Загрузка...Синхронизация времени для linux mint
Синхронизация времени для linux mint
Нередки конфигурации, когда на компьютере установлены две операционные системы (Windows и Linux) в конфигурации двойной загрузки (или как модно говорить Dual Boot). Действительно, на первое время можно попробовать пользоваться и Linux, и Windows, а затем уже принять решение о полном переходе на Linux, если все ваши потребности удовлетворены.
Однако вы можете столкнуться с проблемой, что после переключения между операционными системами (загрузки в Linux после Windows) сбивается время на несколько часов вперед или назад. Собственно, с данной ситуацией столкнулся и я. Мне это не понравилось. К счастью, описанная проблема решается в пару кликов.
Matino
Для администраторов небольших сетей проблем в организации доступа пользователей к немногочисленным сетевым ресурсам, в общем, то и нет. Но как только сеть начинает расти, требуется уже синхронизировать учетные записи пользователей на всех сервисах и управлении доступом к различным сервисам. Здесь уже требуется централизованный подход, к решению этой проблемы. Сейчас разберем, как установить и настроить сетевую систему аутентификации пользователей Kerberos на примере Linux Ubuntu.
История Kerberos
В 1983 году две компании DEC, IBM и MIT (Massachusetts Institute of Technology) начали работу над проектом Athena. Суть работ продолжавшихся 8 лет, заключалась в создании единой вычислительной среды, количество пользователей и сервисов в которой можно было бы легко расширить вплоть до 10 тысяч. Пользователь в такой среде мог бы спокойно выходить в сеть с любого компьютера, получать доступ к требуемым файлам и приложениям, не замечая различий в работе и интерфейсе. Было разработано множество передовых на тот момент технологий, из которых сегодня самыми известными являются графическая подсистема X-Window, которая применяется во всех Unix и Kerberos. Разработкой протокола защиты сетевых сервисов используемых в Athena занимались в MIT, в недрах которой и использовались версии 1-3. В 1987 году общественности был представлен протокол Kerberos 4, который имел ряд недостатков и ограничений. Если кто забыл греческую мифологию, так называли трехгодового пса охранявшего выход из царства мертвых Аида (он всего 5 раз не справился со своими обязанностями). В 1993 вышла пятая версия протокола, используемая и по сей день, хотя современные реализации могут работать и с 4 версией. В пятой версии использовалась весьма стойкая по тем временам криптография (DES с 56-битным ключом), и по американским законам попадала под категорию военных технологий, экспорт которых за территорию США запрещен. Поэтому была разработана версия MIT Bones в основу, которой была положена версия 4 и убрана вся сильная криптография. Экспорту Bones уже ни что не препятствовало, но такая “функциональность” никого естественно не устраивала. В 1997 году группа программистов KTH-KRB из Стокгольмского Королевского университета (Royal Institute of Technology in Sweden) выпустила вариант eBones, в котором недостающее было восстановлено. Но в современном мире больше известна реализация Kerberos 5 от KTH-KRB получившая название Heimdal (существо в скандинавской мифологии защищавшее богов, кстати, это еще и город в Trondheim, местность, исхоженная в Wolfenshtein вдоль и поперек). Сейчас версия от MIT распространяется уже безо всяких ограничений.
