Функционал ufw
Основными функциями файрвола ufw является:
1. Работа в одном из двух режимов: разрешено все кроме того что описано правилами, запрещено все, кроме описанного правилами.
2. Создание правил для фильтрации пакетов с действиями allow, deny, reject
3. Создание правил с учетом адреса и порта получателя и отправителя, используемого протокола
4. Логирование пакетов подпадающих под правило
5. Блокировка частых неправильных попыток авторизации по ssh
6. Настраиваемые профили для приложений

Запуск ufw
Ufw может быть включен или выключен системным администратором сервера, для этого используется команад:
# ufw enable
Межсетевой экран активен и будет запущен при запуске системы
# ufw disable
Файрвол остановлен и деактивирован при загрузке

Просматривать состояние можно с помощью команды:
# ufw status [numbered]
Статус: активно

Параметр numbered может быть использован для отображения правил файрвола с соответствующей нумерацией.

Изменение политики по умолчания:
# ufw default allow [in|out]
# ufw default deny [in|out]
# ufw default reject [in|out]

Где allow подразумевает что все пакеты будут пропущены, кроме тех, для которых есть запрещающее правило: deny – все пакеты будут заблокированы, кроме тех, для которых есть разрешающие правила; reject – все пакеты будут заблокированы с соответствующим уведомлением подключающуюся сторону.
Параметры in|out указывают для какого направления мы хотим применять политику, для входящих или исходящих пакетов соответственно.

Управление правилами осуществляется с помощью команд allow, deny, reject, delete, insert.
allow – добавить разрешающее правило
deny – добавить запрещающее правило (файрвол не предпринимает действий при попадании в это правило)
reject – добавить запрещающее правило (файрвол даст знать подключающемуся что этот порт закрыт)
limit – добавляет ограничивающее правило для указанного порта. В случае если с одного и того же адреса в течении 30 секунд будет произведено 6 и более неуспешных попыток авторизации в службу удаленного доступа ssh, ufw заблокирует удаленный адрес.
delete – удалить добавленное ранее правило
insert – вставить правило в определенную позицию в цепочке

Построение правил файрвола
Конструкция построения правил
ufw allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]]
Подробнее о параметрах:
allow|deny|reject|limit – указываем что будет делать это правило (см. описание выше).
[in|out on INTERFACE] – указываем будет это правило относится к входящему трафику (in) или исходящему (out) и хотим ли мы ограничить данное правило отдельным сетевым интерфейсом (к примеру eth0).
[log|log-all] – при желании можно логировать события которые подпадают под правило. По умолчанию лог пишется в /var/log/syslog. При использовании опции log – в файл будут записаны лишь пакеты участвующие при установке соединения с сервером. Используя опцию log-all в лог файл будут записаны все пакеты подпадающие под правило.
[proto protocol] – в правиле можно указать для какого протокола оно действует: tcp или udp.
[from ADDRESS [port PORT]] – адрес и порт источника пакета
[to ADDRESS [port PORT]] – адрес и порт получателя пакета

Профили приложений
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp.
Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d:
root@server:/etc/ufw/applications.d# pwd
/etc/ufw/applications.d
root@server:/etc/ufw/applications.d# ls -l
итого 12
-rw-r--r-- 1 root root 406 2009-11-13 00:52 apache2.2-common
-rw-r--r-- 1 root root 145 2009-10-22 22:50 openssh-server
-rw-r--r-- 1 root root 241 2009-09-22 16:52 postfix

Рассмотрим пример профиля приложения apache2.2-common:
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp
[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp
[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp
В одном файле может находится несколько профилей. В данном примере 3: Apache, Apache Secure, Apache Full. Структура записей проста: сначала имя профиля в квадратных скобка ([Apache Full]), далее развернутое наименования приложения, далее описание приложения и список портов с указанием протокола которые задействованы в профиле (80,443/tcp).

Вывести список профилей можно с помощью команды:
# ufw app list
Доступные приложения:
Apache
Apache Full
Apache Secure
OpenSSH
Postfix
Postfix Submission

Детальную информацию по профилю можно просмотреть с помощью команды:
# ufw app info OpenSSH
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell
protocol.
Порт:
22/tcp
После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле:
# ufw app update OpenSSH

Для того что б новый профиль сразу вступил в силу, необходимо добавить опцию –add-new:

# ufw app update --add-new OpenSSH

По умолчанию добавленные с помощью –add-new профили не будут обрабатываться файрволом. Рекомендуется вначале задать политику для новых профилей приложений:
ufw app default allow|deny
После чего все новые профили приложений будут добавляться в цепочку файрвола с указанной политикой.

Использовать профили приложений можно также при создании обычных правил, например:
# ufw allow OpenSSH

Настройка профиля безопасности
1. Ограничение входящих подключений к FTP и Веб серверу
Пример настройки файрвола для ситуации, когда необходимо заблокировать доступ к FTP и Веб серверу с адреса 192.168.100.100. В примере 192.168.1.11 – сервер на котором настраивается файрвол:

root@server:/etc/ufw/applications.d# ufw deny proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80
Правило добавлено
root@server:/etc/ufw/applications.d# ufw status
Статус: активно
До Действие От
---- --------------------
192.168.1.11 21,80/tcp DENY 192.168.100.100

Теперь при попытках подключения с хоста 192.168.100.100 к 21 или 80 порту хоста 192.168.1.11 клиент будет висеть пока не отвалится по таймауту.

Удалим это правило и добавить аналогичное но с действием reject:
# ufw delete deny proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80
# ufw reject proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80

Теперь при попытке подключения к 21 порту сервера удаленный клиент получит ответ Connection refused:
$ telnet 192.168.1.11 21
Trying 192.168.1.11...
telnet: Unable to connect to remote host: Connection refused

Просканируем порты сервера:
:~# nmap -sT 192.168.1.100
Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-28 22:56 EET
Interesting ports on 192.168.1.100:
Not shown: 992 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
80/tcp filtered http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2323/tcp open unknown
3128/tcp open squid-http
5900/tcp open vnc
MAC Address: 00:18:F3:67:85:9E (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 17.52 seconds

2. Ограничение исходящих подключений к указанному серверу
Цель – запретить исходящие подключения с сервера к адресу 195.214.195.105:

# ufw deny proto tcp to 195.214.195.105

3. Ограничение попыток авторизации по ssh
# ufw limit 22

Произведем несколько попыток подключения к 22 порту сервера с введением заведомо неправильного пароля:
user@remote:~$ ssh 192.168.1.100
user@192.168.1.100's password:
Permission denied, please try again.
user@192.168.1.100's password:
user@remote:~$ ssh 192.168.1.100
user@192.168.1.100's password:
Permission denied, please try again.
user@192.168.1.100's password:
user@remote:~$ ssh 192.168.1.100
user@192.168.1.100's password:
Permission denied, please try again.
user@192.168.1.100's password:
user@remote:~$
user@remote:~$ ssh 192.168.1.100
ssh: connect to host 192.168.1.100 port 22: Connection refused
user@remote:~$ ssh 192.168.1.100
ssh: connect to host 192.168.1.100 port 22: Connection refused

Как видим после нескольких неудачных попыток файрвол блокирует IP адрес с которого исходят попытки подключения и в логах появится соответсвтующяя запись:
Dec 28 22:59:13 fortress kernel: [273659.578463] [UFW LIMIT BLOCK] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=3150 DF PROTO=TCP SPT=33783 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 28 22:59:15 fortress kernel: [273661.231264] [UFW LIMIT BLOCK] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=763 DF PROTO=TCP SPT=33784 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

4. Логирование пакетов
# ufw allow log 22

С помощью этого правила файрвол будет логировать пакеты установки соединиения по указанному 22 порту. В логах появятся следующие записи:
Dec 28 23:04:18 fortress kernel: [273964.364715] [UFW ALLOW] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6564 DF PROTO=TCP SPT=58069 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Поделиться / Закладки

Итак, представим ситуацию, вы управляете 10 серверами, и на каждом к примеру вам надо установить одинаковый софт. Что первое приходит в голову? Заходить на каждый из серверов и вставлять из буфера обмена команды для установки нужного вам ПО? Но ведь это не Linux Style!

