diff --git a/docs/desktop/printing/brother-all-in-one.de.md b/docs/desktop/printing/brother-all-in-one.de.md new file mode 100644 index 0000000000..04f133dc51 --- /dev/null +++ b/docs/desktop/printing/brother-all-in-one.de.md @@ -0,0 +1,85 @@ +--- +title: Installation und Einrichtung eines Brother All-in-One Druckers +author: Joseph Brinkman +contributors: Steven Spencer +tested with: 9.4 +tags: + - Desktop + - printer support +--- + +## Einleitung + +Das Drucken und Scannen mit einem All-in-One-Brother-Drucker ist unter Linux dank der Brother All-in-One-Drucker- und Scannertreiber von Drittanbietern möglich. + +!!! info + +``` +Das Verfahren wurde mit einem Brother MFC-J480DW getestet. +``` + +## Voraussetzungen + +- Rocky 9.4 Workstation +- `sudo`-Berechtigungen +- Brother All-in-One-Drucker und -Scanner + +In dieser Anleitung wird davon ausgegangen, dass von Ihrer Arbeitsstation aus auf Ihren Drucker entweder über eine direkte USB-Verbindung oder über ein LAN (Local Area Network) zugegriffen werden kann. Das Anschließen eines Druckers an Ihr LAN geht über den Rahmen dieses Artikels hinaus. + +## Hinzufügen eines Druckers in GNOME + +1. \++"Settings"++ öffnen +2. Klicken Sie im linken Menü auf ++"Printers"++ +3. Beachten Sie das Banner oben im Fenster mit der Aufschrift "Unlock to Change Settings" +4. Klicken Sie auf ++"Unlock"++ und geben Sie die `sudo`-Anmeldeinformationen ein. +5. Klicken Sie bitte auf ++"Add"++ + +Nach dem Klicken auf ++"Add"++ beginnt ++"Settings"++ mit der Suche nach Druckern. Wenn Ihr Drucker nicht angezeigt wird, Sie seine IP-Adresse in Ihrem lokalen Netzwerk aber kennen, geben Sie die IP-Adresse manuell ein. Das Verbinden Ihres Druckers mit Ihrem Heimnetzwerk geht über den Rahmen dieses Artikels hinaus. + +Es wird ein Softwarefenster geöffnet, das versucht, Druckertreiber zu finden und zu installieren. Im Allgemeinen wird dies fehlschlagen. Um die zusätzlichen Treiber zu installieren, müssen Sie die Website von Brother besuchen. + +## Herunterladen und Installieren der Treiber + +[Anleitung zur Installation des Brother-Treiberinstallationsskripts:](https://support.brother.com/g/b/downloadlist.aspx?\&c=us\&lang=en\&prod=mfcj480dw_us_eu_as\&os=127){target="_blank"} + +1. [Laden Sie das Bash-Skript für den Brother MFC-J480DW-Druckertreiber herunter](https://support.brother.com/g/b/downloadtop.aspx?c=us\&lang=en\&prod=mfcj480dw_us_eu_as){target="_blank"} + +2. Öffnen Sie ein Terminalfenster. + +3. Wechseln Sie zu dem Verzeichnis, in das Sie die Datei im letzten Schritt heruntergeladen haben. zum Beispiel `cd Downloads` + +4. Geben Sie diesen Befehl ein, um die heruntergeladene Datei zu entpacken: + + ```bash + gunzip linux-brprinter-installer-*.*.*-*.gz + ``` + +5. Holen Sie sich die Superuser-Autorisierung mit dem Befehl `su` oder `sudo su`. + +6. Folgendes Kommando ausführen: + + ```bash + bash linux-brprinter-installer-*.*.*-* Brother machine name + ``` + +7. Die Treiberinstallation wird gestartet. Befolgen Sie die Anweisungen auf dem Installationsbildschirm + +Der Installationsvorgang kann einige Zeit dauern. Warten Sie, bis es abgeschlossen ist. Wenn Sie fertig sind, können Sie optional einen Testdruck senden. + +## Scanner-Support + +Xsane ist ein Scan-Dienstprogramm, das eine grafische Benutzeroberfläche zum Erstellen von Scans bereitstellt. Es stehen Pakete aus dem Appstream-Repository zur Verfügung, die keine zusätzliche Konfiguration erfordern. + +```bash +sudo dnf install sane-backends sane-frontends xsane +``` + +Die Benutzeroberfläche von `xsane` sieht ein wenig ungewöhnlich aus, aber ein einfacher Scan ist unkompliziert. Wenn Sie xsane starten, erscheint ein Fenster mit einer Schaltfläche +\++"Acquire a preview"++, +über die Sie eine Vorschau abrufen können. Dadurch wird ein Vorschaubild eines Scans aufgenommen. Sobald Sie zum Scannen bereit sind, klicken Sie im Hauptmenü auf die Schaltfläche ++"Start"++. + +Eine umfassendere `xsane`-Anleitung finden Sie in diesem [Artikel der Fakultät für Mathematik der Universität Cambridge](https://www.maths.cam.ac.uk/computing/printing/xsane){target="_blank"} + +## Conclusion + +Nach der Installation der erforderlichen Brother-Treiber und `xsane` sollten Sie nun auf Ihrem All-in-One-Drucker und Scanner von Brother drucken und scannen können. diff --git a/docs/desktop/printing/hp-all-in-one.de.md b/docs/desktop/printing/hp-all-in-one.de.md new file mode 100644 index 0000000000..e0f6ee5971 --- /dev/null +++ b/docs/desktop/printing/hp-all-in-one.de.md @@ -0,0 +1,53 @@ +--- +title: Installation und Einrichtung eines HP All-in-One-Druckers +author: Joseph Brinkman +contributors: Steven Spencer +tested with: 9.4 +tags: + - Desktop + - printer support +--- + +## Einleitung + +Drucken und Scannen mit einem HP All-in-One-Drucker ist unter Linux dank [HPLIP](https://developers.hp.com/hp-linux-imaging-and-printing/about){target="_blank"} möglich. + +Diese Anleitung wurde mit einem HP Deskjet 2700 series getestet. + +Unter [Alle unterstützten Drucker](https://developers.hp.com/hp-linux-imaging-and-printing/supported_devices/index){target="_blank"} erfahren Sie, ob das HPLIP-Paket Ihren Drucker unterstützt. + +## Download und HPLIP-Installation + +HPLIP ist eine Drittanbietersoftware von HP, die die erforderlichen Druckertreiber enthält. Installieren Sie die drei unten aufgeführten Pakete, um vollständige Unterstützung mit einer grafischen Benutzeroberfläche zu erhalten. + +```bash +sudo dnf install hplip-common.x86_64 hplip-libs.x86_64 hplip-gui +``` + +## Printer Setup + +Wenn Sie mit der Installation des Druckertreibers fertig sind, sollten Sie Ihren HP All-in-One Drucker zu Ihrer Rocky Workstation hinzufügen können. Stellen Sie sicher, dass der Drucker physisch mit demselben Netzwerk verbunden ist, entweder über WLAN oder eine Direktverbindung. Zu den Einstellungen gehen + +Klicken Sie im linken Menü auf ++"Printers"++ + +Klicken Sie bitte auf ++"Add a Printer"++ + +Wählen Sie Ihren HP All-in-One Drucker aus. + +## Scanner Support + +Obwohl Sie mit dem HPLIP-Paket mithilfe von CLI-Befehlen scannen können, wird keine Scanner-App bereitgestellt. Installieren Sie `xsane`, ein benutzerfreundliches Scanner-Dienstprogramm. + +```bash +sudo dnf install sane-backends sane-frontends xsane +``` + +Die Benutzeroberfläche von `xsane` sieht ein wenig ungewöhnlich aus, aber ein einfacher Scan ist unkompliziert. Wenn Sie xsane starten, erscheint ein Fenster mit einer Schaltfläche +\++"Acquire a preview"++, +über die Sie eine Vorschau abrufen können. Dadurch wird ein Vorschaubild eines Scans aufgenommen. Sobald Sie zum Scannen bereit sind, klicken Sie im Hauptmenü auf die Schaltfläche `Start`. + +Eine umfassendere `xsane`-Anleitung finden Sie in diesem [Artikel der Fakultät für Mathematik der Universität Cambridge](https://www.maths.cam.ac.uk/computing/printing/xsane){target="_blank"} + +## Conclusion + +Nach der Installation von `HPLIP` und `xsane` sollten Sie nun auf Ihrem HP All-in-One Drucker drucken und scannen können. diff --git a/docs/desktop/tools/ksnip.de.md b/docs/desktop/tools/ksnip.de.md new file mode 100644 index 0000000000..d3879180cf --- /dev/null +++ b/docs/desktop/tools/ksnip.de.md @@ -0,0 +1,98 @@ +--- +title: Screenshots mit Ksnip mit Anmerkungen versehen +author: Joseph Brinkman +contributors: Steven Spencer +tested_with: 9.4 +tags: + - Desktop + - Screenshot Utility +--- + +## Voraussetzungen + +- Rocky 9.4 Workstation +- `sudo`-Berechtigungen + +## Einleitung + +`Ksnip` ist ein Dienstprogramm mit zahlreichen Funktionen und Tools zum Kommentieren von Screenshots. Der Schwerpunkt dieser Anleitung liegt auf der Installation von Ksnip und seinen Beschriftung-Tools. + +## Ksnip-Installation + +Ksnip erfordert das EPEL-Repository. Wenn Sie EPEL nicht aktiviert haben, können Sie dies folgendermaßen erreichen: + +```bash +sudo dnf install epel-release +``` + +Dann System-Update ausführen: + +```bash +sudo dnf update -y +``` + +Nun Ksnip installieren: + +```bash +sudo dnf install ksnip -y +``` + +## Bild Öffnen + +1. Ksnip Starten +2. Klicke `File > Open` +3. Wählen Sie das Bild aus, das Sie kommentieren möchten + +![ksnip](images/ksnip.png) + +![ksnip\_open](images/ksnip_image_opened.png) + +## Ein Bild mit Ksnip mit Anmerkungen versehen + +`Ksnip` verfügt über praktische und intuitive Tools zum Kommentieren von Screenshots. Unten links im Bild sind die im Folgenden beschriebenen Optionen aufgeführt. + +Das Werkzeug `Select`: wird verwendet, um eine Auswahl zu treffen. Klicken Sie auf ein Element, um es auszuwählen, oder klicken Sie und ziehen Sie, um eine Auswahl zu treffen. + +Das Werkzeug `Duplicate`: wird zum Duplizieren einer Auswahl verwendet. Klicken und ziehen Sie, um eine Auswahl zu treffen. Klicken und ziehen Sie dann die Auswahl, um sie zu verschieben oder weiter zu transformieren. + +Das Werkzeug `Arrow`: wird zum Erstellen von Pfeilen verwendet. Klicken und ziehen Sie, um einen Pfeil zu erstellen. + +Das Werkzeug `Double Arrow` (auswählbar durch Klicken auf den Abwärtspfeil neben dem Pfeil): wird zum Erstellen doppelseitiger Pfeile verwendet. Klicken und ziehen Sie, um einen doppelseitigen Pfeil zu erstellen. + +Das Werkzeug `Line`: wird zum Erstellen gerader Linien verwendet. Klicken und ziehen Sie, um eine Linie zu erstellen. + +Das `Pen`-Werkzeug: wird verwendet, um Striche zu zeichnen, die einem Stift ähneln. Klicken Sie und bewegen Sie den Mauszeiger über den Screenshot, um den Stift zu verwenden. In der oberen Symbolleiste gibt es Anpassungsoptionen, mit denen Sie Stil und Strich des Stifts ändern können. + +Das Werkzeug `Marker Pen`: wird verwendet, um Striche zu erstellen, die einem Textmarker ähneln. Um den Markierungsstift zu verwenden, halten Sie die Maustaste gedrückt und ziehen Sie den Cursor über den Screenshot. Es gibt Anpassungen zum Ändern der Deckkraft in der oberen Symbolleiste. + +Das Werkzeug `Marker Rectangle` ist das Markierungsstift-Werkzeug, aber wenn Sie klicken und den Cursor ziehen, füllt das Markierungsrechteck-Werkzeug die rechteckige Auswahl. Es gibt Anpassungen zum Ändern der Deckkraft in der oberen Symbolleiste. + +Das Werkzeug `Marker Ellipse` ist das Markierungsstift-Werkzeug, aber wenn Sie mit der linken Maustaste klicken und den Cursor ziehen, füllt das Markierungsellipsen-Werkzeug die aus der Auswahl erstellte Ellipse. Es gibt Anpassungen zum Ändern der Deckkraft in der oberen Symbolleiste. + +Das Werkzeug `Text`: wird verwendet, um einen Screenshot mit Text zu kommentieren. Klicken Sie auf eine beliebige Stelle im Bild und beginnen Sie mit der Eingabe, um das Textwerkzeug zu verwenden. In der oberen Symbolleiste können Sie Rahmen, Farbe, Schriftfamilie, Schriftgröße, Schriftstil und Deckkraft Ihres Textes anpassen. + +Das Tool `Text Pointer`: wird verwendet, um einen Screenshot mit Text zu kommentieren, der an einen Zeiger angehängt ist. Der Zeiger soll die Aufmerksamkeit auf den Text lenken, ähnlich wie das `Text Arrow`-Werkzeug. + +Das Werkzeug `Text Arrow`: wird verwendet, um einen Screenshot mit Text zu kommentieren, der an einen Pfeil angehängt ist. Der Zeiger soll die Aufmerksamkeit auf den Text lenken, ähnlich wie das `Text Pointer`-Werkzeug. + +Das `Number`-Werkzeug: wird verwendet, um einen Screenshot mit einer numerischen Form zu kommentieren. Klicken Sie auf eine beliebige Stelle im Bild, um eine numerische Form zu platzieren. In der oberen Symbolleiste sind Anpassungsmöglichkeiten zum Ändern von Farbe, Breite und Deckkraft vorhanden. + +Das Werkzeug `Number Pointer`: wird verwendet, um einen Screenshot mit einer numerischen Form zu kommentieren, die an einen Zeiger angehängt ist. Klicken Sie auf eine beliebige Stelle im Bild, um eine numerische Form zu platzieren, die an einen Zeiger gebunden ist. In der oberen Symbolleiste sind Anpassungsmöglichkeiten zum Ändern von Farbe, Breite und Deckkraft vorhanden. + +Das Werkzeug `Number Arrow`: wird verwendet, um einen Screenshot mit einer numerischen Form zu kommentieren, die an einem Zeiger angebracht ist. Klicken Sie irgendwo auf das Bild, um eine numerische Form an einem Pfeil zu platzieren. In der oberen Symbolleiste sind Anpassungsmöglichkeiten zum Ändern von Farbe, Breite und Deckkraft vorhanden. + +Das `Blur`-Werkzeug: Wird zum Weichzeichnen einer Auswahl verwendet. Klicken Sie mit der linken Maustaste und ziehen Sie an eine beliebige Stelle im Screenshot, um eine Auswahl unscharf zu machen. + +Das Werkzeug `Pixelate`: wird zum Verpixeln einer Auswahl verwendet. Klicken Sie mit der linken Maustaste und ziehen Sie an einer beliebigen Stelle auf dem Screenshot, um eine Auswahl zu verpixeln. + +Das Werkzeug `Rectangle`: wird verwendet, um aus einer Auswahl ein Rechteck zu erstellen. Klicken Sie mit der linken Maustaste und ziehen Sie an einer beliebigen Stelle auf dem Screenshot, um eine rechteckige Auswahl zu treffen. In der oberen Symbolleiste sind Anpassungsmöglichkeiten zum Ändern von Farbe, Breite und Deckkraft vorhanden. + +Das Werkzeug `Ellipse`: wird verwendet, um aus einer Auswahl eine Ellipse zu erstellen. Klicken Sie mit der linken Maustaste und ziehen Sie an einer beliebigen Stelle im Screenshot, um eine Ellipse zu platzieren. In der oberen Symbolleiste sind Anpassungsmöglichkeiten zum Ändern von Farbe, Breite und Deckkraft vorhanden. + +Das Tool `Sticker`: wird verwendet, um einen Sticker oder ein Emoji auf einem Screenshot zu platzieren. Durch Auswahl des Tools und klicken wird der Sticker platziert. + +## Conclusion + +Ksnip ist ein ausgezeichnetes Dienstprogramm zum Kommentieren von Screenshots. Es können auch Screenshots erstellt werden. Der Schwerpunkt dieses Handbuchs liegt jedoch auf den Kommentierung-Funktionen und -Tools, die Ksnip bereitstellt. + +Sehen Sie sich das [Ksnip GitHub Repo](https://github.com/ksnip/ksnip){target="_blank"} an, um mehr über dieses hervorragende Screenshot-Dienstprogramm zu erfahren. diff --git a/docs/guides/migrate2rocky.uk.md b/docs/guides/migrate2rocky.uk.md index da4f2b02a8..f46b730ca2 100644 --- a/docs/guides/migrate2rocky.uk.md +++ b/docs/guides/migrate2rocky.uk.md @@ -9,7 +9,7 @@ update: 23.11.2021 ## Передумови і Припущення -- CentOS Stream, CentOS, AlmaLinux, RHEL або Oracle Linux, які працюють на апаратному сервері або VPS. Non-Stream CentOS завис на версії 8.5. Поточна підтримувана версія інших систем – 8.9 або 9.3. +- CentOS Stream, CentOS, AlmaLinux, RHEL або Oracle Linux, які працюють на апаратному сервері або VPS. Non-Stream CentOS завис на версії 8.5. Поточна підтримувана версія інших систем – 8.10 або 9.4. - Практичні знання командного рядка. - Практичні знання SSH для віддалених машин. - Помірно ризиковане ставлення. diff --git a/docs/guides/security/systemd_hardening.uk.md b/docs/guides/security/systemd_hardening.uk.md new file mode 100644 index 0000000000..803cc51012 --- /dev/null +++ b/docs/guides/security/systemd_hardening.uk.md @@ -0,0 +1,378 @@ +--- +title: Зміцнення підрозділів Systemd +author: Julian Patocki +contributors: Steven Spencer +tags: + - безпека + - systemd + - можливості +--- + +## Передумови + +- Знайомство з інструментами командного рядка +- Базове розуміння `systemd` і дозволів на файли +- Уміння читати сторінки man + +## Вступ + +Багато служб працюють із привілеями, які їм не потрібні для належної роботи. `systemd` містить багато інструментів, які допомагають мінімізувати ризик, коли процес скомпрометовано, шляхом застосування заходів безпеки та обмеження дозволів. + +## Завдання + +- Покращення безпеки блоків `systemd` + +## Відмова від відповідальності + +У цьому посібнику пояснюється механізм захисту блоків `systemd` і не розглядається правильна конфігурація будь-якого конкретного блоку. Деякі поняття надто спрощені. Розуміння їх і деяких використовуваних команд вимагає більш глибокого занурення в тему. + +## Ресурси + +- [`SYSTEMD.EXEC(5)` man page](https://www.freedesktop.org/software/systemd/man/latest/systemd.exec.html) +- [`Capabilities(7)` man page](https://man7.org/linux/man-pages/man7/capabilities.7.html) + +## Аналіз + +`systemd` містить чудовий інструмент, який дає швидкий огляд загальної конфігурації безпеки блоку `systemd`. +`systemd-analyze security` надає швидкий огляд конфігурації безпеки блоку `systemd`. Ось оцінка щойно встановленого `httpd`: + +```bash +[user@rocky-vm ~]$ systemd-analyze security httpd + NAME DESCRIPTION EXPOSURE +✗ RootDirectory=/RootImage= Service runs within the host's root directory 0.1 + SupplementaryGroups= Service runs as root, option does not matter + RemoveIPC= Service runs as root, option does not apply +✗ User=/DynamicUser= Service runs as root user 0.4 +✗ CapabilityBoundingSet=~CAP_SYS_TIME Service processes may change the system clock 0.2 +✗ NoNewPrivileges= Service processes may acquire new privileges 0.2 +... +... +... +✓ NotifyAccess= Service child processes cannot alter service state +✓ PrivateMounts= Service cannot install system mounts +✗ UMask= Files created by service are world-readable by default 0.1 + +→ Overall exposure level for httpd.service: 9.2 UNSAFE 😨 +``` + +## Можливості + +Поняття можливостей може бути дуже заплутаним. Розуміння цього має вирішальне значення для покращення безпеки одиниць `systemd`. Ось уривок зі сторінки довідки `Capabilities(7)`: + +```text +З метою перевірки дозволів у традиційних реалізаціях UNIX розрізняють дві категорії процесів: привілейовані процеси (чий ефективний ідентифікатор користувача дорівнює 0, званий суперкористувачем або root) і непривілейовані процеси (чий ефективний UID відмінний від нуля). Привілейовані процеси обходять усі перевірки дозволів ядра, тоді як непривілейовані процеси підлягають повній перевірці дозволів на основі облікових даних процесу (зазвичай: ефективний UID, ефективний GID і список додаткових груп). + +Починаючи з Linux 2.2, Linux ділить привілеї, традиційно пов’язані з суперкористувачем, на окремі одиниці, відомі як можливості, які можна незалежно вмикати та вимикати. Можливості є атрибутом для кожного потоку. +``` + +Це в основному означає, що можливості можуть надавати деякі привілеї `root` непривілейованим процесам, але також обмежувати привілеї процесів, які запускаються `root`. + +Зараз існує 41 можливість. Це означає, що привілеї `root` користувача мають 41 набір привілеїв. Ось кілька прикладів: + +- **CAP_CHOWN**: Вносить довільні зміни в UID та GID файлів +- **CAP_KILL**: Обходить перевірки дозволів для надсилання сигналів +- **CAP_NET_BIND_SERVICE**: Прив’язує сокет до привілейованих портів Інтернет-домену (номера портів менше 1024) + +Сторінка довідки `Capabilities(7)` містить повний список. + +Є два типи можливостей: + +- Можливості файлів +- Можливості потоку + +## Можливості файлів + +Можливості файлів дозволяють асоціювати привілеї з виконуваним файлом, подібно до `suid`. Вони включають три набори, що зберігаються в розширеному атрибуті: `Permitted`, `Inheritable`, and `Effective`. + +Зверніться до сторінки довідки `Capabilities(7)` для повного пояснення. + +Можливості файлів не можуть вплинути на загальний рівень експозиції пристрою, тому вони лише незначно стосуються цього посібника. Однак розуміння їх може бути корисним. Тому коротка демонстрація: + +Давайте спробуємо запустити `httpd` на стандартному (привілейованому) порту 80 як непривілейований користувач: + +```bash +[user@rocky-vm ~]$ sudo -u apache /usr/sbin/httpd +(13)Permission denied: AH00072: make_sock: could not bind to address 0.0.0.0:80 +no listening sockets available, shutting down +``` + +Як і очікувалося, операція не вдається. Давайте оснастимо двійковий файл `httpd` згаданими раніше **CAP_NET_BIND_SERVICE** і **CAP_DAC_OVERRIDE** (щоб замінити перевірки дозволів на файли log і pid для цієї вправи) і спробуємо ще раз: + +```bash +[user@rocky-vm ~]$ sudo setcap "cap_net_bind_service=+ep cap_dac_override=+ep" /usr/sbin/httpd +[user@rocky-vm ~]$ sudo -u apache /usr/sbin/httpd +[user@rocky-vm ~]$ curl --head localhost +HTTP/1.1 403 Forbidden +... +``` + +Як і очікувалося, веб-сервер вдалося успішно запустити. + +## Можливості потоку + +Можливості потоку застосовуються до процесу та його дітей. Існує п'ять наборів можливостей потоку: + +- Permitted +- Inheritable +- Effective +- Bounding +- Ambient + +Щоб отримати повне пояснення, зверніться до сторінки довідки `Capabilities(7)`. + +Ви вже встановили, що `httpd` не потребує всіх привілеїв, доступних користувачеві `root`. Давайте видалимо раніше надані можливості з двійкового файлу `httpd`, запустимо демон `httpd` і перевіримо його привілеї: + +```bash +[user@rocky-vm ~]$ sudo setcap -r /usr/sbin/httpd +[user@rocky-vm ~]$ sudo systemctl start httpd +[user@rocky-vm ~]$ grep Cap /proc/$(pgrep --uid 0 httpd)/status +CapInh: 0000000000000000 +CapPrm: 000001ffffffffff +CapEff: 000001ffffffffff +CapBnd: 000001ffffffffff +CapAmb: 0000000000000000 +[user@rocky-vm ~]$ capsh --decode=000001ffffffffff +0x000001ffffffffff=cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_linux_immutable,cap_net_bind_service,cap_net_broadcast,cap_net_admin,cap_net_raw,cap_ipc_lock,cap_ipc_owner,cap_sys_module,cap_sys_rawio,cap_sys_chroot,cap_sys_ptrace,cap_sys_pacct,cap_sys_admin,cap_sys_boot,cap_sys_nice,cap_sys_resource,cap_sys_time,cap_sys_tty_config,cap_mknod,cap_lease,cap_audit_write,cap_audit_control,cap_setfcap,cap_mac_override,cap_mac_admin,cap_syslog,cap_wake_alarm,cap_block_suspend,cap_audit_read,cap_perfmon,cap_bpf,cap_checkpoint_restore +``` + +Основний процес `httpd` працює з усіма доступними можливостями, хоча більшість із них не потрібні. + +## Обмеження можливостей + +`systemd` зменшує набори можливостей до наступного: + +- **CapabilityBoundingSet**: обмежує можливості, отримані під час `execve` +- **AmbientCapabilities**: корисний, якщо ви хочете виконати процес як непривілейований користувач, але все ж хочете надати йому деякі можливості + +Щоб зберегти конфігурацію над оновленнями пакетів, створіть файл `override.conf` у каталозі `/lib/systemd/system/httpd.service.d/`. + +Знаючи, що службі потрібен доступ до привілейованого порту та вона запускається як `root`, але розгалужує свої потоки як `apache`, необхідно вказати такі можливості в розділі `[Service]` `/lib/ файл systemd/system/httpd.service.d/override.conf`: + +```bash +[Service] +CapabilityBoundingSet=CAP_NET_BIND_SERVICE CAP_SETUID CAP_SETGID +``` + +Можливе зниження загального рівня впливу від "НЕБЕЗПЕЧНО" до "СЕРЕДНЬОГО". + +```bash +[user@rocky-vm ~]$ sudo systemctl daemon-reload +[user@rocky-vm ~]$ sudo systemctl restart httpd +[user@rocky-vm ~]$ systemd-analyze security --no-pager httpd | grep Overall +→ Overall exposure level for httpd.service: 7.1 MEDIUM 😐 +``` + +Однак цей процес все ще виконується як `root`. Можливе подальше зниження рівня експозиції, запустивши його виключно як `apache`. + +Крім доступу до порту 80, процес повинен писати в журнали, розташовані в `/etc/httpd/logs/`, і мати можливість створити `/run/httpd/` і писати в нього. У першому ви можете досягти цього, змінивши дозволи за допомогою `chown`, а в другому ви можете скористатися утилітою `systemd-tmpfiles`. Ви можете використовувати його з опцією `--create`, щоб створити файл без перезавантаження, але відтепер він створюватиметься автоматично під час кожного запуску системи. + +```bash +[user@rocky-vm ~]$ sudo chown -R apache:apache /etc/httpd/logs/ +[user@rocky-vm ~]$ echo 'd /run/httpd 0755 apache apache -' | sudo tee /etc/tmpfiles.d/httpd.conf +d /run/httpd 0755 apache apache - +[user@rocky-vm ~]$ sudo systemd-tmpfiles --create /etc/tmpfiles.d/httpd.conf +[user@rocky-vm ~]$ ls -ld /run/httpd/ +drwxr-xr-x. 2 apache apache 40 Jun 30 08:29 /run/httpd/ +``` + +Вам потрібно налаштувати конфігурацію в `/lib/systemd/system/httpd.service.d/override.conf`. Вам потрібно надати нові можливості за допомогою **AmbientCapabilities**. Якщо `httpd` увімкнено під час запуску, розширення залежностей у розділі `[Unit]` має відбутися, щоб служба запустилася після створення тимчасового файлу. + +```bash +[Unit] +After=systemd-tmpfiles-setup.service + +[Service] +User=apache +CapabilityBoundingSet=CAP_NET_BIND_SERVICE +AmbientCapabilities=CAP_NET_BIND_SERVICE +``` + +```bash +[user@rocky-vm ~]$ sudo systemctl daemon-reload +[user@rocky-vm ~]$ sudo systemctl restart httpd +[user@rocky-vm ~]$ grep Cap /proc/$(pgrep httpd | head -1)/status +CapInh: 0000000000000400 +CapPrm: 0000000000000400 +CapEff: 0000000000000400 +CapBnd: 0000000000000400 +CapAmb: 0000000000000400 +[user@rocky-vm ~]$ capsh --decode=0000000000000400 +0x0000000000000400=cap_net_bind_service +[user@rocky-vm ~]$ systemd-analyze security --no-pager httpd | grep Overall +→ Overall exposure level for httpd.service: 6.5 MEDIUM 😐 +``` + +## Обмеження файлової системи + +Управління дозволами на файли, які створює процес, здійснюється шляхом встановлення `UMask`. +Параметр `UMask` змінює дозволи на файл за замовчуванням, виконуючи побітові операції. Це в основному встановлює дозволи за замовчуванням на вісімковий `0644` (`-rw-r--r--`), а `UMask` за замовчуванням - `0022`. Це означає, що `UMask` не змінює набір за замовчуванням: + +```bash +[user@rocky-vm ~]$ printf "%o\n" $(echo $(( 00644 & ~00022 ))) +644 +``` + +Якщо припустити, що бажаним набором дозволів для файлів, створених демоном, є `0640` (`-rw-r-----`), ви можете встановити для `UMask` значення `7137`. Це досягає мети, навіть якщо дозволи за замовчуванням встановлені на `7777`: + +```bash +[user@rocky-vm ~]$ printf "%o\n" $(echo $(( 07777 & ~07137 ))) +640 +``` + +Крім того: + +- `ProtectSystem=`: _"Якщо встановлено значення "`strict`", уся ієрархія файлової системи монтується лише для читання, за винятком піддерев файлової системи API `/dev/`, `/proc/` та `/sys/` (захистіть ці каталоги за допомогою `PrivateDevices=`, `ProtectKernelTunables=`, `ProtectControlGroups=`)."_ +- `ReadWritePaths=`: знову робить окремі шляхи доступними для запису +- `ProtectHome=`: робить `/home/`, `/root` і `/run/user` недоступними +- `PrivateDevices=`: вимикає доступ до фізичних пристроїв, дозволяє доступ лише до псевдопристроїв, таких як `/dev/null`, `/dev/zero`, `/dev/random` +- `ProtectKernelTunables=`: робить `/proc/` і `/sys/` доступними лише для читання +- `ProtectControlGroups=`: робить `cgroups` доступними лише для читання +- `ProtectKernelModules=`: забороняє явне завантаження модуля +- `ProtectKernelLogs=`: обмежує доступ до буфера журналу ядра +- `ProtectProc=`: _"Якщо встановлено значення «невидимий», процеси, що належать іншим користувачам, приховані від /proc/."_ +- `ProcSubset=`: _"Якщо «pid», усі файли та каталоги, які безпосередньо не пов’язані з керуванням процесами та самоаналізом, стають невидимими у файловій системі /proc/, налаштованій для процесів пристрою."_ + +Також можливо обмежити шляхи до виконуваних файлів. Демону потрібно лише виконати свої двійкові файли та бібліотеки. Утиліта `ldd` може сказати нам, які бібліотеки використовує двійковий файл: + +```bash +[user@rocky-vm ~]$ ldd /usr/sbin/httpd + linux-vdso.so.1 (0x00007ffc0e823000) + libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fa360d61000) + libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fa360d34000) + libaprutil-1.so.0 => /lib64/libaprutil-1.so.0 (0x00007fa360d05000) + libcrypt.so.2 => /lib64/libcrypt.so.2 (0x00007fa360ccb000) + libexpat.so.1 => /lib64/libexpat.so.1 (0x00007fa360c9a000) + libapr-1.so.0 => /lib64/libapr-1.so.0 (0x00007fa360c5a000) + libc.so.6 => /lib64/libc.so.6 (0x00007fa360a00000) + libpcre2-8.so.0 => /lib64/libpcre2-8.so.0 (0x00007fa360964000) + /lib64/ld-linux-x86-64.so.2 (0x00007fa360e70000) + libuuid.so.1 => /lib64/libuuid.so.1 (0x00007fa360c4e000) + libm.so.6 => /lib64/libm.so.6 (0x00007fa360889000) +``` + +Наступні рядки буде додано до розділу `[Service]` у файлі `override.conf`: + +```bash +UMask=7177 +ProtectSystem=strict +ReadWritePaths=/run/httpd /etc/httpd/logs + +ProtectHome=true +PrivateDevices=true +ProtectKernelTunables=true +ProtectControlGroups=true +ProtectKernelModules=true +ProtectKernelLogs=true +ProtectProc=invisible +ProcSubset=pid + +NoExecPaths=/ +ExecPaths=/usr/sbin/httpd /lib64 +``` + +Перезавантажимо конфігурацію та перевіримо вплив на рахунок: + +```bash +[user@rocky-vm ~]$ sudo systemctl daemon-reload +[user@rocky-vm ~]$ sudo systemctl restart httpd +[user@rocky-vm ~]$ systemd-analyze security --no-pager httpd | grep Overall +→ Overall exposure level for httpd.service: 4.9 OK 🙂 +``` + +## Системні обмеження + +Різні параметри можуть обмежувати роботу системи для підвищення безпеки: + +- `NoNewPrivileges=`: гарантує, що процес не може отримати нові привілеї через біти `setuid`, `setgid` і можливості файлової системи +- `ProtectClock=`: забороняє запис до системних і апаратних годинників +- `SystemCallArchitectures=`: якщо встановлено значення `native`, процеси можуть виконувати лише власні `системні виклики` (у більшості випадків `x86-64`) +- `RestrictNamespaces=`: простори імен здебільшого стосуються контейнерів, тому їх можна обмежити для цього блоку +- `RestrictSUIDSGID=`: не дозволяє процесу встановлювати біти `setuid` і `setgid` для файлів +- `LockPersonality=`: запобігає зміні домену виконання, що може бути корисним лише для запуску застарілих програм або програмного забезпечення, розробленого для інших Unix-подібних систем +- `RestrictRealtime=`: планування в реальному часі актуальне лише для додатків, які вимагають суворих гарантій синхронізації, таких як промислові системи керування, обробка аудіо/відео та наукове моделювання +- `RestrictAddressFamilies=`: обмежує доступні сімейства адрес сокетів; можна встановити значення `AF_(INET|INET6)`, щоб дозволити лише сокети IPv4 та IPv6; деяким службам знадобиться `AF_UNIX` для внутрішнього зв'язку та журналювання +- `MemoryDenyWriteExecute=`: гарантує, що процес не зможе виділяти нові області пам’яті, які доступні як для запису, так і для виконання, запобігає деяким типам атак, коли шкідливий код вставляється в пам’ять для запису, а потім виконується; може призвести до збою компіляторів JIT, які використовуються JavaScript, Java або .NET +- `ProtectHostname=`: запобігає використанню процесом `syscalls` `sethostname()`, `setdomainname()` + +Давайте додамо наступне до файлу `override.conf`, перезавантажимо конфігурацію та перевіримо вплив на рахунок: + +```bash +NoNewPrivileges=true +ProtectClock=true +SystemCallArchitectures=native +RestrictNamespaces=true +RestrictSUIDSGID=true +LockPersonality=true +RestrictRealtime=true +RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX +MemoryDenyWriteExecute=true +ProtectHostname=true +``` + +```bash +[user@rocky-vm ~]$ sudo systemctl daemon-reload +[user@rocky-vm ~]$ sudo systemctl restart httpd +[user@rocky-vm ~]$ systemd-analyze security --no-pager httpd | grep Overall +→ Overall exposure level for httpd.service: 3.0 OK 🙂 +``` + +## Фільтрація системних викликів + +Обмежити системні виклики може бути нелегко. Важко визначити, які системні виклики мають виконувати деякі демони, щоб функціонувати належним чином. + +Утиліта `strace` може бути корисною для визначення того, які системні виклики створюються. Параметр `-f` вказує на те, щоб стежити за роздвоєними процесами, а `-o` зберігає вихідні дані у файл під назвою `httpd.strace`. + +```bash +[user@rocky-vm ~]$ sudo strace -f -o httpd.strace /usr/sbin/httpd +``` + +Після запуску процесу на деякий час і взаємодії з ним зупиніть виконання, щоб перевірити вихід: + +```bash +[user@rocky-vm ~]$ awk '{print $2}' httpd.strace | cut -d '(' -f 1 | sort | uniq | sed '/^[^a-zA-Z0-9]*$/d' | wc -l +79 +``` + +Під час роботи програма здійснила 79 унікальних системних викликів. +Ви можете налаштувати список системних викликів як дозволений за допомогою наступного однорядка: + +```bash +[user@rocky-vm ~]$ echo SystemCallFilter=$(awk '{print $2}' httpd.strace | cut -d '(' -f 1 | sort | uniq | sed '/^[^a-zA-Z0-9]*$/d' | tr "\n" " ") | sudo tee -a /lib/systemd/system/httpd.service.d/override.conf +... +... +... +[user@rocky-vm ~]$ sudo systemctl daemon-reload +[user@rocky-vm ~]$ sudo systemctl restart httpd +[user@rocky-vm ~]$ systemd-analyze security --no-pager httpd | grep Overall +→ Overall exposure level for httpd.service: 1.5 OK 🙂 +[user@rocky-vm ~]$ curl --head localhost +HTTP/1.1 403 Forbidden +``` + +Веб-сервер все ще працює, і ризик значно зменшився. + +Наведений вище підхід є точним. Якщо системний виклик пропущено, це може призвести до збою програми. `systemd` групує системні виклики в попередньо визначені набори. Щоб спростити обмеження системних викликів, замість того, щоб встановлювати один системний виклик у список дозволених або заборонених, можна встановити цілу групу в списку дозволених або заборонених. Щоб переглянути списки: + +```bash +[user@rocky-vm ~]$ systemd-analyze syscall-filter +@default + # System calls that are always permitted + arch_prctl + brk + cacheflush + clock_getres +... +... +... +``` + +Системні виклики в групах можуть збігатися, особливо для деяких груп, які включають інші групи. Таким чином, окремі виклики або групи можна заборонити, вказавши символ `~`. Наступні директиви у файлі `override.conf` повинні працювати для цього пристрою: + +```bash +SystemCallFilter=@system-service +SystemCallFilter=~@privileged @resources @mount @swap @reboot +``` + +## Висновки + +Конфігурація безпеки за замовчуванням більшості блоків `systemd` є неналежною. Їх зміцнення може зайняти деякий час, але воно того варте, особливо у великих середовищах, доступних до Інтернету. Якщо зловмисник використовує вразливість або неправильну конфігурацію, захищений блок може перешкодити йому отримати контроль над системою. diff --git a/docs/guides/summer-of-docs-2024.uk.md b/docs/guides/summer-of-docs-2024.uk.md index 2becf074f8..0acb3603dd 100644 --- a/docs/guides/summer-of-docs-2024.uk.md +++ b/docs/guides/summer-of-docs-2024.uk.md @@ -33,6 +33,8 @@ title: Rocky Linux Summer of Docs 2024 - Пропоновані теми/назви для настільної документації RL - Бажані мови для перекладу +(Якщо у вас виникли запитання або потрібна допомога щодо участі, зв’яжіться з нами за адресою https://chat.rockylinux.org) + ## Грант - Додайте 5 оригінальних посібників, орієнтованих на робочий стіл, до нової категорії «Настільний комп’ютер» і отримайте 200 доларів США (до 1000 доларів США). diff --git a/docs/guides/troubleshooting/kernel_panic.uk.md b/docs/guides/troubleshooting/kernel_panic.uk.md new file mode 100644 index 0000000000..4168629d6f --- /dev/null +++ b/docs/guides/troubleshooting/kernel_panic.uk.md @@ -0,0 +1,137 @@ +--- +title: Як впоратися з панікою ядра (kernel panic) +author: Antoine Le Morvan +contributors: Steven Spencer +tested_with: 9.4 +tags: + - kernel + - kernel panic + - порятунок +--- + +## Вступ + +Іноді інсталяція ядра йде не так, і вам доводиться повертатися назад. + +Для цього може бути багато причин, наприклад, недостатньо місця в розділі `/boot`, перерва в установці або проблема з програмою третьої сторони. + +На щастя для нас, ми завжди можемо щось зробити, щоб врятувати ситуацію. + +## Спробуйте перезавантажитися з попереднім ядром + +Перше, що потрібно спробувати, це перезавантажити з попереднім ядром. + +- Перезапустіть систему. +- Коли ви досягнете екрана завантаження GRUB 2, перемістіть вибір до пункту меню, що відповідає попередньому ядру, і натисніть клавішу `enter`. + +Після перезавантаження системи