Принцип работы Kerberos
Кратко опишу принцип работы системы, чтобы было понятно, чем мы будем заниматься. Протокол описан в RFC 1510 (tools.ietf.org/html/rfc1510) и RFC 4120 (tools.ietf.org/html/rfc4120). В настоящее время клиентские компоненты для работы с Kerberos имеются в большинстве современных операционных систем. Для подтверждения подлинности используется доверенная третья сторона, которая владеет секретными ключами всех субъектов и участвующая в по парной проверке подлинности. Когда клиент пытается получить доступ к ресурсу, он посылает запрос, содержащий сведения о себе и о запрашиваемой услуге. Весь процесс происходит в три этапа, в ответ контролер Kerberos (Key Distribution Center, KDC) выдает билет, удостоверяющий пользователя TGT (ticket granting ticket). Каждый билет имеет ограниченный срок жизни, что снижает интерес к его перехвату. Поэтому одним из требований к системе Kerberos синхронизация времени между всеми участниками. При последующем обращении к другим сервисам вводить пароль уже не нужно. Каждый участник системы Kerberos как служба, так и пользователь именуются принципал (principial). Каждый принципал имеет имя и пароль. Типичное имя принципала выглядит так root/admin@GRINDER.COM, что означает имя (primary name) root, характеристику (instance), который принадлежит сектору GRINDER.COM. Такой подход позволяет различать несколько служб работающих на одном компьютере, и среди однотипных служб выбирать нужную. Вся схема работы от пользователя скрыта. При обращении к ресурсу, по прежнему вводит только свой логин и пароль. Для удобства компьютеры могут быть объединены в сектора (realms), кстати в некоторой литературе realms переводят как домен. Все принципиалы сохраняются в базе данных сервера Kerberos. В сети может быть использовано несколько KDC, один из которых является основным (master). На master KDC устанавливается административный сервер kadmind управляющий политиками. Все конечно не так просто, и на порядок или два сложнее, но этого достаточно для понимания, того чего мы будем настраивать дальше.
Устанавливаем NTP
Прежде чем установить Kerberos, необходимо настроить службу синхронизации времени (NTP — Network Time Protocol), без которой не возможна нормальная работа Kerberos.
$ sudo apt-get install ntp
Все настройки производятся в одном единственном файле.
$ sudo mcedit /etc/ntp.conf
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
# серверы с которыми будем синхронизировать время
# используем локальное время в случае неудачи
fudge 127.127.1.0 stratum 13
restrict default kod notrap nomodify nopeer noquery
# локальные пользователи могут запрашивать время
restrict 127.0.0.1 nomodify
# прослушивание времени в сети
$ sudo /etc/init.d/ntp restart
* Stopping NTP server ntpd [ OK ]
* Starting NTP server ntpd [ OK ]
Теперь синхронизируем время.
$ ntpq -p -c as && echo && ntptrace
Устанавливаем Kerberos
В репозитариях пакетов дистрибутивов Linux уже все необходимое есть. Хотя при желании можно установить систему из исходных текстов. Дистрибутив Heimdal найдете на FTP сервере Стокгольмского университета ftp://ftp.pdc.kth.se/pub/heimdal/src, последняя версия на момент написания этих строк 1.0.2 от декабря 2007 года, там же можно найти готовые пакеты для некоторых дистрибутивов. Версия от MIT лежит по адресу http://web.mit.edu/kerberos/.
Команда “sudo apt-cache search kerberos” в Ubuntu выдаст большой список пакетов в котором можно найти решения от MIT и Hemdail.
Основные настройки их практически идентичны, эти системы также понимают билеты выданные друг другом, хотя есть и проблемы совместимости, но о них говорить не будем. Для примера, выберем версию от MIT.
$ sudo apt-get install krb5-admin-server krb5-kdc krb5-config krb5-user krb5-clients
Основные настройки Kerberos производятся в файле /etc/krb5.conf. Набивать его полностью не надо, можно использовать готовый шаблон:
$ sudo cp /usr/share/kerberos-configs/krb5.conf.template /etc/krb5.conf
Теперь открываем файл и начинаем подгонять под свои условия.
$ sudo mcedit /etc/krb5.conf
# kdc и admin сервер для GRINDER.COM
# сообщаем kdc, какие узлы входят в облать GRINDER.COM
# если область и домен совпадает эту секцию можно опустить
# отключаем совместимость с 4 версией Kerberos
Этот файл используется как сервером, так и приложениями, поэтому его можно практически без изменений распространить на остальные системы входящие в один realms (если их много можно использовать службу DNS). Все настройки KDC производятся в /etc/krb5kdc/kdc.conf. В принципе большую часть параметров можно оставить как есть, заменив только realms:
$ sudo mcedit /etc/krb5kdc/kdc.conf
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
Перезапускаем KDC и сервер администрирования.
$ sudo /etc/init.d/krb5-kdc restart
$ sudo /etc/init.d/krb5-admin-server restart
Создаем принципиалы и ключи
Для начала следует создать новую базу данных и наполнить ее принципиалами. Здесь возможно несколько вариантов, один из них вызов kadmin с ключом –l. Можно использовать специальные утилиты.
$ sudo kdb5_util create -s
Loading random data
Initializing database ‘/var/lib/krb5kdc/principal’ for realm ‘GRINDER.COM’,
master key name ‘K/M@GRINDER.COM’
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
Новая база создана. Утилита попросит ввести пароль, не забудьте его. Создадим принципиал, который потребуется для административных целей:
$ sudo kadmin.local -q “addprinc admin/admin”
Authenticating as principal root/admin@GRINDER.COM with password.
Enter password for principal “admin/admin@GRINDER.COM”:
Re-enter password for principal “admin/admin@GRINDER.COM”:
Principal “admin/admin@GRINDER.COM” created.
Authenticating as principal root/admin@GRINDER.COM with password.
Enter password for principal “admin/admin@GRINDER.COM”:
Re-enter password for principal “admin/admin@GRINDER.COM”:
Principal “admin/admin@GRINDER.COM” created.
Для добавления принципиалов для KDC, admin сервера, своего компьютера , пользователей воспользуемся интерактивным режимом работы:
$ sudo kadmin.local -p admin/admin
Authenticating as principal admin/admin with password.
# зарегистрировались использовав принципиал администратора
# создаем принципиал компьютера, так как компьютер не будет вводить пароль, используем случайный пароль
kadmin.local: addprinc -randkey host/grinder.com
Principal “host/grinder.com@GRINDER.COM” created.
kadmin.local: addprinc grinder
Enter password for principal “grinder@GRINDER.COM”:
Re-enter password for principal “grinder@GRINDER.COM”:
Principal “grinder@GRINDER.COM” created.
# добавим принципиал компьютера в файл keytab в котором хранятся собственные принципиалы
kadmin.local: ktadd host/grinder.com
Entry for principal host/grinder.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/grinder.com with kvno 3, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/etc/krb5.keytab.
И так далее. Чтобы иметь возможность заходить удаленно на сервер с использованием Kerberos необхдимо создать файл .k5login (с точкой) в который вписать имя принципиал.
Настраиваем рабочую станцию
В состав обоих вариантов Kerberos входят утилиты, предназначенные для замены стандартных системых утилит вроде /bin/login. Настройки керберизации в разных дистрибутивах будут отличаться. Хотя бы потому что в большинтсве систем используется /sbin/init и достаточно в /etc/inittab заменить /bin/login на керберизированый /usr/bin/login, после чего при регистрации пользователя сначала будет идти обращение к Kerberos, а в случае неудаче к локальной базе /etc/passwd. В Ubuntu с 6.10 вместо /sbin/init используется новая система загрузки upstart, потому здесь немножечко все по-другому.
Для настройки нам понадобятся пакеты krb5-clients, krb5-user и libpam-krb5. Файл /etc/krb5.conf берем с KDC. Затем приступаем к настройкам PAM. В каталоге /etc/pam.d необходимо создать файл common-krb5 такого содержания:
auth sufficient /lib/security/pam_krb5.so use_first_pass
В самом конце файла /etc/pam.d/login есть строки описывающие методы аутентифкации.
# Standard Un*x account and session
Перед этими строчками добавляем еще одну:
И если регистрация в системе происходим в графическом менеджере: GDM в Ubuntu, KDM в KUbuntu, в файлах gdm и/или kdm поступаем аналогично. Кстати в репозитарии имеется пакет kredentials, после установки, которого в панели задач появится аплет с помощью которого можно управлять личными билетами. Установить его можно командой.
$ sudo apt-get install kredentials
После чего ярлык для запуска найдете в меню K.