Добрые люди давно придумали средство для распределенного администрирования серверов – dsh (Distributed shell). Другими словами – это программа которая получает на вход команду и распространяет ее по необходимому количеству серверов, выполняет там и выдает вам результат.

Для начала надо определится с какого сервера мы будет давать команды. Этот сервер я буду называть главным. Именно на нем и надо поставить пакет dsh:

sudo apt-get install dsh

Дальше необходимо на каждом из серверов, которым мы будем управлять поставить сертификаты для входа по ssh без пароля (желаетельно сертификаты делять для полтьзователя root, тогда не возникнет проблем, к примеру, при установке ПО или перезапуске Apache):

$ sudo -i
# ssh-keygen -t rsa
# scp id_rsa.pub server1:~/.ssh/authorized_keys
# scp id_rsa.pub server2:~/.ssh/authorized_keys
...
# scp id_rsa.pub server10:~/.ssh/authorized_keys

Теперь с главного должно быть возможным логинится на подчиненные по ssh без пароля. Если не получилось, обратитесь к статье Настройка ssh атворизации по ключу.

Далее необходимо настроить группы серверов.
В файле /etc/dsh/group/all перечисляем все наши сервера:
server1
server2
server3
server4
server5
server6
server7
server8
server9
server10

К примеру сервера 1,2 – сервера баз данных, 3,4 – файловые сервера, а 5-10 – веб ноды. Тогда есть смысл сгрпировать их по предназначению. Для этого создаем файлики:
/etc/dsh/group/db:
server1
server2

/etc/dsh/group/ftp
server3
server4

/etc/dsh/group/web
server5
server6
server7
server8
server9
server10

Когда dsh настроен, приступаем к использованию.
Пробуем выполнить:
dsh -g all uptime
если установка сертификатов прошла успешно, dsh выполнит uptime на всех серверах и выведет вам результат. Если вы увидите запрос на ввод пароля, значит сертификаты не поставились правильно и их желательно поправить.

По умолчанию, dsh выводит просто результат выполнения команды. Очень часто важно видеть с какого-же сервера пришел ответ. Для этого нужен ключ -M, который в начале строки будет отображать имя машины, на которой выполнена команда (имя берется из конфигурационного файла dsh, а не из hostname машины).

# dsh -g web -M "/etc/init.d/apache2 status"
server5: * Apache is running (pid 26433).
server6: * Apache is running (pid 24787).
server7: * Apache is running (pid 21304).
server8: * Apache is running (pid 19856).
server9: * Apache is running (pid 17266).
server10: * Apache is running (pid 26343).

Ну вот и все, это и есть основы dsh. Немножко больше можно научится делать, почитав man.

Поделиться / Закладки

Человеку в жизни всегда приходиться делать выбор: пить зеленый или черный чай, поехать отдыхать на море или в горнолыжный курорт, купить новый ноутбук или туфли от Луи Виттона. Порой сделать выбор очень сложно. Но что бы не стоять как осел и не смотреть на две горстки сена, необходимо обдумывать и аргументировать свой выбор. К примеру в черном чае больше кофеина, следовательно пить его лучше утром что б взбодрится, зеленый можно пить и вечером, не боясь проваляться пол ночи без сна. Туфли от Луи Виттона очень украсят владельца, а ноутбук может быть очень полезным и экономить время. Каждый должен расставить приоритеты при выборе, тогда и выбор сделать будет легче.

Так же следует подходить и к выбору операционной системы. Что это будет за компьютер? Это будет сервер или рабочяя станция? На нем будут набирать тексты и сидеть в интернете, обрабатывать видео или играть в игры?

