Консольный режим установки


1. О консольном режиме установки

Процесс консольной установки состоит из следующих шагов:
- выбор уровня защищенности в соответствии с приобретенной лицензией;
- принятие условий лицензионного соглашения;
- настройка параметров системы;
- подтверждение установки;
- перезагрузка устройства после окончания установки;
- первый запуск ОС после успешной установки.

Кнопки управления ходом процесса:
- [Далее] --- перейти на следующий экран;
- [Вернуться] --- вернуться к предыдущий экран;
- [Установить] --- установить ОС.

Для перемещения по меню и установки значений используются клавиши (подсказка внизу экрана):
- <Стрелка_влево>, <Стрелка_вправо>, <Стрелка_вверх> и <Стрелка_вниз> --- перемеcтить курсор, соответственно, влево, вправо, вверх и вниз;
- <Tab> --- для перемещения курсора между элементами интерфейса по порядку;
- <Пробел> --- для просмотра выпадающего списка, выбора параметра, нажатия кнопки;
- <Esc> --- для закрытия выпадающего списка или окна, отмена;
- <F1> --- для просмотра справки по программе установки;
- <F10> --- для завершения работы программы установки;
- <Ctrl+left_Alt+FN> (где <FN> --- клавиша <F1>-<F7>) --- для перехода на соответствующую консоль:
	- tty1 --- для выполнения программы установки;
	- tty2-tty6 --- для отладки.


2. Лицензия

На экране <<Лицензия>> содержится текст лицензионного соглашения, в соответствии с которым поставляется устанавливаемая ОС.

Для продолжения установки необходимо на экране <<Лицензия>> выполнить следующие действия:
1) выбрать соответствующий приобретенной лицензии уровень защищенности;
	- Базовый уровень защищенности (<<Орел>>);
	- Усиленный уровень защищенности (<<Воронеж>>);
	- Максимальный уровень защищенности (<<Смоленск>>).
	Примечание. В зависимости от выбранного уровня защищенности будут доступны для установки соответствующие функции безопасности;
2) ознакомиться с условиями лицензии;
3) принять условия лицензии, установив флаг <<Принимаю условия Лицензионного соглашения>>;
4) нажать кнопку [Далее].

Лицензионное соглашение также доступно для ознакомления на официальном сайте 
изготовителя по ссылке https://astra.ru/info/law/.


3. Установка значений параметров ОС

После принятия лицензионного соглашения откроется экран <<Настройки>> для установки значений параметров ОС.

На экране <<Настройки>> следует задать параметры устанавливаемой ОС, а также выполнить разметку.

Параметры устанавливаемой ОС сгруппированы по типу.


3.1. Региональные настройки

В секции <<Региональные настройки>> экрана <<Настройки>> приведен набор параметров, определяющих локализацию ОС и настройки времени:
- в поле <<Переключения языка>> выбрать комбинацию клавиш для смены языка ввода. По умолчанию выбрана комбинация <Alt+Shift>;
- в поле <<Системный язык>> выбрать язык устанавливаемой ОС. Выбрать можно русский или английский язык. По умолчанию выбран русский язык;
- в поле <<Часовой пояс>> выбрать временную зону UTC, в соответствии с которой будет скорректировано системное время;
- в поле <<Дата>> установить текущую дату;
- в поле <<Время>> установить текущее время, если оно отличается от системного.


3.2. Настройки авторизации

В секции <<Настройки авторизации>> экрана <<Настройки>> необходимо задать пароль для учетной записи администратора. Также возможно настроить учетную запись администратора, имя компьютера и задать пароль загрузчика.

Для настройки учетной записи администратора в секции <<Настройки авторизации>> экрана <<Настройки>>:
- необходимо задать пароль --- ввести его в полях <<Пароль>> и <<Подтверждение пароля>>. Пароль должен содержать не менее восьми символов. Рекомендуется использовать сложный пароль, содержащий символы хотя бы трех групп из следующих:
	- буквы латинского алфавита в верхнем и нижнем регистре; 
	- цифры; 
	- знаки препинания; 
	- математические знаки;
	- специальные символы.
- возможно изменить имя учетной записи администратора --- для этого отредактировать поле <<Имя администратора>>. По умолчанию для учетной записи администратора задано имя `administrator`. Имя должно начинаться со строчной латинской буквы, за которой может следовать любая комбинация строчных латинских букв, цифр и знаков дефис. Имя должно содержать не менее одного и не более 32 символов.

Имя компьютера может использоваться для идентификации компьютера в сети. Имя компьютера указывается в поле <<Имя компьютера>>. По умолчанию компьютеру присваивается имя `astra`. При необходимости имя компьютера может быть изменено. Имя компьютера может содержать цифры, строчные и прописные латинские буквы и знак <<дефис>> (<<->>). Имя компьютера не может начинаться или заканчиваться знаком <<дефис>> (<<->>). Имя компьютера должно содержать не менее одного и не более 63 символов.

По умолчанию для загрузчика устанавливается пароль, совпадающий с паролем администратора. Для установки другого пароля необходимо выбрать пункт <<Настройки пароля GRUB>> и в полях <<Пароль>> и <<Подтверждение пароля>> задать пароль для загрузчика (требования аналогичны требованиям для пароля учетной записи администратора). Для установки загрузчика без пароля снять флаг <<Установить пароль загрузчика (GRUB)>>.


3.3. Другие настройки

В секции <<Другие настройки>> экрана <<Настройки>> следует настроить разметку диска, также возможно настроить список устанавливаемых наборов ПО и выбрать версию ядра Linux.

Для просмотра списка наборов ПО выбрать пункт <<Компоненты ОС>>, для установки доступны следующие наборы ПО:
- <<Графический интерфейс Fly>> --- графическое окружение рабочего стола и приложения Fly. По умолчанию флаг установлен. Если флаг снять, то в установленной ОС будет доступен только консольный режим.
- <<Средства работы с Интернет>> --- программы для работы в сети Интернет, отправки и получения электронных сообщений и др. По умолчанию флаг установлен;
- <<Офисные приложения>> --- пакет программ LibreOffice и дополнительные средства работы с текстом, средства печати и сканирования. По умолчанию флаг установлен;
- <<Средства работы с графикой>> --- графические редакторы для работы с векторной и растровой графикой. По умолчанию флаг установлен;
- <<Средства мультимедиа>> --- программы для воспроизведения аудио и видео файлов. По умолчанию флаг установлен;
- <<Средства виртуализации>> --- средства создания среды виртуализации и базовые средства управления виртуальными машинами. По умолчанию флаг не установлен.  Если установлен флаг <<Средства фильтрации сетевых пакетов ufw>>, то при возврате к основному экрану данный флаг будет снят;
- <<Игры>> --- набор игр. По умолчанию флаг не установлен;
- <<Консольные утилиты>> --- программы с текстовым интерфейсом. По умолчанию флаг установлен;
- <<Средства фильтрации сетевых пакетов ufw>> --- межсетевой экран ufw c настроенными профилями. По умолчанию флаг установлен. Если установлен флаг <<Средства виртуализации>>, то при возврате к основному экрану данный флаг будет снят;
- <<Расширенные средства работы с сенсорным экраном>> --- различное ПО для поддержки сенсорных экранов;
- <<Средства удаленного подключения SSH>> --- средства удаленного подключения к компьютеру по SSH, сервер OpenSSH. По умолчанию флаг не установлен;

Следует отметить необходимые наборы ПО. Требуемые пакеты для выбранных наборов ПО будут установлены автоматически. Для сохранения и возврата к основным настройкам выбрать [Да], для возврата к основным настройкам без сохранения выбрать [Отмена].

Для настройки функций безопасности ОС, автоматической настройки сети и выбора времени в качестве системного выбрать пункт <<Дополнительные настройки>>

Список доступных функций безопасности зависит от выбранного уровня защищенности.

На каждом уровне защищенности доступны функции безопасности предыдущего уровня защищенности.

Функции безопасности базового уровня защищенности (<<Орел>>):

- <<Запрет вывода меню загрузчика>> --- при установке данного флага меню загрузчика GRUB2 не будет отображаться. Загрузка ядра ОС будет выполняться в соответствии со значением по умолчанию. По умолчанию флаг не установлен;
- <<Запрет трассировки ptrace>> --- при установке данного флага будет отключена возможность трассировки и отладки выполнения программного кода. По умолчанию флаг установлен;
- <<Запрос пароля для команды sudo>> --- при установке данного флага будет включено требование ввода пароля при использовании механизма sudo. По умолчанию флаг установлен;
- <<Запрет установки бита исполнения>> --- при установке данного флага будет включен режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного создания пользователями исполняемых сценариев 	для командной оболочки. По умолчанию флаг не установлен;
- <<Запрет исполнения скриптов пользователя>> --- при установке данного флага будет заблокировано интерактивное использование пользователем интерпретаторов. По умолчанию флаг не установлен;
- <<Запрет исполнения макросов пользователя>> --- при установке данного флага будет заблокировано исполнение макросов в стандартных приложениях. По умолчанию флаг не установлен;
- <<Запрет консоли>> --- при установке данного флага пользователям будет заблокирован консольный вход в систему и запуск консоли из графической сессии пользователя. По умолчанию флаг не установлен;
- <<Системные ограничения ulimits>> --- при установке данного флага будет доступна возможность настройки и установки квот на использование некоторых ресурсов системы. По умолчанию флаг не установлен;
- <<Запрет автонастройки сети>> --- при установке данного флага будет отключена автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию флаг не установлен;
- <<Местное время для системных часов>> --- при установке данного флага системные часы будут установлены на местное время. Рекомендуется включить при совместной работе на компьютере с операционными системами семейства Windows. По умолчанию флаг не установлен.

Для усиленного уровня защищенности («Воронеж») доступны все функции безопасности базового уровня защищенности (<<Орел>>), а также следующие:

- <<Мандатный контроль целостности>> --- при установке данного флага будет включен мандатный контроль целостности. По умолчанию флаг установлен;
- <<Замкнутая программная среда>> --- при установке данного флага будет включен механизм, обеспечивающий динамический контроль неизменности (целостности) и подлинности файлов. По умолчанию флаг не установлен;
- <<Очистка освобождаемой внешней памяти>> --- при установке данного флага будет включен режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию флаг не установлен.

Для максимального уровня защищенности («Смоленск») доступны все функции безопасности усиленного уровня защищенности (<<Воронеж>>), а также <<Мандатное управление доступом>> --- при установке данного флага будет включено мандатное управление доступом. По умолчанию флаг установлен.

Следует выбрать функции безопасности ОС, которые будут автоматически включены в устанавливаемой ОС.

При установке ОС будет установлено основное ядро Linux (generic), которое предназначено для эксплуатации в защищенных системах и реализует функциональные возможности по защите информации.

В ядре generic реализованы функциональные возможности ядра, повышающие общую безопасность системы, в том числе очистка остаточной информации в ядерном стеке (STACKLEAK), безопасное выделение областей оперативной памяти, ограничение прав доступа к страницам памяти.

Для выбора устанавливаемого ядра ОС следует выбрать пункт <<Ядро для установки>>, выбрать нужное ядро и нажать <Enter> для возврата к экрану <<Настройки>>.


3.4. Разметка диска

Для настройки разметки диска следует в секции <<Другие настройки>> выбрать пункт <<Разметка диска>>.


3.4.1. Профили разметки

Инструменты разметки позволяют:

1) выбрать профиль (шаблон) разметки диска;
2) выбрать устройство (диск) для разметки;
3) выбрать тип таблицы разделов --- GPT или MBR (msdos).

Диск для выполнения разметки необходимо выбрать в пункте <<Система будет установлена на выбранный диск>>.

Для автоматической разметки необходимо в пункте <<Конфигурация разметки диска>> выбрать подходящую:

1) <<Использовать весь диск>> --- шаблон разметки для маленьких дисков (до 40 ГБ), например при установке ОС на виртуальную машину. Для системного раздела используется файловая система EXT4;
2) <<Отдельный /home раздел>> --- шаблон разметки с домашним каталогом, выделенным в отдельный раздел. Для создаваемых разделов используется файловая система EXT4;
3) <<Использовать весь диск и настроить LVM>> --- шаблон разметки для дисков объемом более 40 ГБ. Для системного раздела используется файловая система EXT4;
4) <<Использовать защитное преобразование на LVM>> --- шаблон разметки, аналогичный шаблону  <<Использовать весь диск и настроить LVM>>, но с защитным преобразованием системного раздела. При выборе данного шаблона разметки будет предложено установить ключевую фразу защитного преобразования;
5) <<Использовать весь диск и настроить XFS>> --- шаблон разметки, аналогичный шаблону <<Использовать весь диск>>. Для системного раздела используется файловая система XFS;
6) <<Использовать защитное преобразование на XFS>> --- шаблон разметки, аналогичный шаблону  <<Использовать весь диск и настроить XFS>>, но с защитным преобразованием системного раздела. При выборе данного шаблона разметки будет предложено установить ключевую фразу защитного преобразования. Для системного раздела используется файловая система XFS;
7) <<Разметка диска согласно ``Red Book``>> --- шаблон разметки, соответствующий рекомендациям по защите информации, использующий защитное преобразование. Данный шаблон создает следующие дополнительные разделы:
	а) /boot --- раздел для загрузочных данных;
	б) /home --- раздел для домашних каталогов пользователей;
	в) /tmp --- раздел для временных файлов, удаляемых при перезагрузке;
	г) /var/tmp --- раздел для временных файлов. сохраняемых при перезагрузке;
	Для создаваемых разделов используется файловая система EXT4. При выборе данного шаблона разметки будет предложено установить ключевую фразу защитного преобразования.

Требования к ключевой фразе аналогичны требованиям к паролю администратора.

Возможно выполнение разметки вручную, для этого необходимо выбрать одну из конфигураций и изменить ее.

Для выбора типа таблицы разделов GPT --- установить флаг <<Использовать таблицу разделов GPT>>, для выбора таблицы разделов MBR --- снять флаг <<Использовать таблицу разделов GPT>>.


3.4.2. Редактирование разметки

В выбранную конфигурацию разметки можно внести изменения, для этого нажать клавишу <F2>.

Для редактирования доступны:
1) изменение файловой системы разделов;
2) установка или изменение метки разделов;
3) установка или изменение точки монтирования разделов;
4) удаление разделов и создание новых разделов в освободившемся после удаления разделов пространстве;
5) изменение области подкачки.

Для выполнения ручной разметки следует отредактировать, закомментировать или удалить существующие строки или добавить новые.


3.4.3. Таблицы разделов

ВНИМАНИЕ! В случае если диск содержит данные и его нельзя отформатировать, то создавать таблицу разделов нельзя. В таком случае рекомендуется создать необходимые для ОС разделы с помощью специальных программ для разметки диска.

Если диск пустой или может быть отформатирован, то необходимо создать на нем таблицу разделов.

Таблица разделов msdos поддерживается на всех компьютерах. Но в таблице разделов типа msdos может быть не более четырех первичных разделов. В примере описывается разметка с таблицей разделов GPT.

Создание таблицы разделов GPT задается строкой:
	clearpart --all --drives=/dev/<устройство> --disklabel=gpt


3.4.4. Загрузочный раздел

Загрузочный раздел задается строками:
	bootloader --boot-drive=/dev/<устройство> --location=partition

	part /boot --label=boot --fstype=ext2 --size=1024 --asprimary


3.4.5. Группа томов LVM

При создании раздела группы томов LVM рекомендуемой конфигурации следует использовать все оставшееся свободное пространство диска либо задать необходимый размер области с учетом следующего:
1) корневой раздел --- не менее 8 ГБ;
2) раздел `/home` и другие --- размер с учетом предполагаемого сценария использования.

Группа томов LVM задается строками:
	part pv.lvm_part --grow --asprimary

	volgroup VG pv.lvm_part
	logvol / --fstype=ext4 --name=lv_root --vgname=VG --recommended
	logvol /home --fstype=ext4 --name=lv_home --vgname=VG --recommended


3.4.6. Настройка области подкачки

Для обеспечения возможности гибернации и повышения производительности при недостаточной оперативной памяти компьютера используется область подкачки.

Область подкачки может быть выделена в качестве файла и/или дискового раздела. Рекомендуется вместо раздела подкачки использовать файл подкачки.

При объеме оперативной памяти больше 64 ГБ область подкачки не требуется. Если область подкачки не требуется, то закомментировать строки файла/раздела подкачки.

Раздел подкачки задается строкой:
	logvol swap --fstype=swap --name=lv_swap --vgname=VG --recommended

Файл подкачки задается строкой:
	swapfile --path=/ --recommended

Для устанавливаемой ОС возможно создать и раздел подкачки, и файл подкачки.


3.4.7. Завершение разметки

Для завершения разметки диска выбрать [Применить], для отмены сделанных изменений разметки выбрать [Отменить].

Разметка будет выполнена при установке ОС.


4. Выполнение установки ОС

После задания всех необходимых параметров на экране <<Настройки>> и выполнения разметки перейти к установке ОС.

Если после установки не требуется автоматически перезапустить компьютер, то снять флаг <<Перезагрузить компьютер после завершения установки>>. По умолчанию флаг установлен.

Для начала установки ОС выбрать [Установить], затем в окне подтверждения также выбрать [Установить]. После подтверждения будет отображена шкала прогресса установки ОС. 

Для перехода к предыдущему экрану программы установки на любом экране выбрать [Вернуться].

После установки ОС протокол установки и сообщения об ошибках доступен в файле `/var/log/astra-installer.log`. 

Если был установлен флаг <<Перезагрузить компьютер после завершения установки>>, то после успешного завершения установки ОС компьютер будет перезагружен автоматически.

Если не был установлен флаг <<Перезагрузить компьютер после завершения установки>>, то после завершения установки ОС необходимо перезагрузить компьютер вручную, нажав кнопку [Перезагрузить].