Нам удалось создать систему, которая будет надежно аутентифицировать пользователей. Регистрация пользователей и сервисов управляется с одного места. Пользователь успешно зарегистрировшийся в системе сможет без проблем попасть на любой разрешенный сетевой ресурс. Настройка поддержки Kerberos в различных сервисах это предмет отдельного разговора.
Снимок резервной копии с Timeshift
При первом запуске инструмента Timeshift на Linux Mint вы увидите поле пароля, в котором говорится, что «требуется аутентификация» (или что-то подобное). Запишите пароль для текущего пользователя, под которым вы вошли, и Timeshift можно будет использовать. Затем вы увидите «Мастер установки».
В мастере установки Timeshift в Linux Mint вы увидите первую страницу. На этой странице программа просит «Выбрать тип снимка». Для пользователей Mint доступны следующие параметры моментальных снимков: протокол «Rsync» и «Btrfs». Выберите в меню опцию «Rsync», так как это самый надежный вариант. Выбирайте «Btrfs» только в том случае, если корневая / домашняя файловая система вашей операционной системы Linux Mint использует файловую систему Btrfs и знает, как она работает. Затем, выбрав опцию «Btrfs», найдите кнопку «Далее» внизу страницы и выберите ее, чтобы перейти к следующему разделу мастера установки.
На странице, следующей за «Типом снимка», одно из них — «Местоположение снимка». В этой области вы должны выбрать диск, на который Timeshift будет сохранять снимки системы. Просмотрите список вариантов и выберите место хранения. Все снимки будут сохранены в папке «Timeshift» в корне раздела на выбранном вами диске. После выбора места хранения нажмите «Далее», чтобы перейти на следующую страницу.
За страницей «Местоположение снимка» находится область «Выбор уровней снимка». Здесь можно указать Timeshift, когда делать снимки операционной системы Linux Mint. Возможны следующие варианты уровней моментальных снимков: «ежемесячно», «еженедельно», «ежедневно», «ежечасно» и «загрузка».
Ознакомьтесь с различными доступными вариантами и выберите тот, который вам больше всего подходит. Не забудьте также настроить, сколько снимков Timeshift будет сохранять по умолчанию, поскольку вам может не понравиться количество по умолчанию. Когда закончите, найдите кнопку «Далее» внизу страницы и щелкните ее, чтобы перейти к следующему разделу.
После «Местоположение моментального снимка» Timeshift отобразит страницу «Домашние каталоги пользователей». На этой странице Timeshift позволяет пользователям выбирать, какие домашние каталоги в системе он включает в процесс моментального снимка, а также какие домашние каталоги следует исключить.
Просмотрите список домашних каталогов и установите флажок «Включить все» для каждого из них, которые вы хотите добавить в конфигурацию моментального снимка в Timeshift. Оставьте для домашних каталогов, которые вы хотите исключить, значение «Исключить все». Также отметьте «Включить скрытые», если вы хотите, чтобы Timeshift сохранял ваши резервные копии и файлы конфигурации. После того, как ваш выбор сделан, нажмите кнопку «Далее», чтобы перейти на последнюю страницу.
На последней странице мастера установки Timeshift появится страница «Установка завершена» с подробными инструкциями о том, как снимки состояния работают в Linux Mint и что делать. Прочтите страницу и нажмите «Готово», чтобы закрыть мастер установки.
Создайте первый снимок системы Timeshift в Linux Mint
Чтобы сделать снимок в Linux Mint с помощью инструмента Timeshift, найдите кнопку «Создать» и щелкните ее. Как только будет нажата кнопка «Создать», на экране появится окно, в котором будет создан снимок. Подождите, пока он создаст снимок, так как процесс, скорее всего, займет много времени.
Когда процесс создания снимка будет завершен в Timeshift, он появится в приложении. Нажмите «Создать», чтобы сделать дополнительные снимки, если хотите.
Восстановление снимков системы в Linux Mint
Вы что-то испортили на своем ПК с Linux Mint? Вам нужно восстановить моментальный снимок Timeshift, сделанный вами в прошлый раз? Вот как это сделать! Сначала просмотрите список созданных снимков (они отсортированы по дате создания). Затем выберите мышью снимок, который вы хотите восстановить, в списке. Нажмите кнопку «Восстановить», чтобы восстановить резервную копию в системе Linux Mint.
