Astra Linux 1.6 (Смоленск). Готова ли система к работе с простыми пользователями? Примеры костылей


    Нейтрализация пользователя и процесс установки новой ОС

    Привет, Хабр. Сегодня хотим поделиться опытом миграции одной организации (далее – Заказчик) на отечественную ОС в рамках выполнения требований по импортозамещению. Сразу нужно обозначить, что Заказчик выбрал и закупил эту ОС самостоятельно. Нам же досталось удовольствие развертывания, оптимизации этой ОС и выполнение требований по защите информации.

    Задача


    Имеется государственная информационная система 2 класса защищенности (далее – ГИС) с порядка 1000 условно однотипных пользователей, со строго определенным кругом служебных задач. Сама ГИС состоит из веб-сервисов, распределенных примерно на 30 объектах с локальными базами. Также есть удаленные рабочие места в поселениях. При этом есть общий домен (но далеко не везде), есть шары локальные/корпоративные. Парк компьютеров и оргтехники кое-где не первой свежести, каналы передачи между объектами не ахти. Есть системные администраторы на местах и главные в управлении. В общем, стандартная ситуация, характерная для средних госучреждений перед великой миграцией на отечественное ПО.

    Проблемы, тесты, изучение



    1. Шару мы подключали через астровский графический файловый менеджер (fly-fm). С отображением русских имён файлов на «оконных» шарах проблем нет. Но эти имена превращаются в набор нечитаемых человеком символов при копировании этих файлов на рабочий стол и в другие места на диске. По этому вопросу работали с разработчиками, вопрос сложный, хоть и фиксы есть.

    Есть способ монтирования шары средствами Linux, независимо от особенностей астровского софта. Способ работает, но требует времени на тестирование в реальных условиях. Предварительные испытания показали, что файлы не коверкаются при отображении и копировании, но есть проблемы с совместимостью с некоторыми версиями Windows Server. Суть проблем с разграничением доступа к файлам на шаре при подключении Linux-клиента, тестируем подключение с различными опциями, рекомендуемыми разработчиками пакета cifs-tools, который отвечает за монтирование шар. Иногда используем autofs, в остальных случаях инструктируем как «не надо делать» из того что они привыкли.

    2. Связано с первым. При монтировании шары из астровского fly-fm, пользователи не могут сохранять файлы из Firefox непосредственно на «шару». Им приходится делать две операции, из Firefox они сначала сохраняют на рабочий стол, а потом перекидывают документ на шару. Тоже самое для того, чтобы выложить файл на сайт, сначала берут его с шары на рабочий стол, а потом уже закидывают с него в свои базы данных.

    Это происходит из-за того, что Firefox использует свой собственный диалог открытия и записи файлов, в котором нет возможности указать на ту символическую ссылку шары, которую мы создали в астровском fly-fm.

    Данной проблемы бы не было, используй астра не своё графическое окружение, а какое-нибудь из популярных в Linux. Пока что остается использовать autofs или писать инструкции сотрудникам о правилах копирования и загрузки файлов.

    3. Расшаривание USB-принтеров в сеть. Два варианта стандартных: через сервер печати cups и samba протокол не взлетели со стандартными настройками. ПокрутилиПеревели в режим клиента, и подключили к CUPS другого компьютера и заработало, только с оговоркой – у одного клиента может быть только 1 сервер печати и компьютер, настроенный в режим клиента, не может использовать свои локальные Принтеры, потому как свой сервер печати глушится.

    4. В учреждениях часто используют макросы в документах предыдущего офисного пакета. Эти макросы несовместимы с макросами в Libre Office, потому что в последнем они пишутся не на Visual Basic, а на Java.

    И более того, создатели Астры выкинули из дистрибутива всё связанное с Java, т. к. она принадлежит американской компании Oracle. Т. е. написать макросы в астровском офисе пока вообще невозможно. Единственный вариант — эмуляция или рядом стоящий компьютер с «Окнами».

    Выводы и принятые решения


    По анализу сложившейся ситуации с инфраструктурой было решено, что автоматизация процесса перехода на отечественную ОС может повлечь неожиданные неприятности. Такой подход можно было применять только в управлении (центральный офис) – в случае чего можно было оперативно отреагировать. На локальных объектах в районах хоть и были вполне типовые рабочие места и техпроцессы, это не дает полной стандартизации и возможности «тихой установки».

    Что все-таки мешало запустить одновременную установку по сети:

    • отсутствие общего домена;
    • зоопарк железа и периферии;
    • загрузка из сети не является приоритетной, все равно нужно доехать до удаленного рабочего места и сменить порядок загрузки (как следствие отсутствия централизованного домена – нет оперативной возможности устанавливать какие-либо агенты для предварительной настройки);
    • плохие каналы связи с удаленными рабочими местами и между объектами;
    • техпроцесс хоть по большей части и типовой, но по факту все равно переводились не все пользователи, т. к. у значительной части есть задачи, которые можно пока что выполнять только по Windows;
    • одновременная переустановка ОС на всех компьютерах без дополнительной пользовательской донастройки парализует работу всего учреждения, что является недопустимым.

