~Rami ₪ MANUALS
רמי
SUBJECT: Fedora GNU/Linux (GNOME): Полное описание установки и преднастройки ОС и прикладного ПО
AUTHOR: Rami Rosenfeld
DATE: 09/11/25
TIME: 11.00
LANG: ru, en
LICENSE: GNU FDL 1.3
TAGS: gnu, fedora, gnome, software, opensource, linux, system, man, manual, bash, privacy, security, rhel, de, systemd, systemctl, selinux, firewalld, dnf
Fedora GNU/Linux (GNOME): Полное описание установки и преднастройки ОС и прикладного ПО
INTRO
Fedora Workstation 43 (официальный релиз; октябрь 2025 г.)
Версия GNOME: 49.1
Версия Kernel: 6.17.7-300
Компоненты: Wayland, DNF5, LUKS2, GDM, SELinux (enforcing), BTRFS
Полнодисковое шифрование
ВРЕМЯ ЗАГРУЗКИ ("холодный старт") после очистки ОС и ненужного ПО, обновления системы и установки всех служебных и прикладных программ - отсчитывалось от момента ввода пароля полнодискового шифрования и до момента ввода пароля пользователя (GDM): 4 секунды.
ВРЕМЯ "ХОЛОДНОГО" ВЫКЛЮЧЕНИЯ (т.е. НЕ гибернации): 2 секунды.
ПОТРЕБЛЕНИЕ RAM после очистки ОС и ненужного ПО: 1,4 Gb.
ЗАНЯТЫЙ ОБЪЕМ НОСИТЕЛЯ (сюда входит сама система и все прикладное и служебное ПО, перечисленное в данном руководстве) - около 6 Gb.
СХЕМА РАЗМЕТКИ НОСИТЕЛЯ
Примечание: я впервые в жизни отступил от настоятельно рекомендуемой мною ранее схемы "ручного" разбития разделов на физические - "/boot" (EXT2), "/boot/efi", "/" (EXT4), "/home" (EXT4), воспользовавшись в тестовых целях автоматическим разбиением (с Guid Partition Table). Результат:
/boot - физический; 1 Gb (рекомендовано 2 Gb), EXT4;
/boot/efi - физический; 630 Mb;
/ и /home - физический; шифрованный LUKS2, BTRFS; занимает все оставшееся пространство.
Примечание: раздел /swap не нужен, т.к. все временные данные выгружаются в ZRAM.
ОБЪЕМ ЗАГРУЖАЕМЫХ ПАКЕТОВ ПРИ ПЕРЕХОДЕ СО ПРЕДШЕСТВУЮЩЕГО РЕЛИЗА НА НОВЫЙ (т.е., по сути, ВСЕ файлы самой ОС и установленного ПО) в сжатом виде - 2 Gb.
NOTE
Часть 1. Root password: Установка пароля администратора и запрет административных действий непривилегированным пользователям
- ПАРОЛЬ ROOT
Если пароль root не был определен при первичной (свежей) инсталляции ОС, задайте его командой:
sudo passwd root
Примечание: это первый и последний случай, когда мы используем sudo! Далее оно будет запрещено.
- ROOT LOGIN: ПОЛУЧЕНИЕ ПРАВ АДМИНИСТРАТОРА ДЛЯ УПРАВЛЕНИЯ ОС
Пример входа и последующего выхода из аккаунта root:
su -
[запрос и ввод пароля root]
exit
[выход]
- ЗАПРЕТ ИСПОЛНЕНИЯ КРИТИЧНО-АДМИНИСТРАТИВНЫХ КОМАНД ПОЛЬЗОВАТЕЛЯМИ, ЗАПРЕТ ПУСТОГО ПАРОЛЯ
Примечание: я настоятельно рекомендую удалить все привилегии, связанные с временным повышением прав до администраторских, у ВСЕХ пользователей. Для этого выполните команду (откроется редактор nano):
visudo
1. Закомментируйте с помощью знака "#" строки "%wheel", следующие после заголовков:
- "Allows people in group wheel to run all commands";
- "Same thing without a password".
2. Добавьте также во второй строке (см. ниже) значение:
", !/usr/bin/passwd root"
чтобы предотвратить изменения пароля администратора (root) любым из пользователей с повышенными административными привилегиями, обеспечиваемыми командой sudo:
## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL, !/usr/bin/passwd root ## Same thing without a password # %wheel ALL=(ALL) NOPASSWD: ALL
3. Удаление текущего (и иных) пользователей из группы wheel:
Предварительная проверка наличия пользователей в группе wheel:
cat /etc/group
(...)
wheel:x:10:your_name
Удаление отдельного пользователя из группы:
gpasswd -d your_name wheel
ВАЖНО! В последней приведенной выше команде вы должны удалить СВОЕ ИМЯ (т.е. логин, под которым вы зарегистрированы в ОС)! Это предотвратит выполнение административных функций посредством sudo. После удаления выполните проверку правильности действий, выполнив:
sudo ls /root
[sudo] password for aviv:
[ВВОД ВАШЕГО ПАРОЛЯ]
your_name is not in the sudoers file.