її можна відновити. + +Якщо система не завантажується, спробуйте **режим відновлення** (див. вище). + +## Видаліть несправне ядро + +Найпростіший спосіб зробити це — видалити версію ядра, яка не працює, а потім перевстановити її. + +!!! Note "Примітка" + +```` +Ви не можете видалити ядро, яке ви використовуєте. + +Щоб показати версію поточного ядра: + +```bash +uname -r +``` +```` + +Щоб перевірити список встановлених ядер: + +```bash +dnf list installed kernel\* | sort -V +``` + +Але наступна команда, можливо, більш практична, оскільки вона повертає лише пакунки з кількома встановленими версіями: + +```bash +dnf repoquery --installed --installonly +``` + +Щоб видалити певне ядро, ви можете використати `dnf`, вказавши версію ядра, яку ви отримали раніше: + +```bash +dnf remove kernel-core- +``` + +Приклад: + +```bash +dnf remove kernel-5.14.0-427.20.1.el9_4.x86_64 +``` + +або скористайтеся командою `dnf repoquery`: + +```bash +dnf remove $(dnf repoquery --installed --installonly --latest=1) +``` + +Тепер ви можете оновити свою систему та спробувати перевстановити останню версію ядра. + +```bash +dnf update +``` + +Перезавантажте та подивіться, чи працює нове ядро ​​цього разу. + +## Режим порятунку + +Режим відновлення відповідає старому режиму для одного користувача. + +!!! Note "Примітка" + +``` +Щоб увійти в режим порятунку, вам потрібно вказати пароль root. +``` + +Щоб увійти в режим відновлення, найпростіший спосіб — вибрати рядок, який починається з `0-rescue-*` в меню grub. + +Інший спосіб — відредагувати будь-який рядок меню grub (натиснувши клавішу «e») і додати `systemd.unit=rescue.target` у кінці рядка, який починається з `linux`, а потім натиснути `ctrl+x` щоб завантажити систему в режим відновлення. + +!!! Note "Примітка" + +``` +Ви перебуваєте в режимі qwerty. +``` + +Перейшовши в режим відновлення та ввівши пароль адміністратора, можна відновити систему. + +Для цього вам може знадобитися налаштувати тимчасову IP-адресу за допомогою `ip ad add ...` (див. розділ про мережу нашого посібника адміністратора). + +## Останній шанс: Anaconda Rescue Mode + +Якщо жоден із наведених вище методів не працює, ви все одно можете завантажитися з інсталяційного ISO та відновити систему. + +Ця документація не охоплює цей метод. + +## Обслуговування системи + +### Очищення старих версій ядра + +Ви можете видалити старі встановлені пакети ядра, зберігши лише останню версію та версію запущеного ядра: + +```bash +dnf remove --oldinstallonly +``` + +### Обмеження кількості встановлених версій ядра + +Ми можемо обмежити кількість версій ядра, відредагувавши файл `/etc/yum.conf` і встановивши змінну **installonly_limit**: + +```text +installonly_limit=3 +``` + +!!! Note "Примітка" + +``` +Ви завжди повинні мати принаймні останню версію ядра та резервну версію. +``` diff --git a/docs/index.de.md b/docs/index.de.md index 34c8a12bc2..9431efd538 100644 --- a/docs/index.de.md +++ b/docs/index.de.md @@ -4,7 +4,7 @@ title: Startseite # Rocky Linux Dokumentation -## Willkommen! +## Willkommen Willkommen im Dokumentations-Portal für Rocky Linux. Wir freuen uns, dass Sie hier sind. Mitwirkende sind willkommen um Beiträge hinzuzufügen, sodass die Menge von Inhalten ständig wächst. Hier finden Sie Dokumente, um Rocky Linux selbst zusammenzubauen, sowie Dokumente zu verschiedenen Themen, die für die Rocky Linux Community wichtig sind. Wer ist eigentlich diese Community, werden Sie fragen? @@ -18,7 +18,7 @@ Diese Startseite gibt Ihnen eine kurze Einführung in diesem Dokumentationsporta Sie befinden sich gerade auf der Startseite der Dokumentation. Wenn Sie einen Blick auf das oberste Menü werfen (das immer verfügbar ist, auch auf mobilen Geräten), können Sie eine Übersicht sehen, die die Abschnitte der obersten Ebene der Dokumentationsseite zeigt. Wenn Sie auf jeden oberen Menüpunkt klicken (versuchen Sie zum Beispiel "Anleitungen"), dann sehen Sie auf der linken Seite die Liste von *Unterabschnitten* für jeden Hauptabschnitt. "Anleitungen" enthält viele interessante Themen. -Wenn Sie ein Dokument öffnen, werden Sie auf der rechten Seite ein 'Inhaltsverzeichnis' mit anklickbaren Navigationslinks für dieses Dokument sehen (für mobile Geräte sollten die horizontale Ausrichtung einstellen). Für lange Dokumente, wie die [Versionshinweise](release_notes/8_8.md), erleichtert das Inhaltsverzeichnis die Navigation im Dokument. Wenn Sie ein langes Dokument lesen und zurück nach oben springen wollen, drücken Sie pg up, eine Schaltfläche `Zurück nach oben` wird dann oben am Bildschirm erscheinen. +Wenn Sie ein Dokument öffnen, werden Sie auf der rechten Seite ein 'Inhaltsverzeichnis' mit anklickbaren Navigationslinks für dieses Dokument sehen (für mobile Geräte sollten die horizontale Ausrichtung einstellen). Für lange Dokumente, wie die [Versionshinweise](release_notes/8_8.md), erleichtert das Inhaltsverzeichnis die Navigation im Dokument. Wenn Sie ein langes Dokument lesen und zum Anfang zurückgehen möchten, drücken Sie ++page-up++. Oben auf dem Bildschirm wird die Schaltfläche `Zurück zum Anfang` angezeigt. Die Hauptbereiche der Dokumentationseite sind: @@ -34,7 +34,7 @@ Die Hauptbereiche der Dokumentationseite sind: Bei Rocky Linux wollen wir die Dokumentationsseite für jeden in seiner Lieblingssprache zugänglich machen — *deshalb sind Übersetzungen in verschiedenen Sprachen wesentlich*. Wenn Sie auf die Sprachauswahl (文A bzw. wén-A Icon) im oberen Menü klicken, sehen Sie die Sprachen, die zurzeit verfügbar sind: Dazu gibt es zwei Teile: 1. Lokalisierung der Webseiten-Schnittstelle: Wenn Sie eine andere Sprache wählen, zum Beispiel Français, werden Sie feststellen, dass die Schnittstelle, zum Beispiel die Navigatoren 'Weiter' und 'Vorheriger' übersetzt werden. -1. Inhalt: Das Übersetzen von Inhalten ist eine laufende (wichtige) Aufgabe. Noch nicht alle Inhalte sind in allen Sprachen übersetzt. Alle Seiten, die übersetzt wurden (in der ausgewählten Sprache) werden entsprechend dargestellt, diejenigen, die es noch nicht vollständig sind, werden in Englisch angezeigt. Wenn Sie der Community durch Übersetzungen helfen möchten, sind Sie sehr willkommen — siehe unten für weitere Details zur Vorgehensweise. +1. Inhalt: Das Übersetzen von Inhalten ist eine [laufende](https://crowdin.com/project/rockydocs/activity-stream) (bedeutende) [Aufgabe](https://crowdin.com/project/rockydocs). Noch nicht alle Inhalte sind in allen Sprachen übersetzt. Alle Seiten, die übersetzt wurden (in der ausgewählten Sprache) werden entsprechend dargestellt, diejenigen, die es noch nicht vollständig sind, werden in Englisch angezeigt. Wenn Sie der Community durch Übersetzungen helfen möchten, sind Sie sehr willkommen — siehe unten für weitere Details zur Vorgehensweise. !!! note "Anmerkung" diff --git a/docs/release_notes/8_10.uk.md b/docs/release_notes/8_10.uk.md index b0506803c6..b4e2405ba5 100644 --- a/docs/release_notes/8_10.uk.md +++ b/docs/release_notes/8_10.uk.md @@ -33,7 +33,7 @@ tags: ### Конструктор зображень - доступні різні режими розділення, наприклад `auto-lvm`, `lvm` і `raw` -- налаштування індивідуальних параметрів для профілю та додавання його до ваших налаштувань плану, використовуючи вибрані та невибрані параметри для додавання та видалення правил +- Налаштування параметрів профілю та додавання їх до налаштувань проекту. Вони виконуються за допомогою вибраних і невибраних параметрів додавання та видалення правил. ### Безпека diff --git a/docs/release_notes/9_4.de.md b/docs/release_notes/9_4.de.md new file mode 100644 index 0000000000..63165a1a53 --- /dev/null +++ b/docs/release_notes/9_4.de.md @@ -0,0 +1,162 @@ +--- +title: Aktuelle Version 9.4 +tags: + - 9.4 + - Release 9.4 + - Rocky 9.4 +--- + +# Versionshinweise für Rocky Linux 9.4 + +Eine umfangreiche Liste der meisten Änderungen finden Sie in den [Upstream-Versionshinweisen, die Sie hier finden](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/index). + +## Upgrade + +Durch sudo dnf -y upgrade +können Sie von Rocky Linux 9.x auf Rocky Linux 9.4 umsteigen. + +!!! note "Anmerkung" + +``` +Rocky Linux bietet keinen Upgrade-Pfad von irgendeiner Version von Rocky Linux 8 an. Es wird empfohlen, eine Neuinstallation des Betriebssystems durchzuführen, um auf Rocky Linux 9.4 umzusteigen. +``` + +## ISO-Images + +Zusätzlich zu den regulären Installationsimages sind mehrere Images verfügbar, darunter Cloud- und Containerplattformen. + +Um mehr über die von der Cloud Special Interest Group produzierten Artefakte zu erfahren und Informationen zur Teilnahme zu erhalten, siehe [SIG/Cloud Wiki-Seite](https://sig-cloud.rocky.page/). + +## Installation + +Stellen Sie vor der Installation [sicher, dass Ihre CPU mit diesem Verfahren kompatibel ist!](https://docs.rockylinux.org/gemstones/test_cpu_compat/) + +Um Rocky Linux 9.4 zu installieren, gehen Sie auf die Download-Seite und laden Sie die Version herunter, die Sie für Ihre Architektur benötigen. + +## Die Rocky Team Release Highlights + +### Aktalisierungen für Cloud und Live-Images + +#### Vorgehensweise zur Erstellung neuer ISO-Images + +Die meisten Images für die Version 9.4 wurden mit einem neuen Image Builder erstellt: [KIWI](https://github.com/OSInside/kiwi/) von openSUSE. Die ISO-Images zielen darauf ab, die in den alten Bildern enthaltenen Features vollständig anzubieten, und es sind keine ernsthaften Regressionen zu erwarten. Wenn Sie Fehler finden, teilen Sie uns dies bitte mit. Wir werden alles tun, um etwaige Unterschiede zu beheben oder zu erklären. + +Die noch mit Imagefactory erstellten Images sind Folgende: Vagrant-VBox, Vagrant-VMware und OCP-Base (Oracle Cloud Platform). Die verbleibenden Cloud-, Container- und Vagrant-Images wurden mit KIWI erstellt. Der neue Build-Workflow wird es Rocky Linux ermöglichen, häufigere Updates für unsere Images bei allen Cloud-Anbietern bereitzustellen. + +Sie sind herzlich eingeladen, sich die verwendete [KIWI-Konfiguration](https://git.resf.org/sig_core/rocky-kiwi-descriptions/src/branch/r9) sowie unser [Toolkit](https://git.resf.org/sig_core/toolkit) anzusehen. Das Toolkit wird zum Aufrufen von KIWI verwendet. + +#### Azure - 'Community Galleries' und 'Publisher Change' + +Das Rocky Linux-Publisher-Konto für Microsoft Azure hat sich geändert und frühere Images sind nun veraltet. Weitere Informationen, einschließlich Einzelheiten zur Migration auf das neue Konto, finden Sie im [Forenbeitrag](https://forums.rockylinux.org/t/rocky-linux-images-on-azure-important-update/13721). + +Zusätzlich zum Azure Marketplace ist Rocky Linux kostenlos in der Azure Community Gallery verfügbar und bietet einen unglaublich einfachen Zugang, um Rocky auf Microsoft Azure auszuführen. Anweisungen zur Verwendung der Community-Galerie-Images finden Sie in diesem [News-Beitrag](https://rockylinux.org/news/rocky-on-azure-community-gallery/). + +### Neu und bemerkenswert + +## Wichtige Änderungen + +Eine vollständige Liste der wichtigsten Änderungen finden Sie in der [Upstream-Liste hier](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/overview#overview-major-changes). + +Im Folgenden werden die Highlights und neuen Funktionen dieser Version detailliert beschrieben. + +### Image-Builder + +- Ab Rocky Linux 9.4 können Sie beliebige benutzerdefinierte Einhängepunkte angeben, mit Ausnahme bestimmter Pfade, die für das Betriebssystem reserviert sind +- Partitionierung mit verschiedenen Partitionierungsmodi ist jetzt verfügbar, darunter `auto-lvm`, `lvm` und `raw` +- Passen Sie die Optionen für ein Profil an und fügen Sie es Ihren Blueprint-Anpassungen hinzu. Erfüllt die Anforderungen mit ausgewählten und nicht ausgewählten Optionen zum Hinzufügen und Entfernen von Regeln. + +### Sicherheit + +Nachfolgend sind die sicherheitsrelevanten Highlights der neuesten Version von Rocky Linux 9.4 aufgeführt. Eine vollständige Liste der sicherheitsrelevanten Änderungen finden Sie unter diesem [Upstream-Link](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/new-features#new-features-security). + +- **SELinux** Userspace Release 3.6 führt Deny-Regeln zur weiteren Anpassung von Richtlinien ein +- **Keylime**-Serverkomponenten, der Verifier und der Registrar, sind als Container verfügbar +- Das **Rsyslog**-Verarbeitungssystem führt anpassbare TLS/SSL-Verschlüsselungseinstellungen und zusätzliche Optionen ein, die sich auf das Capability Dropping beziehen +- **OpenSSL** TLS-Toolkit fügt ein Drop-In-Verzeichnis für Provider-spezifische Konfigurationsdateien hinzu +- **libkcapi** 1.4.0 führt neue Tools und Optionen ein. Insbesondere können Sie mit der neuen Option `-T` Zieldateinamen in Hashsummenberechnungen angeben +- **stunnel 5.7.1** Der TLS/SSL-Tunneling-Dienst ändert das Verhalten von OpenSSL 1.1 und späteren Versionen im FIPS-Modus. Neben dieser Änderung bietet diese Version viele neue Funktionen wie die Unterstützung für moderne PostgreSQL-Clients + +### Dynamische Programmiersprachen, Web- und Datenbankserver + +Eine detaillierte Liste der Änderungen in dieser Kategorie finden Sie unter [diesem Upstream-Link](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/new-features#new-features-dynamic-programming-languages-web-and-database-servers). + +Spätere Versionen der folgenden Application Streams sind jetzt verfügbar: + +- **Python 3.12** +- **Ruby 3.3** ist als Stream-Modul verfügbar +- **PHP 8.2** ist als Stream-Modul verfügbar +- **nginx 1.24** ist als Stream-Modul verfügbar +- **MariaDB 10.11** ist als Stream-Modul verfügbar +- **PostgreSQL 16** ist als Stream-Modul verfügbar + +Folgende Anwendungen wurden aktualisiert: + +- **Git** wurde auf Version 2.43.0 umgestellt +- **Git LFS** wurde auf Version 3.4.1 umgestellt + +### Container + +Einzelheiten zu den Änderungen in dieser Kategorie [finden Sie unter dem Upstream-Link hier](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/new-features#new-features-containers). + +Bemerkenswerte Änderungen sind: + +- Der Befehl `podman build farm` zum Erstellen von Container-Images mit mehreren Architekturen ist als Technologievorschau verfügbar +- Podman unterstützt jetzt `containers.conf`-Module, um