    В итоге было принято решение сформировать максимально универсальный дистрибутив для развертывания руками на месте. Дополнительно пришлось организовать каналы технической поддержки системных администраторов на местах, для консультаций и транслирования опыта работы со служебными задачами.

    В целом по теме перехода на отечественное программное обеспечение: на данный момент так и не решены вопросы с миграцией многих приложений. Как совершенно стандартных, так и экзотических (в том числе – самописных). Поэтому миграция на новую ОС сейчас это, в том числе, нахождение оптимальных решений выполнения служебных задач заново и, возможно, существенное изменение существующих технологических процессов организаций. Что в свою очередь может повлечь потребность в актуализации/пересмотре проектных и аттестационных документов, ну и прочие философские размышления на тему ИБ в масштабах страны.

    Миграция в рассмотренной организации продолжается. Намечены этапы, выбраны следующие объекты и другие рабочие места для перехода на новую ОС. Также этот проект коррелируется со спущенным сверху планом перехода на отечественное ПО в других наших Заказчиках и новых клиентах. Пока процесс прогрессирует сложно, хоть и порой срочно, но разнообразные подходы тестируются и затем применяются. Информации для аналитики, выбора решений предостаточно, будем обязательно освещать по мере сил и возможности.

    Далее технические детали, шаманства и костыли.

    Подготовка флэшки и установка


    1. Для установки понадобится флэшка или иной внешний USB-накопитель NTFS объёмом не
    менее 16Гб. Образ Porteus весит 270Мб. Это по сути мобильный Линукс, который нужен только для запуска нашего скрипта-инсталятора. Образ устанавливаемого Астра Линукс весит 8Гб. При желании можно ужать образ на пол гига и тогда хватит и 8 гиговой флэшки.

    2. Скопируйте на неё образ системы и дерево каталогов слегка изменённой нами портативной ОС Porteus.

    3. Сделайте флэшку загрузочной, запустив скрипт:

    /boot/Porteus-installer-for-Linux.com — из Linux
    /boot/Porteus-installer-for-Windows.exe — из Windows
    

    4. Загрузитесь с подготовленного накопителя и следуйте инструкции:



    Для Porteus нами был создан модуль, содержащий bash-скрипт развёртывания Astra Linux в диалоговом режиме.



    Скрипт сканирует загрузочный накопитель на наличие образов системы, позволяет выбрать диск для установки системы, разворачивает на него образ, и позволяет сделать некоторые установки перед первой загрузкой системы.

