Ubuntu munkaállomás telepítése (16.04 LTS Xenial Xerus)

A AdminWiki wikiből

Ez a lap egy szokványos irodai munkaállomás telepítését mutatja be Ubuntu 16.04 LTS (Xenial Xerus) disztribúcióval.

Tartalomjegyzék

Házirend

Elméleti szakasz, nyugodtan átléphető, amennyiben csak telepítési checklistként használjuk ezt a leírást.

Részletesen lásd: Ubuntu munkaállomás házirendje

Alaptelepítés

Az alaptelepítés a hardware-nek megfelelő Live CD-ről, biztonságos helyi hálózaton, tűzfalon keresztül az Internetre kapcsolódva történjék. Az alábbi leírásban feltételezzük, hogy a gép merevlemeze üres.

Telepítő médium (CD/DVD) behelyezése, boot.

  • Welcome: magyar nyelv, Az Ubuntu telepítése.
  • Előkészítés: ha felismeri az Ethernet kapcsolatot, Frissítések letöltése telepítés közben - igen, Harmadik féltől származó szoftverek telepítése - igen.
  • Telepítés típusa: üres lemez esetén Merevlemez törlése és Ubuntu telepítése (jóváhagyást kér), egyébként TODO!
  • Időzóna: Budapest (OK, egzotikus gépeket kivéve :-))
  • Billentyűzet: a (magyar) kiosztás általában megfelel.
  • Kicsoda Ön: az UID: 1000 (sudo-képes, rendszergazda szerepű) felhasználót hozzuk itt létre - ha nem a végfelhasználó(k) üzemeltet(nek), legyen pl. Adminisztrátor (administrator/adminpass - gyenge jelszónak mondja, de egyelőre megfelel), értelmes gépnevet válasszunk. Saját mappa titkosítása nem kell.

Fájlmásolások után reboot, megtörténik az Ubuntu első indulása.

Közös beállítások

Ezeket a beállításokat sudo-képes adminisztrátorként bejelentkezve végezzük el (más felhasználó még nincs is).

Megjegyzés: amennyiben az alábbi ellenőrző listát a telepítés alatti gépen szeretnénk követni, érdemes már most beállítani a web böngészőt!

Dátum és idő beállítása

Super/Dash (Windows billentyű), Dátum..., dátumkezelő indítása.

  • Idő beállítása - ha nagyon eltérne, kézzel (perc pontossággal) állítsuk be, majd legyen Automatikusan az Internetről.

Alapértelmezésben az Ubuntu UTC szerinti rendszerórát használ, míg a Windows helyi idő szerintit. Ha a gépen mindkét operációs rendszer telepítve van, célszerűa Windowsban előírni a UTC használatát - ha ez valamiért nem kivihető, az Ubuntuban is megadható, hogy helyi idő szerintit használjon.

Meghajtóprogramok ellenőrzése

Az első bejelentkezés után ellenőrizzük, hogy minden hardver maghajtó települt-e, működik-e (legalább hálózati kapcsolat legyen, TODO!).

Hardver komponensek lekérdezése terminál hívása (CTRL-ALT-T) után:

sudo lshw -html > Asztal/hardware.html

A generált oldalt web böngészőben megtekintve, tájékozódhatunk a (felismert) hardver komponensekről. Az esetlegesen zárt forrású illesztőprogramot igénylő komponenseket a Super/Dash (Windows billentyű), driver kereséssel előhívható Szoftver és frissítések, További illesztőprogramok listájában ellenőrizhetjük (ehhez ugyanitt, az Ubuntu szoftverek fülön a restricted és multiverse tárolóknak engedélyezve kell lenniük - ez az alapértelmezés).

Video problémák

Az Ubuntu általában jól felismeri a videókártyákat, a Unity 3D-nek azonban követelményei vannak, ezek nélkül a Unity 2D-ben indul el (ami kb. olyan, mint a Windows 7 Aero nélkül - legbosszantóbb számomra, hogy az ikonméretek nem csökkenthetőek a böszme nagy 48x48px-ről).

Üzemmód azonosítása terminál hívása (CTRL-ALT-T) után:

 echo $DESKTOP_SESSION              # ubuntu = 3D, ubuntu-2d = 2D
/usr/lib/nux/unity_support_test -p  # Megmondja, mit hiányol a hardware-ben

TODO!

WiFi problémák

TODO!

Nyelvi támogatás ellenőrzése

Csak akkor kell elvégezni, ha a telepítés során nem volt hálózati (Internet) kapcsolat, és emiatt a magyar nyelvű felhasználói felület hiányosan települt (erre az első indítás során üzenet is figyelmeztet). Ehhez a Super/Dash (Windows billentyű), lang kereséssel hívjuk elő a Nyelvi támogatás beállítását, és itt pótoljuk a hiányzó, magyar nyelvi csomagokat. A beállítás a következő újraindításkor lép életbe.

Frissítések beállítása

Super/Dash (Windows billentyű), Frissítés..., Frissítéskezelő indítása.

  • Beállítások, Egyéb szoftverek fülön a partnereknek szóló szoftvercsomagokat is pipáljuk ki.
  • Frissítések fülön Ha biztonsági frissítések vannak: Automatikus letöltés és telepítés, Ha más frissítések vannak: Megjelenítés azonnal, Bezárás.

Lehet, hogy többszörös újraindítás szükséges - akkor vagyunk készen, ha a Frissítéskezelő szerint már nincs több frissítés.

Csomagszűrő tűzfal beállítása

A csomagszűrő tűzfal a hálózati forgalmat csak a forgalmi adatok (a használt protokoll, a küldő és fogadó IP címe és port száma) szerint osztályozza, a csomagok tartalmába nem tekint bele. Ez a szűrés kevéssé erőforrás-igényes, használata kötelező.

A Linux kernel alapértelmezésben tartalmazza a Netfiltert, illetve települ az iptables, így a csomagszűrés technikai feltételei adottak. Alapértelmezetten a Netfilter csomagszűrő szabályai üresek, és a policy-k megengedőek - CTRL-ALT-T (terminál hívása) után az alábbi paranccsal megnézhetjük az érvényben lévő (üres) szabályokat:

sudo iptables -n -L

A tűzfal parancssori konfigurálása helyett a GUFW - Gnome Uncomplicated FireWall egy nagyon egyszerű grafikus felületet ad a Netfilter tűzfal szabályok kezelésére. Telepítsük a GUFW csomagot:

sudo apt-get install gufw python-gobject  # jelenleg hiányzó függőség, ld. pl. http://ubuntuforums.org/showthread.php?t=2218506

és a Super/Dash (Windows billentyű), gufw kereséssel indítsuk el a tűzfal beállítások grafikus felületét (jelszót kér)!

A GUFW alapértelmezésben három, legördülő menüből választható beállításkészletet (profilt) kínál (Home, Office és Public), ezek közül a Home profilban a tűzfal egyszerűen ki van kapcsolva. Kapcsoljuk be a tűzfalat itt is, majd váltsunk Office állásba - az esetek többségében ez a profil megfelelő lesz. Ezután a profil alapértelmezett tűzfalszabályai azonnal érvényesek lesznek, amint azt a korábbi parancssorral ellenőrizhetjük:

sudo iptables -n -L | less

Most már bezárhatjuk a grafikus felületet, arra csak a tűzfalszabályok esetleges módosításakor van szükség.

A csomagszűrő tűzfal kezelésének delegálása

A GUFW elindítása alapértelmezésben egy Policy Kit bejegyzéssel adminisztratív (sudo-képes, Ubuntu rendszergazda) felhasználó authentikációjához kötött. Hasznos lehet a tűzfalszabályok módosítását közönséges felhasználóknak is megengedni. Ehhez hozzunk létre egy Linux system group-ot azon felhasználók számára, akiknek engedélyezni fogjuk a GUFW kezelőfelület használatát, és vegyük fel legalább az adminisztrátor (1000) felhasználót ebbe a csoportba:

sudo addgroup --system gufw
sudo adduser administrator gufw

Ezután készítsünk egy overlay állományt, amiben engedélyezzük a GUFW elindítását ezen csoport tagjai számára:

sudo nano /etc/polkit-1/localauthority/50-local.d/10-gufw.pkla

Szerkesszük meg az alábbiak szerint:

[gufw group permissions]
Identity=unix-group:gufw
Action=com.ubuntu.pkexec.gufw
ResultAny=no
ResultInactive=no
ResultActive=yes

A szabálymódosítás azonnal érvényesül; gyorstesztként a Launcher ikonnal indítsuk el a tűzfal kezelőfelületét, amely jelszó kérése nélkül fog megnyílni.

A csomagszűrő tűzfal naplózásának leválasztása

Alapértelmezésben az ufw (esetleg igen terjedelmes) naplóbejegyzései a saját naplóján (/var/log/ufw.log) kívül a kern.log és syslog naplókba is bekerülnek. Célszerűnek tűnik ezt megszüntetni - ehhez szerkesszük meg a maintainer által biztosított /etc/rsyslog.d/20-ufw.conf állományt, és a legvégén távolítsuk el a #-et az & stop bejegyzés elől:

[...]

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
& stop

A beállítás az rsyslog újraindításával érvényesíthető:

sudo systemctl restart rsyslog

Gyorsteszt: TODO!

Felhasználók csoportjogainak beállítása

Néhány rendszerszintű szolgáltatás hozzáférésének engedélyezése (authorizációja) annak alapján történik, hogy a felhasználó tagja-e az adott szolgáltatás számára dedikált Linux csoportnak. A Házirendben részletezett Ubuntu alapértelmezéseket (megfontolás után!) érdemes lehet felülbírálni.

Policy Kit beállítások módosítása

TODO!

adduser.conf beállítása

Az adduser konzol parancs egy Perl script (azaz wrapper a useradd ELF bináris paraméterezésére), amely alapbeállításait a /etc/adduser.conf állományból veszi. Jelenleg a Gnome 3 (Felhasználói fiókok) widgetje(?) ezt a parancsot hívja, így ha a felhasználókat ezzel szeretnénk létrehozni, CTRL-ALT-T (terminál hívása) után a fenti beállító állományt kell módosítanunk:

sudo nano /etc/adduser.conf # Editor hívása

Megjegyzés: ha már erre járunk, a felhasználói név ellenőrzésére szolgáló, de ebben a kiadásban hibás(!) szabályos kifejezést (NAME_REGEX) javítsuk ki, és engedélyezzük a névben a pont használatát is (vezeteknev.keresztnev alak):

-rw-r--r-- root root /etc/adduser.conf

[...]

# This is the list of groups that new non-system users will be added to
# Default:
#EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users"
EXTRA_GROUPS="adm cdrom dialout dip lpadmin netdev plugdev sambashare"

# If ADD_EXTRA_GROUPS is set to something non-zero, the EXTRA_GROUPS
# option above will be default behavior for adding new, non-system users
ADD_EXTRA_GROUPS=1

[...]

# check user and group names also against this regular expression.
#NAME_REGEX="^[a-z][-a-z0-9_]*\$"
NAME_REGEX="^[a-z][-a-z0-9_.]*$"

A konzisztencia érdekében érdemes ezt a beállítást akkor is megcsinálni, ha szokásosan más eszközt használunk a felhasználók létrehozatalára.

Home könyvtárak elrejtése

Az Ubuntu alapértelmezésben nem izolálja a felhasználók home könyvtárait, vagyis mindenki minden home-ba belelát. Emellett az umask alapbeállítása 022 (azaz minden mappa és fájl, amit külön nem védtek meg, other's readable beállítással jön létre). Fentiek azt eredményezik, hogy egy egyszerű vendég munkamenetet indítva bárkinek dokumentumai, levelezése, Skype naplója, stb. elolvashatóak, kimásolhatóak - ez valószínűleg nem helyes.

A hivatalos álláspont szerint elegendő a home könyvtárakon elvenni az others minden jogát, így idegen sem belenavigálni, sem beleolvasni nem fog tudni - CTRL-ALT-T (terminál hívása) után:

chmod o-rwx ~                                               # saját home elrejtése
                                                            # Teszteljünk:
sudo su nobody -s /bin/bash -c "ls -la /home"               # a könyvtár látszik
sudo su nobody -s /bin/bash -c "ls -la /home/administrator" # de a tartalma nem

Tegyük alapértelmezetté ezt a beállítást (drwxr-x--- jogosultság) a későbbiekben létrehozandó felhasználók home könyvtáraira (vajon miért nem ez az alapbeállítás?):

sudo nano /etc/adduser.conf # editor hívása
-rw-r--r-- root root /etc/adduser.conf

[...]
# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0750

[...]

Megjegyzés: paranoidabb megközelítéssel el lehetne venni a home-on belül is minden állománytól az other's jogokat és 027-re lehetne állítani a default umask értéket (kivéve root, mint a Debian szerver házirendben) - TODO!

Általános indítási- és bejelentkezési beállítások

Memtest tiltása a GRUB menüben

Opcionális beállítás; ha valakit zavar a két memtest sor a multiboot rendszerindításkor megjelenő GRUB menüben, azokat pl. az alábbi módon tilthatja le - CTRL-ALT-T (terminál ablak hívása) után:

sudo chmod a-x  /etc/grub.d/20_memtest86+ # ha elvesszük az execute jogot, nem fut le
sudo update-grub

A beállítás a következő újraindításkor lép életbe.

Vendég munkamenet tiltása

A vendég munkamenet lényegesen jobb megoldás, mint ha valakit a saját bejelentkezésünkkel átengedett gépen hagyunk dolgozni, viszont a vendég minden other's read beállítású állományt olvashat, és az Ubuntu alapbeállításaival a legtöbb mappa és fájl, amit külön nem védtek meg, other's readable. Személyes használatú gépen megfontolandó a vendég belépés letiltása (elrejtett home könyvtárak esetén is).

Ehhez opcionálisan, de javasoltan módosítsuk a LightDM beállításait - CTRL-ALT-T (terminál hívása) után készítsünk egy include konfigurációs állományt allow-guest=false előírással:

 sudo sh -c 'printf "[Seat:*]\nallow-guest=false\n" >/usr/share/lightdm/lightdm.conf.d/50-no-guest.conf'

A beállítás a következő újraindításkor lép életbe, ekkor már nem lehet vendég munkamenettel bejelentkezni.

Bejelentkezési képernyő beállításai

Opcionális beállítás; ha valakit zavar a rendszerindítási hangjelzés (dobverés), illetve a "pöttyös" bejelentkezési képernyő, azt az alábbi tweak-kel tilthatja le - CTRL-ALT-T (terminál ablak hívása) után:

sudo xhost +SI:localuser:lightdm
sudo su lightdm -s /bin/bash
gsettings set com.canonical.unity-greeter play-ready-sound false
gsettings set com.canonical.unity-greeter draw-grid false
exit

A beállítás a következő újraindításkor lép életbe.

Harmadik féltől származó programok könyvtárai

Az Ubuntu jelenlegi (FHS kompatibilis) házirendje szerint a manuálisan (nem csomagkezelővel, hanem pl. tarball-ból kibontva), a helyi gépen, rendszerszinten (minden jogosult felhasználó számára elérhetően) telepített, a Gnome alatt futó, 3rd party alkalmazások

  • kódállományait a /usr/local/share alatti, egyedi alkalmazáskönyvtárba;
  • programindítóit (parancsikonjait, a .desktop állományokat) a /usr/local/share/applications könyvtárba;
  • alkalmazásikonjait (a képállományokat) a /usr/local/share/pixmaps könyvtárba kell telepíteni.

Az így telepített programok a Gnome (Classic) menuben automatikusan megjelennek, illetve azokat a Dash alkalmazásként felismeri és megtalálja.

A fenti könyvtárakból, az Ubuntu telepítése után csak a /usr/local/share létezik, a másik kettőt, CTRL-ALT-T (terminál ablak hívása) után, már most érdemes elkészítenünk:

sudo mkdir -m 755 /usr/local/share/applications /usr/local/share/pixmaps

Alapvető segédprogramok

Háttérprogramok, amelyek valószínűleg minden felhasználónak szükségesek, illetve megkönnyítik az Ubuntu karbantartását.

Classic menu indicator

A Unity filozófiája szerint alkalmazásainkat a Launchpadről vagy Dash kereséssel érjük el, a klasszikus Gnome menü nem áll rendelkezésre. A PPA-ból (personal package archive) elérhető Classic menu indicator az indikátor területen elhelyez egy ikont, amelyet megkattintva a klasszikus menü előhívható. Érdemes ezt már most telepíteni.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-add-repository ppa:diesch/testing # fogadjuk el
sudo apt-get update
sudo apt-get install classicmenu-indicator

Ki- és bejelentkezés után a menü indikátor megjelenik, és (szerintem) egyszerűbbé teszi az életet :-).

Rendszerterhelés indikátor

A hardver aktuális terhelését (pl. CPU load, sávszélesség, foglalt memória, stb.) jelző grafikonokat jelenít meg az indikátor területen (hasznos, ha legalább a CPU és hálózati forgalom grafikonok szem előtt vannak pl. a gép hirtelen lelassulása esetén). Az alábbi paranccsal csak telepítjük az eszközt, amit ezután ki-ki magának bekapcsolhat.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install indicator-multiload

Compiz, Gnome és Unity tweakerek

Ezeket az eszközöket parancssorból telepítjük, mert nem szükséges ikonokat elhelyezni a Launcheren.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install compizconfig-settings-manager dconf-editor unity-tweak-tool # + függőségek

Java runtime engine

Opcionális, de javasolt telepítés (pl. az ABEVJava adóbevallási keretprogram általános elterjedtsége miatt). A legegyszerűbb megoldásnak a default-jre engine és az icedtea-plugin telepítése tűnik, amely jelenleg OpenJDK-JRE 8-at telepít.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install default-jre icedtea-plugin # engine és Firefox plugin, sok függőség!
  • Gyorsteszt: Java teszt az APEH oldalán.
  • Gyorsteszt: parancssorban java -version

Ha az eredeti Sun/Oracle JRE-t szeretnénk telepíteni, letölthetjük disztribúciófüggetlenül az Oracle Technetwork webhelyéről, illetve Ubuntu PPA-ból. Utóbbiról ezt a cikket találtam, de mindkét megadott repository JDK-t (és nem csak JRE-t) tartalmaz: TODO!

Médialejátszó támogatás

Az elterjedt média formátumok lejátszása meglehetősen sok támogatást igényel - ezek eszközeit és programkönyvtárait telepíthetjük külön-külön, vagy használhatunk előre összeállított gyűjteményeket. Az ebben a leírásban használt ubuntu-restricted-extras gyűjtemény a következő eszközöket tartalmazza:

  • Adobe Flash player plugin;
  • MP3 és egyéb audio formátumok támogatása (GStreamer plugins);
  • LAME encoder;
  • Microsoft betűkészletek [az installer a fontokat a SourceForge-ról tölti le).

Telepítsük a gyűjteményt CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install ubuntu-restricted-extras  # nagyon sok függőség!

A kereskedelemben kapható DVD filmek lejátszásához szükség van továbbá a CSS titkosítást visszafejtő könyvtárra is. Az Ubuntu terjesztés csomagként ilyet nem tartalmaz, ehelyett a VideoLAN libdvd könyvtár helyben, forrásból történő újrafordításához biztosít automata eszközt. Telepítsük ezt:

sudo apt-get install libdvd-pkg   # + függőségek

A telepítő kérdésére engedélyezzük a későbbi, automatikus frissítéseket is. Ha a telepítő scriptnek valamiért nem sikerülne a fordítás, azt a

sudo dpkg-reconfigure libdvd-pkg  # Csak ha a telepítés hibát jelzett volna!

paranccsal próbálhatjuk újra. Siker esetén teszteljük egy gyári DVD videónak az alapértelmezett Videók alkalmazással történő lejátszását (működnie kell)!

Tömörítőprogramok támogatása

TODO!

sudo apt-get install p7zip-full p7zip-rar

WINE

Futtatókörnyezet Windows programok számára. Opcionális telepítés, amely (a Windows platformra írt malware-ek futtathatósága miatt) biztonsági kockázatot jelent - csak akkor telepítsük, ha valóban szükség van natív Windows alkalmazások futtatására!

Megjegyzés: noha a Wine kitűnő szoftver (respect!), amit lehet, érdemes natív Linux alatt megoldani.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install cabextract wine # + rengeteg Perl függőség, Samba szerver(!), könyvtárak, true-type fontok

A telepítés felmásolja a szükséges binárisokat, de nem alakít ki egyetlen futtató környezetet sem, mivel az Ubuntuban alkalmazott gyakorlat szerint minden Linux felhasználónak a ~/.wine alatt önálló Windows futtató környezete van (Wine szóhasználattal bottle), és ezek egymástól teljesen függetlenek.

Az alapvető segédprogramok telepítése után érdemes újraindítani a munkaállomást.

Védelmi szoftverek

  • A Linux kernel alapértelmezetten tartalmaz csomagszűrő funkciókat, amelyeket a fentiekben már aktiváltunk.
  • Szükség lehet a rosszindulatú programtevékenységet figyelő és megakadályozó (antimalware, köznyelven: víruskereső) megoldásra. A Windows környezetben megszokott, a háttérben állandóan futó, minden fájlhozzáféréskor ellenőrzést végző, on-access antimalware erőforrás-igényes funkció; mivel a natív (desktop) Linux programok, alkalmazások még mindig lényegesen kevésbé támadottak, mint a natív Windows programok, ezért a jelen leírásban a következő, kompromisszumos elveket követjük:
    • Amennyiben a gépre telepítettük a WINE-t, kötelezően telepítünk on-access antimalware megoldást.
    • Amennyiben a gép natív Windows programokat nem futtat, viszont erőforrásai elbírják, opcionálisan, de javasoltan telepítünk on-access antimalware megoldást az esetleges platform-független támadások kivédésére.
    • Amennyiben a gép kifejezetten szűkös (CPU, RAM) erőforrásokkal rendelkezik, az on-access antimalware megoldást mellőzhetjük.
  • TODO!

Azonos célra csak egy szoftvert telepítsünk! A konkrét szoftver kiválasztásánál vegyük figyelembe az aktuális Linux és Windows fenyegetések elleni teszteredményeket (pl. innen egy összehasonlító táblázat). Elsősorban a Windows elleni fenyegetésekre koncentráljunk, itt legalább 99%-os eredményt várjunk el.

Sophos Antivirus for Linux (ingyenes változat)

Ingyenesen, mindössze egy email cím megadása ellenében letölthető és használható megoldás, amely on-access és on demand szkennelésre is használható.

  • Python alapú, standalone megoldás, amely magával hozza és a /opt/sophos-av/ alá telepíti összes komponensét és könyvtárát.
  • Az on-access értesítésekre kernel modult használ, amelyet helyben lefordít. TODO: az Ubuntu kernelben alapértelmezetten engedélyezett Fanotify használata, a Talpa kernel modul telepítéskori lefordítása nélkül.
  • Alapértelmezetten automatikusan, óránként ellenőrzi a program- és szignatúra frissítéseket.
  • Alapértelmezetten visszaküldi a használati statisztikát(?) a Sophosnak, ez azonban letiltható.

Sophos AV telepítés

A Sophos Antivirus az Ubuntu terjesztésnek jelenleg nem része, így webhelyéről töltsük le a telepítőkészletet, és a tarball kicsomagolása és CTRL-ALT-T (terminál ablak hívása) után, a kicsomagolt mappába belépve, indítsuk el a (parancssoros) telepítő scriptet:

sudo ./install.sh 
  • olvassuk el és fogadjuk el a licencet;
  • az alapértelmezett /opt/sophos-av célkönyvtár megfelelő;
  • on-access keresés szükséges (y);
  • az automatikus frissítést adja a Sophos (s), ingyenes változatot fogunk használni (f), (általában) nem használunk proxy-t a web eléréséhez (n).

Ezután a telepítő lefut, és el is indítja a Sophos AV-t.

  • Kérjünk egy teljes frissítést (ha nem tennénk, kb. egy órán belül automatikusan is megtörténne):
sudo /opt/sophos-av/bin/savupdate
  • Ellenőrizzük a frissítést a naplóban:
sudo /opt/sophos-av/bin/savlog --today  # Csak a mai események a /opt/sophos-av/log/savd.log állományból

Sophos AV beállítások

  • Kapcsoljuk ki az alapértelmezett levélküldést a Sophos AV eseményekről (egyrészt desktop gép esetén, azonnali riasztásra a popup ablakok hatékonyabbak; másrészt, mivel nem telepítettünk helyi levélküldő MTA szerverprogramot, a levélküldés amúgy sem sikerülne):
sudo /opt/sophos-av/bin/savconfig set EmailNotifier disabled    # Minden email riasztás kikapcsolva
sudo /opt/sophos-av/bin/savconfig set SendThreatEmail disabled  # On-access vírustalálat email riasztás kikapcsolva
sudo /opt/sophos-av/bin/savconfig set SendErrorEmail disabled   # On-access hiba email riasztás kikapcsolva
sudo /opt/sophos-av/bin/savconfig set EmailDemandSummaryIfThreat disabled  # Manuális vizsgálat vírustalálat email kikapcsolva
  • Opcionálisan kikapcsolhatjuk a Sophos Live Protection szolgáltatást (amely, ha gyanúsnak tart egy állományt, de helyben nem tudja malware-ként azonosítani, feltölti annak jellemzőit a Sophoshoz, és felhőbeli azonosítást kér). Hacsak nincs rá különös okunk, kikapcsolása általában nem javasolt!
sudo /opt/sophos-av/bin/savconfig set LiveProtection false   # Felhőbeli azonosítás kikapcsolva (nem javasolt!)
  • Opcionálisan kikapcsolhatjuk a névtelen visszajelzések heti egy alkalommal, a Sophosnak történő elküldését:
sudo /opt/sophos-av/bin/savconfig set DisableFeedback false  # Visszajelzés kikapcsolva
  • Ellenőrizzük az on-access vizsgálatot - a szokásos böngészőnkkel töltsük le az EICAR tesztállomány néhány változatát, és ellenőrizzük, hogy azonnal megjelenik-e a figyelmeztető üzenet!
  • TODO!

Sophos AV irodalom

Alapvető alkalmazások

Olyan felhasználói programok (vagy ezek kiegészítői), amelyek minden felhasználó számára hasznosak lehetnek.

Kétpaneles fájlkezelő

A Nautilus fájlkezelő felülete mellett legalább egy kétpaneles fájlkezelőt opcionális, de javasolt telepíteni.

Midnight Commander

Klasszikus, terminálban futó fájlkezelő; telepítése CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install mc # + függőségek

Gnome Commander

Grafikus felületű fájlkezelő; telepítése CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install gnome-commander

Optikai lemez kezelők

Noha a CD és DVD optikai adathordozók használata lassan visszaszorul, ezek támogatása jelenleg még szükségesnek tűnik.

CD-DVD készítő

Az Ubuntu 16.04 alapértelmezett telepítése már nem tartalmazza a Gnome korábbi CD-DVD készítő alkalmazását (Brasero), ezt érdemes manuálisan telepíteni (jobbat keresni: TODO!).

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install brasero  # minimális függőségek

Lemezkép csatoló

Opcionális telepítés, a különböző lemezkép fájlok (.iso, .nrg, .mdf, stb.) csatolásához szükséges.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install furiusisomount # + függőségek

Titkosító eszközök

Thunderbird levéltitkosítás plugin

Végpontok (levelezőprogramok) közötti email titkosításra szolgál; opcionális, de ajánlott telepítés - manapság szükségesnek tűnik a titkosított levelezés és elektronikus aláírás lehetőségének megteremtése.

CTRL-ALT-T (terminál ablak hívása) után:

sudo apt-get install enigmail

Megjegyzés: a függőségek (GPG) miatt érdemes az Enigmailt csomagból telepíteni, és nem egyénenként, a Thunderbird kiterjesztéskezelőjével.

VeraCrypt

Helyi tárterület titkosítására szolgáló megoldás. Hordozható (elveszthető, ellopható) gépen szenzitív adatokat mindenképpen célszerű titkosítva tárolni, ezért ilyen gépen - egyéb megoldás hiányában - kötelező; helyhez kötött és őrzött munkaállomás esetében opcionális telepítés.

A VeraCrypt lehetővé teszi titkosított (a felhasználói munkamenet elején jelszóval "kinyitható") mappák (tágabb értelemben meghajtók, blokkeszközök) használatát. Egy VeraCrypt-tel titkosított mappa a fájlrendszerben egyetlen, konténer állományként mutatkozik, ami egyben másolható, menthető anélkül, hogy tartalma ennek során megismerhetővé válna. A VeraCrypt használata mellett szól, hogy ingyenes és open source, valamint létezik MacOS és Linux platformra is, vagyis egy elmentett VeraCrypt konténer gyakorlatilag mindenütt felcsatolható.

A VeraCrypt a TrueCrypt projekt (egyik) utóda; elődjének fejlesztését (nem teljesen világos körülmények között) 2014-ben befejezték. A TrueCrypt-et az NSA botrány kapcsán közösségi kezdeményezésre auditálták, ennek kapcsán nem derült fény backdoor-ra vagy biztonsági problémára - a VeraCrypt, mint utód mellett és ellene egyaránt lehet érvelni (magunk részéről a jelen leírásban mellette foglalunk állást).

A VeraCrypt nem szerepel az Ubuntu repositoryban, így azt a honlapjáról letöltött tarball-ból, vagy PPA-ból telepíthetjük. Utóbbihoz CTRL-ALT-T (terminál ablak hívása) után:

sudo add-apt-repository ppa:unit193/encryption  # fogadjuk el a hozzáadást
sudo apt-get update
sudo apt-get install veracrypt dmsetup          # + egyéb függőségek

A VeraCryptnek a kötetek csatolásához root joggal kell rendelkeznie, így alapértelmezésben csak sudo-képes felhasználó (Ubuntu rendszergazda) tudja használni, és a kötet csatolásakor a kötet jelszava mellett a saját jelszavát is meg kell adnia. Ezek elkerülésére hozzunk létre egy Linux system group-ot azon felhasználók számára, akiknek engedélyezni fogjuk a VeraCrypt használatát, és vegyük fel legalább az adminisztrátor (1000) felhasználót ebbe a csoportba:

sudo addgroup --system veracrypt
sudo adduser administrator veracrypt

Ezután a sudoers-ben írjuk elő, hogy a veracrypt group tagjai root-ként, jelszó nélkül indíthassák a VeraCryptet:

sudo visudo # editor hívása

Az így megszerkesztett /etc/sudoers-ben írjuk a legvégén lévő #include-ok elé:

[...]
# Users in the veracrypt group are allowed to run VeraCrypt as root.
%veracrypt ALL=(root) NOPASSWD:/usr/bin/veracrypt

A beállítás a legközelebbi újraindítás után lép életbe.

Chat és Internet telefon kliensek

Franz Messaging

Ez a relatív újkeletű alkalmazás közös kezelőfelületet biztosít számos, népszerű chat szolgáltatás - pl. Facebook Messenger, WhatsApp, Hangouts, Skype, stb. - számára. Technikailag egy elkülönítve települő Chromium browserbe integrált, portable megoldás, valamelyes korlátozásokkal a natív kliensekhez képest (pl. a Skype jelenleg csak szöveges üzenetkezelőként használható, hang- és videó hívásokra nem; az értesítések nem a Unity értesítések között jelennek meg, hanem külön felugró ablakok, stb.).

Opcionális, de javasolt telepítés, amennyiben a korlátozások a felhasználók számára elviselhetőek.

Az Ubuntu terjesztésben jelenleg nem szerepel (PPA-ban sem), így weboldaláról letöltve, tarball-ból telepíthetjük. Letöltés, és CTRL-ALT-T (terminál ablak hívása) után lépjünk be a letöltött tarball könyvtárába, és tartalmát csomagoljuk ki a /usr/local/share/Franz mappába:

cd Letöltések                                    # illetve, ahova letöltöttük
sudo mkdir /usr/local/share/Franz                # alkalmazás könyvtára
sudo tar xzvf Franz-linux-*.tgz -C /usr/local/share/Franz
sudo chown -R root:staff /usr/local/share/Franz  # jogosultságok

Készítsünk egy Gnome indító (.desktop) állományt az alkalmazás számára, amely így a Classic menüben is megjelenik majd - ehhez Franz.png névvel töltsünk le egy ikont, és helyezzük el azt a /usr/local/share/pixmaps könyvtárban:

cd Letöltések                                        # illetve, ahova letöltöttük
chmod 644 Franz.png; sudo chown root:root Franz.png  # jogosultságok
sudo mv Franz.png /usr/local/share/pixmaps/

Készítsük el magát a .desktop állományt:

sudo nano /usr/local/share/applications/Franz.desktop

Szerkesszük meg az alábbiak szerint:

[Desktop Entry]
Version=1.0
Name=Franz Messaging
Comment=Integrated messaging application
Exec=/usr/local/share/Franz/Franz
Icon=Franz.png
Terminal=false
Type=Application
Categories=Network;Application;

Gyorsteszt: az alkalmazásindító a Classic menu Internet menüpontjában megjelenik, és a Dash a Franz kereséssel alkalmazásként megtalálja.

Skype

Linux környezetben a Skype kliensprogram meglehetősen régi, mégis, jelenleg ez az egyetlen megoldás, amelyik a Skype audió- és videó szolgáltatásait is biztosítja. Sajnos csak 32 bites változatban érhető el, így 64 bites rendszerre telepítve függőségként kb. 400 MB(!) terjedelmű i386 könyvtárat hoz magával. Csak akkor telepítsük, ha a Skype audió- és videó szolgáltatásaira szükség van.

CTRL-ALT-T (terminál hívása) után:

sudo apt-get install skype  # 64 bites környezetben rengeteg függőség!

TODO!

Egyebek

LibreOffice Lightproof telepítése

Noha a LibreOffice irodai programcsomag alapértelmezetten települ, a magyar nyelvű nyelvtani elemző (kék hullámvonal) nem - ezt CTRL-ALT-T (terminál ablak hívása) után pótoljuk:

sudo apt-get install libreoffice-lightproof-hu

TODO!

Az alapvető alkalmazások telepítése után érdemes újraindítani a munkaállomást.

Felhasználónkénti beállítások

Ez a rész egy általános (nem sudo-képes, azaz nem rendszergazda) felhasználó felvételét és beállításait mutatja be. A beállításokat a telepítéskor felvett administrator (1000) számára is érdemes megcsinálni.

Felhasználó felvétele

Sudo-képes (1000) adminisztrátorként a Classic menu, Rendszereszközök, Adminisztráció, Felhasználói fiókok funkcióval vehetünk fel új felhasználót. Oldjuk fel a zárolást és a [+] ikonnal hozzunk létre egy Általános fiókot, kattintsunk a Jelszó melletti Fiók letiltva feliratra és engedélyezzük a fiókot.

A belépési jelszó tekintetében az alábbiakat vegyük figyelembe:

  • Rendszergazda (sudo-képes) felhasználót sose hagyjunk jelszó nélkül.
  • Az Ubuntu a felhasználó általános jelszavait - pl. a wifi jelszavakat - egy kulcskarikán (login keyring) titkosítva tárolja, és ennek feloldásához egy jelszót (passphrase) használ. Ezt a kulcskarikát az Ubuntu minden bejelentkezéskor(?) megpróbálja automatikusan feloldani a felhasználó aktuális bejelentkezési jelszavát használva. Ha ez nem sikerül, akkor amikor a kulcskarikához hozzá kell férni - pl. wifi csatlakozás esetén -, az Ubuntu megkérdezi a jelszót (jelszó nélküli bejelentkezés, illetve automatikus beléptetés engedélyezése esetén is ez történik). A kulcstartó jelszavának megkérdezését elkerülendő (kényelmi szempontból), célszerű vagy a login keyring jelszavát a felhasználó mindenkori bejelentkezési jelszavával azonosra állítani, vagy a kulcstartót üres jelszóval üzemeltetni (ez esetben az ezen tárolt jelszavak gyakorlatilag nincsenek titkosítva).

Ennek alapján nagyjából :-) a következőket tehetjük:

  • Jelszót adunk a felhasználónak (javasolt), és a gép átadásakor ezt, valamint a login keyring jelszavát is konzisztensen megváltoztattatjuk. Utóbbit a Classic Start menu, Rendszereszközök, Beállítások, Jelszavak és kulcsok eszközben a Jelszavak/Bejelentkezési mappára (kulcstartóra) jobbklikkelve lehet megtenni.
  • Nem adunk jelszót a felhasználónak, és az első kulcstartó használatkor a kulcstartónak sem. Ha a felhasználó nem használ belépési jelszót ("nagymama gép"), akkor ez így marad, egyébként átadáskor a felhasználóval konzisztens belépési- és kulcstartó jelszót állíttatunk be.

Ha a fentiekkel végeztünk, CTRL-ALT-T (terminál hívása) után ellenőrizzük a szükséges csoportba sorolásokat:

sudo groups [username] # A javasolt házirend esetén ezt a választ kell kapnunk:
[username] : [username] adm cdrom dialout dip lpadmin netdev plugdev [nopasswdlogin] sambashare

A hiányzó csoportba sorolásokat az alábbi paranccsal pótolhatjuk:

sudo usermod -a -G csoport1,csoport2,...,csoportN [username]

Ha a felhasználó jogosult a tűzfal szabályok módosítására, akkor vegyük fel őt a gufw csoportba is:

sudo usermod -a -G gufw [username]

Ha a VeraCrypt telepítve van, és a felhasználó használhatja a VeraCryptet, akkor vegyük fel őt a veracrypt csoportba is:

sudo usermod -a -G veracrypt [username]

Ezután jelentkezzünk be az adott felhasználó nevében.

Felhasználói alapbeállítások

Ezeket minden profilban (mind az adminisztrátoriban, mind a szokásos felhasználóiban) be kell állítani.

Launcher, Rendszerbeállítások

  • Biztonság és magánszféra: Keresés fülön online találatok megjelenítése ki (elég ellenőrizni, már ez az alapértelmezés), Diagnosztika fülön Rendszerinformációk küldése... KI.
  • Fényerő és zárolás: munkára használt gépnél érdemes kb. öt percre állítva bekapcsolni a zárolást és jelszót kérni a visszatéréskor (elég ellenőrizni, ez az alapértelmezés).
  • Megjelenés: az indítóikonok méretét érdemes kisebbre venni (32-36 px), a téma és színek ízlés szerint beállíthatóak (részemről Radiance valamilyen egyszínű kék háttérrel - Windows=#3A6EA5); Viselkedés fülön munkaterületek engedélyezése opcionálisan BE, ablak menüinek megjelenítése az ablak címsorában legyen, opcionálisan a menüpontok mindig legyenek láthatóak.
  • Hang: kimeneti hangerő opcionálisan lehet 100%-nál hangosabb, Hangeffektusok fülön Riasztás hangereje némítás (ez kikapcsolja a rendszerhangokat).

Classic menu, Classic menu indicator, Beállítások, Settings, Add menu with all apps opcionálisan KI.

Classic menu, Rendszereszközök, Beállítások, CompizConfig Settings Manager (CCSM)

  • opcionálisan, ha engedélyezett a több munkaasztal: Általános beállítások, Munkaasztal mérete fül, 2, 2, 1 (alapértelmezett 4 munkaasztal).

Classic menu, Rendszereszközök, dconf szerkesztő

  • Opcionálisan az ablakfejléc bal oldalán lévő kontrollok áthelyezhetőek a jobb oldalra: org, gnome, desktop, wm, preferences, button_layout - a kettőspont kerüljön a végéről az elejére, illetve, ha a Windows sorrendet szeretnénk: :minimize,maximize,close - megjegyzés: jelenleg ennek nincsen hatása, TODO!
  • Opcionálisan, aki megszokta az ablakok rákattintás nélküli, egérhúzásra (mouse over) történő aktiválódását, illetve késleltetéssel előtérbe kerülését, beállíthatja ezt a viselkedést az org, gnome, desktop, wm, preferences, focus_mode érték click-ről sloppy-ra módosításával. Egyidejűleg az auto-raise-t kapcsoljuk be, és érdemes lehet az auto_raise_delay-t 500-ra állítani.
  • A munkaasztal betűtípusa és -mérete opcionálisan beállítható az org, gnome, nautilus, desktop, font kulccsal pl. "Ubuntu 10" értékre.

Érdemes minden felhasználónál elindítani a Rendszerterhelés indikátort:

  • Classic menu, Rendszereszközök, Rendszerterhelés indikátor, jobbklikk, Beállítások és engedélyezni a CPU-, memória- valamint hálózat grafikonokat, valamint opcionálisan az áttetsző háttér helyett pl. feketét beállítani. Az autostart alapértelmezett, vagyis az indikátor a továbbiakban automatikusan elindul.

Alkalmazások beállításai

Lehetőség szerint minden alkalmazást be kell állítani, nem szabad hagyni, hogy az első induláskor a felhasználótól kérdezzen!

Tűzfal kezelőfelülete

Ha felhasználó jogosult a tűzfal beállítások módosítására (tagja a gufw Linux csoportnak), és a GUFW ikonja nem szerepelne a Launcheren, a Super/Dash (Windows billentyű), gufw kereséssel vegyük elő az ikont, és ejtsük a Launcherre.

Egyszerű programok beállításai

Néhány segédprogramot érdemes kitenni a Launcherre mind az adminisztrátori, mind a szokásos felhasználói profilokban.

  • GEdit - Classic menu, Kellékek, gedit; az alapbeállítások jók, rögzítsük a Launcheren.
  • Számológép - Classic menu, Kellékek, Számológép; az alapbeállítások jók, rögzítsük a Launcheren.
  • Képernyőkép - Classic menu, Segédprogramok, Képernyőkép; nincs beállítása, rögzítsük a Launcherre.
  • Terminál - CTRL-ALT-T; Terminál, Beállítások, Általános fülön Menü-hívóbillentyűk engedélyezése BE (enélkül nem működik pl. az ALT 1-4 átméretezés); Szerkesztés, Profil beállításai, Általános fülön a betűkészletet (és ezzel az alapértelmezett ablakméretet) opcionálisan csökkenteni lehet (pl. Monospace 8 vagy 9). Ezután rögzítsük a Launcherre.
  • Midnight Commander - Ha ikonja nem szerepel a Launcheren, akkor Super/Dash (Windows billentyű), midnight kereséssel előhozott ikont ejtsük a Launcherre. Indítsuk el, F9, Beállítások, Alapbeállítások, Saját szövegszerkesztő, OK, Beállítások mentése; parancssorában mcedit, F9, Beállítások, Általános, Új sor automatikus behúzása ki, Látható tabulátorok ki, OK, Beállítások mentése.

Az alapértelmezetten a Launcherre rögzített Ubuntu szoftver, Amazon, Rendszerbeállítások ikonokat érdemes innen leszedni.

Firefox beállítása

Szerkesztés, Beállítások (csak az alapértelmezettől eltérőek):

  • Általános fülön kezdőlap legyen about:blank (be kell írni!), kérdezzen rá a fájlok letöltési helyére, ha új lapon jelenik meg egy hivatkozás, opcionálisan átváltás rá azonnal;
  • Tartalom fülön a felugró ablakok tiltása KI;
  • Adatvédelem fülön opcionálisan a Ne kövessenek beállításainál a Ne kövessenek BR, az előzmények beállítása egyedi: űrlapokon és kereső mezőkben megadott adatok mentése KI;
  • Biztonság fülön a Bejelentkezések megjegyzése mentése KI;
  • Speciális fülön Adatküldések, Állapotjelentés és Hibajelentő KI;
  • a többi alapértelmezés jónak tűnik.

Eszközök, Kiegészítők (valamennyi felsorolt plugin telepítése opcionális, adminisztrátori profilban általába nem szükséges):

  • az előzmények automatikus karbantartására Expire history by days (gyorskeresőbe "expire history" és telepítés);
  • a médialetöltés támogatására FlashGot (gyorskeresőbe "flashgot" és telepítés) illetve Flash Video Downloader (gyorskeresőbe "video downloader" és telepítés);
  • a webfejlesztés (tartalomfejlesztés, kódolás, tesztelés) támogatására Firebug (gyorskeresőbe "firebug" és telepítés);
  • TODO!

Webes médialejátszás gyorstesztek:

VeraCrypt beállítása

Csak akkor kell beállítani, ha a felhasználó jogosult a VeraCrypt használatára (tagja a veracrypt Linux csoportnak). Az adminisztrátori profilban általában nem kell beállítani.

  • Automatizáljuk a VeraCrypt elindítását és a kedvencnek megjelölt kötetek felcsatolását minden bejelentkezéskor: Classic menu, Rendszereszközök, Beállítások, Indítópult; itt adjunk hozzá egy új tételt pl. VeraCrypt felcsatolása névvel, /usr/bin/veracrypt --auto-mount=favorites paranccsal és pl. Felcsatolja a kedvenc VeraCrypt köteteket (ha léteznek ilyenek). leírással. Ha nincs kedvenc kötetünk, bejelentkezéskor nem történik semmi különös; ha van, akkor a Windows változathoz hasonlóan a VeraCrypt jelszóbekérő ablaka bejelentkezéskor automatikusan megjelenik.
  • Opcionálisan indítsuk is el a programot (Classic menu, Kellékek), és készítsünk a helyben tárolt levelezésnek és a helyben tárolt bizalmas adatoknak egy VeraCrypt kötetet:
    • Volumes, Create new volume (varázsló) - Create an encrypted file container - Standard VeraCrypt Volume - a konténerfile legyen pl ~/securevolume.hc;
    • legalább két titkosítást használjunk, pl. AES+Twofish (gyengébb gépeken végezzünk sebességtesztet - Benchmark), hash-nek jó az alapértelmezett;
    • a kötet mérete alapértelmezésben lehet pl. 4 GB, így a VeraCrypt konténerfájl egy DVD-re egyszerűen felírható, archiválható lesz;
    • ha lehet, adjunk hosszú passphrase-t (legalább 20 karakteres jelszó esetén a VeraCrypt kevesebb iterációval számol, így gyorsabb lesz a felcsatolás) és mindenképpen változtattassuk azt meg a felhasználóval;
    • a kötetet elsődlegesen FAT-re érdemes formáztatni, mert a köteten belül nem szeretnénk jogosultságkezelést. Ha 2 GB-nál nagyobb fájlok tárolására is szükség van, a következő választás az NTFS lehet. Kérjük a cross-platform támogatást is;
    • az egér mozgatásával segítsünk véletlen számokat gyűjteni :) - ha a formázás elkészült, kiléphetünk a varázslóból.
  • Amennyiben FAT kötetet készítettünk, annak felcsatolásakor célszerű a Windows karakterkészlet használatát előírni (mellesleg, így a kötet Windows-kompatibilis lesz). Sajnos, a felcsatolási opciók nem rögzíthetők kedvenc kötetenként külön-külön (TODO!), így - jobb híján - írjuk elő ezt globálisan:
    • VeraCrypt főképernyő, Settings, Default mount parameters, Mount options legyen:
      uid=USERNAME,fmask=177,dmask=077,codepage=852,iocharset=iso8859-2 (USERNAME helyére az aktuális felhasználó Linux felhasználónevét írjuk!).
  • Az elkészített kötetet jelöljük meg kedvenc kötetként:
    • VeraCrypt főképernyő, kötetlistában az első üres helyre állni, Select file, Mount nyomógomb, jelszó megadása;
    • a kötetlistában jobbklikk a köteten, Add to favorites. Ezután a VeraCrypt becsukható - a kötet csatolva marad a felhasználó kilépéséig, és a következő belépéskor a VeraCrypt automatikusan felkínálja annak felcsatolását.

Mozilla Thunderbird beállítása

Az adminisztrátori profilban nem muszáj beállítani, amennyiben ez az account nem levelez.

  • Indítsuk el a programot (Classic menu, Internet) és rögzítsük a Launcheren, pl. a Firefox ikonja alatt.
  • Szerkesztés, Beállítások:
    • Általános fülön új üzenet érkezésekor hangjelzés ki;
    • Megjelenítés, Speciális fülön Csak a név megjelenítése KI;
    • Csevegés fülön a Thunderbird indításakor legyen kapcsolat nélküli mód;
    • Adatvédelem fülön Nem akarom, hogy a webhelyek kövessenek BE;
    • Biztonság, Szemét fülön a levélszemét kézi megjelölésekor áthelyezés és olvasott, Biztonság, Antivírus fülön a vírusellenes szoftverek karanténozhatnak;
    • Speciális, Adatküldések fülön Hibajelentő KI;
    • Naptár, általános fülön ellenőrizzük az időzónát;
    • A többi alapértelmezés jónak tűnik.
  • Opcionálisan érdemes a Levelező eszköztárat (felső ikonsor) testre szabni (jobbklikk, Testreszabás) úgy, hogy a(z általában) nem használt Csevegés, Gyorsszűrő, Enigmail Visszafejtés ikonokat levesszük, feltesszük viszont a Válasz, Válasz mindenkinek, Továbbítás, Szemét, Törlés és Leállítás kontrollokat.
Thunderbird kiegészítők

Számos PIM funkció a Mozilla Thunderbird kiegészítők gyűjteményéből letölthető, felhasználónként külön-külön telepíthető, beépülő modulokkal van megvalósítva. Ezeket a Thunderbird elindítása után az Eszközök - Kiegészítők menüpontokkal elérhető felületen kezelhetjük.

A Thunderbird-del aktívan levelező felhasználók számára az alábbi modulok telepítése javasolt:

  • Enigmail (GPG alapú levéltitkosítás és -aláírás - a fentiekben már telepítettük;
  • Lightning naptárkliens - a Thunderbid 38.x verziója óta a Thunderbirddel együtt, automatikusan települ;
  • Lookout (a Microsoft Outlook MS-TNEF MIME típusú összetett levélformátumának kezelése; keresőben lookout, kiválasztás és telepítés);
  • a távoli CardDAV címjegyzékek kezelésére a SOGo projekt által karbantartott Inverse SOGo Connector kiegészítő: sajnos, nem szerepel a hivatalos gyűjteményben, ezért web böngészővel töltsük le a legfrissebb .xpi állományt és a Thunderbirdben az Eszközök, Kiegészítők, fogaskerék ikon, Kiegészítő telepítése fájlból eszközzel telepítsük.

Opcionális modul telepítések:

  • Provider for Google Calendar (GMail fiókkal rendelkezők számára az ehhez tartozó naptárak egyszerű szinkronizálása; keresőben google provider, kiválasztás és telepítés);
  • gContactSync (GMail fiókkal rendelkezők számára az ehhez tartozó névjegyzékek egyszerű szinkronizálása; keresőben gcontact, kiválasztás és telepítés);
  • Signature Switch (aláírások ki- és bekapcsolása, egy személyiséghez több aláírás; keresőben signature, kiválasztás és telepítés).
Üzemeltetés VeraCrypt köteten

A Thunderbird minden felhasználó-specifikus adatát, beállítását a ~/.thunderbird mappában tartja. Felcsatolt VeraCrypt kötet mellett, a Thunderbird leállítása után mozgassuk át ezt a mappát a VeraCrypt kötetre és kövessük symlinkkel. Ezután a Thunderbirdöt elindítva, a levelezőprogram nem fogja észrevenni a különbséget.

Postafiók beállításai

Ha a felhasználónak vannak postafiókjai, ezeket állítsuk be a levelezőben (migráció - TODO!).

Chat és Internet telefon kliensek beállítása

Az adminisztrátori profilban nem muszáj beállítani, amennyiben ez az account nem chatel, telefonál, stb.

Franz Messaging beállítása
  • Indítsuk el a Classic menu, Internet alól, és rögzítsük a Launcherre.
  • Ügyeljünk arra, hogy a Franz-beli Skype kliensnél az alkalmazás megnyitása nem tesz bennünket automatikusan elérhetővé, illetve az abból kilépés elérhetetlenné; állapotunkat jelenleg manuálisan (a magunkra kattintással megjelenő képernyőn) kell állítgatnunk!
Skype kliens beállítása
  • Indítsuk el a Classic menu, Internet alól, és rögzítsük a Launcherre;
  • A Beállításokban (CTRL-O) a Skype access-t letilthatjuk.

LibreOffice beállítása

Az adminisztrátori profilban nem muszáj beállítani, ha ez az account nem használ irodai alkalmazást.

  • Alapértelmezésben a Writer, Calc és Impress ikonja is megjelenik a Launcheren, ezeket opcionálisan eltávolíthatjuk és helyettük a közös indítóikont tehetjük ki (Super/Dash Windows billentyű, Dash-ban "libre" és a LibreOffice ikont ejtsük a Launcherre).
  • Indítsuk el, válasszuk az új Writer dokumentum-ot:
    • Eszközök - Beállítások - LibreOffice - Felhasználó adatai lapon opcionálisan adjuk meg a felhasználó nevét, így az a változáskövetésnél megjelenhet (Vezetéknév, Utónév és Monogram kitöltése);
    • Eszközök - Beállítások - Megnyitás és mentés - Általános lapon a szöveges dokumentumok, munkafüzetek és bemutatók alapértelmezett formátumát érdemes lehet Microsoft XML-re (docx, xlsx, pptx) állítani, mert ezek elterjedtebbek, mint az Open Document formátumok;
    • Eszközök - Beállítások - LibreOffice Writer, Alap betűkészletek (nyugati) lapon opcionálisan minden betűkészletet érdemes Times New Roman-re állítani;
    • Eszközök - Automatikus javítás - Automatikus javítás beállításai - Beállítások lapon NE kérjük a Mondat első betűje nagybetű opciót (ettől van majd' minden Word dokumentumban nagybetűvel a "Január");
    • Eszközök - Automatikus helyesírás-ellenőrzés legyen bekapcsolva;
    • Nézet, Szöveghatárok pipát érdemes kivenni.

Gyorstesztek:

  • Writerben "felhőbe hanyatlott a drégeli illetve egri rom";
    • első betű nem vált nagyra;
    • a "drégeli"-re van helyesírási javaslat;
    • a nyelvhelyesség-ellenőrző szóvá teszi a vessző hiányát az "illetve" szó előtt.
  • F1-re magyar nyelvű súgó indul el.

WINE beállítása

Az adminisztrátori profilban csak akkor érdemes beállítani, ha az adminisztrátor valamilyen WINE alatt futó alkalmazást használ.

Az Ubuntuban alkalmazott gyakorlat szerint minden Linux felhasználónak külön Windows futtató környezete van (Wine szóhasználattal bottle) a ~/.wine alatt, és ezek egymástól teljesen függetlenek. Az esetek többségében ez elegendő - ilyenkor minden felhasználónak külön-külön kell kialakítania a Windows környezetét, amelyben helyi Windows rendszergazda jogosultságokkal fog dolgozni.

A winecfg futtatása

Készítsük el a Wine alapbeállításokat: Classic menu, Wine, A Wine beállítása - a megjelenő grafikus felületen:

  • az Alkalmazások fülön a Windows verzió legyen XP (ez az alapértelmezés);
  • a Meghajtók fülön az Autofelismerés nyomógombbal derítsük fel a partíciókat. Fontos, hogy a Wine csak azokat a lemezterületeket látja, amelyek "gyökere" meghajtóként fel van véve, így biztonsági szempontból érdemes lehet a legtöbb betűjelet (köztük a Linux gyökér fájlrendszerre mutatót - általában Z:\) törölni, és csak az alábbiakat meghagyni:
    • a drive_c (C:\ - mindig megvan);
    • a /tmp-re mutató betűjel (pl. D:\ - ha nem külön partíció, akkor készítsünk egyet);
    • a /home-ra mutató betűjel (általában H:\ - ez alatt lesz a felhasználói profil);
    • a /media-ra mutató betűjel (pl. M:\ - ide csatolódnak a pendrive-ok, stb.);
    • a /cdrom-ra mutató betűjel (pl. R:\ - ide csatolódik az elsődleges optikai olvasó tartalma)
  • a hang fülön érdemes az ALSA driver kiválasztását megerősíteni (Alkalmaz nyomógomb);
  • (Mit még? - TODO!).

Gyorstesztként indítsuk el a beépített Windows Jegyzettömb (notepad) alkalmazást a Classic menu, Wine, Programok, Kellékek, Jegyzettömb menüponttal, és TODO!. A Gecko böngészőmotor ellenőrzésére indítsuk el a beépített web böngészőt (Wine Internet Explorer) az alábbi parancssorral (erre nincs menüpont):

wine iexplore

amire a Wine HQ weboldalnak kell megjelennie.

Telepítés winetricks-szel

A maintainer által támogatott alkalmazásokat és játékokat a Classic Menu, Wine, Programok, Eszközök, Winetricks menüpontból elindítható GUI segítségével telepíthetjük, de használhatjuk a parancssort is. Telepítsük a standard Microsoft fontkészletet az alábbi paranccsal:

winetricks corefonts lucida tahoma
A parancs letölti, a Wine C:\Windows\Fonts könyvtárába telepíti és a registry-be bejegyzi a fontokat.

TODO: mit érdemes mindig feltelepíteni?

WINE bottle eltávolítása

A szükségtelenné vált (neadj'Isten vírusfertőzött) bottle az alábbi parancsokkal távolítható el teljesen:

rm -fr ~/.wine
rm -r ~/.local/share/desktop-directories/wine-*
rm -r ~/.config/menus/applications-merged/wine-*
rm -r ~/.local/share/applications/wine/

TODO!

Irodalom