einen vorgegebenen Satz von Konfigurationen zu laden +- Das Paket `Container Tools` wurde aktualisiert +- Podman v4.9 RESTful API zeigt jetzt Fortschrittsdaten an, wenn Sie ein Image in die Registrierung ziehen oder schieben +- SQLite wird jetzt vollständig als Standard-Datenbank-Backend für Podman unterstützt +- `Containerfile` unterstützt jetzt mehrzeilige HereDoc-Anweisungen +- `pasta` als Netzwerk-Name ist nun obsolet +- Das BoltDB-Datenbank-Backend ist nun obsolet +- Das Modul `container-tools:4.0` ist nun obsolet +- Der Container Network Interface (CNI)-Netzwerkstapel ist veraltet und wird in einer zukünftigen Version entfernt + +### Compiler und Entwicklungstools + +Einzelheiten zu den Änderungen in dieser Kategorie [finden Sie unter diesem Upstream-Link](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/new-features#new-features-compilers-and-development-tools) + +- LLVM Toolset wurde auf Version 17.0 umgestellt +- Rust Toolset wurde auf Version 1.75.0 umgestellt +- Go Toolset wurde auf Version 1.21.0 umgestellt +- Clang-Ressourcenverzeichnis verschoben (von `usr/lib64/clang/17` nach `usr/lib/clang/17`) +- `elfutils` wurde auf Version 0.190 umgestellt +- `systemtap` wurde auf Version 5.0 umgestellt +- Updated GCC Toolset 13 +- `pcp` Update auf Version 6.2.0 +- Neues Paket `grafana-selinux` +- Neue Prozessor-Mikroarchitekturen werden in `PAPI` unterstützt +- Neues Paket `maven-openjdk21` +- Neues paket `libzip-tools` +- `cmake` wurde auf Version 3.26 umgestellt + +## Bekannte Probleme + +In Version 9.4 gibt es viele bekannte Probleme, darunter auch solche im Zusammenhang mit: + +- Installation und ISO-Image-Erstellung +- Sicherheit +- Software-Verwaltung +- Shell und Kommandozeilen-Tools +- Infrastruktur-Dienste +- Netzwerk +- Kernel +- Dateisysteme und Speicher +- Dynamische Programmiersprachen, Web- und Datenbankserver +- Identitätsmanagement +- Desktop +- Grafik Infrastruktur +- Virtualisierung +- Supportfähigkeit +- Container + +Ausführliche Informationen zu diesen Problemen finden Sie in der [Upstream-Liste](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.4_release_notes/known-issues). + +!!! info "Obsolet Software" + +``` +Einige Anwendungs-Streams, die Teil der Rocky Linux 9.4-Repositories sind, erhalten keine weiteren Updates. Dazu gehören derzeit Node.js 16 (Ausmusterung April 2024) und .NET 7 (Ausmusterung Mai 2024). Darüber hinaus erreicht OpenJDK 11 sein EoL für Rocky Linux 9 im Oktober 2024. Bitte stellen Sie sicher, dass Sie unterstützte Versionen verwenden (Node.js 18- oder 20-Module, .NET 6- oder 8-Pakete, OpenJDK 1.8.0-, 17- oder 21-Pakete), wenn weitere Patches gewünscht werden. +``` + +## Fehler melden + +Bitte melden Sie alle Fehler, auf die Sie gestoßen sind, dem [Rocky Linux Bug Tracker](https://bugs.rockylinux.org/). Wir heißen Sie auch herzlich willkommen, unserer Community beizutreten, sei es in unseren [Foren](https://forums.rockylinux.org), [Mattermost](https://chat.rockylinux.org), [IRC auf Libera.Chat](irc://irc.liberachat/rockylinux), [Reddit](https://reddit.com/r/rockylinux), [Mailinglisten](https://lists.resf.org), oder auf welche andere Art auch immer Sie teilnehmen möchten! diff --git a/docs/release_notes/9_4.uk.md b/docs/release_notes/9_4.uk.md index 48f3365855..3073f434f5 100644 --- a/docs/release_notes/9_4.uk.md +++ b/docs/release_notes/9_4.uk.md @@ -62,7 +62,7 @@ Rocky Linux не пропонує шлях оновлення з будь-яко - Починаючи з Rocky Linux 9.4, ви можете вказати довільні настроювані точки монтування, за винятком конкретних шляхів, зарезервованих для операційної системи - Тепер доступне створення різних режимів розділення, зокрема `auto-lvm`, `lvm` і `raw` -- Налаштуйте індивідуальні параметри для профілю та додайте його до своїх налаштувань плану, використовуючи вибрані та невибрані параметри для додавання та видалення правил +- Налаштування параметрів профілю та додавання їх до налаштувань проекту. Вони виконуються за допомогою вибраних і невибраних параметрів додавання та видалення правил. ### Безпека diff --git a/docs/release_notes/index.de.md b/docs/release_notes/index.de.md index 5b2858ac06..93370615ae 100644 --- a/docs/release_notes/index.de.md +++ b/docs/release_notes/index.de.md @@ -24,6 +24,8 @@ Rocky 9 (Code Name "Blue Onyx") wird bis zum 31. Mai 2027 angeboten und Sicherhe | 9.0 | 2022-07-14 | 5.14.0-70.13.1 | | 9.1 | 2022-11-26 | 5.14.0-162.6.1 | | 9.2 | 2023-05-16 | 5.14.0-284.11.1 | +| 9.3 | 2023-11-20 | 5.14.0-362.8.1 | +| 9.4 | 2024-05-09 | 5.14.0-427.13.1 | ## Rocky 8 @@ -40,5 +42,7 @@ Rocky 8 (Code Name "Green Obsidian") wird bis zum 1. Mai 2024 angeboten und Sich | 8.6 | 2022-05-16 | 4.18.0-372.9.1 | | 8.7 | 2022-11-14 | 4.18.0-425.3.1 | | 8.8 | 2023-05-19 | 4.18.0-477.10.1 | +| 8.9 | 2023-11-22 | 4.18.0-513.5.1 | +| 8.10 | 2024-05-31 | 4.18.0-553 | Wenn Sie Fragen oder Kommentare haben, sind Sie in der Diskussion [hier](https://chat.rockylinux.org/rocky-linux/channels/documentation) willkommen. diff --git a/docs/release_notes/index.es.md b/docs/release_notes/index.es.md new file mode 100644 index 0000000000..c68f471efe --- /dev/null +++ b/docs/release_notes/index.es.md @@ -0,0 +1,48 @@ +--- +title: Notas de la versión Rocky Linux +tags: + - lanzamiento + - notas de la versión +--- + +# Notas de la versión Rocky Linux + +Bienvenido a nuestra lista de notas de publicación y registros de cambios para Rocky Linux. Las versiones lanzadas más recientes aparecen en el menú, con la más nueva primero. Las fechas de lanzamiento y la información de soporte se encuentran a continuación. + +## Rocky Linux Releases + +## Rocky 9 + +### Visión General + +Rocky 9 (Code Name "Blue Onyx") tiene soporte general hasta el 31 de mayo de 2027 y soporte de seguridad hasta el 31 de mayo de 2032. Las arquitecturas soportadas son x86_64-v2, aarch64, pc64le y s390x. + +### Información de Versión + +| Número de Versión | Fecha General de Disponibilidad | Versión del Kernel | +| ----------------- | ------------------------------- | ------------------ | +| 9.0 | 2022-07-14 | 5.14.0-70.13.1 | +| 9.1 | 2022-11-26 | 5.14.0-162.6.1 | +| 9.2 | 2023-05-16 | 5.14.0-284.11.1 | +| 9.3 | 2023-11-20 | 5.14.0-362.8.1 | +| 9.4 | 2024-05-09 | 5.14.0-427.13.1 | + +## Rocky 8 + +### Visión General + +Rocky 8 (Code Name "Green Obsidian") tiene soporte general hasta el 1 de mayo de 2024 y soporte de seguridad hasta el 1 de mayo de 2029. Las arquitecturas soportadas son x86_64 y aarch64. + +### Información de Versión + +| Número de Versión | Fecha General de Disponibilidad | Versión del Kernel | +| ----------------- | ------------------------------- | ------------------ | +| 8.4 | 2021-06-21 | 4.18.0-305 | +| 8.5 | 2021-11-15 | 4.18.0-348 | +| 8.6 | 2022-05-16 | 4.18.0-372.9.1 | +| 8.7 | 2022-11-14 | 4.18.0-425.3.1 | +| 8.8 | 2023-05-19 | 4.18.0-477.10.1 | +| 8.9 | 2023-11-22 | 4.18.0-513.5.1 | +| 8.10 | 2024-05-31 | 4.18.0-553 | + +Si tiene alguna pregunta o comentario, por favor únase a la discusión [aquí](https://chat.rockylinux.org/rocky-linux/channels/documentation).