    Скрипт
    #!/bin/sh
    # unmount swap disks
    for i in `cat /proc/swaps | grep dev | awk -F" " '{print $1}'`; do swapoff $i; done
    #variables
    DIALOG=${DIALOG=dialog}
    tempfile=`mktemp 2>/dev/null` || tempfile=/tmp/temp$$
    tempfile1=`mktemp 2>/dev/null` || tempfile1=/tmp/temp$$
    tempfile2=`mktemp 2>/dev/null` || tempfile2=/tmp/temp$$
    tempfile3=`mktemp 2>/dev/null` || tempfile3=/tmp/temp$$
    tempfile4=`mktemp 2>/dev/null` || tempfile4=/tmp/temp$$
    #image selection
    setimage () {
    mdevs=`mount | grep fuseblk | awk -F" " '{print $3}'`
    cd /
    $DIALOG --backtitle "Выберите образ установочного диска:" \
    --menu " " 15 80 5 \
    `find $mdevs -name *.di -type f | awk '{print $0,"image"}'` 2> $tempfile
    retval=$?
    case $retval in
    0)
    image=`cat $tempfile | awk -F/ '{print $6}'`
    input=`cat $tempfile`
    echo "Выбран образ диска: $image"
    sleep 2;;
    1)
    echo "Отказ от ввода."
    exit 0;;
    255)
    echo "Нажата клавиша ESC."
    exit 0;;
    esac
    }
    #disk selection
    setdisk () {
    sdisk=`mount | grep fuseblk | awk -F" " '{print $1}' | awk -F/ '{print $3}' | tr -d [0-9]`
    $DIALOG --backtitle "Выберите диск для установки образа $image :" \
    --menu "`parted -l | grep -E "Модель|Диск \/"`" 15 80 5 \
    `fdisk -l | grep "Диск /"| grep "/dev/s" | awk -F" " '{print $2,$1}'| awk -F: '{print $1,$2}' | sed "/$sdisk/d"` 2>
    $tempfile1
    retval=$?
    case $retval in
    0)
    disk=`cat $tempfile1 | awk -F/ '{print $3}'`
    output=`cat $tempfile1`
    echo "Диск $disk выбран для клонирования на него образа $image"
    sleep 2;;
    1)
    echo "Отказ от ввода."
    exit 0;;
    255)
    echo "Нажата клавиша ESC."
    exit 0;;
    esac
    }
    #cloning (dd process)
    cloning () {
    bs=`hdparm -I $output | grep "cache/buffer size" | awk -F" " '{print $4}'`
    umount -l $output"*"
    dd if=/dev/zero of=$output bs=512 count=1
    clear
    sleep 1
    echo "Клонирование образа $image на диск $disk..."
    #dd if=$input of=$output bs=$bs 2>/tmp/error & pid=$!
    dd if=$input of=$output bs=8M 2>/tmp/error & pid=$!
    sleep 2
    while [ -d /proc/$pid ];
    do kill -USR1 $pid && tail -n 2 /tmp/error | grep GB && sleep 10 && clear;
    done
    clear
    tail -n 3 /tmp/error
    echo "Процесс клонирования завершён."
    rm /tmp/error
    sleep 2
    }
    #resize second partition
    resizepart () {
    echo "Размер второго раздела диска до расширения:"
    fdisk -l $output"2" | head -n 1
    echo "Расширяем второй раздел диска $disk..."
    parted $output rm 2
    parted $output mkpart primary 2GB 100%
    resize2fs -f $output"2"
    e2fsck $output"2"
    echo "Текущий размер второго раздела:"
    fdisk -l $output"2" | head -n 1
    sleep 2
    }
    #hostname
    sethost () {
    $DIALOG --inputbox "Введите имя компьютера:" 10 80 2> $tempfile2
    retval=$?
    case $retval in
    0)
    hostn=`cat $tempfile2`
    mount $output"2"
    echo $hostn >/mnt/$disk"2"/etc/hostname
    hosts=/mnt/$disk"2"/etc/hosts
    /bin/cat << ENDFILE >$hosts
    127.0.0.1 localhost
    127.0.1.1 $hostn
    # The following lines are desirable for IPv6 capable hosts
    ::1 localhost ip6-localhost ip6-loopback
    ff02::1 ip-allnodes
    ff02::2 ip6-allrouters
    ENDFILE
    echo "Имя компьютера установлено как: `cat /mnt/$disk"2"/etc/hostname`"
    sleep 2;;
    1)
    echo "Отказ от ввода."
    exit 0;;
    255)
    echo "Нажата клавиша ESC."
    exit 0;;
    esac
    }
    #adduser
    adduser () {
    $DIALOG --inputbox "Введите имя пользователя:" 8 40 --inputbox "Введите пароль:" 8 40 2> $tempfile3
    retval=$?
    case $retval in
    0)
    name=`awk '{print $1}' $tempfile3`
    pass=`awk '{print $2}' $tempfile3`
    passf=/mnt/$disk"2"/tmp/pass
    /bin/cat << ENDFILE >$passf
    parsec_pam del
    useradd -m -N -s /bin/bash -G cdrom,audio,video,floppy,plugdev,dialout,users $name
    echo -e "$pass\n$pass\n" | passwd $name
    passwd -w 14 -x 90 $name
    parsec_pam add
    ENDFILE
    chmod 755 $passf
    chroot /mnt/$disk"2" /tmp/pass
    echo "Имя пользователя: $name"
    echo "Пароль пользователя: $pass"
    sleep 2;;
    1)
    echo "Отказ от ввода."
    exit 0;;
    255)
    echo "Нажата клавиша ESC."
    exit 0;;
    esac
    }
    #kasperftp
    kasper () {
    $DIALOG --inputbox "Введите ip адрес ftp сервера для обновлений антивируса:" 10 80 2> $tempfile4
    retval=$?
    case $retval in
    0)
    kftp=`cat $tempfile4`
    obnovftp=/mnt/$disk"2"/opt/kaspersky/kesl/bin/kesl-obnovftp
    /bin/cat << ENDFILE >$obnovftp
    SourceType=Custom
    ConnectionTimeout=10
    [CustomSources.item_1]
    URL=ftp://ftpuser:1qwertyuiop_0@$kftp/Updates
    Enabled=Yes
    ENDFILE
    echo "ip адрес ftp сервера для обновлений антивируса: $kftp"
    sleep 2;;
    1)
    echo "Отказ от ввода."
    exit 0;;
    255)
    echo "Нажата клавиша ESC."
    exit 0;;
    esac
    } autofs () {
    mcedit /mnt/$disk"2"/etc/auto.share
    }
    #statement
    state () {
    echo "Образ $image установлен на диск $disk."
    echo "Информация о текущих разделах диска $disk:"
    fdisk -l /dev/$disk
    echo "ip адрес ftp сервера для обновлений антивируса: `cat /mnt/$disk"2"/opt/kaspersky/kesl/bin/kesl-obnovftp |
    grep URL | awk -F@ '{print $2}' | awk -F/ '{print $1}'`"
    echo "Имя компьютера: `cat /mnt/$disk"2"/etc/hostname`"
    echo "Имя пользователя: $name"
    echo "Пароль пользователя: $pass"
    echo "Пользователь принадлежит группам:"
    cat /mnt/$disk"2"/etc/group | grep $name | awk -F: '{print $1}'
    echo "Установка системы завершена. Введите reboot или нажмите Ctrl+Alt+Del для перезагрузки компьютера."
    }
    #program start:
    setimage
    setdisk
    cloning
    resizepart
    sethost
    adduser
    kasper
    autofs
    state
    exit 0
    


    Изменения, внесённые нами в конфигурацию системы


    1. Включили цифровую клавиатуру на экране приветствия системы, по умолчанию была выключена. Опция «NumLock=On» в конфигурационном файле:

    /etc/X11/fly-dm/fly-dmrc

    2. Устранили артефакты и медленную отрисовку окон для встроенных видеокарт на базе чипов Intel, включив режим отрисовки UXA в файле:

    /etc/X11/xorg.conf.d/20-intel.conf

    Section "Device"
    Identifier "Intel Graphics"
    Driver "intel"
    Option "AccelMethod" "uxa"
    Option "TearFree" "true"
    Option "Tiling" "true"
    EndSection
    Section "Extensions"
    Option "Composite" "Enable"
    Option "RENDER" "Enable"
    EndSection
    Section "ServerFlags"
    Option "AIGLX" "true"
    EndSection
    

    3. Добавлена возможность сделать локальный сервер печати CUPS клиентом другого сервера. Это позволяет использовать принтеры, подключенные к другим Linux машинам по USB, когда возникают проблемы с их подключением по сети через веб интерфейс.

    Создан файл:

    /etc/cups/client.conf

    #ServerName 10.12.x.x

    Здесь необходимо убрать комментарий строки и дописать адрес удалённой машины с принтером. После этого принтер сразу же будет доступен для печати.

    4. Переписаны файлы конфигурации отображения шрифтов. Добавлена возможность включения и отключения их сглаживания на общесистемном уровне, а не на уровне приложений.

    Файлы:

    /etc/fonts/conf.avail/11-fontsalias.conf

    Код
    <?xml version="1.0"?>
    <!DOCTYPE fontconfig SYSTEM "fonts.dtd">
    <fontconfig>
    <alias>
    <family>serif</family>
    <prefer><family>PT Sans</family></prefer>
    </alias>
    <alias>
    <family>sans-serif</family>
    <prefer><family>PT Sans</family></prefer>
    </alias>
    <alias>
    <family>sans</family>
    <prefer><family>PT Sans</family></prefer>
    </alias>
    <alias>
    <family>monospace</family>
    <prefer><family>PT Sans</family></prefer>
    </alias>
    <alias>
    <family>mono</family>
    <prefer><family>PT Sans</family></prefer>
    </alias>
    <match>
    <test name="family"><string>Arial</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Helvetica</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Verdana</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Tahoma</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <!-- Insert joke here -->
    <test name="family"><string>Comic Sans MS</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Times New Roman</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Serif</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Times</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Courier New</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Arimo</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Roboto</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>OpenSymbol</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Noto Sans</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Carlito</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Fixed</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    <match>
    <test name="family"><string>Lucida</string></test>
    <edit name="family" mode="assign" binding="strong">
    <string>PT Sans</string>
    </edit>
    </match>
    </fontconfig>
    


    /etc/fonts/conf.avail/12-noaa.conf

    Код
    <?xml version = '1.0'?>
    <!DOCTYPE fontconfig SYSTEM "fonts.dtd">
    <!-- /etc/fonts/local.conf file for local customizations -->
    <fontconfig>
    <match target="font" >
    <edit mode="assign" name="hinting" >
    <bool>true</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="antialias" >
    <bool>false</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="embeddedbitmap" >
    <bool>false</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="hintstyle" >
    <const>hintfull</const>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="autohint" >
    <bool>false</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="lcdfilter" >
    <const>lcdlight</const>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="rgba" >
    <const>rgb</const>
    </edit>
    </match>
    <match target="pattern" >
    <edit mode="assign" name="dpi" >
    <double>96</double>
    </edit>
    </match>
    </fontconfig>
    


    /etc/fonts/conf.avail/13-aa.conf

    Код
    <?xml version = '1.0'?>
    <!DOCTYPE fontconfig SYSTEM "fonts.dtd">
    <!-- /etc/fonts/local.conf file for local customizations -->
    <fontconfig>
    <match target="font" >
    <edit mode="assign" name="hinting" >
    <bool>true</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="antialias" >
    <bool>true</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="embeddedbitmap" >
    <bool>false</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="hintstyle" >
    <const>hintslight</const>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="autohint" >
    <bool>false</bool>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="lcdfilter" >
    <const>lcdlight</const>
    </edit>
    </match>
    <match target="font" >
    <edit mode="assign" name="rgba" >
    <const>rgb</const>
    </edit>
    </match>
    <match target="pattern" >
    <edit mode="assign" name="dpi" >
    <double>96</double>
    </edit>
    </match>
    </fontconfig>
    


    За включение и выключения сглаживания отвечают скрипты:

    /usr/local/bin/aaon
    /usr/local/bin/aaoff

    5. Добавлена сетевая папка для сканирования с сетевых МФУ, позволяющих сохранять изображения по smb протоколу. В стандартный файл конфигурации Samba-сервера:

    /etc/samba/smb.conf

    внесена секция:

    [scan]
    path = /var/scan
    comment = scan
    read only = no
    guest ok = no
    guest only = no
    valid users = scan
    create mask = 0666
    directory mask = 0777
    

    а так же комментированная секция для быстрого создания публичной папки обмена:

    #[share]
    #path = /var/share
    #comment = share
    #read only = no
    #guest ok = yes
    #create mask = 0666
    #directory mask = 0777
    

    в системе зарегистрирован samba-пользователь scan с паролем scan

    6. Создан скелет настроек для вновь регистрируемых локальных пользователей системы. Он содержит мелкие изменения внешнего вида рабочего стола, изменённые настройки пользовательских приложений, сертификаты для подключения браузера к необходимым сетевым ресурсам и т.д. Некоторые изменения будут описаны подробно далее по тексту.

