Из-за различий в реализации графического и текстового инстоллеров anaconda вендор рекомендует проводить установку в графическом режиме (в текстовом режиме не доступны: нестандартные схемы хранения данных (LVM, RAID); изменение стандартной схемы разделов; изменение конфигурации загрузчика; выбор пакетов в процессе установки; настройка установленной системы с помощью Firstboot)

1. Install system with basic video driver
(строка 2) из-за дискретной карты

2. Запуск теста целостности установочного носителя – ОК

3. Нарезка пирога

/sda1 под /boot /sda2 под / с полным дисковым шифрованием

При нарезке /sda2 установка чекбокса "Зашифровать"

4. Исключение ненужных пакетов на стадии установки (anaconda позволяет)

5. Отключение Kdump

6. После завершения установки запуск

# yum update

Разрешение команды `sudo`

В файл /etc/sudoers в секции

## Allow root to run any commands anywhere root ALL=(ALL) ALL

добавление строки

<USRNAME> ALL=(ALL) ALL

Добавление, удаление, изменение пароля зашифрованного раздела

1. Проверка используемого слота с паролем (слот 0)

# cryptsetup luksDump /dev/sda2

Выдача

Key Slot 0: ENABLED Key Slot 1: DISABLED ... Key Slot 7: DISABLED

2. Установка второго пароля во второй слот (слот 1)

# cryptsetup luksAddKey /dev/sda2 Enter any passphrase: Enter new passphrase for key slot: Verify passphrase:

3. Проверка слотов

# cryptsetup luksDump /dev/sda2

Выдача

Key Slot 0: ENABLED Key Slot 1: ENABLED ... Key Slot 7: DISABLED

4. Удаление первого пароля из первого слота (слот 0)

# cryptsetup luksKillSlot /dev/sda2 0 Enter any remaining LUKS passphrase:

5. Проверка слотов

# cryptsetup luksDump /dev/sda2

Выдача

Key Slot 0: DISABLED Key Slot 1: ENABLED ... Key Slot 7: DISABLED

Дрова

Установка видеодрайвера с сайта вендора NVIDIA-Linux-x86_64-310.40.run

1. Переход на многопользовательский консольный runlevel с поддержкой сети

$ su - # telinit 3

2. Вход от рута на виртуальную консоль

3. Установка необходимых дополнительных пакетов

# yum install gcc # yum install kernel-devel

4. Запуск установщика драйвера

# cd /tmp # sh NVIDIA-Linux-x86_64-310.40.run

5. Разрешение установить 32-bit совместимые библиотеки OpenGL – ОК

6. Разрешение запустить утилиту самоконфигурирования nvidia-xconfig – ОК

7. Запуск Х-сервера

# exit login: user Password: ****** $ startx

Установка драйвера NTFS-3G (монтирование NTFS с возможностью записи)

1. Подключение репозитория Repoforge (RPMforge)

file rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm

2. Установка драйвера

# yum install fuse-ntfs-3g

Установка TrueCrypt

1. Скачивание последней версии truecrypt-7.1a-linux-x64.tar.gz

2. Запуск установщика

# cd /tmp # sh truecrypt-7.1a-setup-x64

3. После установки TrueCrypt в файле /etc/sudoers задизабливание шарпом # строки Defaults requiretty

#Defaults requiretty

Настройка /etc/fstab для SSD

/dev/mapper/luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx / ext4 defaults,noatime,nodiratime,discard 1 1

discard включает TRIM

Отключение лишних служб

Просмотр параметров запуска служб

Через консоль

$ chkconfig --list

Через GUI

$ system-config-services

# ntsysv

Сообщает, запущена ли служба

service <service-name> status

Остановка, запуск, перезапуск службы

# /sbin/service <service-name> stop # /sbin/service <service-name> start # /sbin/service <service-name> restart

Отключает запуск службы после перезагрузки

chkconfig <service-name> off

На дефолтном уровне исполнения (/etc/inittab = id:5:initdefault:) по умолчанию включены следующие службы (/etc/rc5.d)

Службы, необходимые для нормальной работы

acpid
Демон усовершенствованного интерфейса конфигурации и управления питанием. Крайне рекомендуется оставлять его включенным, только когда это действительно нужно. Если вы запускаете современные графические среды (Gnome, KDE) то многие функции использующие ACPI будут доступны с демоном acpid. Попробуйте выключить его, если испытываете проблемы с управлением питанием (спящий режим, уход в спящий режим, пробуждение после него), либо перезапустите его. При работе в runlevel 3 некоторые функции использующие ACPI могут быть недоступны.

blk-availability
Availability of blok devices.

haldaemon
Hardware Abstraction Layer. Критичный сервис для сбора информации об оборудовании из разных источников. Рекомендуется оставить его включенным.

iptables
Стандартный простой брандмауэр Linux, основанный на списках; имеет смысл только при должной настройке. Очень рекомендован при непосредственном соединении с сетью Интернет (по кабелю, DSL, T1). Не рекомендован при использовании аппаратного фаервола (D-Link, Netgear, Linksys, и прочих).

irqbalance
Занимается распределением прерываний между процессорами в многопроцессорных системах. Пользователи не имеющие многопроцессорных компьютеров/ноутбуков, могут выключить данный сервис. На новых компьютерах с более чем одним процессором (Intel Core 2 Duo, AMD X2) этот сервис должен быть включен. Включение этого сервиса на одно процессорном компьютере не даст никакого эффекта.

messagebus
Сервис межпроцессного взаимодействия для Linux. Критичный компонент поскольку связан с D-BUS. Крайне рекомендуется оставить его включенным.

NetworkManager
Сервис для управления устройствами сети и сетевыми соединениями. Он пришел на замену старому сервису network. Рекомендуется оставить его по умолчанию включенным, а network выключенным. Если вы испытываете какие-либо проблемы, либо предпочитаете предыдущий сервис network, то выключите NetworkManager и включите сервис network. Убедитесь, что ваши настройки сети были сделаны через system-config-network для сервиса network, и/или через nm-connection-editor для сервиса NetworkManager. При использовании новых беспроводных технологий как GPRS, Bluetooth и WiFi, NetworkManager является наиболее рекомендуемым средством.

spice-vdagentd
Together with a per X-session agent process the spice agent daemon enhances the spice guest user experience with client mouse mode, guest <-> client copy and paste support and more.

udev-post
Системный менеджер устройств, использующийся udev. По умолчанию udev поддерживает множество правил, прав и поведений для устройств. Этот сервис позволяет безопасно управлять правилами простому пользователю. Очень рекомендуется оставить его включенным. Необходим для работы с подключаемыми устройства типа флэшек.

cpuspeed
Изменяет частоту ЦПУ с целью экономии энергии. Многие современные ноутбуки и настольные ПК поддерживают эту технологию. Его могут использовать пользователи с процессорами Pentium-M, Centrino, AMD PowerNow, Transmetta, Intel SpeedStep, Athlon-64, Athlon-X2, Intel Core 2. Пользователям ноутбуков рекомендуется оставить сервис включенным. Выключите его, если вы хотите, чтобы ваш CPU использовал фиксированную величину частот.

Не нужные службы, подлежащие фтопку

abrtd
Инструмент для автоматического сбора информации о "падающих" приложениях. Также имеется возможность отправки сообщений в Bugzilla, на почтовый ящик и т.д.

abrt-ccpp
Автоматизированый регистратор ошибок (ABRT). Проверяет и собирает информацию про ошибки в программах на языках С и С++.

atd
Планировщик задач, требуется для выполнения разовых задач. Например, выполнить su -c "yum -y update" в два часа ночи.

bluetooth
Нужен для беспроводных переносных устройств (НЕ wifi,802.11). Небольшое количество ноутбуков поставляется с поддержкой bluetooth. Например bluetooth мыши, наушники и сотовые телефоны. В противном случае – фтопку.

crond
Планировщик задач для сервера с аптаймом 24х7. Не запускает просроченную задачу. Для выполнения задач, которые не были выполнены cron, требуется anacron. Для выключения anacron надо удалить его вручную: su -c "yum remove anacron".

cups
Используется для печати. Если нет CUPS совместимого принтера, который подсоединён непосредственно к ПК или используется по сети, то должен быть выключен.

ip6tables
Сервис iptables работающий по IPv6 протоколу. Если выключена поддержка IPv6, то этот сервис должен быть отключен.

lvm2-monitor
Демон для мониторинга LVM (Logical Volume Management). Нужен, если используется LVM.

mdmonitor
Используется для мониторинга программного RAID или LVM. Не критичен и может быть выключен.

netfs
Используется для автоматического монтирования во время загрузки файловых систем доступных по сети (NFS, Samba и прочих).

network
Служба включения и отключения сетевых интерфейсов; в некоторых случаях может заменить NetworkManager, но последняя более универсальна, потому предпочтительнее использовать ее.

portreserve
Утилита предотвращающая доступ различных RPC служб к реальным портам и отдающая приоритет зарезервированным приложениям.

postfix
Отвечает за запуск SMTP-сервера Postfix.

rsyslog
Служба ведения разнообразных логов.

sshd
Разрешает другим пользователям входить в систему по сети с другого компьютера и запускать приложения на вашем компьютере. Это может стать потенциальной угрозой для безопасности.

sysstat
Мониторинг активности системы и системных параметров, статистика потребления ресурсов системы.

Способы отключения лишних служб

Через GUI

# system-config-services

# ntsysv

Через симлинки

Каталог /etc/rc5.d

1. Замена от рута для отключаемых служб в именах симлинков литеры S (от start) на литеру K (от kill)

S01sysstat > K01sysstat
S02lvm2-monitor > K02lvm2-monitor
S08ip6tables > K08ip6tables
S10network > K10network
S11portreserve > K11portreserve

2. Перезагрузка системы

3. Проверка, какие службы слушают сеть

netstat -pan --inet

Просмотр списка распространенных портов, используемых службыми

cat /etc/services

Удаление лишних системных пользователей

Как правило предназначенных для запуска от их имени соответствующих служб и не нужных в системе после удаления этих служб.

1. Удаление пользователя вместе с одноименной группой, включающей только его

# userdel <USERNAME> # groupdel <GROUPNAME>

abrt
apache
avahi-autoipd
ftp
games
gopher
ntp
postfix
saslauth
sshd
uucp

2. Удаление пользователя без удаления группы, включающей не только его

# userdel <USERNAME>

lp

Примечание:
При удалении некоторых системных пользователей не будут удалены их домашние каталоги

/etc/abrt
/etc/ntp
/usr/games
/var/empty/sshd
/var/spool/lpd
/var/spool/postfix
/var/www

Отключение поддержки IPv6

1. Добавление в файл /etc/sysctl.conf следующих строк

net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1

Примечание:
Разработчики рекомендуют не отключать IPv6 модуль ядра (вот он)

lsmod | grep ipv6

а применять этот метод, чтобы избежать получения ошибки от SELinux и других компонентов

2. Перезагрузка системы

3. Проверка отсутствия поддержки IPv6 любым из способов

ifconfig | grep inet6

ip a | grep inet6

Если команды ничего не возвращают, значит поддержка IPv6 выключена на всех интерфейсах

Примечание:
Выключение IPv6 на работающей системе

echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 echo 1 > /proc/sys/net/ipv6/conf/default/disable_ipv6

или так

sysctl -w net.ipv6.conf.all.disable_ipv6=1 sysctl -w net.ipv6.conf.default.disable_ipv6=1

Затруднение идентификации используемой ОС

Внесение в файл /etc/sysctl.conf следующих строк

1. Игнорирование бродкастовых ICMP пакетов

net.ipv4.icmp_echo_ignore_broadcasts = 1

2. Блокировка TCP SYN атак

net.ipv4.tcp_syncookies = 1

3. Блокировка ICMP редиректов

net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0

4. Отключение uptime

net.ipv4.tcp_timestamps = 0

5. Изменение TTL (Time to live) с 64 на 128

net.ipv4.ip_default_ttl = 128

6. Изменение скорости генерации ICMP

net.ipv4.icmp_ratelimit = 70

Для применения изменений перезагрузка

или

# sysctl -p

Отключение автоматически запускаемых программ

Через GUI

Система – Параметры – Запускаемые приложения

1. Снятие чекбоксов как минимум со следующих строк

Менеджер Bluetooth
GNOME Login Sound
Апплет уведомлений ABRT
Визуальная поддержка
Общий доступ к личным файлам
Удалённый рабочий стол
Хранитель экрана

Закрытие окна

2. Проверка запущен ли, например, менеджер Bluetooth

# netstat -lpn | grep bluetooth unix 2 [ ACC ] STREAM LISTENING 18066 2745/bluetooth-appl /tmp/orbit-XXXXX/linc-XXX-X-XXXXXXXXXXXXX

3. Перезагрузка системы

4. Проверка отключен ли автозапуск

# netstat -lpn | grep bluetooth Вывод команды пустой

5. Полный список того, что само стартует при старте системы

# netstat -lpn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 13856 2339/Xorg /tmp/.X11-unix/X0 unix 2 [ ACC ] STREAM LISTENING 16033 2581/seahorse-agent /tmp/seahorse-3Wsobz/S.gpg-agent

Настройка автоопределения кодировок в текстовом редакторе Gedit

Для комфортной работы с текстовыми файлами, созданными как в юникоде UTF-8, так и в виндовой кодировке cp-1251

1. Запуск gconf-editor командой

$ gconf-editor

Если не установлен, то установка командой

# yum install gconf-editor

2. Открытие ветки реестра apps/gedit-2/preferences/encodings

3. Клик ПКМ по ключу auto_detected

4. Выбор параметра "Изменить ключ"

5. Кнопкой Вверх поднятие кодировки WINDOWS-1251 на второе место после UTF-8

Тумбочки

Решаемая проблема
Эскизы генерируются вне зависимости от точки монтирования, что приводит к сохранению эскизов с примонтированных зашифрованных файловых систем и сменных носителей. По эскизу можно получить представление о содержимом оригинала. При определенных настройках вместо эскизов в кэш падают полные копии оригиналов. Чем больше в кэше миниатюр, тем медленнее проходит их чтение. Чем больше в каталоге файлов с миниатюрами, тем медленнее этот каталог открывается и просматривается в наутилусе.

1. Запрет на создание тумбочки наутилусом

$ gconf-editor

Задание значения 0 для ключа

/apps/nautilus/preferences/thumbnail_limit

Описание ключа
Максимальный размер изображения для построения миниатюр
Для изображений, чей размер превышает заданный здесь (в байтах), файлы миниатюр создаваться не будут. Цель этого параметра — избежать построения миниатюр для больших изображений, для которых может потребоваться много времени на загрузку или много памяти.

Побочный эффект
При посмотре каталогов в наутилусе все файлы одного типа выглядят одинаково не давая представления о содержимом без открытия файла.

2. Запрет на создание тумбочки программами генерирования эскизов

Поднятие чекбокса для активации задизабливающего ключа

/desktop/gnome/thumbnailers/disable_all

Описание ключа
Отключить все внешние миниатюризаторы
Установите этот ключ, чтобы отключить все внешние программы миниатюризации, независимо от того, включены они или отключены другими способами.

Альтернатива
Отключение создания тумбочки только для опререленных типов файлов задизабливанием ключа для этого типа. Например, снятие чекбокса с ключа

/desktop/gnome/thumbnailers/video@x-avi/enable

Варианты
Изменение параметров кэширования вместо отключения тумбочки

Примечание
Структура кэша. Каталог для каждого юзера /.thumbnails содержит три подкаталога с тумбами: fail, large и normal. Основной каталог — normal. Формат тумбы – PNG, имя тумбы — md5-хэш от URI исходного файла.

3. Задание срока жизни кэша с помощью ключа

/desktop/gnome/thumbnail_cache/maximum_age

Описание ключа
Максимальная давность миниатюр в кэше, в днях. Установите в -1 для выключения очистки кэша.

4. Задание размера кэша с помощью ключа

/desktop/gnome/thumbnail_cache/maximum_size

Описание ключа
Максимальный размер кэша, в мегабайтах. Установите в -1 для выключения очистки кэша.

5. Очистка тумбочки при выходе из системы

Создание файла /sbin/halt.local и добавление в него командной строки

# echo 'rm -rf /home/USERNAME/.thumbnails/*' >> /sbin/halt.local

Задание права на исполнение созданного файла

6. Очистка тумбочки при запуске системы

Добавление в файл /etc/rc.local командной строки

# echo 'rm -rf /home/USERNAME/.thumbnails/*' >> /etc/rc.local