Итак, что лучше, Windows или Linux? Вопрос поставлен некорректно, это так же как спрашивать что лучше: молоток или отвертка? Как в случае с молотком и отверткой, так с Linux и Windows можно сказать однозначно что это разные инструменты предназначенные для разного вида работы.

Определим то, как каждая из операционных систем справляется с основными видами задач (шкала оценок: 0 – очень плохо или вообще не справляется, 1 – сносно, 2 – хорошо:

#	Вид работы	Linux	Windows	Коментарий
1	Веб-сервер	2	1	Linux позволяет использовать большое количество веб серверов, требует определенных знаний для настройки, однако после настройки стабильно работает, удобное администрирование через ssh. Веб-сервера в Windows: зачастую платные, не требуют особых знаний для настройки но и могут вести себя непредсказуемо, администрируются в основном только через графический интерфейс
2	Маршрутизатор, Firewall	2	0	Linux имеет безграничные возможности для выполнения роли маршрутизатора или файрвола. Не встречал ни одного маршрутизатора построенного на Windows
3	Редактириование текстов, Интернет	2	2	Тут обе операционные системы справляются с задачей. Однако Windows делает это лучше. В линуксе для нормального серфинга и редактирования текстов надо ставить шрифты из Windows. Следует заметить что у OpenOffice и Microsoft Word плохая совместимость. К примеру документы созданные в одном редакторе, во втором открываются с побитым форматированием.
4	Работа с принтерами, сканерами, вебкамерами	1	2	Большинство девайсов предназначены для работе в Windows и в комплекте с ними идут драйвера. Все достаточно просто: поставил драйвер, воткнул девайс и все работает. Линукс поддерживает меньшее количество устройств, однако если он их поддерживает, то и драйвера чаще всего ставить не приходится. Зачастую настройка какого-то диковинного устройства в Линуксе превращается в длинную эпопею.
5	Обработка видео	2	2	Проблем нет в обеих системах. Поставил кодеки, поставил софт – работай.
6	Игры	0	2	Почти 100% игр написаны под Windows. Запустить их в Линуксе реально, но надо попотеть.

Теперь немного о достоинствах каждой ОС.
Linux:
открытый исходный код
большое количество документации
большинство программ поддерживают уровень логгирования debug, что позволяет быстро устранять неисправности
абсолютно все настройки системы можно делать удаленно через ssh
встроенные средства для автоматизации процессов (bash, perl)
большое количество бесплатного программного обеспечения

Windows:
большое количество профессиональных программных продуктов написаны под Windows
большое количество оборудования выпускается под Windows
игры написанные под Windows
простой графический интерфейс

Итог
Windows – выбор тех, кому не жаль отдать за него денег, кого не интересует как оно все работает и не хочет слышать о каких-то хитромудрых функциях. Это те люди, которым нужен лишь определенный функционал и все. Это те люди, которые привозят машину на СТО, отдают ее, и их не интересует как ее чинят, главное что б работала.

Linux – для тех, кто желает понимать суть происходящих в его компьютере процессов. К примеру серверные приложения зачастую нельзя настроить без глубокого понимания происходящих процессов. Это те люди, для которых компьютер – хобби, которые желают выжать все соки из своего железа, а так же те, кто любит ежедневно решать логические задачки =)

От каждого по возможностям, каждому — по потребностям!

Поделиться / Закладки

После этого были скачаны драйвера с сайта производителя. Они были в виде exe установщика, так-что пришлось распаковать их в виртуальной машине. Сам драйвер, готовый для установки в Ubuntu, можно скачать здесь.

Распаковываем драйвер:
boffin@laptop:~$ tar zxvf bcmwl5.tar.gz
boffin@laptop:~$ cd bcmwl5

Далее был установлен ndiswrapper (который и позволит использовать windows драйвер в linux-е):
boffin@laptop:~/bcmwl5$ sudo apt-get install ndiswrapper

Проинсталлируем наш драйвер в ndiswrapper:
boffin@laptop:~/bcmwl5$ sudo ndiswrapper -i bcmwl5.inf


И проверим, действительно ли он поставился:
boffin@laptop:~/bcmwl5$ ndiswrapper -l
bcmwl5 : driver installed
device (14E4:4315) present (alternate driver: ssb)


Как видим, Убунта уже пытается использовать какой-то ssb драйвер для нашего wifi адаптера. Теперь он нам не нужен, а следовательно:
boffin@laptop:~/bcmwl5$ sudo echo blacklist b43 >> /etc/modprobe.d/blacklist
boffin@laptop:~/bcmwl5$ sudo echo blacklist ssb >> /etc/modprobe.d/blacklist
boffin@laptop:~/bcmwl5$ sudo rmmod b43
boffin@laptop:~/bcmwl5$ sudo rmmod ssb

Модуль ssb не выгрузится, если предварительно не выгрузить b43. Мы занесли эти модули в черный список, это не даст им загрузиться при старте системы.

Загружаем модуль ndiswrapper (который и содержит наш драйвер):
boffin@laptop:~/bcmwl5$ sudo ndiswrapper -m
boffin@laptop:~/bcmwl5$ sudo modprobe ndiswrapper
boffin@laptop:~/bcmwl5$ sudo echo ndiswrapper >> /etc/modules


После данных манипуляций Wifi должен начать работать. Работать будет даже кнопка на корпусе, которая включает/выключает wifi адаптер и при этом меняет цвет.

Проверяем:

boffin@laptop:~/bcmwl5$ iwlist scanning
lo        Interface doesn't support scanning.
eth0      Interface doesn't support scanning.
pan0      Interface doesn't support scanning.
wlan0     Scan completed :
          Cell 01 - Address: 00:1B:11:A3:2D:CA
                    ESSID:"AP-01"
                    Protocol:IEEE 802.11g
                    Mode:Managed
                    Frequency:2.417 GHz (Channel 2)
                    Quality:100/100  Signal level:-23 dBm  Noise level:-96 dBm
                    Encryption key:on
                    Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
                              9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s
                              48 Mb/s; 54 Mb/s
                    Extra:bcn_int=100
                    Extra:atim=0
                    IE: WPA Version 1
                        Group Cipher : TKIP
                        Pairwise Ciphers (1) : TKIP
                        Authentication Suites (1) : PSK

Все, wifi на Compaq mini 110c настроен и работает.

Поделиться / Закладки

Итак, преимущества виртуальных серверов в том, что они предоставляют изолированное окружение, и клиенты получают рутовый пароль на систему. Так-же следует отметить что в таком случае безопасность внутри виртуальных машин будут отвечать сами клиенты, а злоумышленник с рутовым доступом на виртуальной машине не сможет навредить физическому серверу или соседним виртуальным машинам.

Важно постараться поставить как можно меньше программного обеспечения на физический сервер, в идеале это только OpenVZ и OpenSSH.

Ну а теперь непосредственно процедура установки и настройки OpenVZ (в моих примерах предполагается что у вас установлена свежая Ubuntu 9.04 Server, без дополнительного ПО):

1. Подготовка места на диске для хранения виртуальных машин
Для удобства работы и масштабируемости сервера рекомендуется иметь отдельный жесткий диск ( а лучше два, в рейде, для зеркалирования данных пользователя). Предлагаю в корне создать директорию /vz. В эту директорию монтировать жесткий диск. Для этого в /etc/fstab необходимо добавить строчку:
/dev/sdb1 /vz ext3 defaults 0 0
где /dev/sdb1 – ваш жесткий диск для хранения виртуальных машин.

2. Установка ядра системы с поддержкой виртуализации
Для этого стоит выполнить команду:
# apt-get install vzctl
пакетный менеджер автоматически подтянет ядро с поддержкой openvz нужной версии. В моем случае был установлен linux-image-2.6.26-2-openvz.
После перезагрузки необходимо произвести настройку ядра, редактируем файл /etc/sysctl.conf и меняем следующие строки:

net.ipv4.ip_forward=1
net.ipv4.conf.default.forwarding=1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0
kernel.sysrq = 1

После сохранения файла необходимо применить новые параметры ядра:
# sysctl -p

3. Установка виртуальной машины (гостевой системы)
Для начала необходимо скачать образ операционной системы, которая будет использоваться в гостевой системе. Для этого выбираем на образ на сайте http://openvz.org/download/template/cache/ и скачиваем его в директорию /vz/template/cache:

# mkdir -p /vz/template/cache
# cd /vz/template/cache
# wget http://download.openvz.org/template/precreated/ubuntu-9.04-x86_64.tar.gz

В моем случае для гостевой операционной системы была выбрана Ubuntu 9.04.

Далее необходимо создать непосредственно виртуальную машину, на основе нашего образа. Так как на VPS хостинге эту задачу надо будет повторять неоднократно, удобно использовать скрипт:

root_pw="root_password" # пароль пользователя root в гостевой системе
os_template="ubuntu-9.04-x86_64" # имя образа ОС для гостевой системы
vm_id="1" # идентификатор гостевой системы
/usr/sbin/vzctl create ${vm_id} --ostemplate ${os_template} --config vps.basic #создание гостевой системы на основе образа
/usr/sbin/vzctl set ${vm_id} --onboot yes --save # запускать гостевую при старте системы
/usr/sbin/vzctl set ${vm_id} --hostname vps${vm_id}.domain.com --save #установить hostname гостевой
/usr/sbin/vzctl set ${vm_id} --ipadd 192.168.1.190 --save #установить IP адрес
/usr/sbin/vzctl set ${vm_id} --nameserver 192.168.1.12 --save #установить адрес ДНС сервера
/usr/sbin/vzctl set ${vm_id} --userpasswd root:${root_pw} --save #установить пароль пользователя root
/usr/sbin/vzctl set ${vm_id} --cpulimit 15 --save #установка процессорной квоты 15%
#установка дисковой квоты 9 GB (10 GB в течении промежутка 600 секунд)
/usr/sbin/vzctl set ${vm_id} --diskspace 9000000:10000000 --save
/usr/sbin/vzctl set ${vm_id} --quotatime 600 --save
#установка квоты на виртуальную память 160M (168M в течение quotatime - см.выше)
#с гарантией выделения до 120M (128M)
/usr/sbin/vzctl set ${vm_id} --privvmpages 160M:168M --save
/usr/sbin/vzctl set ${vm_id} --vmguarpages 120M:128M --save
/usr/sbin/vzctl start ${vm_id} #запуск новой гостевой системы


Все, теперь в гостевую систему можно логинится по ssh.

Поделиться / Закладки

1. Отредактировать /etc/apt/sources.list и добавить строки:
deb http://ppa.launchpad.net/chromium-daily/ppa/ubuntu jaunty main
deb-src http://ppa.launchpad.net/chromium-daily/ppa/ubuntu jaunty main

Замените jaunty на hardy, intrepid или karmic, в зависимости от вашей версии Ubuntu.

2. Установка браузера Chromium:

# sudo apt-get update
# sudo apt-get install chromium-browser
В случае если после apt-get update вы получите ошибку «W: GPG error: http://ppa.launchpad.net jaunty Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY 5A9BF3BB4E5E17B5″ – воспользуйтесь рекомендациями описанными в статье Установка цифровой подписи в apt-key

После выполнения указанных команд Ubuntu скачает около 10 Мбайт пакетов, от которых зависит работа Google Chromium. Запустить Chromium можно из главного меню, либо из консоли выполнив chromium-browser.

Даже с учетом того что не было еще официального релиза браузера, его вполне можно использовать ежедневно. Яваскрипты отрабатывают в нем значительно быстрее.

Ниже приведены скриншоты Google Chrome под Linux (Сhromium).

Поделиться / Закладки

В случае если вы добавили новый источник обновления в /etc/apt/sources.list, и при выполнении apt-get update вы получаете ошибку вида:

W: GPG error: http://ppa.launchpad.net jaunty Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 5A9BF3BB4E5E17B5
W: You may want to run apt-get update to correct these problems

Самое простое решение данной проблемы выполнить две команды, указав в виде параметров публичный ключ выдаваемый в ошибке ( в моем примере 5A9BF3BB4E5E17B5):
boffin@fortress:~$ gpg --keyserver keyserver.ubuntu.com --recv 5A9BF3BB4E5E17B5
gpg: requesting key 4E5E17B5 from hkp server keyserver.ubuntu.com
gpg: key 4E5E17B5: public key "Launchpad PPA for chromium-daily" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
boffin@fortress:~$ gpg --export --armor 5A9BF3BB4E5E17B5 | sudo apt-key add -
OK

Второй вариант:
sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 5A9BF3BB4E5E17B5

Поделиться / Закладки

1. Portsnap

Portsnap – утилита для работы с коллекцией портов. Начиная с FreeBSD 6.0 она по умолчанию установлена в систему.
Порядок действий:

1. Логинимся в систему пользователем root
2. Создаем директорию /usr/ports
   # mkdir /usr/ports
3. Скачиваем сжатый архив с коллекцией портов в /var/db/portsnap. После завершения этой операции интернет больше не потребуется.
   # portsnap fetch
4. Распаковываем коллекцию портов из архива в /usr/ports
   # portsnap extract

2. Sysinstall

Этот метод подразумевает использование утилиты sysinstall для установки коллекции портов с установочного диска. Учтите что будет установлена не самая свежая версия портов, а доступная на момент релиза операционной системы. Если вы имеете доступ в интернет, лучше использовать метод описанный выше.

1. От имени пользователя root, запустите утилиту sysinstall:
   # sysinstall
2. Выберите пункт меню Configure, нажмите Enter
3. Выберите пункт меню Distributions, нажмите Enter
4. Выберите пункт меню ports, нажмите пробел
5. Выберите пункт меню Exit, нажмите Enter
6. Выберите источник с которого будет устанавливаться коллекция портов (CDROM, FTP, и т.д.)
7. Выберите пункт меню Exit, нажмите Enter
8. Нажмите X для выхода из sysinstall.

Все, теперь коллекция портов установлена. И еще пара советов:

• поиск интересующего порта можно произвести следующий образом:
  #cd /usr/ports; make search name='bash'
• после того как путь к интересующему порту найдем, установить софт можно такой командой:
  #cd /usr/ports/shells/bash; make install

Поделиться / Закладки

Далее необходимо скопировать открытый ключ на удаленную машину в файл ~/.ssh/authorized_keys. Если такой файл уже существует рекомендуется дописать новый ключ в конец этого файла, таким образом будет возможно логинится на сервер с разных компьютеров по ключу.
boffin@fortress:~/.ssh$ scp id_rsa.pub einstein:~/.ssh/authorized_keys
boffin@einstein's password:
id_rsa.pub 100% 397 0.4KB/s 00:00


В общем, если настройки sshd на удаленной машине установлены по умолчанию, то уже можно логинится:
boffin@fortress:~/.ssh$ ssh einstein
System information as of Mon Sep 14 09:00:01 EEST 2009
System load: 0.18 Memory usage: 35% Processes: 87
Usage of /: 6.3% of 71.98GB Swap usage: 5% Users logged in: 1
Last login: Mon Sep 14 09:03:44 2009 from remotehost.com
boffin@einstein:~$


Если с первого раза удаленная машина не пускает по ключу, следует проверить настройки sshd, убедитесь что в /etc/ssh/sshd_config параметры выставлены следующим образом:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys


Поделиться / Закладки

В Ubuntu 9.04 по умолчанию с трудом воспроизводятся 720p и 1080p (FullHD) фильмы. Для решения данной проблемы стоит пересобрать mplayer из svn с поддержкой ffmpeg-mt для многопоточного декодирования фильмов.