    7. Создан файл конфигурации сервиса rc-local для подсистемы инициализации Linux. Это даёт возможность по необходимости подгружать какие-либо скрипты на стадии инициализации системы.

    Файлы:

    /etc/rc.local

    #!/bin/sh -e
    exit 0
    

    /etc/systemd/system/rc-local.service

    [Unit]
    Description=/etc/rc.local Compatibility
    ConditionPathExists=/etc/rc.local
    [Service]
    Type=forking
    ExecStart=/etc/rc.local start
    TimeoutSec=0
    StandardOutput=tty
    RemainAfterExit=yes
    SysVStartPriority=99
    [Install]
    WantedBy=multi-user.target
    

    8. Добавлены фирменные драйвера Xerox для некоторых сетевых принтеров.

    9. Установлен и настроен пакет autofs. Позволяет подключать сетевые папки через cifs-utils на системном уровне. В файл:

    /etc/auto.master

    добавлена строка:

    /mnt /etc/auto.share --ghost --timeout=60

    создан файл конфигурации с инструкцией внутри:

    /etc/auto.share

    10. Написан скрипт для инициализации сервера обновлений для антивируса Касперского и проверки обновления баз:

    /usr/local/bin/kasperftp

    #!/bin/sh
    echo "Останавливаем обновления, если задание уже запущено..."
    /opt/kaspersky/kesl/bin/kesl-control --stop-task 6
    sleep 2
    echo "Обновляем адрес сервера обновлений."
    /opt/kaspersky/kesl/bin/kesl-control --set-settings 6 --file /opt/kaspersky/kesl/bin/kesl-obnovftp
    echo "Проверка изменений..."
    /opt/kaspersky/kesl/bin/kesl-control --start-task 6
    /opt/kaspersky/kesl/bin/kesl-control -W
    exit 0
    

    11. Добавлены обои рабочего стола и собственная тема экрана приветствия системы.

    Подключение принтеров.

    Настройка принтеров производится через страницу конфигурации CUPS в браузере по адресу: 127.0.0.1:631 или localhost:631

    Страница переведена на русский язык и интуитивно понятна. Для установки принтера нужны права администратора системы. Для публикации принтеров в сети нужно активировать два пункта в параметрах сервера.

    При добавлении сетевого принтера обычно используется AppSocket/HP JetDirect или протокол интернет-печати (ipp) c указанием ip адреса.

    Если же сетевой принтер не подключился данными способами, то можно сделать локальный сервер печати CUPS клиентом другого сервера, отредактировав файл /etc/cups/client.conf, указав в нём сетевой адрес машины с подключенными принтерами. В этом случае вам не понадобится установка каких-либо драйверов. Хотя в базе CUPS есть огромное количество драйверов, всё же иногда требуется установка фирменных.

    Для некоторых сетевых принтеров Xerox нами уже установлены фирменные драйвера и конфигуратор, команда:

    xeroxprtmgr

    При обнаружении принтера нужно будет его выбрать и указать имя очереди, оно же название принтера в системе. Некоторые модели принтеров, по умолчанию, настроены на печать страницы с номером для каждого отдельного задания. Найдите эту опцию в настройках очереди и отключите её.

    Если у вас принтер HP, то лучше воспользоваться фирменными драйверами, которые так же предустановлены в систему. Перейдите в панель управления > оборудование > установка дополнительного плагина HP, затем там же > установка принтеров, факсов, сканеров HP.

    Сканеры

    Для установки сканера нужно в терминале от администратора системы ввести команду scanimage -L. Если сканер найден, вы увидите вывод с его названием. Если вывод будет пустым, то вам следует поискать фирменные драйвера в сети Интернет.

    На этом пока все. Делитесь в комментариях своим опытом внедрения отечественных ОС.
    Информационный центр
    83,21
    Компания
    Поддержать автора
    Поделиться публикацией

    Комментарии 44

      +3
      1. java можно поставить из Astra Linux Common Edition, если использование java не запрещено политикой организации
      2. Макросы в LibreOffice можно писать на нескольких языках, включая python, LibreOffice Basic, java и пр.

      Спасибо за вашу статью и ваш опыт.
        +1
        1. Хорошо, будем пробовать согласовать и переводить, но скорее вопрос сведется к пункту 2
        2. Безусловно возможности есть, но обычных пользователей скорее интересует вопрос переноса того что они уже годами наработали в Excel, тут и начинается простор изучения и генерации нового решения «как им работать теперь»
          +1
          некотрые макросы можно перенести в LibreOffice Basic, был опыт
            +1
            В том то и проблема, что лишь некоторые.
            Мы пытались, но успеха особого не дошли, и пришлось перерабатывать очень многое…
            0
            Но это же вопрос в принципе перехода на либру/ООО, к ОС это отношение не имеет.
            Там и формулы чуть другие могут быть.

            А так переход на эти пакеты с того же 2003 офиса даже проще, чем переход с оного же 2003 на 2010 офис для пользователей.
              0
              Но это же вопрос в принципе перехода на либру/ООО, к ОС это отношение не имеет.

              Ну как не имеет, очень даже имеет, если переход с Windows на Linux.
                0
                Ну как не имеет, очень даже имеет, если переход с Windows на Linux.
                Переход на либу/ООо не относится к переходу с винды на линь.
                Ибо его осуществляют прекрасно и под виндой, где данный софт прекрасно работает. даже в коммерческих конторах.
                хотя мсовский объективно удобнее в некоторых случаях (и это не столько к макросам, сколько к работе с гигантскими файлами)
                  +1
                  Ну как не относится, очень даже относится, если возникает практически стопроцентно когда осуществляется переход с Windows на Linux, так как это самое используемое приложение.
            0
            1. Смысл тогда ставить SE полностью теряется. Есть еще ГосJava, но руками не трогал.
              0
              почему теряется?
                0
                1. Да, кстати, у нас есть некоторые ограничения в связи с тем что ставим именно SE, тема про контрольные суммы и т.п., в общем это уже философские мысли про информационную безопасность, регуляторов и далее в том направлении, но на каких-нить рабочих местах где прям никак без макросов и не согласуют поставить другой отечественный офис — как вариант (который я имел в виду при ответе): CE с java и другим полезным контентом с репозиториев, либо машина по соседству со старым привычным офисом — такое иногда бывает — бонусы «переходного периода» так сказать
              +1
              Интересно, но где же feedback от «простых» пользователей? Настройка окружения это безусловно важно, но если условная «Валентине Абрамовне» не найдет привычный пуск или в текстовом редакторе не на том месте находится кнопка изменения ориентации страницы, то всё, головная боль тем кто будет обслуживать этот «кабинет» обеспечена.
                +1
                В 2014 г мне пришлось решить вопрос перехода и «простых» пользователей. Но не буду лукавить -ситуация играла мне на руку. Собрал документацию собрал руководство и всех руководящих «Валентин Абрамовен».Постарался четко и аргументированно, с упрощением насколько возможно донести что иногда приходится меняться. Руководство, как не странно поняло(хотя для них головной боли было не мало), и применило политическую волю.
                Всем «Валентинам Абрамовнам»(до самого высшего уровня) довели мысль сто либо меняются они, либо поменяют их.
                Головная боль была но очень непродолжительное время. Все «Валентины Абрамовны» обложились учебниками, записались на курсы ну и я помогал когда видел что люди хотят изменится.И мы месяца за три смогли преодолеть все барьеры.С тех пор практически не возникает вопросов про кнопки не там и про то что не удобно.«Валентины Абрамовны»стали весьма прогрессивными.
                Люди могут менять свои предпочтения и взгляды если их простимулировать.
                  +1
                  Я не говорю что подобное невозможно, но из того что я наблюдал, в частности ГБОУ СОШ: многие пользователи имеют возраст за 50 и с трудом осваивают доже то, что им близко, вроде новых учебников. А у руководителей нет возможности их уволить, из-за банального отсутсвия кадров на рынке труда.

                  Так что мне интересны больше социально-образовательные аспекты таких кейсов. =)
                    +2
                    Нет возможности уволить не из-за отсутствия кадров как таковых. А из-за недостаточного количества тех, кому можно платить копейки, и кто не будет качать права при любом раскладе — хоть ему переработок неоплачиваемых навтыкай, хоть в законный выходной на плановый митинг выгони…
                      0
                      А у руководителей нет возможности их уволить

                      Круто! Уволить сотрудника ни за что ни про что. Зато ПО альтернативное.
                        +1
                        Круто! Уволить сотрудника ни за что ни про что. Зато ПО альтернативное.
                        За несоответствие занимаемой должности.
                        Знаете, я вот встречал уже кучу раз, когда нанятые менеджеры по продажам не могут табличку в экселе сделать. Вообще.
                        И бухгалтеры, которые в специализированном ПО не разбираются и НЕ ХОТЯТ.
                        Так вот, если ваша должность подразумевает работу с ПО — извольте учиться работе с ним. И тут уже совершенно не важно — мс офис вам поставят или либеру. Работа должна выполняться.
                        Это как бухгалтеры, которые отказывались работать с компьютерами в начале 90-х. Сейчас вы такого наймёте?
                          +1
                          Ваши доводы были бы правильными, если бы их уже нанимали с такими требованиями. А если у них в должностной инструкции нет такого ПО — требовать права не имеешь, как и увольнять за несоответствие.
                            0
                            Если увеличение объема должностных обязанностей не свидетельствует об изменении трудовой функции работника и вызвано причинами, связанными с изменением организационных или технологических условий труда, работодатель вправе изменить должностную инструкцию работника без его согласия в порядке, предусмотренном ст. 74 ТК РФ. В
                            Т.е. изменяем должностные обязанности в связи с переходом на новое ПО, направляем на обучение, если человек по итогам не хочет обучаться…
                              0
                              Вот вы и сами увидели сколько появляется «если».
                                0
                                Извините, но вообще-то это нормально постоянно совершенствовать техпроцессы на работе, ага. Делать надо это нормально.
                                Но если люди не хотят работать по новому — то это не
                                Уволить сотрудника ни за что ни про что.
                                Совершенно не это. А за то, что человек мешает конторе работать в сложившихся условиях.
                                В противном случае мы получаем все те полуразваливающиеся конторы, которыми постсовок просто завален, в котором раздутые отделы продаж без нормальных продаж, в которых раздутые отделы бухов, сидящих весь день в инетике, и всё это при том, что как только какой сложный вопрос — то все отчеты, документы и прочее им делает it-отделы, ибо «ну это же высшая математика, вставить формулу суммы в эксель»
                                  0
                                  Вы отвечаете не на мой комментарий к словам AlexUI, а на ваше представление о нём. Я нигде не писал, что сотрудники не должны учиться/переучиваться, а организации совершенствовать процесс. AlexUI написал просто уволить (он не писал, что организации надо потратиться на обучение, привел пример, что работникам самим учиться по учебникам тяжело). Поэтому я и ответил, что просто уволить это и есть ни за что ни про что. В остальном же я с вами согласен. Надо предприятие делать эффективным.

