
Управление профилями производится командой {{cmd|control lightdm-profile}}. Профили располагаются в директории {{path|/etc/lightdm/profile.d}}.<br />
<br />
== Формат профиля ==<br />
<br />
Профиль делится на ''секции'', в заголовке которых указывается целевой конфигурационный файл, а также имя секции ''внутри'' этого файла. Следом указываются конфигурационные параметры и их значения.<br />
<br />
Пример профиля:<br />
<br />
# "Zastava"<br />
<br />
[lightdm.conf:Seat:*]<br />
login-unknown=true<br />
greeter-hide-users=true<br />
default-username=nobody<br />
<br />
[lightdm-gtk-greeter.conf:greeter]<br />
implicit-messages=false<br />
restart-on-cancel=true<br />
default-info-text=Подождите, пожалуйста<br />
default-comment=Читается карта…<br />
hide-login-noprompt=true<br />
hide-chpass-noprompt=true<br />
hide-cancel-noprompt=true<br />
chpass-button-label=Сменить ПИН<br />
enable-chpass-on=Карта заблокирована!|ПИН-код введён неверно!<br />
show-chpass-button=true<br />
chpass-key-code=65<br />
chpass-key-mod=12<br />
css-path=/etc/lightdm/zastava.css<br />
<br />
Данный профиль предназначен для использования совместно с модулем [[lightdm-gtk-greeter-pd]], поэтому распространяется в пакете, имеющем зависимости на него. Этот пакет имеет в составе также таблицу стилей, на которую ссылается профиль и те файлы, которые использует она.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Pkcs11-profiles&diff=42415Pkcs11-profiles2018-08-22T17:25:58Z<p>Manowar: Информация о пакете</p>
<hr />
<div>Управляет конфигурацией {{pkg|pam_pkcs11}} с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.<br />
<br />
Подробнее о профилях см. [[lightdm-profiles]].<br />
<br />
Информация о пакете: [https://packages.altlinux.org/pkcs11-profiles packages.altlinux.org], [http://sisyphus.ru/ru/srpm/Sisyphus/pkcs11-profiles sisyphus.ru].<br />
<br />
== Управление конфигурацией ==<br />
<br />
Управление профилями производится командами {{cmd|control pam-pkcs11-profile}}, {{cmd|control pam-pkcs11-param-set}}, {{cmd|control pam-pkcs11-messages}}, а также дополнительными командами {{cmd|control pam-pkcs11-module}} и {{cmd|control pam-pkcs11-mapping}}. Профили располагаются в директории {{path|/etc/security/pam_pkcs11}}. Разделение команд принято следующее:<br />
<br />
* {{cmd|control pam-pkcs11-profile}} отвечает за настройку {{pkg|pam_pkcs11}} на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);<br />
* {{cmd|control pam-pkcs11-param-set}} задаёт определённый вариант поведения {{pkg|pam_pkcs11}}, который от железа не зависит;<br />
* {{cmd|control pam-pkcs11-messages}} определяет набор выводимых пользователю сообщений.<br />
<br />
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации {{pkg|pam_pkcs11}}.<br />
<br />
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Pkcs11-profiles&diff=42414Pkcs11-profiles2018-08-22T17:19:25Z<p>Manowar: Дополнительные материалы по теме</p>
<hr />
<div>Управляет конфигурацией {{pkg|pam_pkcs11}} с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.<br />
<br />
Подробнее о профилях см. [[lightdm-profiles]].<br />
<br />
== Управление конфигурацией ==<br />
<br />
Управление профилями производится командами {{cmd|control pam-pkcs11-profile}}, {{cmd|control pam-pkcs11-param-set}}, {{cmd|control pam-pkcs11-messages}}, а также дополнительными командами {{cmd|control pam-pkcs11-module}} и {{cmd|control pam-pkcs11-mapping}}. Профили располагаются в директории {{path|/etc/security/pam_pkcs11}}. Разделение команд принято следующее:<br />
<br />
* {{cmd|control pam-pkcs11-profile}} отвечает за настройку {{pkg|pam_pkcs11}} на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);<br />
* {{cmd|control pam-pkcs11-param-set}} задаёт определённый вариант поведения {{pkg|pam_pkcs11}}, который от железа не зависит;<br />
* {{cmd|control pam-pkcs11-messages}} определяет набор выводимых пользователю сообщений.<br />
<br />
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации {{pkg|pam_pkcs11}}.<br />
<br />
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[lightdm-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Pkcs11-profiles&diff=42413Pkcs11-profiles2018-08-22T17:17:56Z<p>Manowar: Управление конфигурацией pam_pkcs11</p>
<hr />
<div>Управляет конфигурацией {{pkg|pam_pkcs11}} с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основном конфигурационном файле.<br />
<br />
Подробнее о профилях см. [[lightdm-profiles]].<br />
<br />
== Управление конфигурацией ==<br />
<br />
Управление профилями производится командами {{cmd|control pam-pkcs11-profile}}, {{cmd|control pam-pkcs11-param-set}}, {{cmd|control pam-pkcs11-messages}}, а также дополнительными командами {{cmd|control pam-pkcs11-module}} и {{cmd|control pam-pkcs11-mapping}}. Профили располагаются в директории {{path|/etc/security/pam_pkcs11}}. Разделение команд принято следующее:<br />
<br />
* {{cmd|control pam-pkcs11-profile}} отвечает за настройку {{pkg|pam_pkcs11}} на то или иное «железо» (токены, смарт-карты, считыватели и т.д.);<br />
* {{cmd|control pam-pkcs11-param-set}} задаёт определённый вариант поведения {{pkg|pam_pkcs11}}, который от железа не зависит;<br />
* {{cmd|control pam-pkcs11-messages}} определяет набор выводимых пользователю сообщений.<br />
<br />
Таким образом, три указанные выше команды управляют тремя независимыми (или почти не зависимыми) друг от друга разделами конфигурации {{pkg|pam_pkcs11}}.<br />
<br />
Дополнительная команда {{cmd|control pam-pkcs11-module}} служит для переключения модуля PKCS#11 и вызывается автоматически при работе {{cmd|control pam-pkcs11-profile}}, а команда {{cmd|control pam-pkcs11-mapping}} позволяет переключиться на тот или иной вариант проекции данных сертификата токена на учётные записи пользователей (аналогичная настройка может быть сделана в более общем виде с помощью {{cmd|control pam-pkcs11-param-set}}).<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42412Lightdm-gtk-greeter-pd2018-08-22T16:12:26Z<p>Manowar: /* Дополнительные материалы по теме */ lightdm-profiles</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
Дополнительно о настройке {{pkg|lightdm}} и его модулей см. [[lightdm-profiles]].<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Программы]]<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42411Lightdm-gtk-greeter-pd2018-08-22T16:11:59Z<p>Manowar: /* Дополнительные материалы по теме */</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
Дополнительно о настройке {{pkg|lightdm}} и его модулей см. [[lightdm-profiles]].<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Программы]]<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42410Lightdm-gtk-greeter-pd2018-08-22T16:11:32Z<p>Manowar: Дополнительные материалы по теме</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
Дополнительно о настройке {{pkg|lightdm}} и его модулей см. [[lightdm-profiles]].<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Программы]]<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-profiles&diff=42409Lightdm-profiles2018-08-22T16:10:54Z<p>Manowar: Дополнительные материалы по теме</p>
<hr />
<div>Управляет конфигурацией LightDM с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основных конфигурационных файлах.<br />
<br />
Настройка подсистемы аутентификации часто предполагает типовое решение. Однако распространять типовые решения в виде готовых конфигурационных файлов далеко не всегда удобно: изменение любого второстепенного параметра конфигурации формально делает её не типовой, а вносить такие изменения приходится тоже часто. Выйти из такого положения может помочь механизм конфигурационных "профилей". Идея его проста: выделить и сгруппировать вместе те параметры конфигурации, которые связаны с той или иной политикой, назначением, поведением и т.п. — короче говоря с типом решения, и распространять их отдельно от основного файла (или файлов), где они непосредственно вступают в силу. Применение профиля означает, что перечисленные в нём параметры будут установлены в основных файлах; проверка на соответствие профилю означает, что значения перечисленных параметров будут сверены с их фактическим состоянием в основных файлах.<br />
<br />
В настоящее время подобный механизм профилей реализован для настройки LightDM, а также пакета {{pkg|pam_pkcs11}} (см. [[pkcs11-profiles]]).<br />
<br />
== Управление профилями ==<br />
<br />
Управление профилями производится командой {{cmd|control lightdm-profile}}. Профили располагаются в директории {{path|/etc/lightdm/profile.d}}.<br />
<br />
== Формат профиля ==<br />
<br />
Профиль делится на ''секции'', в заголовке которых указывается целевой конфигурационный файл, а также имя секции ''внутри'' этого файла. Следом указываются конфигурационные параметры и их значения.<br />
<br />
Пример профиля:<br />
<br />
# "Zastava"<br />
<br />
[lightdm.conf:Seat:*]<br />
login-unknown=true<br />
greeter-hide-users=true<br />
default-username=nobody<br />
<br />
[lightdm-gtk-greeter.conf:greeter]<br />
implicit-messages=false<br />
restart-on-cancel=true<br />
default-info-text=Подождите, пожалуйста<br />
default-comment=Читается карта…<br />
hide-login-noprompt=true<br />
hide-chpass-noprompt=true<br />
hide-cancel-noprompt=true<br />
chpass-button-label=Сменить ПИН<br />
enable-chpass-on=Карта заблокирована!|ПИН-код введён неверно!<br />
show-chpass-button=true<br />
chpass-key-code=65<br />
chpass-key-mod=12<br />
css-path=/etc/lightdm/zastava.css<br />
<br />
Данный профиль предназначен для использования совместно с модулем [[lightdm-gtk-greeter-pd]], поэтому распространяется в пакете, имеющем зависимости на него. Этот пакет имеет в составе также таблицу стилей, на которую ссылается профиль и те файлы, которые использует она.<br />
<br />
== Дополнительные материалы по теме ==<br />
<br />
* [[pkcs11-profiles]]<br />
* [[lightdm-gtk-greeter-pd]]<br />
* [[Двухфакторная аутентификация]]<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-profiles&diff=42408Lightdm-profiles2018-08-22T16:09:08Z<p>Manowar: Описание формата профиля с примером</p>
<hr />
<div>Управляет конфигурацией LightDM с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основных конфигурационных файлах.<br />
<br />
Настройка подсистемы аутентификации часто предполагает типовое решение. Однако распространять типовые решения в виде готовых конфигурационных файлов далеко не всегда удобно: изменение любого второстепенного параметра конфигурации формально делает её не типовой, а вносить такие изменения приходится тоже часто. Выйти из такого положения может помочь механизм конфигурационных "профилей". Идея его проста: выделить и сгруппировать вместе те параметры конфигурации, которые связаны с той или иной политикой, назначением, поведением и т.п. — короче говоря с типом решения, и распространять их отдельно от основного файла (или файлов), где они непосредственно вступают в силу. Применение профиля означает, что перечисленные в нём параметры будут установлены в основных файлах; проверка на соответствие профилю означает, что значения перечисленных параметров будут сверены с их фактическим состоянием в основных файлах.<br />
<br />
В настоящее время подобный механизм профилей реализован для настройки LightDM, а также пакета {{pkg|pam_pkcs11}} (см. [[pkcs11-profiles]]).<br />
<br />
== Управление профилями ==<br />
<br />
Управление профилями производится командой {{cmd|control lightdm-profile}}. Профили располагаются в директории {{path|/etc/lightdm/profile.d}}.<br />
<br />
== Формат профиля ==<br />
<br />
Профиль делится на ''секции'', в заголовке которых указывается целевой конфигурационный файл, а также имя секции ''внутри'' этого файла. Следом указываются конфигурационные параметры и их значения.<br />
<br />
Пример профиля:<br />
<br />
# "Zastava"<br />
<br />
[lightdm.conf:Seat:*]<br />
login-unknown=true<br />
greeter-hide-users=true<br />
default-username=nobody<br />
<br />
[lightdm-gtk-greeter.conf:greeter]<br />
implicit-messages=false<br />
restart-on-cancel=true<br />
default-info-text=Подождите, пожалуйста<br />
default-comment=Читается карта…<br />
hide-login-noprompt=true<br />
hide-chpass-noprompt=true<br />
hide-cancel-noprompt=true<br />
chpass-button-label=Сменить ПИН<br />
enable-chpass-on=Карта заблокирована!|ПИН-код введён неверно!<br />
show-chpass-button=true<br />
chpass-key-code=65<br />
chpass-key-mod=12<br />
css-path=/etc/lightdm/zastava.css<br />
<br />
Данный профиль предназначен для использования совместно с модулем [[lightdm-gtk-greeter-pd]], поэтому распространяется в пакете, имеющем зависимости на него. Этот пакет имеет в составе также таблицу стилей, на которую ссылается профиль и те файлы, которые использует она.<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-profiles&diff=42407Lightdm-profiles2018-08-22T15:51:59Z<p>Manowar: О профилях</p>
<hr />
<div>Управляет конфигурацией LightDM с помощью профилей — конфигурационных файлов, содержащих определённое ''подмножество'' параметров, согласно которым устанавливаются параметры в основных конфигурационных файлах.<br />
<br />
Настройка подсистемы аутентификации часто предполагает типовое решение. Однако распространять типовые решения в виде готовых конфигурационных файлов далеко не всегда удобно: изменение любого второстепенного параметра конфигурации формально делает её не типовой, а вносить такие изменения приходится тоже часто. Выйти из такого положения может помочь механизм конфигурационных "профилей". Идея его проста: выделить и сгруппировать вместе те параметры конфигурации, которые связаны с той или иной политикой, назначением, поведением и т.п. — короче говоря с типом решения, и распространять их отдельно от основного файла (или файлов), где они непосредственно вступают в силу. Применение профиля означает, что перечисленные в нём параметры будут установлены в основных файлах; проверка на соответствие профилю означает, что значения перечисленных параметров будут сверены с их фактическим состоянием в основных файлах.<br />
<br />
В настоящее время данный механизм профилей реализован для настройки LightDM, а также пакета {{pkg|pam_pkcs11}} (см. [[pkcs11-profiles]]).<br />
<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42406Lightdm-gtk-greeter-pd2018-08-22T15:26:32Z<p>Manowar: Ссылка на lightdm-profiles</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
Дополнительно о настройке {{pkg|lightdm}} и его модулей см. [[lightdm-profiles]].<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
[[Категория:Программы]]<br />
[[Категория:Пакеты]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42405Lightdm-gtk-greeter-pd2018-08-22T15:09:14Z<p>Manowar: Об обработке сообщений</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
=== Обработка сообщений PAM ===<br />
<br />
Кроме вывода сообщений на экран, гритер способен реагировать на них различным образом. Так, при наличии опций вида {{term|*-noprompt}} поступление запроса от PAM-стека является сигналом для вывода соответствующей кнопки, которая с начала сеанса и до приёма первого запроса будет скрыта.<br />
<br />
Дополнительная обработка сообщений связана с опцией {{term|enable-chpass-on}}. В качестве значения опции можно указать несколько строк, разделив их знаком вертикальной черты ("|"). Каждая строка из этого списка будет использована как ''префикс'' для сравнения с очередным сообщением PAM, и при совпадении на экране появится кнопка "Сменить пароль" (для этого опция {{term|show-chpass-button}} также должна быть включена).<br />
<br />
[[Категория:Программы]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42404Lightdm-gtk-greeter-pd2018-08-22T15:01:37Z<p>Manowar: Краткое описание дополнительных параметров конфигурации</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
== Настройка гритера ==<br />
<br />
Кроме вышеописанной основной особенности, данная модификация гритера имеет расширенные по сравнению с базовой версией параметры настройки, а именно:<br />
<br />
* {{term|implicit-messages}} — выводить стандартные сообщения об ошибках в том случае, если PAM-стек не вернул явно никакого описания ошибки (по умолчанию включено);<br />
* {{term|restart-on-cancel}} — после нажатия на кнопку "Отмена" немедленно начать процесс аутентификации заново;<br />
* {{term|default-info-text}} — приветственное сообщение пользователю, которое выводится до начала PAM-сессии (по умолчанию — локализованная строка "Welcome");<br />
* {{term|default-comment}} — комментарий к приветственному сообщению (по умолчанию — пусто);<br />
* {{term|hide-login-noprompt}} — не показывать кнопку "Войти" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Отмена" до тех пор, пока от PAM будет не получен запрос на ввод данных;<br />
* {{term|show-chpass-button}} — показывать кнопку "Сменить пароль";<br />
* {{term|enable-chpass-on}} — показывать кнопку "Сменить пароль" только при наличии определённых сообщений от PAM-стека (например, сообщения об истечении срока действия пароля);<br />
* {{term|chpass-button-label}} — надпись на кнопке "Сменить пароль" (по умолчанию — локализованная строка "Change password");<br />
* {{term|chpass-key-code}} — сочетание клавиш для смены пароля;<br />
* {{term|hide-cancel-noprompt}} — не показывать кнопку "Сменить пароль" до тех пор, пока от PAM будет не получен запрос на ввод данных.<br />
<br />
[[Категория:Программы]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42403Lightdm-gtk-greeter-pd2018-08-22T14:22:36Z<p>Manowar: Ссылка на статью о двухфакторной аутентификации</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим. По этой причине данный гритер можно использовать с нестандартным PAM-стеком ([[двухфакторная аутентификация]] и т.п.).<br />
<br />
[[Категория:Программы]]</div>Manowarhttps://www.altlinux.org/index.php?title=Lightdm-gtk-greeter-pd&diff=42396Lightdm-gtk-greeter-pd2018-08-22T12:52:59Z<p>Manowar: Initial commit :-)</p>
<hr />
<div>Является модификацией {{pkg|lightdm-gtk-greeter}}. Отличительной особенностью модификации является то, что всё взаимодействие с PAM-стеком производится в режиме «вопрос-ответ»: программа не делает никаких предположений насчёт того, какое значение (и для чего) PAM будет запрашивать следующим.<br />
<br />
[[Категория:Программы]]</div>Manowarhttps://www.altlinux.org/index.php?title=Make-initrd&diff=41476Make-initrd2018-03-07T16:21:41Z<p>Manowar: /* Возможности */ nfsroot</p>
<hr />
<div>{{DISPLAYTITLE:make-initrd}}<br />
<br />
'''make-initrd''' — инструмент для сборки образов формата initramfs, используемых для начальной загрузки ОС Linux.<br />
<br />
Проект состоит из двух основных частей:<br />
* утилиты создания образа initramfs;<br />
* утилит, работающих внутри образа в момент загрузки.<br />
<br />
Утилита создания образа имеет модульную структуру. Основная её идея, что для создания образа необходимо (в простейшем случае) указать список особенностей (features) будущего образа. При этом порядок указания совершенно не важен. Пользователь не обязан знать как и в каком порядке будут применяться стадии и что они будут делать. Ему важно, чтобы, например, образ имел нужные модули ядра, имел bootsplash и был сжат определённым образом.<br />
<br />
'''Внимание:''' Некоторые фичи поставляются в отдельных пакетах. При указании имени отсутствующей фичи ''ошибки не происходит''.<br />
<br />
Основной иструмент в initrd это udev. Всё (или почти всё) делается через правила udev. Настройка сети, монтирование корневой директории. Всё.<br />
<br />
== Загрузка ==<br />
Init скрипт находится в корне образа (/init). Процесс загрузки разбит на несколько стадий. На самом деле, количество стадий не регламентировано.<br />
<br />
Процессом загрузки можно управлять через параметры ядра:<br />
<br />
'''ВНИМАНИЕ!''' Если нужно, чтобы stop или ignore сработали как можно раньше - нужно писать эти опции в ВЕРХНЕМ регистре, например stop -> STOP<br />
<br />
* '''init'''=''<prog>'' -- параметр определяет программу init;<br />
* '''quiet'''=''<1|0>'' -- включает/отключает отладочные сообщения;<br />
* '''panic'''=''<1|0>'' -- разрешает/запрещает получение консоли при аварийных ситуациях;<br />
* '''stop'''=''<stage-list>'' -- параметр определяет список стадий, перед которыми необходимо предоставить консоль (например stop=,all, или stop=,udev,);<br />
* '''ignore'''=''<stage-list>'' -- список стадий, которые нужно пропустить;<br />
* '''resume'''=''{<device>|UUID=...|LABEL=...}'' -- параметр определяет устройство, с которого будет производиться восстановление после спящего режима;<br />
* '''root'''=''{<device>|UUID=...|LABEL=...|/dev/nfs}'' -- параметр определяет устройство, на котором находится корневая файловая система;<br />
* '''rootdelay'''=''<sec>'' -- определяет время ожидания корневой файловой системы. Если за это время корень не будет найден, то загрузка продолжена не будет. По умолчанию этот параметр составляет 180 секунд;<br />
* '''ip'''=''<client-ip>:<server-ip>:<gw-ip>:<netmask>:<hostname>:<device>:<proto>'' ,<br />
* '''ip'''=''<device>:<proto>'' -- параметр описывает конфигурацию сетевых интерфейсов.<br />
* '''RESCUE_MODULES'''="usbhid ehci_hcd hid_generic evdev ehci_pci ipmi_si" -- загрузить эти модули при вываливании в '''shell''' после указания stop=;<br />
* '''NOSPLASH''' = стараться не запускать plymouth<br />
<br />
== Отладка ==<br />
=== общее ===<br />
Добавьте в {{path|/etc/initrd.mk}} строчку <tt>VERBOSE = 1</tt> перед запуском сборки initrd.<br />
<br />
Можно останавливать загрузку передачей параметра stop=<stage-list>, где список стадий:<br />
<pre><br />
defaults<br />
prepare<br />
cmdline<br />
fstab<br />
network<br />
preudev<br />
udev<br />
loop<br />
stopudev<br />
killall<br />
cleanup<br />
umount<br />
sysinit<br />
</pre><br />
<br />
=== udev ===<br />
При "залипании" (на старте {{cmd|udevd}}) бывает полезно указать при загрузке опции <tt>rootdelay=3 stop=udev</tt> и запустить в полученном шелле {{cmd|udevd --debug --resolve-names&#61;never}} вручную; если проблема не вскрывается, может пригодиться сборка образа с добавленной в {{path|/etc/initrd.mk}} строчкой <tt>PUT_FILES += /usr/bin/strace</tt> и последующий запуск {{cmd|strace -ff -o /tmp/udev.strace -- udevd --debug --resolve-names&#61;never}}. Для сохранения полученных данных может пригодиться, например, встроенный в ноутбук кардридер при <tt>MODULES_PRELOAD = sd_mod sdhci sdhci_pci mmc_block</tt>.<br />
<br />
== Возможности ==<br />
{| class="wide"<br />
|-<br />
! Статус<br />
! Задача<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/lvm lvm]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/raid raid (autodetect)]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/mdadm raid (mdadm)]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/luks luks]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/multipath multipath]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/usb-storage usb]<br />
|-<br />
| align="center" | {{done}}<br />
|Настройка нескольких сетевых интерфейсов<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/nfsroot nfs] См. также '''nfsroot''' ниже.<br />
|-<br />
| align="center" | {{done}}<br />
|resume<br />
|-<br />
| align="center" | {{done}}<br />
|Поддержка рута на btrfs<br />
|-<br />
| align="center" | {{done}}<br />
|Поддержка systemd<br />
|-<br />
|align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/syslog klog/syslog]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/bootsplash bootsplash]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/plymouth plymouth]<br />
|-<br />
| align="center" | {{done}}<br />
|Автодетект модулей<br />
|-<br />
| align="center" | {{done}}<br />
|Использовать [http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob;f=usr/gen_init_cpio.c gen_init_cpio] для создания cpio архива<br />
|-<br />
| align="center" | {{done}}<br />
|Использование glibc и системных библиотек<br />
|-<br />
|<br />
|(glibc) Использовать nfs-utils вместо nfsmount<br />
|-<br />
| align="center" | {{done}}<br />
|Создание нескольких образов за один вызыв make-initrd. Это полезно, если в процессе обновления необходимо создать как initrd под текущую конфигурацию, так и образ с большим количеством модулей (утилит?) для более общей конфигурации.<br />
|-<br />
| align="center" | {{done}}<br />
|Возможность монтировать не только корневую файловую систему.<br />
|-<br />
| align="center" | {{done}}<br />
|Возможность не указывать при загрузке параметры '''root''' / '''rootfstype''' / '''rootflags''', если загрузка идёт на той же системе, где был создан initrd.<br />
|-<br />
| align="center" | {{done}}<br />
|Поддержка работы с busybox. Для неё особенного ничего не нужно. Существует дополнительный [http://git.altlinux.org/people/legion/packages/make-initrd-busybox.git пакет] с собранным busybox расположенным в определённом месте, откуда его берёт make-initrd.<br />
|<br />
|}<br />
<br />
=== nfsroot ===<br />
<br />
Фича {{term|nfsroot}} поставляется в пакете {{pkg|make-initrd-nfs}} и позволяет изготовить образ, пригодный для загрузки бездисковой машины по NFS. Для того, чтобы загрузка прошла правильно, при изготовлении образа в {{path|/etc/fstab}} для корневой точки монтирования должно быть записано:<br />
<br />
/dev/nfs / nfs <опции> 0 0<br />
<br />
С таким корнем изготовление с конфигурацией по умолчанию не будет работать. Поэтому в {{path|/etc/initrd.mk}} нужно записать:<br />
<br />
AUTODETECT = all<br />
FEATURES = nfsroot<br />
DISABLE_GUESS = root<br />
<br />
== ToDo ==<br />
* Добавить проверку разделов.<br />
* Доработать и добавить поддержку [http://git.altlinux.org/people/legion/packages/unet.git unet].<br />
* Добавить поддержку zram/zcache.<br />
* Добавить возможность монтирования корня с iscsi ([https://bugzilla.altlinux.org/show_bug.cgi?id=27354 ALT#27354]).<br />
* Добавить возможность монтирования корня с bcache ([https://bugzilla.altlinux.org/show_bug.cgi?id=29561 ALT#29561]).<br />
* Добавить фичу для генерации kdump.<br />
<br />
== Документация ==<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=blob;f=make-initrd.texi make-initrd.texi]<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=blob;f=README.ru README.ru]<br />
<br />
Пример запуска регенерации initrd для текущего ядра:<br />
make-initrd --kernel=`uname -r`<br />
<br />
Не забудьте обновить кофигурацию загрузчика, если это необходимо (например, если у Вас LiLo).<br />
<br />
== Исходный код ==<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd.git make-initrd.git]<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd-busybox.git make-initrd-busybox.git]<br />
* [http://git.altlinux.org/people/legion/packages/?p=kinit-utils.git kinit-utils.git]<br />
<br />
== Авторы ==<br />
* Alexey Gladkov<br />
* Kirill A. Shutemov<br />
<br />
[[Категория:make-initrd]]<br />
[[en:Make-initrd]]</div>Manowarhttps://www.altlinux.org/index.php?title=Make-initrd&diff=41475Make-initrd2018-03-07T16:14:52Z<p>Manowar: Некоторые фичи поставляются в отдельных пакетах</p>
<hr />
<div>{{DISPLAYTITLE:make-initrd}}<br />
<br />
'''make-initrd''' — инструмент для сборки образов формата initramfs, используемых для начальной загрузки ОС Linux.<br />
<br />
Проект состоит из двух основных частей:<br />
* утилиты создания образа initramfs;<br />
* утилит, работающих внутри образа в момент загрузки.<br />
<br />
Утилита создания образа имеет модульную структуру. Основная её идея, что для создания образа необходимо (в простейшем случае) указать список особенностей (features) будущего образа. При этом порядок указания совершенно не важен. Пользователь не обязан знать как и в каком порядке будут применяться стадии и что они будут делать. Ему важно, чтобы, например, образ имел нужные модули ядра, имел bootsplash и был сжат определённым образом.<br />
<br />
'''Внимание:''' Некоторые фичи поставляются в отдельных пакетах. При указании имени отсутствующей фичи ''ошибки не происходит''.<br />
<br />
Основной иструмент в initrd это udev. Всё (или почти всё) делается через правила udev. Настройка сети, монтирование корневой директории. Всё.<br />
<br />
== Загрузка ==<br />
Init скрипт находится в корне образа (/init). Процесс загрузки разбит на несколько стадий. На самом деле, количество стадий не регламентировано.<br />
<br />
Процессом загрузки можно управлять через параметры ядра:<br />
<br />
'''ВНИМАНИЕ!''' Если нужно, чтобы stop или ignore сработали как можно раньше - нужно писать эти опции в ВЕРХНЕМ регистре, например stop -> STOP<br />
<br />
* '''init'''=''<prog>'' -- параметр определяет программу init;<br />
* '''quiet'''=''<1|0>'' -- включает/отключает отладочные сообщения;<br />
* '''panic'''=''<1|0>'' -- разрешает/запрещает получение консоли при аварийных ситуациях;<br />
* '''stop'''=''<stage-list>'' -- параметр определяет список стадий, перед которыми необходимо предоставить консоль (например stop=,all, или stop=,udev,);<br />
* '''ignore'''=''<stage-list>'' -- список стадий, которые нужно пропустить;<br />
* '''resume'''=''{<device>|UUID=...|LABEL=...}'' -- параметр определяет устройство, с которого будет производиться восстановление после спящего режима;<br />
* '''root'''=''{<device>|UUID=...|LABEL=...|/dev/nfs}'' -- параметр определяет устройство, на котором находится корневая файловая система;<br />
* '''rootdelay'''=''<sec>'' -- определяет время ожидания корневой файловой системы. Если за это время корень не будет найден, то загрузка продолжена не будет. По умолчанию этот параметр составляет 180 секунд;<br />
* '''ip'''=''<client-ip>:<server-ip>:<gw-ip>:<netmask>:<hostname>:<device>:<proto>'' ,<br />
* '''ip'''=''<device>:<proto>'' -- параметр описывает конфигурацию сетевых интерфейсов.<br />
* '''RESCUE_MODULES'''="usbhid ehci_hcd hid_generic evdev ehci_pci ipmi_si" -- загрузить эти модули при вываливании в '''shell''' после указания stop=;<br />
* '''NOSPLASH''' = стараться не запускать plymouth<br />
<br />
== Отладка ==<br />
=== общее ===<br />
Добавьте в {{path|/etc/initrd.mk}} строчку <tt>VERBOSE = 1</tt> перед запуском сборки initrd.<br />
<br />
Можно останавливать загрузку передачей параметра stop=<stage-list>, где список стадий:<br />
<pre><br />
defaults<br />
prepare<br />
cmdline<br />
fstab<br />
network<br />
preudev<br />
udev<br />
loop<br />
stopudev<br />
killall<br />
cleanup<br />
umount<br />
sysinit<br />
</pre><br />
<br />
=== udev ===<br />
При "залипании" (на старте {{cmd|udevd}}) бывает полезно указать при загрузке опции <tt>rootdelay=3 stop=udev</tt> и запустить в полученном шелле {{cmd|udevd --debug --resolve-names&#61;never}} вручную; если проблема не вскрывается, может пригодиться сборка образа с добавленной в {{path|/etc/initrd.mk}} строчкой <tt>PUT_FILES += /usr/bin/strace</tt> и последующий запуск {{cmd|strace -ff -o /tmp/udev.strace -- udevd --debug --resolve-names&#61;never}}. Для сохранения полученных данных может пригодиться, например, встроенный в ноутбук кардридер при <tt>MODULES_PRELOAD = sd_mod sdhci sdhci_pci mmc_block</tt>.<br />
<br />
== Возможности ==<br />
{| class="wide"<br />
|-<br />
! Статус<br />
! Задача<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/lvm lvm]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/raid raid (autodetect)]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/mdadm raid (mdadm)]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/luks luks]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/multipath multipath]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/usb-storage usb]<br />
|-<br />
| align="center" | {{done}}<br />
|Настройка нескольких сетевых интерфейсов<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/nfsroot nfs]<br />
|-<br />
| align="center" | {{done}}<br />
|resume<br />
|-<br />
| align="center" | {{done}}<br />
|Поддержка рута на btrfs<br />
|-<br />
| align="center" | {{done}}<br />
|Поддержка systemd<br />
|-<br />
|align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/syslog klog/syslog]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/bootsplash bootsplash]<br />
|-<br />
| align="center" | {{done}}<br />
|[http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=tree;f=features/plymouth plymouth]<br />
|-<br />
| align="center" | {{done}}<br />
|Автодетект модулей<br />
|-<br />
| align="center" | {{done}}<br />
|Использовать [http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blob;f=usr/gen_init_cpio.c gen_init_cpio] для создания cpio архива<br />
|-<br />
| align="center" | {{done}}<br />
|Использование glibc и системных библиотек<br />
|-<br />
|<br />
|(glibc) Использовать nfs-utils вместо nfsmount<br />
|-<br />
| align="center" | {{done}}<br />
|Создание нескольких образов за один вызыв make-initrd. Это полезно, если в процессе обновления необходимо создать как initrd под текущую конфигурацию, так и образ с большим количеством модулей (утилит?) для более общей конфигурации.<br />
|-<br />
| align="center" | {{done}}<br />
|Возможность монтировать не только корневую файловую систему.<br />
|-<br />
| align="center" | {{done}}<br />
|Возможность не указывать при загрузке параметры '''root''' / '''rootfstype''' / '''rootflags''', если загрузка идёт на той же системе, где был создан initrd.<br />
|-<br />
| align="center" | {{done}}<br />
|Поддержка работы с busybox. Для неё особенного ничего не нужно. Существует дополнительный [http://git.altlinux.org/people/legion/packages/make-initrd-busybox.git пакет] с собранным busybox расположенным в определённом месте, откуда его берёт make-initrd.<br />
|<br />
|}<br />
<br />
== ToDo ==<br />
* Добавить проверку разделов.<br />
* Доработать и добавить поддержку [http://git.altlinux.org/people/legion/packages/unet.git unet].<br />
* Добавить поддержку zram/zcache.<br />
* Добавить возможность монтирования корня с iscsi ([https://bugzilla.altlinux.org/show_bug.cgi?id=27354 ALT#27354]).<br />
* Добавить возможность монтирования корня с bcache ([https://bugzilla.altlinux.org/show_bug.cgi?id=29561 ALT#29561]).<br />
* Добавить фичу для генерации kdump.<br />
<br />
== Документация ==<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=blob;f=make-initrd.texi make-initrd.texi]<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd.git;a=blob;f=README.ru README.ru]<br />
<br />
Пример запуска регенерации initrd для текущего ядра:<br />
make-initrd --kernel=`uname -r`<br />
<br />
Не забудьте обновить кофигурацию загрузчика, если это необходимо (например, если у Вас LiLo).<br />
<br />
== Исходный код ==<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd.git make-initrd.git]<br />
* [http://git.altlinux.org/people/legion/packages/?p=make-initrd-busybox.git make-initrd-busybox.git]<br />
* [http://git.altlinux.org/people/legion/packages/?p=kinit-utils.git kinit-utils.git]<br />
<br />
== Авторы ==<br />
* Alexey Gladkov<br />
* Kirill A. Shutemov<br />
<br />
[[Категория:make-initrd]]<br />
[[en:Make-initrd]]</div>Manowar