Для начала нобходимо установить утилиты для сборки программного обеспечения из исходных кодов:

$ sudo apt-get install build-essential checkinstall subversion git-core libgpac-dev

Так-же существуют рекомендации использовать свежие исходники x264 для новых версий mplayer.
Для успешной его сборки треуется свежий yasm. Шаги по установке:

$ cd $HOME
$ wget http://www.tortall.net/projects/yasm/releases/yasm-0.7.2.tar.gz
$ tar xzvf yasm-0.7.2.tar.gz
$ cd yasm-0.7.2
$ ./configure
$ make
$ sudo checkinstall -D --pkgname=yasm --fstrans=no --pakdir "$HOME/Desktop" \
--maintainer "$USER" --pkgversion "0.7.2" --backup=no \
--deldoc=yes --deldesc=yes --delspec=yes --default

И сам x264:
$ sudo apt-get purge x264 libx264-dev
$ cd $HOME
$ git clone git://git.videolan.org/x264.git
$ cd x264
$ ./configure --prefix=/usr --enable-shared
$ make
$ sudo checkinstall -D --pkgname=x264 --fstrans=no --pakdir "$HOME/Desktop" \
--maintainer "$USER" --pkgversion "1:0.svn`date +%Y%m%d`-0.0ubuntu1" --backup=no \
--deldoc=yes --deldesc=yes --delspec=yes --default

Установка пакета кодеков:
$ cd $HOME
$ wget http://www.mplayerhq.hu/MPlayer/releases/codecs/all-20071007.tar.bz2
$ sudo mkdir -pv /usr/lib/codecs
$ tar xjvf all-20071007.tar.bz2
$ sudo cp -v $HOME/all-20071007/* /usr/lib/codecs

Создаем симлинк для шрифтов для корректного отображения субтитров:

$ mkdir -v $HOME/.mplayer
$ ln -sv /usr/share/fonts/truetype/ttf-bitstream-vera/Vera.ttf ~/.mplayer/subfont.ttf

Устанавливаем все библиотеки необходимые для сорки mplayer:
$ sudo aptitude build-dep mplayer

Вытягиваем свежую версию mplayer из svn:
$ cd $HOME
$ svn checkout svn://svn.mplayerhq.hu/mplayer/trunk mplayer

Скачиваем ffmpeg-mt (ffmpeg multi thread):
$ cd $HOME
$ git clone http://git.gitorious.org/ffmpeg/ffmpeg-mt.git

Вытягивает старую версию ffmpeg, она необходима для избежания ряда ошибок компиляции на устранение которых было потрачено много времени =) :


$ cd $HOME
$ wget http://www.ffmpeg.org/releases/ffmpeg-0.5.tar.bz2
$ tar -jxvf ffmpeg-0.5.tar.bz2


Копируем свежие библиотеки в директорию с исходниками mplayer:
$ cd mplayer
$ rm -rf libavcodec libavformat libavutil #удаляем билиотеки которые шли в комплекте с mplayer
$ cp -a ../ffmpeg-mt/libavcodec . #копируем свежие библиотеки
$ cp -a ../ffmpeg-mt/libavformat .
$ cp -a ../ffmpeg-mt/libavutil .
$ cp -a ../fmpeg-0.5/libswscale .

Конфигурируем и собираем mplayer:

$ cd $HOME/mplayer
$ ./configure --enable-gui
$ make
$ sudo make install
$ make clean

Если у вас не будет собиратся mplayer и будет ругаться на CODEC_ID_PCM_BLURAY, избавиться от этого можно закоментировав соответствующюю строку в файле ./libmpdemux/mp_taglists.c ({ CODEC_ID_PCM_BLURAY, MKTAG(‘B’, ‘P’, ‘C’, ‘M’)} ). Не знаю на что это повлияет, но иного выхода собрать плеер я не нашел.

А теперь в чем приемущество:
$ mplayer -vc ffh264 -lavdopts threads=2 filename.mkv

В данном случае будет выделено два процесс для декодирования фильмов, что существенно повышает производительность mplayer на многоядерных системах.

Приятного просмотра!

Поделиться / Закладки