                                  P. S.
                                  А про бухгалтеров вы, возможно, не понимаете, что у них пик работ — отчётная дата. Хотя, конечно, их штат может быть и раздут.
                                    0
                                    Прекрасно понимаю. Ибо в этот пик работ it-отделы за них зачастую делают кучу вещей. По причине того, что те не хотят изучать выданные им инструменты. А it-отдел, почему-то, должен знать сии программы лучше спецов.
                        0
                        >ГБОУ СОШ: многие пользователи имеют возраст за 50 и с трудом осваивают доже то, что им близко

                        Таких как раз логично один раз пересадить на LTS линукс с кастомизацией ГУЯ под winXP, чем терпеть их 3.14здострадания после каждого обновления винды, где постоянно всё меняется (но почему-то за проблему не считается).

                        Лично у меня на linux-десктопе окружение WindowMaker вообще не меняется за 15 лет ни на пиксель, т.к. меня полностью устраивает. Зачем маздайщики постоянно меняют ГУЙ, особенно в серверных редакциях — для меня загадка.
                      +1
                      Поспрашивал наших коллег работающих с пользователями и администраторами; в целом конечно же отзывы о работе в новой ОС и офисе от пользователей есть и немалый, но скучный — на подобие:
                      — что за странный Windows?
                      — где «такая-то» функция в офисе?
                      — а почему эта кнопка/поле, не там где я привыкла?
                      — О....? Что со шрифтами?
                      — Почему так мало картинок на рабочий стол, и они такие странные?
                      — почему ОК и Отмена поменяны местами? – это кстати самый забавный момент, многие на автомате жмут отмену и уходят в цикл: Сохранить – отмена – Сохранить — … и так раз 10 пока не начнут читать что на экране…

                      В общем, работа с пользователями «после..», «28 дней спустя..» и т.д. на линии технической поддержки — это скорее отдельная, но скучная статья, тут вижу что уже много обсудили и без нашего участия, подытожу:
                      Изменения неизбежны и те кто не сможет привыкнуть/научиться могут остаться не у дел (идеология Linux-пользователи всегда была, но тут нам теперь «помогают» со стороны законов). НО есть вторая сторона, упомянутая у одного из коллег с комментарием внизу — мы можем помогать пользователям проще адаптироваться или подстраивать под них интерфейс чтобы в их стандартных манипуляциях было минимум изменений — а вот это точно интересная тема для поста может быть и работы, но трудоемкая местами и бесплатная, не всегда есть ресурсы в том числе время — и приходится искать оптимальное соотношение интересов пользователей/компании/Заказчика
                      +5
                      Картинка шикарная, пошел за скотчем.
                        +5
                        Берите только шотландский!
                          0

                          Если вы про тот скотч, о котором все подумали, так он не шотландским не бывает (разве что палёный из подвальной лаборатории).
                          А если про тот скотч, который на картинке, так 3М — из Миннесоты, это США, а какой-нибудь шотландский ничем не лучше будет русского или китайского.

                        +1
                        Не могли бы вы поведать с как отличается скорость печатаети на принтер в Astra Linux по сравнению с Windows? И какие костыли применяли для ускорения работы?

                        ps: Пользователь плохо зафиксирован. Рот не заклеен.
                          0
                          Уточнил: иногда быстрее, но чаще медленнее. Основная часть производителей офисного оборудования больше внимания уделяет драйверам под ОС Windows.
                          Костыли мы не применяли вообще: обычно скорость печати (даже если и становится ниже) удовлетворительная, проблемы только с отдельными моделями (списка нет), которым администраторы находят замену (или обрекают пользователя на медленную печать)
                          +1
                          Да, и что касается диалогов — скоро будет 3 апдейт, в котором этот вопрос с диалогами в FF и Libre уже решен
                            +1
                            Вот это ждут наши специалисты очень. Но возможно тут проблемы с контрольными суммами (далее — КС) Astra SE, обновления № 20190712SE16MD и № 20190621SE16MD нарушают КС, которые были доступны в № 20190222SE16 (последнего, в составе которого шли обновленные КС), а новых не выкладывают пока. В итоге если поставить все актуальные обновления мы получим нарушение КС
                              +1
                              1. Ставится всегда только последнее обновление (оно содержит в себе все предыдущие)
                              2. В обновлении содержится файл с новыми контрольными суммами.