Когда Timeshift завершит восстановление снимка в вашей системе Linux Mint, ваш компьютер перезагрузится.
Удаление снимков системы в Linux Mint
Удалить снимки системы, сделанные в Linux Mint с помощью приложения Timeshift, очень просто. Чтобы удалить сохраненный снимок, просмотрите список снимков в приложении Timeshift и выберите тот, который вы хотите удалить, с помощью мыши. Затем, после выбора снимка в списке, нажмите кнопку «Удалить», и Timeshift удалит его из папки «Timeshift» в системе.
How to set time from the Internet with Cinnamon
This is pretty easy. If you have the ntpdate package installed, all you need to do is turn on the appropriate setting in System Settings (Control Center).
Do it as follows.
- Go to Menu -> Preferences — Date & Time.
- The Date and Time applet will appear on the screen.
- Click the button «Unlock» and turn on the option Network Time:
Under the hood of this GUI, Cinnamon is using the mentioned ntpdate via the following command:
It uses the default NTP server of Ubuntu.
Ubuntu 16.10 Yakkety Yak [i386, amd64] 2xDVD, 2xCD
- OS LINUX
- 14 октября 2016, 16:29
Название: Ubuntu
Версия: 16.10 Yakkety Yak
Последняя Версия программы: 16.10 Yakkety Yak
Архитектура: i386, amd64
Тип дисков: DVD
Выпущен релиз 16.10 Yakkety Yak, вместе которым можно скачать также релизы: Xubuntu, Ubuntu MATE, Ubuntu GNOME, Kubuntu, Lubuntu. В Unity 8 внесены улучшения, связанные с работой на многомониторных конфигурациях, управлением окон в десктоп-режиме, работой с буфером обмена и бесшовным запуском X-приложений с использованием XMir. Корректная работа графического стека на базе Mir пока обеспечена только для систем с открытыми драйверами nouveau и intel.
Среди новшеств в этом релизе: рабочий стол Unity обновлён до версии 7.5, в которой в основном представлены исправления ошибок, в том числе связанные с поддержкой HiDPI. Внесены изменения (отключены анимированные эффекты и убраны лишние перерисовки экрана) для снижения нагрузки на графическую систему в режиме «low-graphics», который включается при использовании программных реализаций OpenGL (например, при запуске в виртуальных окружениях). Изменено поведение при развёртывании окон на весь экран;
A new Rust-based desktop
COSMIC desktop in Pop!_OS 21.10 Beta
Early versions of Pop!_OS were modest reskins of Ubuntu. These days the distro is distinctly its own thing.
At the heart of Pop!_OS is the COSMIC desktop System76 created. This takes the core GNOME user-experience and refashions it with extensions to better meet the needs of its target audience (creators, developers, makers, etc).
But GNOME extensions are, as some GNOME developers are keen to point out, a sandy foundation to build on.
“There are things we’d like to do that we can’t simply achieve through extensions in GNOME. Extensions in general feel like a hack. And what we want to do with our desktop differs from GNOME, so it’s not like the option to merge pop-shell and COSMIC into GNOME Shell would be a welcome thing,” Murphy says.
Recent disagreements between System76 engineers and the GNOME developers are said to not have hastened the potential switch to a home-grown shell. That said, you didn’t need to be a fortune-teller to forecast that System76’s ambitions for COSMIC would eventually fall out of sync with a platform moving in a very different direction.
So what can we expect?
We know that the COSMIC desktop ‘shell’ will be built (primarily) in the Rust programming language, though System76’s engineers do plan to reuse existing tooling around this, e.g., Mutter, Kwin, Wlroots. It will also follow FreeDesktop standards where possible and aims to be distro-agnostic.
What about the overall look and layout? Well, Murphy says the goal is to create something similar to the existing COMISC desktop experience.
‘Do we need another DE, though?’
The topic of “fragmentation” will undoubtedly rear its head as/when this new project starts to pick up steam.
And it’s not an unfair criticism.
But it is, as Murphy goes on to explain, perhaps a misplaced one.
“None of us would be here today if people weren’t brave enough to take the next step with a new solution to an existing problem. You’re likely now using some software that was just recently developed as an alternative to something. Distributions and people will naturally gravitate towards the best solutions over time. And sometimes the best solution for an individual is not the most popular desktop environment,” he writes.
This echoes a lot of my own thinking on the matter (which I’ve shared disparate bites of in the past). I prefer to think of ‘fragmentation’ as ‘experimentation’. Double-checking assumptions, exploring alternatives, challenging the status quo, etc.
Pushing the boundaries and exploring alternative avenues are healthy and should be encouraged. And even if those endeavours ultimately amount to nothing, our collective pool of knowledge is always better for someone having tried and failed to do something, then never tried at all.
‘Great: so when can I try it?’
New desktops aren’t built overnight, so it’s going to be a little while before we see any possible ‘fruits’ of this effort.
While the new Shell will be written from scratch it sounds like some existing GTK components will be retained or used for a while, as Murphy explains:
“We’re already using gtk-rs for all of our stuff. My assumption is that it’s likely to see some components in GTK for the foreseeable future. The shell itself though is lower level than a traditional desktop GUI toolkit. It’ll use primitives from the window manager it builds upon. If a mature Rust GUI turns up, then it could be used in the future of course. I’d generally like to use the best tools where possible.”
In all, an exciting development — one I’ll be keeping an eye on as it developers further.
What do you think? Let me know in the comments below.
Home » News » System76 is Building its Own Desktop Environment
Frequently asked questions.
Can I try Zorin OS before installing it on my computer?
Absolutely! You can run Zorin OS from a USB drive to test-drive it without touching your computer’s hard drive. When you’re ready to install it, simply double-click on the «Install Zorin OS» icon on the desktop and follow the step-by-step instructions on the screen.
How much does Zorin OS cost?
You can download and use the Core or Lite editions of Zorin OS completely free. For more advanced features, additional apps, and support, you can purchase Zorin OS Pro from here.
Will my computer work with Zorin OS?
If your computer is 15 years old or less, chances are it should work with Zorin OS. You can check if your computer meets the system requirements.
If you’re thinking of purchasing Zorin OS Pro and aren’t sure if your computer is compatible, you can download Zorin OS Core or Lite for free to test-drive it from a USB drive first.
Will [insert app] work in Zorin OS?
You can install a huge library of apps from the built-in Software store, including many popular apps you know and love. Zorin OS is also natively compatible with Ubuntu & Linux apps (.deb or .AppImage executables), and you can run many Windows apps by simply double-clicking on their .exe or .msi file.
How long does it take to get Zorin OS?
The time it takes to download Zorin OS and create a USB install drive will depend on your Internet connection and hardware. Zorin OS usually takes between 10 and 20 minutes to install on your computer, just enough time to have a coffee. You can find out how to install Zorin OS here.
How long will Zorin OS get software updates for?
Zorin OS 16 will receive software updates and security patches until at least April 2025. We normally release major versions every 2 years, so you’ll have plenty of time to upgrade to future versions to extend support.
Slime Rancher © 2015 — 2021 Monomi Park, LLC. All rights reserved. Developed and published by Monomi Park, LLC. “Slime Rancher” is a registered trademark of Monomi Park, LLC. The game video is copyright of Monomi Park, LLC.
No Man’s Sky © 2016 — 2021 Hello Games Limited. All rights reserved. Developed and published by Hello Games Limited. “No Man’s Sky” is a registered trademark of Hello Games Limited. The game video is copyright of Hello Games Limited.
Art of Rally © 2020 Funselektor Labs Inc. All rights reserved. Developed and published by Funselektor Labs Inc. “Art of Rally” is a registered trademark of Funselektor Labs Inc. The game video is copyright of Funselektor Labs Inc.