- СОЗДАНИЕ АЛИАСОВ ДЛЯ ROOT В .BASHRC АДМИНИСТРАТОРА
nano .bashrc
alias temp='sensors && hddtemp'
alias rm='rm -iv'
alias cp='cp -iv'
alias mv='mv -iv'
alias ls='ls --time-style=long-iso -lhaF1g --group-directories-first'
alias eraser='shred -n 7 -f -u -z -v'
alias alert='journalctl -p alert -r'
alias crit='journalctl -p crit -r'
alias yesterday='journalctl --since yesterday -r'
alias du='du -h --time=access --time-style=long-iso'
alias dud='du -sh'
Часть 2. Очистка ОС после инсталляции
ВАЖНО: Не пренебрегайте тщательной очисткой ОС после ее установки: она значительно экономит как дисковое пространство в разделе "/", так и оперативную память (из-за отключения/удаления ненужных сервисов и удаления иного ПО ее потребление значительно снижается). В рассматриваемой версии Fedora GNOME 43 (ноябрь 2025 г.) были удалены 421 пакета общим объемом 1 GiB. А в Fedora MATE 36 (сентябрь 2022 г.) после очистки в соответствии с моими инструкциями было удалено целых 1832 Мб на HDD; объем занимаемой RAM после перезагрузки составил всего 398 Мб!
- ОПИСАНИЕ ДЕИНСТАЛЛИРУЕМЫХ ПАКЕТОВ
- anaconda - удобный, наглядный и тысячу раз испытанный графический инсталлятор ОС; однако он абсолютно не нужен после ее установки; особенно если учитывать, что его интерфейс переработан на веб-технологии и, увы, подвергся значительному упрощению.
- blivet - (TUI+GUI) - еще один инсталлятор ОС; достаточно хорош, но сакральный смысл его сушествования (при наличии anacond'ы) мне не столь ясен.
- flatpak - средство установки "самодостаточных" пакетов, т.е. типичный windows-way! Удаляем, не задумываясь! Относится к т.н. "слабым зависимостям", но очень навязчив и может беспричинно возникнуть при обновлении ОС, после чего его опять приходится деинсталлировать. Будьте иакже крайне внимательны: в последующих версиях ОС Flatpak может быть "жестко" встроен в систему!
- abrt gnome-abrt - расширенное средство мониторинга проблем и сбоев ядра, ОС и ПО с функциями отсылки багрепортов (вручную, с явного согласия пользователя): оставьте, если хотите помочь проектами Fedora (Kernel.org, etc.) в анализе и исправлении ошибок. Однако я удаляю его сразу после установки.
- tracker - самый сложный и неприятный вопрос в очистке ОС (с GNOME), ибо эта система индексации файлов/каталогов, тэгов, RSS, онлайн-контента и т.п. настолько жестко встроена в нативный GNOME 40+, что ее нельзя удалить просто по маске tracker* (как это можно с легкостью сделать в MATE). Tracker и его многочисленные службы находятся в автозагрузке, поглощают оперативную память, ресурсы процессора, а сама индексация, в частности - на слабых старых машинах, изредка приводит к подвисанию ОС. Кроме того, она создает объемную базу данных, которая захламляет свободное пространство на носителе. Подробнее см. руководство: "Tracker: Полное отключение (маскировка) системы индексации".
- gnome-boxes - виртуальная машина GNOME.
- gnome-system-monitor - информативный системный монитор; удобен, если надо отследить соответствие процесса имени его сокета или сервиса; впрочем, мне с лихвой хватает systemd и htop.
- gnome-calendar - достаточно хороший календарь, интегрированный также и в системный трей (верхнюю панель GNOME Shell), но я предпочитаю пользоваться консольным ПО.
- gnome-weather - красивый и информативный прогноз погоды, аналогично интегрированный в системный трей: меняем на консольный.
- gnome-maps - онлайн-карты.
- gnome-clocks - часы, будильники, секундомеры, мировое время.
- gnome-contacts - удобное системное хранилище контактов; но лучше пользоваться встроенной функциональностью Evolution, Thunderbird, Claws Mail или использовать консольный Abook.
- gnome-user-docs - незначительная документация (напрямую не относящаяся к стандартным man'ам).
- gnome-tour - "ознакомительный тур" по GNOME для новичков.
- gnome-software - центр приложений и обновлений ОС, GNOME и стороннего прикладного ПО (в том числе и пакетов flatpak); однако вся его функциональность с лихвой перекрывается командами dnf search/info/install/remove.
- gnome-connections - простое GUI для подключения к удаленным машинам по протоколам VNC и RDP.
- gnome-font-viewer - средство просмотра шрифтов.
- gnome-characters (бывший gucharmap) - средство просмотра символов.
- orca - средство озвучивания; экранный диктор.
- spice-vdagent - агент, позволяющий клиентам-гостям, подключающимся к вашему Linux-хосту, пользоваться буфером обмена, функциями мыши и прочими удобствами. Никаких "гостей" я однозначно у себя не жду, а посему - сразу же удаляю. И вам настоятельно советую!
- avahi - система, позволяющая при подключении к сети "публиковать" сведения о появившейся машине и опознавать окружение; однако внутренними сетями я не пользуюсь, поэтому удаляю для пущей безопасности.
- baobab - он же "disk usage analizer", графический аналог команды du или ncdu.
- papers - (бывшее Evince) средство просмотра электронных документов PDF/DejaVue. Не удаляйте этот пакет, если не имеете другого ПО; мне же пришлось деинсталлировать его, т.к. ранее у меня был установлен Evince, оставшийся от предыдущего релиза (Fedora 42). Впервые появился в Fedora 43.
- showtime - крайне примитивный видеопроигрыватель с минималистичной функциональностью - замена totem. Впервые появился в Fedora 43 и заменен мною на MPV или Celluloid.
- decibels - еще более примитивный аудиопроигрыватель с минималистичной функциональностью - замена rhythmbox. Впервые появился в Fedora 43 и заменен мною на консольный Musickube или Celluloid.
- snapshot (бывший cheese) - запись аудио- и видеофайлов со встроенной или внешней камеры. Впервые появился в Fedora 43.
- yelp - справка GNOME.
- mediawriter - Fedora MediaWriter, официальное и настоятельно рекомендуемое средство записи ISO-образов Fedora GNU/Linux; удален мною из-за Qt в зависимостях (вместо него достаточно использовать команду dd или GNOME Disks).
- libreoffice - практика показывает, что во многие ОС предустанавливаются не все компоненты LibreOffice. Поэтому после глобальной очистки и перезагрузки системы выполните полную установку (включая локализацию справки, языка переносов и проверки орфографии/грамматики).
- ИЗМЕНЕНИЯ БАЗОВОГО КОМПЛЕКТА ОС
(в сравнении с предшествующими реализами)
1. Отсутствуют (удалены из поставки) пакеты:
- gnome-videos;
- gnome-photos;
- gnome-music;
- gnome-documents;
- gnome-getting-started-docs;
- evolution.
Примечание: Evolution - почтовый клиент и персональный менеджер контактов, задач, заметок (т.е. полноценный PIM) с нативной поддержкой GNUPG/PGP (Seahorse, GNOME Keyring). Сделан качественно; раньше был жестко встроен в ОС из-за зависимости evolution-data-server. В настоящее время удален из бащовой поставки. Отличная замена для него - Claws Mail.
ВАЖНО: Однако никогда не удаляйте evolution-data-server - с ним сопряжены многие системные службы: контакты, календари, to-do и прочее! Кроме того, деинсталляция сервера может привести ОС в неработоспособность.
2. Заменены на аналоги или переименованы
[Старое имя пакета =>> новый пакет = "Имя программы"]
- nautilus = Files (изменено только название, однако пакет nautilus существует и запускается);
- gnome-terminal =>> ptyxis = Terminal;
- gedit =>> gnome-text-editor = Text Editor;
- cheese =>> snapshot = Camera;
- rhythmbox =>> decibels = Audio Player;
- totem =>> showtime = Video Player;
- eog (Eye of GNOME) =>> loupe = Image Viewer.
3. Удаляемые зависимости (включая слабые), требующие повторной инсталляции
ВАЖНО! Вполне естественно, что вместе с перечисленными выше пакетами будут массово удалены разнообразные зависимости. Поэтому всегда просматривайте список удаления перед выполнением команды деинсталляции.
Наиболее важные зависимости, требующие повторной установки:
- openssl;
- zenity;
- hplip;
- hplip-common;
- libsane-hpaio;
- tmux;
- clevis (?).
Примечание: При очистке ОС удалятся множественные python-пакеты и java-машина. Не волнуйтесь, они возвратятся (по мере необходимости) в ОС с устанавливаемым сторонним ПО.
4. Программы, существовавшие ранее, однако удаленные (Fedora 41-43) из базовой поставки и требующие отдельной инсталляции:
- GNOME Tweak Tool (GUI) - дополнительная настройка ОС;
- SELinux Applet (Troubleshooter) (GUI) - мониторинг выполнения правил SELinux и автоматическое отслеживание запросов (нежелательной активности) на их изменение;
- Firewalld (GUI) - управление фаэрволлом;
- Seahorse (GUI), seahorse-nautilus - средство шифрования, создания ЭЦП и работы с симметричными/асимметричными ключами GNUPG/PGP и SSH;
- GParted (GUI) - менеджер разделов;
- File Roller (GUI) - мультиархиватор (т.к. в Nautilus/Files встроена его весьма примитивная замена, вызываемая из контекстного меню).
- ОСТАВШИЕСЯ БАЗОВЫЕ ПРИЛОЖЕНИЯ ПОСЛЕ ОЧИСТКИ ОС
- nautilus = файловый менеджер Files (Nautilus);
- gnome-disks = GNOME Disks; управление носителями (тестирование, форматирование и т.п.);
- gnome-logs = GNOME Logs; системные логи в GUI-оболочке;
- gnome-calculator = GNOME Calculator;
- gnome-text-editor = GNOME Text Editor;
- ptyxis = GNOME Terminal;
- loupe = GNOME Image Viewer;
- simple-scan = Document Scanner;
- gnome-screenshot = крайне жестко встроено в трей ОС.
- ОБЩАЯ КОМАНДА НА УДАЛЕНИЕ
dnf remove anaconda* blivet* flatpak* abrt* toolbox gnome-abrt gnome-boxes gnome-system-monitor gnome-calendar gnome-weather gnome-maps gnome-clocks gnome-contacts gnome-user-docs gnome-tour gnome-software gnome-connections gnome-font-viewer gnome-characters orca spice-vdagent avahi baobab papers showtime decibels snapshot yelp mediawriter libreoffice*
- ДОПОЛНИТЕЛЬНО: ПОЛНОЕ УДАЛЕНИЕ QT5/QT6
ВАЖНО! Будьте крайне осторожны! Эти действия вынесены в отдельный раздел, так как: 1) в некоторых релизах Fedora QT5/QT6 могут быть жестко встроены в ОС, и их удаление повлечет за собой удаление важных системных файлов (был случай, когда в состав удаляемых пакетов входил даже DNF!); 2) вы планируете устанавливать в дальнейшем программы, чей интерфейс сделан с помощью QT5/QT6 (не рекомендую). Если же пп. 1-2 не соответствуют действительности, то в целом вам будет предложено удалить примерно следующие пакеты. Их деинсталляция безопасна:
1. Удаление QT5
dnf remove qt5*
qt5-filesystem
qt5-qtbase
qt5-qtbase-common
qt5-qtbase-gui
qt5-qtdeclarative
qt5-qtsvg
qt5-qttranslations
qt5-qtwayland
qt5-qtx11extras
qadwaitadecorations-qt5
gstreamer1-plugins-good-qt
qt-settings
2. Удаление QT6
dnf remove qt6*
qt6-qtbase-common
gstreamer1-plugins-good-qt6
kf6-kimageformats
kde-filesystem
kf6-filesystem
kf6-karchive
qt6-filesystem
qt6-qtbase
qt6-qtbase-gui
qt6-qtdeclarative
qt6-qtmultimedia
qt6-qtquick3d
qt6-qtquicktimeline
qt6-qtshadertools
qt6-qtsvg
qt6-qttranslations
qt6-qtwayland
qt6-qtwayland-adwaita-decoration
ОЧЕНЬ ВАЖНО! Внимательно проверяйте удаляемые пакеты и их зависимости!
Часть 3. Настройка конфигурации DNF и репозиториев
ВАЖНО: Все эти действия производятся ПОСЛЕ очистки системы, но ДО установки дополнительного программного обеспечения
- DNF: НАСТРОЙКА КОНФИГУРАЦИОННОГО ФАЙЛА
nano /etc/dnf/dnf.conf
[main] gpgcheck=1 installonly_limit=2 clean_requirements_on_remove=True best=True skip_if_unavailable=True fastestmirror=1 metadata_timer_sync=0 max_parallel_downloads=8
Для некоторых целей вы также можете добавить в конфигурацию две следующие закомментированные строки (запрет обновления отдельных пакетов и перенаправление на локальный прокси):
# excludepkgs=package_name_1,package_name_2 # proxy=http://127.0.0.1:8118
- DNF: ИЗМЕНЕНИЕ ЦЕЛЕВОГО СЕРВЕРА РЕПОЗИТОРИЕВ
1. Местонахождение repo-файлов:
ls /etc/yum.repos.d/
fedora-cisco-openh264.repo
fedora.repo
fedora-updates.repo
fedora-updates-testing.repo (отключен по умолчанию)
(...)
2. Последовательное редактирование repo-файлов:
nano /etc/yum.repos.d/fedora.repo
nano /etc/yum.repos.d/fedora-updates.repo
nano /etc/yum.repos.d/fedora-cisco-openh264.repo
3. Внесение изменения в строку metalink:
Здесь достаточно добавить "&country=[наименование доменной зоны по ISO]"
Примеры наименования доменных зон (выберите одну!):
us, ca, fr, de, ch, it, be, nl, at, cz, dk, ee, fi, hu, is, ie, jp, lv, lt, lu, nz, no, pl, ro, sk, se
4. Результат редактирования (выбрана доменная зона "de"):
Таким образом, конечный repo-файл будет выглядеть следующим образом :
[fedora] name=Fedora $releasever - $basearch metalink=https://mirrors.fedoraproject.org/metalink?repo=fedora-$releasever&arch=$basearch&country=de enabled=1 countme=1 metadata_expire=7d repo_gpgcheck=0 type=rpm gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-$releasever-$basearch skip_if_unavailable=False
- RPM FUSION: ПОДКЛЮЧЕНИЕ ДОПОЛНИТЕЛЬНЫХ РЕПОЗИТОРИЕВ
1. RPM Fusion (Free)
dnf install https://mirrors.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm
2. RPM Fusion (Nonfree)
dnf install https://mirrors.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm
- ПРОСМОТР СУЩЕСТВУЮЩИХ РЕПОЗИТОРИЕВ
dnf repolist
fedora - Fedora 43
updates Fedora 43 - Updates
fedora-cisco-openh264 - Fedora 43 openh264 (From Cisco)
rpmfusion-free - RPM Fusion for Fedora 43 - Free
rpmfusion-free-updates - RPM Fusion for Fedora 43 - Free - Updates
rpmfusion-nonfree - RPM Fusion for Fedora 43 - Nonfree
rpmfusion-nonfree-updates - RPM Fusion for Fedora 43 - Nonfree - Updates
phracek/PyCharm
google-chrome
rpmfusion-nonfree-nvidia-driver
rpmfusion-nonfree-steam
- ОТКЛЮЧЕНИЕ РЕПОЗИТОРИЕВ
dnf config-manager --set-disabled google-chrome
dnf config-manager --set-disabled rpmfusion-nonfree-nvidia-driver
dnf config-manager --set-disabled rpmfusion-nonfree-steam
dnf copr disable phracek/PyCharm
- УДАЛЕНИЕ ОТКЛЮЧЕННЫХ РЕПОЗИТОРИЕВ
Выполните
ls /etc/yum.repos.d/
а затем удалите командой rm ненужные repo-файлы.
Часть 4. Systemd: Остановка, деактивация или маскировка юнитов
Эти действия производятся следующими командами:
systemctl stop name.service && disable name.service
или
systemctl stop name.service && mask name.service
- Юниты, рекомендованные к отключению или маскировке
Я советую отключить следующие юниты:
avahi.service
- систему, позволяющую при подключении к сети "публиковать" сведения о появившейся машине и опознавать окружение;
cups.service
cups.path
cups.socket
- общую систему обеспечения печати и сопутствующие средства;
samba.service
- систему сетевого взаимодействия по протоколу SMB/CIFS с компьютерами на DOS, Windows, Linux;
sshd.service
- демон OpenSSH;
bluetooth.service
bluetooth.target
- обеспечение взаимодействия с устройствами bluetooth (передача данных, мультимедийные функции); также может быть автоматически удален после деинсталляции пакета bluez (осторожно!)
ModemManager.service
- обеспечение модемного соединения (например, со смартфоном в качестве модема);
geoclue.service
- геоинформационный сервис;
flatpak-add-fedora-repos.service
flatpak-system-helper.service
- систему установки и поддержки пакетов Flatpak.
NetworkManager-wait-online.service
- сервис ожидания сетевого подключения и распространения информации о нем.
Если все предшествующие юниты запрещались от имени администратора, то маскирование (не деактивация!) системы индексации и поиска Tracker производится от обычного пользователя:
systemctl --user mask tracker-extract-3.service tracker-miner-fs-control-3.service tracker-xdg-portal-3.service tracker-miner-fs-3.service tracker-writeback-3.service tracker-miner-rss-3.service
Часть 5. Изменение и настройка дефолтной зоны и правил фаэрволла
Сборщики официального релиза на протяжении многих лет периодически меняют зоны фаэрволла, установленные по умолчанию. До недавнего времени это была зона "Public" (с неплохими безопасными правилами), но может быть изменена на зону "FedoraWorkstation" (лично я ее не рекомендую):
- ПРОВЕРКА ДЕФОЛТНОЙ ЗОНЫ
(если зона FedoraWorkstation - по умолчанию!)
firewall-cmd --permanent --list-all-zones
FedoraWorkstation target: default icmp-block-inversion: no interfaces: sources: services: dhcpv6-client mdns samba-client ssh ports: 1025-65535/udp 1025-65535/tcp protocols: forward: yes masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
- ИЗМЕНЕНИЕ ДЕФОЛТНОЙ ЗОНЫ С "FEDORAWORKSTATION" НА "PUBLIC"
firewall-cmd --set-default-zone=public
- ОПРЕДЕЛЕНИЕ ОТКРЫТЫХ ПОРТОВ ДЛЯ ДЕФОЛТНОЙ ЗОНЫ В РЕЖИМЕ PERMANENT
Примечание: Таковых не существует, но проверить не мешает!
firewall-cmd --permanent --list-ports
NO OPEN PORTS
- ПРОВЕРКА СВОЙСТВ НОВОЙ ДЕФОЛТНОЙ ЗОНЫ (PUBLIC)
firewall-cmd --permanent --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client mdns ssh
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
- УДАЛЕНИЕ ПРАВИЛ ДЛЯ СЕРВИСОВ В РЕЖИМАХ PERMANENT И RUNTIME
firewall-cmd --permanent --remove-service=dhcpv6-client
firewall-cmd --remove-service=dhcpv6-client
firewall-cmd --permanent --remove-service=mdns
firewall-cmd --remove-service=mdns
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --remove-service=ssh
- ПЕРЕЗАГРУЗКА ФАЭРВОЛЛА
firewall-cmd --reload
Часть 6. Перезагрузка ОС
systemctl reboot
Часть 7. Глобальное обновление и перезагрузка ОС
dnf upgrade
systemctl reboot
Часть 8. Проверка системного журнала на предмет наличия критических ошибок и предупреждений
Последовательно исполните от администратора:
journalctl -p alert -r
journalctl -p crit -r
Часть 9. Resolvectl (Systemd): Защищенное верифицированное соединение (DNSOverTLS, DNSSEC, ECH: Encrypted Client Hello) с корневыми DNS-серверами
- Конфигурационный файл службы Resolvectl
Отредактируйте:
nano /etc/systemd/resolved.conf
DNS=9.9.9.11 149.112.112.11 2620:fe::11 2620:fe::fe:11 FallbackDNS=1.1.1.3 1.0.0.3 2606:4700:4700::1113 2606:4700:4700::1003 #Domains= DNSSEC=yes DNSOverTLS=yes #MulticastDNS=no #LLMNR=resolve Cache=no-negative #CacheFromLocalhost=no #DNSStubListener=yes #DNSStubListenerExtra= #ReadEtcHosts=yes #ResolveUnicastSingleLabel=no StaleRetentionSec=86400
ВАЖНО! Изменения в сетевых настройках ОС произойдут только после перезагрузки NM или всего компьютера (для чистоты эксперимента - настоятельно рекомендую последнее):
systemctl reboot
Быстрый просмотр полной конфигурации:
systemd-analyze cat-config systemd/resolved.conf
Проверка статуса (состояния) resolvectl
resolvectl status
Global Protocols: LLMNR=resolve -mDNS +DNSOverTLS DNSSEC=yes/supported resolv.conf mode: stub Current DNS Server: 9.9.9.11 DNS Servers: 9.9.9.11 149.112.112.11 2620:fe::11 2620:fe::fe:11 Fallback DNS Servers: 1.1.1.3 1.0.0.3 2606:4700:4700::1113 2606:4700:4700::1003 Link 2 (enp3s0) Current Scopes: none Protocols: -DefaultRoute LLMNR=resolve -mDNS +DNSOverTLS DNSSEC=yes/supported Link 3 (wlp2s0) Current Scopes: DNS LLMNR/IPv4 Protocols: +DefaultRoute LLMNR=resolve -mDNS +DNSOverTLS DNSSEC=yes/supported Current DNS Server: 192.168.nnn.nnn DNS Servers: 192.168.nnn.nnn
- Проверка защищенного соединения
$ resolvectl query go.dnscheck.tools
Если при исполнении "короткой" команды "delv site.name" возникает ошибка: резолвер 127.0.0.53:53 не сконфигурирован правильно для валидации DNSSEC. Поэтому используйте полную версию команды (с указанием конкретного DNS-сервера), например:
delv site.name @1.1.1.3
delv site.name @9.9.9.11
Часть 10. Перезагрузка ОС
systemctl reboot
Часть 11. Инсталляция прикладных пакетов, связанных с анализом и администрированием ОС
- УТИЛИТЫ ОБСЛУЖИВАНИЯ ДЛЯ ОБНОВЛЕНИЯ СО СТАРОГО РЕЛИЗА НА НОВЫЙ
dnf install dnf-plugin-system-upgrade rpmconf remove-retired-packages symlinks dracut-config-rescue clean-rpm-gpg-pubkey
- GUI ДЛЯ FIREWALLD
dnf install firewall-config
- КОНТРОЛЬ СИСТЕМНЫХ СЕНСОРОВ
dnf install lm_sensors lm_sensors-libs hddtemp
- ПАКЕТЫ НАСТРОЙКИ, ТЕСТИРОВАНИЯ, АНАЛИЗА И ОБСЛУЖИВАНИЯ ОС, СИСТЕМНЫЕ УТИЛИТЫ
- dconf-editor - редактор конфигураций ОС и ПО;
- gnome-tweaks - дополнительные настройки GNOME;
- file-roller - архиватор;
- zenity - графическая оболочка для некоторых консольных пакетов;
- bleachbit - средство очистки ОС;
- nload - консольный анализатор трафика;
- smartmontools - контроль, тестирование и обслуживание накопителей (может присутствовать);
- htop - консольный мониторинг загрузки CPU и RAM, управление процессами;
- ncdu - консольная утилита: высокоскоростное измерение объемов каталогов с дополнительными опциями и возможностью удаления данных;
- wget2 - консольное средство загрузки (может присутствовать);
- gparted - графическая утилита разбивки разделов носителей;
- mc - консольный файловый иенеджер;
- f3 - контроль объемов и состояния съемных флэш-носителей;
- p7zip - поддержка архивов 7z;
- grsync - графическая оболочка средства синхронизации rsync;
- terminus-fonts-console - пакет русифицированных консольных шрифтов;
- tmux - мультиплексор терминалов;
- openssl - поддержка протокола.
- ОБЩАЯ КОМАНДА
dnf install dnf-plugin-system-upgrade rpmconf remove-retired-packages symlinks dracut-config-rescue clean-rpm-gpg-pubkey firewall-config lm_sensors lm_sensors-libs hddtemp dconf-editor gnome-tweaks file-roller zenity bleachbit nload smartmontools htop ncdu wget2 gparted mc f3 p7zip grsync terminus-fonts-console tmux openssl
Часть 12. Установка прикладного программного обеспечения
- ИНТЕРНЕТ
- liferea - средство чтения новостных RSS-лент;
- uget - расширенный менеджер загрузок;
- pidgin pidgin-otr - (опционально) мультипротокольный мессенджер с поддержкой шифрования OTR;
- claws-mail - почтовый клиент;
- claws-mail-plugins-pgp claws-mail-plugins-mailmbox - необходимые плагины для claws-mail;
- claws-mail-plugins-vcalendar claws-mail-plugins-litehtml-viewer claws-mail-plugins-address-keeper - (опционально) дополнительные плагины для claws-mail;
- dino - (опционально) Jabber/XMPP-мессенджер с поддержкой шифрования OMEMO;
- polari - (опционально) IRC-клиент;
- thunderbird - (опционально) почтовый клиент;
- mutt - консольный почтовый клиент; интеграция с адресной книгой abook;
- mcabber - консольный Jabber/XMPP-мессенджер с поддержкой шифрования OTR;
- newsboat - консольное средство чтения новостных RSS-лент;
- elinks - консольный браузер;
- cadaver - консольный WebDAV(s)-клиент;
- ddgr - консольное средство поиска в DuckDuckGo;
- yt-dlp - консольное средство загрузки и обработки мультимедийных файлов с веб-хостингов;
- privoxy - локальный прокси-сервер;
- buku - консольное хранилище веб-ссылок.
- ОБЩАЯ КОМАНДА
(выберите необходимое, удалите ненужное)
dnf install liferea uget pidgin pidgin-otr claws-mail claws-mail-plugins-pgp claws-mail-plugins-mailmbox dino polari thunderbird mutt mcabber newsboat elinks cadaver ddgr yt-dlp privoxy buku
- МУЛЬТИМЕДИА
- celluloid - мультимедийный аудио-видеоплейер (бывший GNOME Player);
- easytag - расширенное средство обработки тэгов музыкальных файлов;
- soundconverter - (опционально) конвертер звуковых форматов;
- gnome-sound-recorder - (опционально) запись звука;
- musikcube - консольный музыкальный плейер.
- ОБЩАЯ КОМАНДА
(выберите необходимое, удалите ненужное)
dnf install celluloid easytag soundconverter gnome-sound-recorder
- Установка musikcube
Скачайте последнюю версию с необходимой архитектурой с сайта производителя: https://github.com/clangen/musikcube/releases. Исполните от администратора:
dnf install /path/to/file/musikcube.linux-x86-64.rpm
- ПОЛНАЯ УСТАНОВКА GSTREAMER
Примечание: Это опциональная операция; чаще всего, подобный полный вариант не требуется, т.к все необходимые кодеки устанавливаются в комплекте вместе с плейерами.
- ОБЩАЯ КОМАНДА
dnf install gstreamer1-libav gstreamer1-plugins-bad-free-extras gstreamer1-plugins-bad-freeworld gstreamer1-plugins-base-tools gstreamer1-plugins-good-extras gstreamer1-plugins-ugly gstreamer1-plugins-bad-free gstreamer1-plugins-good gstreamer1-plugins-base
- ГРАФИКА
- gimp gimp-help-ru - расширенный и мощный редактор пиксельной графики;
- gthumb - средство просмотра/редактирования и каталогизации графических файлов с поддержкой эффектов и пакетной обработки;
- jhead - консольное средство удаления деанонимизирующих тэгов из фотографий;
- darktable - полноценный фоторедактор для обработки ("проявки") и неразрушающей коррекции формата RAW.
- ОБЩАЯ КОМАНДА
(выберите необходимое, удалите ненужное)
dnf install gimp gimp-help-ru gthumb jhead darktable
- ПОДКЛЮЧЕНИЕ ПРИНТЕРОВ, СКАНЕРОВ, ФОТОКАМЕР И ГРАФИЧЕСКИХ ПЛАНШЕТОВ
Я рекомендую выполнить все операции для обеспечения беспроблемной работы компьютера с большинством из этих устройств.
Как правило, в ОС по умолчанию уже установлены основные пакеты, в частности:
- CUPS ("Common UNIX Printing System") - общая система печати UNIX;
- Gutenprint (дополнительная CUPS-подсистема драйверов для Canon, Epson, HP и совместимых принтеров);
- SANE ("Scanner Access Now Easy") - API, который предоставляет стандартизированное взаимодействие с настольными и ручными сканерами, видео/фотокамерами и схожими устройствами; по сути, это универсальный интерфейс к сканерам.
ТРЕБУЮТ ДОПОЛНИТЕЛЬНОЙ УСТАНОВКИ:
- simple-scan sane-backends sane-backends-libs - (если не установлены) SANE (+ simple-scan);
- sane-backends-drivers-cameras - драйверы цифровых камер для SANE;
- hplip hplip-common hplip-libs - "Hewlett-Packard Linux Imaging and Printing"; поддержка принтеров от HP;
- libsane-hpaio - поддержка сканеров и МФУ от HP;
- iscan-firmware - поддержка сканеров Epson;
- epson-inkjet-printer-escpr epson-inkjet-printer-escpr2 - (могут отсутствовать) поддержка струйных принтеров Epson;
- libwacom libwacom-data libwacom-utils - поддержка графических планшетов (устройств ввода) Wacom.
- ОБЩАЯ КОМАНДА
(установите полностью)
dnf install simple-scan sane-backends sane-backends-libs sane-backends-drivers-cameras hplip hplip-common hplip-libs libsane-hpaio iscan-firmware epson-inkjet-printer-escpr epson-inkjet-printer-escpr2 libwacom libwacom-data libwacom-utils
- БЕЗОПАСНОСТЬ
- seahorse - средство для создания, работы и хранения асимметричных ключей GNUPG, паролей SSH и иных парольных фраз;
- seahorse-nautilus - плагин seahorse для Nautilus/Files;
- secrets - парольный менеджер;
- gtkhash - средство вычисления множественных хешей файлов;
- gnome-password-generator - генератор криптостойких паролей;
- gocryptfs - консольное средство создания шифрованных каталогов и файлов;
- steghide - стеганографической средство;
- pwgen - консольный генератор паролей;
- pass - консольный парольный менеджер.
- ОБЩАЯ КОМАНДА
(выберите необходимое, удалите ненужное)
dnf install seahorse seahorse-nautilus secrets gtkhash gnome-password-generator steghide pwgen pass
Примечание: gocryptfs скачивается с сайта https://github.com/rfjakob/gocryptfs, распаковывается и устанавливается простым копированием бинарных файлов в каталог /usr/local/bin/
- ОФИС
- ПОЛНАЯ УСТАНОВКА LIBREOFFICE
Примечание: она включает пакеты локализованных (ru) справки, систем автокоррекции, расстановки переносов и проверки орфографии:
- ОБЩАЯ КОМАНДА
dnf install libreoffice aspell-ru libreoffice-help-ru libreoffice-langpack-ru aspell autocorr-ru hunspell-ru hyphen-ru mythes-ru
- УСТАНОВКА СРЕДСТВ РАБОТЫ С КАЛЕНДАРЯМИ, ПЛАНИРОВЩИКАМИ, ТЕКСТОМ И ЭЛ/КНИГАМИ
- abook - консольная адресная книга;
- micro - практически идеальный консольный редактор текста с сотнями опций, плагинами и стандартными сочетаниями "горячих клавиш";
- foliate - средство чтения электронных книг в форматах EPUB и FB2;
- sdcv - консольный мультисловарь;
- djvulibre - (опционально, в случае отсутствия) - поддержка электронных книг в формате DJVU для стандартного Evince или Papers.
- odt2txt poppler-utils - консольное средство чтения форматов PDF и ODT;
- epy - консольное средство для чтения электронных книг в форматах EPUB, FB2, Mobi, AZW3;
- calcurse - консольный календарь и менеджер задач;
- dnote - консольное средство для создания заметок.
- ОБЩАЯ КОМАНДА
(выберите необходимое, удалите ненужное)
dnf install abook micro foliate sdcv djvulibre odt2txt poppler-utils calcurse dnote
Примечание: Epy скачивается с сайта https://github.com/wustho/epy, распаковывается и устанавливается простым копированием всех файлов в каталог, после чего запускается как обычный скрипт.
Примечание: Dnote скачивается с сайта https://github.com/dnote/dnote, распаковывается и устанавливается простым копированием бинарных файлов в любой созданный каталог пользователя.
- СТАНДАРТНЫЙ НАБОР ИГР GNOME
- ОБЩАЯ КОМАНДА
dnf install gnugo gnome-chess gnuchess tali gnome-mines gnome-mahjongg aisleriot gnome-sudoku iagno gnome-2048 five-or-more four-in-a-row
Примечание: Консольная игра gnugo не входит в набор GNOME.
Часть 13. Завершающие операции
- ПЕРЕЗАГРУЗКА ОС
systemctl reboot
- ПРОВЕРКА СИСТЕМНОГО ЖУРНАЛА
journalctl -p alert -r
journalctl -p crit -r
- ОЧИСТКА ОС ПОСЛЕ РАБОТЫ DNF
dnf clean all
🄯 Rami Rosenfeld, 2025. GNU FDL 1.3.