Руководство по установке Debian gnu/Linux Copyright 2004 2015 Команда разработчиков программы установки Debian



Pdf просмотр
страница9/16
Дата14.11.2016
Размер5.01 Kb.
Просмотров3450
Скачиваний0
ТипРуководство
1   ...   5   6   7   8   9   10   11   12   ...   16
: Убедитесь, что система может загружаться с планируемой вами схемы разметки.
Обычно
, требуется создать отдельную файловую систему для
/boot
, если в качестве корневой файловой системы
(
/
) используется RAID. Большинство загрузчиков (включая lilo и grub) поддерживают зеркало (без чередования!) RAID1, так что решением может стать,
например
,RAID5 для
/
и
RAID1 для
/boot
Внимание
Поддержка
MD в программе установки появилась относительно недавно. У вас могут возникнуть проблемы с некоторыми уровнями
RAID и в сочетании с некоторыми системными загрузчиками,
если вы пытаетесь использовать
MD в качестве корневой файловой системы (
/
). Опытные пользователи
, возможно, могут обойти некоторые из этих проблем, выполнив некоторую настройку или шаги установки вручную из командной строки
Далее, вы должны выбрать Настройка программного RAID из главного меню partman.
(Меню появится только после того как вы отметите хотя бы один раздел используемый как физический том для
RAID.)На первом экране mdcfg просто выберите Создать MD
устройство. Вам будет предложен список поддерживаемых типов MD устройств, из которого вы должны выбрать один (например, RAID1). Дальнейшие действия зависят от типа выбранного MD.
74

Глава 6. Использование программы установки Debian

RAID0 очень прост — вам предложат список доступных разделов RAID, а вашей задачей будет выбор разделов, из которых вы хотите сформировать MD.

С RAID1 немного сложнее. Во-первых, вас попросят ввести количество активных устройств и количество запасных устройств, из которых будет формироваться MD.
Далее, вам потребуется выбрать из списка доступных разделов RAID те, которые будут активными и затем, те которые будут запасными. Число выбранных разделов должно быть равно числу, введённому несколькими секундами ранее. Не волнуйтесь.
Если вы ошибётесь и выберете неверное число разделов,
debian-installer не позволит вам продолжить, пока вы не исправите ошибку.

Создание RAID5 напоминает процедуру RAID1 за исключением того, что вам нужно использовать как минимум три активных раздела.

Создание RAID6 напоминает процедуру RAID1 за исключением того, что вам нужно использовать как минимум четыре активных раздела.

Создание RAID10 также похоже на процедуру создания RAID1, если это происходит не в режиме эксперта. В экспертном режиме debian-installer попросит указать схему распределения. В схеме задаётся два параметра. Первый — это тип схемы. Его значение может быть n
(для близких копий),
f
(для далёких копий), или o
(смещение копий).
Вторым параметром задаётся число копий с данными. Оно должно быть равно, как минимум, числу активных дисков, чтобы было возможно распределить все копии по разным дискам.
Можно иметь несколько типов MD одновременно. Например, если вы имеете три жёстких диска по 200 ГБ выделенных под MD, каждый из которых разбит на два 100 ГБ раздела,
можно объединить первые разделы трёх дисков в RAID0 (быстрый 300 ГБ раздел для редактирования видео) и использовать оставшиеся три раздела (2 активных и 1 запасной)
для RAID1 (вполне надёжный 100 ГБ раздел для
/home
).
После настройки MD устройств в соответствии с вашими желаниями, вы можете выбрать
Закончить mdcfg и вернуться в partman, чтобы создать файловые системы на новых MD
устройствах и назначить им обычные атрибуты типа точек монтирования.
6.3.3.5. Настройка менеджера логических томов (LVM)
Если вы работаете с компьютером на уровне системного администратора или
“продвинутого” пользователя, то, определённо, попадали в ситуацию, когда на дисковом разделе (обычно на самом важном) заканчивалось место, а соседний раздел был почти пуст и вы выбирались из этой ситуации переносом данных с одного раздела на другой,
созданием символических ссылок и т.д.
Чтобы избежать описанной ситуации вы можете воспользоваться менеджером логических томов (LVM). Проще говоря, с помощью LVM вы можете объединить разделы (физические тома в терминах LVM) в виртуальный диск (так называемую группу томов), который затем можно поделить на виртуальные разделы (логические тома). Выгода в том, что логические тома (и, конечно, содержащие их группы томов)
можно распределить по нескольким физическим дискам.
Теперь, когда вы поняли, что вам нужно ещё место на имеющемся 160ГБ
/home разделе, вы можете просто добавить новый 300ГБ диск в компьютер, объединить его с существующей группой томов и затем изменить размер логического тома, который содержит файловую систему с
/home и вуаля, ваши пользователи имеют дополнительное место на новом 460ГБ разделе. Этот пример, конечно, сильно упрощён. Дополнительную информацию вы найдёте в LVM HOWTO (http://www.tldp.org/HOWTO/LVM-HOWTO.html).
75