                              Таким образом, никакого нарушения КС после обновлений быть не может.
                            0
                            А вы все компьютеры переводите на линукс или только компьютеры, которые работают непосредственно с вашей ГИС?
                              0
                              Сейчас ситуация у всех сводится скорее к началу перевода на отечественное ПО, есть требования по импортозамещению в процентах у гос. организаций, кто как выкручивается — всех но по объектам переводят, или частично во всех подразделениях, или правильно составляют план с этапами — шоковая терапия думаю никому не будет полезна, оптимальнее начинать с простого. Конкретно к требованиям по защите информации в ГИС ведь не относится переход на отечественное ПО
                              0
                              А мне казалось что для обычных пользователей должна быть Astra Linux Common Edition
                                0

                                Там похоже защищённая сеть, секреты по ней гуляют.

                                  0
                                  Это вопрос выбора варианта перехода для информационных систем с необходимостью защиты данных: ОС как средство защиты информации или ОС как общесистемное ПО+наложенные средства защиты. И сказал бы даже что это вопрос нескольких отдельных статей, постараемся не затягивать с освещением нашей аналитики по этим темам
                                  0

                                  А вы не пробовали pam mount? На много удобнее для монтирования чем autofs. В последнее время можно пользоваться systemd для монтирования по требованию, причем эти решения не зависят от типа сетевой фс.
                                  Астра же на дебиане, не могу ума приложить, что они могли сделать такого, чтобы были проблемы с использованием usb принтеров по сети.

                                    0
                                    Я так понимаю какому то МФЦ дали денег не только на импортозамещение, но и на аутсорс импортозамещения. Да еще и админы на местах. ЗАВИСТЬ!
                                      0
                                      Так с Java в «Астре» теперь полный порядок — www.cnews.ru/news/line/2019-08-13_podtverzhdena_sovmestimost_os_astra_linux_i_otechestvennogo

                                      Или я заблуждаюсь?
                                        +1
                                        4. В учреждениях часто используют макросы в документах предыдущего офисного пакета. Эти макросы несовместимы с макросами в Libre Office, потому что в последнем они пишутся не на Visual Basic, а на Java.


                                        Я последние несколько месяцев плотно работаю с LibreOffice Api. Могу с уверенностью сказать, что неважно на каком языке писать макросы (java, python, star basic, js) — апи одинаковое, можно легко перевести макросы с Java на Star Basic (это версия basic от Libre) + забиндить их на запуск через кнопки, меню и тп. Т.е при установке системы нужно будет лишь после установки libreoffice добавить в ~/.config/libreoffice/4/user конфигурацию с сохраненными настройками офиса(с библиотекой макросов и настройками среды). Я например в своих проектах добавляю Toolbar с моими иконками, к которым привязаны макросы, все интуитивно понятно. Если интересно, могу подкинуть материалов по работе с API, самое полезное довольно сложно найти
                                          0
                                          Кидайте всем) Или статьей!
                                            +2
                                            В корне лежит README, посмотрите его, там много полезных ссылок

                                            api_examples — все примеры что есть в доках, особенно обратите внимание на папку внутри — LibreOffice 6.2.5 Macroses and dialog vba examples. Это примеры по работе с либрой наиболее свежие, появились относительно недавно, поставляются вместе с libreoffice версий 6.2.x, так их удобнее читать. (я использую VS code с плагинами для работы с basic, конвертирую файлы формата bas (basic star) в vba, подсветка нормально работает тогда)

                                            LibreOffice_documentatsia — все доки по либре, в основном полезно только OOME_3_0_2016-Macros_Explained.pdf — это фактически большой справочник по работе с макросами, но примеры довольно скудны

                                            OpenOffice_documentatsia — все доки по опенофису. Рекомендую больше смотреть сюда, нежели в доки по либре, они полнее, различия в апи не существенны, по-крайней мере при работе с текстовыми документами и самое важное: tutorial_StarOffice.pdf. Нет сомнений, что это самая полезная книга из всего что есть вообще по апи, очень много полезной информации о внутреннем устройстве, особенно круто там объясняется как работать с текстом и таблицами, рекомендую в первую очередь

                                            Api-Packages — самые нормальные пакеты для работы с апи через java, очень полезная штука. Там полно примеров использования апи на все вкусы, заброшены :( (часть из них еще доступна на maven)

                                            Ссылка на скачивание архива

                                            + для удобства работы с их IDE (убогой...) включите в общих настройках экспериментальные ф-ции, тогда в настройках появится новая категория — настройки IDE, там можно включить autocomplete для X интерфейсов и автозакрытие скобок, хоть что-то приятное…

                                            Удачи!!!

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое