diff --git a/docs/books/disa_stig/disa_stig_part3.uk.md b/docs/books/disa_stig/disa_stig_part3.uk.md index 4c15ad2eb1..bcdfacd97c 100644 --- a/docs/books/disa_stig/disa_stig_part3.uk.md +++ b/docs/books/disa_stig/disa_stig_part3.uk.md @@ -14,7 +14,7 @@ tags: У частині 1 цієї серії ми розглянули, як створити наш веб-сервер із застосуванням базового RHEL8 DISA STIG, а в частині 2 ми дізналися, як перевірити відповідність STIG за допомогою інструменту OpenSCAP. Тепер ми збираємося зробити щось із системою, створити просту веб-програму та застосувати веб-сервер DISA STIG: -Спочатку давайте порівняємо, у що ми тут втягуємося, RHEL 8 DISA STIG призначений для дуже специфічної платформи, тому елементи керування досить легко зрозуміти в цьому контексті, протестувати та застосувати. Додатки STIG мають бути переносними на кілька платформ, тому вміст тут є загальним, щоб працювати з різними дистрибутивами Linux (RHEL, Ubuntu, SuSE тощо)**. Це означає, що такі інструменти, як OpenSCAP, не допоможуть нам перевірити/виправити конфігурацію, нам доведеться робити це вручну. Ці STIG наступні: +Спочатку давайте порівняємо, у що ми тут втягуємося, RHEL 8 DISA STIG призначений для дуже специфічної платформи, тому елементи керування досить легко зрозуміти в цьому контексті, протестувати та застосувати. Додатки STIG мають бути переносними на кілька платформ, тому вміст тут є загальним, щоб працювати з різними дистрибутивами Linux (RHEL, Ubuntu, SuSE тощо)**. Це означає, що такі інструменти, як OpenSCAP, не допоможуть нам перевірити/виправити конфігурацію. Нам доведеться робити це вручну. Ці STIG наступні: * Apache 2.4 V2R5 - сервер; що стосується самого веб-сервера * Apache 2.4 V2R5 - сайт; що стосується веб-програми/веб-сайту diff --git a/docs/books/web_services/053-load-balancer-proxies-squid.uk.md b/docs/books/web_services/053-load-balancer-proxies-squid.uk.md index b81006e0e5..aedb2259af 100644 --- a/docs/books/web_services/053-load-balancer-proxies-squid.uk.md +++ b/docs/books/web_services/053-load-balancer-proxies-squid.uk.md @@ -1,6 +1,6 @@ --- author: Antoine Le Morvan -contributors: null +contributors: Ganna Zhyrnova title: Частина 5.3 Squid tags: - squid @@ -551,7 +551,7 @@ sudo dnf update ### Висновок -Вітаємо! Тепер у вас є знання, необхідні для встановлення Squid у вашій локальній мережі. Це дозволить вам централізувати вихідні підключення до Інтернету та захистити вашу локальну мережу. +Тепер ви знаєте, як встановити Squid у локальній мережі. Це дозволить вам централізувати вихідні підключення до Інтернету та захистити вашу локальну мережу. ### Перевірте свої знання diff --git a/docs/desktop/appimage/install_software_with_appimage.uk.md b/docs/desktop/appimage/install_software_with_appimage.uk.md new file mode 100644 index 0000000000..8b99e23691 --- /dev/null +++ b/docs/desktop/appimage/install_software_with_appimage.uk.md @@ -0,0 +1,92 @@ +--- +title: Встановлення програмного забезпечення за допомогою AppImage +author: Joseph Brinkman +contributors: Steven Spencer +--- + +## Вступ + +AppImages — це зручний спосіб інсталювати програмне забезпечення в Linux без використання менеджерів пакетів або командного рядка. Це однофайлові виконувані файли, які містять усі залежності програми, завдяки чому їх легко запускати в різних дистрибутивах Linux. Для кінцевих користувачів, які вже знайомі з операційними системами Windows і Mac, інсталяція програмного забезпечення за допомогою AppImage може бути більш простим процесом, ніж керування сховищами чи збірка з джерела. + +Процес встановлення програм на робочому столі Rocky Linux за допомогою AppImage складається з трьох етапів: + +1. Завантажте AppImage потрібної програми +2. Зробіть програму виконуваною +3. Запустіть програму, щоб встановити її + +Прикладом програми, використаної в цьому посібнику, є Krita. Ви завантажите та встановите його за допомогою AppImage. Krita — це безкоштовне програмне забезпечення графічного дизайну з відкритим кодом. Оскільки в цьому посібнику йдеться про функції AppImage, у ньому немає деталей щодо використання Krita. Ви можете [прочитати більше про це на їх веб-сайті](https://krita.org/). + +## Припущення + +Для цього посібника вам потрібно: + +- Rocky Linux із встановленим робочим середовищем +- привілеї `sudo` + +## Завантаження AppImage програми + +Першим кроком встановлення програмного забезпечення за допомогою AppImage є завантаження AppImage програми. Щоб завантажити Krita AppImage, перейдіть на сторінку [Завантажити](https://krita.org/en/download/) і натисніть кнопку `Download`. + +![Click download appimage button](images/download_krita_appimage.webp) + +## Встановлення програми за допомогою її AppImage + +Після завантаження AppImage ви повинні перейти до папки `Downloads`, щоб зробити файл виконуваним перед його запуском. + +У верхньому лівому куті робочого столу Rocky Linux натисніть Activities: + +![Rocky linux deskop with default wall paper. The mouse is hovered over the activities button.](images/activites_appimage.webp) + +Після запуску панелі дій введіть 'files' в поле пошуку. Натисніть програму Files: + +![Activites pane on a Rocky linux system. 'Files' is typed into the search field. The Files app is hovered over.](images/searchbar_files_appimage.webp) + +Файли будуть запущені в домашньому каталозі. Натисніть папку Downloads: + +![The Files app is open and the mouse is hovered over the Downloads folder.](images/files_downloads_appimage.webp) + +Тепер, коли ви перейшли до каталогу, де знаходиться AppImage, настав час зробити програму виконуваною. Клацніть файл AppImage правою кнопкою миші та виберіть properties: + +![The AppImage file is selected. The mouse is hovered over properties.](images/file_properties_appimage.webp) + +Виберіть дозволи в меню властивостей файлу: + +![Permissions is selected in the file properties menu](images/permissions_appimage.webp) + +Установіть прапорець 'Execute', перш ніж закрити меню властивостей: + +![The checkbox labeled 'Execute' has been selected](images/file_properties_allow_executing_file_as_program_appimage.webp) + +Якщо замість цього ви використовуєте командний рядок, відкрийте термінал і виконайте таку команду, щоб зробити виконуваний файл AppImage: + +```bash +sudo chmod a+x ~/Downloads/krita*.appimage +``` + +## Запуск програми за допомогою її AppImage + +Ви досягли останнього кроку – запустили AppImage! + +!!! Note "Примітка" + +``` +Запуск AppImage не інсталює програму у файли вашої системи, як це роблять традиційні пакети програмного забезпечення. Це означає, що коли ви хочете використовувати програму, ви повинні двічі клацнути AppImage. З цієї причини важливо зберігати AppImage у безпечному та незабутньому місці. +``` + +Двічі клацніть AppImage: + +![The AppImage is selected indicating it was double-clicked and ran](images/run_app_image.webp) + +Ви також можете виконати таку команду оболонки замість подвійного клацання AppImage: + +```bash + ./krita*.appimage +``` + +Незабаром після запуску AppImage запуститься Krita! + +![The Krita app launcher](images/krita_launching.webp) + +## Висновок + +Цей посібник навчив вас, як завантажити та використовувати програму з AppImage. AppImages зручні для кінцевих користувачів, оскільки їм не потрібно знати, як керувати сховищами, створювати з джерела або використовувати командний рядок, щоб використовувати свої улюблені програми з доступним AppImage. diff --git a/docs/gemstones/containers/podman.uk.md b/docs/gemstones/containers/podman.uk.md index f3bcdf6d0c..267ffaf700 100644 --- a/docs/gemstones/containers/podman.uk.md +++ b/docs/gemstones/containers/podman.uk.md @@ -88,12 +88,7 @@ systemctl --user start nextcloud.service WantedBy=default.target ``` -Потім знову запустіть генератор і ввімкніть службу: - -```bash -systemctl --user daemon-reload; -systemctl --user enable nextcloud.service; -``` +Оскільки згенеровані службові файли вважаються тимчасовими, їх не можна ввімкнути за допомогою systemd. Щоб пом’якшити це, генератор вручну застосовує встановлення під час створення. Це фактично також активує ці файли служб. Підтримуються інші типи файлів: pod, том, мережа, зображення та kube. [Pods](https://docs.podman.io/en/latest/markdown/podman-systemd.unit.5.html#pod-units-pod), наприклад, можна використовувати для групування контейнерів – згенерованого systemd служби та їхні залежності (створити pod перед контейнерами) автоматично керуються systemd. diff --git a/docs/guides/containers/podman_guide.uk.md b/docs/guides/containers/podman_guide.uk.md index 16c5b60153..02b8c4a47a 100644 --- a/docs/guides/containers/podman_guide.uk.md +++ b/docs/guides/containers/podman_guide.uk.md @@ -171,12 +171,7 @@ systemctl --user start nextcloud.service WantedBy=default.target ``` -Потім знову запустіть генератор і ввімкніть службу: - -```bash -systemctl --user daemon-reload; -systemctl --user enable nextcloud.service; -``` +Оскільки згенеровані службові файли вважаються тимчасовими, їх не можна ввімкнути за допомогою systemd. Щоб пом’якшити це, генератор вручну застосовує встановлення під час створення. Це фактично також активує ці файли служб. Підтримуються інші типи файлів: pod, том, мережа, зображення та kube. [Pods](https://docs.podman.io/en/latest/markdown/podman-systemd.unit.5.html#pod-units-pod), наприклад, можна використовувати для групування контейнерів – згенерованого systemd служби та їхні залежності (створити pod перед контейнерами) автоматично керуються systemd. diff --git a/docs/guides/security/openvpn.uk.md b/docs/guides/security/openvpn.uk.md new file mode 100644 index 0000000000..c7687748f7 --- /dev/null +++ b/docs/guides/security/openvpn.uk.md @@ -0,0 +1,292 @@ +--- +title: OpenVPN +author: Joseph Brinkman +contributors: Steven Spencer +tested_with: 9.4 +tags: + - безпека + - vpn +--- + +## Вступ + +[OpenVPN](https://openvpn.net/) — це безкоштовна віртуальна приватна мережа (VPN) із відкритим кодом. Ця стаття допоможе вам налаштувати OpenVPN з інфраструктурою відкритих ключів X509 (PKI). Для цього посібника потрібна система Rocky Linux із загальнодоступною IP-адресою, оскільки OpenVPN працює за моделлю клієнт/сервер. Найпростіший спосіб досягти цього — розгорнути віртуальний приватний сервер (VPS) через хмарного постачальника за вашим вибором. На момент написання статті Google Cloud Platform пропонує безкоштовний рівень для своїх екземплярів e2-micro. Якщо ви шукаєте найпростіше налаштування OpenVPN за допомогою VPN типу «точка-точка» (p2p) без PKI, зверніться до [Static Key Mini-HOWTO](https://openvpn.net/community-resources/static-key-mini-howto/). + +## Передумови та припущення + +Мінімальні вимоги до цієї процедури: + +- Можливість запускати команди від імені користувача root або використовувати `sudo` для підвищення привілеїв. +- Система Rocky Linux із загальнодоступною IP-адресою + +## Встановлення OpenVPN + +Встановіть репозиторій Extra Packages for Enterprise Linux (EPEL): + +```bash +sudo dnf install epel-release -y +``` + +Встановлення OpenVPN: + +```bash +sudo dnf install openvpn -y +``` + +## Налаштування центра сертифікації + +Встановлення easy-rsa: + +```bash +sudo dnf install easy-rsa -y +``` + +Створіть каталог `easy-rsa` в `/etc/openvpn`: + +```bash +sudo mkdir /etc/openvpn/easy-rsa +``` + +Створіть символічне посилання на файли easy-rsa: + +```bash +sudo ln -s /usr/share/easy-rsa /etc/openvpn/easy-rsa +``` + +Змініть каталог на `/etc/openvpn/easy-rsa`: + +```bash +cd /etc/openvpn/easy-rsa +``` + +Запустіть сценарій `easyrsa` з параметром `init-pki`, щоб ініціалізувати PKI центру сертифікації: + +```bash +sudo ./easy-rsa/3/easyrsa init-pki +``` + +Запустіть сценарій `easyrsa` з параметрами `build-ca` і `nopass`, щоб створити центр сертифікації без пароля: + +```bash +sudo ./easy-rsa/3/easyrsa build-ca nopass +``` + +## Створення сертифікатів + +Запустіть сценарій `easyrsa` з параметрами `gen-req` і `nopass`, щоб створити сертифікат сервера без пароля: + +```bash +sudo ./easy-rsa/3/easyrsa gen-req server nopass +``` + +Запустіть сценарій `easyrsa` з параметрами `sign-req` і `server`, щоб підписати сертифікат сервера: + +```bash +sudo ./easy-rsa/3/easyrsa gen-req server server +``` + +!!! Note "Примітка" + +``` +Ви можете повторити наведені нижче кроки стільки разів, скільки потрібно для додаткових клієнтів. +``` + +Запустіть сценарій `easyrsa` з параметрами `gen-req` і `nopass`, щоб створити клієнтські сертифікати без пароля: + +```bash +sudo ./easy-rsa/3/easyrsa gen-req client1 nopass +``` + +Запустіть сценарій `easyrsa` з параметрами `sign-req` і `client`, щоб підписати клієнтські сертифікати без пароля: + +```bash +sudo ./easy-rsa/3/easyrsa sign-req client client1 +``` + +OpenVPN вимагає параметрів Diffie Hellman. Виконайте цю команду, щоб згенерувати їх: + +```bash +sudo ./easy-rsa/3/easyrsa gen-dh +``` + +## Налаштування OpenVPN + +Після завершення створення PKI настав час налаштувати OpenVPN. + +Скопіюйте файл зразка `server.conf` до `/etc/openvpn`: + +```bash +sudo cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn +``` + +Використовуйте обраний редактор, щоб відкрити та записати в `server.conf`: + +```bash +sudo vim /etc/openvpn/server.conf +``` + +Далі потрібно додати шляхи до файлів центру сертифікації, сертифіката сервера та ключа сервера до файлу конфігурації сервера OpenVPN. + +Скопіюйте та вставте шляхи до файлів для ключів і сертифікатів у рядках 78-80: + +!!! Note "Примітка" + +``` +У Vim ви можете додати номери рядків до вашого поточного редагування за допомогою `:set nu` +``` + +```bash +ca /etc/openvpn/easy-rsa/pki/ca.crt +cert /etc/openvpn/easy-rsa/pki/issued/server.crt +key /etc/openvpn/easy-rsa/pki/private/server.key # This file should be kept secret +``` + +Скопіюйте та вставте шлях до файлу Diffie Hellman у рядок 85 зразка файлу `server.conf`: + +```bash +dh /etc/openvpn/easy-rsa/pki/dh.pem +``` + +OpenVPN використовує SSL за замовчуванням, але за бажанням може використовувати TLS. Цей посібник використовує SSL. + +Закоментуйте значення пари ключів `tls-auth ta.key` у рядку 244: + +```bash +#tls-auth ta.key 0 # This file is secret +``` + +Збережіть перед закриттям `server.conf`. + +## Налаштування брандмауера + +OpenVPN за замовчуванням працює на порту UDP 1194. Ви будете використовувати `firewalld`, щоб дозволити трафіку OpenVPN надходити на сервер. + +Встановлення `firewalld`: + +```bash +sudo dnf install firewalld -y +``` + +Увімкнення `firewalld`: + +```bash +sudo systemctl enable --now firewalld +``` + +Дозвольте OpenVPN через брандмауер, додавши його як службу: + +```bash +sudo firewall-cmd --add-service=open-vpn --permanent +``` + +Увімкніть трансляцію мережевих адрес (NAT) і приховайте публічні IP-адреси клієнтів, додавши правило маскараду до брандмауера: + +```bash +sudo firewall-cmd --add-masquerade --permanent +``` + +Перезавантажте брандмауер: + +```bash +sudo firewall-cmd --reload +``` + +## Налаштування маршрутизації + +Дозвольте IP-переадресацію за допомогою такої команди: + +```bash +sudo sysctl -w net.ipv4.ip_forward=1 +``` + +## Запуск сервера OpenVPN + +Відповідно до [документації OpenVPN](https://openvpn.net/community-resources/how-to/#starting-up-the-vpn-and-testing-for-initial-connectivity), "найкраще спочатку запустити Сервер OpenVPN з командного рядка": + +```bash +sudo openvpn /etc/openvpn/server.conf +``` + +Після запуску OpenVPN натисніть `Ctrl + Z` і відправте завдання у фоновий режим: + +```bash +bg +``` + +## Налаштування та запуск клієнта + +Окрім сервера, для роботи потрібно встановити OpenVPN на всіх клієнтах. Установіть OpenVPN на клієнті, якщо ви ще цього не зробили: + +```bash +sudo dnf install openvpn -y +``` + +Створіть нові каталоги для зберігання ключів клієнта, сертифікатів і файлу конфігурації: + +```bash +sudo mkdir -p /etc/openvpn/pki` +``` + +Тепер скопіюйте ключі та сертифікати за допомогою безпечного транспортного засобу та помістіть їх у папку `/etc/openvpn/pki`. Це можна зробити за допомогою протоколів SFTP або SCP. Перегляньте посібник Rocky Linux [відкритий і закритий ключ SSH](https://docs.rockylinux.org/guides/security/ssh_public_private_keys/), щоб налаштувати доступ SSH. + +Це необхідні сертифікати та ключі, необхідні для конфігурації клієнта та їхніх шляхів до файлів на сервері: + +- ca.crt +- client1.crt +- client1.key + +Після збереження необхідних сертифікатів і ключів у `/etc/openvpn/pki` скопіюйте зразок файлу `client.conf` до `/etc/openvpn`: + +```bash +sudo cp /usr/share/doc/openvpn/sample/sample-config-files/client.conf /etc/openvpn +``` + +Відкрийте `client.conf` за допомогою редактора на ваш вибір: + +```bash +sudo vim /etc/openvpn/client.conf` +``` + +Зіставте шляхи файлів необхідних сертифікатів і ключів до файлу конфігурації клієнта. Ви можете зробити це, скопіювавши та вставивши рядки тексту в рядки 88-90 файлу зразка: + +```bash +ca /etc/openvpn/pki/ca.crt +cert /etc/openvpn/pki/client1.crt +key /etc/openvpn/pki/client1.key +``` + +Вам також потрібно буде встановити ім’я хоста або IP-адресу сервера. Ви можете залишити стандартний UDP-порт 1194. У файлі зразка це в рядку 42: + +```bash +remote server 1194 +``` + +Збережіть перед виходом з `client.conf`. + +Запустіть OpenVPN на клієнті: + +```bash +sudo openvpn /etc/openvpn/client.conf +``` + +Після запуску OpenVPN натисніть `Ctrl + Z` і відправте завдання у фоновий режим: + +```bash +bg +``` + +Виконайте команду нижче, щоб переглянути завдання, що виконуються у фоновому режимі: + +```bash +jobs +``` + +Надішліть тестовий пінг на сервер, за замовчуванням його приватна адреса `10.8.0.1`: + +```bash +ping 10.8.0.1 +``` + +## Висновок + +Тепер у вас має бути запущений власний сервер OpenVPN! За допомогою цієї базової конфігурації ви забезпечили приватний тунель для зв’язку ваших систем через ширший Інтернет. Однак OpenVPN можна налаштувати, і цей посібник залишає багато чого для уяви. Ви можете глибше вивчити OpenVPN, відвідавши їхній [веб-сайт](https://www.openvpn.net). Ви також можете дізнатися більше про OpenVPN прямо у вашій системі - `man openvpn` - за допомогою сторінки довідки.