Глава 6. Использование программы установки Debian
Настройка LVM в debian-installer очень проста и полностью поддерживается partman Во-первых, отметьте раздел(ы), которые будут использоваться в качестве физических томов LVM. Это делается с в меню Настройки раздела, где вы должны выбрать Использовать как
:−→физический том для LVM.
После того как вы вернётесь в главное меню partman, вы увидите новый пункт Настройка менеджера логических томов
(LVM). Выбрав его, сначала вас попросят подтвердить сделанные изменения (если есть) в таблице разделов, а затем будет показано меню настройки LVM. Сверху меню кратно показана настройка LVM. Сам состав меню зависит от выбранных настроек и содержит только допустимые действия. Возможные действия:

Показать настройку подробней: показывает структуру LVM устройства, имена и размеры логических томов и т.д.

Создать группу томов

Создание логических томов

Удалить группу томов

Удаление логических томов

Расширить группу томов

Уменьшить группу томов

Закончить: вернуться в главное меню partman
С помощью этого меню сначала создайте логическую группу, а затем внутри неё
логические тома.
После возвращения в главное меню partman, вы должны увидеть все созданные логические тома, как обычные разделы (и настраиваются они одинаково).
6.3.3.6. Настройка шифрованных томов debian-installer позволяет настраивать шифрованные разделы. Каждый файл,
записываемый на такой раздел, немедленно сохраняется на устройстве в шифрованном виде. Доступ к шифрованным данным разрешается только после ввода ключевой фразы,
которая задаётся при создании шифрованного раздела. Эта возможность полезна для защиты конфиденциальных данных на ноутбуке или жёстком диске при краже. Вор может получить физический доступ к жёсткому диску, но не зная правильной ключевой фразы, данные на диске выглядят как случайный набор символов.
Два наиболее важных раздела для шифрования: раздел /home, где хранятся ваши личные данные, и раздел подкачки, куда важные данные могут временно попасть во время работы с ними. Естественно, нет никаких препятствий, чтобы зашифровать любые другие разделы, которые могут представлять интерес. Например,
/var
, где сервера баз данных, почтовые сервера или сервера печати хранят свои данные, или
/tmp
, который используется разными программами для хранения потенциально важных временных файлов. Некоторые люди могут захотеть зашифровать всю систему. Исключение составляет лишь раздел
/boot
, который должен остаться не шифрованным, так как пока нельзя загрузить ядро с шифрованного раздела.
76

Глава 6. Использование программы установки Debian
Замечание
: Заметим, что производительность шифрованных разделов будет меньше чем не шифрованных
, так как при каждом чтении и записи данных происходит шифрование и дешифрование
. Производительность зависит от быстродействия процессора, выбранного алгоритма шифрования и длины ключа
Для использования шифрования создайте новый раздел выделив свободное пространство в главном меню разметки. Также можно выбрать уже существующий раздел (например,
обычный раздел, логический том LVM или том RAID). В меню Настройки раздела для
Использовать как
: нужно выбрать физический том для шифрования. После этого в меню для раздела появятся несколько параметров шифрования.
Поддерживаемый debian-installer метод шифрования: dm-crypt (включён в новых ядрах Linux, доступен для физических томов LVM узла).
Давайте рассмотрим возможные параметры, если в качестве метода шифрования выбран
Device-mapper (dm-crypt)
. Как и всегда: если не знаете, используйте значения по умолчанию, так как они вдумчиво выбирались исходя из соображений безопасности.
Шифрование:
aes
Этот параметр позволяет выбрать алгоритм шифрования (шифр), который будет использоваться для шифрования данных раздела.
debian-installer поддерживает следующие блочные шифры: aes, blowfish, serpent и twofish. Здесь не будет обсуждаться стойкость этих алгоритмов, однако, при выборе вам наверно будет небезынтересно узнать, что в 2000 году AES был выбран Национальным Институтом
Стандартизации США в качестве стандартного алгоритма шифрования для защиты конфиденциальной информации в 21-ом веке.
Размер ключа:
256
Здесь вы можете указать длину ключа шифрования. С увеличением размера ключа стойкость шифрования обычно усиливается. С другой стороны, увеличение длины ключа обычно негативно сказывается на производительности. Допустимые размеры ключа зависят от шифра.
IV алгоритм:
xts-plain64
Вектор инициализации или IV алгоритм используется в криптографии для того,
чтобы при шифровании одного и того же обычного текста одинаковым ключом всегда получался уникальный шифрованный текст. Это было введено для того,
чтобы при взломе шифра предотвратить нахождение повторяющихся участков в шифрованных данных.
Из предлагаемых возможностей, значение по умолчанию
xts-plain64
является на сегодняшний момент наименее уязвимым к известным атакам. Используйте альтернативы только когда это нужно для совместимости с раннее установленной системой, в которой невозможно задействовать новые алгоритмы.
Ключ шифрования:
ключевая фраза
Здесь можно ввести тип ключа шифрования для этого раздела.
Ключевая фраза
Ключ шифрования будет создан
6
на основе ключевой фразы, которую вы
6.
Использование ключевой фразы в качестве ключа означает, что раздел будет настроен с помощью LUKS
77

Глава 6. Использование программы установки Debian сможете ввести позже.
Произвольный ключ
Новый ключ шифрования будет генерироваться из произвольных данных всякий раз при монтировании раздела. Другими словами: при каждом выключении машины содержимое раздела теряется, так как ключ удаляется из памяти. (Естественно, вы можете попробовать найти ключ перебором всех вариантов, но если в алгоритме шифрования нет неизвестных уязвимостей, это недостижимо за нашу продолжительность жизни.)
Произвольные ключи полезны для разделов подкачки, так как вам не нужно запоминать ключевую фразу из вычищать конфиденциальную информацию из раздела подкачки перед выключением компьютера. Однако, это также означает, что вы не сможете использовать функцию “suspend-to-disk” из новых ядер Linux, так как невозможно (во время последующей загрузки) восстановить приостановленные данные записанные в раздел подкачки.
Стереть данные:
да
Задаёт, нужно ли перезаписать содержимое раздела произвольными данными перед настройкой шифрования. Это рекомендуется делать, так как иначе это может позволить злоумышленнику разгадать какие части раздела используются, а какие нет. Также, это усложнит процесс восстановления любых оставшихся от предыдущей установки данных
7
После выбора желаемых параметров для шифруемых разделов, вернитесь обратно в главное меню разметки. Там должен появиться новый пункт Настроить шифрование для томов. После того как вы его выберете, вас попросят подтвердить удаление данных на разделах, помеченных на стирании и возможно, другие действия, типа записи новой таблицы разделов. Для огромных разделов это может занять некоторое время.
Затем вас попросят ввести ключевую фразу для разделов, настроенные на её
использование. Хорошие ключевые фразы должны быть больше 8 знаков, должны содержать вперемешку буквы, числа и другие символы и не должны содержать общеупотребительных словарных слов или информации, которая как-то относится к вам лично (например, дни рождения, хобби, имена домашних животных, имена родственников и тому подобное).
Внимание
Перед вводом ключевых фраз вы должны убедиться
, что клавиатура настроена правильно и генерирует ожидаемые символы
. Если вы не уверены, можно переключиться на вторую виртуальную консоль и попробовать ввести текст
. Это застрахует вас от неожиданностей в последствии
, например, если вы вводите ключевую фразу на клавиатуре с раскладкой qwerty,
а во время установки вы использовали раскладку azerty. Такая ситуация может случиться по нескольким причинам
. Вы могли переключиться на другую раскладку клавиатуры во время установки
, или выбранная раскладка ещё не активирована ко времени ввода ключевой фразы для корневой файловой системы
(http://code.google.com/p/cryptsetup/).
7.
Однако, есть мнение, что ребята из служб на три буквы могут восстанавливать данные даже после их неоднократной перезаписи на магнитооптических носителях.
78

Глава 6. Использование программы установки Debian
Если для создания ключей шифрования вы выбрали использование методов без ключевой фразы, то они будут сгенерированы. Так как ядро могло не собрать достаточное количество энтропии на данной ранней стадии установки, процесс может занять продолжительное время. Вы можете ускорить процесс генерации энтропии:
например, нажимая произвольные клавиши, или переключиться в оболочку командной строки на второй виртуальной консоли и создать некоторый обмен данными по сети или с диском (загрузив какие-то файлы, скопировать большие файлы в
/dev/null и т.д.).
Это нужно сделать для каждого шифруемого раздела.
После возвращения в главное меню разметки, вы увидите все шифрованные тома как дополнительные разделы, которые можно настраивать как обычные разделы. В
следующем примере показан том, зашифрованный с помощью dm-crypt
Encrypted volume (
sda2_crypt
) - 115.1 GB Linux device-mapper
#1 115.1 GB
F ext3
Теперь можно назначить точки монтирования и изменить тип файловых систем, если значения по умолчанию чем-то не устраивают.
Запишите где-нибудь информацию о соответствии идентификаторов в скобках
(
sda2_crypt в данном случае) и точках монтирования, которые вы назначили шифрованным томам. Эти данные вам потребуются позже при загрузки новой системы.
Различия между обычным процессом загрузки и загрузки с шифрованием описаны далее в
Разд. 7.2
После того как вас полностью устроит схема разметки, продолжайте установку.
6.3.4. Установка базовой системы
Хотя эта стадия наименее проблематична, она занимает наибольшую часть времени установки, потому что загружается, проверяется и распаковывается вся базовая система. Если у вас медленный компьютер или сетевое соединение, это может занять определённое время.
Во время установки базовой системы сообщения о распаковке и настройке пакетов переправляются на
tty4
. Вы можете перейти на этот терминал, нажав левый Alt-F4;
чтобы вернуться обратно в основной процесс установки нажмите левый Alt-F1.
Сообщения распаковки/настройки во время этого этапа сохраняются в файле
/var/log/syslog
. Вы можете посмотреть их, если установка выполняется через консоль на последовательном порту.
В одной из частей установки выполняется установка ядра Linux. С приоритетом по умолчанию программа установки выберет ядро наиболее подходящее для вашего оборудования. В режимах с низким приоритетом, это предложат сделать вам из списка доступных ядер.
При установке пакетов с помощью системы управления пакетами по умолчанию также производится установка пакетов, рекомендуемых устанавливаемыми пакетами.
Рекомендуемые пакеты не требуются для работоспособности основных возможностей выбранного ПО, но они добавляют новые возможности этому ПО и должны, по мнению сопровождающих, обычно устанавливаться вместе с этим ПО.
79

Глава 6. Использование программы установки Debian
Замечание
: По техническим причинам, пакеты, устанавливаемые во время установки базовой системы
, устанавливаются без их “Рекомендуемых” пакетов. Правило, описанное выше,
действует только после данного этапа процесса установки
6.3.5. Установка дополнительного программного обеспечения
На этом этапе уже есть рабочая, но ограниченная по возможностям система.
Большинство пользователей хотело бы добавить дополнительное программное обеспечение в систему, чтобы решать свои задачи, и программа установки позволяет это сделать. Этот этап может продлиться дольше чем установка базовой системы, если у вас медленный компьютер или соединение с сетью.
6.3.5.1. Настройка apt
Одной из программ для установки пакетов в систему является программа под названием apt-get из пакета apt
8
. Также используются другие инструменты для управления пакетами, например, aptitude и synaptic. Эти программы рекомендуются для новичков,
так как они объединяют в себе несколько дополнительных свойств (поиск пакетов и отображение состояния) в отличном интерфейсе пользователя.
Пакету apt нужно указать откуда получать пакеты. Результат настройки сохраняется в файле
/etc/apt/sources.list
. Вы можете проверить и изменить его по желаю после завершения установки.
Если вы выполняете установку с приоритетом по умолчанию, то программа установки выполнит большую часть настройки автоматически, основываясь на используемом методе установки и, возможно, на ответах, указанных вами ранее. В большинстве случаев программа установки автоматически добавит зеркало безопасности и, если вы используете стабильный дистрибутив, зеркало сервиса “stable-updates”.
Если вы производите установку с низким приоритетом (например, в экспертном режиме), то вы сможете принять больше решений самостоятельно. Вы сможете выбрать использовать ли сервисы обновлений безопасности и/или stable-updates, а также добавлять ли секции пакетов “contrib” и “non-free”.
6.3.5.1.1. Установка с нескольких CD или DVD дисков
Если вы производите установку с одного CD или DVD из набора дисков, то программа установки спросит, хотите ли вы просканировать дополнительные CD или DVD диски.
Если у вас есть дополнительные диски CD или DVD, то вы, вероятно, захотите это сделать для того, чтобы программа установки могла использовать пакеты с этих дисков.
Если у вас нет дополнительных дисков, это не проблема: их наличие не требуется. Если у вас также нет доступа к сетевому серверу-зеркалу пакетов (описано в следующей
8.
Заметим, что программа, которая в действительности устанавливает пакеты, называется dpkg. Однако,
это более низкоуровневая утилита. apt-get — утилита более высокого уровня, так как вызывает dpkg при необходимости. Она знает как получить пакет с CD, по сети или как-то ещё. Также, она может автоматически установить другие пакеты, которые нужны для работы пакету, который вы пытаетесь установить.
80

Глава 6. Использование программы установки Debian разделе) то, возможно, не все пакеты из выбранных на следующем этапе задач смогут быть установлены.
Замечание
: Пакеты распределяются по дискам CD (и DVD) согласно популярности. Это значит
, что для большинства людей хватит первого CD из набора, и только некоторые люди на самом деле используют пакеты с последнего
CD-диска.
Это также означает
, что покупка или загрузка и прожиг полного набора CD пустая трата денег
, так как большинство дисков просто не будут использоваться. В большинстве случаев достаточно получить только первые от
3 до 8 CD, а устанавливать нужные дополнительные пакеты можно из Интернет с сервера
-зеркала. Тоже касается и DVD наборов: первого DVD
или
, может быть, первых двух DVD хватит для большинства задач.
Если вы просканируете несколько CD или DVD-дисков, программа установки будет выдавать сообщение при необходимости смены CD/DVD в приводе. Заметим, что должны сканироваться CD или DVD из одного набора. Порядок сканирования значения не имеет, но сканирование по порядку уменьшает вероятность сделать ошибку.
6.3.5.1.2. Использование сетевого сервера-зеркала пакетов
Один из часто задаваемых вопросов: использовать или нет сетевой сервер-зеркало в качестве источника пакетов. В большинстве случаев значение ответа по умолчанию вполне приемлемо, но не всегда.
Если вы не устанавливаете систему с полного CD или DVD диска или с полного образа
CD/DVD, то вы определённо должны использовать зеркала из сети, иначе в конце установки получится очень ограниченная по возможностям система. Однако, если у вас дорогое или медленное подключение к Интернет, то лучше не выбирать задачу рабочий стол на следующем шаге установки.
Если вы устанавливаете систему с одного полного CD-диска или с полного образа CD,
то использование зеркала не обязательно, но настоятельно рекомендуется, так как на одном CD содержится совсем немного пакетов. Если у вас дорогое или медленное подключение к Интернет, то пока лучше не выбирать сетевое зеркало, а закончить установку с доступного CD и установить дополнительные пакеты после установки (то есть после перезагрузки в новую систему).
Если вы производите установку с DVD диска или образа, то все нужные для установки пакеты будут на первом DVD. Все пакеты также доступны, если вы просканируете несколько CD-дисков, как это описывалось в предыдущем разделе. Использовать сетевой сервер-зеркало в данном случае необязательно.
Преимуществом добавления сетевого зеркала является то, что обновления пакетов,
произошедшие с момента прожига CD/DVD дисков, становятся доступными сразу во время установки, что расширяет срок службы вашего набора CD/DVD без ущерба безопасности или стабильности устанавливаемой системы.
Итог: выбор сетевого сервера-зеркала обычно хорошая идея, если у вас хорошее соединение с Интернет. Если нужная версия пакета есть на CD/DVD, то программа установки будет всегда использовать этот носитель. Размер данных, которые требуется скачать, если вы выбрали зеркало, зависит от
1. задач, которые вы выберете на следующем этапе установки,
2. пакетов, которые необходимы для этих задач,
81

Глава 6. Использование программы установки Debian
3. какие из этих пакетов есть на просканированных CD/DVD, и
4. есть ли обновлённые версии пакетов, имеющихся на CD или DVD, на сервере-зеркале
(или на обычном зеркале пакетов, или на зеркалах обновлений безопасности или stable-updates).
Заметим, что даже если вы выберете не использовать сетевое зеркало, некоторые пакеты могут всё равно быть скачаны из Интернет, если для них есть, согласно сервису безопасности или stable-updates, новые версии, и если эти были сервисы настроены.
6.3.5.1.3. Выбор сетевого сервера-зеркала пакетов
Если при установке вы выбрали использование сетевого сервера-зеркала пакетов
(необязательно при установке с CD/DVD, обязательно для образов netboot), вам будет показан список ближайших к вам географически сетевых зеркал (и, скорее всего, более быстрых) на основе ранее указанной вами страны. Предлагаемый выбор по умолчанию,
обычно, работает хорошо.
Зеркало также можно задать вручную выбрав “ввести информацию вручную”. После этого вы можете указать имя узла-зеркала и необязательный порт. Как в Wheezy, он может быть подобен URL, т. е. при указании адреса IPv6 вокруг можно ввести квадратные скобки, например “[2001:db8::1]”.
Если ваш компьютер имеет только адрес IPv6 (что, вероятно, не так, для подавляющего большинства пользователей), указанное по умолчанию зеркало для вашей страны может не работать. Все зеркала из списка доступны по адресам IPv4, и только некоторые из них имеют адреса IPv6. Доступность отдельных зеркал может с течением времени меняться,
эта информация недоступна программе установки. Если для вашей страны зеркало по умолчанию недоступно через IPv6, то вы можете попробовать другое зеркало или
“ввести информацию вручную”. При этом в качестве имени зеркала вы можете указать
“ftp.ipv6.debian.org”, которое является псевдонимом зеркала, доступного по IPv6, хотя оно не будет таким быстрым.
Другой возможностью выбора зеркала вручную является ввод “http.debian.net”. Именем
“http.debian.net” адресуется не физический сервер-зеркало, а служба перенаправления,
которая автоматически перенаправит вашу систему на ближайшее к вам с точки зрения сетевой топологии реально существующее зеркало. Она учитывает протокол подключения, то есть, если вы используете IPv6, то она перенаправит вас на ближайшее зеркало, поддерживающее IPv6.



Поделитесь с Вашими друзьями:
1   ...   5   6   7   8   9   10   11   12   ...   16


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал