|
|
# Файл ublinux.ini рекомендуется использовать в папке /ublinux-data/
|
|
|
# Если вы работаете в режиме песочницы и у вас отсутствует папка
|
|
|
# /ublinux-data/, вы можете перенести его в папку /ublinux/
|
|
|
# We recommend using the ublinux.ini file in the /ublinux-data/ folder
|
|
|
# If you are working in sandbox mode and you don't have the /ublinux-data/
|
|
|
# folder, you can move it to the /ublinux/ folder
|
|
|
|
|
|
# UBLinux settings
|
|
|
# UBLinux настройка
|
|
|
|
|
|
################################################################################
|
|
|
# How it works.
|
|
|
# Краткое описание как работает этот файл конфигурации
|
|
|
# [/path/filename]755 # select file for changing. if its not exists it will be created with 755 permisions
|
|
|
# [/path/filename]a+x # выбор файла для изменений, если файла нет, он будет создан с правами по умолчанию плюс chmod a+x
|
|
|
# [/path/filename]a+x [/bin/bash] # Необязательный параметр во второй части в квадратных скобках означает "запустить с" возможные варианты
|
|
|
# # [/bin/bash/] запустит с башем
|
|
|
# # [.] выполнить как часть init
|
|
|
# # [chroot . ] сделать чрут в sysroot и выполнить там
|
|
|
# Parameter=value # it will change string Parameter=* in file to Parameter=value. If there is no parameter the string will be added to end of file.
|
|
|
# Параметр=значение # меняет параметр в файле на нужное значение. Если параметра нет, строка будет добавлена в конец файла.
|
|
|
# +string # add string to end of file in case it's not already in file.
|
|
|
# +строка # добавит строку в файл, если она ещё не прописана в нём.
|
|
|
# |string # add string to end of file in any case.
|
|
|
# |строка # добавит строку в файл без проверки.
|
|
|
# -expression # remove all string with expression (see info sed). symbols .* matches all strings in file.
|
|
|
# -выражение # удаляет строки соответствующие выражению (см info sed). Если указать .* то будут удалены все строки.
|
|
|
|
|
|
[/etc/ublinux/config]
|
|
|
################################################################################
|
|
|
## Config verison
|
|
|
## Версия конфигурации
|
|
|
VERSION=
|
|
|
|
|
|
## Additional boot parameters
|
|
|
## Дополнительные параметры загрузки, только для управления модулями
|
|
|
#CMDLINE="noload=/12,/92 findswap"
|
|
|
|
|
|
## Default user password is 'ublinux'
|
|
|
## Что-бы получить хэш "openssl passwd -6 password"
|
|
|
## Хэш пароля для пользователя по умолчанию (стандартно ublinux)
|
|
|
## Если пароль стандартный, то будет подсказка на фоне рабочего стола + /etc/ublinux/firstboot (Первый запуск для настройки системы)
|
|
|
DEFAULTPASSWD='$6$E7stRhRS8fCKk7UU$Qoqw62AUaUa5uLIc2KC7WV3MUThhrR8kjXtCODmnKCzKe2zHu1/wmsiWBHZEIk/IQnk/aELQYbUK93OUtrwg60'
|
|
|
|
|
|
## Default root password is 'ublinux'
|
|
|
## Хеш пароля для пользователя root (стандартно ublinux)
|
|
|
DEFAULTROOTPASSWD='$6$E7stRhRS8fCKk7UU$Qoqw62AUaUa5uLIc2KC7WV3MUThhrR8kjXtCODmnKCzKe2zHu1/wmsiWBHZEIk/IQnk/aELQYbUK93OUtrwg60'
|
|
|
|
|
|
## Default user name is 'superadmin'
|
|
|
## Имя пользователя по умолчанию, будет добавлен в группу whell, при условии если переменная NEEDEDUSERS пустая (стандартно superadmin)
|
|
|
DEFAULTUSER=superadmin
|
|
|
|
|
|
## Default hash algoritm for user password
|
|
|
## Алгоритм хеширования паролей, возможные значения: des, md5, yescrypt, gost-yescrypt, scrypt, bf, bcrypt, bcrypt-a, sha512crypt, sha256crypt, sunmd5, md5crypt, bsdicrypt, descrypt, nt
|
|
|
#HASHPASSWD=sha512crypt
|
|
|
|
|
|
## You can cpecify users there whithout using "user=" boot parameter
|
|
|
## Пользователи системы (аналог параметра users)
|
|
|
## NEEDEDUSERS='name_user:id:password:show_name:, ... ' password=x=$DEFAULTPASSWD
|
|
|
NEEDEDUSERS='superadmin:1000:x:Администратор'
|
|
|
|
|
|
## Пользователи системы
|
|
|
## ADDUSER[user_name:uid:comment:user_group:extra_groups:optional]=password_hash|x
|
|
|
## user_name # Имя пользователя, обязательное поле
|
|
|
## uid # UID пользователя, если необходимо автоматически рассчитывать, то оставить пустым или 'x'
|
|
|
## comment # Поле GECOS, с подробным описанием пользователя, можно локализованное, не обязательное
|
|
|
## user_group # Основная группа пользователя, если выбрано пусто или 'x', то 'user_group=user_name'
|
|
|
## extra_groups # Дополнительные группы пользователя, если группа не существует, то будет создана. Перечисление через зяпятую. Если группа отсутствует, то будет создана новая.
|
|
|
## optional # Дополнительные параметры, например: '--shell /usr/bin/bash --create-home --no-create-home --no-user-group --non-unique'
|
|
|
## --home-dir <ДОМ_КАТ> # Домашний каталог новой учётной записи
|
|
|
## -s, --shell /usr/bin/bash # Регистрационная оболочка новой учётной записи
|
|
|
## -r, --system # Создавать системную группу
|
|
|
## -M, --no-create-home # Не создавать домашний каталог пользователя
|
|
|
## -N, --no-user-group # Не создавать группу с тем же именем что и у пользователя
|
|
|
## -o, --non-unique # Разрешить создание пользователей с повторяющимися (не уникальными) UID
|
|
|
## --badnames # Не проверять имя на несоответствие правилам использования символов
|
|
|
## -e, --expiredate <ДАТА_УСТ> # Дата устаревания новой учётной записи
|
|
|
## -f, --inactive <НЕАКТИВНОСТЬ> # Период неактивности пароля новой учётной записи
|
|
|
## password_hash|x # Хеш пароля пользователя, если выбрано 'x', то 'password_hash=DEFAULTPASSWD'
|
|
|
## ADDUSER[superadmin:1000:Администратор]=x
|
|
|
## ADDUSER[user-1]=x
|
|
|
## ADDUSER[user-1:x:Пользователь-1:x:vboxusers,libvirt:-s /usr/bin/bash -o]='$6$E7stRhRS8fCKk7UU$Qoqw62AUaUa5uLIc2KC7WV3MUThhrR8kjXtCODmnKCzKe2zHu1/wmsiWBHZEIk/IQnk/aELQYbUK93OUtrwg60'
|
|
|
|
|
|
## Группы системы
|
|
|
## ADDGROUP[group_name:gid:group_users:optional]=password_hash|x
|
|
|
## group_name # Имя группы
|
|
|
## gid # GID группы, если необходимо автоматически рассчитывать, то оставить пустым или 'x'
|
|
|
## group_users # Пользователи группы, перечисление через зпятую. Может быть пусто.
|
|
|
## optional # Дополнительные параметры, например: '--system --non-unique'
|
|
|
## -o, --non-unique # Разрешить создание групп с повторяющимися (не уникальными) GID
|
|
|
## -r, --system # Cоздавать системную группу
|
|
|
## password_hash|x # Хеш пароля группа, если выбрано 'x', то группа без пароля
|
|
|
## ADDGROUP[g_department_1:x:ob.vasiliev,rv.semenov]=x
|
|
|
## ADDGROUP[g_department_2:1001:ob.vasiliev,rv.semenov]='$6$E7stRhRS8fCKk7UU$Qoqw62AUaUa5uLIc2KC7WV3MUThhrR8kjXtCODmnKCzKe2zHu1/wmsiWBHZEIk/IQnk/aELQYbUK93OUtrwg60'
|
|
|
|
|
|
## Добавить пользователя с ID 1000 в группу Администраторов 'whell'
|
|
|
## ADDADM=*yes|no
|
|
|
## * =yes # Добавить пользователя ID 1000 в группу 'wheel'
|
|
|
## =no # Не выполнять действие
|
|
|
|
|
|
## Groups for users
|
|
|
## Дополнительные группы, для всех пользователей, по умолчанию: scanner,power,audio,lp,optical,storage,video,sambashare,vboxusers,libvirt
|
|
|
#USERGROUPS=scanner,power,audio,lp,optical,storage,video,sambashare,vboxusers,libvirt
|
|
|
|
|
|
## Autostart services
|
|
|
## Автоматически запускать службы (можно указывать службы xinetd)
|
|
|
## Для работы bluetooth SERVICESSTART+=,bluetooth
|
|
|
## Для работы в WINDOWS сетях с DNS NETBIOS, включить NSSWITCHWINBIND=yes и добавить SERVICESSTART+=,nmb,winbind
|
|
|
## Для VMWareWorkstation: vmware-networks,vmware-usbarbitrator
|
|
|
## SERVICESSTART+=,tor,polipo,cups-lpd,pcscd
|
|
|
SERVICESSTART=dbus-broker,NetworkManager,sshd,systemd-swap,cups,cockpit.socket,avahi-daemon,avahi-dnsconfd,veyon,smb,nmb,winbind,bluetooth
|
|
|
|
|
|
## You can disable some of standart services start
|
|
|
## Отключение служб, включенных по умолчанию
|
|
|
#SERVICESNOSTART=xinetd,pdnsd,iptables,wine
|
|
|
|
|
|
## You can disable and mask some of standart service
|
|
|
## Отключение и блокировка служб, включенных по умолчанию
|
|
|
#SERVICESMASK=adb
|
|
|
|
|
|
HOSTNAME=ublinux-install
|
|
|
|
|
|
## You can specify your /etc/machine-id there. If MACHINEID=RANDOM then will be
|
|
|
## created random number. # In other case, it will be based on internal hardware list.
|
|
|
## Номер машины, который попадает в /etc/machine-id.
|
|
|
## =hardware | =hw # Сформируется в зависимости от аппаратной начинки материнской платы и MAC
|
|
|
## =random | =rnd # Создастся случайный номер
|
|
|
## Можно привязать к носителю, указав свой номер (в формате вывода утилиты md5sum)
|
|
|
## к примеру, echo mynumber | md5sum
|
|
|
#MACHINEID=91ec1cd57b484d479893f012b26f89ea
|
|
|
#MACHINEID=hardware
|
|
|
MACHINEID=hardware
|
|
|
|
|
|
## Включить Apparmor, по умолчанию отключен
|
|
|
#APPARMOR=yes
|
|
|
|
|
|
## Mount local partitions
|
|
|
## Подключение всех разделов при старте
|
|
|
#PARTITIONSAUTOMOUNT=yes
|
|
|
|
|
|
## Не подключать указанные разделы
|
|
|
#PARTITIONSNOMOUNT=boot,hidden
|
|
|
|
|
|
## Пользователь - владелец для fat ntfs
|
|
|
#PARTITIONSMOUNTUID=500
|
|
|
|
|
|
## Автомонтирование папок
|
|
|
## Пароль кодировать в base64: echo 'password' | base64
|
|
|
## AUTOMOUNT_SHARE[mountpoint]='cifs:share:username:password_base64:domain:opt'
|
|
|
## AUTOMOUNT_SHARE[/mnt/cifs:share]='cifs://192.168.103.55/share:user:password_base64:domain:noperm,vers=1.0'
|
|
|
## AUTOMOUNT_SHARE[/media/sdb1]='direct:/dev/sdb1:wheel:775:noacl'
|
|
|
## AUTOMOUNT_SHARE[/media/mytag]='virtiofs:mytag:wheel:775:'
|
|
|
## AUTOMOUNT_SHARE[/mnt/sshfs/user-1@192.168.1.1]='sshfs:superadmin@192.168.1.1:/home/user-1:password_base64:'
|
|
|
#AUTOMOUNT_SHARE[/mnt/share2]='cifs://192.168.103.55/share2:share:password_base64:domain:noperm,vers=1.0'
|
|
|
#AUTOMOUNT_SHARE[/media/sda4]='direct:/dev/sda4:wheel:775:noacl'
|
|
|
#AUTOMOUNT_SHARE[/mnt/sshfs/user-1@192.168.1.1]='sshfs:superadmin@192.168.1.1:/home/user-1:password_base64:'
|
|
|
#AUTOMOUNT_SHARE[/mnt/nfs/user-1@192.168.1.1]='nfs:192.168.1.1:/home/user-1'
|
|
|
|
|
|
## Папка с правами 777 доступная всем локальным пользователям и при разрешении всем из сети
|
|
|
## по умолчанию PUBLICDIR=/home/public
|
|
|
#PUBLICDIR=
|
|
|
|
|
|
## Mount shared media from ublinux-server automatically
|
|
|
## Подключаться к серверу при старте
|
|
|
#AUTOMOUNTSERVER=yes
|
|
|
|
|
|
## Share local partitions via NFS-Server
|
|
|
## Разрешать общий доcтуп к разделам через NFS
|
|
|
#PARTITIONSSHARE=yes
|
|
|
|
|
|
## Исключение для общих разделов
|
|
|
#PARTITIONSNOSHARE=archive,private
|
|
|
|
|
|
## Настройка принтера
|
|
|
## PRINTERADD=manual (default)
|
|
|
#PRINTERADD=auto
|
|
|
|
|
|
## Обновлять кеш библиотек при старте. Полезно при использовании модулей от старых сборок.
|
|
|
#RUNLDCONFIG=yes
|
|
|
|
|
|
## Обновление базы данных модулей, если используются сторонние модули ядра или видео проприетарное
|
|
|
DEPMOD=yes
|
|
|
|
|
|
## Обновлять домашний каталог при загрузке если он уже существует
|
|
|
#UPDATEHOME=yes
|
|
|
|
|
|
## Можно отключить использование tmpfs для /tmp или /var/tmp при работе с профилем
|
|
|
#TMPFS=no
|
|
|
#VARTMPFS=no
|
|
|
|
|
|
## Включение pulseaudio (yes, no)
|
|
|
#PULSEAUDIO=yes
|
|
|
|
|
|
## Установить звуковое устройство по умолчанию для ALSA, к примеру для вывода звука через HDMI
|
|
|
## устройства смотрите в выводе aplay -l
|
|
|
#ALSACARD=1
|
|
|
#ALSADEVICE=7
|
|
|
|
|
|
## Автообновление системы
|
|
|
## UBLINUXUPDATE=
|
|
|
## =auto # автоматически
|
|
|
## =ask # спросить у пользователя (по умолчанию)
|
|
|
## =never # не обновлять автоматически
|
|
|
#UBLINUXUPDATE=auto
|
|
|
|
|
|
## Алгоритм сжатия модулей по умолчанию
|
|
|
#MKSQFS_OPTS="-b 512K -comp xz -Xbcj x86"
|
|
|
|
|
|
## Алгоритм сжатия, используемый для сохранения изменений в модуль
|
|
|
#MKSQFS_FASTALG="-b 512K -comp lz4 -Xhc"
|
|
|
|
|
|
[/etc/ublinux/system]
|
|
|
## Базовые настройки системы
|
|
|
################################################################################
|
|
|
## Установить переменные окружения глобальные и пользовательские
|
|
|
## ENVIROMENT[system:<var>]=<value>
|
|
|
## ENVIROMENT[profile:<var>]=<value>
|
|
|
## ENVIROMENT[<user>:<var>]=<value>
|
|
|
## system: # Установить глобальные переменные окружения systemd в /etc/environment.d/ubconfig-etc-10-system.conf
|
|
|
## profile: # Установить переменные окружения только для оболочек входа совместимые Bourne shell в /etc/profile.d/ubconfig-10-system.sh /etc/profile.d/ubconfig-10-system.csh
|
|
|
## <user>: # Имя пользователя для которого будет установлена переменная окружения systemd в домашнем каталоге пользователя ~/.config/environment.d/ubconfig-user-10-system.conf
|
|
|
## <var> # Имя переменной
|
|
|
## <value> # Значение переменной <var>
|
|
|
#ENVIROMENT[system:VAR_SYS]="my value for system"
|
|
|
#ENVIROMENT[profile:VAR_PROFILE]="my value for all users"
|
|
|
#ENVIROMENT[superadmin:VAR_USER]="my value for select user"
|
|
|
|
|
|
## Профиль конфигурации PAM авторизации, authselect. Профили /usr/share/authselect/default
|
|
|
## AUTHPAM[<profile>]=<feature>|disable|no|off
|
|
|
## <profile> # Профиль
|
|
|
## *minimal # Local users only for minimal installations, default
|
|
|
## nis # Enable NIS for system authentication
|
|
|
## sssd # Enable SSSD for system authentication (also for local users only)
|
|
|
## winbind # Enable winbind for system authentication
|
|
|
## <feature> # Функции для профиля, доступные функции для профиля:
|
|
|
## with-altfiles with-ecryptfs with-faillock with-files-access-provider with-files-domain with-pamaccess with-silent-lastlog with-sudo with-systemd-homed with-time without-nullok
|
|
|
## with-fingerprint with-pam-u2f with-pam-u2f-2fa without-nullokwithout-pam-u2f-nouserok
|
|
|
## with-smartcard with-smartcard-lock-on-removal with-smartcard-required
|
|
|
## with-mdns4 with-mdns6 with-mkhomedir with-mkhomedir-simple with-nispwquality
|
|
|
## disable|no|off # Отключить выбор профиля
|
|
|
## Информация о профиле: authselect show sssd
|
|
|
#AUTHPAM[minimal]=with-faillock,with-time,with-systemd-homed
|
|
|
#AUTHPAM[sssd]=with-faillock,with-time,with-systemd-homed,with-mkhomedir-simple
|
|
|
#AUTHPAM=disable
|
|
|
|
|
|
[/etc/ublinux/logging]
|
|
|
## Настройка аудита и логгирования
|
|
|
################################################################################
|
|
|
## Настройка мониторинга и сбора системных событий и записи их в журналы для аудита
|
|
|
## AUDITD=disable|no|none|off # Отключить все созданные правила из конфигурации
|
|
|
## AUDITD[<id_name>]=<rule>
|
|
|
## <id_name> # Уникальное имя правила
|
|
|
## <rule> # Правило
|
|
|
#AUDITD[event_chmod]="-a always,exit -F arch=x86_64 -S chmod,fchmod,fchmodat -F key=event_chmod"
|
|
|
#AUDITD[passwd_changes]="-w /etc/passwd -p wa -k passwd_changes"
|
|
|
|
|
|
## Настройка журналов
|
|
|
## https://www.freedesktop.org/software/systemd/man/journald.conf.html
|
|
|
## JOURNALD[<var>]=<value>
|
|
|
## <var> # Имя переменной настройки журнала
|
|
|
## Storage # Указывает, где хранить журнал. Доступны следующие параметры:
|
|
|
## # "volatile" - Журнал хранится в оперативной памяти, т.е. в каталоге /run/log/journal
|
|
|
## # "persistent" - Данные хранятся на диске, т.е. в каталоге /var/log/journal
|
|
|
## # "auto" - используется по-умолчанию
|
|
|
## # "none" - Журнал не ведётся
|
|
|
## Compress # Пороговое значение данных для сжатия и записи в ФС. Может принимать yes, no, цифра. Суффиксы, такие как K, M и G
|
|
|
## SplitMode # Определяет, следует ли разделять файлы журнала для каждого пользователя: «uid» или «none»
|
|
|
## RateLimitIntervalSec # Настраивает ограничение скорости, которое применяется ко всем сообщениям, интервал времени применения =30
|
|
|
## RateLimitBurst # Настраивает ограничение скорости, которое применяется ко всем сообщениям, лимит сообщений =10000
|
|
|
## SystemMaxUse # Указывает максимальное дисковое пространство, которое может использовать журнал в постоянном хранилище
|
|
|
## SystemKeepFree # Указывает объем места, которое журнал должен оставить свободным при добавлении записей журнала в постоянное хранилище
|
|
|
## SystemMaxFileSize # Определяет, до какого размера могут вырасти отдельные файлы журнала в постоянном хранилище перед ротацией
|
|
|
## RuntimeMaxUse # Указывает максимальное дисковое пространство, которое можно использовать в энергозависимом хранилище (в файловой системе /run)
|
|
|
## RuntimeKeepFree # Указывает объем пространства, которое будет выделено для других целей при записи данных в энергозависимое хранилище (в файловой системе /run)
|
|
|
## RuntimeMaxFileSize # Указывает объем места, которое отдельный файл журнала может занимать в энергозависимом хранилище (в файловой системе /run) перед ротацией
|
|
|
## ForwardToConsole # Перенаправить журнал на консоль, yes|no
|
|
|
## TTYPath # Измените используемый консольный TTY, если используется ForwardToConsole=yes. По умолчанию /dev/console.
|
|
|
## MaxLevelConsole # Тип сообщений перенаправляемые в журнал, варианты: emerg|alert|crit|err|warning|notice|info|debug или целочисленные значения в диапазоне 0–7
|
|
|
## <value> # Значение переменной настройки журнала
|
|
|
#JOURNALD[Storage]=persistent
|
|
|
#JOURNALD[Compress]=yes
|
|
|
#JOURNALD[SystemMaxUse]=8M
|
|
|
#JOURNALD[RuntimeMaxUse]=8M
|
|
|
|
|
|
## Настройка ротации файлов логов утилитой logrotate
|
|
|
## https://man.archlinux.org/man/logrotate.conf.5
|
|
|
## LOGROTATE[<mask_file_1>,<mask_file_2>,<mask_file_n>]="<setting_1>,<setting_2>,<setting_n>"
|
|
|
## <mask_file_n> # Маска имени файла лога с полным путём, для управления ротацией. Например: /var/log/cups/*_log
|
|
|
## <settings>: # Настройки для ротации файла лога
|
|
|
## # Настройка частоты проверки
|
|
|
## hourly # Проверка выполнения условий ротации каждый час
|
|
|
## daily # Проверка выполнения условий ротации каждый день
|
|
|
## weekly [weekday] # Проверка выполнения условий ротации каждую неделю, номер [weekday] недели
|
|
|
## monthly # Проверка выполнения условий ротации каждый месяц
|
|
|
## yearly # Проверка выполнения условий ротации каждый год
|
|
|
## size <size> # Размер лога, когда он будет перемещен, в параметре <size> передается цифра с постфиксом k,M,G
|
|
|
## # Настройки вращения
|
|
|
## rotate <count> # Указывает сколько старых логов нужно хранить, в параметре <count> передается количество
|
|
|
## olddir <dir> # Перемещать старые логи в отдельную папку
|
|
|
## noolddir # Держать все файлы в одном и том же каталоге
|
|
|
## su <user> <group> # Ротация файлов журналов, установленных под этим пользователем <user> и группой <group>
|
|
|
## # Настройки выбора файла
|
|
|
## missingok # Не выдавать ошибки, если файл журнала не существует
|
|
|
## nomissingok # Если файл журнала не существует, выдать ошибку
|
|
|
## ifempty # Ротация файла журнала, даже если он пуст, переопределяя параметр notifempty
|
|
|
## notifempty # Не обрабатывать пустые файлы
|
|
|
## minage <count> # Не меняйте журналы, возраст которых меньше указанного количества дней
|
|
|
## maxage <count> # Удалите ротированные журналы старше счетчика дней
|
|
|
## minsize <size> # Файлы журналов чередуются, когда их размер превышает размер в байтах k,M,G, но не раньше дополнительно указанного интервала времени (daily,weekly,monthly,yearly)
|
|
|
## maxsize <size> # Файлы журналов ротируются, когда их размер превышает размер байтов k,M,G, даже до истечения дополнительно указанного интервала времени (daily,weekly,monthly,yearly)
|
|
|
## # Настройки файлов и папок
|
|
|
## create [<mode>] [<user>] [<group>]
|
|
|
## # Указывает, что необходимо создать пустой лог файл после перемещения старого, не обязательные
|
|
|
## # <mod> аттрибуты разрешения
|
|
|
## # <user> имя пользователь
|
|
|
## # <group> имя группы файла
|
|
|
## nocreate # Указывает, что необходимо создать пустой лог файл после перемещения старого
|
|
|
## copytruncate # После создания копии, обрезать исходный файл журнала взамен перемещения старого файла журнала и создания нового
|
|
|
## nocopytruncate # Не сбрасывать файл журнала после копирования
|
|
|
## # Настройка сжатия
|
|
|
## compress # Указывает, что лог необходимо сжимать
|
|
|
## nocompress # Указывает, что лог не сжимать
|
|
|
## delaycompress # Не сжимать последний и предпоследний журнал
|
|
|
## nodelaycompress # Не откладывать сжатие файла на следующий цикл
|
|
|
## # Настройка имени файлов
|
|
|
## extension <ext> # Сохранять оригинальный лог файл после ротации, если у него указанное расширение
|
|
|
## dateext # Добавляет дату ротации перед заголовком старого лога
|
|
|
## start # Номер, с которого будет начата нумерация старых логов
|
|
|
## # Настройка сообщения
|
|
|
## mail <mail.ru> # Отправлять Email после завершения ротации
|
|
|
## nomail # Не отправлять содержимое удаляемых (старых) журналов по почте
|
|
|
## mailfirst # Отсылать первую ротированную копию
|
|
|
## maillast # Отсылать последнюю ротированную копию
|
|
|
## # Настройка выполнения сценариев
|
|
|
## sharedscripts # Сценарии предварительной и последующей ротации запускаются для каждого ротируемого журнала.
|
|
|
## # Один сценарий может быть запущен несколько раз для записей файла журнала, которые соответствуют нескольким файлам.
|
|
|
## firstaction # Сценарий выполняется один раз перед ротацией всех файлов журналов
|
|
|
## lastaction # Сценарий выполняется один раз после ротации всех файлов журналов
|
|
|
## prerotate # Сценарий выполняется до ротации файла журнала
|
|
|
## postrotate # Сценарий выполняется после ротации файла журнала.
|
|
|
## preremove # Сценарий выполняется один раз непосредственно перед удалением файла журнала
|
|
|
## <command_1>,<command_2>,<command_n> # Команды сценария
|
|
|
## endscript # Обязательный операнд после команд сценария firstaction,lastaction,prerotate,postrotate,preremove,endscript
|
|
|
## # Пример записи сценария: sharedscripts,postrotate,/usr/bin/chronyc cyclelogs > /dev/null 2>&1 || true,echo Ok,endscript
|
|
|
#LOGROTATE[/var/log/samba/log.smbd,/var/log/samba/log.nmbd,/var/log/samba/*.log]="notifempty,missingok,copytruncate"
|
|
|
#LOGROTATE[/var/log/chrony/*.log]="missingok,nocreate,sharedscripts,postrotate,/usr/bin/chronyc cyclelogs > /dev/null 2>&1 || true,endscript"
|
|
|
|
|
|
[/etc/ublinux/boot]
|
|
|
## Настройка загрузчика GRUB
|
|
|
################################################################################
|
|
|
## Время отображения меню GRUB для выбора варианта загрузки
|
|
|
## GRUB_TIMEOUT=<seconds>
|
|
|
## GRUB_TIMEOUT=3
|
|
|
## Выбор варианта загрузки GRUB по умолчанию
|
|
|
## GRUB_DEFAULT=<name_menu>
|
|
|
## GRUB_DEFAULT="UBLinux Desktop Basic 2204 - Песочница в RAM с сохранением профиля пользователя HDD"
|
|
|
## Пользователь GRUB для входа в режим редактирования конфигурации загрузки
|
|
|
## GRUB_SUPERUSERS=<user_1>,<user_2>,<user_n>
|
|
|
GRUB_SUPERUSERS=superadmin
|
|
|
## Пароль пользователя GRUB для входа в режим редактирования конфигурации загрузки
|
|
|
## GRUB_PASSWORD[<user>]=<password>
|
|
|
## user # Имя пользователя
|
|
|
## password # Пароль, в формате grub.pbkdf2 или простым текстом, который автоматически сконвертирует в grub.pbkdf2
|
|
|
## Пароль для пользователя superadmin: ublinux-grub
|
|
|
GRUB_PASSWORD[superadmin]=grub.pbkdf2.sha512.10000.918F54C3C4CDE024A34FDA951FFBAD17D2B8F031A696F22038267FDAC6CF5FEA4FE800880591DBD533C95606A275F170B4F460243A083E89E231B2DAC13467D5.9B3392962D14DE34D6BCD4C559A4A4222ED9C0BF14D15A7E3772DA430513E34F2C96FE324D3FBCC4576C8DDF7B82B7AC8830195CC8886A39B525F070EC236421
|
|
|
## Режим вывода лога загрузки
|
|
|
## GRUB_BOOT_SILENT=
|
|
|
## splash # Графика plymouth, полный лог
|
|
|
## splash quiet ub.silent # Графика plymouth, нет лога
|
|
|
## quiet ub.silent # Без plymouth, минимальный лог
|
|
|
## plymouth.enable=0 # Без plymouth, полный лог
|
|
|
GRUB_BOOT_SILENT="splash"
|
|
|
## Устройство ввода для терминала
|
|
|
## GRUB_TERMINAL_INPUT="console serial"
|
|
|
## Устройство вывода для терминала
|
|
|
## GRUB_TERMINAL_OUTPUT=
|
|
|
## Мелодия при включении ПК
|
|
|
## GRUB_PLAY=<tempo [pitch1 duration1] [pitch2 duration2]>|<file>
|
|
|
## GRUB_PLAY="480 900 2 1000 2 800 2 400 2 600 3"
|
|
|
## Аргументы командной строки для загрузки ядра Linux
|
|
|
## Возможные параметры GRUB_CMDLINE_LINUX:
|
|
|
## modprobe.blacklist=nouveau # Отключить автоматическую загрузку свободного драйвера nouveau для видеоадаптера NVIDIA
|
|
|
## nomodeset # Отключить выбор и загрузку ядром драйверов видео
|
|
|
## i915.enable_dc=0 # Отключить управление питанием графического процессора
|
|
|
## ahci.mobile_lpm_policy=1 # Максимальная производительность, управление питанием
|
|
|
## intel_idle.max_cstate=1 # Ограничивает состояния сна процессора, это предотвращает переход процессора в состояния глубокого сна
|
|
|
## intel_idle.max_cstate=4 # Устраняет мерцание дисплея ноутбука на процессорах Ultra Voltage
|
|
|
## snd-intel-dspcfg.dsp_driver=1 # Принудительный выбор драйвера звукового устройства от Intel
|
|
|
## snd-intel-dspcfg.dsp_driver=3
|
|
|
## security=apparmor
|
|
|
## usbcore.autosuspend=-1 # Отключить авто засыпание USB устройств в режиме suspend
|
|
|
## ipv6.disable=1 # Отключить глобально ipv6
|
|
|
## GRUB_CMDLINE_LINUX="modprobe.blacklist=nouveau"
|
|
|
|
|
|
[/etc/ublinux/server]
|
|
|
## Настройка сервера
|
|
|
################################################################################
|
|
|
## Задать путь хранилища контейнеров containers/podman/docker
|
|
|
## STORAGE_CONTAINERS_PATH=<путь>|y|yes|enable
|
|
|
## <путь> # Путь до каталога хранилища контейнеров
|
|
|
## y|yes|enable # Установит путь /memory/layer-base/1/storage.containers
|
|
|
#STORAGE_CONTAINERS_PATH=yes
|
|
|
|
|
|
## Создать хранилище образов для libvirt как движок контроллера виртуализации openvz,kvm,qemu,virtualbox,xen и другие
|
|
|
## STORAGE_LIBVIRT_PATH=<путь>|y|yes|enable
|
|
|
## <путь> # Путь до каталога хранилища пула образов
|
|
|
## y|yes|enable # Установит путь /memory/layer-base/1/storage.libvirt
|
|
|
#STORAGE_LIBVIRT_PATH=yes
|
|
|
|
|
|
## Использовать сервер как контроллер домена
|
|
|
## SERVER_DOMAIN=<REALM>
|
|
|
## SERVER_DOMAIN[type]=<TYPE>
|
|
|
## samba # Контроллер домена Samba DC
|
|
|
## freeipa # Контроллер домена FreeIPA
|
|
|
## SERVER_DOMAIN[adadmin]=<USER_ADMIN>:<PASSWORD_BASE64>'
|
|
|
## SERVER_DOMAIN[dns_backend]=internal|bind
|
|
|
## internal # Встроенный DNS сервер
|
|
|
## bind # Внешний DNS сервер BIND
|
|
|
## SERVER_DOMAIN[dns_forwarder]=<IP_ADDRESS>
|
|
|
#SERVER_DOMAIN=ubdc.ru
|
|
|
#SERVER_DOMAIN[type]=samba
|
|
|
#SERVER_DOMAIN[admin]=administrator:0J3QvtCy0YvQuV/QlNC10L3RjCEK
|
|
|
|
|
|
[/etc/ublinux/save]
|
|
|
## Настройка сохранений
|
|
|
################################################################################
|
|
|
## Сохранять кэши при перезагрузке/выключении, ускоряет загрузку системы
|
|
|
## SAVE_ALL_CACHE=rootcopy
|
|
|
|
|
|
## Работает только в режимах песочницы. Не работает в режиме полного сохранения.
|
|
|
## При перезагрузке/выключении, сохранить/перезаписать указанные каталоги/файлы <SAVE_ROOTCOPY_CHANGES> и <SAVE_ROOTCOPY_INCLUDE>, кроме <SAVE_ROOTCOPY_EXCLUDE> в /ublinux-data/rootcopy/
|
|
|
## Примечание: При загрузке весь каталог /ublinux-data/rootcopy копируется в корень. В режиме песочницы потребляет свободное ОЗУ. В режиме сохранения заменяет файлы в корне.
|
|
|
## SAVE_ROOTCOPY_INCLUDE=<path_1,path_2/file_1,path_n> # Каталоги и файлы которые будут сохранены в rootcopy
|
|
|
## SAVE_ROOTCOPY_CHANGES=<path_1,path_2/file_1,path_n> # Каталоги и файлы изменений которые будут сохранены в rootcopy
|
|
|
## SAVE_ROOTCOPY_EXCLUDE=<path_1,path_2/file_1,path_n> # Каталоги и файлы которые будут исключены из сохранения в rootcopy
|
|
|
#SAVE_ROOTCOPY_CHANGES="/etc"
|
|
|
#SAVE_ROOTCOPY_INCLUDE="/etc/pacman.d/gnupg,/etc/NetworkManager/system-connections"
|
|
|
#SAVE_ROOTCOPY_EXCLUDE="/etc/ublinux"
|
|
|
|
|
|
## TODO
|
|
|
## Работает только в режимах песочницы. Не работает в режиме полного сохранения.
|
|
|
## При перезагрузке/выключении, сохранять указанные каталоги/файлы <SAVE_MODULE_CHANGES> и <SAVE_MODULE_INCLUDE>, кроме <SAVE_MODULE_EXCLUDE> в модуль /ublinux-data/modules/zz-save-module.ubm
|
|
|
## Примечание: При загрузке подключается последним модулем. Не потребляет свободное ОЗУ. Требует больше времени при перезагрузки/выключении, т.к. создаёт модуль.
|
|
|
#SAVE_MODULE_CHANGES="/etc"
|
|
|
#SAVE_MODULE_INCLUDE="/etc/pacman.d/gnupg,/etc/NetworkManager/system-connections"
|
|
|
#SAVE_MODULE_EXCLUDE="/etc/ublinux"
|
|
|
|
|
|
[/etc/ublinux/network]
|
|
|
## Настройка сети
|
|
|
################################################################################
|
|
|
## Domain configuration
|
|
|
## Подключение к AD серверу
|
|
|
#DOMAIN=ublinux.ru
|
|
|
|
|
|
## Сервер контроллера домена/kerberos
|
|
|
## Отключить автопоиск сервера контроллера домена/kerberos и задать статический
|
|
|
## DOMAIN[server]=pdc.ublinux.ru
|
|
|
|
|
|
## Клиент для подключения к домену [ *realmd_sssd | realmd_winbind | samba | none ]
|
|
|
## DOMAIN[client]=realmd_sssd
|
|
|
|
|
|
## Пользователь имеющий права ввода в домен.
|
|
|
## Применяется, если необходимо автоматизировать ввод в домен с большого числа ПК, или при работе в режиме полной песочницы, где невозможно сохранить
|
|
|
## Пароль кодировать в base64: echo 'password' | base64
|
|
|
## DOMAIN[admanger]=<USER_ADMIN>:<PASSWORD_BASE64>'
|
|
|
## DOMAIN[admanger]=Администратор:0J3QvtCy0YvQuV/QlNC10L3RjCEK
|
|
|
|
|
|
## Группа на контроллере домена, пользователи которой будут иметь права для sudo
|
|
|
## DOMAIN[group:sudoers]=sudoers@ublinux.ru
|
|
|
|
|
|
## Группа на контроллере домена, пользователи которой будут иметь права для доступа по ssh
|
|
|
## DOMAIN[group:ssh]=sudoers@ublinux.ru
|
|
|
|
|
|
## Ограничить пользователей, которым разрешён вход в домен
|
|
|
## REALM_PERMIT[user]=user-1@ublinux.ru,user-2@ublinux.ru,ublinux.ru\\user-3
|
|
|
## REALM_PERMIT[group]=ublinux_group@ublinux.ru
|
|
|
## REALM_PERMIT[user]=user-1@ublinux.ru
|
|
|
|
|
|
## При методе подключения DOMAIN_CLIENT=realmd_sssd. Задать параметры в /etc/sssd/sssd.conf для домена
|
|
|
## REALM_SSSD[параметр:имя_секции]=значение
|
|
|
## Если "имя_секции" не указан, то по умолчанию используется секция текущего домена = domain/${DOMAIN}
|
|
|
## REALM_SSSD[services:sssd]=nss,pam,pac,ssh
|
|
|
## REALM_SSSD[default_shell:nss]=/bib/bash
|
|
|
## REALM_SSSD[ad_hostname:domain/mydomain.ru]=hostname.mydomain.ru
|
|
|
## Короткие имена пользователей домена "user" | полные "user@domain.ru" [False|*True]
|
|
|
## REALM_SSSD[use_fully_qualified_names]=False
|
|
|
## Строить карту всех пользователей домена на локальном ПК [False|*True]
|
|
|
## REALM_SSSD[ldap_id_mapping]=False
|
|
|
## Перечисление всех пользователей и групп, нагружает сервер домена при большом числе пользователей [*False|True]
|
|
|
## REALM_SSSD[enumerate]=True
|
|
|
## Задать статическое имя PC в домене pc_name.domain.ru
|
|
|
## REALM_SSSD[ad_hostname]=hostname.mydomain.ru
|
|
|
## Обновлять Kerberos .keytab одновременно у sssd и samba [*False|True]
|
|
|
## REALM_SSSD[ad_update_samba_machine_account_password]=True
|
|
|
## Формат файла Kerberos .keytab пользователя /tmp/krb5cc_123456879
|
|
|
## REALM_SSSD[krb5_ccname_template]=FILE:%d/krb5cc_%U
|
|
|
|
|
|
## Рабочая группа samba
|
|
|
#SAMBADOMAIN=SMBGROUP
|
|
|
|
|
|
## Network configuration
|
|
|
## Настройка сетевого интерфейса
|
|
|
## NETWORK[all|any|name_connection|name_device|name_uuid|type_connection]="optional_1 optional_2 optional_n"
|
|
|
## all|any # All device and connection
|
|
|
## name_device # enp3s0, ens192, wlan0
|
|
|
## or name_connection # Проводное соединение 1, WIFI_WORK
|
|
|
## or name_uuid # 6c90739a-5b5f-3b4a-9b42-11aa89c419bc
|
|
|
## or type_connection # 802-3-ethernet, 802-11-wireless
|
|
|
## optional:
|
|
|
## ipv4.ignore-auto-dns yes
|
|
|
## ipv4.method manual
|
|
|
## ipv6.method disabled
|
|
|
## ipv4.addr 192.168.1.2/24,10.10.1.5/8
|
|
|
## ipv4.gateway 192.168.1.1
|
|
|
## ipv4.dns 192.168.1.1,8.8.8.8
|
|
|
## wifi.cloned-mac-address random
|
|
|
## ethernet.cloned-mac-address 00:22:68:1c:59:b1
|
|
|
## ethernet.cloned-mac-address stable
|
|
|
## ethernet.cloned-mac-address random
|
|
|
## NETWORK[Проводное соединение 1]="ipv4.method manual ipv4.addr 192.168.1.2/24,10.10.1.5/8 ipv4.gateway 192.168.1.1 ipv4.dns 192.168.1.1,8.8.8.8"
|
|
|
## NETWORK[Проводное соединение 1]="ethernet.cloned-mac-address 00:22:68:1c:59:b1"
|
|
|
## NETWORK[HotelWifiName]="wifi.cloned-mac-address 70:48:f7:1a:2b:3c"
|
|
|
## NETWORK[all]="+ipv4.dns 192.168.1.1,8.8.8.8 ipv4.ignore-auto-dns yes"
|
|
|
## NETWORK[all]="ipv6.method disabled"
|
|
|
|
|
|
## ublinux-server ip addres
|
|
|
## Адрес сервера по умолчанию
|
|
|
#UBLINUXSERVER=192.168.1.31
|
|
|
|
|
|
## Local network base address
|
|
|
## Адрес сети по умолчанию
|
|
|
#NETWORKIP=192.168.1.
|
|
|
|
|
|
## Switch on ipv6 at start on all interfaces
|
|
|
## Включение ipv6 по умолчанию на всех интерфейсах
|
|
|
IPV6=no
|
|
|
|
|
|
## Серверы времени
|
|
|
## NTPSERVERS=dhcp|default|ntp-ru|stop|disable|<servers>
|
|
|
## =dhcp # Выбрать сервер времени предложенный DHCP
|
|
|
## =default # Выбрать сервера времени по умолчанию: 0, 1, 2 и 3.pool.ntp.org указывают на случайно выбранные из пула сервера. Выбираются заново каждый час
|
|
|
## =ntp-ru # Выбрать сервера времени: ntp1.vniiftri.ru ntp2.vniiftri.ru ntp3.vniiftri.ru ntp4.vniiftri.ru ntp21.vniiftri.ru ru.pool.ntp.org
|
|
|
## =stop|no|disable # Отключить NTP синхронизацию принудительно
|
|
|
## =<servers> # Список серверов, через ',' или ';', например =ntp1.vniiftri.ru,ru.pool.ntp.org
|
|
|
## не задано # Не настраивать автоматически
|
|
|
NTPSERVERS=dhcp
|
|
|
|
|
|
## Добавить порядок поиска DNS: avahi и winbind (default no)
|
|
|
NSSWITCHAVAHI=yes
|
|
|
NSSWITCHWINBIND=yes
|
|
|
|
|
|
## Установка системных прокси для HTTP,HTTPS,FTP,SOCKS,RSYNC и адреса исключений EXCLUDE
|
|
|
## Для применения требуется перелогиниться
|
|
|
## PROXY_SYSTEM[<PROTOCOL>]=<SERVER>
|
|
|
## <PROTOCOL>=<null>|http|https|ftp|socks|rsync|all|auto|exclude
|
|
|
## <null> # Если пусто, то применить глобально, используется только с SERVER=no|n|disable
|
|
|
## http # Прокси для протокола HTTP
|
|
|
## https # Прокси для протокола HTTPS
|
|
|
## ftp # Прокси для протокола FTP
|
|
|
## socks # Прокси для протокола SOCKS
|
|
|
## rsync # Прокси для протокола RSYNC
|
|
|
## all # Прокси для всех протоколов, не везде применим
|
|
|
## auto # Только для Gnome, адрес сервера автоматической настройки прокси-сервера (PAC), https://wiki.gentoo.org/wiki/ProxyAutoConfig
|
|
|
## exclude # Адреса, имена dns, сети исключений, доступ к которым осуществляется напрямую, например: localhost,127.0.0.1,::1,192.168.1.1,192.168.2.0/24
|
|
|
## # Внимание, подстановочные символы (звёздочка) и CIDR нотации не поддерживаются!
|
|
|
## <SERVER>=no|n|none|disable|<ADDRESS>
|
|
|
## <ADDRESS> # Прокси сервер, https://user:password@proxy_server:port , https://proxy_server:port
|
|
|
## # Если Ваш пароль содержит спец. символы, Вы должны заменить их на ASCII коды. Например символ собаки @, должен быть заменен на «%40»
|
|
|
## # Если указан %PROTOCOL%=auto, то указывается путь до файла конфигурации http://my.proxy.org/foo.pac
|
|
|
## no|n|none|disable # Отключить ранее настроенный системный прокси
|
|
|
## PROXY_SYSTEM=disable
|
|
|
## PROXY_SYSTEM[https]=http://user:password@192.168.1.1:443
|
|
|
## PROXY_SYSTEM[http]=http://127.0.0.1:8118
|
|
|
## PROXY_SYSTEM[https]=https://127.0.0.1:8118
|
|
|
## PROXY_SYSTEM[ftp]=ftp://127.0.0.1:8118
|
|
|
## PROXY_SYSTEM[socks]=socks://127.0.0.1:9050
|
|
|
## PROXY_SYSTEM[exclude]=localhost,127.0.0.1,::1,192.168.1.1,192.168.2.0/24
|
|
|
|
|
|
## Для совместного доступа к интернету, можно включить режим шлюза
|
|
|
## Также необходим при связывании нескольких сетей (wlan0 eth0 eth1 ...)
|
|
|
#ROUTER=yes
|
|
|
|
|
|
## Iptables firewall exceptions
|
|
|
## Исключения для межсетевого экрана iptables
|
|
|
#IPTABLESOPENPORTSTCP=21,22,30001,6881
|
|
|
#IPTABLESOPENPORTSUDP=30002,6881
|
|
|
|
|
|
## Для работы в режиме сервера, шлюза и точки доступа необходимо открыть доступ из локальной сети
|
|
|
#IPTABLESTRUSTEDIP=192.168.1.0/16
|
|
|
|
|
|
## Переправлять весь поток от пользователей через TOR
|
|
|
## Пользователей можно задавать в виде имени, номера и диапазона
|
|
|
## Должна быть включена служба tor!
|
|
|
#TORUSERS=500-999
|
|
|
|
|
|
## Автоматически менять MAC адрес интерфейса при подключении
|
|
|
#MACCHANGE=wlan0
|
|
|
## По умолчанию используется алгоритм -e не меняющей тип и производителя
|
|
|
#MACCHANGEROPTIONS='-a'
|
|
|
## Можно назначить конкретный адрес для интерфейса
|
|
|
#MACCHANGEROPTIONS='--mac=XX:XX:XX:XX:XX:XX'
|
|
|
|
|
|
[/etc/ublinux/security]
|
|
|
## Настройка безопасности, ограничений
|
|
|
################################################################################
|
|
|
## Включить поддержку OpenSSL алгоритмов ГОСТ GOST2012-GOST8912-GOST8912 GOST2001-GOST89-GOST89
|
|
|
## OPENSSL_ENGINE=gost
|
|
|
|
|
|
## Отключить виртуальные терминалы и запретить переключение на них из X11
|
|
|
## ACCESS_DENIED_VTX11=yes|no*|enable|disable|y|n
|
|
|
## ACCESS_DENIED_VTX11=yes
|
|
|
|
|
|
## Управление доступом в систему, правила разрешения. /etc/security/access.conf
|
|
|
## Предостережение: порядок правил имеет значение. Проверяется последовательно и будет применено первое подходящее правило
|
|
|
## Первыми обрабатываются правила ACCESS_ALLOWED_LOGIN, после правила ACCESS_DENIED_LOGIN
|
|
|
## ACCESS_ALLOWED_LOGIN=rule_1,rule_2,rule_n
|
|
|
## Формат правила: users/groups:origins
|
|
|
## users/groups - список пользователей или групп пользователей или ключевое слово ALL
|
|
|
## origins - список TTY (для локального доступа), имен хостов, доменных имен, IP-адресов, ключевое слово ALL или LOCAL
|
|
|
## root:cron crond :0 tty1 tty2 tty3 tty4 tty5 tty6 vc/1 # Пользователю root разрешен доступ через cron, X11 терминал :0, tty1, ..., tty6, vc/1
|
|
|
## (wheel):console tty1 tty2 tty3 tty4 tty5 tty6 tty7 pts/0 pts/1 pts/2 pts/3 pts/4 pts/5 pts/6 pts/7 pts/8 pts/9 hvc0 hvc1 hvc2 hvc3 hvc4 hvc5 hvc6 hvc7 hvc8 hvc9 ttyS0 ttyS1 ttyS2 ttyS3 ttyS4 ttyS5 ttyS6 ttyS7 ttyS8 ttyS9
|
|
|
## root:192.168.1.1 192.168.1.4 192.168.2. 192.168.3.0/24 # Пользователю root разрешен доступ с хостов, которым принадлежат адреса IPv4
|
|
|
## root:127.0.0.1 ::1
|
|
|
## superadmin:foo1.bar.org foo2.bar.org .foo.bar.org
|
|
|
## @admins foo:ALL # Пользователю foo и членам администраторов сетевой группы admins разрешен доступ
|
|
|
## @usergroup@@hostgroup:ALL # Членам группы usergroup и группы хостов hostgroup разрешен доступ
|
|
|
## DOMAIN.ORG\Domain Admins:ALL # Пользователям входящих в группу "Domain Admins" домена DOMAIN.ORG разрешен доступ
|
|
|
## (wheel):ALL # Членам группы wheel разрешен доступ
|
|
|
## ALL:LOCAL # Разрешить локальным учетным записям вход в систему локально
|
|
|
## ALL EXCEPT root: 192.168.0. # Разрешить всем, кроме root, входить в систему из под указанной маски сети
|
|
|
## ACCESS_ALLOWED_LOGIN="(users)::0 :1 :2 :3 tty2,(wheel):127.0.0.1 ::1,(wheel):ALL"
|
|
|
|
|
|
## Управление доступом в систему, правила блокировки. /etc/security/access.conf
|
|
|
## ACCESS_DENIED_LOGIN=rule_1,rule_2,rule_n
|
|
|
## Правила (rule_n):
|
|
|
## root:ALL # Пользователю root должно быть отказано в доступе из всех источников
|
|
|
## root:ALL EXCEPT LOCAL # Запретить root вход через сеть
|
|
|
## wheel:ALL EXCEPT LOCAL .domain.org # Запретить нелокальный вход в привилегированные учетные записи группы wheel
|
|
|
## ALL EXCEPT root:tty1 # Запретить вход без полномочий root на tty1
|
|
|
## ALL EXCEPT superadmin:ALL # Разрешить доступ только пользователю superadmin и никому больше
|
|
|
## ALL EXCEPT (wheel) shutdown sync:LOCAL # Запретить вход в консоль для всех учетных записей, кроме shutdown, sync и входящих в группу wheel
|
|
|
## ALL EXCEPT (wheel):tty1 tty2 tty3 tty4 tty5 tty6 vc/1 localhost # Запретить вход в консоль tty для всех учетных записей, кроме входящих в группу wheel
|
|
|
## DOMAIN.ORG\Domain Users:ALL # Пользователя входящих в группу "Domain Users" домена DOMAIN.ORG запретить доступ
|
|
|
## ALL:ALL # Всем остальным пользователям запретить доступ
|
|
|
## ACCESS_DENIED_LOGIN="root:ALL,ALL:ALL"
|
|
|
|
|
|
## Блокировать макросы приложений
|
|
|
## BLOCK_APP_MACROS=yes
|
|
|
|
|
|
## Отключить влияние SUID бита на привилегии порождаемого процесса всем, кроме указанных исключений в ACCESS_ALLOWED_SUID
|
|
|
## ACCESS_ALLOWED_SUID[<find_path_1> <find_path_n> <options>]=<file_1>,<file_2>,<file_n>
|
|
|
## Find path:
|
|
|
## empty # Если пусто и не задан [], то будут выбраны пути поиска ="/usr/bin /usr/local/bin /usr/local/sbin /home"
|
|
|
## /path_n/subpath # Путь до каталога поиска
|
|
|
## Options:
|
|
|
## -maxdepth 1 # Путь до каталога поиска с уровнем вложения 1
|
|
|
## Files:
|
|
|
## files # Имена файлов разделённые: , или пробелом или ;
|
|
|
## - # Нет исключений, будут обработаны все файлы
|
|
|
## ACCESS_ALLOWED_SUID[/usr/bin]=vmware-user-suid-wrapper,Xvnc,vncserver-x11,veyon-auth-helper,at,cdda2wav,cdrecord,chage,chfn,chsh,crontab,cu,expiry,firejail,fusermount,fusermount-glusterfs,fusermount3,gpasswd,ksu,mount,mount.cifs,mount.ecryptfs_private,mount.nfs,newgrp,passwd,pkexec,readcd,rscsi,screen-4.9.0,sg,su,sudo,suexec,umount,unix_chkpwd,uucico,uucp,uuname,uustat,uux,uuxqt
|
|
|
## ACCESS_ALLOWED_SUID[/home]=-
|
|
|
|
|
|
## Отключить влияние SGID бита на привилегии порождаемого процесса всем, кроме указанных исключений в ACCESS_ALLOWED_SGID
|
|
|
## ACCESS_ALLOWED_SGID[<find_path_1> <find_path_n> <options>]=<file_1>,<file_2>,<file_n>
|
|
|
## Find path:
|
|
|
## empty # Если пусто и не задан [], то будут выбраны пути поиска ="/usr/bin /usr/local/bin /usr/local/sbin /home"
|
|
|
## /path_n/subpath # Путь до каталога поиска
|
|
|
## Options:
|
|
|
## -maxdepth 1 # Путь до каталога поиска с уровнем вложения 1
|
|
|
## Files:
|
|
|
## files # Имена файлов разделённые: , или пробелом или ;
|
|
|
## - # Нет исключений, будут обработаны все файлы
|
|
|
## ACCESS_ALLOWED_SGID[/usr/bin]=vmware-user-suid-wrapper,x2goprint,at,locate,mount.cifs,mount.ecryptfs_private,unix_chkpwd,wall,write
|
|
|
## ACCESS_ALLOWED_SGID[/home]=-
|
|
|
|
|
|
## Ограничить запуск исполняемых файлов и интерпретаторов языков программирования в интерактивном режиме
|
|
|
## ACCESS_DENIED_EXEC[<find_path_1> <find_path_n> <options>]=<file_1>,<file_2>,<file_n>
|
|
|
## Find path: # Пути поиска указанных файлов, можно использовать разделитель: пробел, запятая, точка с запятой
|
|
|
## <empty> # Если пусто и не задан [], то будут выбраны пути поиска ="/usr/bin /usr/local/bin /usr/local/sbin /home"
|
|
|
## <find_path_n> # Путь до каталога поиска /path/subpath,/path/*/subpath. Если в имени пути используется пробел, то необходимо путь обрамить \"
|
|
|
## Options: # Опции применяются ко все указанным каталогам и должны быть самые последние в списке
|
|
|
## -maxdepth 1 # Путь до каталога поиска с уровнем вложения 1
|
|
|
## Files: # Имена файлов, можно использовать разделитель: пробел, запятая, двоеточие
|
|
|
## <files_n> # Имена файлов разделённые: , или пробелом или ;
|
|
|
## interpreter # Эквивалентно =gbr3,python,python2,python3,perl,perl6,php,ruby,node,awk,gawk
|
|
|
## ACCESS_DENIED_EXEC=interpreter
|
|
|
## ACCESS_DENIED_EXEC[/usr/bin,/usr/bin/local]=gbr3,python,python2,python3,perl,perl6,php,ruby,node,awk,gawk
|
|
|
## ACCESS_DENIED_EXEC[/home/*/local/bin]=myfile
|
|
|
## ACCESS_DENIED_EXEC[\"/home/superadmin/soft my\"]=myfile
|
|
|
|
|
|
## Отключить пользовательские nosuid nodev noexec на смонтированные цели
|
|
|
## MOUNT_ATTR[<source_1>,<source_n>]=<attribut_1>,<attribut_n>
|
|
|
## Source:
|
|
|
## LABEL=<label> # specifies device by filesystem label
|
|
|
## UUID=<uuid> # specifies device by filesystem UUID
|
|
|
## PARTLABEL=<label> # specifies device by partition label
|
|
|
## PARTUUID=<uuid> # specifies device by partition UUID
|
|
|
## ID=<id> # specifies device by udev hardware ID
|
|
|
## <device> # specifies device by path
|
|
|
## <directory> # mountpoint for bind mounts (see --bind/rbind)
|
|
|
## <file> # regular file for loopdev setup
|
|
|
## Attributs: # Разделённые: , или ;
|
|
|
## nosuid # Block the operation of suid, and sgid bits. | Блокировать работу suid и sgid бит.
|
|
|
## nodev # Don't interpret block special devices on the filesystem. | Не интерпретируйте блокировку специальных устройств в файловой системе.
|
|
|
## noexec # Don't allow the execution of executable binaries | Не позволить выполнять исполняемые двоичные файлы
|
|
|
## nosymfollow # Don't follow symlinks when resolving paths | Не переходить по символическим ссылкам при разрешении путей
|
|
|
## MOUNT_ATTR[/home]=nosuid,nodev,noexec,nosymfollow
|
|
|
## MOUNT_ATTR[/tmp,/dev/shm]=nosuid,nodev,noexec
|
|
|
|
|
|
## Использовать дисковые квоты на файловые системы ext2,ext3,ext4,jfs,xfs,vfs,nfs,...
|
|
|
## Внимание: для квот на группу, необходимо что-бы указанная группа была основной у пользователей.
|
|
|
## Альтернатива для проектов, через дополнительную группу projgrp: groupadd projgrp; mkdir /home/projects; chgrp projgrp /home/projects; chmod g+s /home/projects
|
|
|
## Информация: Если квотами происходит управление через другие программы, то достаточно только включить квоты на требуемый тип квоты.
|
|
|
## DISK_QUOTA[<quota_type>[:<device_ident>]]=<enable/disable>
|
|
|
## DISK_QUOTA[<quota_type>:<device_ident>]=0:0:0:0:<bgrace>:<igrace>
|
|
|
## DISK_QUOTA[<quota_type>:<device_ident>:<user1,user2,user_n>]=<bsoft>:<bhard>:<isoft>:<ihard>[:<bgrace>:<igrace>]
|
|
|
## DISK_QUOTA[<quota_type>:<device_ident>:<group_1,group_2,group_n>]=<bsoft>:<bhard>:<isoft>:<ihard>[:<bgrace>:<igrace>]
|
|
|
## DISK_QUOTA[prjquota:<path_dir>:<project_id>[,<project_name>]]=<bsoft>:<bhard>:<isoft>:<ihard>[:<bgrace>:<igrace>]
|
|
|
## DISK_QUOTA[prjquota:<path_dir>:<project_id>[,<project_name>]]=0:0:0:0:<bgrace>:<igrace>
|
|
|
## DISK_QUOTA[prjquota:<path_dir>:[<project_id>][,<project_name>]]=clean
|
|
|
## DISK_QUOTA[quota:<device_ident>]=clean
|
|
|
## DISK_QUOTA[quota]=<enable/disable>
|
|
|
## <quota_type> # Тип квоты, может принимать значения:
|
|
|
## usrquota # Квоты на пользователя
|
|
|
## grpquota # Квоты на группу
|
|
|
## prjquota # Квоты на проект/каталог
|
|
|
## <enable/disable> # Простое включение/отключение дисковой квоты, без указания дополнительных условий,
|
|
|
## # если не указан <device_ident>, то для всех устройств
|
|
|
## <device_ident> # Уникальный идентификатор устройства, из возможных представленных:
|
|
|
## PATH # Путь до устройства /dev/device
|
|
|
## LABEL # МЕТКА файловой системы
|
|
|
## PARTLABEL # МЕТКА раздела
|
|
|
## UUID # UUID файловой системы
|
|
|
## PARTUUID # UUID раздела
|
|
|
## MOUNTPOINT # Путь куда примонтировано устройство
|
|
|
## clean # Очистить базу данных квот, отключить поддержку ^quota ^project у EXT234|XFS. Очистить информацию о проекте квот.
|
|
|
## <path_dir> # Путь до каталога
|
|
|
## <user_1,user_2,user_n> # Перечень пользователей разделённых ','
|
|
|
## <group_1,group_2,group_n> # Перечень групп разделённых ','
|
|
|
## <project_id> # Номер проекта, цифра, обязательное поле, может принимать значение
|
|
|
## numbers # Произвольный номер состоящий только из цифр
|
|
|
## AUTO # Автоматически генерирует произвольный номер. Если на путь ранее устанавливался номер, то использует старый номер.
|
|
|
## <project_name> # Имя проекта, не обязательное поле
|
|
|
## <bsoft> # Указывает программное ограничение размера block в файловой системе, предупреждение. Применимо: M(egabyte),G(igabyte),T(erabyte)
|
|
|
## <bhard> # Указывает жесткое ограничение размера block в файловой системе. Применимо: M(egabyte),G(igabyte),T(erabyte)
|
|
|
## <isoft> # Указывает программное ограничение inode в файловой системе, предупреждение
|
|
|
## <ihard> # Указывает жесткое ограничение inode в файловой системе
|
|
|
## <bgrace> # Льготный период секунд в течение которого разрешено превысить bsoft ограничение, но не более bhard. 3600=1час 86400=1день 604800=7дней. Не обязательный
|
|
|
## <igrace> # Льготный период секунд в течение которого разрешено превысить isoft ограничение, не более ihard. Не обязательный
|
|
|
## DISK_QUOTA[usrquota:/dev/sda3]=enable
|
|
|
## DISK_QUOTA[usrquota:/dev/sda3]=disable
|
|
|
## DISK_QUOTA[quota]=enable
|
|
|
## DISK_QUOTA[usrquota:/dev/sdc1:user-1,user-2]=100M:150M:100:150
|
|
|
## DISK_QUOTA[usrquota:/dev/sdc1]=0:0:0:0:86400:86400
|
|
|
## DISK_QUOTA[usrquota:/dev/sdc1:user-1,user-2]=100M:150M:100:150:86400:86400
|
|
|
## DISK_QUOTA[grpquota:/dev/sdc1:users,users@domain.com]=1G:1500M:0:0:604800:604800
|
|
|
## DISK_QUOTA[prjquota:/mnt/data/project2:1,MyProjectName]=500M:600M:0:0:604800:604800
|
|
|
## DISK_QUOTA[prjquota:/mnt/data/project1:AUTO]=5G:6G:0:0:604800:604800
|
|
|
|
|
|
## Квоты на ресурсы, через cgroup2. Механизм systemd или напрямую cgroup. man 5 systemd.resource-control
|
|
|
## CGROUP_QUOTA[unit|user]=property_1=value,property_2=value,property_n=value
|
|
|
## Получить древовидный список cgroups и запущенных процессов: systemd-cgls --no-page
|
|
|
## Показать мониторинг потребляемых ресурсов: systemd-cgtop -c; systemd-cgtop -m
|
|
|
## Показать статус и используемые ограничения: systemctl status user.slice --no-page
|
|
|
## Единицы измерения: %, K, M, G, T
|
|
|
## unit: system.slice, user.slice, user-0.slice, user-1000.slice, smb.service, cups.service, httpd.service,
|
|
|
## user: superadmin, user-1 # Системное имя пользователя
|
|
|
## property:
|
|
|
## MemoryHigh=200M # Мягкое ограничение ОЗУ, юнит выходящий за рамки потребления ограничивается
|
|
|
## MemoryMax=300M # Жесткое ограничение ОЗУ, юнит выходящий за рамки потребления убивается
|
|
|
## MemorySwapMax=100M # Ограничение на потребление SWAP
|
|
|
## CPUQuota=10% # Ограничение на использование % ЦПУ, 100% на каждый CPU. 4cpu*100%=400%
|
|
|
## IOReadBandwidthMax="/dev/sdb1 4M" # Ограничение операций ввода вывода на чтение блочного устройства
|
|
|
## IOWriteBandwidthMax="/dev/sdb1 2M" # Ограничение операций ввода вывода на запись блочного устройства
|
|
|
## CGROUP_QUOTA[user-1000.slice]="MemoryHigh=200M,MemorySwapMax=300M,CPUQuota=100%"
|
|
|
## CGROUP_QUOTA[superadmin]="MemoryHigh=500M,MemorySwapMax=100M,CPUQuota=400%"
|
|
|
## CGROUP_QUOTA[smb.service]="MemoryHigh=100M,MemorySwapMax=0M,CPUQuota=100%"
|
|
|
## CGROUP_QUOTA[superadmin]="MemoryHigh=1G,MemoryMax=7G,MemorySwapMax=64M,CPUQuota=395%,IOReadBandwidthMax=/dev/sda3 1M,IOWriteBandwidthMax=/dev/sdb3 2M,IOReadBandwidthMax=/dev/sdc3 16K,IOWriteBandwidthMax=/dev/sdd3 16K"
|
|
|
|
|
|
## Управление разрешениями действий polkit, можно разрешать для группы пользователей
|
|
|
## POLKIT[id_object]=result:group_1,group_n"
|
|
|
## Посмотреть все доступные объекты polkit: pkaction | grep udisks
|
|
|
## result= yes|no|auth_self|auth_self_keep|auth_admin|auth_admin_keep|null
|
|
|
## id_object:
|
|
|
## org.freedesktop.udisks2. # Mounting a filesystems all subgroup | Монтировать файловую систему все подгруппы
|
|
|
## org.freedesktop.udisks2.filesystem-mount # Mounting a filesystems | Монтировать файловую систему
|
|
|
## org.freedesktop.udisks2.filesystem-mount-system # Mount a filesystem on a system device | Монтировать файловую систему на системном устройстве
|
|
|
## org.freedesktop.udisks2.filesystem-mount-other-seat # Mount a device attached to another seat | Монтировать файловую систему с устройства, подключенного в другое место
|
|
|
## org.freedesktop.udisks2.filesystem-unmount-others # Unmount a device mounted by another user | Демонтировать устройство, смонтированное другим пользователем
|
|
|
## org.freedesktop.machine1.host-login
|
|
|
## org.freedesktop.DisplayManager.AccountsService.ModifyAny
|
|
|
## org.freedesktop.login1.suspend
|
|
|
## org.freedesktop.login1.suspend-multiple-sessions
|
|
|
## org.freedesktop.login1.suspend-ignore-inhibit
|
|
|
## org.freedesktop.login1.hibernate
|
|
|
## org.freedesktop.login1.hibernate-multiple-sessions
|
|
|
## org.freedesktop.login1.hibernate-ignore-inhibit
|
|
|
## org.freedesktop.login1.reboot
|
|
|
## org.freedesktop.login1.reboot-multiple-sessions
|
|
|
## org.freedesktop.login1.reboot-ignore-inhibit
|
|
|
## org.freedesktop.login1.set-reboot-parameter
|
|
|
## org.freedesktop.login1.set-reboot-to-boot-loader-entry
|
|
|
## org.freedesktop.login1.set-reboot-to-boot-loader-menu
|
|
|
## org.freedesktop.login1.set-reboot-to-firmware-setup
|
|
|
## org.freedesktop.login1.manage
|
|
|
## org.freedesktop.login1.lock-sessions
|
|
|
## org.freedesktop.login1.chvt
|
|
|
## org.freedesktop.upower.hibernate
|
|
|
## org.freedesktop.upower.suspend
|
|
|
## org.xfce.power.xfce4-pm-helper
|
|
|
## org.xfce.session.xfsm-shutdown-helper
|
|
|
## org.manjaro.pamac. # GUI Pamac install package | ГУЙ pamac установка и обновление пакетов
|
|
|
## org.opensuse.cupspkhelper.mechanism.all-edit # Printer settings | Настройки принтера
|
|
|
## org.freedesktop.NetworkManager. # NetworkManager settings | Настройки NetworkManager
|
|
|
##
|
|
|
## POLKIT[org.freedesktop.udisks2.]=yes:storage
|
|
|
## POLKIT[org.manjaro.pamac.]=yes:wheel
|
|
|
## POLKIT[ru.ublinux.pkexec.ubl-settings-datetime.exec]=yes:users
|
|
|
## POLKIT[org.manjaro.pamac.]=yes:users
|
|
|
|
|
|
[/etc/ublinux/kiosk]
|
|
|
## Настройка режима киоска
|
|
|
################################################################################
|
|
|
## Режим киоска XFCE4, запретить изменять параметры пользователям и группам
|
|
|
## XFCE4_KIOSK[<channel>:<property>]=<user_groups>
|
|
|
## <user_groups> # Пользователи и группы, парианты значений:
|
|
|
## =ALL # Разрешить всем
|
|
|
## =NONE # Запретить
|
|
|
## =@whell,@users # Разрешить группам
|
|
|
## =superadmin,user-1 # Разрешить пользователям
|
|
|
## =@wheel,user-1 # Разрешить группе и пользователю
|
|
|
#XFCE4_KIOSK[xfce4-panel:CustomizePanel]=@wheel
|
|
|
#XFCE4_KIOSK[xfce4-session:SaveSession]=NONE
|
|
|
#XFCE4_KIOSK[xfce4-session:CustomizeSplash]=NONE
|
|
|
#XFCE4_KIOSK[xfce4-session:CustomizeChooser]=NONE
|
|
|
#XFCE4_KIOSK[xfce4-session:CustomizeLogout]=NONE
|
|
|
#XFCE4_KIOSK[xfce4-session:CustomizeCompatibility]=NONE
|
|
|
#XFCE4_KIOSK[xfce4-session:Shutdown]=ALL
|
|
|
#XFCE4_KIOSK[xfce4-session:CustomizeSecurity]=NONE
|
|
|
#XFCE4_KIOSK[xfdesktop:UserMenu]=@wheel
|
|
|
#XFCE4_KIOSK[xfdesktop:CustomizeBackdrop]=@wheel
|
|
|
#XFCE4_KIOSK[xfdesktop:CustomizeDesktopMenu]=@wheel
|
|
|
#XFCE4_KIOSK[xfdesktop:CustomizeWindowlist]=NONE
|
|
|
#XFCE4_KIOSK[xfdesktop:CustomizeDesktopIcons]=@wheel
|
|
|
|
|
|
## Назначить настройки XFCE4 по умолчанию
|
|
|
#XFCE4_KIOSK_DEFAULT="user-1,user-2"
|
|
|
|
|
|
## Назначить настройки XFCE4 через xfconf-query
|
|
|
## XFCE4_XFCONF[<users>,<@groups>:<channel>:<property>]=<type>:<value>
|
|
|
## [<users>] # Разрешить пользователям, пример: superadmin,user-1. Разделитель: запятая, точка с запятой
|
|
|
## [<@groups>] # Разрешить группе, пример: @whell,@users
|
|
|
## # Можно комбинировать группы с пользователями, пример: @wheel,user-1
|
|
|
## <channel> <property> <type> <value> # значения xfconf-query --channel <channel> --property <property> --create --type <type> --set <set>
|
|
|
## <type> # Тип значения, может принимать: bool,int,string
|
|
|
## =reset # Очистить свойство, выполняет xfconf-query --channel <channel> --property <property> --reset --recursive
|
|
|
## <value> # Значение. bool:true/false int:-2,147,483,647..2,147,483,647 string:text
|
|
|
#XFCE4_XFCONF[@users:xfce4-session:/shutdown/LockScreen]=bool:false
|
|
|
#XFCE4_XFCONF[@sers:xfce4-session:/shutdown/ShowHibernate]=bool:false
|
|
|
#XFCE4_XFCONF[@users:xfce4-session:/shutdown/ShowSuspend]=bool:false
|
|
|
#XFCE4_XFCONF[@users:xfce4-session:/shutdown/ShowHybridSleep]=bool:false
|
|
|
#XFCE4_XFCONF[@users:xfce4-session:/shutdown/ShowSwitchUser]=bool:false
|
|
|
#XFCE4_XFCONF[@users:xfce4-session:/general/ShowSave]=bool:false
|
|
|
#XFCE4_XFCONF[@users:xfce4-screensaver:/saver/idle-activation/delay]=int:10
|
|
|
|
|
|
## Скрыть кнопку LOGOUT в XFCE4 диалог выключения питания
|
|
|
## XFCE4_DIALOGPOWER_LOGOUT[<users>,<@groups>]=<value>
|
|
|
## [<users>] # Разрешить пользователям, пример: [superadmin,user-1]. Разделитель: запятая, точка с запятой
|
|
|
## [<@groups>] # Разрешить группе, пример: [@whell,@users]
|
|
|
## # Можно комбинировать группы с пользователями, пример: @wheel,user-1
|
|
|
## =<value>: # Значение, может принимать: hide, show
|
|
|
## =hide # Скрыть кнопку
|
|
|
## =show # Показать кнопку
|
|
|
#XFCE4_DIALOGPOWER_LOGOUT[@users]=hide
|
|
|
|
|
|
## Скрыть иконки приложений из меню, перечень запрещённых
|
|
|
## APPDESKTOP_BLACKLIST[<users>]=<desktop_files>
|
|
|
## [<users>] # Имя пользователя, пример: superadmin,user-1. Разделитель: запятая, точка с запятой
|
|
|
## [*] # Все пользователи системы
|
|
|
## =<desktop_files> # Файлы *.desktop. Разделитель: запятая, точка с запятой
|
|
|
## =* # Все файлы *.desktop
|
|
|
|
|
|
## TODO
|
|
|
## APPDESKTOP_BLACKLIST[<users>]=*
|
|
|
## APPDESKTOP_WHITELIST[<users>]=xarchiver,xfce4-power-manager-settings
|
|
|
## Скопирует все [/usr/share/applications/*.desktop] в [${USERNAME}/.local/share/applications/] и добавит опцию NoDisplay=true в файлы [${USERNAME}/.local/share/applications/*.desktop]:
|
|
|
## Изменения хранятся в профиле пользователя, для любого режима
|
|
|
|
|
|
## APPDESKTOP_BLACKLIST[LOCAL]=*
|
|
|
## APPDESKTOP_WHITELIST[LOCAL]=xarchiver,xfce4-power-manager-settings
|
|
|
## Скопирует все [/usr/share/applications/*.desktop] в [/usr/share/local/applications/] и добавит опцию NoDisplay=true в файлы [/usr/share/local/applications/*.desktop]:
|
|
|
## В режиме песочницы изменения применяются каждую перезагрузку
|
|
|
## В режиме полного сохранения, вернуть изменения можно только вручную
|
|
|
|
|
|
## APPDESKTOP_BLACKLIST[GLOBAL]=*
|
|
|
## APPDESKTOP_WHITELIST[GLOBAL]=xarchiver,xfce4-power-manager-settings
|
|
|
## Удалит файлы [/usr/share/applications/*.desktop] [/usr/share/local/applications/*.desktop] [/home/*/.local/share/applications/*.desktop]:
|
|
|
## В режиме песочницы изменения применяются каждую перезагрузку
|
|
|
## В режиме полного сохранения, вернуть изменения можно только вручную
|
|
|
|
|
|
#APPDESKTOP_BLACKLIST[user-1]=xarchiver,xfce4-power-manager-settings
|
|
|
#APPDESKTOP_WHITELIST[user-1]=
|
|
|
|
|
|
[/etc/ublinux/desktop]
|
|
|
## Настройка сервисов окружения рабочего стола
|
|
|
################################################################################
|
|
|
## User for X autostarting
|
|
|
## Пользователь для автовхода, AUTOLOGINUSER=, значения:
|
|
|
## =user_name # Включает автовход указанного пользователя
|
|
|
## =yes|=enable # Включает автовход пользователя с id =${ADMUID} по умолчанию =1000, по умолчанию =superadmin
|
|
|
## =no|=disable # Принудительно отключить автологин
|
|
|
## Если задан параметр ${DISPLAYMANAGER_DEFAULTUSER}, то автовход от пользователя переменной
|
|
|
## AUTOLOGINUSER=yes
|
|
|
|
|
|
# Графическая среда по умолчанию может быть изменена
|
|
|
# LXDE+slim - быстрая среда для слабых компьютеров
|
|
|
# GNOME+GDM - альтернативная среда для средних и мощных машин
|
|
|
# DESKTOP=none - отключает графический сервер и загружает систему консоли
|
|
|
#DESKTOP=none
|
|
|
#DISPLAYMANAGER=slim
|
|
|
#DESKTOP=LXDE
|
|
|
#DISPLAYMANAGER=GDM
|
|
|
#DESKTOP=GNOME
|
|
|
#DISPLAYMANAGER=lightdm
|
|
|
#DESKTOP=xfce
|
|
|
#DISPLAYMANAGER_DEFAULTUSER=user-1
|
|
|
|
|
|
## Перечень программ для автозагрузки под указанным пользователем или группой
|
|
|
## AUTOEXEC[<users>,<@groups>]="<de_1>:<appname_1>,<appname_n>;<de_2>:<appname_1>,<appname_n>;<appname_n>"
|
|
|
## <users> # Пользователи, если не указан, то применяется для всех пользователей
|
|
|
## <@group> # Группы, пример: @whell,@users
|
|
|
## <de> # Среда рабочего стола (Desktop environment): kde,gnome,xfce,lxde,lxqt. Не обязательный параметр
|
|
|
## # Разделитель: точка с запятой
|
|
|
## <appname_n> # Имя приложения, может иметь значение .desktop файла или команда запуска. Разделитель: запятая
|
|
|
#AUTOEXEC[user-1,@wheel]="xbindkeys;kde:yakuake;gnome:guake;xfce:plank.desktop,xterm;lxde:guake"
|
|
|
|
|
|
## Простой режим мульти рабочего места MultiSeat, когда в ПК установлено два независимых графических контроллера
|
|
|
## Посмотреть все устройства loginctl seat-status seat0
|
|
|
## lsusb lspci
|
|
|
#MULTISEAT_SIMPLE[НомерМеста]="АдресУстройстваДляМеста1 АдресУстройстваДляМеста..."
|
|
|
#MULTISEAT_SIMPLE[seat1]="/sys/devices/pci0000:00/0000:00:02.0/drm/card0 /sys/devices/pci0000:00/0000:00:02.0/graphics/fb0 /sys/devices/pci0000:00/0000:00:14.0/usb1/1-8 /sys/devices/pci0000:00/0000:00:14.0/usb1/1-7"
|
|
|
#MULTISEAT_SIMPLE[seat2]="/sys/devices/pci0000:00/0000:00:02.0/0000:02:00.0/drm/card2 /sys/devices/pci0000:00/0000:00:14.0/usb2/1-10 /sys/devices/pci0000:00/0000:00:14.0/usb2/1-9"
|
|
|
|
|
|
## Сервис удалённого управления рабочим столом X11 и TTY
|
|
|
## Пароль для VNC сервиса x11vnc-ublinux:*.service. Настроен на работу только по паролю для всех рабочих мест. Создаёт шифрованный пароль в файле /root/.vnc/.passwd
|
|
|
## Поддерживает Multiseat по номеру порта display:0=port:5900 display:1=port:5901 display:2=port:5902
|
|
|
## Пароль кодировать в base64: echo 'ublinux' | base64
|
|
|
## X11VNC[password]=dWJsaW51eAo=
|
|
|
## Дополнительные опции к автоматическому соединению https://manpages.ubuntu.com/manpages/lunar/en/man1/x11vnc.1.html
|
|
|
## X11VNC[options]="-noipv6"
|
|
|
## -noipv6 #
|
|
|
## -ultrafilexfer # Включите расширение передачи файлов UltraVNC
|
|
|
## -tightfilexfer # Включите расширение передачи файлов TightVNC
|
|
|
## -xkb # Если копирование и вставка не работают должным образом с буфером обмена
|
|
|
## -ssl [pem]
|
|
|
## [pem]=file_pem
|
|
|
## [pem]=SAVE
|
|
|
## [pem]=ANON # Аноним Диффи-Хеллмана используется метод обмена ключами, без SSL
|
|
|
## [pem]=TMP
|
|
|
## -unixpw # Что-бы работало, должна быть установлена переменная UNIXPW_DISABLE_SSL=1
|
|
|
## -users unixpw=
|
|
|
## -xdummy
|
|
|
## -avahi # Используйте протокол Avahi/mDNS ZeroConf для объявления этого VNC-сервера на локальном компьютере в сеть
|
|
|
## VNC для управления TTY
|
|
|
## X11VNC[tty1]="-noipv6"
|
|
|
## Пользовательская настройка запуска, new_1..new_2..new_n
|
|
|
## X11VNC[new1]="-no6 -rfbauth /root/.vnc/.passwd -rawfb vt2"
|
|
|
## Отключить автоматическое создание X11VNC для всех дисплеев
|
|
|
## X11VNC[display]=disable || X11VNC[nodisplay]=1 || X11VNC[disable]=1
|
|
|
|
|
|
[/etc/ublinux/video]
|
|
|
## Настройка видеоподсистемы
|
|
|
################################################################################
|
|
|
## Загрузить подходящий видеодрайвер, вначале пытаемся запустить проприетарный, после свободный.
|
|
|
## Модули видеодрайверов с нужной версией должны быть подключены. По умолчанию отключено (no).
|
|
|
## VGADRV_AUTO=yes|*no
|
|
|
#VGADRV_AUTO=yes
|
|
|
|
|
|
## Отключить свободные radeon/nouveau, использовать проприетарные видеодрайвера nvidia/amdgpu,
|
|
|
## при подключенных модулях станут активны проприетарные драйвера. По умолчанию отключено (no).
|
|
|
## VGADRV_NOFREE=yes|*no|nouveau|radeon
|
|
|
## =yes # Отключить nouveau и radeon
|
|
|
## =nouveau # Отключить nouveau
|
|
|
## =radeon # Отключить radeon
|
|
|
## =no # Включить свободные драйвера nouveau и radeon
|
|
|
#VGADRV_NOFREE=yes
|
|
|
|
|
|
## Принудительно добавить и установить разрешение монитора в /etc/X11/xorg.conf.d/
|
|
|
## Перечень имён портов вывода получить по команде: xrandr или xrandr | grep -E "^[A-Z0-9]* connected" | cut -d' ' -f1
|
|
|
## XORG_MONITOR[VGA1]=1920x1080,1600x1200x60,848x480x60,nodpms
|
|
|
## Примеры имени видео порта: VGA1 HDMI1 DP1 DVI1 LVDS1 TV1 VIRTUAL1
|
|
|
## =1920x1080 =1920x1080x75
|
|
|
## cvt , gtf , reduced|r , dpms , nodpms , enable , disable , ignore , primary ,
|
|
|
## lo|LeftOf:{name} , ro|RightOf:{name} , ab|Above:{name} , be|Below:{name} , rotate:normal|left|right|invert
|
|
|
## XORG_MONITOR[VGA1]=1920x1080,ro:hdmi1
|
|
|
|
|
|
## Принудительно задать дополнительные возможности XORG, XORG_EXT=, значения:
|
|
|
## nodpms # Отключить DPMS на XORG глобально
|
|
|
## dpms # Включить DPMS на XORG глобально
|
|
|
## XORG_EXT=nodpms
|
|
|
|
|
|
## Принудительно задать DPI, XORG_DPI=, значения:
|
|
|
## =auto # Автоматически выставить DPI относительно максимального разрешения
|
|
|
## =96 # Значение по умолчнию, масштаб 100%
|
|
|
## =144|=2K # Для мониторов 2K, масштаб 150%
|
|
|
## =192|=4K # Для мониторов 4K, масштаб 200%
|
|
|
## XORG_DPI=192
|
|
|
|
|
|
## драйверы для видеокарт в случае, если проприентарные не доступны или не работают
|
|
|
#FAILSAFENVIDIA=fbdev
|
|
|
#FAILSAFEATI=fbdev
|
|
|
|
|
|
## Перечень программ, которые следует запускать через OPTIRUN для ноутбуков с Nvidia optimus
|
|
|
#OPTIRUN=
|
|
|
|
|
|
## Перечень программ, которые следует запускать через PRIMUSRUN для ноутбуков с Nvidia optimus
|
|
|
#PRIMUSRUN=steam
|
|
|
|
|
|
## При наличии 2х видеокарт (ноутбуки с картами AMD/ATI) по умолчанию используется
|
|
|
## встроенная (intel), отключите параметр INTEGRATEDVGA чтобы использовать AMD/ATI
|
|
|
#INTEGRATEDVGA=no
|
|
|
|
|
|
[/etc/ublinux/theme]
|
|
|
## Настройка тем
|
|
|
################################################################################
|
|
|
# Доступные темы: ublinux(по умолчанию) ublinux-green ublinux-dark
|
|
|
#THEME=ublinux
|
|
|
|
|
|
## Выбор обоев рабочего стола: XFCE4, Plasma
|
|
|
## BACKGROUND_DE=none|</dir/file>|</dir/subdir>
|
|
|
## none # Отключить сборку векторных фирменных обоев /usr/share/backgrounds/background.jpg
|
|
|
## </dir/file> # Выбранный файл установить как обои
|
|
|
## </dir/subdir> # Из каталога, выбрать случайную картинку для обоев
|
|
|
## '#002d55' # Установить сплошным цветом выбранный шестнадцатеричный код цвета
|
|
|
## Если параметр не задан, то фирменные обои по умолчанию собираются в /usr/share/backgrounds/background.jpg
|
|
|
#BACKGROUND_DE=/mnt/livedata/ublinux-data/backgrounds/wallpapers/
|
|
|
|
|
|
## Метод масштабирования: XFCE4, Plasma
|
|
|
## * =0 # Растянуть с обрезкой (по умолчанию)
|
|
|
## =1 # Растянуть пропорционально
|
|
|
## =2 # Растянуть с нарушением пропорций
|
|
|
## BACKGROUND_DE_MODE=0
|
|
|
|
|
|
## Выбор обоев экранного менеджера Display Manager: Lightdm
|
|
|
## BACKGROUND_DM=none|</dir/file>|</dir/subdir>
|
|
|
## none # Отключить сборку векторных фирменных обоев /usr/share/backgrounds/dm.jpg
|
|
|
## </dir/file> # Выбранный файл установить как обои
|
|
|
## </dir/subdir> # Из каталога, выбрать случайную картинку для обоев
|
|
|
## '#002d55' # Установить сплошным цветом выбранный шестнадцатеричный код цвета
|
|
|
## Если параметр не задан, то фирменные обои по умолчанию собираются в /usr/share/backgrounds/dm.jpg
|
|
|
#BACKGROUND_DM=/mnt/livedata/ublinux-data/backgrounds/wallpapers/
|
|
|
|
|
|
## Метод масштабирования экранного менеджера Display Manager: Lightdm
|
|
|
## BACKGROUND_DM_MODE=*0|1|2
|
|
|
## * =0 # Растянуть (по умолчанию)
|
|
|
## =1 # Увеличить
|
|
|
## =2 # Оригинальный размер
|
|
|
## BACKGROUND_DM_MODE=0
|
|
|
|
|
|
## Подписывать режим загрузки системы на обоях в виде иконки
|
|
|
## GRAFFITI=*yes|no
|
|
|
#GRAFFITI=no
|
|
|
|
|
|
[/etc/ublinux/steam]
|
|
|
################################################################################
|
|
|
# Настройки для Steam. Для вынесения данных из профиля используйте 2 переменные
|
|
|
# Настройки клиента ~/.steam. Места занимает немного, переносить имеет смысл только при работе в чистом режиме
|
|
|
# Не назначайте переменную STEAMCONF если стим ещё не установлен!
|
|
|
#STEAMCONF=
|
|
|
# Место для клиента и библиотеки игр. Т.к. это занимает много места, то лучше перенести из домашней папки.
|
|
|
#STEAMAPP=/mnt/livedata/ublinux-data/steam
|
|
|
|
|
|
[/etc/ublinux/clock]
|
|
|
################################################################################
|
|
|
## Синхронизировать аппаратное время, при выключении и при включении
|
|
|
## HWCLOCK_SYNC=*utc|localtime
|
|
|
## * =utc # Синхронизировать аппаратное время по UTC
|
|
|
## =localtime # Синхронизировать аппаратное время по локальному времени
|
|
|
#HWCLOCK_SYNC=localtime
|
|
|
|
|
|
## Установка часового пояса * =UTC
|
|
|
## ZONE=...
|
|
|
## * =Etc/UTC # Time zone for UTC MSK-3
|
|
|
## =Europe/Kaliningrad # Time zone for UTC+2 MSK-1
|
|
|
## =Europe/Moscow # Time zone for UTC+3 MSK
|
|
|
## =Europe/Samara # Time zone for UTC+4 MSK+1
|
|
|
## =Asia/Yekaterinburg # Time zone for UTC+5 MSK+2
|
|
|
## =Asia/Omsk # Time zone for UTC+6 MSK+3
|
|
|
## =Asia/Krasnoyarsk # Time zone for UTC+7 MSK+4
|
|
|
## =Asia/Irkutsk # Time zone for UTC+8 MSK+5
|
|
|
## =Asia/Chita # Time zone for UTC+9 MSK+6
|
|
|
## =Asia/Yakutsk # Time zone for UTC+10 MSK+7
|
|
|
## =Asia/Vladivostok # Time zone for UTC+11 MSK+8
|
|
|
## =Asia/Magadan # Time zone for UTC+12 MSK+9
|
|
|
#ZONE=Europe/Moscow
|
|
|
|
|
|
[/etc/ublinux/locale]
|
|
|
################################################################################
|
|
|
#LOCALE="en_US.UTF-8,ru_RU.UTF-8"
|
|
|
#LANG="ru_RU.UTF-8"
|
|
|
#CONSOLE_FONT="lat0-16"
|
|
|
|
|
|
[/etc/ublinux/keyboard]
|
|
|
################################################################################
|
|
|
## Режим работы клавиатуры NumLock. По умолчанию включено, если нет тачпада.
|
|
|
## NUMLOCK=*yes|no|on|off
|
|
|
#NUMLOCK=off
|
|
|
|
|
|
#XKBMODEL=pc105
|
|
|
#XKBLAYOUT="us,ru"
|
|
|
#XKBVARIANT="ru"
|
|
|
#Переключение раскладки клавиатуры в X: grp:lalt_lshift_toggle
|
|
|
#XKBOPTIONS=grp:lalt_lshift_toggle,grp_led:scroll,compose:rwin
|
|
|
|
|
|
#CONSOLE_KEYMAP="ru"
|
|
|
#Переключение раскладки клавиатуры в консоли: grp:lalt_lshift_toggle
|
|
|
#CONSOLE_KEYMAP_TOGGLE="grp:lalt_lshift_toggle"
|
|
|
|
|
|
[/etc/ublinux/ubm]
|
|
|
################################################################################
|
|
|
#UBMDIR=/var/lib/ubmodules
|
|
|
#EXT=ubm
|
|
|
#compression="${MKSQFS_OPTS}"
|
|
|
#compression="-b 512K -comp xz -Xbcj x86"
|
|
|
#compression_fast="${MKSQFS_FASTALG}"
|
|
|
#compression_fast="-b 512K -comp lz4 -Xhc"
|
|
|
|
|
|
[/etc/ublinux/nfs-server]
|
|
|
#Строгая привязка служб NFS сервера к работе через определенные порты (полезно при работе в сети через межсетевой экран)
|
|
|
################################################################################
|
|
|
#RPCMOUNTD_OPTIONS="--port 4002"
|
|
|
|
|
|
[/etc/ublinux/nfs-common]
|
|
|
################################################################################
|
|
|
#STATD_OPTIONS="--port 4000"
|
|
|
|
|
|
[/etc/ublinux/network-scripts/ifcfg-Default_WIFI]
|
|
|
# Подключение к точке доступа My WIFI с паролем Password
|
|
|
################################################################################
|
|
|
#NAME=Default_WIFI
|
|
|
#MODE=Managed
|
|
|
#TYPE=Wireless
|
|
|
#BOOTPROTO=dhcp
|
|
|
#DEFROUTE=yes
|
|
|
#IPV4_FAILURE_FATAL=yes
|
|
|
#IPV6INIT=no
|
|
|
#ONBOOT=yes
|
|
|
#PEERDNS=yes
|
|
|
#PEERROUTES=yes
|
|
|
#MAC_ADDRESS_RANDOMIZATION=default
|
|
|
# Название точки доступа
|
|
|
#ESSID="My WIFI"
|
|
|
# Если точка бесплатная (аэропорт или кафе) - закомментировать ключ, секция с паролем тогда не нужна
|
|
|
#KEY_MGMT=WPA-PSK
|
|
|
|
|
|
[/etc/ublinux/network-scripts/keys-Default_WIFI]
|
|
|
################################################################################
|
|
|
#WPA_PSK='Password'
|
|
|
|
|
|
[/etc/ublinux/network-scripts/ifcfg-eth0]
|
|
|
################################################################################
|
|
|
#DEVICE=eno1
|
|
|
# Автоподнятие сетевого интерфейса
|
|
|
#ONBOOT=yes
|
|
|
# Альтернативный DHCP клиент
|
|
|
#DHCP_CLIENT=udhcpc
|
|
|
# Пример настройки постоянного адреса
|
|
|
# =none|static — No boot-time protocol should be used.
|
|
|
# =bootp — The BOOTP protocol should be used.
|
|
|
# =dhcp — The DHCP protocol should be used.
|
|
|
#BOOTPROTO=static
|
|
|
#IPADDR=192.168.1.32
|
|
|
#NETMASK=255.255.255.0
|
|
|
#GATEWAY=192.168.1.1
|
|
|
#MII_NOT_SUPPORTED=no
|
|
|
#DNS1=192.168.1.1
|
|
|
|
|
|
[/etc/ublinux/network-scripts/ifcfg-wlan0]
|
|
|
################################################################################
|
|
|
#ONBOOT=yes
|
|
|
# Set it empty for autodetection
|
|
|
# При указании пустого значения будет выполнен поиск доступных сетей
|
|
|
#WIRELESS_ESSID=
|
|
|
# Для создания точки доступа используйте такие параметры
|
|
|
# (необходимо также включить службу hostapd dhcpd,
|
|
|
# открыть в межсетевом экране 67 порт UDP, а также, возможно, включить ROUTER)
|
|
|
#ONBOOT=yes
|
|
|
#MII_NOT_SUPPORTED=yes
|
|
|
#USERCTL=no
|
|
|
#BOOTPROTO=static
|
|
|
#IPADDR=192.168.2.31
|
|
|
#NETMASK=255.255.255.0
|
|
|
# При подключении через ad-hoc нужно задать постоянные адреса
|
|
|
#WIRELESS_MODE=ad-hoc
|
|
|
#WIRELESS_ESSID=ublinux
|
|
|
#WIRELESS_CHANNEL=1
|
|
|
#BOOTPROTO=static
|
|
|
#IPADDR=192.168.2.32
|
|
|
#NETMASK=255.255.255.0
|
|
|
#GATEWAY=192.168.2.1
|
|
|
#MII_NOT_SUPPORTED=yes
|
|
|
#DNS1=192.168.2.1
|
|
|
|
|
|
[/etc/polipo/config]
|
|
|
################################################################################
|
|
|
## В настройках прокси сервера polipo можно перенаправить весь поток на другой сервер
|
|
|
## это может быть и обычный сервер и служба tor
|
|
|
#socksParentProxy="localhost:9050"
|
|
|
#socksProxyType=socks5
|
|
|
|
|
|
[/etc/hostapd/hostapd.conf]
|
|
|
# Настройки wifi карты в режиме точки доступа
|
|
|
################################################################################
|
|
|
#driver=nl80211
|
|
|
#ssid=ublinux
|
|
|
#country_code=RU
|
|
|
#hw_mode=g
|
|
|
#channel=11
|
|
|
# Пароль к wpa2
|
|
|
#wpa_passphrase=ublinux
|
|
|
# переключение в режим открытой wep сети
|
|
|
#wpa=0
|
|
|
|
|
|
[/etc/pdnsd.conf]
|
|
|
################################################################################
|
|
|
# принимать запросы от других компьютеров в сети
|
|
|
#server_ip=any;
|
|
|
# адрес основного DNS сервера, откуда брать запросы
|
|
|
#ip=77.88.8.8;
|
|
|
|
|
|
[/etc/profile.d/ublinux.sh]
|
|
|
################################################################################
|
|
|
# Перенос временных файлов КДЕ4 в отдельную папку. Убирает притормаживание главного меню в КДЕ4
|
|
|
#export KDEVARTMP=/mnt/livedata/ublinux-data/tmp
|
|
|
|
|
|
# Если на видеокарте nvidia наблюдается эффект разрыва окон, то есть 2 варианта борьбы с этим
|
|
|
# Выберите один из вариантов, не включайте сразу 2 переменные сразу
|
|
|
# 1 вариант. Может снизить производительность в играх
|
|
|
#export __GL_YIELD=USLEEP
|
|
|
# 2 вариант. Не на каждой видеокарте может сработать
|
|
|
#export KWIN_TRIPLE_BUFFER=1
|
|
|
|
|
|
[/etc/laptop-mode/laptop-mode.conf]
|
|
|
################################################################################
|
|
|
# Отключение парковки жесткого диска на ноутбуках
|
|
|
#CONTROL_HD_POWERMGMT=1
|
