№11(12) ноябрь 2003

подписной индекс 81655

журнал для cистемных администраторов,
вебмастеров и программистов

Виртуальный полигон
для разработчика
и администратора
на основе Linux и VMWare
Архитектура файловой
системы ext2
Аудит учетных записей
пользователей
в Active Directory
Windows Server 2003: взгляд
системного администратора
Удобнее, эффективнее, лучше:
snort + MySQL
Fusebox в помощь
веб-программисту
№11(12) ноябрь 2003
 оглавление

BUGTRAQ 2, 33 БЕЗОПАСНОСТЬ

АДМИНИСТРИРОВАНИЕ Защитник сети

Сергей Яремчук
Виртуальный полигон grinder@ua.fm 56
для разработчика и администратора
на основе Linux и VMWare
Удобнее, эффективнее, лучше:
Андрей Бешков snort + MySQL
tigrisha@sysadmins.ru 4
Павел Закляков
amdk7@mail.ru 62
Файловые системы Linux
Сергей Яремчук WEB
grinder@ua.fm 18
Fusebox в помощь веб-программисту
Архитектура файловой системы ext2
Андрей Уваров
Владимир Мешков dashin@ua.fm
ubob@mail.ru 26 Дмитрий Горяинов
dg@webclub.ru 76
Интеграция SQUID + LDAP
ОБРАЗОВАНИЕ
Марк Кричмар
mark@rusautogaz.ru 34
Коды Рида-Соломона
в практических реализациях,
Использование бездисковых или Информация, воскресшая из пепла III
маршрутизаторов
Крис Касперски
Андрей Мозговой kk@sendmail.ru 80
brain@m9.ru 38

Аудит учетных записей пользователей КАК ЭТО БЫЛО

в Active Directory
Воспоминания замечательных дней:
Максим Костышин заря компьютеризации России и борцы
Maxim_kostyshin@mail.ru 44 с железными конями той эпохи...
Алексей Костромин
Windows Server 2003: natalex_home@mail.ru 89
взгляд системного администратора
Алексей Доля
Михаил Мельников
ПОЛЕЗНЫЕ СОВЕТЫ
info@samag.ru 50
Кто предупрежден – тот вооружен
Михаил Торчинский
Mikhail@3r.ru 90

№11(12), ноябрь 2003 1

 bugtraq
Переполнение буфера в функции User32.dll Удаленное переполнение буфера
в Microsoft Windows 4.0/2000/XP/2003 в Messenger Service
Программа: Microsoft Windows XP (Professional, Home в Microsoft Windows NT/2000/XP/2003
Edition), Microsoft Windows Server 2003 (Web Edition, Standard
Edition, Enterprise Edition, Datacenter Edition), Microsoft
Windows NT 4.0 (Workstation, Terminal Server Edition, Server),
Microsoft Windows 2000 (Server, Professional, Datacenter
Server, Advanced Server).
Опасность: Критическая.
Описание: Уязвимость обнаружена в Microsoft Windows
4.0/2000/XP/2003. Злонамеренный локальный пользова-
тель может поднять свои привилегии.
Проблема связана с тем, что ListBox- и ComboBox-уп-
равления вызывают функцию User32.dll, которая содер-
жит переполнение буфера. В результате злонамеренный
пользователь может эксплуатировать эту уязвимость че-
рез интерактивный или привилегированный процесс, ко-
торый использует ListBox- и ComboBox-управления, что-
бы выполнить произвольный код с привилегиями этого
процесса. Уязвимость может эксплуатироваться через
Utility Manager в Windows 2000. Также возможна эксплуа-
тация и через другие приложения сторонних фирм.
Переполнение происходит, когда передается LB_DIR-
сообщение к ListBox или CB_DIR-сообщение к ComboBox
с чрезмерно длинным параметром pathname. Подробнос-
ти в источнике сообщения.
URL производителя: http://www.microsoft.com
Решение: Установите соответствующее исправление:
Microsoft Windows NT Workstation 4.0, Service Pack 6a;
Microsoft Windows NT Server 4.0, Service Pack 6a;
Microsoft Windows NT Terminal Server Edition, Service Pack 6;
Microsoft Windows 2000, Service Pack 2;
Microsoft Windows 2000 Service Pack 3, Service Pack 4;
Microsoft Windows XP Gold, Service Pack 1;
Microsoft Windows XP 64 bit Edition;
Microsoft Windows XP 64 bit Edition Version 2003;
Microsoft Windows Server 2003;
Microsoft Windows Server 2003 64 bit Edition.
Удаленный DoS против OpenBSD pf(4)
Программа: OpenBSD 3.2, 3.3.
Опасность: Критическая.
Описание: Уязвимость обнаружена в пакетном фильтре
OpenBSD pf(4). Удаленный пользователь может аварий-
но завершить работу приложения.
Сообщается, что приложение может обратиться к па-
мяти, которая предварительно была освобождена. В этом
случае, если используются активные scrub-правила, уда-
ленный пользователь может аварийно завершить работу
за приложения.
URL производителя: http://www.openbsd.org
Решение: Установите соответствующие исправления:
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/
006_pfnorm.patch
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.2/common/
019_pfnorm.patch
2
Программа: Microsoft Windows 2000 (Advanced Server,
Datacenter Server, Professional, Server), Microsoft Windows
NT 4.0 (Server, Terminal Server Edition, Workstation), Microsoft
Windows Server 2003 (Datacenter Edition, Enterprise Edition,
Standard Edition, Web Edition), Microsoft Windows XP (Home
Edition, Professional).
Опасность: Критическая.
Описание: Переполнение буфера обнаружено в Messenger
Service в Microsoft Windows. Удаленный атакующий может
выполнить произвольный код на уязвимой системе.
Проблема связана с тем, что Messenger Service не про-
веряет длину сообщения. В результате злонамеренный
пользователь может послать сообщение, которое пере-
полнит буфер и выполнит произвольный код на уязвимой
системе с привилегиями системы. Messenger Service от-
ключен по умолчанию в Microsoft Windows 2003.
URL производителя: http://www.microsoft.com
Решение: Фильтруйте Netbios и RPC-трафик. Установите
соответствующие обновления:
Microsoft Windows NT Workstation 4.0, Service Pack 6a;
Microsoft Windows NT Server 4.0, Service Pack 6a;
Microsoft Windows NT Terminal Server Edition, Service Pack 6;
Microsoft Windows 2000, Service Pack 2;
Microsoft Windows 2000, Service Pack 3, Service Pack 4;
Microsoft Windows XP Gold, Service Pack 1;
Microsoft Windows XP 64-bit Edition;
Microsoft Windows XP 64-bit Edition Version 2003;
Microsoft Windows Server 2003;
Microsoft Windows Server 2003 64-bit Edition.
Множественные уязвимости в Novell iChain
Программа: Novell iChain 2.2.
Опасность: Критическая.
Описание: Novell выпустил support pack для iChain. В нем
устраняются несколько уязвимостей, которые могут ис-
пользоваться злонамеренным пользователем, чтобы вне-
дриться в сессию другого пользователя, вызвать отказ в
обслуживании и скомпрометировать систему.

Пользователь может внедриться в сессию другого
пользователя, если сессия нового пользователя откры-
та на том же самом порту.

Удаленный пользователь может завершить работу сер-
вера, используя WGET.

iChain подвержен к OpenSSL-уязвимостям в ASN.1-об-
работчике.
URL производителя: http://support.novell.com/cgi-bin/
search/searchtid.cgi?/2967175.htm
Решение: Установите соответствующие исправления:
Apply iChain 2.2 Support Pack 2 beta: http://support.novell.com/
servlet/filedownload/sec/ftf/b1ic22sp2.exe
iChain 2.2 Support Pack 2 beta – TID2967175: http://support.
novell.com/cgi-bin/search/searchtid.cgi?/2967175.htm
Cоставил Александр Антипов
администрирование

ВИРТУАЛЬНЫЙ ПОЛИГОН
ДЛЯ РАЗРАБОТЧИКА И АДМИНИСТРАТОРА
НА ОСНОВЕ LINUX И VMWARE

АНДРЕЙ БЕШКОВ
4

В первой статье этого цикла, опубликованной в сентябрь-
ском номере журнала «Системный администратор», я до-
вольно подробно описал, что такое технология виртуаль-
ных машин VMWare Workstation и каково ее предназна-
чение. Также мы изучили теоретические основы функ-
ционирования, способы и возможные цели практичес-
кого применения VMWare Workstation в повседневной де-
ятельности администратора. Свою точку зрения на воп-
рос, для решения каких задач стоит применять подоб-
ный комплекс программного обеспечения, я высказывал
в предыдущей статье. Ну а для тех, кто присоединился к
нам только сейчас, кратко повторим содержание сказок
тысячи и одной ночи, прозвучавших раньше. Таким об-
разом, тем, кто еще не в курсе, я намекаю, что она была
посвящена установке, настройке и опыту успешного при-
менения VMWare Workstation на платформе Windows.
Господам линуксоидам просьба перестать плеваться и
все же найти в себе силы прочесть вышеуказанную ста-
тью. Сделать это необходимо хотя бы по той простой
причине, что в данной статье я сознательно буду гово-
рить только о необходимом минимуме теории функцио-
нирования VMWare Workstation. Вместо этого мы обсу-
дим особенности дизайна виртуальных машин и множе-
ство прочих полезных вещей. Думаю, лучше потратить
время на изложение новых знаний, чем на повторение
пройденного материала.
Перед тем как пуститься в обсуждение всего разнооб-
разия полезных применений продукта, которому посвя-
щена наша сегодняшняя беседа, разберемся с некоторы-
ми наиболее важными базовыми идеями и терминами,
проходящими красной нитью через текст всей статьи.
Операционная система, под управлением которой ра-
ботает программа VMWare Workstation, называется «ос-
новной» системой. Такие системы, в свою очередь, де-
лятся на официально поддерживаемые и те, кому не по-
везло. Начнем с перечисления имен титулованных особ
из рода Linux:

Mandrake Linux 8.2, 9.0

Red Hat Advanced Server 2.1

Red Hat Linux 7.0, 7.1, 7.2, 7.3, 8.0

SuSe Linux Enterprise Server 7,8

SuSe Linux 7.3, 8.0, 8.1
Официально поддерживаемыми называются те виды
Linux, для которых разработчики VMWare Workstation
создали бинарные файлы модулей, загружаемых в
ядро. Пользователи всех остальных версий Linux дол-
жны компилировать такие модули из исходных текстов
самостоятельно.
В качестве основной Linux-системы ALT Linux Master 2.2
был выбран вопреки тому факту, что он отсутствует в
приведенном выше списке, но в то же время довольно
широко распространен среди русскоязычных пользова-
телей, и, наконец, за то, что вовремя оказался под ру-
кой. Процедура установки на любой из официальных
Linux-дистрибутивов слишком проста, чтобы научить чи-
тателя чему-то полезному. Многие подводные камни
пройдут мимо и не будут замечены до тех пор, пока не
придется самостоятельно устанавливать виртуальные
№11(12), ноябрь 2003
администрирование
машины для работы под управлением варианта Linux,
неизвестного авторам VMWare Workstation. Пользуясь
моим опытом, читатель ценой малой крови научится ус-
танавливать VMWare Workstation на любое множество
разновидностей Linux.
Теперь перейдем ко второму виду систем. Системы,
запущенные внутри контейнера виртуальной машины
VMWare Workstation, называются «гостевыми».
Я уверен, что с задачей, которую мы будем решать, в
той или иной степени приходилось сталкиваться большин-
ству администраторов. Нужно создать действующий ма-
кет сети предприятия с несколькими компьютерами, бла-
гополучно проживающими внутри этих виртуальных се-
тей. И, вдобавок ко всему, нужно обеспечить всю весе-
лую компанию доступом в Интернет. Для облегчения вос-
приятия учебного материала упростим рабочий макет,
поместив в каждую сеть только необходимый минимум
компьютеров. Я думаю, этого будет достаточно для ус-
пешного усвоения обсуждаемых концепций.
На приведенной выше схеме мы видим, что в сетях
VMnet3 и VMnet2 находятся машины, работающие под
управлением операционных систем Windows 98SE и
Windows 2000, символизирующие обычные рабочие
станции. Машина Windows 98SE имеет статический
адрес 192.168.120.15, а Windows 2000 получает адрес
192.168.80.128 динамически с помощью DHCP. Сеть
Vmnet1 используется нами как демилитаризованная
зона (DMZ). Внутри нее обитает машина со статичес-
ким адресом 192.168.40.32 под управлением Linux
Mandrake 9.0. На ней для демонстрации работы сете-
вых служб установлен веб-сервер Apache. Между со-
бой все три сети, перечисленные выше, соединены с
помощью шлюза, как ни странно, имеющего также три
сетевых интерфейса и функционирующего под управ-
лением FreeBSD 4.7. Я надеюсь, всем понятно, что для
облегчения стыковки наших сетей все три интерфейса
машины FreeBSD должны иметь фиксированные адре-
са. Ну и в роли нашего последнего героя выступает
машина NetBSD с двумя интерфейсами. Первый из них
с адресом 192.168.40.57 смотрит в демилитаризован-
ную зону, а второй является шлюзом в Интернет. На
втором интерфейсе 192.168.32.128 работает механизм
преобразования сетевых адресов (NAT), это, в свою оче-
5
 администрирование
редь, дает возможность предоставить доступ к веб-сер-
веру клиентам, находящимся в Интернете. Частично бла-
годаря этому машины, находящиеся в наших локальных
сетях, могут легко пользоваться услугами не только Linux
веб-сервера, но и какого угодно другого веб-сервера,
расположившегося в любой точке Интернета.
С точки зрения VMWare Workstation наши тестовые
сети будут выглядеть так.
На первый взгляд схема сетевых взаимодействий выг-
лядит устрашающе сложно, но на самом деле это не так,
и через несколько минут вы будете с легкостью ориенти-
роваться в топологии наших сетей. Итак, на рисунке мы
видим все перечисленные ранее хосты и их интерфейсы.
Присмотревшись внимательно, легко разобраться в со-
ответствии между IP-адресами и интерфейсами. Далее
изображены три виртуальных коммутатора для сетей host-
only VMnet1 (192.168.40.0), VMnet2 (192.168.80.0), VMnet3
(192.168.120.0). Соответственно для работы с устройством
NAT (192.168.32.2) предназначена сеть VMnet8, для кото-
рой по умолчанию используется адресное пространство
192.168.32.0.
Также обратите внимание на тот факт, что виртуаль-
ные DHCP-сервера работают только в сетях VMnet2 и
VMnet8. Исходя из того факта, что в сетях VMnet1 и VMnet3
используются статические IP-адреса, DHCP-сервера этих
сетей отключены за ненадобностью.
Итак, приступим к установке. На сайте производителя
заказываем себе тестовый серийный номер для Linux. Все
подобные лицензии действуют в течение 30 дней с мо-
мента заказа. Таким образом, мы получаем в свое распо-
ряжение на целый месяц полнофункциональную версию
программы. Через несколько минут в наш ящик электрон-
ной почты упадет два письма с серийными номерами для
разных платформ. Запрашивать новые тестовые лицен-
зии можно неограниченное количество раз, но на разные
почтовые ящики. Таким образом, можно использовать
VMWare Workstation, не нарушая никаких законов, сколь-
ко угодно долго. Подобная лояльная политика персонала
VMWare.inc вызывает искреннее уважение.
Дело в том, что дистрибутив VMWare Workstation для
Linux распространяется в двух форматах – rpm и tar.gz.
Скачать их можно тут: http://www.vmware.com/download/
workstation.html. Также не забудьте взять фирменную до-
кументацию в формате pdf. Я расскажу о процедуре ус-
тановки каждого из этих дистрибутивов VMWare
6
Workstation. Таким образом, вы сможете выбрать способ,
наиболее подходящий лично вам. Ну а процедура конфи-
гурирования, которая последует сразу за инсталляцией,
одинакова для обоих видов дистрибутивов.
Первым делом давайте рассмотрим наиболее простой
способ. Для установки из rpm нужно выполнить всего одну
команду.
# rpm -i VMware-workstation-4.0.0-4460.i386.rpm
Убеждаемся, что все установилось правильно.
# rpm -qa | grep VMware
VMwareWorkstation-4.0.0-4460
На этом действия с rpm можно считать законченными.
Переходим к инсталляции из tar.gz:
# tar zxvf VMware-workstation-4.0.0-4460.tar.gz
Распаковываем дистрибутив и в результате получаем
директорию vmware-distrib. Переходим в нее и запускаем
скрипт инсталляции.
# cd vmware-distrib
# ./vmware-install.pl
Скрипт будет задавать нам вопросы. В большинстве
случаев нам подойдут ответы, предлагаемые по умолча-
нию. Они заключены в квадратные скобки и, чтобы со-
гласиться с ними, нужно просто нажать клавишу «Enter».
Итак, приступим.
In which directory do you want to install the binary files?
[/usr/bin]
Скрипт спрашивает, куда складывать выполняемые
файлы. Ответ по умолчанию нас вполне удовлетворяет.
In which directory do you want to install the library files?
[/usr/lib/vmware]
Следующий вопрос касается того, куда нужно помес-
тить библиотечные файлы. Поступаем так же, как и в пре-
дыдущем случае.
In which directory do you want to install the manual files?
[/usr/share/man]
А здесь мы будем хранить документацию для VMWare
Workstation в формате man.
In which directory do you want to install the documentation
files?
[/usr/share/doc/vmware]
Скрипт предложил поместить документацию в форма-
те txt в директорию /usr/share/doc/vmware/. Пусть будет так,
я не против, да и места на жестком диске не жалко.
The path "/usr/share/doc/vmware" does not exist currently.
This program is going to create it, including needed parent
directories. Is this what you want?
[yes]
Жалуется на то, что директории /usr/share/doc/vmware

не существует, и спрашивает, создавать ли ее. Отвеча-
ем «yes». Кстати, после инсталляции, сходив в директо-
рию /usr/share/doc/vmware/, видим, что кроме лицензий
и инструкций по установке там больше ничего нет. Все
то же самое можно увидеть внутри директории doc дис-
трибутива VMWare Workstation. Ну что же, не будем ос-
танавливаться и продолжим настройку.
What is the directory that contains the init directories
(rc0.d/ to rc6.d/)?
[/etc/rc.d]
Тут нужно указать, где находится директория со скрип-
тами для разных уровней загрузки системы. Для исполь-
зуемого мною дистрибутива это директория /etc/rc.d/.
What is the directory that contains the init scripts?
[/etc/rc.d/init.d]
Ну а тут находятся скрипты запуска демонов, исполь-
зуемые при начальной загрузке системы.
Before running VMware Workstation for the first time, you
need to configure it by invoking the following command: "/
usr/bin/vmware-config.pl". Do you want this program to invoke
the command for you now? [yes]
Можно считать инсталляцию завершенной. Скрипт
спрашивает, нужно ли приступить к конфигурированию.
Оно производится с помощью скрипта /usr/bin/vmware-
config.pl. Теперь к нам присоединяются те, кто произво-
дили установку из rpm. Они должны запустить этот скрипт
вручную.
Узнаем версию ядра. Чуть позже эти знания обязатель-
но пригодятся нам.
# uname -a
Linux tigroid.net 2.4.20-alt5-up #1 Sun Feb 16 16:46:13 ↵
MSK 2003 i686 unknown unknown GNU/Linux
Запускаем скрипт конфигурирования:
/usr/bin/vmware-config.pl
You must read and accept the End User License Agreement to
continue. Press enter to display it.
Нажимаем Enter и читаем лицензионное соглашение.
Переход между страницами соглашения осуществляется
клавишей «Пробел». Дойдя до конца, видим приглаше-
ние принять лицензию.
Do you accept? (yes/no) yes
Отвечаем «yes» и движемся дальше.
Trying to find a suitable vmmon module for your running kernel.
None of VMware Workstation's pre-built vmmon modules is
suitable for your running kernel. Do you want this program
to try to build the vmmon module for your system (you need
to have a C compiler installed on your system)? [yes]
Система рапортует о том, что не смогла найти моду-
ли, подходящие к нашему ядру. Список доступных моду-
лей можно увидеть в директории /usr/lib/vmware/modules/
№11(12), ноябрь 2003
администрирование
binary. Далее система хочет убедиться в том, что у нас
установлен работоспособный компилятор языка C.
Setup is unable to find the "make" program on your machine.
Please make sure it is installed. Do you want to specify
the location of this program by hand?
[yes]
Говорит, что не может найти утилиту make на нашей
машине, и предлагает поискать ее самостоятельно, а за-
тем сообщить правильный путь. Ну что же, попробуем
найти то, что нам нужно.
# which make
which: no make in (/root/bin:/sbin:/usr/sbin:/usr/local/ ↵
sbin:/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin)
Теперь посмотрим в списке установленных пакетов:
# rpm -qa | grep make
Как ни грустно признать такой факт, но, судя по все-
му, этой утилиты у нас и вправду нет.
Вставляем в привод первый диск дистрибутива и пе-
реходим в директорию с пакетами.
# cd /mnt/cdrom/auto/ALTLinux/RPMS
Ставим make:
# rpm -i make-3.79.1-ipl6mdk.i586.rpm
Те, у кого под рукой нет дисков с Alt Linux, но есть по-
стоянное подключение к Интернету, могут воспользовать-
ся репозитарием пакетов сайта altlinux.ru. Устанавливать
пакеты в этом случае можно с помощью программы apt-
get или synaptic.
После инсталляции make прерываем сценарий vmware-
config нажатием клавиш Ctrl+C и запускаем его опять.
Скрипт снова спрашивает о наличии компилятора, на
это мы ему вновь отвечаем «yes».
И в ответ получаем вот такую неприятную ошибочку.
Using compiler "/usr/bin/gcc". Use environment variable CC
to override.
i586-alt-linux-gcc: No such file or directory
Your compiler "/usr/bin/gcc" is not supported by this version
of VMware Workstation.
Unable to continue.
For more information on how to troubleshoot module-related
problems, please visit our Web site at "http://www.vmware.com/
download/modules/modules.html" and "http://www.vmware.com/
support/reference/linux/prebuilt_modules_linux.html".
Execution aborted.
Начинаем разбираться с проблемой.
# rpm -qa | grep gcc
libgcc3.2-3.2.1-alt2
gcc-common-1.2.1-alt2
Судя по всему, компилятор действительно отсутству-
ет, в наличии только служебные пакеты для gcc.
7
 администрирование
В ALT Linux для удобства администрирования исполь-
зуется концепция альтернатив. Это означает, что все наи-
более важные системные утилиты должны иметь ссылки
на свои бинарные файлы из каталога /etc/alternatives:
#ll /etc/alternatives/gcc
lrwxrwxrwx 1 root rpm 20 Aug 29 00:39 ↵
/etc/alternatives gcc -> /usr/bin/gcc_wrapper
Таким образом, мы видим, что файл /etc/alternatives/
gcc указывает на файл /usr/bin/gcc_wrapper, который не
является полноценным компилятором. А служит лишь для
того, чтобы выводить сообщение об ошибке на случай,
если пользователь попытается запустить его.
# ./gcc_wrapper
i586-alt-linux-gcc: No such file or directory
Такая вот своеобразная заглушка. Ну что же, значит,
придется снова ставить все самому. Переходим на диск 3
дистрибутива и пытаемся устанавливать пакет gcc2.96-
2.96-alt3.i586.rpm. Внимательный читатель может задать
вопрос, почему мы используем gcc именно этой версии,
когда нам доступна гораздо более новая версия 3.2. От-
вет очень прост: ядро, на котором работает система, со-
брано версией 2.96 компилятора gcc. Так что если попы-
таться поставить что-то другое, скрипт инсталляции
VMWare Workstation наотрез откажется работать.
# rpm -i gcc2.96-2.96-alt3.i586.rpm
error: failed dependencies:
cpp2.96 = 2.96-alt3 is needed by gcc2.96-2.96-alt3
binutils >= 1:2.13.90.0.4-alt2 is needed by gcc2.96-2.96-alt3
glibc-devel is needed by gcc2.96-2.96-alt3
Итак, судя по результатам работы команды rpm, у нас
неудовлетворенные зависимости между пакетами. Нач-
нем разрешение конфликтов. Как всегда, ехидно замеча-
ем, что счастливчики, пользующиеся apt-get или synaptic,
подобных проблем не почувствуют. Мое нежелание ис-
пользовать apt-get связано с тем, что я предпочитаю де-
лать все самостоятельно. Каким из перечисленных спо-
собов добавлять программное обеспечение в систему,
оставляю на ваше усмотрение. Ну а я займусь увлека-
тельной игрой, суть которой сводится к поиску и установ-
ке следующих пакетов.
# rpm -i cpp2.96-2.96-alt3.i586.rpm
# rpm -i kernel-headers-common-1.0-alt2.noarch.rpm
# rpm -i kernel24-headers-2.4.20-alt5.i586.rpm
# rpm -i glibc-devel-2.2.6-alt0.6.i586.rpm
# rpm -i libbfd-2.13.90.0.4-alt2.i586.rpm
# rpm -i binutils-2.13.90.0.4-alt2.i586.rpm
# rpm -i gcc2.96-2.96-alt3.i586.rpm
Вновь запускаем скрипт, система снова спросит о ком-
пиляторе, а мы опять нажмем «Yes», соглашаясь с тем,
что вот теперь-то у нас точно есть компилятор.
Using compiler "/usr/bin/gcc". Use environment variable CC
to override.
На экране появится надпись о том, что в качестве ком-
пилятора будет использоваться /usr/bin/gcc. Нас такой
поворот событий вполне удовлетворяет, поэтому с лег-
ким сердцем переходим к следующему шагу.
8
What is the location of the directory of C header files that
match your running kernel?
[/usr/src/linux/include]
Смотрим, куда установили заголовочные файлы на-
шего ядра, на основе которых VMWare Workstation будет
собирать модули, загружаемые в работающее ядро.
# rpm -qpl kernel24-headers-2.4.20-alt5.i586.rpm
Судя по всему, это директория /usr/lib/kernel/2.4.20-alt5/
include/. Пишем ее в ответ на приглашение и снова жмем
«Enter». Система начнет компиляцию, и на экране начнут
появляться надписи вроде:
Extracting the sources of the vmmon module.
Building the vmmon module.
make: Entering directory `/root/tmp/vmware-config0/vmmon-only'
make[1]: Entering directory ↵
`/root/tmp/vmware-config0/vmmon-only'
make[2]: Entering directory ↵
`/root/tmp/vmware-config0/vmmon-only/driver-2.4.20-alt5-up'
make[2]: Leaving directory ↵
`/root/tmp/vmware-config0/vmmon-only/driver-2.4.20-alt5-up'
make[2]: Entering directory ↵
`/root/tmp/vmware-config0/vmmon-only/driver-2.4.20-alt5-up'
make[2]: Leaving directory ↵
`/root/tmp/vmware-config0/vmmon-only/driver-2.4.20-alt5-up'
make[1]: Leaving directory ↵
`/root/tmp/vmware-config0/vmmon-only'
make: Leaving directory `/root/tmp/vmware-config0/vmmon-only'
Система закончит сборку модуля vmmon и перейдет к
следующему модулю по имени vmnet. В результате сборки
каждого модуля должна появляться вот такая надпись: «The
module loads perfectly in the running kernel», говорящая, что
созданный модуль загружается в ядро без конфликтов.
Далее отвечаем на вопрос, хотим ли мы, чтобы наши
виртуальные машины могли работать с сетью.
Do you want networking for your virtual machines? (yes/no/
help) [yes]
Как обычно, радостно соглашаемся и переходим на
следующую ступеньку.
Configuring a bridged network for vmnet0.
Сеть vmnet0 используется для работы с устройствами
типа мост и конфигурируется автоматически, поэтому нам
о правильности ее настроек заботиться нет нужды.
Configuring a NAT network for vmnet8.
Do you want this program to probe for an unused private
subnet? (yes/no/help)
[yes] no
Сеть vmnet8 по умолчанию используется для работы с
устройством NAT. Скрипт спрашивает, не желаем ли мы
автоматически выбрать свободную частную подсеть. Мы
этого не хотим, потому как в наших планах построения
макета записано, что для данной цели будет использо-
ваться сеть 192.168.32.0.
What will be the IP address of your host on the private
network?
[172.16.252.1] 192.168.32.1

What will be the netmask of your private network?
[255.255.255.0]
Соответственно описываем нужную нам для NAT-сеть
и ее маску.
The version of DHCP used in this version of VMware Workstation
is licensed as described in the "/usr/share/doc/vmware/
DHCP-COPYRIGHT" file.
Hit enter to continue.
Нажав «Enter», приступаем к изучению лицензии на
усеченной версии сервера DHCP, поставляющегося в ком-
плекте с VMWare Workstation.
Do you want to be able to use host-only networking in your
virtual machines?
[no] yes
Разрешаем использовать сети типа host-only. Что это за
сети и каково их предназначение, читайте в первой статье.
Do you want this program to probe for an unused private
subnet? (yes/no/help)
[yes] no
Запрещаем автоматический поиск свободных сетей,
потому что мы хотим самостоятельно выбирать адреса
раздаваемых сетей. Главное – случайно не напороться на
уже существующую в локальной сети подсеть. Иначе не-
которое количество «приятных» минут вам обеспечено.
What will be the IP address of your host on the private
network? 192.168.40.0
What will be the netmask of your private network? 255.255.255.0
The following hostonly networks have been defined:
. vmnet1 is a host-only network on private subnet 192.168.40.0.
Вот так мы создали сеть Vmnet1 с адресным простран-
ством 192.168.40.0 и маской сети 255.255.255.0.
Повторяем те же действия для сетей vmnet2 и vmnet3.
Только теперь в качестве адресов сетей используем со-
ответственно 192.168.80.0 и 192.168.120.0.
The following hostonly networks have been defined:
. vmnet1 is a host-only network on private subnet 192.168.40.0.
. vmnet2 is a host-only network on private subnet 192.168.80.0.
. vmnet3 is a host-only network on private subnet 192.168.120.0.
Cкрипт рапортует об успешном создании сетей vmnet1,
vmnet2, vmnet3. В ответ на вопрос, не хотим ли мы на-
строить еще несколько сетей, отвечаем «no».
Do you want this program to automatically configure your
system to allow your virtual machines to access the host's
filesystem? (yes/no/help) [no]
Хотим ли мы, чтобы виртуальные машины могли про-
зрачно работать с файлами, находящимися на файло-
вых системах основной операционной системы? Реали-
зуется это через запуск под управлением основной опе-
рационной системы усеченной версии программного
обеспечения Samba. Эта версия создана специально для
подобной цели, и, скорее всего, ни для чего другого не
годится.
№11(12), ноябрь 2003
администрирование
Мне такая возможность показалось полезной, и я раз-
решил ее включение. Кстати, в фирменной документа-
ции сказано, что если на вашей машине уже работает
Samba, то в этом случае нужно в ответ на вопрос сказать
«no», потому что иначе в системе начнутся конфликты
между полной и усеченной версиями Samba.
This system appears to have a CIFS/SMB server (Samba)
configured for normal use. If this server is intended to
run, you need to make sure that it will not conflict with
the Samba server setup on the private network (the one that
we use to share the host's filesystem). Please check your /
etc/samba/smb.conf file so that:
. The "interfaces" line does not contain
"192.168.40.1/255.255.255.0"
. There is a "socket address" line that contains only your
real host IP address
Кстати, стоит отметить, что скрипт самостоятельно
нашел на моей машине установленную, но не запущен-
ную в данный момент полноценную версию Samba. Про-
верить, правда ли это, можно, запустив на другой консо-
ли следующие команды:
# rpm -qa | grep samba
samba-client-2.2.7-alt3
samba-2.2.7-alt3
samba-client-cups-2.2.7-alt3
samba-common-2.2.7-alt3
Ну что же, вернемся обратно к установке. Как всегда,
сначала рассказали о лицензии на сервер Samba, с по-
мощью которого будет идти обмен файлами, а затем уве-
домили, что Samba у нас функционирует нормально. За-
тем прошел автоматический запуск демона VMWare
Workstation.
Starting VMware services:
Virtual machine monitor [ OK ]
Virtual ethernet [ OK ]
Bridged networking on /dev/vmnet0 [ OK ]
Host-only networking on /dev/vmnet1 (background) [ OK ]
Host-only networking on /dev/vmnet2 (background) [ OK ]
Host-only networking on /dev/vmnet3 (background) [ OK ]
Host-only networking on /dev/vmnet8 (background) [ OK ]
NAT networking on /dev/vmnet8 [ OK ]
Снова принимаем поздравления с удачной установкой.
Кстати, убедиться, что работает именно усеченная вер-
сия Samba, можно с помощью запуска на другой консоли
вот такой команды.
# ps -ax | grep -v grep | grep mbd
1260 ? S 0:00 /usr/bin/vmware-nmbd -D ↵
-l /dev/null -s /etc/vmware/vmnet1/smb/smb.conf ↵
-f /var/run/vmware-nmbd-vmnet1.pid
1280 ? S 0:00 /usr/bin/vmware-smbd -D ↵
-l /dev/null -s /etc/vmware/vmnet1/smb/smb.conf ↵
-f /var/run/vmware-smbd-vmnet1.pid
Теперь нужно решить, от имени какого пользователя
samba будет получать доступ к файлам, находящимся на
диске основной операционной системы.
You have successfully configured VMware Workstation to allow
your virtual machines to access the host's filesystem. Would
you like to add a username and password for accessing your
host's filesystem at this time? (yes/no/help)
[yes] no
Мне показалось, что создавать еще одного пользова-
9
 администрирование
теля только для того, чтобы разграничить доступ к файлам
основной системы, нецелесообразно. Особенно учитывая
тот факт, что я пользуюсь этой машиной единолично. Та-
ким образом, Samba будет работать от имени пользовате-
ля root, запустившего серверную часть VMWare Workstation.
Проверить, как функционируют подсистемы VMWare
Workstation и какой у каждой из них статус, можно с по-
мощью следующей команды:
# service vmware status
At least one instance of VMware Workstation is still running.
vmnet-bridge (pid 1165) is running...
vmnet-dhcpd (pids 1373 1287 1273 1239) are running...
vmnet-netifup (pids 1308 1251 1208 1182) are running...
Module vmmon installed
Module vmnet installed
Итак, первоначальная настройка VMWare Workstation
закончена, и мы можем позволить себе посмотреть, как
выглядят добавочные сетевые адаптеры, на основе кото-
рых работают наши виртуальные сети.
# ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:92 (92.0 b) TX bytes:92 (92.0 b)
vmnet1 Link encap:Ethernet HWaddr 00:50:56:C0:00:01
inet addr:192.168.40.1 Bcast:192.168.40.255 ↵
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:65 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
vmnet2 Link encap:Ethernet HWaddr 00:50:56:C0:00:02
inet addr:192.168.80.1 Bcast:192.168.80.255 ↵
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
vmnet3 Link encap:Ethernet HWaddr 00:50:56:C0:00:03
inet addr:192.168.120.1 Bcast:192.168.120.255 ↵
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
vmnet8 Link encap:Ethernet HWaddr 00:50:56:C0:00:08
inet addr:172.16.252.1 Bcast:172.16.252.255 ↵
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Теперь проверим, какие процессы работают в систе-
ме от имени VMWare Workstation
# ps -ax | grep -v grep | grep vm
7398 ? S 0:00 /usr/bin/vmnet-dhcpd ↵
-cf /etc/vmware/vmnet1/dhcpd/dhcpd.conf ↵
-lf /etc/vmware/vmnet1/dhcpd/dhcpd.leases ↵
-pf /var/run/vmnet-dhcpd-vmnet1.pid vmnet1
7411 ? S 0:00 /usr/bin/vmware-nmbd -D ↵
-l /dev/null -s /etc/vmware/vmnet1/smb/smb.conf ↵
-f /var/run/vmware-nmbd-vmnet1.pid
7431 ? S 0:00 /usr/bin/vmware-smbd -D ↵
10
-l /dev/null -s /etc/vmware/vmnet1/smb/smb.conf ↵
-f /var/run/vmware-smbd-vmnet1.pid
7434 ? S 0:00 /usr/bin/vmnet-dhcpd ↵
-cf /etc/vmware/vmnet2/dhcpd/dhcpd.conf ↵
-lf /etc/vmware/vmnet2/dhcpd/dhcpd.leases ↵
-pf /var/run/vmnet-dhcpd-vmnet2.pid vmnet2
7493 ? S 0:00 /usr/bin/vmnet-dhcpd ↵
-cf /etc/vmware/vmnet8/dhcpd/dhcpd.conf ↵
-lf /etc/vmware/vmnet8/dhcpd/dhcpd.leases ↵
-pf /var/run/vmnet-dhcpd-vmnet8.pid vmnet8
7516 ? S 0:00 /usr/bin/vmnet-natd ↵
-d /var/run/vmnet-natd-8.pid ↵
-m /var/run/vmnet-natd-8.mac ↵
-c /etc/vmware/vmnet8/nat/nat.conf
7543 ? S 0:00 /usr/bin/vmnet-dhcpd ↵
-cf /etc/vmware/vmnet3/dhcpd/dhcpd.conf ↵
-lf /etc/vmware/vmnet3/dhcpd/dhcpd.leases ↵
-pf /var/run/vmnet-dhcpd-vmnet3.pid vmnet3
Если вы помните, мы уже говорили, что в сетях vmnet1
и vmnet3 все клиенты работают со статическими адреса-
ми, поэтому DHCP-сервера этих сетей работают вхолос-
тую. Желательно не забыть отключить DHCP-компонен-
ты вышеназванных сетей. Впрочем, если вы этого не сде-
лаете, то ничего страшного не произойдет, но дизайн сети
будет уже не таким опрятным, да и системные ресурсы
все же не бесконечны.
Все настройки VMWare Workstation хранятся внутри
каталога /etc/vmware. Каждая из сетей имеет свою папку
внутри вышеназванного каталога. Для наглядности давай-
те посмотрим на содержимое папки /etc/vmware/vmnet1,
в которой хранятся настройки для сети vmnet1. Как вы
могли бы догадаться, /etc/vmware/vmnet1/dhcpd/ содержит
настройки сервера dhcp, а /etc/vmware/vmnet1/smb/ соот-
ветственно является местом хранения конфигурационных
файлов усеченной версии сервера Samba.
Для того чтобы остановить сервера DHCP, обслужи-
вающие сети vmnet1 и vmnet3, нужно удалить каталоги
/etc/vmware/vmnet1/dhcpd/ и /etc/vmware/vmnet3/dhcpd/. Ну
и напоследок стоит убедиться, что в файле /etc/vmware/
vmnet2/dhcpd/dhcpd.conf есть вот такая секция:
subnet 192.168.80.0 netmask 255.255.255.0 {
range 192.168.80.128 192.168.80.254;
option broadcast-address 192.168.80.255;
option domain-name-servers 192.168.80.1;
option domain-name "localdomain";
option routers 192.168.80.2;
}
Иногда скрипт конфигурирования сети VMWare
Workstation забывает дописать в эту секцию строку option
routers, отвечающую за адрес шлюза по умолчанию. Со-
ответственно клиенты при работе с DHCP-сервером ус-
пешно получают IP-адреса, но дальше своей родной сети
пойти не могут, потому что не знают адреса маршрутиза-
тора. Осталось подправить одну крохотную, но в то же
время очень важную настройку. Если мы хотим, чтобы
люди из внешнего мира видели наш виртуальный веб-сер-
вер, работающий на машине Linux Mandrake, то нам нуж-
но организовать проброс входящих соединений. Получа-
ется, что все соединения, приходящие на 80-й порт ре-
альной машины, нужно заворачивать на 80-й порт вирту-
ального веб-сервера. Делается это очень просто, хотя и
не так элементарно, как если бы VMWare Workstation ра-
ботала под управлением Windwos. Нужно добавить в файл
/etc/vmware/vmnet8/nat/nat.conf внутрь секции [incomingtcp]
следующие строки.
 администрирование
# incoming www from outside on port 80
vmnet-sniffer – перехватчик трафика для виртуальных
80 = 192.168.40.32:80
интерфейсов, например, прослушивать данные, переда-
Затем необходимо перезапустить серверную часть ваемые через сеть vmnet3, можно с помощью команды
VMWare Workstation, заставив применить внесенные из- vmnet-sniffer -e /dev/vmnet3. Это бывает очень полезно
менения. для отладки разных проблем сетевой подсистемы;

vmstat – показывает состояние виртуальной машины;
# service vmware restart
Stopping VMware services:

vmware – собственно главный исполняемый файл си-
Virtual machine monitor [ OK ] стемы VMWare Workstation;
Bridged networking on /dev/vmnet0
DHCP server on /dev/vmnet1
[ OK
[ OK
]
]

vmware-config.pl – наш старый знакомый скрипт на-
SMB share server on /dev/vmnet1 [ OK ] стройки;
SMB name server on /dev/vmnet1
Host-only networking on /dev/vmnet1
[ OK
[ OK
]
]

vmware-loop – программа для экспорта данных из вир-
DHCP server on /dev/vmnet2 [ OK ] туальной файловой системы в реальную;
Host-only networking on /dev/vmnet2
DHCP server on /dev/vmnet3
[ OK
[ OK
]
]

vmware-mount.pl – инструмент для управления монти-
Host-only networking on /dev/vmnet3 [ OK ] рованием разделов виртуальных дисков;
DHCP server on /dev/vmnet8
NAT networking on /dev/vmnet8
[ OK
[ OK
]
]

vmware-nmbd – усеченная версия сервера имен NETBIOS;
Host-only networking on /dev/vmnet8 [ OK ]
vmware-ping – служит для проверки виртуальных сетей;
Virtual ethernet
Starting VMware services:
[ OK ]
vmware-smbd – усеченная версия демона для работы
Virtual machine monitor [ OK ] с SMB/CIFS (Samba);
Virtual ethernet
Bridged networking on /dev/vmnet0
[ OK
[ OK
]
]

vmware-smbpasswd – программа управления пользо-
Host-only networking on /dev/vmnet1 (background) [ OK ] вателями и паролями из комплекта Samba;
Host-only networking on /dev/vmnet2 (background) [
Host-only networking on /dev/vmnet3 (background) [
OK
OK
]
]

vmware-uninstall.pl – скрипт деинсталляции VMWare
Host-only networking on /dev/vmnet8 (background) [ OK ] Workstation;
NAT networking on /dev/vmnet8
vmware-wizard – программа, используемая внутри VMWare
Workstation для создания новых виртуальных машин.
Судя по выводу скрипта, DHCP-сервера отключились
во всех виртуальных сетях разом. На самом деле это не Как вы могли убедиться, VMWare Workstation постав-
так. Давайте проверим наличие демонов VMWare ляется с довольно богатым набором инструментов. Воз-
Workstation в памяти. Делать это нужно все той же доб- можно, некоторые из них мы будем использовать для ди-
рой старой командой ps: агностики и устранения неполадок, если таковые возник-
нут в наших виртуальных сетях.
# ps -ax | grep -v grep | grep vm Продолжать злоупотреблять полномочиями пользова-
4515 pts/1 S 0:00 /usr/bin/vmnet-bridge ↵
-d /var/run/vmnet-bridge-0.pid /dev/vmnet0 eth0 теля root больше нет необходимости, поэтому нам стоит
4531 pts/1 S 0:00 /usr/bin/vmnet-netifup ↵ превратиться в обычного пользователя, под которым мы
-d /var/run/vmnet-netifup-vmnet1.pid /dev/vmnet1 vmnet1
4555 pts/1 S 0:00 /usr/bin/vmnet-netifup ↵ и будем ежедневно работать с VMWare Workstation.
-d /var/run/vmnet-netifup-vmnet2.pid /dev/vmnet2 vmnet2
4586 ? S 0:00 /usr/bin/vmnet-dhcpd
-cf /etc/vmware/vmnet2/dhcpd/dhcpd.conf ↵ $ /usr/bin/vmware
-lf /etc/vmware/vmnet2/dhcpd/dhcpd.leases ↵
-pf /var/run/vmnet-dhcpd-vmnet2.pid vmnet2↵
4595 pts/1 S 0:00 /usr/bin/vmnet-netifup ↵ Программа должна отработать нормально, и на экране
-d /var/run/vmnet-netifup-vmnet3.pid /dev/vmnet3 vmnet3 появится главное окно клиентской части VMWare Workstation.
4645 pts/1 S 0:00 /usr/bin/vmnet-netifup ↵
-d /var/run/vmnet-netifup-vmnet8.pid /dev/vmnet8 vmnet8 Пользуясь меню Help → Enter Serial Number, активируем ус-
4675 ? S 0:00 /usr/bin/vmnet-natd ↵ тановленное программное обеспечение с помощью тесто-
-d /var/run/vmnet-natd-8.pid ↵
-m /var/run/vmnet-natd-8.mac ↵ вого серийного номера, присланного нам по почте.
-c /etc/vmware/vmnet8/nat/nat.conf
4686 ? S 0:00 /usr/bin/vmnet-dhcpd ↵
-cf /etc/vmware/vmnet8/dhcpd/dhcpd.conf ↵
-lf /etc/vmware/vmnet8/dhcpd/dhcpd.leases ↵
-pf /var/run/vmnet-dhcpd-vmnet8.pid vmnet8

Затаив дыхание, рассматриваем вывод команды. И –

о чудо! – судя по надписям, демоны DHCP-сервера впол-
не нормально обслуживают сети vmnet2 и vmnet8. С на-
чальной настройкой покончено, можно двигаться дальше.
Также стоит посмотреть, что появилось в директории
/usr/bin/ после инсталляции:

vmnet-bridge – программа для создания устройств
«мост»;

vmnet-dhcpd – усеченная версия демона dhcp; Программа предложит зарегистрироваться в качестве

vmnet-natd – демон, реализующий функции устройства пользователя на сервере vmware.com. Я решил, что делать
NAT; этого не желаю, и нажал «Cancel». Вы же можете посту-

vmnet-netifup – программа для создания виртуальных пать, как захотите, потому что регистрация на сайте – ме-
сетевых интерфейсов; роприятие сугубо добровольное и на работу не влияющее.

№11(12), ноябрь 2003 11

 администрирование
nvram, в котором хранится образ и настройки BIOS дан-
ной виртуальной машины. Как вы, наверное, уже догада-
лись по названию, vmware.log хранит протоколы работы.
Поэтому в случае возникновения каких-либо сбоев в фун-
кционировании гостевой системы, устранение неполадок
лучше всего начать с просмотра именно этого файла. И
наконец, мы подходим к самому интересному из всей кол-
лекции – файлу win98.vmx. Именно он хранит в себе на-
бор необходимых для работы виртуальной машины дан-
ных. В качестве таких данных могут выступать:
Теперь необходимо проверить, правильно ли сработа-
список устройств и их характеристики;
ла активация лицензии. Для этой цели нам пригодится
количество виртуальных жестких дисков;
меню Help → About
соответствие между файлами виртуальных жестких
Если у вас появилось на экране что-то подобное сле- дисков и устройствами гостевой системы;
дующему рисунку, значит, дела идут как положено.
перечень сетевых адаптеров и их MAC-адреса;

настройки вспомогательного программного обеспечения.

В случае если VMWare Workstation в данный момент про-

изводит какие-либо действия с нашей виртуальной маши-
ной, в директории появится еще и файл блокировки досту-
па win98.vmx.WRITELOCK. Ну а если вдобавок ко всему
еще и гостевая система выполняется, то для каждого фай-
ла виртуального диска создается дополнительный файл
блокировки win98.vmdk.WRITELOCK. Также внутри дирек-
тории можно встретить файлы вида win98.vmss и
win98.vmsn. Соответственно первый из них содержит дан-
ные, полностью описывающие состояние виртуальной ма-
шины на тот момент, когда ее функционирование было
приостановлено с помощью команды Power → Suspend. Ну
а второй хранит данные моментального снимка виртуаль-
ной машины, получаемого с помощью команды Snapshot →
Save Snapshot. Время от времени внутри директории с
файлами гостевой системы на короткие промежутки вре-
Особое внимание cтоит обратить на дату, расположив- мени будут появляться различные служебные файлы, но
шуюся за надписью Expiration. Она указывает, до какой вы их, скорее всего, никогда не увидите.
даты мы сможем пользоваться лицензией, а значит, и са- Разобравшись с устройством виртуальной машины на
мой программой VMWare Workstation. файловом уровне, перейдем от теории к действиям. Для
Итак, закончив с первоначальной настройкой VMWare того чтобы мы могли работать с выбранной машиной, нуж-
Workstation, перейдем к созданию наших виртуальных ма- но объяснить VMWare Workstation, где находятся необхо-
шин. Этот процесс очень подробно описывался в первой димые нам файлы.
статье данного цикла. Если есть желание, можете выпол- Используем меню File → Open, получаем следующую
нить его снова. Хотя я думаю, что ничего нового вы для себя картинку.
не откроете. Ну а я как человек, искренне верящий в слова
«лень – двигатель прогресса», поступлю иначе. Если вы
помните, от предыдущей статьи нам в наследство остались
комплекты файлов виртуальных машин, созданных под
Windows. Сейчас мы займемся их переносом под Linux. Ма-
шина, на которой происходят все безобразия, описанные в
этой статье, имеет на борту две операционных системы –
ALT Linux и Windows 2000 Professional. Таким образом, нам
нужно примонтировать файловую систему Windows к дере-
ву Linux в директорию /mnt/win_d/VirtualMachines. Выполнив
эту задачу, мы получим доступ к файлам наших виртуаль-
ных машин. Итак, давайте посмотрим, из каких файлов со-
стоит любая виртуальная машина. В качестве примера
возьмем машину Windows 98.
Файлы win98-f001.vmdk и win98.vmdk отвечают за ра-
боту с жестким диском. Первый из них содержит образ
диска, а второй – его конфигурацию. Далее идет файл

12

Выбираем файл win98.vmx и обязательно используем
по прямому назначению кнопку «ОК». После того, как
VMWare Workstation выполнит открытие всех нужных фай-
лов, можно запускать виртуальную машину с полученной
только что гостевой системой.
Тут нас ждет несколько неприятных неожиданностей. Как
из рога изобилия, начинают сыпаться ошибки и предупреж-
дения. Возможно, на вашей системе некоторые из них ни-
как не проявят себя, а взамен появятся какие-либо новые
конфликты. Но бояться этого все же не стоит. Большинство
из таких проблем поддаются коррекции довольно просто.
Итак, тут мы видим конфликтную ситуацию, возник-
шую внутри подсистемы сетевого оборудования. А если
говорить точнее, то VMWare Workstation сообщает, что у
нее отсутствует сетевой адаптер VMnet3. Нажимаем «OK»
и переходим к следующей ошибке.
Теперь жалоба касается CD-ROM. Нас предупрежда-
ют, что не все режимы работы будут доступны из-за кон-
фликтов с настройками реального и проецируемого на
него виртуального устройства.
В связи с разницей в имени гибкого диска между
Windows и Linux, диск A:\ тоже не хочет работать.
№11(12), ноябрь 2003
администрирование
Совсем не понравилась VMWare Workstation моя ps/2
мышь glidepoint. Но это не беда, доктор сказал, что на этом
свете почти все неприятности поправимы.
Снова не совпадает наименование устройств систе-
мы. На этот раз нам отказала звуковая карта.
Эта ошибка единственная, с которой я не смог спра-
виться, но она некритична. Дело в том, что моя устарев-
шая видеокарта и установленный на машину X-сервер не
поддерживают аппаратную акселерацию режима DGA, по-
этому во время работы гостевой системы в полноэкран-
ном режиме возможны проблемы с быстродействием. Ради
интереса я проверил, так ли это. Невооруженным глазом
заметить какое-либо замедление не удалось.
После того как гостевая система с горем пополам за-
кончила загрузку, вся панель устройств похожа на выез-
дной пикник красного креста. Просмотрев весь список
ошибок, который VMWare Workstation посчитала необхо-
димым показать нам, приступим к исправлению оных.
Первым делом беремся за настройку сетевого адап-
тера. Проходим через меню Edit → Virtual Machine Settings
и выбираем устройство Network Adapter. Точно такого же
эффекта можно добиться с помощью меню Edit →
Removable Devices → Ethernet0 → Edit.
Итак, нам нужно вместо VMnet3 выбрать из ниспада-
ющего меню /dev/vmnet3. Затем с помощью переключа-
теля «Connect» подключить устройство к работающей го-
стевой системе. Дело в том, что VMWare Workstation по-
зволяет подключать и отключать многие устройства пря-
мо на ходу. В качестве таких устройств могут выступать
13
 администрирование
CD-ROM, Ethernet-адаптер, гибкие диски, SCSI-устрой-
ства, звуковая карта, высокоточный таймер реального
времени. Это, в свою очередь, позволяет более опера-
тивно исправлять проблемы, обходясь без перезагрузки
гостевой системы. В общем, должна получиться комби-
нация настроек, отображенная на следующем рисунке.

Выбрав тот или иной путь для разрешения проблемы

с CD-ROM устройством, идем дальше. Теперь нужно ра-
зобраться с PS/2 мышью, установленной на основной си-
стеме. Запускаем программу настройки общесистемных
параметров (для моего дистрибутива это drakconf ) и вы-
бираем в качестве мыши устройство «Стандартная PS2
мышь с колесом (IMPS2)».

Теперь займемся лечением устройства CD-ROM. Сра-

зу же после переноса гостевой системы с Windows на Linux
это виртуальное устройство представляет собой следую-
щую совокупность настроек.

Настраивать мышь можно и вручную: для этого нужно

открыть файл /etc/X11/XF86Config-4, в котором находят-
ся настройки X-сервера. Ищем внутри него секцию, отве-
чающую за работу мыши, и вносим вместо нее следую-
щие строки:
Для начала указываем, что нужное нам физическое уст-
ройство называется /dev/cdrom/. И обязательно устанавли- Section "InputDevice"
Identifier "Mouse1"
ваем переключатель опции «Legacy emulation». Таким обра- Driver "mouse"
зом, включается режим совместимости со старыми образ- Option "Protocol" "IMPS/2"
Option "Device" "/dev/psaux"
цами устройств CD-ROM. Это дает дополнительную стабиль- Option "ZAxisMapping" "4 5"
ность функционирования. Затем выбираем один из двух EndSection
путей: либо приказываем работать с виртуальным CD-ROM
в формате IDE-устройства, либо маскируем его под SCSI- Вешаем на стену скальп еще одной решенной пробле-
устройство. В результате должна получиться одна из двух мы и переходим к следующей. Сейчас нам нужно почи-
изображенных ниже комбинаций настроек. нить устройство для работы с гибкими дисками. Под
Windows оно называется A:\ , ну а под Linux это будет одно
из устройств семейства /dev/fd. В моей системе это уст-
ройство называется /dev/fd0.

14
 администрирование
Налюбовавшись рисунками с изображением настроек
«до» и «после», перейдем к решению следующей пробле-
мы. У нас на очереди звуковая карта. Посмотрим, что
именно вписано в конфигурацию этого устройства.

Судя по всему, гостевая система, запущенная первой,

Неудивительно, что оно не работает при таком стран-
ном названии «-1». Вместо этого, слегка задумавшись,
но ничуть не сомневаясь, выбираем /dev/dsp:
заблокировала устройство /dev/fd0, и теперь ни одна дру-
гая система не сможет работать с ним до тех пор, пока
оно не будет освобождено. Дабы избежать подобных кол-
лизий в будущем, сделайте так, чтобы переключатели
«Connected» и «Connected at power on» были отключены.

Разобравшись со всеми проблемами, закрываем

VMWare Workstation и все остальные приложения. Те-
перь нужно перезапустить X-сервер для того, чтобы из-
менения в настройках мыши вступили в действие. На-
жимаем комбинацию кнопок Ctrl+Alt+BackSpace. Пос-
ле перезагрузки X-сервера снова входим в систему и
запускаем VMWare Workstation и внутри нее гостевую
машину Windows 98. Уж теперь-то все должно зарабо-
тать на ура.
Используя вышеописанную методику, чиним все ос- Таким образом, устройство для работы с гибкими
тальные гостевые системы. Таким образом, у нас появят- дисками будет отключено по умолчанию. Мы сможем
ся работоспособные виртуальные машины с FreeBSD, включить его обратно в любой момент, когда нам нуж-
NetBSD, Linux, Windows 2000. Кстати, перед запуском каж- но будет поработать с ним. А затем, когда необходи-
дой из них вы будете видеть вот такую картинку, предуп- мость в его услугах отпадет, будем возвращать его в
реждающую о том, что в системе работает несколько го- первозданное состояние. Самый простой способ вклю-
стевых систем, и совместный доступ к аппаратным уст- чить или выключить устройство – это воспользоваться
ройствам может работать некорректно. меню Edit → Removable Devices, а затем выбрать нуж-
ное устройство и вид действия, производимого над ним.
Например, для отключения обсуждавшего выше дис-
ковода гибких дисков нужно пройти через следующую
цепочку меню Edit → Removable Devices → floppy0 →
Disconnect.
Разобравшись с первым конфликтом, переходим к
следующему. Тут мы видим, что таймер реального вре-
мени, в качестве которого выступает устройство /dev/rtc,
также заблокирован первой гостевой системой.
К таким устройствам можно отнести CD-ROM, гиб-
кие диски и таймер реального времени. Если не хоти-
те, чтобы подобные надписи впредь появлялись на эк-
ране, воспользуйтесь переключателем «Never show this
hint again». Хотя такой подход все равно не спасет от
конфликтов, зато избавит от постоянного лицезрения
данной надписи. Загрузив первую гостевую систему,
сразу же запускаем вторую и моментально получаем
первый конфликт.

Прочитав фирменную документацию по VMWare

Workstation, узнаем, что операционные системы семей-
ства Windows в процессе работы постоянно опрашива-
ют это устройство. Подобное поведение, в свою очередь,
может привести к весьма чувствительному повышению
нагрузки на основную систему. Далее в документации

№11(12), ноябрь 2003 15

 администрирование
говорится, что теоретически Windows должна нормаль-
но работать и без использования таймера реального вре-
мени. Отключаем устройство RTC и проверяем. По край-
ней мере, мои виртуальные машины, подвергшись та-
кой вивисекции, не утратили стабильного функциониро-
вания. Кстати, иногда редактирование конфигурации
выключенной виртуальной машины может привести к
такой ошибке.
В свою очередь, признаком работы системы служит
появление дополнительного файла блокировок файлов
жестких дисков, называющегося «имя гостевой систе-
мы .vmdk.WRITELOCK». Видимо, разработчики VMWare
Workstation не смогли придумать более надежного спо-
соба для проверки факта запуска той или иной гостевой
системы. Кстати, если во время работы гостевой систе-
мы удалить все файлы WRITELOCK, то ее легко можно
запустить повторно. Например, на следующем рисунке
можно видеть два экземпляра гостевой системы Windows
98, запущенных из одного и того же файла и работаю-
щих одновременно довольно-таки стабильно.

Пугаться этого не стоит, вероятность того, что вы ис-

портите свою гостевую систему, слишком мала. Просто
по непонятным причинам конфигурационный файл ока-
зывается заблокирован для записи. Чтобы решить эту
проблему, нужно закрыть вкладку виртуальной машины
внутри VMWare Workstation и открыть ее снова.
На следующей картинке можно увидеть одновремен-
ную работу всех систем, на импортирование которых мы
потратили столько труда. Для наглядности каждая из них
запущена в отдельном окне. Конечно, можно было запус-
тить их внутри разных вкладок родительского окна, но я
решил, что так картинка будет выглядеть недостаточно
эффектно. Добиться подобного вида можно, используя
меню File → New → New Window. Во вновь появившемся
окне, следуя укоренившейся привычке, выбираем File →
Open. Внимательный читатель может спросить, зачем все Впрочем, использовать такие приемы в практической
эти сложности. Мой ответ будет довольно прост. Такой работе не стоит, потому что совершенно непонятно, как
подход позволяет разложить виртуальные машины в нуж- поведут себя обе гостевые системы, если им одновремен-
ном порядке по виртуальным столам оконного менедже- но потребуется записать какие-либо данные в файл вир-
ра. Лично мне это кажется весьма удобным. туального диска.
У подобной методики работы есть один щекотливый Мы немного отвлеклись от темы нашего повествова-
момент. Если внутри любого окна создана вкладка с гос- ния. После переноса и успешного запуска всех гостевых
тевой операционной системой, то эта система становит- систем настал момент проверить, насколько правильно
ся не доступна для запуска из другого окна. Все дело в работает наш макет. Для этого на Windows-машинах вы-
том, что VMWare Workstation в момент открытия конфигу- полняем команду ipconfig /all и смотрим, какие настройки
рации виртуальной машины создает файл эксклюзивной у нашей сетевой подсистемы. Например, на следующем
блокировки. Называется такой файл обычно «имя госте- снимке можно увидеть результат выполнения вышеука-
вой системы.vmx.WRITELOCK». Причем файл создается занной команды на машине Win2000.
еще до запуска гостевой системы и остается до тех пор,
пока не будет закрыта вкладка гостевой системы или за-
вершится работа VMWare Workstation. Получается, что
конфигурация гостевой системы будет заблокирована в
любом случае, вне зависимости от того, работает госте-
вая система или нет. Если попытаться открыть эту госте-
вую систему еще раз, то получим по рукам.

16

Так как все остальные системы, используемые в на-
шем макете, являются диалектами Unix, то для просмот-
ра состояния их сетевых интерфейсов нужно использо-
вать команду ifconfig. Например, для машины FreeBSD
вывод команды выглядел вот так:
lnc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX, ↵
MULTICAST> mtu 1500
inet 192.168.40.2 netmask 0xffffff00 ↵
broadcast 192.168.40.255
inet6 fe80::20c:29ff:fec7:b430%lnc0 ↵
prefixlen 64 scopeid 0x1
ether 00:0c:29:c7:b4:30
lnc1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX, ↵
MULTICAST> mtu 1500
inet 192.168.80.2 netmask 0xffffff00 ↵
broadcast 192.168.80.255
inet6 fe80::20c:29ff:fec7:b43a%lnc1 ↵
prefixlen 64 scopeid 0x2
ether 00:0c:29:c7:b4:3a
lnc2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX, ↵
MULTICAST> mtu 1500
inet 192.168.120.2 netmask 0xffffff00 ↵
broadcast 192.168.120.255
inet6 fe80::20c:29ff:fec7:b444%lnc2 ↵
prefixlen 64 scopeid 0x3
ether 00:0c:29:c7:b4:44
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> ↵
mtu 1500
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> ↵
№11(12), ноябрь 2003
администрирование
mtu 16384
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
inet 127.0.0.1 netmask 0xff000000
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
Таким образом, проверив правильность настройки
сетевых компонентов всех подопытных систем, начина-
ем смотреть, как по тестовым сетям передаются данные.
Для этого на любой машине выполняем команду ping с
адресами всех остальных машин. Если ping работает, то
переходим к следующему этапу. Теперь любым браузе-
ром заходим на адрес 192.168.40.32. Должны увидеть что-
то вроде такой страницы с приветствием от веб-сервера
Apache.
Затем с любой машины, находящейся за пределами
созданной виртуальной сети, пытаемся сходить браузе-
ром на адрес нашей реальной машины. В ответ должны
получить тот же самый привет от Apache. Судя по всему,
задача по созданию виртуального полигона, полностью
соответствующего схеме, наконец-то выполнена. Как все-
гда, прощаемся до следующей статьи, которая будет по-
священа разным трюкам, заметно облегчающим жизнь
при работе с VMWare Workstation.
17
администрирование

ФАЙЛОВЫЕ СИСТЕМЫ LINUX

СЕРГЕЙ ЯРЕМЧУК

18

Что мне нравится в OС GNU/Linux, так это гибкость во
всем, практически можно собрать систему под опреде-
ленные задачи, выбрав необходимое из множества ком-
понентов. Кроме патчей к ядру, различных версий биб-
лиотек и компиляторов, есть возможность выбора и фай-
ловой системы, на которой будет работать ОС. В данной
статье я предлагаю пробежаться по многообразию и оп-
ределиться с выбором, узнать о достоинствах и недостат-
ках предлагаемых файловых систем.
Под файловой системой понимается физический спо-
соб организации данных на дисковом разделе, т.е. воз-
можность их хранения, нахождения и манипулирования
ими (запись, стирание). Думаю, такого простенького оп-
ределения вполне достаточно, чтобы понять, какие тре-
бования выдвигаются к файловой системе. До недавнего
времени в Linux предлагалась для использования факти-
чески только одна файловая система ext2fs. Да, возмож-
но было, конечно, и установить ее в раздел FAT, но заня-
тие это кажется мне крайне нездоровым, да и производи-
тельность и стабильность при таком размещении только
страдает. Также изначально в ядре поддерживается воз-
можность взаимодействовать с файловыми системами
других ОС, расположенных на одном диске. Их можно по-
смотреть, набрав:
#make xconfig
и зайдя в пункт меню File system, все я их перечислять не
буду, для включения их поддержки ядром его необходи-
мо иногда пересобрать, активировав необходимый пункт.
Да и то для наиболее распространенных, таких как NTFS
Windows NT и UFS (FFS) FreeBSD, запись в них помечена
как DANGEROUS, плюс еще не забыта даже MINIX (стоит
ли говорить о позавчерашнем дне).
Но сейчас предлагаемый ассортимент несколько увели-
чился, в современных ядрах добавилась возможность рабо-
ты с так называемыми журналируемыми файловыми сис-
темами – ext3fs, ReiserFS, XFS и JFS. Не говоря уж о под-
держке технологий Soft-RAID и LVM. Но и это еще не все,
для тех, кому нужна повышенная конфиденциальность ин-
формации, хранимой на компьютере, вполне подойдет CFS,
свободная криптографическая файловая система от Матта
Блейза (Mutt Blaze) для Unix/Linux (http://www.crypto.com/
software/) или TCFS (Transparent Cryptographic File System)
(http://www.tcfs.it/). В данной статье будут рассмотрены
только классические файловые системы как наиболее
часто применяемые на компьютерах, об остальных пого-
ворим как-нибудь отдельно в следующий раз. Итак, по
старшинству.
Ext2fs
Как уже говорилось, данная файловая система в Linux –
это уже стандарт де-факто, ее характеризует довольно
высокая надежность и самое высокое из рассматрива-
емых файловых систем быстродействие, которые в
свою очередь достигаются дублированием особо важ-
ных метаданных и очень эффективным механизмом кэ-
ширования дисковых операций. Но так как Linux исполь-
зуется все чаще и чаще на высокопроизводительных
№11(12), ноябрь 2003
администрирование
серверах, то она уже не удовлетворяет обычным тре-
бованиям – большие разделы жесткого диска, быстрое
восстановление после сбоев, высокопроизводительные
операции ввода/вывода, потребность в хранении тысяч
и тысяч файлов, представляющих терабайты данных.
Все это уже превышает возможности данной файловой
системы. Еще одной особенностью этой файловой си-
стемы является тройная косвенная адресация для ука-
зания расположения блоков больших файлов. Выгля-
дит это примерно так. Вся информация о расположе-
нии блоков данных, принадлежащих данному файлу,
хранится в inode. Если файл маленький, то в его мета-
данных хватает места для размещения нужной инфор-
мации, и туда помещаются прямые ссылки на ячейки
(логические блоки), в которых хранятся данные, – пря-
мая адресация. При увеличении же объема файла, так
как отведенное место уже не может адресовать зани-
маемое пространство, то блоки метаданных указыва-
ют уже на косвенные блоки, в которых содержатся ад-
реса с данными, определенными в файле (простая кос-
венная адресация), или опять же указатели на следую-
щие косвенные блоки (тройная косвенная адресация).
То есть если файл увеличивается в размере и для
пользователя это проходит как единичная операция,
внутри выглядит несколько иначе: поначалу распреде-
ляются новые блоки, для того чтобы содержать новые
данные, затем модифицируется inode, чтобы сделать
запись о новых указателях и новых размерах, а затем,
в конце концов, производится запись данных. Вот те-
перь представьте, что будет, если при записи файла
произойдет сбой. Возможно несколько вариантов. На-
пример, запись уже произведена или еще не начина-
лась – это самый оптимистичный вариант, в первом слу-
чае после перезагрузки вы так и будете работать с до-
кументом, ничего не заметив, а во втором случае про-
сто теряется пара часов работы, но с файловой систе-
мой ничего такого страшного не произойдет. А вот если
система «упала» именно в момент сохранения файла,
то это худшее из того, что могло произойти. Если за-
пись производилась в зону метаданных, то теперь ин-
формация, содержащаяся в них, не будет соответство-
вать реальному расположению файлов на диске. Ситу-
ация несколько усугубляется еще и тем, что Linux, в
отличие от Windows, не обязательно записывает обнов-
ленный файл поверх старого, при записи во избежа-
ние фрагментации выбирается место, чтобы он влез
полностью и на соседние блоки. Поэтому-то в этой си-
стеме нет программ дефрагментаторов, мне доводи-
лось видеть фрагментацию данных максимум 1-2 %, да
и то на переполненном диске, что, согласитесь, очень
мало (вообще на переполненных дисковых разделах су-
щественно падает скорость операций IO, что характер-
но для всех Unix-файловых систем). Так вот, а если
данные заносились в каталог (а ведь это тоже файл),
то после перезагрузки мы можем недосчитаться одно-
го каталога или, что хуже, вообще целого раздела. Ну
а если произошел сбой при записи в область данных,
то, что он будет потом содержать, зависит от вашего
везения, особенно в случае, если производилась запись
19
 администрирование
поверх старого варианта файла. Конечно, ситуация не
так плачевна, как я обрисовал. За то время, что я ак-
тивно эксплуатирую систему, и пройдя вместе с ней не
одно выключение электропитания, случаев из ряда вон
выходящих не было. Естественно, чтобы избежать та-
кое рассогласование, для данной файловой системы
были разработаны утилиты, помогающие восстановить
ее после сбоев. За несколько лет их алгоритм, в отли-
чие от всеми любимого Scandisk, не поленились довес-
ти практически до совершенства. Так как проверять при
каждой перезагрузке все диски, установленные на ком-
пьютере, согласитесь, накладно по времени, нашли та-
кой простой выход. После того как все данные согласо-
ваны, непосредственно перед самым ее размонтирова-
нием устанавливается бит чистого размонтирования –
clean bit (в Windows также используется аналогичная
технология). И перед загрузкой системы перед ее мон-
тированием программа fsck (FileSystem ChecK) просто
проверяет его наличие, если бит установлен, то дела-
ется вполне разумное предположение, что файловая си-
стема находится в непротиворечивом состоянии, а если
нет, то запускается изрядно всем надоевшая утилита
fsck. В связи с тем, что ext2fs создает избыточные ко-
пии критически важных метаданных, вероятность пол-
ной потери данных чрезвычайно мала, система опре-
деляет местонахождение поврежденных метаданных и
потом либо восстанавливает данные, копируя их из
резервных копий, либо просто удаляет файл или фай-
лы, чьи метаданные пострадали. Точнее, не удаляет, а
переносит их в каталог /lost+found. Правда, в большин-
стве дистрибутивов и определение корректности завер-
шения работы также немного упростили. Так, чтобы не
гонять fsck индивидуально для каждого раздела, при
включении компьютера стартовыми скриптами прове-
ряется наличие файла /.autofsck, который должен уда-
ляться в /etc/rc.d/init.d/halt. Его наличие указывает на
некорректность выключения питания, и fsck отрабаты-
вает по полной программе, а если такой файл не обна-
руживается, то делается вполне справедливое предпо-
ложение о нормальном завершении работы, и диски
проверяются по минимуму, тем самым ускоряя загруз-
ку системы.
Но вот не всегда удается нормально завершить ра-
боту, и fsck отрывается, что говорится, по полной про-
грамме. Вот тут-то и кроется очевидное неудобство, со-
гласитесь, что чем больше файловая система, тем доль-
ше длится процесс проверки. На дисковом разделе раз-
мером в несколько десятков гигабайт, что давно уже
перестало быть редкостью и тенденция к увеличению
размеров разделов только растет, с большим количе-
ством файлов и каталогов процедура проверки мета-
данных во время загрузки может очень сильно затянуть-
ся. Может, для домашнего компьютера это всего лишь
раздражает пользователя (сколько отказываются от
проверки Scandisk при загрузке, а потом удивляются,
почему в свойствах неправильно указано свободное
пространство). А вот если выбило главный производ-
ственный сервер и теперь пользователи вынуждены
ждать, пока он перегрузится? Вот так плавно челове-
20
чество подошло к журналируемым файловым систе-
мам. Напоследок скажу, что сейчас имеет смысл ис-
пользовать ext2 только в разделе /boot, который обыч-
но автоматически не монтируется при загрузке, запись
в него производится довольно редко, и особого смыс-
ла держать журнал нет.
Что такое журнал?
Все колдовство журнала заключается в механизме
транзакций, термин известен тем, кто работал с база-
ми данных. Точно так же, как и в них, механизм тран-
закций вместо отслеживания модификаций к таблицам
и данным рассматривает операцию записи на диск как
атомарную, а не разделенную на несколько этапов, что
позволяет отследить, прошла ли запись вообще, и в
свою очередь гарантировать, что все или ни одно из-
менение файловой системы не сделано. Поясню ска-
занное на примере. При создании нового файла изме-
няются несколько структур метаданных (inodes, списки
свободных блоков, список файлов каталога и др.).
Прежде чем файловая система сделает изменения,
создается транзакция, в которой описывается то, что
она собирается сделать. Как только транзакция будет
зарегистрирована (на диске), файловая система при-
ступает непосредственно к изменению метаданных. То
есть фактически журнал в journaling файловой систе-
ме – просто список производимых операций. В случае
системного сбоя файловая система будет восстанов-
лена к непротиворечивому состоянию путем повторно-
го запуска журнала и отката к предыдущему состоя-
нию. К тому же в таком случае файловая система ос-
матривает только те участки диска, в которых изменя-
лись метаданные, т.е. она уже «знает», на каком учас-
тке произошел сбой. Это намного быстрее, чем при тра-
диционной проверке всего диска при помощи fsck. И
что самое существенное, время восстановления, полу-
чается, совсем не зависит от размера раздела, а ско-
рее зависит от интенсивности операций ввода/вывода
на момент сбоя. Можно выделить два возможных вари-
анта работы журналируемой файловой системы. В пер-
вом варианте в журнал заносятся только изменяемые
метаданные файла, в таком случае при сбое будет га-
рантирована целостность метаструктур файловой сис-
темы, а сохранность самих данных уже зависит от ве-
зучести. Второй вариант предусматривает занесение в
журнал вместе с метаданными также и самих данных,
как изменившихся, так и немодифицированных, в этом
случае есть вероятность, что данные после сбоя будут
восстановлены. И конечно же, «природу не обманешь,
за все нужно платить». А платить теперь приходится
быстродействием, так как самая медленная операция
в компьютере – это операции ввода/вывода на диск,
количество таких операций выросло, особенно при ис-
пользовании варианта с полным журналированием дан-
ных. Стараются решить данную проблему разными
ухищрениями, например, размещение журнала на дру-
гом физическом диске. Да и потери невелики, ведь
фактически время работы с журналом намного мень-
ше, чем работа непосредственно с данными. И есте-

ственно, некоторый полезный объем теперь приходит-
ся отводить под сам журнал, но он, как правило, не за-
нимает места больше 32 Мб, что по нынешним време-
нам не так уж и много.
Самый главный вывод такой: журналируемые фай-
ловые системы предназначены не для восстановления
всех ваших данных любой ценой, главная их задача зак-
лючается в поддержании непротиворечивости метадан-
ных файловой системы на момент сбоя и ускорения
процесса загрузки системы после сбоя.
Также в большинстве современных journaling-фай-
ловых систем поддерживаются:

более быстрое распределение свободных блоков, для
этого многие из них построены на основе сбалансиро-
ванных деревьев, иначе известных как B+ деревья;

большее количество файлов в каталоге, т.к. в этом слу-
чае обычная связка name-inode становится неэффек-
тивной, то для хранения имен файлов используются B+
деревья. В некоторых случаях возможно использова-
ние всего одного B+ дерева для полной системы, что
намного укорачивает поиск файла и соответственно
операции по работе с ним. Плюс динамическое выде-
ление inоdes вместо неэффективного статического.
Старая методика прямого, косвенного и тройного кос-
венного механизма хранения информации о нахождении
данных файла очень неудобна при работе с файлами боль-
шого размера по причине долгого поиска информации и
в современных файловых системах заменена на более
удобную, позволяющую работать с большими файлами
«напрямую».
Кроме того, некоторые новые файловые системы име-
ют более совершенный механизм управления внутренней
фрагментацией (что это такое, объясню чуть позже) и рас-
пределения inodes, чем ext2. Может, конечно, сложиться
впечатление, что место журналируемых файловых сис-
тем где-нибудь на сервере, нет, они подходят на все сто
процентов для использования на клиентских машинах, где
тоже есть необходимость в сохранении данных. Теперь,
когда мы точно знаем, что ожидать от описываемых фай-
ловых систем, перейдем к их конкретной реализации.
Ext3fs
Хотя данная файловая система не была первой поддер-
живаемой ядром Linux официально (появилась только с
версии 2.4.16), все-таки, я думаю, справедливо будет на-
чать именно с нее. Разработана она в недрах компании
Red Hat (там и следует искать все новинки о ее работе)
доктором Stephen Tweedie. Найти патчи для ядра можно
по адресу ftp://ftp.linux.org.uk/pub/linux/sct/fs/jfs/. Чтобы не
изобретать колесо, в данном случае поступили просто,
прикрутив к стандартной ext2fs журнал. Фактически только
добавив файл журнала (в зависимости от опций монти-
рования можно и не видеть, находится в ./.journal) и заме-
нив драйвер ядра, отвечающий за файловую систему, по-
этому она, естественно, наследует все достоинства и не-
достатки, присущие ext2fs. Но что это дало? Самое глав-
ное – это то, что утилиты ext2fs, которые шлифовались в
течение нескольких лет, работают в ней как ни в чем не
№11(12), ноябрь 2003
администрирование
бывало, не замечая подмены. К тому же идентичность
файловых систем позволяет оперативно переходить как
с еxt3fs на ext2fs, так и наоборот. Поясню. Мне часто при-
ходится устанавливать другие дистрибутивы, в том чис-
ле и со старыми ядрами, не поддерживающими новинку.
Так вот все разделы, на которых используется ext3fs, я
монтирую просто как ext2fs, и никаких, повторяю, ника-
ких недоразумений при использовании не происходит.
Другое преимущество данной файловой системы состо-
ит в том, что она, в отличие от остальных, поддерживает
режим журналирования данных (полное или частичное).
Естественно, добавление журнала, казалось, должно ухуд-
шить производительность данной системы по сравнению
с «нежурнальным» вариантом. Оказалось, что за счет
улучшения алгоритма движения головки жесткого диска
данная файловая система в некоторых случаях даже об-
ходит ext2fs. Ext3fs имеет три режима работы:

data=writeback – режим, при котором не выполняется
никакого журналирования данных, только метаданные,
самый ограниченный режим журналирования (кстати,
применяемый во всех других ФС, рассматриваемых
ниже), не гарантирующий сохранности данных после
сбоя. Но за счет этого возрастает скорость работы
такой файловой системы, и фактически журнал пред-
назначен только для того, чтобы уменьшить время на-
чальной загрузки системы.

По умолчанию же используется data=ordered – «золо-
тая» середина между полным журналированием дан-
ных и предыдущим режимом. Официально в этом слу-
чае журналируются только метаданные, но блоки со-
ответствующих им данных записываются первыми. В
большинстве случаев такой режим гарантирует сохран-
ность данных, особенно если данные дописывались в
конец файла, чего в большинстве случаев предоста-
точно. Производительность, естественно, чуть ниже
предыдущей и выше полного журналирования, кото-
рому отвечает режим.

data=journal – в котором все новые данные сначала пи-
шутся в журнал и только после этого переносятся на
свое постоянное место. В случае аварийного отказа
журнал можно повторно перечитать, приведя данные
и метаданные в непротиворечивое состояние. Кстати,
данный режим в случае, когда диск интенсивно загру-
жен операциями IO, оказывается даже быстрее всех
остальных.
Выбранный режим, отличный от установленного по
умолчанию, необходимо указать с помощью опции -o.
Например:
#mount -o data=journal -t ext3 /dev/hda5 /usr/local
или в /etc/fstab:
/dev/hda5 /usr/local ext3 data=writeback 1 0
или если режим по умолчанию, то просто:
/dev/hda5 /usr/local ext3 defaults 1 0
21
 администрирование
Если же теперь хочется отказаться от него, то, испра-
вив ext3 на ext2, можно забыть о журнале:
/dev/hda5 /usr/local ext2 defaults 1 0
Для того чтобы к обычной ext2fs добавить журнал, до-
статочно выполнить команду:
# /sbin/tune2fs -j /dev/hdà5
причем можно даже файловую систему не размонтиро-
вать перед этим, так как гарантируется сохранность дан-
ных (но предварительная архивация данных никому еще
не вредила). Для того чтобы изначально создать ext3 на
пустом, только что созданном разделе диска, достаточно
выполнить команду:
# /sbin/mke2fs -j /dev/hdb5
Начиная с версии 0.9.5 ext3fs, можно использовать дру-
гой диск для хранения файла журнала. Подробности мож-
но узнать по адресу http://www.zipworld.com.au/~akpm/linux/
ext3/ext3-usage.html.
Вот и все о данной файловой системе. Что и говорить,
это предсказуемая и главное – удобная файловая систе-
ма. До недавнего времени добрая половина разделов
жесткого диска на моем домашнем компьютере была от-
форматирована именно под ext3, но эксперименты с ла-
тентностью ядра при обработке музыки убедили, что пора
с ней красиво расставаться (хотя доводилось слышать и
полностью противоположное мнение). Плюс у нее есть
еще недостаток, доставшийся по наследству, который
практически полностью решен в другой файловой систе-
ме. Но интересно, что в дистрибутивах RedHat програм-
ма установки, несмотря на наличие стольких альтерна-
тив, позволяет создать только ext2 и ext3, хотя ядро под-
держивает JFS и RaiserFS. Что это – упорное продвиже-
ние своей файловой системы или нежелание идти в ногу
с прогрессом?
ReiserFS
Это первая «сторонняя» файловая система, появивша-
яся в официальном ядре, начиная с версии 2.4.4, но в
первое время ее работа вызывала одни только нарека-
ния, и поэтому использовали ее только любители ост-
рых ощущений. Данный проект начинался в 90-х годах,
первый прототип носил название TreeFS. Разработана
Хансом Райзером (Hans Reiser) и его компанией Namesys
(http://www.namesys.com/), причем задачи они перед со-
бой поставили очень, я бы сказал, революционные. Раз-
работчики системы мечтают создать не только файловую
систему, но вообще механизм иерархического именова-
ния объектов. Они считают, что лучшая файловая систе-
ма та, которая формирует единую общедоступную среду,
названную namespace. Для достижения этого файловая
система должна выполнять часть работы, традиционно вы-
полнявшуюся приложениями, что уменьшит количество
несовместимых API узкоспециального назначения. При та-
ком подходе пользователи часто могут продолжать пря-
22
мое использование файловой системы вместо форми-
рования уровней специального назначения типа баз дан-
ных и т. п. Правда, надо отметить, что они не первые,
еще при создании BeFS первоначально это было сдела-
но, и с большим успехом, работа filesystem как базы дан-
ных, но в конечном счете вернулись назад к атрибутам и
индексированному доступу. Некоторое движение в этом
направлении сделано и в MacOS. При этом для добав-
ления новых возможностей используется plugins. А во-
обще на сайте проекта наилучшая документация из всех
рассматриваемых. Но предупреждаю, ее там много. Ба-
зируется файловая система на оптимизированных b* сба-
лансированных деревьях (одно на файловую систему),
использование которых, кроме увеличения поизводитель-
ности, снимает ограничение на количество каталогов,
хотите – 100 000, без проблем. Но текущая на данный мо-
мент версия 3.6 поддерживает журналирование только
метаданных, хотя при необходимости полного журнали-
рования можно использовать патч от Chris Mason и до-
полнительно в новой версии ReiserFS v.4 release, которая
будет доступна вместе с ядром 2.6. Также будет задей-
ствован подобный режим.
Главное преимущество данной файловой системы
проявляется в работе с маленькими файлами. Как я уже
говорил, информация на физическом носителе хранит-
ся не как попало, а отдельными блоками, размер кото-
рых зависит и от размера раздела (это связано с макси-
мально возможной адресацией) в том числе (устанав-
ливается при форматировании), в большинстве случаев
используется 4 Кб. Так вот, еxt2 (и ext3, и FAT тоже) мо-
гут адресовать только целое количество блоков. Ну и
что? Имеем файл 10 Кб, размер блока 4 Кб. Получает-
ся, что файл займет 2 целых блока и один только напо-
ловину. 4 + 4 + 2 (и 2 осталось незанятыми, это и назы-
вается внутренней фрагментацией). Для единичного
файла это нестрашно, но если их несколько тысяч? Кста-
ти, Fast File System (FFS), применяемая в BSD, умеет
адресовать субблоки, а во всеми любимой FAT придется
мириться с неизбежной потерей места. Разработчики
ReiserFS не стали решать множество противоречивых
задач, а остановились на одной и довели ее до конца.
ReiserFS может запросто упаковывать несколько малень-
ких файлов в один дисковый блок (tail packing), а совсем
маленькие вообще просто запихать в inode (внутрь
b*tree). По необходимости для файла может ассигновать-
ся точный размер. Такой режим работы предусмотрен
по умолчанию, но для повышения быстродействия есть
возможность ее отключить. Хотя показатели ReiserFS
при работе с большими файлами также высоки, имен-
но работа с маленькими файлами (меньше Кб) и обслу-
живание большого их количества выделяет данную ФС.
По работе с ними она превосходит по быстродействию
все представленные файловые системы (видел цифры
в 8-15 раз) и именно за счет того, что данные и мета-
данные хранятся рядом, и головке диска не придется
рыскать по всему диску. Плюс, как видите, достигает-
ся значительная экономия дискового пространства.
Различные источники называют ReiserFS самой устой-
чивой из всех рассматриваемых ФС, ее, я думаю, мож-

но рекомендовать для корневого раздела, который к
тому же состоит из маленьких файлов. Такая себе ра-
бочая лошадка. Но для работы с данной файловой си-
стемой, кроме поддержки ее самим ядром, необходи-
мы также свои собственные утилиты для работы и об-
служивания разделов, хотя они уже входят в стандарт-
ную поставку всех современных дистрибутивов, а если
нет, то возьмите по адресу ftp://ftp.namesys.com/pub/
reiserfsprogs/reiserfsprogs-3.6.4.tar.gz.
Патч к ядру для обновления версии ReiserFS можно
взять с ftp://ftp.namesys.com/pub/reiserfs-for-2.4, рядом
лежат патчи к ядрам версии 2.2.
Если ядро уже поддерживает ReiserFS и имеются не-
обходимые утилиты, то, набрав:
# /sbin/mkreiserfs /dev/hda2
можно создать на ней соответствующую файловую сис-
тему. Для автоматического монтирования ее при загруз-
ке достаточно прописать в файле /etc/fstab:
/dev/hda4 /home reiserfs defaults 0 0
или
#/sbin/mount -t /reiserfs dev/hda4 /home
при монтировании вручную. Если для увеличения произ-
водительности необходимо отключить упаковку хвостов,
то добавьте опцию notail:
/dev/hda4 /home reiserfs notail 0 0
А опция -genericread может увеличить (а может и нет)
производительность при операциях поиска файлов, т.е.
когда головка мало считывает, а много перемещается по
диску. И, кстати, проект Reiser4, в котором не последнее
место уделено security, поддерживается DARPA (Defense
Advanced Research Projects Agency).
XFS
Основа следующей файловой системы XFS была создана в
начале 90-х (1992-1993) фирмой Silicon Grapgics (сейчас SGI)
для мультимедийных компьютеров с ОС Irix, заменив уже не
удовлетворявшую требованиям времени EFS, но немного
очищенная от некоторого кода GPL версия 1.0 стала дос-
тупна только 1 мая 2001 года. Найти всю необходимую ин-
формацию можно по адресу: http://oss.sgi.com/projects/xfs.
Интересно, что «любимица» всех линуксоидов, компания
SCO, и здесь засветилась, назвав выход XFS под лицензи-
ей GPL «примером ярких работ нарушения авторских прав».
Эта файловая система с самого начала была ори-
ентирована на очень большие файлы (9 000 петабайт –
9 миллионов терабайт – 1018 байт) и файловые системы
(18 000 петабайт ), это достигается тем, что она, в отли-
чие от предыдущих, является полностью 64-битной, что
позволяет адресовать большие массивы данных. Особен-
ностью этой файловой системы является устройство жур-
нала – в него пишется часть метаданных самой файло-
№11(12), ноябрь 2003
администрирование
вой системы таким образом, что весь процесс восстанов-
ления сводится к копированию этих данных из журнала в
файловую систему. Размер журнала задается при созда-
нии системы, он должен быть не меньше 32 Мб; а боль-
ше, наверное, и не надо – такое количество незакрытых
транзакций тяжело получить. Тесты на производитель-
ность показывают бесспорное преимущество XFS, осо-
бенно при работе с большими и во многих случаях сред-
ними файлами. Также эту файловую систему характери-
зует прямолинейность падения производительности при
увеличении нагрузки и предсказуемость, дополнительно
она не генерирует излишнюю дисковую активность, т.к.
пытается кэшировать как можно больше данных и «осно-
ванием» для сброса на диск является заполнение памя-
ти, а не интервал времени, как это принято в других фай-
ловых системах (кроме, наверное, ReiserFS v4). Любое
дисковое устройство при создании файловой системы
XFS разбивается на несколько равных по размеру линей-
ных областей (0.5-4 Гб), в терминологии XFS они имену-
ются «allocation group». Уникальность allocation group в
том, что каждая группа управляет своими собственными
inodes и свободным местом, что превращает группы в
своего рода автономные файловые системы, сосуществу-
ющие в рамках общей XFS. Такая организация позволяет
эффективно организовать параллельную обработку опе-
раций ввода/вывода, которая особенно проявляется на
многопроцессорных системах. В каждой такой группе ис-
пользуется три В+ дерева, два из которых отвечают за
свободные inodes (allocation). В этой системе реализова-
на очень хорошая возможность, позволяющая избежать
фрагментации файлов, называемая delayed allocation. При
этом файловая система, получая данные для записи, по-
началу лишь резервирует под них необходимое свобод-
ное место, откладывая саму запись до момента факти-
ческого сброса данных. Когда же такой момент наступа-
ет, то XFS решает, куда необходимо их поместить. Если
осуществляется дозапись, то подбираются соседние сек-
тора. Но наибольший эффект в такой задержке получа-
ется еще за счет того, что, если создается временный
файл с малым временем жизни, то он вообще при таком
случае на диск не пишется (соответственно не приходит-
ся занимать/освобождать метаданные). Для борьбы с
внешней фрагментацией (против которой борятся про-
граммы типа Norton Speed Disk) имеется утилита xfs_fsr.
Текущим ядром серии 2.4.* данная файловая система не
поддерживается (но уже имеется в тестовых ядрах 2.6),
хотя в некоторых дистрибутивах (Gentoo, Lunar Linux) она
уже предлагается пользователю, поэтому необходимо схо-
дить на сайт разработчика за патчем (ftp://oss.sgi.com/
projects/xfs/download/) и необходимыми утилитами (как
миниум xfsprogs) для работы с ней. Сейчас на сайте дос-
тупен релиз 1.3. Теперь, пересобрав ядро и установив не-
обходимые утилиты, можно создать файловую систему:
#/sbin/mkfs.xfs /dev/hdb2 èëè mkfs -t xfs /dev/hdb2
Для увеличения производительности в некоторых слу-
чаях может помочь опция -l size=32m, фиксирующая жур-
нал на 32 Мб, и с помощью -d agcount=x лучше устано-
23
 администрирование
вить минимально возможное количество allocation groups
(т.е. взяв максимально возможные 4 Гб на группу), на-
пример, при разделе 18 Гб устанавливаем:
#/sbin/mkfs.xfs -d agcount=5 -l size=32m -f /dev/hdb2
Необязательная опция -f позволяет создать XFS поверх
любой существующей ФС, но при создании раздела по-
верх ReiserFS (и наоборот) необходимо заполнить нулями
начальный раздел, содержащий метаданные перед пере-
форматированием, т.к. команда mount может неправильно
распознать, какая из файловых систем установлена.
# dd if=/dev/zero of=/dev/hdb2
И прервать секунд через 10-20 комбинацией Ctr+C. Смон-
тировать вновь созданный раздел теперь можно командой:
# mount -t xfs =/dev/hdb2 /home
или в файле /etc/fstab:
/dev/hdb2 /home xfs defaults 0 0
Для повышения производительности можно задать не-
которые опции noatime, nodiratime, osyncisdsync, вместе
помогающие добиться асинхронного вывода информации,
и практически имитировать поведение ext2, а также logbufs,
устанавливающий размер буфера, имеющий значение по
умолчанию, равное 2 (но, например, 8 при 128 Мб опера-
тивной памяти устанавливать не стоит).
/dev/hdb2 /home xfs noatime, nodiratime, ↵
osyncisdsync, logbufs=4 0 0
Еще в документе Linux XFS FAQ, доступном на сайте
разработчика, сказано, что на данный момент загрузка с
раздела XFS поддерживается полностью загрузчиком
GRUB версий 0.92 и выше, LILO же позволяет загружать-
ся только при установке в MBR (Master Boot Record), при
установке в корневой раздел есть вероятность, что заг-
рузиться не получится. В CVS доступны утилиты xfsdump
и xfsrestore, позволяющие сохранить и при необходимос-
ти восстановить образ раздела диска. Остальную инфор-
мацию посмотрите в каталоге /usr/src/linux/Documentation/
filesystems xfs.txt. Как установить XFS в корневой раз-
дел, можно посмотреть в документе Linux+XFS-HOWTO
(http://www.linuxdoc.org/HOWTO/Linux+XFS-HOWTO/).
JFS (Journaled File System)
Создана фирмой IBM для своей OS/2 Warp, а затем вы-
пущена по лицензии GPL и портирована под Linux. Всю
необходимую информацию можно получить по адресу
http://oss.software.ibm.com/jfs. По своим характеристикам
и архитектуре очень схожа с предыдущей, поэтому под-
робно останавливаться на них не буду. Подобно преды-
дущей в этой файловой системе раздел логически под-
разделяется на «агрегаты», включающие, кроме данных,
и отдельный журнал, и каждый из таких сегментов можно
монтировать отдельно. Также имеется возможность хра-
24
нения маленьких файлов в пределах inode. Если каталог
имеет до 8 файлов, то информация о них содержится внут-
ри inode, при увеличении же их количества используются
уже знакомые B+ деревья. Для уcтановки необходимы ути-
лита jfsutils, патч к ядру jfs-2.4.х-patch и код файловой си-
стемы jfs-2.4-1.0.20.tar.gz, хотя вероятно, что поддержка
данной файловой системы в ядре уже имеется. После
установки и компиляции всех программ для создания раз-
дела достаточно выполнить команду:
# mkfs.jfs /dev/hdb3
и смонтировать ее:
# mount -t jfs /dev/hdb3 /jfs
Для возможности работы с внешним журналом необ-
ходимо создать два неиспользуемых раздела, например:
# mkfs.jfs -j /dev/hdb1 /dev/hda6
# mount -t jfs /dev/hda6 /jfs
или в /etc/fstab:
/dev/hda6 /jfs jfs defaults 1 2
Напоследок хочу отметить, что все описываемые фай-
ловые системы на данный момент поддерживают уста-
новку на Soft-RAID и LVM, при наложении соответствую-
щих патчей возможно применение ACL.
Как видите, ОС Linux предоставляет пользователю воз-
можность выбрать даже файловую систему, оптимизиро-
ванную под конкретные задачи. И самое главное, не обя-
зательно, чтобы была установлена только одна из этих
файловых систем. Но вот однозначно сказать, что такая
файловая система намного лучше, я не могу. Как вы по-
нимаете, все зависит от конкретной задачи, ведь прило-
жения, которые используются на сервере, могут отличать-
ся. Но для раздела /boot лучшим решением будет ext2,
для корневого раздела, состоящего из мелких файлов –
ReiserFS. Для сравнения приведу результат теста Linux:
Benchmarking Filesystems In 2.6.0-test2, найденный мной
на странице http://kerneltrap.org/node/view/715. Там же мож-
но найти и мнения различных людей по поводу получен-
ных результатов.
При записи и копировании каталога (mozilla build
tree) размером 295 Мб файловые системы показали
такой результат, который, я думаю, в комментариях не
нуждается.
Литература:
Серия статей Advanced filesystem implementor’s guide
Daniel Robbins: http://www-106.ibm.com/developerworks/
linux/library/l-fs1/, перевод которых можно найти на сай-
те http://www.softerra.ru/.
администрирование

АРХИТЕКТУРА
ФАЙЛОВОЙ
СИСТЕМЫ
EXT2

В статье рассматривается логическая структура ext2 – файловой системы операционной системы Linux.

ВЛАДИМИР МЕШКОВ

26

Основные компоненты
файловой системы ext2
Как и в любой файловой системе UNIX, в составе файловой
системы ext2 можно выделить следующие составляющие:

блоки и группы блоков;

информационный узел (information node);

суперблок (superblock).
Блоки и группы блоков
Все пространство раздела диска разбивается на блоки
фиксированного размера, кратные размеру сектора –
1024, 2048 и 4096 байт. Размер блока указывается при
создании файловой системы на разделе жесткого диска.
Меньший размер блока позволяет экономить место на
жестком диске, но также ограничивает максимальный
размер файловой системы. Все блоки имеют порядковые
номера. С целью уменьшения фрагментации и количества
перемещений головок жесткого диска при чтении боль-
ших массивов данных блоки объединяются в группы.
Информационный узел
Базовым понятием файловой системы является инфор-
мационный узел, information node, или inode. Это специ-
альная структура, которая содержит информацию об ат-
рибутах и физическом расположении файла. Атрибутами
файла являются его тип (обычный файл, каталог и т. д.),
права доступа к нему, идентификатор владельца, размер,
время создания. Информация о физическом расположе-
нии представляет собой последовательность абсолютных
номеров блоков, содержащих данные файла.
Ðèñóíîê 1. Îáîáùåííàÿ ñòðóêòóðíàÿ ñõåìà ôàéëîâîé ñèñòåìû ext2
№11(12), ноябрь 2003
администрирование
Суперблок
Суперблок – основной элемент файловой системы ext2.
Он содержит следующую информацию о файловой сис-
теме (список неполный):

общее число блоков и inode в файловой системе;

число свободных блоков и inode в файловой системе;

размер блока файловой системы;

количество блоков и inode в группе;

размер inode;

идентификатор файловой системы;

номер первого блока данных.
Другими словами, это номер блока, содержащего су-
перблок. Этот номер всегда равен 0, если размер блока
файловой системы больше 1024 байт, и 1, если размер
блока равен 1024 байт.
От целостности суперблока напрямую зависит рабо-
тоспособность файловой системы. Операционная систе-
ма создает несколько резервных копий суперблока для
возможности его восстановления в случае повреждения.
Главная копия находится по смещению 1024 байт от на-
чала раздела, на котором создана файловая система (пер-
вые 1024 байта зарезервированы для загрузчика опера-
ционной системы).
Ранние версии файловой системы ext2 создавали ко-
пии суперблока в начале каждой группы блоков. Это при-
водило к большим потерям дискового пространства, по-
этому позже количество резервных копий суперблока
было уменьшено, и для их размещения были выделены
группы блоков 0, 1, 3, 5 и 7.
27
 администрирование
Формат группы блоков
Обобщенная структурная схема файловой системы ext2
представлена на рис. 1.
Практически все группы блоков имеют одинаковый
формат. В каждой группе, помимо информационных бло-
ков, хранится информация о занятости блоков и inode
группы в виде битовой карты. В состав группы блоков 0
входят также суперблок и таблица дескрипторов групп,
которую мы рассмотрим ниже.
Битовая карта занятости блоков обычно расположена
в первом блоке группы. Если в группе присутствует ре-
зервная копия суперблока, битовая карта располагается
во втором блоке группы. Размер битовой карты – один
блок. Каждый бит этой карты обозначает состояние бло-
ка. Если бит установлен (1), то блок занят, если сброшен
(0) – блок свободен. Первому блоку группы соответству-
ет нулевой бит карты, второму блоку – первый бит и т. д.
Inode, находящиеся в пределах одной группы, собра-
ны в таблицу. В битовой карте занятости inode группы
каждый бит характеризует состояние элемента в табли-
це inode группы.
Каждая группа блоков описывается при помощи деск-
риптора группы блоков. Дескриптор группы – это струк-
тура, которая содержит информацию об адресах битовой
карты занятости блоков, битовой карты занятости inode и
таблицы inode соответствующей группы. Все дескрипто-
ры групп собраны в таблицу дескрипторов групп, которая
хранится в группе блоков 0. Так же, как и для суперблока,
операционная система создает резервные копии табли-
цы дескрипторов групп.
Алгоритм чтения файла
Каждый inode, как и блок, имеет порядковый номер, уни-
кальный в пределах файловой системы, и содержит ин-
формацию только об одном файле. Таким образом, для
получения доступа к содержимому файла необходимо
знать порядковый номер соответствующего ему inode.
Как было сказано выше, информация о физическом
расположении файла содержится в inode. Эта информа-
ция представляет собой последовательность 32-битных
номеров блоков, содержащих данные файла (рис. 1). Пер-
вые 12 номеров – это прямые ссылки на информацион-
ные блоки (direct blocks number). 13-й номер является кос-
венной ссылкой (indirect blocks number). В нем находится
адрес блока, в котором хранятся адреса информацион-
ных блоков. 14-й номер – двойная косвенная ссылка
(double blocks number), 15-й номер – тройная косвенная
ссылка (triple blocks number).
Имя файла в состав inode не входит, установление
соответствия между именами файлов и порядковыми но-
мерами inode выполняется через каталоги.
Каталоги
Файлы в UNIX- и POSIX-системах хранятся в древовид-
ной иерархической файловой системе. Корень файло-
вой системы – это корневой каталог, обозначенный сим-
волом «/». Каждый промежуточный узел в дереве фай-
ловой системы – это каталог. Конечные вершины дере-
ва файловой системы являются либо пустыми каталога-
28
ми, либо файлами. Абсолютное путевое имя файла со-
стоит из имен всех каталогов, ведущих к указанному фай-
лу, начиная с корневого каталога. Так, путевое имя /home/
test.file означает, что файл test.file расположен в каталоге
home, который, в свою очередь, находится в корневом
каталоге «/».
Каталог, так же как и файл, описывается при помощи
inode. Содержимое каталога представляет собой массив
записей, каждая из которых содержит информацию о
файле, который находится «внутри» текущего каталога.
Запись каталога имеет следующий формат:

порядковый номер inode файла;

длина записи в байтах;

имя файла;

длина имени файла.
Поиск номера inode файла всегда начинается с корне-
вого каталога. Например, чтобы получить порядковый
номер inode файла, находящегося в корневом каталоге,
операционная система должна получить содержимое кор-
невого каталога, найти в нем запись с именем этого фай-
ла и извлечь из этой записи порядковый номер inode фай-
ла.
Несколько первых номеров inode зарезервированы
файловой системой, их перечень содержится в заголо-
вочном файле <linux/ext2_fs.h>:
/*
* Special inode numbers
*/
#define EXT2_BAD_INO 1 /* Bad blocks inode */
#define EXT2_ROOT_IN 2 /* Root inode */
#define EXT2_ACL_IDX_IN 3 /* ACL inode */
#define EXT2_ACL_DATA_INO 4 /* ACL inode */
#define EXT2_BOOT_LOADER_INO 5 /* Boot loader inode */
#define EXT2_UNDEL_DIR_INO 6 /* Undelete directory inode */
Для записи корневого каталога зарезервирован inode
под номером 2 (root inode). Этот inode находится в группе
блоков 0 и занимает вторую позицию в таблице inode этой
группы. Номер первого незарезервированного inode хра-
нится в суперблоке.
Определив порядковый номер inode файла, ядро вы-
числяет номер группы, в которой этот inode расположен,
и его позицию в таблице inode группы. Считав из этой
позиции inode, операционная система получает полную
информацию о файле, включая адреса блоков, в которых
хранится содержимое файла.
Номер группы блоков, в которой расположен inode,
вычисляется по формуле:
group = (inode_num - 1) / inodes_per_group
где:

group – искомый номер группы блоков;

inode_num – порядковый номер inode, определяюще-
го файл;

inodes_per_group – число inode в группе (эта инфор-
мация находится в суперблоке).
Позиция inode в таблице inode группы определяется
по формуле:

index = (inode_num - 1) % inodes_per_groupe
где index – позиция inode в таблице.
Рассмотрим пример получения содержимого файла
test.file, находящегося в корневом каталоге. Для чтения
файла /test.file необходимо:

в массиве записей корневого каталога найти запись
об этом файле;

извлечь порядковый номер inode файла, вычислить но-
мер группы, в которой этот inode расположен;

из дескриптора данной группы извлечь адрес табли-
цы inode группы;

вычислить позицию inode в этой таблице;

считать inode файла;

из inode извлечь адреса информационных блоков и
осуществить чтение информации, находящейся в этих
блоках.
На рис. 2 подробно показаны этапы чтения файла /test.file.
Этапы 1-6 – чтение корневого каталога:
1. Из группы блоков 0 считывается таблица дескрипто-
ров групп.
2. Из таблицы дескрипторов групп извлекается дескрип-
тор группы блоков 0 и из него считывается адрес таб-
лицы inode группы 0.
3. Из группы блоков 0 считывается таблица inode.
4. Порядковый номер inode корневого каталога фик-
сирован и равен 2, поэтому из таблицы inode груп-
пы 0 считывается второй элемент, который содер-
жит адрес блока с содержимым корневого катало-
га. Предположим, что этот блок расположен в груп-
пе блоков A.
Ðèñóíîê 2. Ïîðÿäîê âûïîëíåíèÿ ïðîöåäóðû ÷òåíèÿ ôàéëà â ôàéëîâîé ñèñòåìå ext2 (íà ïðèìåðå ôàéëà /test.file)
№11(12), ноябрь 2003
администрирование
5. Из группы блоков A считывается блок, содержащий
записи корневого каталога.
6. Выполняется поиск записи с именем «test.file». Если
такая запись найдена, из нее извлекается порядковый
номер inode файла «test.file».
Определив номер inode, можно получить доступ к ин-
формационным блокам файла (этапы 7-11):
7. Вычисляется номер группы, в которой находится данный
inode, и его позицию в таблице inode группы (предполо-
жим, что номер группы равен B, а позиция в таблице – X).
8. Из таблицы дескрипторов групп извлекаем дескрип-
тор группы блоков B, и из него считывается адрес таб-
лицы inode этой группы блоков.
9. Из группы блоков B считывается таблица inode.
10. Из таблицы inode группы блоков B считывается inode,
находящийся в позиции X.
11. Из считанного inode извлекаются адреса блока с со-
держимым файла /test.file и выполняется чтение ин-
формации из блока с указанным адресом.
Программная реализация
алгоритма чтения файла
Исходные данные: имеется раздел жесткого диска, на ко-
тором создана файловая система ext2. Этому разделу
соответствует файл устройства /dev/hda3. В корневом
каталоге раздела создан подкаталог home, а в нем нахо-
дится файл test.file следующего содержания:
 ÷àùàõ þãà æèë áû öèòðóñ?
Äà, íî ôàëüøèâûé ýêçåìïëÿð!
1234567890-=
29
 администрирование
Не подумайте плохого, это не бред, а тестовое упраж-
нение из курса подготовки телеграфистов в войсках свя-
зи бывшего СССР!
Внимание! Следует учесть один важный момент. Со-
зданный файл не будет сразу записан на диск, а сначала
попадет в дисковый буфер. Попытка сразу же получить
содержимое файла по вышеприведенному алгоритму ни
к чему не приведет, так как информация об этом файле
физически на диске отсутствует. Необходимо «заставить»
систему записать дисковый буфер на диск. Самый про-
стой способ сделать это – выполнить операцию перезаг-
рузки. Поэтому после того, как файл создан, перезагру-
зите систему.
Наша задача – используя файл устройства /dev/hda3,
осуществить чтение файла /home/test.file методом прямого
доступа к его информационным блокам.
Рассмотрим программную реализацию модуля, выпол-
няющего эту операцию.
Заголовочные файлы:

__u32 bg_inode_table – адрес таблицы inode группы.
3. Структура информационного узла struct ext2_inode:

__u16 i_mode – тип файла и права доступа к нему. Тип
файла определяют биты 12-15 этого поля:

0xA000 – символическая ссылка;

0x8000 – обычный файл;

0x6000 – файл блочного устройства;

0x4000 – каталог;

0x2000 – файл символьного устройства;

0x1000 – канал FIFO.

__u32 i_size – размер в байтах;

__u32 i_atime – время последнего доступа к файлу;

__u32 i_ctime – время создания файла;

__u32 i_mtime – время последней модификации;

__u32 i_blocks – количество блоков, занимаемых фай-
лом;

__u32 i_block[EXT2_N_BLOCKS] – адреса информаци-
онных блоков (включая все косвенные ссылки).

#include <stdio.h> Значение EXT2_N_BLOCKS определено в файле

#include <sys/types.h>
#include <fcntl.h> <linux/ext2_fs.h>:
#include <unistd.h>
#include <errno.h>
#include <linux/ext2_fs.h> /*
* Constants relative to the data blocks
*/
В заголовочном файле <linux/ext2_fs.h> определены #define EXT2_NDIR_BLOCKS 12
#define EXT2_IND_BLOCK EXT2_NDIR_BLOCKS
структурные типы, описывающие основные компоненты #define EXT2_DIND_BLOCK (EXT2_IND_BLOCK + 1)
файловой системы ext2 – суперблок, дескриптор группы #define EXT2_TIND_BLOCK (EXT2_DIND_BLOCK + 1)
#define EXT2_N_BLOCKS (EXT2_TIND_BLOCK + 1)
блоков, информационный узел, запись каталога.
Рассмотрим кратко поля, которые входят в каждую из 4. Структура записи каталога struct ext2_dir_entry_2:
этих структур:
1. Структура суперблока struct ext2_super_block: #define EXT2_NAME_LEN 255

__u32 s_inodes_count – общее число inode в файло-
вой системе;
__u32 inode – номер inode файла;

__u32 s_blocks_count – общее число блоков в файло-
__u16 rec_len – длина записи каталога;
вой системе;
__u8 name_len – длина имени файла;

__u32 s_free_blocks_count – количество свободных бло-
char name[EXT2_NAME_LEN] – имя файла.
ков;

__u32 s_free_inodes_count – количество свободных inode; Определим имя раздела, на котором создана файло-

__u32 s_first_data_block – номер первого блока дан- вая система, глобальные структуры и переменные.
ных (номер блока, в котором находится суперблок);

__u32 s_log_block_size – это значение используется для #define PART_NAME "/dev/hda3"
вычисления размера блока. Размер блока определя- struct ext2_super_block sb;
ется по формуле: block size = 1024 << s_log_block_size; /* áóôåð äëÿ õðàíåíèÿ òàáëèöû äåñêðèïòîðîâ ãðóïï */
unsigned char buff_grp[4096];

__u32 s_blocks_per_group – количество блоков в группе; unsigned char buff[4096]; /* èíôîðìàöèîííûé áóôåð */

__u32 s_inodes_per_group – количество inode в группе; int indev; /* äåñêðèïòîð ôàéëà óñòðîéñòâà */
int BLKSIZE; /* ðàçìåð áëîêà ôàéëîâîé ñèñòåìû */

__u16 s_magic – идентификатор файловой системы
ext2 (сигнатура 0xEF53); Определим несколько функций, которые нам понадо-

__u16 s_inode_size – размер информационного узла бятся для работы:
(inode); Функция чтения суперблока:

__u32 s_first_ino – номер первого незарезервирован-
ного inode. void read_sb()
{
memset(&sb,0,1024);
2. Структура дескриптора группы блоков struct
ext2_group_desc: Смещаемся на 1024 байта от начала раздела и считы-

__u32 bg_block_bitmap – битовая карта занятости бло- ваем суперблок в структуру struct ext2_super_block sb:
ков группы;

__u32 bg_inode_bitmap – битовая карта занятости inode if(lseek(indev,1024,0) < 0) {
perror("lseek");
группы; exit(-1);

30
 администрирование
} Из таблицы дескрипторов групп извлекаем дескрип-
if(read(indev,(char *)&sb,sizeof(sb)) < 0) {
perror("read"); тор группы group и копируем его в структуру struct
exit(-1); ext2_group_desc gd:
}

Проверяем идентификатор файловой системы: memset((void *)&gd, 0, sizeof(gd));

memcpy((void *)&gd, buff_grp + (group * (sizeof(gd))), ↵
sizeof(gd));
if(sb.s_magic != EXT2_SUPER_MAGIC) {
printf("Íåèçâåñòíûé òèï ôàéëîâîé ñèñòåìû!\n");
exit(-1); Вычисляем позицию inode c порядковым номером
} inode_num в таблице inode группы group и считываем этот
inode в структуру struct ext2_inode:
Значение EXT2_SUPER_MAGIC определено в заголо-
вочном файле <linux/ext2_fs.h>. index = (inode_num - 1) % sb.s_inodes_per_group;
pos = ((__u64)gd.bg_inode_table) * BLKSIZE + ↵
Отображаем информацию о файловой системе, кото- (index * sb.s_inode_size);
рая находится в суперблоке: pread64(indev, in, sb.s_inode_size, pos);
return;
printf("\nSuperblock info\n-----------\n"); }
printf("Inodes count\t\t-\t%u\n",sb.s_inodes_count);
printf("Blocks count\t\t-\t%u\n",sb.s_blocks_count);
printf("Block size\t\t-\t%u\n",1024 << sb.s_log_block_size); Функция чтения блока данных:
printf("First inode\t\t-\t%d\n",sb.s_first_ino);
printf("Magic\t\t\t-\t0x%X\n",sb.s_magic);
printf("Inode size\t\t-\t%d\n",sb.s_inode_size); void read_iblock(struct ext2_inode *in, int blk_num)
printf("Inodes per group\t-\t%u\n",sb.s_inodes_per_group); {
printf("Blosks per group\t-\t%u\n",sb.s_blocks_per_group); __u64 pos;
printf("First data block\t-\t%u\n\n",sb.s_first_data_block);
return; Входные параметры функции – структура inode и но-
} мер блока (имеется в виду номер из последовательности
адресных блоков, расположенных в inode).
Функция чтения таблицы дескрипторов групп: Вычисляем смещение к информационному блоку на
разделе и считываем этот блок в глобальный буфер buff:
void read_gdt()
{ pos = ((__u64)in->i_block[blk_num]) * BLKSIZE;
pread64(indev, buff, BLKSIZE, pos);
Вычисляем размер блока файловой системы:
return;
}
BLKSIZE = 1024 << sb.s_log_block_size
Функция получения содержимого корневого каталога:
Таблица дескрипторов групп находится в блоке, кото-
рый расположен сразу же за первым блоком данных (за void get_root_dentry()
{
суперблоком). struct ext2_inode in;
Считываем таблицу:
Порядковый номер inode корневого каталога известен,
if(lseek(indev, (sb.s_first_data_block + 1) * BLKSIZE, 0) < 0) { поэтому получаем содержимое inode корневого каталога
perror("lseek");
exit(-1); и считываем в буфер buff его содержимое:
}
if(read(indev,buff_grp,BLKSIZE) < 0) {
perror("read"); get_inode(EXT2_ROOT_INO, &in);
read_iblock(&in, 0);
exit(-1);
}
В буфере buff будет находиться содержимое корнево-
return; го каталога.
}

Функция получения содержимого inode по его номеру: return;

}

void get_inode(int inode_num, struct ext2_inode *in) Функция получения номера inode по имени файла:
{

Входные параметры функции – порядковый номер int get_i_num(char *name)

{
inode и структура struct ext2_inode.
Входные параметры функции – имя файла. Возвра-
struct ext2_group_desc gd; щаемое значение – порядковый номер inode файла.
__u64 group, index, pos;

Вычисляем номер группы блоков, в которой находит- int i = 0, rec_len = 0;

struct ext2_dir_entry_2 dent;
ся inode с порядковым номером inode_num:
В буфере buff находится массив записей каталога. Для
group = (inode_num - 1) / sb.s_inodes_per_group; определения порядкового номера inode файла необходи-

№11(12), ноябрь 2003 31

 администрирование
мо найти в этом массиве запись с именем этого файла: }
}
buff1[n] = '\0';
for(; i < 700; i++) {
memcpy((void *)&dent, (buff + rec_len), sizeof(dent));
if(!memcmp(dent.name, name, dent.name_len)) break; Для каждого элемента абсолютного путевого имени
rec_len += dent.rec_len; файла определяем порядковый номер inode, считываем
}
этот inode в память и затем получаем содержимое нуле-
return dent.inode; вого блока:
}

А теперь распишем главную функцию: i_num = get_i_num(buff1);

get_inode(i_num, &in);
read_iblock(&in, 0);
int main()
{
Отобразим информацию о файле (имя, порядковый
Переменные и структуры: номер inode, размер файла и его тип):

struct ext2_inode in; printf("Inode number - %u\n", i_num);

// àáñîëþòíîå ïóòåâîå èìÿ ôàéëà
unsigned char *full_path = "/home/test.file";
unsigned char buff1[EXT2_NAME_LEN];
static int i = 1;
int n, i_num, outf, type;
printf("File name - %s\n", buff1);
printf("File size - %u\n",in.i_size);
Тип файла определяют старшие четыре бита поля
i_mode структуры struct ext2_inode:

Первым символом в абсолютном путевом имени фай- type = ((in.i_mode & 0xF000) >> 12);
printf("Type - %d ",type);
ла должен быть прямой слэш (/). Проверяем это:
switch(type) {
case(0x04) :
if(full_path[0] != '/') { printf("(êàòàëîã)\n\n");
perror("slash"); break;
exit(-1); case(0x08) :
} printf("(îáû÷íûé ôàéë)\n\n");
break;
case(0x06) :
Открываем файл устройства, считываем суперблок и printf("(ôàéë áëî÷íîãî óñòðîéñòâà)\n\n");
таблицу дескрипторов групп: break;
case(0x02) :
printf("(ôàéë ñèìâîëüíîãî óñòðîéñòâà)\n\n");
indev = open(PART_NAME,O_RDONLY); break;
if(indev < 0) { default:
perror("open"); printf("(unknown type)\n");
exit(-1); break;
} }
read_sb();
read_gdt(); Проверяем тип файла. Если это обычный файл – пре-
рываем цикл:
Получаем содержимое корневого каталога:
if(type & 0x08) {
get_root_dentry();
В буфере buff будет находиться информация, считан-
Сейчас в буфере buff находятся все записи корневого ная из информационных блоков файла /home/test.file. За-
каталога (если хотите, можете сохранить их в отдельном пишем эту информацию в файл:
файле). Теперь, имея записи корневого каталога, мы мо-
жем добраться до содержимого файла test.file, используя outf = open("out",O_CREAT|O_RDWR,0600);
write(outf, buff, sizeof(buff));
вышеприведенный алгоритм чтения файла. С этой целью close(outf);
организуем цикл. В теле цикла проведем разбор абсолют- break;
}
ного путевого имени файла, выделяя его элементы – под- }
каталоги (он у нас один, home) и имя искомого файла
(test.file). Для каждого элемента определим порядковый Выходим:
номер inode, считаем этот inode и затем получим содер-
жимое нулевого блока (из последовательности адресных close(indev);
return 0;
блоков, находящихся в inode): }

while(1) { На этом рассмотрение логической структуры файло-

memset(buff1,0,sizeof(buff1));
for(n = 0 ; n < EXT2_NAME_LEN; n++, i++) {
buff1[n] = full_path[i];
if((buff1[n] == '/') || (buff1[n] == '\0')) {
i++;
break;
вой системы ext2 завершим.
Ссылки:
1. http://www.nongnu.org/ext2-doc
2. http://e2fsprogs.sourceforge.net/ext2intro.html

32

Sql-инъекция и неавторизованный доступ
в Spaiz-Nuke и PHP-nuke
Программа: Spaiz-Nuke версии <= 1.2beta, PHP-nuke все
версии.
Опасность: Высокая.
Описание: Несколько уязвимостей обнаружено в Spaiz-Nuke
и PHP-nuke. Удаленный пользователь может выполнить про-
извольный Sql-код на уязвимой системе. Удаленный пользо-
ватель может получить доступ к системе без пароля.

Внедрение Sql-кода в модуле администрирования.
Уязвимость обнаружена в сценарии auth.php в функции
проверки логина и пароля. Атакующий может получить за-
шифрованный пароль администратора. Отсутствие про-
верки ввода обнаружено в переменной $aid, содержащей
логин для авторизации. Используя кавычку, можно пере-
направить вывод в произвольный файл на сервере.
Эксплоит: www.site.com/admin.php?op=login&pwd=123&aid=
Admin’%20INTO%20OUTFILE%20'/path_to_file/pwd.txt
Проверялось только на Spaiz-Nuke. После ввода данной
строки в браузере на уязвимом сервере будет создан файл
/path_to_file/pwd.txt, содержащий зашифрованный пароль
для логина «Admin».
Решение: Включите magic_quotes_gpc в файле php.ini.

Внедрение Sql-кода в модуле web_links.
Отсутствие проверки ввода обнаружено в переменной $cid
в модуле web-links. Атакующий может внедрить произволь-
ный Sql-код.
Эксплоит: показывает пример получения логинов и за-
шифрованных паролей администраторов движка. Рабо-
тает на БД, поддерживающих команду UNION (mysql > 4).
Для других БД необходимо изменять вид sql-запроса.
1. Для php-nuke
Данная строка выдаст все логины: www.site.com/modules.php
?name=Web_Links&l_op=viewlink&cid=2%20UNION%20select%
20counter,%20aid,%20pwd%20FROM%20nuke_authors%20—
Данная строка выдаст все зашифрованные пароли:
www.site.com/modules.php?name=Web_Links&l_op=
viewlink&cid=2%20UNION%20select%20counter,%20pwd,
%20aid%20FROM%20nuke_authors%20—
2. Для Spaiz-Nuke
Изменить nuke_authors в строке на spnuke_authors.
3. Внедрение Sql-кода в модуле download *
Для PHP-nuke: www.site.com/modules.php?name=Downloads
&d_op= viewdownload&cid=2%20UNION%20select%20counter,
%20aid,%20pwd%20FROM%20nuke_authors%20—
Для Spaiz-Nuke так же, как и в предыдущем случае.
4. Доступ без расшифровки пароля
Пароли данного движка шифруются с помощью алгорит-
ма md5, однако атакующий может получить доступ, даже
не зная расшифрованного пароля. Сначала следует зашиф-
ровать полученные логин и зашифрованный md5-пароль с
помощью алгоритма base64. Сделать это можно, например,
здесь:http://www.isecurelabs.com/base64.php
Шифруем этим алгоритмом следующую строку:
№11(12), ноябрь 2003
bugtraq
login:crypt_passwd:
где login=логин, crypt_passwd=зашифрованный пароль.
Получаем хеш. Теперь можно получить доступ к пане-
ли администрирования, используя следующий URL:
www.site.com/admin.php?admin=ваш_хэш
Вручную использование данной уязвимости немного не-
удобно, поэтому был написан эксплоит, позволяющий доба-
вить нового администратора со всеми правами. Посмотреть
эксплоит можно здесь: http://rst.void.ru/download/r57nuke.txt
URL производителя: http://www.php-nuke.org
Решение: Способов устранения обнаруженной уязвимо-
сти не существует в настоящее время.
Удаленное переполнение буфера
в Washington University FTP daemon (Wu-FTPd)
Программа: Wu-FTPd version 2.6.2 (с поддержкой SKEY).
Опасность: Высокая.
Описание: Переполнение буфера обнаружено в Washington
University FTP daemon (Wu-FTPd). Удаленный атакующий
может выполнить произвольный код на уязвимом сервере
с root-привилегиями.
Переполнение стекового буфера обнаружено в коде,
который обрабатывает SKEY-идентификацию в Wu-FTPd-
сервере. Представляя специально обработанные опозна-
вательные мандаты, удаленный атакующий может ава-
рийно завершить работу демона или выполнить произ-
вольный код с root-привилегиями. Переполнение распо-
ложено в функции skey_challenge() в src/ftpd.c файле:
char *skey_challenge(char *name, struct passwd *pwd, int
pwok)
$
{
$
static char buf[128];
...
if (pwd == NULL || skeychallenge(&skey, pwd->pw_name,
sbuf))
$
sprintf(buf, "Password required for %s.", name);
else
sprintf(buf, "%s %s for %s.", sbuf,
pwok ? "allowed" : "required", name);
return (buf);
}
в коде не проверяются размеры параметра *name. Уязви-
мы системы, поддерживающие SKEY-идентификацию.
URL производителя: http://www.wuftpd.org/
Решение: Отключите поддержку SKEY или примените
следующий патч:
% diff -u ftpd.c fixed-ftpd.c
--- ftpd.c 2001-11-29 17:56:11.000000000 +0100
+++ fixed-ftpd.c 2003-10-20 20:43:58.000000000 +0200
@@ -1662,9 +1662,9 @@
/* Display s/key challenge where appropriate. */
if (pwd == NULL || skeychallenge(&skey, pwd->pw_name, sbuf))
- sprintf(buf, "Password required for %s.", name);
+ snprintf(buf, 128-1, "Password required for %s.", name);
else
- sprintf(buf, "%s %s for %s.", sbuf,
+ snprintf(buf, 128-1, "%s %s for %s.", sbuf,
pwok ? "allowed" : "required", name);
return (buf);
}
%
Cоставил Александр Антипов
33
администрирование

МАРК КРИЧМАР
34

О настройках самого сервера LDAP написано достаточ-
но много, поэтому останавливаться на этом не буду. Ин-
теграция службы каталогов с разными службами осве-
щена тоже достаточно подробно, см., например: http://
www.linuxrsp.ru/artic/LDAP-HOWTO.html.
В этой статье я не нашел, как подружить proxy-сервер
SQUID с вышеозначенной службой, это и сподвигло меня
на сей труд, не судите строго.
В данный момент подобная конфигурация работает на
платформе Dell PowerEdge 2500, операционная система Linux
RHAS release 2.1 (Pensacola). Тестировалось на различных
версиях RH Linux, на других дистрибутивах *NIX-like систем
не пробовал, но затруднений возникнуть не должно.
Итак, начнем. Задача достаточно проста – заставить
SQUID не только авторизовать пользователей, но и за-
быть, наконец, об acl-листах, в которых описаны группы.
Согласитесь, приятней добавить пользователя в опреде-
ленную группу LDAP и все, а пользователь получает по-
чтовый ящик и доступ в Интернет через proxy-сервер.
Причем ничего не надо перезапускать.
Первым делом скачиваем свежую версию SQUID, я
рассматриваю на примере SQUID-2.5.STABLE2.tar.gz.
Распаковываем:
tar zxvf SQUID-2.5.STABLE2.tar.gz
Переходим в созданный каталог с исходниками proxy-
сервера и начинаем собирать:
./configure --enable-delay-pools ↵
--enable-cache-err-language=Russian-1251 ↵
--enable-linux-netfilter ↵
--enable-external-acl-helper=ldap_group ↵
--enable-basic-auth-helpers=LDAP
Небольшое пояснение, обо всех параметрах запуска
смысла писать нет, достаточно понятно, а вот два после-
дних нам как раз и нужны для интеграции с LDAP-сервером.
Последний ключ --enable-basic-auth-helpers=LDAP, соб-
ственно, и указывает кэширующему серверу SQUID, что
проверку пары логин-пароль на предмет правильности он
поручает внешней программе.
Ключ --enable-external-acl-helper=ldap_group необхо-
дим, чтобы группы в LDAP соотносились с группами в по-
нимании SQUID.
Далее, следуя INSTALL:
make all
make install
Копируем 2 файла:
cp helpers/basic_auth/LDAP/squid_ldap_auth ↵
/usr/local/squid/libexec
cp helpers/external_acl/ldap_group/squid_ldap_group ↵
/usr/local/squid/libexec
Переходим во вновь созданное дерево кэширующего
сервера SQUID, в моем случае /usr/local/squid/sbin:
cd /usr/local/squid/sbin
Создаем кэш:
№11(12), ноябрь 2003
администрирование
./squid –z
Теперь необходимо внести изменения в конфигураци-
онный файл SQUID.
Следующая строчка заставляет кэширующий сервер
доверять авторизацию внешней программе.
auth_param basic program ↵
/usr/local/squid/libexec/squid_ldap_auth –P ↵
–b dc=mydomain,dc=ru ↵
–f (&(uid=%s)(description=active)) –h 127.0.0.1
Понятно, что всё пишется на одной строке.
Другие auth_param нужно закомментировать.
Теперь пояснения по поводу параметров:

-P – оставлять соединение с LDAP-сервером откры-
тым, для большого числа пользователей, для малого
числа, LDAP смысла поднимать нет;

-b – с чего начинать поиск, в моем случае – с самого
верха;

-f – применить (&(uid=%s)(description=active)) данный
фильтр, для проверки пары логин-пароль. В жизни при-
ходится сталкиваться с тем, что необходимо лишить
пользователя доступа к Интернету, но не удалять же
из-за этого его запись, тем более, мы не запрещаем
ему пользоваться почтой, которая тоже работает че-
рез LDAP. Поэтому я и использовал поле description в
LDAP для своих нужд.
Небольшое пояснение по поводу пары логин-пароль, это,
как вы уже догадались, два поля в LDAP: uid и userpassword,
логин и пароль соответственно.
Вернемся к полю description, если в нем находится
строчка active и логин-пароль совпадают, то все чудесно,
если в этом поле пусто или что-то другое, то извиняйте,
доступ через SQUID-сервер невозможен. Фактически мы
заставляем проверять на истинность не два параметра –
логин и пароль, а три. Кстати, ничто не мешает таким же
образом вставить в фильтр еще значения, я не представ-
ляю зачем, но жизнь многогранна, кто знает, кому что по-
надобится.
И последний параметр -h 127.0.0.1, где, собственно,
запущен LDAP-сервер, в данном случае на одной маши-
не с кэширующим сервером.
Следующая строчка в файле squid.conf настраивает
кэширующий сервер на поддержку внешних групп, так
называемых acl-листов.
external_acl_type ldap_group %LOGIN ↵
/usr/local/squid/libexec/squid_ldap_group –P ↵
–b dc=mydomain,dc=ru ↵
–f (&(uid=%v)(member=ou=%a,dc=mydomain,dc=ru)) ↵
–h 127.0.0.1 –p 389
Опять же все на одной строке.
Ключи -P, -b и -f, -h имеют те же значения, что и выше.
Ключ -p – порт, который слушает LDAP-сервер, этот па-
раметр можно опустить, если используется стандартный
порт.
По поводу параметров фильтра требуется специаль-
ное пояснение, каждая запись пользователя, кроме все-
го прочего, должна быть членом класса groupOfNames, в
35
 администрирование
этом случае у каждого пользователя появляется обяза- Затем создаем файл example.ldif с описанием корне-
тельное поле member. вого дерева и групп пользователей, например, такого со-
Пример ldif-файла для создания пользователя, груп- держания:
пы я приведу в конце.
Ну и наконец, описываю сами группы, механизм тот #Êîðåíü íàøåãî äåðåâà äèðåêòîðèé
dn: dc=mydomain,dc=ru
же самый, что и при стандартном описании, сравним: objectClass: top
Старое:
#Ãðóïïà àäìèíîâ
dn: ou=admin,dc=mydomain,dc=ru
acl users proxy_auth dima petya vasya objectClass: top
authenticate_program /usr/local/squid/bin/ncsa_auth ↵ objectClass: organizationalUnit
/usr/local/squid/etc/passwd ou: admin
#Ãðóïïà äëÿ ïîëüçîâàòåëåé icq
Новое: dn: ou=icq,dc=mydomain,dc=ru
objectClass: top
objectClass: organizationalUnit
acl users external ldap_group accounts ou: icq
acl admin external ldap_group admin
acl icq_only external ldap_group icq
#Ãðóïïà äëÿ ïðîñòûõ ïîëüçîâàòåëåé
Далее все как обычно: dn: ou=accounts,dc=mydomain,dc=ru
objectClass: top
objectClass: organizationalUnit
http_access allow admin ou: accounts
#Äîáàâëÿåì 1 ïîëüçîâàòåëÿ â ãðóïïó admin
и так далее. dn: uid=boss,ou=admin,dc=mydomain,dc=ru
objectClass: top
Описание стандартных настроек кэширующего серве- objectClass: person
ра выходит за рамки данной статьи, предполагается, что objectClass: organizationalPerson
objectClass: inetOrgPerson
вы уже знакомы с ними. #Ýòî äëÿ Qmail
А теперь поподробнее о настройке LDAP-сервера. objectClass: qmailUser
#Îáÿçàòåëüíûé êëàññ, ÷òîáû ïîÿâèëîñü ïîëå member
Конфигурационный файл должен иметь такое содер- objectClass: groupOfNames
жание: #Åñëè active òî âñå ïó÷êîì:)
description: active
#Ñþäà ÿ çàáèâàþ âðåìÿ ñîçäàíèÿ äàííîé çàïèñè, íà âñÿêèé ñëó÷àé
# destinationIndicator: 01.02.03
include /usr/local/etc/openldap/schema/core.schema #Çäåñü ÿ óêàçûâàþ ëèìèò â áàéòàõ, êîòîðûé óñòàíîâëåí
include /usr/local/etc/openldap/schema/cosine.schema #äëÿ äàííîãî ïîëüçîâàòåëÿ
include /usr/local/etc/openldap/schema/inetorgperson.schema preferredLanguage: 50000000
include /usr/local/etc/openldap/schema/nis.schema #Ýòî ïîëå òîëüêî äëÿ Qmail
#Ýòà ñõåìà äëÿ ïîääåðæêè qmail accountStatus: active
include /usr/local/etc/openldap/schema/qmail.schema #Èìåííî ïî ýòîìó ïîëþ ïðîâåðÿåòñÿ ïðèíàäëåæíîñòü
#ïîëüçîâàòåëÿ ê ãðóïïå
member: ou=admin,dc=mydomain,dc=ru
pidfile /usr/local/var/slapd.pid sn:: 0J/Rg9GC0LjQvQ==
argsfile /usr/local/var/slapd.args cn:: 0J/Rg9GC0LjQvSDQktC70LDQtNC40LzQuNGAINCS0LvQsNC00L ↵
jQvNC40YDQvtCy0LjRhw==
#Â ïîëå userPassword ëåæèò ïàðîëü ïîëüçîâàòåëÿ. Åãî ìîæåò userPassword: 123
#ïðî÷èòàòü è èçìåíèòü òîëüêî ñàì ïîëüçîâàòåëü, íó è ñåáÿ telephoneNumber: 111-11-11
#ëþáèìîãî íå çàáûë. title:: 0J/RgNC10LfQuNC00LXQvdGC
access to attr=userPassword ou:: 0JzQvtGB0LrQstCwINC60YDQtdC80LvRjA==
by self write givenName:: 0JLQu9Cw0LTQuNC80LjRgA==
by anonymous auth initials:: 0JLQu9Cw0LTQuNC80LjRgNC+0LLQuNGH
by dn="cn=Manager,dc=mydomain,dc=ru" write mail: boss@mydomain.ru
by * none uid: boss
#Ýòî ïîëå òîëüêî äëÿ Qmail
#Åñëè â ýòîì ïîëå active – Èíòåðíåò åñòü, èíà÷å – íåò mailMessageStore: /var/qmail/maildirs/boss
access to attr=description #Ýòî ïîëå òîëüêî äëÿ Qmail
by self read mailHost: mailhost.boss.ru
by anonymous read
by dn="cn=Manager,dc= mydomain,dc=ru" write #Äîáàâëÿåì 1 ïîëüçîâàòåëÿ â ãðóïïó icq
by * none dn: uid=icq_user,ou=icq,dc=mydomain,dc=ru
#Íà îäíîé ñòðî÷êå objectClass: top
access to attr=title,ou,telephoneNumber,cn,sn,givenName,o, ↵ objectClass: person
initials,physicalDeliveryOfficeName,destinationIndicator objectClass: organizationalPerson
by self write objectClass: inetOrgPerson
by anonymous read objectClass: groupOfNames
by users read description: active
by dn="cn=Manager,dc= mydomain,dc=ru" write member: ou=icq,dc=mydomain,dc=ru
access to * sn: Sidoriv
by self read cn: Sidorov Fedor Petrovich
by anonymous read userPassword: 321
by users read telephoneNumber: 999-99-99
by dn="cn=Manager,dc= mydomain,dc=ru" write title: Doctor
ou: Departament
database ldbm givenName: Fedor
suffix "dc= mydomain,dc=ru" initials: Petrovich
rootdn "cn=Manager,dc= mydomain,dc=ru" mail: icq_user@mydomain.ru
rootpw secret uid: icq_user

#Äîáàâëÿåì 1 ïîëüçîâàòåëÿ â ãðóïïó accounts

36
 администрирование
dn: uid=Ivan,ou=accounts,dc=mydomain,dc=ru Теперь пора добавить наши данные.
objectClass: top
objectClass: person В случае работающего OpenLDAP:
objectClass: organizationalPerson
objectClass: inetOrgPerson /path/ldapadd –x –D “cn=Manager,dc=mydomain,dc=ru” –W ↵
objectClass: groupOfNames –f /path/example.ldif
description: active
member: ou=icq,dc=mydomain,dc=ru
sn: Ivanov /path/ – реальное местоположение утилиты ldapadd и фай-
cn: Ivanov Ivan Ivanovich ла example.ldif.
userPassword: 333
telephoneNumber: 999-99-99 В заключение хочется добавить, что лень и нехват-
title: Doctor ка времени заставили меня написать некоторое коли-
ou: Departament
givenName: Ivan чество скриптов, в основном на Perl, которые проверя-
initials: Ivanovich ют и расходование трафика пользователями и блоки-
mail: Ivan@mydomain.ru
uid: Ivan ровки доступа в Интернет с посылкой уведомления по
почте.
Запись для первого поля почти реальная, форма, а не Мои пользователи через веб-интерфейс правят свои
содержание. Последние две записи несколько аскетич- учетные записи на предмет рабочих телефонов, места ра-
ные, если вам не нужна ни адресная книга, ни поддержка боты, смены пароля – это реализовано на PHP.
QMail, то это как раз необходимый минимум. Этим я хочу сказать, что трудностей с созданием ваших
Небольшое пояснение. Поля sn, cn и др. заполнены программ для манипулирования LDAP быть не должно.
русским текстом в формате utf8. Ничего не имею против Для создания записей в OpenLDAP я пользуюсь GQ-0.6.0:
английского, но некоторые пользователи жалуются. К тому http://biot.com/gq/.
же появляется адресная книга вашей фирмы, не советую Вот, собственно, и всё. Удачи!
пользоваться адресной книгой в Outlook Express, на ред- Благодарность Henrik Nordstrom hno@squid-cache.org
кость неудобная реализация. Я пользуюсь той, что идет в за то, что написал модуль squid_ldap_group и объяснил
пакете Mozilla, но это дело вкуса. мне, как им пользоваться.

№11(12), ноябрь 2003 37

администрирование

ИСПОЛЬЗОВАНИЕ
БЕЗДИСКОВЫХ
МАРШРУТИЗАТОРОВ

Настоящая статья не описывает сборку, инсталляцию и настройку бездисковых станций, идет

рассмотрение только в общих чертах. Цель – показать читателям, как это выглядит и применяется
на практике.

АНДРЕЙ МОЗГОВОЙ

38

Структура сети и роль
бездисковых станций
Так уж вышло, что физическое месторасположение мос-
тов (bridge) [1] не самое удачное. Вдобавок с электропи-
танием перебои. Компьютеры не самые мощные PI-200
МГц, DIMM – 32 Мб, но это не мешает им обслуживать 4
сети по 100 Мб/с и одну по 10 Мб/с. Могли бы все быть по
100 Мб/с, просто PCI-слотов не хватает. В дальнейшем
разговор будет идти о bridge и сетях, которые выделены в
серую рамку.
А вот и фото из технического коридора:
№11(12), ноябрь 2003
администрирование
Как видите, материнская плата и блок питания легко
поместились в обычном электрощите. Главное – сообра-
зить, как все правильно разместить. Блок питания луч-
ше размещать сверху, тогда нагретый им воздух не бу-
дет повышать температуру процессора. А этот факт мо-
жет о себе напомнить в жаркие летние деньки. Акку-
ратно зафиксируйте кнопки Вкл/Выкл, Питания и
RESET. Они могут вам понадобиться в первые дни на-
стройки. Опора для сетевых карт взята прямо из ста-
ренького корпуса формата AT. Видеокарты нет. Это не
принципиальное решение. Просто нет у меня такого ма-
ленького мониторчика, который с легкостью можно
взять с собой в технический коридор. Вместо видео-
карты использую последовательный порт (com port). Это
очень удобно, можно просто прийти с ноутбуком и ре-
шить любые проблемы. Главное – собрать ядро с опци-
ей Character devices → Support for console on serial port
(CONFIG_SERIAL_CONSOLE=y), указать соответствую-
щие опции при загрузке ядра (console=ttyS1) [2] и до-
бавить строчку в /etc/inittab (s1:12345:respawn:/sbin/
agetty -L ttyS0 9600 vt100).
Как же загружается и настроена
бездисковая станция?
В этом разделе bridge будем называть клиентов, а router,
с которого загружается bridge, – сервером. Все, что тре-
буется от клиента, – это послать запрос по сети, полу-
чить настройки, скачать образ и передать управления
на него. На стареньких компьютерах редко встречаются
интегрированные сетевые интерфейсы с возможностью
загрузки по сети. Приходится использовать сетевые кар-
39
 администрирование
#############
# dhcpd.conf
#
# For diskless station.
allow booting;
allow bootp;
# option definitions common to all supported networks...
option domain-name "my-domain.ru";
option domain-name-servers ns.my-domain.ru, ns1.my-domain.ru;
#ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;

subnet 192.168.0.0 netmask 255.255.255.0 {

option routers 192.168.0.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
option dhcp-client-identifier "PXEClient";
next-server 192.168.0.1;
filename "pxelinux.0";
host bridge {
hardware ethernet 00:00:00:00:00:00;
fixed-address 192.168.0.2;
}
}

Кратко прокомментирую самое главное. Клиент полу-

чит IP-адрес (fixed-address 192.168.0.2), соответствующий
MAC-адресу (hardware ethernet 00:00:00:00:00:00). Адрес
TFTP-сервера и имя образа он узнает из параметров next-
server 192.168.0.1 и filename «pxelinux.0» соответственно.
Запускаем DHCPD, на первый раз можно с опциями
«-d -f», чтобы увидеть запросы клиента и как на них реа-
гирует DHCPD. Включите клиента, он пошлет запросы,
получит настройки, выведет их на экран (конечно, не обя-
зательно, но вы поймете, что клиент получил либо не
получил их, тем более комментарий к происходящему
выведет DHCPD).
ты с BOOTROM (энергонезависимая память с прошив-
кой, осуществляющей загрузку). Давно, еще на старень-
ких NE2000, появилась возможность установки и исполь-
зования этих самых BOOTROM. Только в наше время это
дело выбора.
Можно найти сетевую карту со слотом для ПЗУ, доку-
пить саму ПЗУ, сделать прошивку, необходимую вам, и
наслаждаться проделанной работой. А можно сразу ку-
пить сетевую карту, поддерживающую загрузку по сети.
Сейчас распространены прошивки Intel PXE, лучше оста-
новиться на версии v2.x. У автора как раз завалялось не-
сколько таких карточек, а именно 3Com905C-TX-M. Уста-
навливаем, входим в BIOS сетевой карты, настраиваем,
чтобы загружалась по сети.
Все, на этом настройка клиента заканчивается. Но что,
если у вас нет под рукой такого 3Com, но нашлась какая-
нибудь другая карта с уже установленным ПЗУ. Вам по-
могут либо etherboot, либо netboot [3]. Клиент настроен,
включен и рассылает запросы по сети, ожидая ответа от
DHCP-сервера в виде сетевых настроек и TFTP-сервера,
с которого необходимо забрать образ.

Сервер
На сервере должны быть остановлны DHCPD [4], TFPD и
пакет SYSLINUX [5]. Как я уже говорил (см. выше), снача-
ла DHCPD должен отдать сетевые настройки, следова-
тельно, настраиваем его в первую очередь. Вот пример-
ное содержание конфигурационного файла:

40
 администрирование

№11(12), ноябрь 2003 41

 администрирование
Второй шаг. Настройка TFTP
TFTP-сервер поставляется в комплекте практически с
любым дистрибутивом. Скорее всего и в вашем Linux он
уже установлен. Автор не стал запускать TFTP под на-
блюдением INETD (именно в моем случае это просто из-
лишне, для себя решайте сами). Вся настройка сервиса
(если без INETD) укладывается в указание нужных пара-
метров при запуске [6].
/usr/sbin/in.tftpd -l -v -s /tftpboot/
В директорию /tftpboot/ (у меня это линк на /usr/local/
tftpboot/) копируем бинарник pxelinux.0 из пакета SYSLINUX.
Это все, что понадобится нам из этого пакета. Конфигу-
рационные файлы для PXELINUX хранятся в корне TFTP-
сервера в каталоге «pxelinux.cfg». Чтобы клиент легко ра-
зобрался, какой конфигурационный файл предназначен
именно ему, файлы соответствуют IP-адресам клиентов,
но в шестнадцатеричном представлении. Так, для наше-
го клиента, имеющего IP-адрес 192.168.0.2, конфигура-
ционный файл для pxelinux.0 должен находиться по сле-
дующему адресу:
/tftpboot/pxelinux.cfg/C0A80002
Как вы думаете, как будет выглядеть конфигурацион-
ный файл для 192.168.0.0/24? Правильно – «C0A8».
Вот мой конфигурационный файл:
default /kernels/test/bzImage initrd=/images/initrd.br ↵
load_ramdisk=1 prompt_ramdisk=0 ramdisk_size=16384 ↵
rw root=/dev/ram0 console=ttyS0
prompt 1
display /images/default.txt
F1 /images/help.txt
timeout 50
label linux
kernel /kernels/bare.i/bzImage
append -
label bare.i
kernel /kernels/bare.i/bzImage
append initrd=/images/initrd.br load_ramdisk=1 ↵
prompt_ramdisk=0 ramdisk_size=8192 ↵
rw root=/dev/ram SLACK_KERNEL=bare.i
Примечание. Убедительная просьба – прочтите докумен-
тацию по настройке PXELINUX. PXELINUX обладает широ-
кими возможностями, с его помощью вы можете загрузить
любую операционную систему и даже восстанавливать ее
после краха. Если внимательно разобрать конфигурацион-
ный файл, вы поймете, что ядра Linux и сами образы систе-
мы хранятся в разных директориях (автору так удобнее).
Собрать ядро для бездисковой станции проблем не
составит. Прочтите HOWTO на тему Diskless и Kernel [7].
Главное, включите поддержку ram-дисков и ext2. От NFS-
ROOT автор отказался наотрез, ну не нужен он там. Луч-
ше собрать свой маленький дистрибутив или воспользо-
ваться каким-нибудь однодискетным. Автор собрал тако-
вой в стиле Slackware, основанный на BusyBox [8]. Образ
42
дистрибутива ядро скачивает с TFTP-сервера согласно
параметрам (см. конфигурационный файл).
Безопасность
Используйте firewall, дабы прикрыть новые сервисы. Мож-
но ограничить доступ к ним только из одной сети, но
iptables позволяет ограничить доступ даже по MAC-адре-
сам. Для DHCPD укажите сетевой интерфейс, который бу-
дет обслуживаться этим сервисом.
Заключение
Не бойтесь экспериментировать. Собрать и настроить та-
кой bridge несложно, зато практическая польза – все 100%.
К тому же, настроив одну станцию и собрав один малень-
кий дистрибутив, вам наверняка захочется сменить еще
парочку маршрутизаторов на бездисковые.
Ссылки:
[1]Что такое bridge и чем он отличается от router, должен
знать каждый системный администратор. К тому же, как
настроить bridge, описывалось в статье Заклякова П.
Разводной мост на Linux (Bridging Firewalls). – //Журнал
«Системный администратор» №4(5), апрель 2003 г. –
42-54 с. Хотя лично у меня есть небольшие расхожде-
ния в реализации. В основном они сводятся к упроще-
нию. Например, вместо того чтобы патчить ядро, мож-
но просто использовать последнюю версию оного. Сна-
чала прочтите Bridge+Firewall-HOWTO, вы сами все пой-
мете. Вот несколько ссылок, которые помогут вам до
конца разобраться:
http://bridge.sourceforge.net/
http://www.linux.org/docs/ldp/howto/Bridge/index.html
http://www.linux.org/docs/ldp/howto/Bridge+Firewall.html
http://www.linux.org/docs/ldp/howto/BRIDGE-STP-
HOWTO/index.html
http://www.ibiblio.org/
[2]По всем параметрам, которые можно задать ядру через
командную строчку, есть хороший man – man 7 bootparam.
[3]Подробнее о etherboot и о netboot можно узнать, найдя
эти проекты на http://www.sf.net
[4]Homesite dhcpd: http://www.isc.org/products/DHCP/
[5]Homesite syslinux: http://syslinux.zytor.com/index.php
[6]man in.tftpd
[7]http://www.ibiblio.org/pub/Linux/docs/HOWTO/Diskless-
HOWTO
http://www.ibiblio.org/pub/Linux/docs/HOWTO/Kernel-
HOWTO
[8]BusyBox представляет собой «набор» основных ути-
лит Linux, только они специально несколько упроще-
ны. Все равно очень удобно. Очень удачно описана
сборка дистрибутива в статье «Создание загрузочных
дискет и CD-дисков Linux» Всеволода Стахова, кото-
рая была опубликована в журнале «Системный адми-
нистратор» №6(7), июнь 2003 г. – 44-51 с.
администрирование

АУДИТ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ

В ACTIVE DIRECTORY

МАКСИМ КОСТЫШИН

44

Поводом для появления данной статьи послужила инфор-
мация, опубликованная в журнале «Windows & .Net
Magazine/RE» №5 за 2003 год под названием «Утилита
LDIF Directory Exchange», подсказавшая решения, кото-
рые можно было использовать для того, чтобы обеспе-
чить необходимый уровень автоматизации при проведе-
нии аудита учетных записей пользователей в Active
Dircectory. В статье было приведено описание основных
возможностей двух утилит Ldifde.exe и Csvde.exe, обес-
печивающих добавление, изменение и удаление объек-
тов Active Directory.
Информация, изложенная ниже, ориентирована на ис-
пользование Windows-платформ и предназначена в ос-
новном для людей, отвечающих за вопросы компьютер-
ной безопасности аудиторов, специализирующихся в дан-
ной области. Надеемся, что статья будет полезна и лю-
дям, профессионально занимающимся администрирова-
нием локальных сетей.
Постановка проблемных вопросов
В определенный момент времени наступает то критичес-
кое состояние для списка пользователей локальной сети
предприятия, когда нежелание остановиться и провести
анализ его содержимого может повлечь большие затра-
ты и проблемы, нежели своевременное проведение ра-
бот по аудиту и устранению выявленных недостатков.
О чем идет речь? В организациях, где число сотрудни-
ков, работающих с компьютерной техникой, превышает
100 человек, администрированием занимаются, как пра-
вило, два-три сотрудника. Не все они, в силу различных
обстоятельств, с достаточным педантизмом относятся к
работе по внесению во вновь создаваемые учетные за-
писи информации о владельцах. Кроме того, админист-
раторы обычно не включены в список тех сотрудников,
которым обязаны сообщать об увольнениях. Два этих об-
стоятельства являются основными причинами, из-за ко-
торых и происходит накопление учетных записей «мерт-
вых душ».
Попробуем провести некоторую систематизацию наи-
более значимых и очевидных проблем для списка пользо-
вателей Active Directory.
Во-первых, лишние записи в списке пользователей,
которые могут быть:

учетными записями уволенных сотрудников;

учетными записями работающих сотрудников, которы-
ми не пользуются и владельцы которых уже вряд ли по-
мнят имена для входа в сеть (не говоря уже о паролях);

учетными записями заблокированных пользователей,
для которых администратор выполнил первый шаг пе-
ред удалением, но так и не закончил процедуру;

учетными записями, созданными для тестирования, ко-
торые обычно имеют достаточно высокие привилегии,
и которые администратор забыл удалить, после того
как процесс тестирования был завершен.
Во-вторых, к недопустимым можно отнести те учетные
записи, которые однозначно не идентифицируют владель-
ца, т.е. дополнительная информация в которых не позво-
ляет назвать человека, определить его должность и под-
№11(12), ноябрь 2003
администрирование
разделение, выяснить, как с ним можно связаться (конеч-
но же, речь здесь не идет о стандартных учетных записях
типа «Администратор», «Administrator», «Guest», «Гость»,
и другие).
И в-третьих, выполнение требований политики безо-
пасности предприятия подразумевает, что усилия и ад-
министраторов, и пользователей должны быть направле-
ны на то, чтобы учетная запись использовалась только ее
владельцем. То есть, если протокол выполнения опера-
ций работы с какой-либо из программ показал, что пользо-
ватель вошел под учетной записью Иванова Ивана Ива-
новича, то абсолютно нерационально будет тратить вре-
мя на дополнительные разборки с ситуациями, когда вы-
ясняется, что учетной записью пользуются (из-за недо-
статочных знаний компьютера или обычной лени) все со-
трудники отдела, в котором трудятся пять человек.
Обзор возможностей по работе
с учетными записями
Попробуем перечислить те возможности, которые есть под
руками у администратора для работы с учетными запися-
ми пользователей в Active Directory, и то, насколько они
могут быть использованы для проведения аудита.
Оснастка Active Directory – пользователи и компьютеры
(которую можно найти в разделе «Администрирование» на
сервере). Замечательная возможность для добавления,
редактирования свойств и удаления пользователей доме-
на, но, к сожалению, достаточно бесполезная в вопросах
проведения ревизии и аудита. К положительным момен-
там можно отнести возможность проведения экспорта спис-
ка пользователей, в который можно включить такие поля,
как – «имя входа пользователя», «имя», «выводимое имя»,
«фамилия», «изменен». Отметим, что поле «изменен» по-
казывает время и дату последних изменений для учетной
записи администратором (производилась коррекция на-
строек) или владельцем (смена пароля).
Системная утилита Net.exe. С помощью этой утилиты
вы можете обеспечить работу с данными конкретного
пользователя (вариант вызова – «Net user») – получить
дату и время последней регистрации в сети, а также оп-
ределить, когда завершается срок действия пароля.
Программы-сканеры, задача которых заключается в
сборе информации о состоянии локальной сети или конк-
ретного компьютера. Среди наиболее интересных про-
грамм в плане получения информации о пользователях
отметим CFI LANguard Network Security Scanner (ver 3.1.5).
Она предоставляет возможность получения достаточно
подробной информации об учетных записях, такой как
дата и время последней регистрации; данные о том, ког-
да пароль будет просрочен; количество регистраций
пользователя в сети; значение индекса попыток входа с
некорректным паролем. Кроме того, программа позво-
ляет на основании данных двух сохраненных протоко-
лов сканирования сформировать отчет о расхождениях
и получить перечень заведенных и удаленных учетных
записей. Справедливости ради отметим, что программа
имеет существенные недостатки, особенно для русско-
язычной категории пользователей, так как она некоррек-
тно обрабатывает русские названия (в именах и допол-
45
 администрирование
нительных параметрах учетных записей и пр.). Кроме того, Òàáëèöà 1. Îïèñàíèå íåêîòîðûõ ïîëåé ó÷åòíûõ çàïèñåé
отсутствует возможность сохранить в отдельном файле LDAP-êàòàëîãà
информацию о найденных расхождениях в списках учет-
ных записей.
Перейдем теперь к рассмотрению утилит, которые, на
наш взгляд, предоставляют возможность получения наи-
более полной информации по пользователям – Ldifde.exe
и Csvde.exe.
Первая утилита позволяет экспортировать данные из
Active Directory в файл формата LDIF. Стандарт файла LDIF
определен в рекомендациях RFC-2849 для импорта и экс-
порта данных из каталогов LDAP, таких как Active Directory.
После экспорта данных можно использовать LDIF-файл для
импорта тех же объектов в другой каталог LDAP.
Csvde.exe – утилита, аналогичная Ldifde.exe (парамет-
ры вызова идентичны), в которой используется другой
формат хранения данных в текстовом файле – значения
разделяются запятыми (CSV-формат). Данный формат
поддерживается программой Microsoft Excel, понимающей
файлы в CSV-формате, а также Microsoft Access.

Использование утилиты Csvde.exe

Для наглядности, вместо полного описания параметров
работы с утилитой приведем пример, на основе которого
можно построить запросы для всех необходимых для ауди-
та случаев.
csvde -f USERS_WORK.CSV -b GUEST MICROSOFT *
-r "(&(objectClass=user)(!(objectClass=computer)) ↵
(!(userAccountControl=514))(!(userAccountControl=66050)))"
-l "DN, memberOf, badPasswordTime, lastLogon, logonCount, ↵
sAMAccountName, userAccountControl, whenChanged, whenCreated"
Использование данной команды позволяет сохранить
в файле наиболее интересную с точки зрения аудита ин-
формацию по действующим (не заблокированным)
учетным записям пользователей.
В файл USER_WORK.CSV (параметр -f) будут записа-
ны данные учетных записей пользователей домена. Про-
грамма будет производить обработку данных, которые
должны быть доступны пользователю GUEST домена
MICROSOFT, пароль для которого должен быть введен в
процессе выполнения команды (параметр -b).
Из всех объектов LDAP-каталога будут отобраны
только учетные записи пользователей, для которых в
поле параметра userAccountControl отсутствует инфор-
мация о блокировке учетной записи (параметр -r). В
качестве логических операций для фильтра использу-
ются – «!» – логическое НЕТ, «&» – логическое И, «|» –
логическое ИЛИ.
В результате выполнения команды в CSV-файле бу-
дут сохранены данные полей, перечисленных в пара-
метре -l (список наиболее интересных полей приведен
в таблице 1).
Примечание: команда «Net user» некорректно обра-
батывает данные поля pwdLastSet, а также некоторые
значения времени. Для поля pwdLastSet, в случае если
пароль не был задан, выводятся текущие дата и время.
Для данных времени вместо значений вида 00:mm AM и
00:mm PM выводятся значения 12:mm AM и 12:mm PM
соответственно.
Форматы представления данных
даты и времени
Если вы были наблюдательны, то заметили, что в табли-
це 1 имеются два различных варианта представления
значений даты и времени.
Если формат вида ГГГГММДДЧЧММСС.0Z (тип
GeneralizedTime для ASN.1 кодирования), используемый для
полей whenChanged, whenCreated по Гринвичу достаточно
понятен, то параметры, такие как lastLogon, pwdLastSet,
accountExpires, представляют информацию о дате и вре-
мени в 32-битном UNIX-формате, и содержат значения се-
кунд, прошедших начиная с 1 января 1970 г., GMT. Для на-
глядности приведем некоторые значения, которые могут
содержаться в файле выгруженных значений для парамет-
ров даты и времени в Unix-формате:
126858492000000000 – ñîîòâåòñòâóåò 1.01.2003 00:00
127014876000000000 – ñîîòâåòñòâóåò 1.07.2003 00:00
127014912000000000 – ñîîòâåòñòâóåò 1.07.2003 01:00
Использование функций преобразований
для данных CSV-формата
Информацию по учетным записям, которая выгружена с
помощью команды, аналогичной, указанной в начале раз-
дела «Использование утилиты Csvde.exe», можно попы-
таться загрузить в Microsoft Access, однако, в связи с тем,
что программа некорректно обрабатывает символ-разде-
литель «,» в структурах типа «CN=Bill Gates,CN=Users,
DC=Microsoft,DC=com», то лучше воспользоваться анало-
гичными возможностями программы Microsoft Excel (см.
рис. 1). Далее, информацию для удобства использования
можно обработать с помощью имеющихся в Microsoft Excel
возможностей (макросы, функций).

46

Ðèñóíîê 1. Ïðèìåð äàííûõ CSV-ôàéëà ïîñëå ýêñïîðòà
â Microsoft Excel
На рисунках приведена информация CVS-файла сразу
после проведения его загрузки в Microsoft Excel (рис. 1) и
после проведенных преобразований (рис. 2). Примеры
таких преобразований приведены ниже. Предлагаемые
варианты преобразований не претендуют на логическую
законченность, но могут являться той основой, с помо-
щью которой за короткий срок может быть разработан
необходимый механизм обработки под каждый конкрет-
ный случай.
Ðèñóíîê 2. Âèä èíôîðìàöèè CSV-ôàéëà ïîñëå ïðåîáðàçîâàíèé
ñ èñïîëüçîâàíèåì âîçìîæíîñòåé Microsoft Excel
Получение данных из структуры поля DN
Для получения имени пользователя из структуры вида
«…CN=Имя_пользователя,…» в ячейке A2, может быть
использована следующая формула преобразования:
=ÏÑÒÐ(A2;
ÍÀÉÒÈ("CN=";A2)+3;
ÍÀÉÒÈ(","; A2;
ÍÀÉÒÈ( "CN="; A2 )+3
) - ÍÀÉÒÈ("CN=";A2) -3
) =ÅÑËÈ(ÅÏÓÑÒÎ(G2);"";
Для получения информации из структуры вида
«…OU=Данные,…» в ячейке A2 может быть использова-
на следующая формула преобразования:
=ÅÑËÈ(ÅÏÓÑÒÎ('0'!A2);"";
ÅÑËÈ(ÅÎØÈÁÊÀ(ÍÀÉÒÈ("OU=";'0'!A2)); "USERS";
ÏÑÒÐ( '0'!A2;
ÍÀÉÒÈ("OU=";'0'!A2)+3;
ÍÀÉÒÈ(","; '0'!A2;
ÍÀÉÒÈ("OU=";'0'!A2)+3) –
ÍÀÉÒÈ("OU=";'0'!A2) -3
)
) гих параметров – 514.
)
Обработка данных даты
и времени Unix-формата
Получение даты в формате ДД.ММ.ГГГГ на основании
данных в Unix-формате предлагаем производить в два
этапа. На первом этапе вычисляется количество дней,
прошедших с 1 января 2003 г. На втором формируется
строка даты в стандартном формате.
Для получения количества дней, прошедших с 1 янва-
ря 2003 г., на основании данных в ячейке F2, заданных в
Unix-формате даты и времени, может быть использована
следующая формула преобразования:
№11(12), ноябрь 2003
администрирование
= ÅÑËÈ(
ÇÍÀ×ÅÍ(ËÅÂÑÈÌÂ(F2;11))=0;
-1;
ÎÊÐÓÃËÂÍÈÇ((ÇÍÀ×ÅÍ(ËÅÂÑÈÌÂ(F2;11))- 12685849200)/24/3600; 0)
)
Полученное на первом этапе значение сдвига дней
относительно 1 января 2003 г. (в ячейке E2) используется
для формирования даты в стандартном формате.
=ÅÑËÈ( E2=-1;
"Îòñóòñòâóåò";
ÑÖÅÏÈÒÜ(
ÄÅÍÜ(ÄÀÒÀÇÍÀ×("1/1/2003")+E2);
".";
ÌÅÑßÖ(ÄÀÒÀÇÍÀ×("1/1/2003")+E2);
".";
ÃÎÄ(ÄÀÒÀÇÍÀ×("1/1/2003")+E2)
)
Обработка данных даты и времени
формата GeneralizedTime
для ASN.1 кодирования
Преобразование числа в формате ГГГГММДДММСС.0Z в
формат ДД.ММ.ГГГГ ЧЧ:ММ
=ÑÖÅÏÈÒÜ(
ÏÑÒÐ(N2;7;2); "."; ÏÑÒÐ(N2;5;2); "."; ÏÑÒÐ(N2;1;4); " ";
ÏÑÒÐ(N2;9;2); ":"; ÏÑÒÐ(N2;11;2)
)
Обработка значения поля
userAccountControl
о блокированности записи
Получение данных о состоянии учетной записи по значе-
нию поля userAccontControl, содержащемуся в ячейке G2:
ÅÑËÈ(ÈËÈG2=514; G2=66050);"Çàáëîêèðîâàííàÿ";"Äåéñòâóþùàÿ")
)
Подробные пояснения и описание формата хранения
данных в поле userAccountControl можно найти в статье
Microsoft «How to Use the UserAccountControl Flags to
Manipulate User Account Properties» (http://support.
microsoft.com/?kbid=305144). Отметим только, что если
параметры учетной записи не заданы, то десятичное зна-
чение userAccountControl равно 512; десятичное значение
для блокированной учетной записи при отсутствии дру-
Заключение
В статье предложен достаточно простой метод получе-
ния данных для аудита учетных записей пользователей в
Active Directory, не требующий специальных навыков и
знаний языков программирования.
Отметим, что кроме изложенного метода может быть
использован вариант, рекомендуемый Microsoft, предпо-
лагающий использование интерфейсов службы Active
Directory (ADSI), которые предоставляют простой, мощ-
ный, объектно-ориентированный доступ к ресурсам Active
Directory. Интерфейсы ADSI позволяют программистам и
администраторам создавать программы каталога с ис-
пользованием инструментальных средств высокого уров-
47
 администрирование
ня, например, Microsoft Visual Basic, Java, C или Visual C++,
не заботясь о различиях в пространствах имен. Интер-
фейсы ADSI полностью поддерживают сценарии, что об-
легчает их использование администраторами.
И напоследок, в качестве рекомендаций перечислим
те нюансы, на которые следует обратить внимание при
проведении анализа данных списка пользователей, кото-
рые могут указывать на существующие проблемы при ис-
пользовании учетных записей:

заблокированные учетные записи (после анализа пос-
ледней даты регистрации могут быть удалены в слу-
чае, если необходимость в них отсутствует);
48

данные учетной записи о том, что последняя регист-
рация в сети происходила три и более месяца назад,
могут указывать на то, что сотрудник, которому при-
надлежала учетная запись, уже уволен;

если количество регистраций в сети для учетной за-
писи равно нулю, а со времени ее создание прошло
свыше одного месяца, то это может говорить о том,
что созданная учетная запись оказалась невостребо-
ванной;

большое количество регистраций в сети может указы-
вать на то, что учетная запись используется для входа
в сеть не только владельцем.
администрирование

WINDOWS SERVER 2003:

ВЗГЛЯД СИСТЕМНОГО
АДМИНИСТРАТОРА

АЛЕКСЕЙ ДОЛЯ
МИХАИЛ МЕЛЬНИКОВ
50

Не так давно всемирно известная группа Gartner про-
вела весьма интересное исследование рынка сервер-
ных операционных систем семейства Windows, в ре-
зультате выяснилось, что подавляющее большинство
компаний и администраторов предпочитают базировать
свои серверы на старой как мир Windows NT 4.0 (она
занимает порядка 60-70% рынка), и переход на Windows
2000 Server, а тем более на недавно вышедшую
Windows Server 2003 для них выглядит непривлекатель-
ной идеей. Microsoft же, в свою очередь, незадолго до
выхода Windows Server 2003 также провела статисти-
ческое исследование, в котором рынку Windows NT 4.0
отводится всего лишь 35%. Более того, было развер-
нуто свыше 10 000 серверов вне стен Microsoft под уп-
равлением Windows Server 2003 еще до официального
дня презентации. Кому верить – вопрос риторический.
Однако время на месте не стоит, да и сама Microsoft
дышит оптимизмом: с момента появления NT 4.0 воды
утекло довольно много, а вариантов серверных Windows
помимо самой Windows NT 4.0 набралось уже два:
Windows 2000 Server, и вот, встречайте, Windows Server
2003 (как всегда в нескольких редакциях и ценовых ка-
тегориях: Enterprise, Web, Datacenter и, конечно же,
Standard). Каждый из вариантов системы позициони-
руется компанией Microsoft для решения конкретных за-
дач в ориентации на разную производительность, фун-
кциональность и гибкость, и масштаб организационной
инфраструктуры.
Windows Server 2003 Datacenter разработана для кри-
тичных бизнес-приложений, она позволяет решать за-
дачи, требующие масштабируемости и доступности вы-
сокого уровня. Например, решения для баз данных, пла-
нирования ресурсов на предприятии, высокоскоростной
интерактивной обработки транзакций и консолидации
серверов. Windows Server 2003 Datacenter Edition под-
держивает 32-потоковую мультипроцессорную обработ-
ку данных (SMP) и до 64 Гб оперативной памяти (речь
идет о 32-разрядной версии, 64-разрядная поддержи-
вает соответственно 128 Гб ОЗУ), а также предостав-
ляет стандартные функции: восьмиузловую кластери-
зацию и службы балансировки нагрузки.
Windows Server 2003 Web Edition будет применяться
для конкретных задач, ориентированных на использо-
вание веб-технологий. Эта версия предназначена для
разработки и поддержки хостинга веб-приложений, веб-
страниц и веб-служб XML. Web Edition разработана для
использования в основном в качестве веб-сервера IIS
версии 6.0 и предоставляет платформу для успешной
разработки и развертывания веб-служб XML, которая
использует технологию ASP.NET, являющуюся одной из
основных частей .NET Framework. Кстати говоря, пред-
полагается, что Windows Server 2003 Web Edition при-
обрести в розничной продаже будет нельзя, поскольку
она будет распространяться исключительно через офи-
циальных партнеров Microsoft.
В свою очередь Windows Server 2003 Standard Edition
от Enterprise Edition предоставляемым функционалом
во многом схожи, и по рекомендации Microsoft могут
использоваться в зависимости от масштаба существу-
№11(12), ноябрь 2003
администрирование
ющей или предполагаемой информационной структу-
ры компании.
«При разработке Windows Server 2003 мы ставили во
главу угла повышение безопасности системы, – заявил
Билл Вегте, вице-президент подразделения Windows
Server Division корпорации Microsoft. – Безопасность яв-
ляется одной из главных забот пользователей, и новые
функции, реализованные в этой версии, значительно
облегчают создание защищенных систем. Windows
Server 2003 представляет собой надежную безопасную
платформу, обогащенную целым рядом новаторских ре-
шений».
И действительно, выход операционной системы от-
кладывался (по заявлениям Microsoft для того, чтобы
максимально эффективно и качественно пройти этап
тестирования нового продукта), ее названия (по срав-
нению с бэта-версиями) менялись. Ключевой довод раз-
работчиков сводился к повышению безопасности но-
вой ОС. Что ж, будем надеяться, что цели поставлен-
ные разработчиками, реализованы.
Возвращаясь к цифрам статистики, можно сделать
вывод, что не раз наученные горьким опытом админис-
траторы из принципа не переходят на новую версию
Windows. А сама миграция им представляется переез-
дом на Гондурас без денег и запасного белья. Некото-
рые ждут как минимум двух официальных патчей, ко-
торые по идее должны исправить практически все не-
дочеты разработчиков, другие же закрывают глаза на
все, и по-прежнему каждый день в меню «Пуск» наблю-
дают надпись Windows NT 4.0 или Windows 2000.
Ðèñóíîê 1. Ïðèìåð ïðîåêòèðîâàíèÿ ñèñòåìû áåçîïàñíîñòè ñåðâåðà
Компания Microsoft призывает администраторов пе-
реходить на Windows Server 2003, не дожидаясь перво-
го сервис-пака. Тем не менее выход сервис-пака уже
официально назначен на декабрь этого года.
Впрочем, стоит заметить, что при недочетах Windows
2000, в новой Windows 2003 таковых (во всяком случае
пока) не обнаружено, и после разговора с несколькими
администраторами крупных компаний, которые уже ус-
пели перейти на Windows Server 2003, складывается
впечатление, что система действительно внушает до-
верие.
Для начала давайте рассмотрим некоторые предпо-
51
 администрирование
сылки к миграции на новую ОС. В первую очередь это
удобство в администрировании сервера: подобно но-
венькой BMW, «водителю» не нужно прилагать излиш-
них телодвижений для того, чтобы нажать какую-либо
кнопку. То же самое и здесь.
Наиболее интересным приложением в новой ОС яв-
ляется мастер управления сервером (см. рисунок), ко-
торый будет встречать вас каждый раз при включении
компьютера, начиная с самого первого запуска систе-
мы. Он введен взамен прежнего мастера настройки
сервера. С его помощью выполняются базовые опера-
ции администратора над сервером, которые раньше
требовали значительно больших затрат времени. Одна
из главных целей мастера управления сервером – пре-
доставить системным администраторам удобную воз-
можность настраивать сервер для выполнения конкрет-
ных задач, например, создания DNS-серверов, контрол-
лера домена, DHCP-серверов и т. д.
Ðèñóíîê 2. Ìàñòåð óïðàâëåíèÿ ñåðâåðîì â äåéñòâèè
Как и всегда, разработчики делают ставку на повы-
шение надежности и производительности нового про-
дукта. С Windows Server 2003 все эти обещания выгля-
дят как нельзя более внушительно. Внесены усовершен-
ствования в такие технологии, как балансировка нагруз-
ки сети, служба Active Directory (об этом ниже), класте-
ры серверов. Кроме того, интегрирована новая среда –
так называемая CLR (Common Language Runtime). Клю-
чевым свойством CLR с точки зрения администратора
является возможность обеспечения программной изо-
ляции приложений, исполняемых в общем адресном
пространстве. Это осуществляется с помощью безопас-
ного в отношении типов (type safety) доступа ко всем
областям памяти при исполнении безопасного управ-
ляемого кода. Некоторые компиляторы могут создавать
MSIL-код, который не только безопасен в отношении
типов, но и поддается простой проверке на безопас-
ность исполнения. Этот процесс называется верифи-
кацией и позволяет серверам легко проверять написан-
ные на MSIL пользовательские программы, и запускать
только те, которые не будут производить опасных об-
ращений к памяти. Такая независимая верификация
важна для действительно масштабируемых серверов,
исполняющих пользовательские программы и скрипты.
52
Весьма интересным и значительным изменениям под-
вергся и весь процесс управления системой. В Windows
Server 2003 повышена надежность и доступность средств
управления, введенных ранее в Windows 2000, и усовер-
шенствованы основные функции, такие как инструмен-
тарий управления Windows, групповая политика и ре-
зультирующая политика.
Благодаря службам управления IntelliMirror все при-
ложения, данные и настройки доступны пользователям
независимо от точки входа в систему, что, несомненно,
повышает производительность. Как и в Windows 2000,
установка, удаление и обновление приложений могут
выполняться удаленно. В конечном счете адекватно
задачам развернутой инфраструктуры эффективное
использование всех сервисов предполагает для конеч-
ного пользователя наличие гибкой, управляемой сис-
темы для работы, исключая необходимость настраивать
рабочие места под сервер.
Ðèñóíîê 3. Îïðåäåëåíèå ïóòè ìèãðàöèè äëÿ ñåðâåðà ïðè ïåðåõîäå
íà ïëàòôîðìó Windows Server 2003
Миграция – процесс нелегкий и недешевый. Его целе-
сообразность всегда стоит под вопросом. Тем не менее
Windows Server 2003 – отличная замена старым NT 4.0 и
Windows 2000 Server.
Причин для миграции с прежних серверных версий
Windows на Windows Server 2003 много, и для каждого
предприятия они могут быть персональными. Кто-то
использует в качестве сервера Windows 2000 Server, а
кто-то до сих пор базирует свой сервер на основе
Windows NT 4.0. Если у вас последний случай, то стоит
заметить, что Windows Server 2003 не просто превос-
ходит Windows NT 4.0 по многим параметрам, но и яв-
ляется более надежной ОС. К тому же использование
всех возможностей Windows Server 2003 позволит вам
значительно повысить не только производительность и
надежность сети, но и упростить само ее администри-
рование. Например, служба Microsoft Active Directory уп-
рощает администрирование крупных и территориаль-
но распределенных сетей и дает возможность пользо-
вателям быстро находить необходимые данные неза-
висимо от размеров сети и количества серверов. Усо-
вершенствования, которые внесены в эту технологию,
по заявлениям разработчиков имеют важное стратеги-

ческое значение для сетей предприятий любых разме-
ров. В число нововведений и усовершенствований Active
Directory входит переименование домена, что позволяет
изменять DNS- и NetBIOS-имена уже зарегистрирован-
ных доменных имен в составе логической схемы лес
(forest) таким образом, что результирующий состав леса
остается синтаксически корректным.
Ðèñóíîê 4. Âëèÿíèå îáíîâëåíèÿ äîìåíîâ íà äîâåðèòåëüíûå
îòíîøåíèÿ
Также следует отметить появление в Active Directory
поддержки класса inetOrgPerson – теперь администра-
тор может использовать данную возможность для вы-
полнения миграции объектов inetOrgPerson из катало-
га LDAP в Active Directory при необходимости сравнить
содержимое Active Directory с другими каталогами LDAP
или создать объекты inetOrgPerson в Active Directory.
Ðèñóíîê 5. Ïðåèìóùåñòâà ìèãðàöèè íà ïëàòôîðìó Windows Server 2003
î÷åâèäíû, îñîáåííî åñëè âû èñïîëüçóåòå Windows NT 4.0
Windows Server 2003 является достойной альтернати-
вой Windows NT 4.0 и побуждает системных администра-
торов, избавиться от старого ПО и перейти к новому. В
качестве основного довода Microsoft приводит аргумент,
формулирующийся примерно так: пора выкинуть старое
железо под управлением Windows NT 4.0 и заменить его
новыми высокопроизводительными кластерами под уп-
равлением Windows Server 2003 – это позволит упростить
топологию сети предприятия, повысить производитель-
№11(12), ноябрь 2003
администрирование
ность и масштабируемость, а также облегчить админист-
рирование сети в общем.
Ну и самое заметное усовершенствование в Active
Directory, конечно же, повышение общей производи-
тельности. В Windows Server 2003 организовано более
эффективное управление репликацией и синхрониза-
цией содержимого Active Directory. Благодаря этому ад-
министраторам будет легче контролировать типы дан-
ных, подлежащих репликации и синхронизации между
контроллерами одного или нескольких доменов. Кроме
того, Active Directory предлагает больше возможностей
в плане интеллектуального отбора данных, подлежа-
щих репликации. Например, можно выбирать только из-
менившиеся данные, исключая необходимость обнов-
лять полностью весь каталог.
Нельзя не рассказать и о новшествах в плане Internet
Information Server (IIS), который теперь наделен порядко-
вым номером 6.0.
Теперь IIS предоставляет ряд новых функций и усо-
вершенствований, среди которых новые программные
средства, функции безопасности, новая архитектура об-
работки запросов и новые функции обеспечения быстро-
действия и масштабируемости.
Функция отслеживания состояния системы (WAP),
интегрированная в IIS 6.0, поможет вам следить за со-
стоянием рабочих процессов посредством периодичес-
кой проверки связи с ними. Естественно, цель подоб-
ных «процедур» состоит в выявлении блокировки того
или иного процесса. Если какой-либо процесс блоки-
рован, служба WAP закрывает его и взамен запускает
другой, идентичный ему процесс.
Привязка к процессорам в IIS 6.0 также играет да-
леко не последнюю роль. Каждый рабочий процесс
можно привязать к отдельному процессору, и при этом
попадания в кэш процессора (L1 или L2) происходят
чаще.
В плане безопасности в IIS 6.0 введены такие функ-
ции, как блокировка сервера, усовершенствование про-
токола SSL, интеграция так называемого паспорта
(Microsoft Passport), авторизация URL и многое другое.
Windows Server 2003 содержит значительное количе-
ство поправок и усовершенствований Active Directory, и
перечисленные выше нововведения и обновления AD –
это всего лишь маленькая доля всего, что появилось но-
вого в этой службе.
При помощи специальных служб сертификации и
средств управления сертификатами организации могут
создавать собственную инфраструктуру открытых клю-
чей (так называемую Public Key Infrastructure, PKI). Инф-
раструктура PKI позволяет администраторам внедрять
технологии обеспечения безопасности, основанные на
стандартах, (например, вход в систему с использовани-
ем смарт-карт, проверку подлинности клиентов по про-
токолам Secure Sockets Layer (SSL) и Transport Layer
Security (TLS).
Службы сертификации позволяют администраторам
создавать доверенные центры сертификации, отвеча-
ющие за выдачу и отзыв сертификатов X.509 V3. Бла-
годаря этому организации могут и не зависеть от ком-
53
 администрирование
мерческих систем проверки подлинности, даже если
такая система интегрирована в инфраструктуру откры-
тых ключей отдельной организации.
Весьма интересной возможностью, которую вы по-
лучите при миграции на Windows Server 2003 также яв-
ляется консоль управления групповой политикой, кото-
рая была задумана в качестве дополнительного компо-
нента Windows Server 2003. С ее помощью админист-
ратор может использовать групповую политику для на-
стройки параметров и определения действий пользо-
вателей и компьютеров. В отличие от локальной, груп-
повую политику можно использовать для настройки
правил, применяемых на заданном узле, в домене или
же подразделении Active Directory.
В ближайшее время Microsoft предложит пользова-
телям несколько дополнительных программных моду-
лей для обеспечения безопасности. Одним из них яв-
ляется Secure Configuration Wizard (мастер создания за-
щищенных конфигураций) – дополнительный модуль
для Windows Server 2003, помогающий автоматизиро-
вать настройку серверов с целью обеспечения макси-
мальной безопасности (с использованием функцио-
нальных ролей).
Кроме того, Microsoft расширит спектр предлагае-
мых шаблонов и рекомендаций (Patterns and Practices),
добавив к ним практические рекомендации по таким
вопросам, как инфраструктура идентификации и инф-
раструктура мобильного доступа, что поможет пользо-
вателям создавать и эксплуатировать защищенные си-
стемы на основе Windows Server 2003.
Windows Server 2003 обладает рядом новых и усо-
вершенствованных функций для создания защищенных
серверных конфигураций на платформе Windows. Бла-
годаря этим нововведениям заказчикам будет легче со-
здавать безопасные конфигурации и управлять ими. В
частности, можно будет безопасно предоставлять дос-
туп в корпоративную сеть конечным пользователям, а
также своим партнерам, поставщикам и клиентам. Ниже
перечислены некоторые функции, обеспечивающие по-
вышенную безопасность Windows Server 2003.

Значительно переработанные службы инфраструк-
туры открытых ключей (PKI) обеспечивают пользо-
вателей простой системой управления сертифика-
тами, повышающей безопасность основанных на
IPSec виртуальных частных сетей (VPN) и сетевых
коммуникаций, систем аутентификации, использую-
щих беспроводные протоколы семейства 802.1x,
процессов входа в систему с использованием мик-
ропроцессорных карточек, шифрующей файловой
системы и других служб.

Открытый защищенный протокол аутентификации
(Protected Extensible Authentication Protocol – PEAP)
предлагает средства парольной аутентификации,
призванные повысить безопасность сетевых соеди-
нений. PEAP идеально подходит пользователям, ко-
торым необходима возможность использования бес-
проводной связи, но которые не обладают ресурса-
ми, необходимыми для построения полноценной ин-
фраструктуры открытых ключей.
54

Диспетчер авторизации (Authorization Manager) обес-
печивает возможность авторизации на основе прин-
ципа прикладных ролей, упрощая системным адми-
нистраторам управление доступом конечных пользо-
вателей к веб-службам.
«А стоит ли надеяться на непроверенную надеж-
ность, в то время как уже полюбившаяся и настроен-
ная «под ключ» система работает без сбоев несколько
лет и никаких сюрпризов не преподносит?», – спросит
рядовой администратор сети, не желающий иметь лиш-
ние проблемы. Вопрос, конечно, риторический, и для
каждого на него найдется свой ответ. Но все же, если
вы как администратор гонитесь за стабильностью, бы-
стродействием и крайне высокой надежностью, а глав-
ное – исключительно личным комфортом, то переход
на Windows Server 2003 может стать праздником.
Все же обойдемся без иронии. Презентация систе-
мы, прошедшая несколько месяцев назад по всем круп-
ным городам России, прошла более чем скромно. Обус-
ловлено это было тем, что само слово «Server» уже пре-
дусматривает небольшой круг потенциально заинтере-
сованных лиц и не требует такой глобальной рекламы,
какая, например, была перед выходом Windows XP осе-
нью 2001 года.
Также не стоит строить иллюзий на предмет новой
серверной ОС от Microsoft. Было бы глупо отрицать, что
сами разработчики не предполагают выпуск как минимум
двух-трех патчей, которые должны «залатать дыры», не-
предусмотренные программистами как по части безопас-
ности, так и по части просто стабильной работы системы.
Все же есть несколько весьма впечатляющих дово-
дов в пользу Windows Server 2003, если сравнивать ее
с Windows 2000. Сразу отметим, что производитель-
ность системы в общем плане повысилась на 10-15%.
Скорость загрузки системы возросла на 20-30%. Коли-
чество ошибок стало значительно ниже, однако все же
вызывают некоторые трудности небольшие программы,
к которым мы так привыкли. Например, ICQ в некото-
рых случаях (опять же определить трудно, в каких имен-
но) подключается к серверу Mirabilis только в режиме
администратора. Пользователи же подключиться к ICQ
не могут. Эта проблема может решиться обеспечени-
ем сетевого доступа к папке, где хранится сама про-
грамма для всех пользователей. Но все же не факт, что
это поможет.
И такие проблемы встречаются далеко не с одной
ICQ. Приводить полный список в виде «программа –
ошибка» смысла не имеет.
По части игр, дорогие администраторы, тоже стоит
заметить, что играть по сети в Quake в рабочее время
не получится – подобные игры теперь просто не рабо-
тают под управлением Windows 2003. Правда, после
брожений по сетевым форумам, где «лучшие умы рос-
сийской кибернетики» пытаются «научить» Windows за-
пускать любимые игры, стало понятно, что Windows
2003 – операционная система не обязательно сервер-
ная, но и домашняя. Во всяком случае при желании она
может стать таковой.
безопасность

ЗАЩИТНИК СЕТИ

СЕРГЕЙ ЯРЕМЧУК
56
 безопасность
Главной задачей администратора является обеспечение
бесперебойной работы компьютеров и безопасности ком-
пьютерной сети. Если для малых сетей, когда компьютеры
находятся в соседних помещениях, обычно обходятся ус-
тановкой и конфигурированием firewall на маршрутизато-
ре и антивирусом на каждом компьютере, то в больших
сетях задача усложняется. Уследить за происходящим в
подопечной сети в этом случае задача уже далеко не три-
виальная и требующая совсем другого подхода. Теперь
сисадмину, чтобы не бегать по этажам в поисках неисп-
равностей, желательно иметь систему удаленного мони-
торинга компьютеров. В целях же обеспечения безопасно-
сти, кроме установки firewall, необходимо использовать
системы обнаружения вторжения, позволяющие оценить
происходящее в сети в целом, не ограничиваясь только
защитой наиболее важных компонентов сети по отдельно-
сти. И желательно, чтобы не прерывать контроля за подчи-
ненной сетью в случае остановки сервера по какой-либо
причине, установить эту систему на отдельный компьютер.
В качестве последнего вполне может подойти любой из
списанных (с подходящей мощностью, естественно).
Настройка и отладка подобных систем – задача совсем
не простая и требующая много времени и сил для поиска
и подбора необходимых компонентов и чтения докумен-
тации и сбора всего этого воедино. Поэтому хотелось бы
иметь инструмент, позволяющий установить все одним
махом с удобной и понятной настройкой. Успех операци-
онной системы Linux во многом состоит и в том, что каж-
дый может собрать дистрибутив конкретно под свои нуж-
ды, а собрав, показать, естественно, другим. Нашелся сре-
ди того большого разнообразия и удовлетворяющий по-
ставленной выше задаче. На сайте, кроме ISO-образа дистрибутива, можно най-
Шведский дистрибутив Compledge Sentinel (http:// ти исходники, документацию и несколько дополнительных
compledge.com/sentinel/) размером всего 147 Мб предназ- пакаджей. Установка особой сложности не представляет,
начен для мониторинга работы компьютеров, аудита бе- необходимо просто заполнять запрашиваемые пункты для
зопасности сетей и обнаружения вторжения в компьютер- последующей настройки, после чего просто распакуется
ные сети. То есть представьте себе отдельный компью- архив с системой. Удобно, что в отличие от большинства
тер с установленной Linux-системой, который только тем дистрибутивов, предназначенных для администратора
и занимается, что отслеживает происходящее в контро- (ClarkConnect, SmoothWall, Astaro Security Linux), програм-
лируемой сети и в случае чего сигнализирует сисадмину, ма установки позволяет разбить диск вручную (при помо-
принимает меры по недопущению распространения даль- щи cfdisk) с последующим указанием точек монтирова-
нейшей угрозы. И самое главное, так как Sentinel пред- ния, а не автоматически уничтожая при этом все данные,
ставляет собой законченное решение, поэтому и усилий что позволяет установить эту систему второй для перво-
для первоначальной настройки необходимо приложить начального ознакомления. В дальнейшем монитор с кла-
минимум. Достаточно всего лишь установить его и запус- виатурой можно отключить и получать информацию при
тить необходимые сервисы. помощи веб-интерфейса. Для осуществления задуманно-
го имеется полный комплект необходимых приложений.
Nagios (http://www.nagios.org/) представляет собой
программу удаленного системного мониторинга, позво-
ляющую отслеживать ошибки в работе серверов и сер-
висов и выдавать собранную информацию через веб-
интерфейс, в том числе и на пейджер или сотовый те-
лефон посредством SMS и WAP, есть возможность
пользователю добавлять свои программы оповещения.
Nagios позволяет производить мониторинг таких сете-
вых сервисов, как SMTP, TELNET, SSH, HTTP, DNS,
POP3, IMAP, NNTP и многих других. Кроме этого, есть
возможность добавлять свои скрипты мониторинга и
реакции на определенные события. Управлять систе-

№11(12), ноябрь 2003 57

 безопасность

мой мониторинга также можно не только локально, но

и удаленно, в том числе и с мобильного телефона че-
рез wap-интерфейс. Nagios после запуска контролиру-
ет работоспособность только локального компьютера,
для мониторинга остальных его необходимо предвари-
тельно настроить. Более подробно о настройке Nagios
читайте в статьях Андрея Бешкова [1, 2, 3].

Nagat (http://nagat.sourceforge.net/) – утилита веб-адми-

нистрирования Nagios, использующая php. В настоящее
время доступна только CVS-версия. Мне лично не очень
нравится, но многие сочтут ее более удобной, чем на-
стройка непосредственно в конфигурационных файлах.
Nessus (http://www.nessus.org) – относится к сканерам
обнаружения вторжения (remote security scanner) и при-

58
 безопасность

№11(12), ноябрь 2003 59

 безопасность
меняется для поиска уязвимостей и слабозащищенных
сервисов. Основан на части кода от другого известного
сканера портов nmap. Имеет клиент-серверную и модуль-
ную архитектуру. В качестве сервера используется Unix-
система, клиенты бывают как для Unix-машин, так и под
Windows – NessusWX (имеется в комплекте Compledge
Sentinel). Все уязвимости, о которых «знает» программа,
описываются в виде отдельных модулей на специально
разработанном для этой цели языке NASL (Nessus Attack
Scripting Language), которые можно добавлять по мере
пополнения базы модулей.
Snort (http://www.snort.org) – cетевая cистема детекти-
рования вторжения (NIDS), проверяющая сеть и выявля-
ющая попытки атак и сканирования. Распознаются рас-
пространенные попытки осуществления атак buffer
overflows, CGI attack и др., а также практически все мето-
ды сканирования и сбор «баннеров», т.е. информации о
системах (fingerprinting).
ACID – Analysis Console for Intrusion Databases (http://
www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html) пред-
ставляет собой систему на основе языка PHP, предназна-
ченную для поиска и обработки базы данных инцидентов,
замеченных при помощи программ защиты типа IDS и
firewalls (например, в нашем случае Snort и tcpdump, есть
вариант, анализирующий программы ipchains, iptables и
ipfw). Программа содержит интерфейс поиска предупреж-
дений, соответствующих фактически любым критериям,
включая время прибытия, время сигнатуры, адрес/порт
источника/адресата, флаги, полезный груз, и т. д. ACID так-
же обеспечивает способность аннотировать и логически
группировать связанные события, удалять ложные и уже
обработанные предупреждения. Все это затем выводится
в виде разнообразных статистических отчетов и графиков,
в которые могут быть включены время, датчик, сигнатура,
протокол, IP-адрес, TCP/UDP-порты, классификация и пр.
OpenMosix (http://openmosix.sourceforge.net/) – прило-
жение кластеризации для Linux, заставляющее несколь-
ко компьютеров работать как один. В комплекте
Compledge Sentinel имеется четыре перекомпилирован-
ных ядра: два из которых передназначены для систем с
одним процессором и два – для многопроцессорных сис-
тем, одно из двух ядер имеет поддержку openMosix и одно
без таковой. Необходимое ядро выбирается при установ-
ке системы и в дальнейшем используется по умолчанию.
И для обеспечения работоспособности и доступа через
веб-интерфейс для настройки вышеописанных сервисов
имеется Apache c OpenSSL, PHP и MySQL (первоначаль-
ный пароль для доступа сompledge), которые используют-
ся для хранения событий ACID и получения информации
через защищенный веб-интерфейс. При этом система вы-
дает подробнейшую информацию по дням, протоколам, уз-
лам, портам, сигнатурам и пр. Вся необходимая информа-
ция для функционирования этих сервисов – пароли, IP-ад-
реса, расположение баз данных – вводится во время уста-
новки. И поэтому в дальнейшем по конфигурационным
файлам лазить не придется, хотя для более тонкой настрой-
ки каждого сервиса все-таки придется, предварительно
ознакомившись с документацией на сайте.
Что я могу сказать напоследок. Установка и настройка
каждого из вышеописанных приложений требует больших
временных затрат и усилий, не говоря уже о необходимых
навыках, знаниях и желании этим всем заниматься. Но вре-
мя обычно на стороне нападающего. Строить защиту по
принципу «а кому это нужно» или «времени предостаточ-
но» – плохая идея. После того как компьютер будет подклю-
чен к Интернету, сразу найдутся желающие покопаться в
чужой информации. И в этой ситуации Compledge Sentinel
может прийти на выручку. Он уже практически готов к бою.
Литература:
1. Бешков А. Установка Nagios. – //Журнал «Системный
администратор» №2(3), февраль 2003 г. – 6-14 с.
2. Бешков А. Мониторинг Windows-серверов с помощью
Nagios. Часть 1. – //Журнал «Системный администра-
тор»№7(8), июль 2003 г. – 12-19 с.
3. Бешков А. Мониторинг Windows-серверов с помощью
Nagios. Часть 2. – //Журнал «Системный администра-
тор»№8(9), август 2003 г. – 12-23 с.

ВТОРОЙ СЕМИНАР
СИСТЕМНЫХ АДМИНИСТРАТОРОВ И ИНЖЕНЕРОВ SYSM.02
В середине декабря 2003 года портал SysAdmins.RU проводит второй Семинар системных администраторов и инже-
неров – SYSM.02. Первая подобная встреча проводилась в июле этого года (см. журнал «Системный администратор»
№9(10), 2003 г). При планировании SYSM.02 организаторы учитывают все позитивные и негативные моменты перво-
го Семинара. К участию приглашаются системные и сетевые администраторы, инженеры, IT-директора и аналитики,
представители прессы. На мероприятии будут обсуждаться многие проблемы IT-рынка, планирование карьеры IT-
специалистом, многие юридические аспекты и правовые вопросы, так или иначе связанные с работой системных
адмнистраторов и инженеров. Также будет проведено учредительное собрание профсоюза «Работников сферы ин-
формационных технологий». Более подробную информацию можно получить на портале SysAdmins.RU, на офици-
альном сайте Семинара http://sysm.ru и в декабрьском номере журнала.

60
безопасность

УДОБНЕЕ, ЭФФЕКТИВНЕЕ, ЛУЧШЕ:

ПАВЕЛ ЗАКЛЯКОВ

62
 безопасность
Описанный в статье [1] способ настройки IDS Snort, при Занесение данных из IDS Snort в БД
котором логи ведутся в текстовый файл, имеет как поло- Для начала мы возьмём относительно простую и свобод-
жительные моменты, так и отрицательные. Среди поло- но распространяемую БД MySQL. Её выбор обоснован
жительных моментов можно назвать простоту. С тексто- большей распространённостью среди простых БД и на-
выми файлами человек может работать «напрямую», про- личием достаточного числа литературы к ней на русском
сматривая их в текстовом редакторе, используя различ- языке [5].
ные возможности их обработки с помощью средств shell Напомню основные моменты по установке Snort (под-
и perl. Удобства очевидны: не требуются дополнительные робнее см. [1]). Как и обычно, скачиваем и ставим после-
программы и прочие утилиты. Однако если смотреть шире, дний Snort, если он не стоит:
то по мере увеличения возможностей СОА эти преиму-
щества обращаются в недостатки. Приведём один такой # wget http://www.snort.org/dl/snort-2.0.2.tar.gz
# wget http://www.snort.org/dl/snort-2.0.2.tar.gz.md5
существенный недостаток: при очень больших объёмах
логов место на диске при использовании текстовых фай- Сравниваем значения хеша, выданного командами:
лов тратится не оптимально. Многие программы пытают-
ся вести логи в своём, более компактном формате, либо # cat snort-2.0.2.tar.gz.md5
# md5sum snort-2.0.2.tar.gz
имеют такую опциональную возможность. На первый
взгляд это решает проблему размера лог-файлов, замет-
но их сокращая, но вместе с этим привносится и ряд но-
вых потенциально возможных неудобств. Вот и получает-
ся, что двоичные файлы оказываются меньше по разме-
ру, но не могут быть централизованно для всех программ Аналогично скачиваем и проверяем последние правила:
стандартизированы, а текстовые файлы не предоставля-
ют широких возможностей для их быстрого просмотра и # wget http://www.snort.org/dl/rules/snortrules-stable.tar.gz
# wget http://www.snort.org/dl/rules/snortrules-stable.tar.gz.md5
более глубокого анализа с целью обнаружения каких-то # cat snortrules-stable.tar.gz.md5
внутренних зависимостей. Вот и подумаешь исходя из # md5sum snortrules-stable.tar.gz
этого: «А зачем изобретать велосипед, не проще ли вос-
пользоваться уже какой-нибудь готовой СУБД для веде- Распаковываем скачанное куда-нибудь, например в
ния логов в неё?». Дополнительные плюсы от использо- директорию /progi/snort-2.0.2, и запускаем там конфигу-
вания СУБД очевидны: во-первых, СУБД стандартизиро- рирование с опцией --with-mysql:
вана, во-вторых, легче решается вопрос переноса дан-
ных в другую СУБД, если у неё вдруг окажутся лучшие #./configure --with-mysql
математические возможности по анализу данных. Также
в случае использования нескольких сенсоров (сбора дан- не забываем про библиотеку libpcap. Если она не стоит и
ных с нескольких узлов) с СУБД проблем не будет, а с выдаётся ошибка:
текстовыми файлами может возникнуть путаница в име-
нах лог-файлов, либо простои из-за периодических бло-
кировок одного и того же лог-файла, так как одновремен-
но данные из двух мест туда писаться не могут.
На наше счастье все эти проблемы по более компакт-
ному хранению информации, более удобному её анализу
и организации многопользовательского доступа уже ре- копируем со второго диска (RedHat v.7.3) и ставим:
шены в многопользовательских реляционных базах дан-
ных. (Под пользователями в данном случае можно пони- # rpm -ihv libpcap-0.6.2-12.i386.rpm
мать все процессы на одном или нескольких компьюте-
рах, желающие работать в один и тот же момент с БД.) Если БД MySQL у вас не установлена, то вам выдаст-
Далее мы попытаемся настроить Snort для работы с ся следующее сообщение в процессе конфигурирования:
БД MySQL и поговорим о способах просмотра записан-
ных данных. Занесение данных в БД – лишь малая часть
проблемы, можно сказать, надводная часть айсберга, а
вот «что делать с уже внесёнными данными дальше?» –
это уже вопрос, который может и не иметь однозначно
правильного ответа. Попытка дать на него ответ – это
довольно непростая задача, особенно если мы хотим сде-
лать какие-то обоснованные выводы на основе данных,
собранных с распределённой сети сенсоров. Наиболь- и вам надо будет поставить БД MySQL. RedHat 7.3 идёт с
шую сложность могут представлять попытки обнаруже- версией 3.23.49-3 и mysqlclient9-3.23.22-6. Так как более
ния в данных следов распределённых телекоммуника- новые версии данных продуктов доступны также в rpm че-
ционных атак, но об этом, скорее всего, я напишу в бу- рез up2date (или http://redhat.com/apps/support/errata/), то мы
дущих статьях. возьмём их, соответственно версии 3.23.54a-3 и 3.23.22-8.

№11(12), ноябрь 2003 63

 безопасность
Обладатели других версий Linux могут установить себе
БД самостоятельно, при этом, наверное, будет лучше ска-
чать последнюю версию прямо с сайта MySQL [6].
Решение всех возникших проблем при этом ложит-
ся на ваши плечи. Мы же пишем все нужные файлы для
MySQL в отдельную директорию и ставим их все вмес-
те, так как это проще, чем соблюдать последователь-
ность установки, дабы избежать ошибок с зависимос-
тями о необходимости установки того rpm перед этим
или после этого.
Далее, либо руками прописываем мягкие ссылки на
/etc/rc.d/init.d/mysqld в директориях /etc/rc.d/rc?.d на запуск
и останов, либо запускаем:
# chkconfig mysqld on
который делает это за нас. (Замечание: в некоторых не-
rpm поставках mysqld называется mysql.)
Далее либо перезапускаемся, либо запускаем MySQL
руками:
# /etc/rc.d/init.d/mysqld start
Далее повторно (если у вас не был установлен MySQL)
запускаем конфигурацию из директории, где у нас уста-
новлен дистрибутив Snort.
# ./configure --with-mysql
Запускаем компиляцию:
# make
И устанавливаем Snort:
# make install
Далее из snortrules-stable.tar.gz копируем правила
(файлы *.rules) в /etc/snort/rules. Остальные файлы по-
мещаем в /etc/snort. После этого редактируем /etc/snort/
snort.conf.
Точная настройка и разбор snort.conf-файла вообще
заслуживает отдельной статьи.
Основные моменты, что мы меняли в [1]:
В первом разделе это были переменные:
var HOME_NET 123.45.45.45
или для диапазона адресов:
64
var HOME_NET [10.1.1.0/24,192.168.1.0/24]
var RULE_PATH rules
Вторая и четвёртые части у нас не изменились, а в
третьей, отвечающей за вывод данных, как раз и будут
главные изменения. Там мы укажем, что необходимо вес-
ти вывод в БД MySQL.
Мы находим закомментированные строчки:
# database: log to a variety of databases
# ---------------------------------------
# See the README.database file for more information about
# configuring and using this plugin.
#
# output database: log, mysql, user=root password=test ↵
dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, unixodbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort ↵
password=test
Раскомментируем первую, нужную нам для MySQL
строчку, или сделаем её копию и укажем имя БД, пароль
и пользователя для доступа к ней, которые зададим пос-
ле. Пусть пользователь БД будет называться snort, пароль
будет ваш_пароль№1, пользоваться мы будем БД snort.
Имя нашего хоста будет localhost.
В итоге получим:
output database: log, mysql, user=snort ↵
password=âàø_ïàðîëü¹1 dbname=snort host=localhost
Как легко догадаться, БД может называться как угод-
но, пароль и имя пользователя могут быть любыми, лишь
бы они соответствовали учётным записям в БД, кото-
рые мы сейчас создадим. Также БД может быть запуще-
на и на другом компьютере, но об этом мы поговорим,
когда будем строить распределённую систему сенсоров
для обнаружения распределённых телекоммуникацион-
ных атак.
Для того чтобы делать записи в БД, нужно, чтобы в
этой самой БД существовала не только необходимая БД
с соответствующим именем, но и были созданы таблицы,
куда, собственно, и будут добавляться записи. Если мы
прочитаем файл README.database, на который есть ссыл-
ка в комментариях к строчкам выше, то оттуда мы можем
узнать, что можно вести логи не только в MySQL, кото-
рый мы выбрали вначале, но и в:

PostgreSQL;

любую unix ODBC БД;

MS SQL Server;

Oracle.
Список вполне неплохой.
Если почитать README.database внимательно, то там
будет написано практически всё, чем мы займёмся даль-
ше, правда, на английском языке.
Если БД MySQL у вас установлена впервые или вы её
ранее не настраивали, то вам в целях безопасности при-
дётся немного поднастроить её сейчас, в частности, за-
дать пароль на суперпользователя БД – root (root для
MySQL и root для системы – это разные пользователи).
Для этого подключаемся к БД от имени пользователя root:

# mysql -u root
Далее нам выдастся обычное приглашение уже самой
базы данных.
Команды следует набирать после приглашения «mysql>»:
безопасность
Это долго и неудобно, велика вероятность ошибки. По-
этому лучше воспользоваться уже готовым cписком ко-
манд, благо для популярных БД они поставляются с дист-
рибутивом Snort в директории contrib.
Нужный нам файл называется create_mysql. Мы огра-
ничимся лишь быстрым просмотром этого файла для оз-
накомления, а если у вас будет своя, уникальная БД, тог-
да вам лучше взять подобный файл и разобраться со
структурой таблиц досконально, а пока я не вижу смысла
придумывать велосипед.
Создать описанную структуру можно командой:

mysql> set password for ↵ # mysql -D snort -u root ↵

'root'@'localhost'=password('âàø_ïàðîëü¹2'); -p < /progi/snort-2.0.2/contrib/create_mysql

в ответ должно выдастся что-то вроде:
Query OK, 0 rows affected (0.39 sec)
Затем создаём БД snort (это нужно и тем, у кого MySQL
уже давно настроена):
Однако мы сделаем это немного по-другому, в инте-
рактивном режиме, чтобы было более понятно. Для этого
файл create_mysql мы помещаем в директорию, из кото-
рой будем запускать MySQL, чтобы он его видел без ука-
зания лишних путей.
Запускаем:

mysql> create database snort; # mysql -u root -p

Иногда слова CREATE DATABASE пишут заглавными
буквами, но в данном случае это не важно. Далее следу-
ет выйти из БД командой:
mysql> exit
Теперь, после того как мы установили пароль для за-
хода в БД, нам следует набирать пароль при входе в БД и
заходить уже другой командой, с лишним ключом «-p»,
говорящим о необходимости запрашивать пароль:
Введя ваш_пароль№2, в приглашении БД указыва-
ем, что мы хотим подключиться и работать с БД snort.
mysql> connect snort
После успешного подключения указываем, что нам не-
обходимо выполнить содержимое файла create_mysql, то
есть фактически создать нужную нам структуру таблиц.
mysql> source create_mysql

# mysql -u root -p В ответ на это мы должны увидеть множество строчек

вида:
на запрос пароля при входе следует вводить «ваш_па-
роль№2», заданный выше. Далее необходимо создать Query OK, 0 rows affected (0.00 sec)
пользователей, от имени которых мы будем работать с БД, Query OK, 1 row affected (0.00 sec)
задать им права на выполнение тех или иных действий,
пароли и структуру таблиц БД snort. Количество таблиц, означающих, что выполнение той или иной SQL-коман-
которые использует Snort, велико для того, чтобы зада- ды прошло успешно. В директории /var/lib/mysql/snort
вать их все вручную: должны появиться файлы, соответствующие созданным

schema таблицам.

event Далее нам необходимо создать пользователя snort, от

signature имени которого Snort будет работать с БД, задать ему па-

sig_reference роль и вручить ему права на те или иные действия с БД

reference snort. Например, на добавление новых записей в табли-

reference_system цы и пр.

sig_class Явной команды вроде adduser для добавления пользо-

sensor вателей, как в Linux, здесь нет, объясняется это тем, что

iphdr сведения о пользователях хранятся также в самой БД в

tcphdr её таблицах, поэтому при задании каких-либо атрибутов

udphdr пользователю, то есть его прав или пароля, пользователь

icmphdr автоматически вносится в БД. Именно исходя из сообра-

opt жений безопасности по доступу к таблице с данными

data пользователей мы выше ввели пароль для суперпользо-

encoding вателя БД.

detail Вручаем права пользователю snort:

№11(12), ноябрь 2003 65

 безопасность
mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE ↵ Параметр, указывающий на каком интерфейсе будет
on snort.* to snort;
слушать Snort: «-i eth0», можно опустить.
для того чтобы можно было работать с БД, локально за- Замечание: если у вас пароль, указанный в snort.conf
пускаем всё то же самое, но для snort@localhost: (ваш_пароль№1), не соответствует заданному в БД для
пользователя snort (тоже ваш_пароль№1) из-за ошибки
mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE ↵ в написании, то вам может выдасться в процессе запуска
on snort.* to snort@localhost;
Snort сообщение:
Далее, забегая вперёд, создадим ещё одного пользо-
вателя и вручим ему права только на просмотр БД. В прин- ERROR: database: mysql_error: Access denied for user:
'snort@localhost' (Using password: YES)
ципе, если этим пользователем будет php-скрипт на на-
шем компьютере, достаточно одной (второй) записи для Если вы следовали изложенному выше, у вас проблем
локального доступа. Пользователя назовём acidviewer, а быть не должно.
из прав дадим ему те же, что и выше, кроме права В случае успешного ручного запуска создаём скрипт
DELETE. для автоматизации этого процесса при загрузке компью-
тера. Скрипт назовём snortd и поместим его в /etc/rc.d/init.d:
mysql> grant CREATE,INSERT,SELECT,UPDATE ↵
on snort.* to acidviewer; #!/bin/bash
mysql> grant CREATE,INSERT,SELECT,UPDATE ↵ #
on snort.* to acidviewer@localhost; # snortd Start/Stop the snort IDS daemon.
#
# chkconfig: 2345 79 11
Теперь зададим пароли для созданных аккаунтов. Так # description: snort is a lightweight network intrusion
как информация о паролях хранится в БД mysql, а мы # detection tool that currently detects more than 1100 host
# and network vulnerabilities, portscans, backdoors, and more.
сейчас работаем с БД snort, переключимся на первую. #
# June 10, 2000 -- Dave Wreski <dave@linuxsecurity.com>
# - initial version
mysql> connect mysql #
# July 08, 2000 Dave Wreski <dave@guardiandigital.com>
# - added snort user/group
Поскольку аккаунтов для одного и того же пользова- # - support for 1.6.2
теля два, один для доступа извне, а другой с localhost,
# Source function library.
то пароли будут задаваться также два раза. Можно за- . /etc/rc.d/init.d/functions
дать разные пароли, но будет велик риск запутаться. Па-
# Specify your network interface here
роль ваш_пароль№1 используется тот, что мы указали INTERFACE=eth0
выше при редактировании файла snort.conf в третьей
# See how we were called.
секции. Пароль для acidviewer следует придумать, назо- case "$1" in
вём его ваш_пароль№3. start)
echo -n "Starting snort: "
# ifconfig eth0 up
mysql> set password for ↵ daemon /usr/local/bin/snort -o -i $INTERFACE ↵
'snort'@'localhost'=password('âàø_ïàðîëü¹1'); -d -D -c /etc/snort/snort.conf
mysql> set password for 'snort'@'%'=password('âàø_ïàðîëü¹1'); touch /var/lock/subsys/snort
mysql> set password for ↵ sleep 3
'acidviewer'@'localhost'=password('âàø_ïàðîëü¹3'); if [ -f /var/log/snort/alert ]
mysql> set password for ↵ then
'acidviewer'@'%'=password('âàø_ïàðîëü¹3'); rm /var/log/snort/alert
fi
echo
Далее сбрасываем привилегии и выходим. ;;
stop)
echo -n "Stopping snort: "
mysql> flush privileges; killproc snort
mysql> exit rm -f /var/lock/subsys/snort
echo
Сейчас Snort полностью готов для того, чтобы вести ;;
restart)
логи в созданную нами БД. $0 stop
Замечание: дотошный читатель скажет, что пользова- $0 start
;;
телю snort мы задали несколько больше привилегий, чем status)
ему это необходимо. Сделано это было специально с це- status snort
;;
лью не запутывать читателя лишней информацией и лиш- *)
ними пользователями. Поэтому два пользователя были echo "Usage: $0 {start|stop|restart|status}"
exit 1
объединены в одного и от имени snort будет работать не esac
только Snort, но и программа (скрипт), с помощью кото-
exit 0
рой мы будем просматривать БД и, возможно, редакти-
ровать её. Как раз для редактирования расширенные пра- Замечание: закомментированная строчка «ifconfig
ва и нужны. eth0 up» имеет следующий смысл: если при каких-то ус-
Пробуем запустить Snort вручную. ловиях (смена номера запуска или какой-то сбой при за-
пуске network) Snort будет запускаться до запуска сети
# /usr/local/bin/snort -o -i eth0 -d -c /etc/snort/snort.conf и поднятия интерфейса, то при её наличии ошибки не

66

будет. Повторное поднятие уже поднятого интерфейса
ошибок давать не должно. Строчку «rm /var/log/snort/alert»
и несколько соседних можно закомментировать, если вы
не хотите, чтобы у вас при запуске этот файл начинался
с нуля.
Далее, либо руками прописываем мягкие ссылки на
/etc/rc.d/init.d/snortd в директориях /etc/rc.d/rc?.d на запуск
и останов, соблюдая последовательность запуска, чтобы
Snort запускался после MySQL, например:
# ln -s /etc/rc.d/init.d/snortd /etc/rc.d/rc3.d/S79snortd
# ln -s /etc/rc.d/init.d/snortd /etc/rc.d/rc3.d/K11snortd
либо запускаем:
# chkconfig snortd on
или
# chkconfig --level 3 snortd on
(сделать ссылки только для уровня 3), который делает это
за нас.
Автоматизация этого процесса не даёт гарантии того,
что запуск Snort окажется после MySQL, а останов на-
оборот, поэтому этот момент следует проконтролировать
вручную, посмотрев, чтобы номер у S??snortd был боль-
ше, чем у S??mysqld, а номер у K??snortd был меньше,
чем у K??mysqld.
Напомню, что в дистрибутиве Snort, в директории
contrib имеется файл S99snort, аналогичный snortd.
В случае успешного выполнения вышенаписанных
действий по автоматизации процесса запуска Snort дол-
жнен запуститься либо при запуске вручную скрипта ав-
томатизации, как это будет сделано ниже, либо после
перезапуска компьютера.
В любом случае в ответ на ваши действия вы должны
увидеть зелёное ok, а на команду status вам должно вы-
даваться, что Snort выполняется.
Если это так, то половина нужного нам результата
получена, и мы смело можем переходить ко второй ча-
сти, а именно к настройке и изучению средств просмот-
ра БД snort, куда запущенный нами Snort исправно за-
писывает свои замечания о проходящем через него тра-
фике.
Просмотр содержимого БД snort
Если компьютер с установленным и правильно запущен-
ным Snort подключить к сети Интернет напрямую, то есть
с использованием реального IP-адреса, то менее чем че-
рез несколько минут в БД snort появятся новые записи.
(В последнее время львиную долю этих записей состав-
ляют ICMP-сканирования.) Появление новых записей в
БД не так наглядно для конечного пользователя, как если
бы логи велись в файл, а мы бы запустили:
№11(12), ноябрь 2003
безопасность
# tail -f èìÿ_ýòîãî_ôàéëà
для просмотра вновь появляющихся записей или:
# cat èìÿ_log_ôàéëà
для просмотра содержимого всего файла. Для работы с
БД нам необходимо наличие большего объёма знаний.
Счастлив тот, кто знает СУБД как свои пять пальцев, – он
может смело пропустить несколько абзацев ниже. Со все-
ми остальными мы попытаемся просмотреть таблицы БД
snort с помощью SQL-запросов.
Для начала нам необходимо подключиться к СУБД
MySQL. Сделать это можно как от имени суперпользо-
вателя root, так и от имени заведённых пользователей
snort и acidviewer. Выберем пользователя snort и выпол-
ним команду:
# mysql -u snort -p
В качестве пароля необходимо ввести ваш_пароль№1.
Вся последующая работа с БД ведётся с помощью
SQL-запросов. Для получения более-менее наглядного
представления о таблицах с данными мы выполним не-
сколько простых SQL-запросов. Более глубокое изуче-
ние языка запросов читатели могут выполнить самосто-
ятельно. После того как мы убедимся, что данные в таб-
лицах есть, мы перейдём к настройке средств более
удобного просмотра БД, а именно ACID. Первая коман-
да, которую мы выполним, покажет нам, какие БД име-
ются в нашей СУБД.
mysql> SHOW DATABASES;
Замечание: регистр команд не имеет значения, MySQL
обработает запрос, даже если вы смешаете регистры,
однако мы будем писать команды в верхнем регистре, как
стандарт де-факто при использовании языка SQL. Коман-
ды можно вводить в несколько строчек, концом команды
считается знак «;», а не символ перевода строки. Это
очень удобно при написании длинных команд, так как не
теряется наглядность.
В ответ на запрос мы должны увидеть табличку с тре-
мя БД: mysql, snort и test.
Выберем БД snort:
mysql> CONNECT snort;
и посмотрим, какие таблицы у нас имеются:
mysql> SHOW TABLES;
67
 безопасность
Как раз все те, которые мы создавали ранее.
Чтобы посмотреть заголовки столбцов выбранной
нами таблицы event, дадим команду:
mysql> SHOW COLUMNS FROM event;
либо
mysql> DESCRIBE event;
По интуитивным соображениям можно понять, что cid
отвечает за нумерацию событий. С помощью команды:
mysql> SELECT * FROM event WHERE cid<10;
мы можем получить список нескольких первых событий.
Полученная таблица содержит 4 столбца с заголовка-
ми, которые мы видели ранее:

sid или sensor ID – тот сенсор, с которого была получе-
на информация;

cid или ID counter – грубо говоря, номер события.

signature – номер сигнатуры, которая была обнаружена;

timestamp – временная метка, чтобы знать, когда про-
изошло событие.
68
Замечание 1: нумерация событий для разных сенсоров
не сквозная, поэтому первичным ключом в данной табли-
це являются два поля sid и cid. Это можно заметить, если
внимательно посмотреть содержимое файла create_mysql.
Замечание 2: как легко догадаться, сенсоров может
быть несколько, если получится, то этот случай мы обсу-
дим в следующих статьях.
Замечание 3: давать команду для показа всех строк
данной таблицы:
mysql> SELECT * FROM event;
не имеет смысла, так как через некоторое время число
записей в данной таблице может стать очень большим. При
этом вывод её на экран может занять несколько минут.
Чтобы понять, что такое сигнатура номер 2 или тот
номер, что будет у вас в таблице, обратимся к таблице
singature и посмотрим содержимое строки с sig_id=2;
mysql> SELECT * FROM signature WHERE sig_id=2;
Если нам не нужна лишняя информация, то мы можем
её не выводить, например, выполнив запрос только на вы-
вод содержимого полей sig_id и sig_name следующим об-
разом:
mysql> SELECT sig_id,sig_name FROM signature WHERE sig_id=2;
Как мы видим для моего случая, это «STEALTH ACTIVITY
(SYN FIN scan) detection».
Подобным образом можно просматривать все нужные
нам таблицы и получать информацию не хуже, чем если бы
мы читали текстовый файл. Используя более хитрые запро-
сы, можно выводить информацию из нескольких таблиц в
виде одной. Например, если мы хотим посмотреть несколь-
ко первых событий, как и ранее, только без столбца sid и
чтобы вместо signature выводился не номер, а сразу слова-
ми разъяснение, то есть sig_name из таблицы signature, то
команда, выполняющая это, будет выглядеть так:
mysql> SELECT event.cid,signature.sig_name,event.timestamp ↵
FROM event,signature ↵
WHERE event.signature=signature.sig_id AND cid<10;
Вот результат её выполнения.
 безопасность
Обратившись к [5], можно научиться выполнять и бо- Если вы установили правильный пароль, то при попыт-
лее виртуозные запросы. В таблице iphdr для каждого ке обращения к директории phpmyadmin веб-сервера, под-
события по его cid точно так же можно узнать IP-адрес держивающего php, должно выдасться следующее:
источника атаки и на какой адрес она была нацелена.
Моё мнение таково, что хороший системный админи-
стратор или специалист по информационной безопас-
ности должны уметь выполнять простые SQL-запросы в
командной строке, как это было описано выше. Конеч-
но, никто этого делать не заставляет, и большинство из
нас далеки от совершенства, выше было рассказано
про то, без чего по-хорошему никак не обойтись. Лю-
бая, будь то самая удобная графическая оболочка при
попытке задания более сложных запросов неминуемо
приведёт вас к написанию SQL-запросов вручную. Не-
смотря на то что язык SQL лучше знать, чем не знать,
не хотелось бы упускать из вида те инструменты, кото-
рые значительно упрощают нашу жизнь, в частности,
программу phpMyAdmin. Многих должен порадовать тот факт, что поддержива-
ется русский язык и есть выбор различных кодировок. Да-
phpMyAdmin лее, если щёлкнуть на «Базы данных», должны высве-
Для работы phpMyAdmin [8] и ACID необходимо, чтобы титься те БД, которые имеются в MySQL.
были установлены пакеты php и php-mysql, у меня это
были php-4.1.2-7.3.6 php-mysql-4.1.2-7.3.6, на 2-м и 3-м
дисках RedHat v.7.3, соответственно, имеются более ран-
ние версии.
Всё вышеизложенное по поводу просмотра БД в бо-
лее наглядной форме можно реализовать с помощью
этого продукта. Для работы Snort он не нужен, но для
более наглядного представления данных в БД считаю,
что с этим пакетом стоит познакомиться всем тем, кто
с ним не знаком.
Для начала следует сходить на сайт этой програм-
мы [8] и скачать последнюю версию с какого-нибудь зер-
кала. На момент написания статьи последней версией
была 2.5.4.
После скачивания, например [9], и проверки хеш- Щёлкая на Snort, мы выбираем эту БД и попадаем к
функции: следующему окну, где сразу видны названия тех таблиц,
которые содержатся в этой БД.
# md5sum phpMyAdmin-2.5.4-php.tar.gz

(MD5: 76fc7216aa2f132888c7173a6668af46)

содержимое архива следует поместить в папку для php-

скриптов. Если не следовать досконально файлу
Documentation.txt и закрыть глаза на некоторые вопросы
безопасности, то удобнее будет создать директорию
phpmyadmin, например, в /var/www/html и содержимое
phpMyAdmin-2.5.4, то есть всё то, что находится в архиве,
поместить туда (в /var/www/html/phpmyadmin). Далее сле-
дует внести небольшое исправление в /var/www/html/
phpmyadmin/config.inc.php в строку:

$cfg['Servers'][$i]['password'] = '';

указав там свой пароль от БД:

$cfg['Servers'][$i]['password'] = 'âàø_ïàðîëü¹2';

Остальные настройки, как host, port, user и пр., менять Щёлкая на название таблицы event слева, получаем
не стоит, так как по умолчанию всё должно работать. информацию об этой таблице:

№11(12), ноябрь 2003 69

 безопасность
Далее, внизу, SQL-запрос в окошке оставляем без
изменения и жмём кнопку «Пошёл». После чего у нас на
экран выводится содержимое нашей таблицы.
Задав себе повторно тот же, что и ранее, вопрос, а имен-
но: «Что за событие означает сигнатура номер 2?», мы мо-
жем также просто щёлкнуть на имя таблицы signature слева и
увидеть параметры этой таблицы, затем внизу, не меняя SQL-
запроса в окошке, нажав на кнопку «Пошёл», получаем со-
держимое первых 30 строк, среди которых находим нужную.
70
Соответственно, если изменить запрос, например, на:
mysql> SELECT event.cid,signature.sig_name,event.timestamp ↵
FROM event,signature ↵
WHERE event.signature=signature.sig_id AND cid<10;
мы получим тот же результат, что и ранее мы получали
через консольного клиента. Именно поэтому, какой бы
оболочка удобной ни была, следует знать SQL, так как
это основа работы с БД.
Надеюсь, что просмотр содержимого БД двумя вы-
шеописанными способами не показался вам чудовищ-
но сложным. Наоборот, я старался сделать это как мож-
но проще, чтобы от слов «БД» у вас не возникали мыс-
ли о «чёрном ящике» за семью печатями и не шли му-
рашки по коже. Надеюсь, что мне удалось убедить тех,
кто ранее не был знаком с БД, что это не есть плохо,
когда логи хранятся в БД. Их можно также легко про-
сматривать, если не сказать, что даже с большим чис-
лом удобств, чем если бы они были в обычном тексто-
вом файле.
После того как мы убедились, что наша БД содержит
информацию, попытаемся настроить специализирован-
ные и более удобные средства просмотра БД, а именно
ACID. Продвинутые читатели, если их не устроит ACID,
могут также пропустить всё, что говорится ниже, и само-
стоятельно «изобрести велосипед» не хуже. Со всеми же
остальными начнём настраивать уже готовый пакет –
ACID, поставляемый вместе с дистрибутивом Snort (в ди-
ректории contrib).
ACID
ACID [10] расшифровывается как Analysis Console for
Incident/Intrusion Databases и дословно переводится как
консоль для анализа баз данных с инцидентами/атаками/
вторжениями. В общем, для нашего случая это то, что
доктор прописал, тем более что данная программа была
разработана координационным центром CERT [11] как
часть проекта AIRCERT [12].
ACID из себя представляет набор php-cкриптов, спо-
собных выполнять различные функции, в том числе на-
чиная с формирования запросов на получение данных
из БД аналогично тому, как это мы делали ранее, и за-
канчивая декодированием пакетов с целью их более
удобного визуального восприятия и подсчётом статис-
тических данных.
Содержимое БД при этом может формироваться не
только за счёт системы обнаружения атак, но также мо-
жет пополняться данными с различных межсетевых экра-
нов и средств сетевого мониторинга.
Для того чтобы наглядно оценить удобство исполь-
зования данного средства, необходимо также иметь ка-
кой-либо из установленных веб-серверов с поддержкой
php, например, всё тот же apache. Плюс необходимо
иметь несколько дополнительных средств, нужных для
работы ACID:

ADODB [13];

JpGraph [15];

PHPlot [16];

GD [17].
 безопасность
«ADODB – это абстрактный класс доступа к базам В именах директорий gd-2.0.15, phplot-4.4.6 убираем
данных, написанный на PHP» [14]. номера версий либо делаем мягкие ссылки на эти дирек-
«Для тех, кто в танке, поясню на примере. Предполо- тории:
жим, вы написали скрипт под MySQL, и тут заказчик го-
ворит вам, что хостинг меняется, и там есть только # cd /var/www/html
# mv gd-2.0.15 gd
PostgreSQL. # mv phplot-4.4.6 phplot
Если вы не использовали класс абстрактного доступа
к базам данных, то вам пришлось бы: или

заменить весь код работы с MySQL на postgreSQL;

переписать SQL-запросы (так как есть отличия). # cd /var/www/html
# ln -s gd-2.0.15 gd
# ln -s phplot-4.4.6 phplot
Если бы вы использовали абстрактный слой досту-
па к БД, то вам скорее всего не пришлось бы менять Напоминание: для работы ACID необходимо наличие
php-код (только в одном месте указали бы, что исполь- установленных пакетов php и php-mysql (подробнее см.
зуете PostgreSQL) и изменить SQL-запросы (хотя иног- выше).
да и это не понадобилось бы). Я намеренно в этом опи- Далее следует настроить ACID на работу с нашей БД
сании использовал фразу «абстрактный класс доступа и показать ему, куда мы скопировали дополнительные па-
к БД», поскольку ADODB – не единственный подобный кеты, для этого в файле /var/www/html/acid_conf.php не-
класс. Наиболее известные конкуренты: Pear::DB и обходимо изменить переменные:
Pear::MDB» [14].
JpGraph – это графическая библиотека для PHP, зна- $DBlib_path = "../adodb";
$alert_dbname = "snort";
чительно упрощающая рисование различных графиков и $alert_user = "snort";
диаграмм, позволяющая это делать с минимумом кода. $alert_password = "âàø_ïàðîëü¹1";
$ChartLib_path = "../jpgraph";
При этом можно рисовать как черновые наброски, так и
очень точные графики, в том числе и с указанием необ- Остальные переменные проще настроить по мере не-
ходимых погрешностей. обходимости, у большинства читателей это не должно
PHPLOT – фактически то же самое, что и JpGraph, вызвать проблем, так как ACID очень дружелюбен и по-
позволяет рисовать графики. Требует наличия библио- чти всегда указывает, что и где надо править в случае,
теки GD. если ему что-то не нравится.
GD – это библиотека ANSI C, необходимая для дина- Далее обратимся по адресу: http://localhost/acid/. При
мического создания картинок. GD может создавать кар- первом запуске ACID нам сообщит, что дополнительные
тинки в различных форматах, в том числе в PNG и JPEG. таблицы, необходимые для его работы, не созданы:
(GD не поддерживает формат GIF.)
Пробежав по разделам download вышеописанных про-
дуктов, скачиваем последние стабильные версии и про-
веряем их хеши:

ACID 0.9.6b23 [18]

ADODB 3.94 [19]

JpGraph 1.13 [20]

PHPlot 4.4.6 [21]

GD 2.0.15 [22]
d8c49614393fa05ac140de349f57e438 acid-0.9.6b23.tar.gz
78aac17c7fd1d0e0f6685153facb8c36 adodb394.tgz
6ededf633b4fd054662ec123c7825fbb gd-2.0.15.tar.gz Для их создания нам необходимо нажать на «Setup
ad78bd1658e3983bb6afbc074f029698 jpgraph-1.13.tar.gz page». После чего у нас отобразится следующее окно:
8a5b34e09fa29f20e31814cbd8c0d0b5 phplot-4.4.6.tar.gz

Содержимое архивов помещаем в /var/www/html:

# tar -zxvf acid-0.9.6b23.tar.gz -C /var/www/html

# tar -zxvf adodb394.tgz -C /var/www/html
# tar -zxvf gd-2.0.15.tar.gz -C /var/www/html
# tar -zxvf phplot-4.4.6.tar.gz -C /var/www/html

Для JpGraph создаём директорию /var/www/html/jpgraph

и содержимое архивной поддиректории src из архива по-
мещаем туда.

# tar -zxvf jpgraph-1.13.tar.gz -C /var/www/html

# mkdir /var/www/html/jpgraph В котором следует нажать на кнопку «Create ACID AG».
# mv /var/www/html/jpgraph-1.13/src/* /var/www/html/jpgraph
# rm -rf /var/www/html/jpgraph-1.13 После её нажатия у нас отобразится окно:

№11(12), ноябрь 2003 71

 безопасность
В первых строчках мы можем прочитать, что в на-
шей БД (snort) дополнительно были созданы четыре таб-
лицы:

acid_ag;

acid_ag_alert;

acid_ip_cache;

acid_event.
После этого Snort готов к работе. Либо нажимаем в
конце этой страницы на «Main page», либо опять набира-
ем адрес: http://localhost/acid/.
Если у вас БД маленькая, то страница должна отобра-
зиться сразу, если же БД у вас большая, например, более
полугода, то тогда придётся подождать вплоть до несколь-
ких минут. В конце у вас должна выводиться картинка,
похожая на следующую:
Если это так, то вы правильно всё сделали.
Далее советую вам сделать два необязательных, но
полезных действия, а именно: создать ещё один адрес с
правами только для просмотра и задать пароли на доступ
для обоих.
Во время работы с БД мы уже создали необходимого
72
нам пользователя acidviewer с меньшими правами. Сей-
час мы доведём начатое до конца.
Для начала скопируем acid:
# cp -R /var/www/html/acid /var/www/html/acidviewer
Далее отредактируем файл /var/www/html/acidviewer/
acid_conf.php, заменив в нём:
$alert_user = "snort";
$alert_password = "âàø_ïàðîëü¹1";
на
$alert_user = "acidviewer";
$alert_password = "âàø_ïàðîëü¹3";
Интерфейс и кнопки по удалению записей останутся,
но при их активации будет выводиться сообщение с ошиб-
кой о том, что у пользователя недостаточно прав для уда-
ления. Создание данного аккаунта удобно тем, что вы
можете его давать вашим знакомым администраторам или
другим людям для просмотра с меньшей опасностью по-
терять записи в вашей БД. Обращаться к нему следует
http://localhost/acidviewer/, естественно, вместо localhost
следует писать ваш адрес. И второе, чтобы кто попало
через веб-интерфейс не заходил к вам на сервер и не
смотрел ваши данные в ACID, создадим пользователей с
паролями на доступ к acid и acidviewer. Для этого созда-
дим директорию, где будет храниться файл с паролями,
например /usr/lib/apache/passwords.
# mkdir /usr/lib/apache/passwords
Далее, если в этой директории у вас нет файла с па-
ролями и таких пользователей, создадим файл и пользо-
вателей. Вначале это будет пользователь admin с паро-
лем ваш_пароль№4. Пароль следует ввести после соот-
ветствующего приглашения.
# htpasswd -c /usr/lib/apache/passwords/passwords admin
Опция «-c» означает create (создать файл), указывайте
её, если у вас нет файла /usr/lib/apache/passwords/
passwords.
Далее добавим второго пользователя view с паролем
ваш_пароль№5:
# htpasswd /usr/lib/apache/passwords/passwords view
Не забудьте про необходимую безопасность для ва-
шего узла, задав соответствующие атрибуты файлу и
директории, где он лежит, чтобы файл не был доступен
любой программе и любому локальному пользователю.
Затем необходимо внести правку в /etc/httpd/conf/
httpd.conf, дописав туда следующее:
<Directory "/var/www/html/acid">
AuthType Basic
AuthName "commentline1"
AuthUserFile /usr/lib/apache/passwords/passwords
Require user admin
AllowOverride None

</Directory>
<Directory "/var/www/html/acidviewer">
AuthType Basic
AuthName "commentline2"
AuthUserFile /usr/lib/apache/passwords/passwords
Require user view
AllowOverride None
</Directory>
Замечание: следует внимательно посмотреть, в ка-
кую секцию вы дописываете эти строчки, и проследить
за другими секциями, может случиться так, что дописы-
вать их придётся несколько раз, каждый раз для своей
секции. Иначе может возникнуть ситуация, когда, напри-
мер, для http-доступа у вас пароль спрашиваться будет,
а для https – нет, или наоборот.
В переменной AuthName можно записать любую ин-
формацию, которая будет выдаваться пользователю при
запросе пароля.
После внесения изменений в конфигурационный файл
необходимо уведомить apache об этих изменениях, про-
сто перезапустив его командой:
# /etc/rc.d/init.d/httpd restart
Если после этого у вас при заходе запрашивается па-
роль (не забудьте сбросить кеш) и всё работает, то статья
удалась и можно сказать, что дальнейшее изучение ACID
лучше выполнить самостоятельно с помощью «метода на-
учного тыка», щёлкая мышкой. Графический интуитивно
понятный интерфейс не должен вызвать у вас затруднений.
№11(12), ноябрь 2003
безопасность
В следующих статьях я попробую рассказать о неко-
торых особенностях работы и настройки Snort, в частно-
сти о возможности подключения нескольких сенсоров.
Литература, ссылки:
1. П. Закляков. Обнаружение атак: теория и практика,
Snort. – //Журнал «Системный администратор»
№10(11), октябрь 2003 г. – 48-67 с.
2. Раздел документации к Snort: http://www.Snort.org/docs/
3. Snort Installation Manual on RedHat 7.3: http://
www.Snort.org/docs/Snort-rh7-mysql-ACID-1-5.pdf
4. Snort Installation Manual on RedHat 9.0: http://
www.Snort.org/docs/Snort_acid_rh9.pdf
5. Л.Аткинсон. MySQL. Библиотека профессионала: Пер.
с англ. – М.: Издательский дом «Вильямс», 2002.
6. MySQL The World’s Most Popular Open Source Database:
http://www.mysql.com/, раздел download http://
www.mysql.com/downloads/index.html
7. П.Дюбуа. Применение MySQL и Perl в Web-приложе-
ниях: Пер. с англ. – М.: Издательский дом «Вильямс»,
2002.
8. phpMyAdmin – MySQL DB administration tool: http://
www.phpmyadmin.net
9. Ссылка на одно из зеркал, откуда можно скачать
phpMyAdmin: http://unc.dl.sourceforge.net/sourceforge/
phpmyadmin/phpMyAdmin-2.5.4-php.tar.gz
10. Сайт ACID (Analysis Console for Intrusion Databases):
http://acidlab.sourceforge.net/
11. Сайт координационного центра CERT: http://
www.cert.org/
12. ACID (часть проекта AIR-CERT): http://www.cert.org/kb/
acid/
13. ADOdb Database Library for PHP: http://php.weblogs.com/
adodb
14. М.Матюхин. Абстрактный доступ к БД с помощью
ADODB, http://detail.phpclub.net/2003-08-19.htm
15. JpGraph – OO Graph Library for PHP: http://www.aditus.nu/
jpgraph/
16. PHPLOT: http://www.phplot.com/
17. GD Graphics Library: http://www.boutell.com/gd/
18. http://acidlab.sourceforge.net/acid-0.9.6b23.tar.gz
19. http://phplens.com/lens/dl/adodb394.tgz
20. http://members.chello.se/jpgraph/jpgdownloads/jpgraph-
1.13.tar.gz
21. http://ftp1.sourceforge.net/phplot/phplot-4.4.6.tar.gz
22. http://www.boutell.com/gd/http/gd-2.0.15.tar.gz
73
web

Любой действующий сайт нуждается в обновлении.

От корпоративного «интернет-представительства»
до частного фотоальбома. А значит перед любым
разработчиком возникает проблема адаптации
готовой или создания собственной системы
управления сайтом.

АНДРЕЙ УВАРОВ
ДМИТРИЙ ГОРЯИНОВ

76

Такие системы существуют в виде коммерческих и свобод-
но распространяемых «движков», такие системы создают-
ся и будут создаваться веб-разработчиками на самых раз-
личных языках программирования. Практически никогда
такие системы не создаются «за раз». Их совершенству-
ют, дорабатывают, наделяют новыми возможностями.
Говоря другими словами, проблема управления сайтом
рождает проблему обновления и сопровождения программ-
ного обеспечения. Не важно, на каком языке программи-
рования вы пишете. Вы вынуждены переделывать свой или
чужой код. Вы нарабатываете повторно используемые ре-
шения в виде модулей, классов, интерфейсов. Вы так или
иначе приходите к использованию технологии в разработ-
ке своих проектов. Вот о технологии мы и поговорим.
Fusebox – это технология создания веб-приложений, на-
чавшаяся с небольших модулей и развившаяся до приме-
нимости в средних и больших информационных системах.
Изначально Fusebox создавалась для платформы Coldfusion.
Сейчас существуют реализации для PHP, J2EE, MS ASP и
Lasso. Т.е. для её применения вам скорее всего не придется
усаживаться за изучение нового языка программирования.
Основные цели, преследуемые Fusebox:

Читаемость кода;

Структурность и законченность приложений (Applications);

Наглядность кода программ;

Упрощение проектного менеджмента;

Защищённость кодов и проекта в целом;

Утилизация кода;

Создание портативных «Partapplications».
Fusebox задумывалась как модульная технология со-
здания веб-приложений. Пространство приложения опре-
деляется (задается) каталогом на веб-сервере.
Fusebox-приложение состоит из трех основных компо-
нентов: оператор выбора (switch), обработчик события
(fuseaction) и подключаемые модули (fuse).
Оператор выбора (switch) – это своеобразный менед-
жер задач – вся работа приложения ведется через него.
Обращения к той или иной функции приложения (выбор)
осуществляется в зависимости от переданного операто-
ру значения параметра «fuseaction». Метод передачи па-
раметра определяется Fusebox автоматически. Вы може-
те передать эту переменную методом POST или в строке
запроса и быть уверенным, что ваша программа получит
передаваемое значение.
Таким образом, внутри оператора выбора описывают-
ся возможные значения параметра «fuseaction» и обра-
ботка (fuseaction) этого значения приложением: запуск со-
ответствующего кода или подключение нужного модуля
(fuse). Модуль может быть выполнимым сценарием или
просто набором страниц.
Теперь посмотрим все это на конкретном примере. В
качестве платформы для реализации используем PHP. Пред-
полагается, что у читателя установлен интерпретатор PHP.
Создайте для примера подкаталог «fuse_sample» внут-
ри корневой директории веб-сервера. Для пользователей
веб-сервера Apache (<http://httpd.apache.org>) это по
умолчанию каталог /usr/local/apache/htdocs или /var/www
(этот параметр хранится в файле настроек httpd.conf и
№11(12), ноябрь 2003
web
называется ServerRoot), а для пользователей MS-IIS
(<http://www.microsoft.com/iis>), скорее всего каталог
C:\inetpub\wwwroot.
Файлы Fusebox 3.0 for PHP: <http://www.fusebox.org/
index.cfm?&fuseaction=phpframework.default> (а так же для
других реализаций) можно получить по интернет-адресу:
< h t t p : / / w w w . f u s e b ox . o r g / i n d ex . c f m ? & f u s e a c t i o n =
framework.languages>. Выбираем нужную нам ссылку
(«Fusebox 3.0 for PHP» <http://www.fusebox.org/index.cfm?&
fuseaction=phpframework.default>). На следующей страни-
це выбираем ссылку «Download Core Files».
В индексном файле index.php описывается только одно
действие – выбирается ядро Fusebox для использования.
Нужное значение зависит от того, какую версию PHP вы
используете. Если этого не происходит, то можно выбрать
вручную, закомментировав соответствующие строки, или
переименовать файл fbx_Fusebox3.0_PHP4.0.6.php или
fbx_Fusebox3.0_PHP4.1.x.php в index.php.
Мы создадим крайне простое приложение. Оно будет
иметь нижнее навигационное меню для перемещения по
страницам. На страницах мы будем выводить идентифи-
цирующий страницу текст.
Первым делом (помните основные компоненты при-
ложения?) посмотрим на оператор-переключатель. Он
описан в файле fbx_Switch.php. Изменим его первые две
ветви («mainpage» и «Fuse-box.defaultFuseaction») на:
switch($Fusebox["fuseaction"]) {
case "mainpage":
case "Fusebox.defaultFuseaction":
include( "out_simple.php" );
break;
default: //îñòàëüíîå ñîäåðæèìîå îñòàâèì áåç èçìåíåíèé
Создадим в том же каталоге (fuse_sample) скрипт
out_simple.php следующего содержания:
<?php echo"This is main page"; ?>
Замечание: никогда не ленитесь писать «<?php» при
оформлении PHP-кода.
И скрипт out_main.php, который будет отрабатывать
по умолчанию:
<html>
<body>
<table width="50%" border="1" cellpaddin="3" ↵
cellspacing="0" align="center">
<tr>
<td colspan="0" align="center">
<h2>Sample application</h2>
</td>
</tr>
<tr>
<td width="100%" valign="top">
<?php echo $Fusebox[ "layout" ]; ?>
</td>
</tr>
<tr>
<td colspan="2">
<?php
Module( "index.php", array( "fuseaction"=>"bar.menu", ↵
"stoplayout"=>"true" ) );
?>
</td>
</tr>
</table>
</body>
</html>
77
 web
Этот пример – простая и надуманная демонстрация
работы технологии Fusebox. В реальном программирова-
нии не стоит вот так совмещать HTML- и PHP-коды. Да,
язык PHP (и не только он) это позволяет и часто это пре-
подносится как возможность быстро научиться писать
простые сценарии.
В начале статьи мы говорили о том, что одна из наших
задач – обновление и сопровождение программного обес-
печения. Так вот, подобная «мешанина» крайне сложно
читается даже через пару месяцев. А использовать такое
смешанное кодирование при групповой работе – непрос-
тительная потеря времени.
Ну и еще один довод: разделив HTML- и PHP-коды с
помощью любой системы шаблонов, мы заранее позабо-
тимся о более легкой возможности сменить дизайн сай-
та. HTML-верстальщик сможет работать именно с HTML-
частью. А от программиста не потребуется переносить все
изменения в верстке в код PHP-скриптов.
В файле fbx_Settings.php изменим первое условие на:
//In case no fuseaction was given, I'll set up one to use
//by default
if( !isset( $attributes[ "fuseaction" ] ) ) {
$attributes["fuseaction"] = "home.mainpage";
}
Этим мы определим новое значение «по умолчанию»
для параметра «fusecation».
Далее мы пропишем в файле fbx_Circuits.php (описы-
вает состав приложения) следующее:
$Fusebox["circuits"]["home"] = "fuse_sample";
$Fusebox["circuits"]["bar"] = "fuse_sample/bar";
Так мы создаём привязку к структуре каталогов нашего
приложения. Основное приложение располагается в ката-
логе «fuse_sample», а его подприложение – «fuse_sample/bar».
В файл fbx_Layouts.php пропишем:
 ôàéë fbx_Layouts.php ïðîïèøåì:
if ( $attributes["stoplayout"] ) {
$Fusebox["layoutFile"] = "";
$Fusebox["layoutDir"] = "";
} и у вас установлен модуль Rewrite, это можно сделать сле-
else {
$Fusebox["layoutFile"] = "out_main.php";
$Fusebox["layoutDir"] = "";
}
Займемся подприложением. В каталоге «fuse_sample»
создадим подкаталог «bar» и скопируем в него файлы
fbx_Settings.php, fbx_Layouts.php, fbx_Switch.php.
Сейчас наша цель – создать горизонтальное меню. Из-
меним содержимое файла fbx_Switch.php на следующее:
switch($Fusebox["fuseaction"]) {
case "mainpage":
case "Fusebox.defaultFuseaction":
echo "Bar's main page";
break;
case "menu":
$XFA[ "main" ] = "home.mainpage";
$XFA[ "bar1" ] = $Fusebox[ "thisCircuit" ] . ".bar1";
$XFA[ "bar2" ] = $Fusebox[ "thisCircuit" ] . ".bar2";
$XFA[ "bar3" ] = $Fusebox[ "thisCircuit" ] . ".bar3";
include( "out_barmenu.php" );
break;
case "bar1":
78
echo "this is content of bar1";
break;
case "bar2":
echo "this is content of bar2";
break;
case "bar3":
echo "this is content of bar3";
break;
default: //îñòàëüíîå ñîäåðæèìîå îñòàâèì áåç èçìåíåíèé
Содержимое файла fbx_Layouts.php изменим на:
$Fusebox["layoutFile"] = "";
$Fusebox["layoutDir"] = "";
И наконец, создадим сам скрипт-меню out_barmenu.php:
<?php
echo '<center><strong>';
echo '<a href="index.php?fuseaction=home.mainpage"> ↵
Main</a> | ';
echo '<a href="index.php?fuseaction='.$XFA[ "bar1" ].'"> ↵
Bar 1</a> | ';
echo '<a href="index.php?fuseaction='.$XFA[ "bar2" ].'"> ↵
Bar 2</a> | ';
echo '<a href="index.php?fuseaction='.$XFA[ "bar3" ].'"> ↵
Bar 3</a>';
echo '</strong></center>';
?>
И наше простейшее приложение готово.
В реальности все несколько сложнее, но принцип тот
же. Fusebox и его компоненты – это каркас разработки, в
него можно включать сколько угодно подчиненных при-
ложений, работающих независимо.
Так как все запросы к приложению в Fusebox соверша-
ются через один-единственный файл, то целесообразно
организовать перенаправление любых запросов пользова-
теля на него. Это нужно для предотвращения попыток из-
лишне любопытного пользователя обратиться к какому-то
элементу нашего приложения напрямую (например, ввес-
ти в адресной строке браузера http://our_site/fuse_sample/
out_main.php).
Для этого есть несколько способов. Если вы используе-
те веб-сервер Apache, имеете возможность работы с фай-
лами конфигурации доступа к директории (файлы .htaccess)
дующим образом. Создайте в каталоге вашего приложения
(fuse_sample) файл .htaccess следующего вида:
RewriteEngine on
Options +FollowSymlinks
DirectoryIndex index.php
RewriteBase /fuse_sample/
RewriteCond %{REQUEST_FILENAME} !(index.php)
RewriteRule ^(.*)$ index.php [QSA,R]
Таким образом мы перенаправим все HTTP-запросы
к подкаталогу fuse_sample на файл /fuse_sample/index.php.
Подробности о модуле Rewrite и использовании директив
перенаправления можно найти в документации к веб-сер-
веру Apache.
Подведем некоторые итоги. Применение технологии
Fusebox позволяет разработчикам вести параллельную
работу над программным продуктом, не мешая друг дру-
гу. А выделенные и наработанные в процессе модули-под-
задачи легко встраиваются в новые проекты с той же ар-
хитектурой, облегчая повторное использование кода.
образование

80

В прошлых статьях этого цикла мы рассмотрели базовый
математический аппарат, на который опираются коды Рида-
Соломона, и исследовали простейший кодер/декодер, спо-
собный исправлять одиночные ошибки и работающий с дву-
мя символами четности. Для подавляющего большинства
задач такой корректирующей способности оказывается ка-
тастрофически недостаточно, и тогда приходится задумы-
ваться о реализации более мощного кодера/декодера.
Кодер/декодер, рассматриваемый в настоящей статье,
чрезвычайно конфигурабелен и может быть настроен на
работу с любым количеством символов четности, а это
означает, что при разумной избыточности он способен ис-
правлять любое мыслимое количество ошибок. Подобная
универсальность не проходит даром, и конструкция тако-
го декодера усложнятся более чем в сто (!) раз. Самосто-
ятельное проектирование декодеров Рида-Соломона тре-
бует глубоких знаний высшей математики в целом и при-
роды корректирующих кодов в частности, поэтому не сму-
щайтесь, если данная статья поначалу вам покажется не-
понятной. Это действительно сложные вещи, не допуска-
ющие простого объяснения.
С другой стороны, для практического использования
корректирующих кодов можно и не вникать в их сущность,
просто откомпилировав исходные тексты кодера/декоде-
ра Рида-Соломона, приведенные в данной статье. Также
вы можете воспользоваться любой законченной библио-
текой, поставляемой сторонними разработчиками. В каче-
стве альтернативного примера в заключение этой статьи
будет кратно описан интерфейс библиотеки ElByECC.DLL,
разработанной компанией «Elaborate Bytes» и распрост-
раняемой вместе с популярным копировщиком Clone CD.
Известнейший прожигатель дисков всех времен и наро-
дов Ahead Burning ROM имеет аналогичную библиотеку,
размещенную в файле NEWTRF.DLL.
Легенда
Напомним читателю основные условные обозначения, ис-
пользуемые в этой статье. Количество символов кодируе-
мого сообщения (называемого также информационным
словом) по общепринятому соглашению обозначается бук-
вой k; полная длина кодового слова, включающего в себя
кодируемые данные и символы четности, – n. Отсюда, ко-
личество символов четности равно: n – k. За максималь-
ным количеством исправляемых ошибок «закреплена» бук-
ва t. Поскольку для исправления одной ошибки требуется
два символа четности, общее количество символов четно-
сти равно 2t. Выражение RS(n, k) описывает определен-
ную разновидность корректирующих кодов Рида-Соломо-
на, оперирующую с n-символьными блоками, k-символов,
из которых представляют полезные данные, а все осталь-
ные задействованы под символы четности.
Полином, порожденный на основе примитивного чле-
на α, называется порожденным или сгенерированным
(generate) полиномом.
Кодировщик (encoder)
Существует по меньшей мере два типа кодеров Рида-
Соломона: несистематические и систематические коди-
ровщики.
№11(12), ноябрь 2003
образование
Вычисление несистематических корректирующих ко-
дов Рида-Соломона осуществляется умножением инфор-
мационного слова на порожденный полином, в результа-
те чего образуется кодовое слово, полностью отличаю-
щееся от исходного информационного слова, а потому для
непосредственного употребления категорически непри-
годное. Для приведения полученных данных в исходный
вид мы должны в обязательном порядке выполнить ре-
сурсоемкую операцию декодирования, даже если данные
не искажены и не требуют восстановления!
При систематическом кодировании, напротив, исход-
ное информационное слово останется неизменным, а
корректирующие коды (часто называемые символами
четности) добавляются в его конец, благодаря чему к
операции декодирования приходится прибегать лишь в
случае действительного разрушения данных. Вычисле-
ние несистематических корректирующих кодов Рида-
Соломона осуществляется делением информационно-
го слова на порожденный полином. При этом все сим-
волы информационного слова сдвигаются на n – k байт
влево, а на освободившееся место записывается 2t байт
остатка (см. рис. 1).
Поскольку рассмотрение обоих типов кодировщиков
заняло бы слишком много места, сосредоточим свое вни-
мание на одних лишь систематических кодерах как на
наиболее популярных.
Ðèñóíîê 1. Óñòðîéñòâî êîäîâîãî ñëîâà
Архитектурно кодировщик представляет собой сово-
купность сдвиговых регистров (shift registers), объединен-
ных посредством сумматоров и умножителей, функцио-
нирующих по правилам арифметики Галуа. Сдвиговый
регистр (иначе называемый регистром сдвига) представ-
ляет последовательность ячеек памяти, называемых раз-
рядами, каждый из которых содержит один элемент поля
Галуа GF(q). Содержащийся в разряде символ, покидая
этот разряд, «выстреливается» на выходную линию. Од-
новременно с этим разряд «засасывает» символ, находя-
щийся на его входной линии. Замещение символов про-
исходит дискретно, в строго определенные промежутки
времени, называемые тактами.
При аппаратной реализации сдвигового регистра его
элементы могут быть объединены как последовательно,
так и параллельно. При последовательном объединении
пересылка одного m-разрядного символа потребуем m-
тактов, в то время как при параллельном она осуществ-
ляется всего за один такт.
Низкая эффективность программных реализаций ко-
деров Рида-Соломона объясняется тем, что разработчик
не может осуществлять параллельное объединение эле-
ментов сдвигового регистра и вынужден работать с той
шириной разрядности, которую «навязывает» архитекту-
ра данной машины. Однако создать 4-элементный 8-бит-
ный регистр сдвига параллельного типа на процессорах
семейства IA32 вполне реально.
81
 образование
Цепи, основанные на регистрах сдвига, обычно на-
зывают фильтрами. Блок-схема фильтра, осуществляю-
щего деление полинома на константу, приведена на
рис. 2. Пусть вас не смущает тот факт, что деление реа-
лизуется посредством умножения и сложения. Данный
прием базируется на вычислении системы двух рекур-
рентных равенств:
Ôîðìóëà 1. Äåëåíèå ïîëèíîìà íà êîíñòàíòó ïîñðåäñòâîì óìíî-
æåíèÿ è ñëîæåíèÿ
Здесь: Q(r)(x) и R(r)(x) – соответственно частное и ос-
таток на r-шаге рекурсии. Поскольку сложение и вы-
читание, выполняемое по модулю два, тождественны
друг другу, для реализации делителя нам достаточно
иметь всего два устройства – устройство сложения и
устройство умножения, а без устройства вычитания
можно обойтись.
После n-сдвигов на выходе регистра появляется част-
ное, а в самом регистре окажется остаток, который и пред-
ставляет собой рассчитанные символы четности (они же –
коды Рида-Соломона), а коэффициенты умножения с g0
по g(2t – 1) напрямую соответствуют коэффициентам ум-
ножения порожденного полинома.
Ðèñóíîê 2. Óñòðîéñòâî ïðîñòåéøåãî êîäåðà Ðèäà-Ñîëîìîíà
Простейший пример программной реализации такого
фильтра приведен ниже. Это законченный кодер Рида-
Соломона, вполне пригодный для практического исполь-
зования. Конечно, при желании его можно было бы и улуч-
шить, но тогда неизбежно пострадала бы наглядность и
компактность листинга.
Ëèñòèíã 1. Èñõîäíûé òåêñò ïðîñòåéøåãî êîäåðà Ðèäà-Ñîëîìîíà
/*--------------------------------------------------------
* ется в громоздкий, запутанный и чрезвычайно ненагляд-
* êîäèðîâùèê Ðèäà-Ñîëîìîíà
* ========================
* ширных знаний во многих областях высшей математики.
* êîäèðóåìûå äàííûå ïåðåäàþòñÿ ÷åðåç ìàññèâ data[i],
* ãäå i=0..(k-1), à ñãåíåðèðîâàííûå ñèìâîëû ÷åòíîñòè
* çàíîñÿòñÿ â ìàññèâ b[0]..b[2*t-1].
* Èñõîäíûå è ðåçóëüòèðóþùèå äàííûå äîëæíû áûòü ïðåäñòàâëåíû
* â ïîëèíîìèàëüíîé ôîðìå (ò.å. â îáû÷íîé ôîðìå ìàøèííîãî
* ïðåäñòàâëåíèÿ äàííûõ).
* Êîäèðîâàíèå ïðîèçâîäèòñÿ ñ èñïîëüçîâàíèåì ñäâèãîâîãî
* feedback-ðåãèñòðà, çàïîëíåííîãî ñîîòâåòñòâóþùèìè ýëåìåíòàìè
* ìàññèâà g[] ñ ïîðîæäåííûì ïîëèíîìîì âíóòðè, ïðîöåäóðà
* ãåíåðàöèè êîòîðîãî óæå îáñóæäàëàñü â ïðåäûäóùåé ñòàòüå.
* Ñãåíåðèðîâàííîå êîäîâîå ñëîâî îïèñûâàåòñÿ ñëåäóþùåé
* ôîðìóëîé:
* ñ(x) = data(x)*x(n-k) + b(x)
* горитма;
82
* íà îñíîâå èñõîäíûõ òåêñòîâ
* Simon Rockliff, îò 26.06.1991,
* ðàñïðîñòðàíÿåìûõ ïî ëèöåíçèè GNU
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––*/
encode_rs()
{
int i, j;
int feedback;
// èíèöèàëèçèðóåì ïîëå áèò ÷åòíîñòè íóëÿìè
for (i = 0; i < n - k; i++) b[i] = 0;
// îáðàáàòûâàåì âñå ñèìâîëû
// èñõîäíûõ äàííûõ ñïðàâà íàëåâî
for (i = k - 1; i >= 0; i--)
{
// ãîòîâèì (data[i] + b[n – k –1]) ê óìíîæåíèþ
// íà g[i], ò.å. ñêëàäûâàåì î÷åðåäíîé «çàõâà÷åííûé»
// ñèìâîë èñõîäíûõ äàííûõ ñ ìëàäøèì ñèìâîëîì áèòîâ
// ÷åòíîñòè (ñîîòâåòñòâóþùåãî «ðåãèñòðó» b2t-1,
// ñì. ðèñ. 2) è ïåðåâîäèì åãî â èíäåêñíóþ ôîðìó,
// ñîõðàíÿÿ ðåçóëüòàò â ðåãèñòðå feedback, êàê ìû
// óæå ãîâîðèëè, ñóììà äâóõ èíäåêñîâ åñòü
// ïðîèçâåäåíèå ïîëèíîìîâ
feedback = index_of[data[i] ^ b[n – k - 1]];
// åñòü åùå ñèìâîëû äëÿ îáðàáîòêè?
if (feedback != -1)
{
// îñóùåñòâëÿåì ñäâèã öåïè bx-ðåãèñòðîâ
for (j=n-k-1; j>0; j--)
// åñëè òåêóùèé êîýôôèöèåíò g –
// ýòî äåéñòâèòåëüíûé (ò.å. íåíóëåâîé
// êîýôôèöèåíò, òî óìíîæàåì feedback
// íà ñîîòâåòñòâóþùèé g-êîýôôèöèåíò
// è ñêëàäûâàåì åãî ñî ñëåäóþùèì
// ýëåìåíòîì öåïî÷êè
if (g[j]!=-1) ↵
b[j]=b[j-1]^alpha_to[(g[j]+feedback)%n];
else
// åñëè òåêóùèé êîýôôèöèåíò g –
// ýòî íóëåâîé êîýôôèöèåíò,
// âûïîëíÿåì îäèí ëèøü ñäâèã
// áåç óìíîæåíèÿ, ïåðåìåùàÿ ñèìâîë
// èç îäíîãî m-ðåãèñòðà â äðóãîé
b[j] = b[j-1];
// çàêîëüöîâûâàåì âûõîäÿùèé ñèìâîë â êðàéíèé
// ëåâûé b0-ðåãèñòð
b[0] = alpha_to[(g[0]+feedback)%n];
}
else
{ // äåëåíèå çàâåðøåíî,
// îñóùåñòâëÿåì ïîñëåäíèé ñäâèã ðåãèñòðà,
// íà âûõîäå ðåãèñòðà áóäåò ÷àñòíîå, êîòîðîå
// òåðÿåòñÿ, à â ñàìîì ðåãèñòðå – èñêîìûé
// îñòàòîê
for (j = n-k-1; j>0; j--) b[j] = b[j-1] ;
b[0] = 0;
}
}
}
Декодер (decoder)
Декодирование кодов Рида-Соломона представляет со-
бой довольно сложную задачу, решение которой вылива-
ный программный код, требующий от разработчика об-
Типовая схема декодирования, получившая название ав-
торегрессионого спектрального метода декодирования,
состоит из следующих шагов:

вычисления синдрома ошибки (синдромный декодер);

построения полинома ошибки, осуществляемое либо
посредством высокоэффективного, но сложно реа-
лизуемого алгоритма Берлекэмпа-Месси, либо по-
средством простого, но медленного Евклидового ал-


нахождения корней данного полинома, обычно реша-
ющееся лобовым перебором (алгоритм Ченя);

определения характера ошибки, сводящееся к пост-
роению битовой маски, вычисляемой на основе обра-
щения алгоритма Форни или любого другого алгорит-
ма обращения матрицы;

наконец, исправления ошибочных символов путем на-
ложения битовой маски на информационное слово и
последовательного инвертирования всех искаженных
бит через операцию XOR.
Следует отметить, что данная схема декодирования не
единственная и, вероятно, даже не самая лучшая, но зато
универсальная. Всего же существует около десятка раз-
личных схем декодирования абсолютно не похожих друг
на друга и выбираемых в зависимости от того, какая часть
декодера реализуется программно, а какая аппаратно.
Ðèñóíîê 3. Ñõåìà àâòîðåãðåññèîííîãî ñïåêòðàëüíîãî äåêîäåðà
êîððåêòèðóþùèõ êîäîâ Ðèäà-Ñîëîìîíà
Синдромный декодер
Грубо говоря, синдром есть остаток деления декоди-
руемого кодового слова c(x) на порожденный полином
g(x), и, если этот остаток равен нулю, кодовое слово счи-
тается неискаженным. Ненулевой остаток свидетельству-
ет о наличии по меньшей мере одной ошибки. Остаток от
деления дает многочлен, не зависящий от исходного со-
общения и определяемый исключительно характером
ошибки (syndrome – греческое слово, обозначающее со-
№11(12), ноябрь 2003
образование
вокупность признаков и/или симптомов, характеризующих
заболевание).
Принятое кодовое слово v с компонентами vi = ci + ei,
где i = 0, … n – 1, представляет собой сумму кодового
слова c и вектора ошибок e. Цель декодирования состо-
ит в очистке кодового слова от вектора ошибки, описы-
ваемого полиномом синдрома и вычисляемого по фор-
муле Sj = v(α j + j0 – 1), где j изменяется от 1 до 2t, а α пред-
ставляет собой примитивный член «альфа», который мы
уже обсуждали в предыдущей статье. Да, мы снова вы-
ражаем функцию деления через умножение, поскольку де-
ление – крайне неэффективная в смысле производитель-
ности операция.
Блок-схема устройства, осуществляющего вычисле-
ние синдрома, приведена на рис. 4. Как видно, она пред-
ставляет собой типичный фильтр (сравните ее со схе-
мой рис. 2), а потому ни в каких дополнительных пояс-
нениях не нуждается.
Ðèñóíîê 4. Áëîê-ñõåìà öåïè âû÷èñëåíèÿ ñèíäðîìà
Вычисление синдрома ошибки происходит итератив-
но, так что вычисление результирующего полинома (так-
же называемого ответом от английского «answer») завер-
шается непосредственно в момент прохождения после-
днего символа четности через фильтр. Всего требуется
2t циклов «прогона» декодируемых данных через
фильтр, – по одному прогону на каждый символ резуль-
тирующего полинома.
Пример простой программной реализации синдромно-
го декодера содержится в листинге 2, и он намного на-
гляднее его словесного описания.
Полином локатора ошибки
Полученный синдром описывает конфигурацию ошибки,
но еще не говорит нам, какие именно символы получен-
ного сообщения были искажены. Действительно, степень
синдромного полинома, равная 2t, много меньше степе-
ни полинома сообщения, равной n, и между их коэффи-
циентами нет прямого соответствия. Полином, коэффи-
циенты которого напрямую соответствуют коэффициен-
там искаженных символов, называется полиномом ло-
катора ошибки и по общепринятому соглашению обозна-
чается греческой буквой Λ (лямбда).
Если количество искаженных символов не превышает t,
между синдромом и локатором ошибки существует сле-
дующее однозначное соответствие, выражаемое следу-
ющей формулой НОД[xn-1, E(x)] = Λ(x), и вычисление ло-
катора сводится к задаче нахождения наименьшего об-
щего делителя, успешно решенной еще Евклидом и эле-
ментарно реализуемой как на программном, так и на ап-
паратном уровне. Правда, за простоту реализации нам
83
 образование
приходится расплачиваться производительностью, точнее
непроизводительностью данного алгоритма, и на практи-
ке обычно применяют более эффективный, но и более
сложный для понимания алгоритм Берлекэмпа-Месси
(Berlekamp-Massy), подробно описанный Кнутом во вто-
ром томе «Искусства программирования» (см. также «Те-
ория и практика кодов, контролирующих ошибки» Блей-
хута) и сводящийся к задаче построения цепи регистров
сдвига с линейной обратной связью и по сути своей явля-
ющегося разновидностью авторегрессионого фильтра,
множители в векторах которого и задают полином Λ.
Декодер, построенный по такому алгоритму, требует
не более 3t операций умножения в каждой из итерации,
количество которых не превышает 2t. Таким образом,
решение поставленной задачи укладывается всего в 6t2
операций умножения. Фактически поиск локатора сводит-
ся к решению системы из 2t уравнений – по одному урав-
нению на каждый символ синдрома – c t неизвестными.
Неизвестные члены и есть позиции искаженных симво-
лов в кодовом слове v. Легко видеть, если количество
ошибок превышает t, система уравнений становится не-
разрешима и восстановить разрушенную информацию в
этом случае не представляется возможным.
Блок-схема алгоритма Берлекэмпа-Месси приведена
на рис. 5, а его законченная программа реализация со-
держится в листинге 2.
Ðèñóíîê 5. Ñòðóêòóðíàÿ ñõåìà àëãîðèòìà Áåðëåêýìïà-Ìåññè
Корни полинома
Коль скоро полином локатора ошибки нам известен, его
корни определяют местоположение искаженных симво-
лов в принятом кодовом слове. Остается эти корни най-
ти. Чаще всего для этого используется процедура Ченя
84
(Chien search), аналогичная по своей природе обратному
преобразованию Фурье и фактически сводящаяся к ту-
пому перебору (brute force, exhaustive search) всех воз-
можных вариантов. Все 2m возможных символов один за
другим подставляются в полином локатора в порядке со-
циалистической очереди и затем выполняется расчет по-
линома. Если результат обращается в ноль – считается,
что искомые корни найдены.
Восстановление данных
Итак, мы знаем, какие символы кодового слова искаже-
ны, но пока еще не готовы ответить на вопрос: как имен-
но они искажены. Используя полином синдрома и корни
полинома локатора, мы можем определить характер раз-
рушений каждого из искаженных символов. Обычно для
этой цели используется алгоритм Форни (Forney), состо-
ящий из двух стадий: сначала путем свертки полинома
синдрома полиномом локатора Λ мы получаем некото-
рый промежуточный полином, условно обозначаемый
греческой буквой Ω. Затем на основе Ω-полинома вычис-
ляется нулевая позиция ошибки (zero error location), ко-
торая в свою очередь делится на производную от Λ-по-
линома. В результате получается битовая маска, каж-
дый из установленных битов которой соответствует ис-
каженному биту и для восстановления кодового слова в
исходный вид все искаженные биты должны быть инвер-
тированы, что осуществляется посредством логической
операции XOR.
На этом процедура декодирования принятого кодово-
го слова считается законченной. Остается отсечь n – k
символов четности, и полученное информационное сло-
во готово к употреблению.
Исходный текст декодера
Ниже приводится исходный текст полноценного декоде-
ра Рида-Соломона, снабженный минимально разумным
количеством комментариев. К сожалению, в рамках жур-
нальной статьи подробное комментирование кода деко-
дера невозможно, поскольку потребовало бы очень мно-
го места.
При возникновении трудностей в анализе этого лис-
тинга обращайтесь к блок-схемам, приведенным на рис. 3,
4 и 5 – они помогут.
Ëèñòèíã 2. Èñõîäíûé òåêñò ïðîñòåéøåãî äåêîäåðà Ðèäà-Ñîëîìîíà
/*--------------------------------------------------------
*
* äåêîäåð Ðèäà-Ñîëîìîíà
* =====================
*
* Ïðîöåäóðà äåêîäèðîâàíèÿ êîäîâ Ðèäà-Ñîëîìîíà ñîñòîèò
* èç íåñêîëüêèõ øàãîâ: ñíà÷àëà ìû âû÷èñëÿåì 2t-ñèìâîëüíûé
* ñèíäðîì ïóòåì ïîñòàíîâêè alpha**i â recd(x), ãäå recd –
* ïîëó÷åííîå êîäîâîå ñëîâî, ïðåäâàðèòåëüíî ïåðåâåäåííîå
* â èíäåêñíóþ ôîðìó. Ïî ôàêòó âû÷èñëåíèÿ recd(x) ìû çàïèñûâàåì
* î÷åðåäíîé ñèìâîë ñèíäðîìà â s[i], ãäå i ïðèíèìàåò çíà÷åíèå
* îò 1 äî 2t, îñòàâëÿÿ s[0] ðàâíûì íóëþ. Çàòåì, èñïîëüçóÿ
* èòåðàòèâíûé àëãîðèòì Áåðëåêýìïà, ìû íàõîäèì ïîëèíîì ëîêàòîðà
* îøèáêè – elp[i]. Åñëè ñòåïåíü elp ïðåâûøàåò ñîáîé âåëè÷èíó
* t, ìû áåññèëüíû ñêîððåêòèðîâàòü âñå îøèáêè è îãðàíè÷èâàåìñÿ
* âûâîäîì ñîîáùåíèÿ î íåóñòðàíèìîé îøèáêå, ïîñëå ÷åãî
* ñîâåðøàåì àâàðèéíûé âûõîä èç äåêîäåðà. Åñëè æå ñòåïåíü elp
* íå ïðåâûøàåò t, ìû ïîäñòàâëÿåì alpha**i, ãäå i = 1..n â elp
* äëÿ âû÷èñëåíèÿ êîðíåé ïîëèíîìà. Îáðàùåíèå íàéäåííûõ
* êîðíåé äàåò íàì ïîçèöèè èñêàæåííûõ ñèìâîëîâ.
 образование
* Åñëè êîëè÷åñòâî îïðåäåëåííûõ ïîçèöèé èñêàæåííûõ ñèìâîëîâ elp[1][i] = 0; // ïîëèíîìèàëüíàÿ ôîðìà
* ìåíüøå ñòåïåíè elp, èñêàæåíèþ ïîäâåðãëîñü áîëåå ÷åì t }
* ñèìâîëîâ è ìû íå ìîæåì âîññòàíîâèòü èõ. Âî âñåõ îñòàëüíûõ
* ñëó÷àÿõ âîññòàíîâëåíèå îðèãèíàëüíîãî ñîäåðæèìîãî èñêàæåííûõ l[0] = 0; l[1] = 0; u_lu[0] = -1; u_lu[1] = 0; u = 0;
* ñèìâîëîâ âïîëíå âîçìîæíî.  ñëó÷àå, êîãäà êîëè÷åñòâî îøèáîê
* çàâåäîìî âåëèêî, äëÿ èõ èñïðàâëåíèÿ äåêîäèðóåìûå ñèìâîëû do
* ïðîõîäÿò ñêâîçü äåêîäåð áåç êàêèõ-ëèáî èçìåíåíèé. {
* u++;
* íà îñíîâå èñõîäíûõ òåêñòîâ if (d[u] == -1)
* Simon Rockliff, îò 26.06.1991, {
* ðàñïðîñòðàíÿåìûõ ïî ëèöåíçèè GNU l[u + 1] = l[u];
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––*/ for (i = 0; i <= l[u]; i++)
decode_rs() {
{ elp[u+1][i] = elp[u][i];
int i, j, u, q; elp[u][i] = index_of ↵
int s[n-k+1]; // ïîëèíîì ñèíäðîìà îøèáêè [elp[u][i]];
int elp[n – k + 2][n - k]; // ïîëèíîì ëîêàòîðà îøèáêè }
// ëÿìáäà }
int d[n-k+2]; else
int l[n-k+2]; {
int u_lu[n-k+2], // ïîèñê ñëîâ ñ íàèáîëüøèì u_lu[q],
// òàêèõ ÷òî d[q]!=0
int count=0, syn_error=0, root[t], loc[t], z[t+1], ↵ q = u - 1;
err[n], reg[t+1]; while ((d[q] == -1) && (q>0)) q--;
// ïåðåâîäèì ïîëó÷åííîå êîäîâîå ñëîâî â èíäåêñíóþ ôîðìó // íàéäåí ïåðâûé íåíóëåâîé d[q]
// äëÿ óïðîùåíèÿ âû÷èñëåíèé if (q > 0)
for (i = 0; i < n; i++) recd[i] = index_of[recd[i]]; {
j=q ;
// âû÷èñëÿåì ñèíäðîì do
//----------------------------------------------------- {
for (i = 1; i <= n - k; i++) j-- ;
{ if ((d[j]!=-1) && ↵
s[i] = 0; // èíèöèàëèçàöèÿ s-ðåãèñòðà (u_lu[q]<u_lu[j]))
// (íà åãî âõîä ïî óìîë÷àíèþ q = j ;
// ïîñòóïàåò íîëü) } while (j>0);
};
// âûïîëíÿåì s[i] += recd[j]*ij
// ò.å. áåðåì î÷åðåäíîé ñèìâîë äåêîäèðóåìûõ äàííûõ, // êàê òîëüêî ìû íàéäåì q, òàêîé ÷òî d[u]!=0
// óìíîæàåì åãî íà ïîðÿäêîâûé íîìåð äàííîãî // è u_lu[q] åñòü ìàêñèìóì
// ñèìâîëà, óìíîæåííûé íà íîìåð î÷åðåäíîãî îáîðîòà // çàïèøåì ñòåïåíü íîâîãî elp ïîëèíîìà
// è ñêëàäûâàåì ïîëó÷åííûé ðåçóëüòàò ñ ñîäåðæèìûì if (l[u] > l[q]+u-q) l[u+1] = l[u]; else ↵
// s-ðåãèñòðà ïî ôàêòó èñ÷åðïàíèÿ âñåõ äåêîäèðóåìûõ l[u+1] = l[q]+u-q;
// ñèìâîë, ìû ïîâòîðÿåì âåñü öèêë âû÷èñëåíèé îïÿòü –
// ïî îäíîìó ðàçó äëÿ êàæäîãî ñèìâîëà ÷åòíîñòè
for (j=0; j<n; j++) if (recd[j]!=-1) ↵ // ôîðìèðóåì íîâûé elp(x)
s[i]^= alpha_to[(recd[j]+i*j)%n]; for (i = 0; i < n - k; i++) elp[u+1][i] = 0;
for (i = 0; i <= l[q]; i++)
if (s[i]!=0) syn_error=1; // åñëè ñèíäðîì if (elp[q][i]!=-1)
// íå ðàâåí íóëþ, elp[u+1][i+u-q]=alpha_to ↵
// âçâîäèì ôëàã [(d[u]+n-d[q]+elp[q][i])%n];
// îøèáêè
for (i=0; i<=l[u]; i++)
// ïðåîáðàçóåì ñèíäðîì èç ïîëèíîìèàëüíîé ôîðìû {
// â èíäåêñíóþ elp[u+1][i] ^= elp[u][i];
s[i] = index_of[s[i]];
} // ïðåîáðàçóåì ñòàðûé elp
// â èíäåêñíóþ ôîðìó
// êîððåêöèÿ îøèáîê elp[u][i] = index_of[elp[u][i]];
//----------------------------------------------------- }
if (syn_error) // åñëè åñòü îøèáêè, ïûòàåìñÿ }
// èõ ñêîððåêòèðîâàòü u_lu[u+1] = u-l[u+1];
{
// ôîðìèðóåì (u + 1) íåâÿçêó
// âû÷èñëåíèå ïîëèíîìà ëîêàòîðà ëÿìáäà //----------------------------------------------
//---------------------------------------------- if (u < n-k) // íà ïîñëåäíåé èòåðàöèè ðàñõîæäåíèå
// âû÷èñëÿåì ïîëèíîì ëîêàòîðà îøèáêè ÷åðåç { // íå áûëî îáíàðóæåíî
// èòåðàòèâíûé àëãîðèòì Áåðëåêýìïà. Ñëåäóÿ
// òåðìèíîëîãèè Lin and Costello (ñì. "Error if (s[u + 1]!=-1) d[u+1] = alpha_to[s[u+1]]; ↵
// Control Coding: Fundamentals and Applications" else d[u + 1] = 0;
// Prentice Hall 1983 ISBN 013283796) d[u]
// ïðåäñòàâëÿåò ñîáîé µ («ìþ»), âûðàæàþùóþ for (i = 1; i <= l[u + 1]; i++)
// ðàñõîæäåíèå (discrepancy), ãäå u = µ + 1 è µ if ((s[u + 1 - i] != -1) && ↵
// åñòü íîìåð øàãà èç äèàïàçîíà îò –1 äî 2t. (elp[u + 1][i]!=0))
// Ó Áëåéõóòà òà æå ñàìàÿ âåëè÷èíà îáîçíà÷àåòñÿ d[u+1] ^= alpha_to[(s[u+1-i] ↵
// ∆(x) («äåëüòà») è íàçûâàåòñÿ íåâÿçêîé. +index_of[elp[u+1][i]])%n];
// l[u] ïðåäñòàâëÿåò ñîáîé ñòåïåíü elp äëÿ äàííîãî
// øàãà èòåðàöèè, u_l[u] ïðåäñòàâëÿåò ñîáîé // ïåðåâîäèì d[u+1] â èíäåêñíóþ ôîðìó
// ðàçíèöó ìåæäó íîìåðîì øàãà è ñòåïåíüþ elp, d[u+1] = index_of[d[u+1]];
// èíèöèàëèçèðóåì ýëåìåíòû òàáëèöû }
d[0] = 0; // èíäåêñíàÿ ôîðìà } while ((u < n-k) && (l[u+1]<=t));
d[1] = s[1]; // èíäåêñíàÿ ôîðìà
elp[0][0] = 0; // èíäåêñíàÿ ôîðìà // ðàñ÷åò ëîêàòîðà çàâåðøåí
elp[1][0] = 1; // ïîëèíîìèàëüíàÿ ôîðìà //-----------------------------------------------------
u++ ;
for (i = 1; i < n - k; i++) if (l[u] <= t)
{ { // êîððåêöèÿ îøèáîê âîçìîæíà
elp[0][i] = -1; // èíäåêñíàÿ ôîðìà

№11(12), ноябрь 2003 85

образование
// ïåðåâîäèì elp â èíäåêñíóþ ôîðìó q+=index_of[1^alpha_to[(loc[j]+root[i])%n]];
for (i = 0; i <= l[u]; i++) elp[u][i] = ↵
index_of[elp[u][i]]; q = q % n; err[loc[i]] = alpha_to ↵
[(err[loc[i]]-q+n)%n];

// íàõîæäåíèå êîðíåé ïîëèíîìà ëîêàòîðà îøèáêè // recd[i] äîëæåí áûòü

//---------------------------------------------- // â ïîëèíîìèàëüíîé ôîðìå
for (i = 1; i <= l[u]; i++) reg[i] = elp[u][i]; ↵ recd[loc[i]] ^= err[loc[i]];
count = 0; }
}
for (i = 1; i <= n; i++) }
{ else // íåò êîðíåé,
q = 1 ; // ðåøåíèå ñèñòåìû óðàâíåíèé íåâîçìîæíî,
for (j = 1; j <= l[u]; j++) // ò.ê. ñòåïåíü elp >= t
if (reg[j] != -1) {
{ // ïåðåâîäèì recd[] â ïîëèíîìèàëüíóþ ôîðìó
reg[j] = (reg[j]+j)%n; for (i=0; i<n; i++)
q ^= alpha_to[reg[j]]; if (recd[i]!=-1) recd[i] = alpha_to[recd[i]];
} else
recd[i] = 0; // âûâîäèì èíôîðìàöèîííîå
if (!q) // ñëîâî êàê åñòü
{ // çàïèñûâàåì êîðåíü è èíäåêñ }
// ïîçèöèè îøèáêè else // ñòåïåíü elp > t,
root[count] = i; // ðåøåíèå íåâîçìîæíî
loc[count] = n-i; {
count++; // ïåðåâîäèì recd[] â ïîëèíîìèàëüíóþ ôîðìó
} for (i=0; i<n; i++)
} if (recd[i]!=-1)
recd[i] = alpha_to[recd[i]] ;
if (count == l[u]) else
{ // íåò êîðíåé – ñòåïåíü recd[i] = 0 ; // âûâîäèì èíôîðìàöèîííîå
// elp < t îøèáîê // ñëîâî êàê åñòü
}
// ôîðìèðóåì ïîëèíîì z(x) else // îøèáîê íå îáíàðóæåíî
for (i = 1; i <= l[u]; i++) // Z[0] âñåãäà for (i=0;i<n;i++) if(recd[i]!=-1)recd[i]=alpha_to[recd[i]]; ↵
// ðàâíî 1 else recd[i]=0;
{ }
if ((s[i]!=-1) && (elp[u][i]!=-1))
z[i] = alpha_to[s[i]] ^ ↵
alpha_to[elp[u][i]];
else
if ((s[i]!=-1) && ↵ Интерфейс с библиотекой ElByECC.DLL
(elp[u][i]==-1)) Программная реализация кодера/декодера Рида-Соломо-
z[i] = alpha_to[s[i]];
else на, приведенная в листингах 1, 2, достаточно наглядна,
if ((s[i]==-1) && ↵ но крайне непроизводительна и нуждается в оптимиза-
(elp[u][i]!=-1))
z[i] = ↵ ции. Как альтернативный вариант можно использовать го-
alpha_to[elp[u][i]]; товые библиотеки от сторонних разработчиков, входящие
else
z[i] = 0 ; в состав программных комплексов, так или иначе связан-
for (j=1; j<i; j++) ных с обработкой корректирующих кодов Рида-Соломо-
if ((s[j]!=-1) && (elp[u][i-j]!=-1))
z[i] ^= alpha_to[(elp[u] ↵ на. Это и утилиты прожига/копирования/восстановления
[i-j] + s[j])%n]; лазерных дисков, и драйвера ленточных накопителей (от
// ïåðåâîäèì z[i] â èíäåêñíóþ ôîðìó стримера до Арвида), и различные телекоммуникацион-
z[i] = index_of[z[i]]; ные комплексы и т. д.
}
Как правило, все эти библиотеки являются неотъем-
// âû÷èñëåíèå çíà÷åíèÿ îøèáîê â ïîçèöèÿõ loc[i] лемой частью самого программного комплекса и потому
//----------------------------------------------
for (i = 0; i<n; i++) никак не документируется. Причем восстановление про-
{ тотипов интерфейсных функций представляет весьма
err[i] = 0;
нетривиальную задачу, требующую от исследователя не
// ïåðåâîäèì recd[] â ïîëèíîìèàëüíóþ ôîðìó только навыков дизассемблирования, но и знаний выс-
if (recd[i]!=-1) recd[i] = alpha_to[recd[i]]; ↵
else recd[i] = 0; шей математики, иначе смысл всех битовых манипуля-
} ций останется совершенно непонятным.
// ñíà÷àëà âû÷èñëÿåì ÷èñëèòåëü îøèáêè Насколько законно подобное дизассемблирование?
for (i = 0; i < l[u]; i++) Да, дизассемблирование сторонних программных продук-
{
err[loc[i]] = 1; тов действительно запрещено, но тем не менее оно за-
for (j=1; j<=l[u]; j++) конно. Здесь уместно провести аналогию со вскрытием
if (z[j]!=-1)
err[loc[i]] ^= alpha_to ↵ пломб вашего телевизора, влекущее потерю гарантии, но
[(z[j]+j*root[i])%n]; отнюдь не приводящее к уголовному преследованию. Так-
if (err[loc[i]]!=0) же никто не запрещает вызывать функции чужой библио-
{ теки из своей программы. Нелегально распространять эту
err[loc[i]] = index_of[err[loc[i]]];
q = 0 ;// ôîðìèðóåì çíàìåíàòåëü библиотеку в составе вашего программного обеспечения
// êîýôôèöèåíòà îøèáêè действительно нельзя, но что мешает вам попросить
for (j=0; j<l[u]; j++)
if (j!=i) пользователя установить данную библиотеку самостоя-
тельно?

86

Ниже приводится описание важнейших функций биб-
лиотеки ElByECC.DLL, входящей в состав известного ко-
пировщика защищенных лазерных дисков Clone CD, ус-
ловно-бесплатную копию которого можно скачать c cайта:
http://www.elby.ch/.
Сам Clone CD проработает всего лишь 21 день, а за-
тем потребует регистрации, однако на продолжительность
использования библиотеки ElByECC.DLL не наложено
никаких ограничений.
Моими усилиями был создан h-файл, содержащий
прототипы основных функций библиотеки ElByECC.DLL,
специальная редакция которого была любезно предос-
тавлена для журнала «Системный администратор».
Несмотря на то, что библиотека ElByECC.DLL ориен-
тирована на работу с секторами лазерных дисков, она
может быть приспособлена и для других целей, например,
построения отказоустойчивых дисковых массивов, о ко-
торых говорилось в предыдущей статье.
Краткое описание основных функций библиотеки при-
водится ниже.
Подключение библиотеки ElByECC.DLL
к своей программе
Существуют по меньшей мере два способа подключе-
ния динамических библиотек к вашим программам. При
динамической компоновке адреса требуемых функций
определяются посредством вызова GetProcAddress,
причем сама библиотека ElByECC.DLL должна быть
предварительно загружена через LoadLibrary. Это мо-
жет выглядеть, например, так (обработка ошибок для
простоты опущена):
Ëèñòèíã 3. Äèíàìè÷åñêàÿ çàãðóçêà áèáëèîòåêè ElByECC.DLL
HANDLE h;
int (__cdecl *CheckECCAndEDC_Mode1) (char *userdata, ↵
char *header, char *sector);
h=LoadLibrary("ElbyECC.dll");
CheckECCAndEDC_Mode1 = GetProcAddress(h, "CheckECCAndEDC_Mode1");
Статическая компоновка предполагает наличие спе-
циального lib-файла, который может быть автоматически
сгенерирован утилитой implib из пакета Borland C++ лю-
бой подходящей версии, представляющую собой утилиту
командной строки, вызываемую так:
implib.exe -a ElByECC.lib ElByECC.lib
GenECCAndEDC_Mode1
Функция GenECCAndEDC_Mode1 осуществляет генера-
цию корректирующих кодов на основе 2048-байтового
блока пользовательских данных и имеет следующий
прототип:
Ëèñòèíã 4. Ïðîòîòèï ôóíêöèè GenECCAndEDC_Mode1
// óêàçàòåëü íà ìàññèâ èç 2048 áàéò
GenECCAndEDC_Mode1(char *userdata_src,
// óêàçàòåëü íà çàãîëîâîê
char *header_src,
struct RAW_SECTOR_MODE1 *raw_sector_mode1_dst)
№11(12), ноябрь 2003
образование

userdata_src – указатель на 2048-байтовый блок пользо-
вательских данных, для которых необходимо выполнить
расчет корректирующих кодов. Сами пользовательские
данные в процессе выполнения функции остаются не-
изменными и автоматически копируются в буфер це-
левого сектора, где к ним добавляется 104 + 172 байт
четности и 4 байта контрольной суммы.

header_src – указатель на 4-байтовый блок, содержа-
щий заголовок сектора. Первые три байта занимает
абсолютный адрес, записанный в BCD-форме, а чет-
вертый байт отвечает за тип сектора, которому необ-
ходимо присвоить значение 1, соответствующий ре-
жиму «корректирующие коды задействованы».

raw_sector_mode1_dst – указатель на 2352-байтовый
блок, в который будет записан сгенерированный сек-
тор, содержащий 2048-байт пользовательских данных
и 104+172 байт корректирующих кодов вместе с 4 бай-
тами контрольной суммы и представленный следую-
щей структурой:
Ëèñòèíã 5. Ñòðóêòóðà ñûðîãî ñåêòîðà
struct RAW_SECTOR_MODE1
{
BYTE SYNC[12]; // ñèíõðîãðóïïà
BYTE ADDR[3]; // àáñîëþòíûé àäðåñ ñåêòîðà
BYTE MODE; // òèï ñåêòîðà
BYTE USER_DATA[2048]; // ïîëüçîâàòåëüñêèå äàííûå
BYTE EDC[4]; // êîíòðîëüíàÿ ñóììà
BYTE ZERO[8]; // íóëè (íå èñïîëüçóåòñÿ)
BYTE P[172]; // P-áàéòû ÷åòíîñòè
BYTE Q[104]; // Q-áàéòû ÷åòíîñòè
};
При успешном завершении функция возвращает не-
нулевое значение и ноль в противном случае.
CheckSector
Функция CheckSector осуществляет проверку целостнос-
ти сектора по контрольной сумме и при необходимости
выполняет его восстановление по избыточным кодам
Рида-Соломона.
Ëèñòèíã 6. Ïðîòîòèï ôóíêöèè CheckSector
// óêàçàòåëü íà ñåêòîðíûé áóôåð
CheckSector(struct RAW_SECTOR *sector,
int DO); // òîëüêî ïðîâåðêà/ëå÷åíèå

sector – указатель на 2352-байтовый блок данных, содер-
жащий подопытный сектор. Лечение сектора осуществ-
ляется «вживую», т.е. непосредственно по месту возник-
новения ошибки. Если количество разрушенных байт
превышают корректирующие способности кодов Рида-
Соломона, исходные данные остаются неизменными;

DO – флаг, нулевое значение которого указывает на
запрет модификации сектора. Другими словами, со-
ответствует режиму TEST ONLY. Ненулевое значение
разрешает восстановление данных, если они действи-
тельно подверглись разрушению.
При успешном завершении функция возвращает не-
нулевое значение и ноль, если сектор содержит ошибку
(в режиме TEST ONLY) или если данные восстановить не
удалось (при вызове функции в режиме лечения). Для
87
 образование
предотвращения возможной неоднозначности рекоменду-
ется вызывать данную функцию в два приема. Первый
раз – в режиме тестирования для проверки целостности
данных, и второй раз – в режиме лечения (если это необ-
ходимо).
Финал
Ниже приведен законченный примем использования кор-
ректирующих кодов на практике, пригодный для решения
реальных практических задач.
Ëèñòèíã 7. Ïðèìåð âûçîâà ôóíêöèé ElByECC.DLL èç ñâîåé ïðî-
ãðàììû
/*--------------------------------------------------------
* printf("user-data %04d bytes damage........", ↵
* äåìîíñòðàöèÿ ElByECC.DLL
* ========================
* raw_sector_for_damage.USER_DATA[a]^=0xFF;
* Äàííàÿ ïðîãðàììà äåìîíñòðèðóåò ðàáîòó ñ áèáëèîòåêîé
* ElByECC.DLL, ãåíåðèðóÿ èçáûòî÷íûå êîäû Ðèäà-Ñîëîìîíà
* íà îñíîâå ïîëüçîâàòåëüñêèõ äàííûõ, çàòåì óìûøëåííî
* èñêàæàåò èõ è âíîâü âîññòàíàâëèâàåò.
* Êîëè÷åñòâî ðàçðóøàåìûõ áàéò ïåðåäàåòñÿ â ïåðâîì ïàðàìåòðå
* êîìàíäíîé ñòðîêè (ïî óìîë÷àíèþ – 6)
---------------------------------------------------------*/
#include <stdio.h>
#include "ElByECC.h" // äåêîìïèëèðîâàíî àâòîðîì
// ðóøèòü ïî óìîë÷àíèþ
#define _DEF_DMG 6
// ñêîëüêî áàéò ðóøèòü?
#define N_BYTES_DAMAGE ((argc>1)?atol(argv[1]):_DEF_DMG)
main(int argc, char **argv)
{ printf("user-data recorver.................");
int a;
// çàãîëîâîê ñåêòîðà
char stub_head[HEADER_SIZE];
// îáëàñòü ïîëüçîâàòåëüñêèõ äàííûõ
char user_data[USER_DATA_SIZE];
// ñåêòîð äëÿ èñêàæåíèé
struct RAW_SECTOR_MODE1 raw_sector_for_damage;
// êîíòðîëüíàÿ êîïèÿ ñåêòîðà
struct RAW_SECTOR_MODE1 raw_sector_for_compre;
// TITLE
//-----------------------------------------------------
printf("= ElByECC.DLL usage demo example by KK\n");
// èíèöèàëèçàöèÿ ïîëüçîâàòåëüñêèõ äàííûõ
//-----------------------------------------------------
printf("user data initialize...............");
88
// user_data init
for (a = 0; a < USER_DATA_SIZE; a++) user_data[a] = a;
// src header init
memset(stub_head, 0, HEADER_SIZE); stub_head[3] = 1;
printf("+OK\n");
// ãåíåðàöèÿ êîäîâ Ðèäà-Ñîëîìîíà íà îñíîâå
// ïîëüçîâàòåëüñêèõ äàííûõ
//-----------------------------------------------------
printf("RS-code generate...................");
a = GenECCAndEDC_Mode1(user_data, stub_head, ↵
&raw_sector_for_damage);
if (a == ElBy_SECTOR_ERROR) { printf("-ERROR!\x7\n"); ↵
return -1;}
memcpy(&raw_sector_for_compre, &raw_sector_for_damage, ↵
RAW_SECTOR_SIZE);
printf("+OK\n");
// óìûøëåííîå èñêàæåíèå ïîëüçîâàòåëüñêèõ äàííûõ
//-----------------------------------------------------
N_BYTES_DAMAGE);
for (a=0;a<N_BYTES_DAMAGE;a++) ↵
if(!memcmp(&raw_sector_for_damage, ↵
&raw_sector_for_compre,RAW_SECTOR_SIZE))
printf("-ERR: NOT DAMAGE YET\n"); ↵
else printf("+OK\n");
// ïðîâåðêà öåëîñòíîñòè ïîëüçîâàòåëüñêèõ äàííûõ
//-----------------------------------------------------
printf("user-data check....................");
a = CheckSector((struct RAW_SECTOR*) ↵
&raw_sector_for_damage, ElBy_TEST_ONLY);
if (a==ElBy_SECTOR_OK){
printf("-ERR:data not damage\x7\n");return ↵
-1;}printf(".data damge\n");
// âîññòàíîâëåíèå ïîëüçîâàòåëüñêèõ äàííûõ
//-----------------------------------------------------
a = CheckSector((struct RAW_SECTOR*) ↵
&raw_sector_for_damage, ElBy_REPAIR);
if (a == ElBy_SECTOR_ERROR) {
printf("-ERR: NOT RECORVER YET\x7\n"); return ↵
-1; } printf("+OK\n");
// ïðîâåðêà óñïåøíîñòè âîññòàíîâëåíèÿ
//-----------------------------------------------------
printf("user-data recorver check...........");
if(memcmp(&raw_sector_for_damage, ↵
&raw_sector_for_compre,RAW_SECTOR_SIZE))
printf("-ERR: NOT RECORVER YET\x7\n"); ↵
else printf("+OK\n");
printf("+OK\n");
return 1;
}

ВОСПОМИНАНИЯ ЗАМЕЧАТЕЛЬНЫХ ДНЕЙ:
ЗАРЯ КОМПЬЮТЕРИЗАЦИИ РОССИИ
И БОРЦЫ С ЖЕЛЕЗНЫМИ КОНЯМИ ТОЙ ЭПОХИ...
Когда я был молодым и еще студентом, у меня было
много амбиций и я считал себя круче всего и вся. Тогда
только начинался расцвет компьютерных технологий в
России, как говорит один мой знакомый: «В те време-
на мы были маленькие, а калькуляторы большие». Сей-
час, когда я вспоминаю те славные дни, понимаю, ка-
ким я был ребенком. Я знал каплю из того моря, что я
знаю сейчас, но тогда любой молодой человек, кото-
рый собрал два-три компьютера, уже считался если и
не профессионалом, то минимум хорошо разбирающим-
ся. Причем интересный факт, люди в то время счита-
ли, что в магазине продавец-консультант обязательно
навяжет им какую-то дрянь и попытается навариться
на ничего не понимающем клиенте (и положа руку на
сердце, так оно и было во многих местах).
Вспоминаю чипсет от славной фирмы SYS. Первый!
Интегрированный! Дешевый до безобразия! Все в од-
ном. Я до сих пор уверен, что львиная доля материнс-
ких плат на этом чипсете осела на просторах нашей
родины. Ужас, который я испытал, собрав первую ма-
шину на этом чипсете, я не забуду никогда! Глюки с
памятью и видео – это мелочи по сравнению со звуком
модема из колонок Genius... На меня это произвело
такой эффект, что я зарекся и больше ни разу не поку-
пал материнские платы на чипсетах от фирмы SYS.
Сколько богатейшего опыта получили те, кто занимал-
ся сборкой компьютеров в то время! Все кривое и со-
всем не рабочее железо везли к нам. И ведь собирали,
продавали, и это работало!
Вспоминается сборка компьютеров в одной малень-
кой фирме (коих по Москве было как грибов). Ящик ви-
деокарт, ящик звуковых карт, коробка памяти, одна ма-
теринская плата и мего-бубен, при помощи которого
рождалось творение рук человеческих – компьютер! Не
важно, что на него не ставился софт, и он зависал вре-
мя от времени, не важно, что из колонок доносились не
звуки, а пуки. Главное – это работало... первые 10 ми-
нут! Показали, собрали, клиенту ручкой помахали, га-
рантийный талон на маленькой бумажке (авось побыс-
трей потеряет) вручили и пошли творить дальше. Чу-
десные были времена.
По прошествии нескольких лет школе, которую я за-
канчивал, администрация города подарила компьютерный
класс. Я не знаю, где они нашли эти ящики, которые гор-
до назвали компьютерами, но весь класс был собран из
машин на том самом чипсете SYS – даже то, что называ-
лось сервером. Так как я остался в очень хороших отно-
шениях со своей классной руководительницей – препо-
давателем информатики в школе, то честь настроить ло-
кальную сеть из этих полутрупов досталась мне и моему
№11(12), ноябрь 2003
как это было
другу. Это были незабываемые выходные. Компьютеры
умирали на руках! Вот только что включался и работал.
Кое-что поправили в Windows, перезагрузка и все... ноль
эмоций: кулера не жужжат, сердце остановилось. Хаб в
классе поставили тоже «потрясный»: пакеты ходили куда
угодно, но только не по сети, может, у него была встроен-
ная спутниковая антенна и он отсылал секретную инфор-
мацию врагам нашей родины, не знаю. Полгода мы каж-
дые выходные ходили в школу, как на работу. Оживляли,
чинили, переставляли софт – это был ужас…
Расцвет радиорынков. Кто из москвичей помнит Ми-
тино, Царицыно того времени, тот меня поймет. Поку-
палось и продавалось абсолютно все. Самое старое и
ненужное железо везлось туда. Для многих людей этот
рынок стал местом старта в большой бизнес, для дру-
гих он был как дом родной.
А сколько эмоций, когда покупалась новая игрушка.
Никогда не знал заранее, как отнесется твоя операцион-
ная система к новому приобретению. А как игры были ло-
кализованы… Те, кто занимался локализацией, с криком
«Стилус форева» (был такой переводчик тестов) загоня-
ли игры в переводчик и в результате получались по исти-
не шедевры. Играли в них не часами, а ночами и сутками,
а потом с красными глазами делились друг с другом но-
востями игрового процесса.
Каждая новинка в мире железа ожидалась с нетерпе-
нием и горячо обсуждалась. Каждый мегагерц в процес-
соре, каждый мегабайт памяти на видеокарте казался
очередным прорывом технологий. А сейчас отношение к
появлению нового процессора, жесткого диска или какой-
то революционной технологии спокойнее, словно прошел
дождь или проехал мимо автобус. Мы к этим событиям
настолько привыкли, что уже не успеваем отследить все
новинки рынка. Сейчас, когда встает вопрос о помощи в
приобретении компьютера, на пару дней зарываешься в
Интернет и читаешь, а после удачной покупки через два
дня выходит новый мегосуперпупер дивайс.
Помню, как говорил одному своему товарищу, кото-
рый покупал по тем временам крутой компьютер Intel
Pentium 100 МГц: «Зачем тебе жесткий диск объемом
1,5 Гб? Что ты на него будешь писать? Вот у меня 340
Мб и мне хватает…» Посмотрел на своего железного
коня, на котором пишется эта статья, в котором стоят
два винчестера по 80 Гб. И ведь, правда, хватало. Но
потом вышел на сцену Windows 95 и покатилось, с каж-
дым годом объемы информации, которые оседали на
жестких дисках росли, аппетиты ОС росли, потом по-
явился формат MP3, затем MPEG...
Алексей Костромин
89
полезные советы

КТО ПРЕДУПРЕЖДЕН –
ТОТ ВООРУЖЕН

МИХАИЛ ТОРЧИНСКИЙ
90

Летом этого года состоялось достаточно интересное и,
на мой взгляд, нетривиальное событие. Прошел пер-
вый Семинар системных администраторов и инжене-
ров. Его организаторы пригласили меня выступить с
докладом на тему «Роль кадровых агентств в карьере
IT-специалиста».
Я с радостью согласился, т.к. в последнее время все
чаще сталкиваюсь с тем, что многие специалисты в об-
ласти информационных технологий, обладающие пре-
красными профессиональными данными, хорошо обра-
зованные и потенциально интересные на рынке IT, с тру-
дом находят себе работу. Видимо, настало время по-
пытаться понять, что же необходимо предпринять, что-
бы грамотно выстроить свою карьеру, используя такой
ресурс, как кадровые агентства (КА)?
Рынок IT после некоторого затишья продолжает свой
рост. Появляются новые компании, происходят слияния
и поглощения, растет требовательность заказчиков и
сложность реализуемых проектов. Все это положитель-
но сказывается на рынке труда – открываются новые
вакансии, растет уровень заработной платы.
Все больше и больше компаний выбирают работу с
кадровым агентством как эффективный способ найти
нужных профессионалов. И чтобы стать тем «избран-
ным» среди множества других претендентов на открыв-
шиеся вакансии, необходимо научиться работать с кад-
ровым агентством. Именно отсутствие навыков обще-
ния с представителями агентства очень часто стано-
вится той помехой, которая мешает дальнейшему ка-
рьерному росту.
Безусловно, при работе с КА существуют и положи-
тельные, и отрицательные стороны. Несомненным плю-
сом является возможность получить на рассмотрение
несколько интересных вакансий и различных работо-
дателей. Более того, многие HR-службы работодателей
перестают рассматривать кандидатов, которые «при-
шли» не от агентства, «с улицы» или по знакомству.
Таким образом, у кандидата от агентства создается нео-
споримое преимущество по сравнению с кандидатами,
которые решили самостоятельно заняться рассылкой
своего резюме и не имеют поддержки со стороны рек-
рутера. И преимущество не только в этом.
Агентство, долго работающее со своим заказчиком,
хорошо знает специфику компании, людей, которые
принимают в ней решения, их предпочтения и вкусы.
Всей этой информацией он может поделиться с канди-
датом, рассказать подробности о компании, о существу-
ющем в ней стиле управления, нюансы прохождения ин-
тервью с непосредственным руководителем и т. п. «Кто
предупрежден – тот вооружен» – это высказывание как
нельзя лучше подходит для кандидата, настроенного на
получение места в интересующей его компании.
С помощью КА арсенал кандидата пополняется не
только информацией о работодателе и рекомендация-
ми, как с ним вести переговоры, но и грамотно состав-
ленным резюме и презентацией кандидата рекрутером.
Если рекрутер чувствует потенциал в кандидате, он сде-
лает все, чтобы убедить работодателя встретиться с
претендентом.
№11(12), ноябрь 2003
полезные советы
И наконец, в том случае, если работодатель остано-
вил на вас свой выбор, очень удобно вести переговоры
о компенсационном пакете через посредника, в лице
рекрутера. Обсуждение вопросов, связанных с деньга-
ми, всегда сопровождается определенным дискомфор-
том: попросишь больше – сочтут, что тебя интересует
только зарплата, мало – могут подумать, что ты не уве-
рен в себе. В такой ситуации рекрутер берет на себя
обсуждение требований кандидата и возможностей ра-
ботодателя. В результате при выходе на работу канди-
дат четко знает, на какие деньги он выходит, и нет не-
обходимости лично обсуждать для себя более интерес-
ные условия.
Но есть и обратная сторона медали в работе с КА.
Рынок услуг КА очень конкурентен, и, как правило, за-
казчик сотрудничает одновременно с несколькими аген-
тствами, рассматривая кандидатов от всех сразу. В та-
ком случае вероятность, что другое агентство, в кото-
ром вы не проходите как кандидат, представит более
профессионального, компетентного, опытного кандида-
та, весьма велика. Также нужно учитывать, что даже
«ваше» КА не может ограничиться только вашей кан-
дидатурой. Заказчик требует выбора, и, как правило,
на одну вакансию нужно представить 5-6 человек. Так
что в любом случае кандидату нужно проходить кон-
курс. И его исход зачастую трудно предугадать.
Чаще всего случается так, что кандидат, настроен-
ный на поиск работы с помощью рекрутеров, находит
интернет-сайт, на котором имеется список КА, и дела-
ет рассылку своего резюме по большинству найденных.
В данном случае он руководствуется соображением:
«чем больше будет рассылка, тем больше предложе-
ний о работе я получу». Однако далеко не всегда такая
тактика дает положительные результаты. На рынке ра-
ботают сотни КА, и нужно потратить некоторое время
на то, чтобы разобраться, какие из них действительно
оказывают качественный сервис своим заказчикам и
соискателям, с которыми они работают. Критериям, ко-
торым можно доверять при оценке рекрутинговых ком-
паний, являются их известность на рынке и наличие оп-
ределенной специализации. Известные компании, как
правило, работают на российском рынке достаточно
давно и уже успели хорошо зарекомендовать себя. Их
отличает также от большинства других наличие извес-
тных brand-name-клиентов. Это очень важное отличие,
т.к. крупные корпоративные клиенты имеют вполне
сформировавшиеся и очень жесткие критерии выбора
своих поставщиков, они дорожат своей репутацией и
тщательно выбирают себе деловых партнеров. Узнать,
с какими клиентами сотрудничает интересующее вас
КА, как правило, можно на сайте рекрутеров.
Услуги КА должны быть для соискателей абсолютно
бесплатными. До сих пор попадаются КА, которые пред-
почитают зарабатывать деньги на соискателях, неже-
ли оказывать качественный, профессиональный сервис
своим клиентам. Если вы ненароком попали в такое КА,
сразу прощайтесь, если услышите о просьбе оплатить
какую-либо услугу. Если клиент, обратившийся в такое
агентство, считает, что его будущий сотрудник сам дол-
91
 полезные советы
жен заплатить за то, что его знания и опыт будут ис-
пользованы в компании, – скорее всего этот работода-
тель не то, что вы ищите.
Для многих все еще мало известно, как сотруднича-
ют между собой КА и их заказчик в лице компании, за-
интересованной в подборе персонала. Что предшеству-
ет тому моменту, когда соискателю поступает предло-
жение выйти на работу?
Как и в любом другом бизнесе, все начинается с пе-
реговоров между КА и клиентом. После того как усло-
вия сотрудничества определены, консультанты агент-
ства приступают к детальному изучению той позиции,
над которой им придется работать. Работодатель пре-
доставляет всю необходимую информацию о том, ка-
кого сотрудника он хочет видеть у себя на рабочем ме-
сте, какие требования он предъявляет к его професси-
ональному опыту и личным качествам. После опреде-
ления так называемого описания позиции консультант
приступает к поиску кандидата.
Рекрутер использует массу различных методов для
того, чтобы найти тех избранных, которых он предста-
вит своему клиенту. В большинстве случаев рекрутеру
необходимо встретиться с кандидатом, прежде чем на-
правлять резюме соискателя клиенту. Эта встреча
очень важна, для многих она становится тем непреодо-
лимым барьером, который они не могут преодолеть.
Профессиональные качества соискателя, его уме-
ния и навыки играют очень важную, но далеко не пос-
леднюю роль на интервью в агентстве. «Человеческий
фактор», личностный контакт между рекрутером и кан-
дидатом – необходимое условие, при котором консуль-
тант примет решение о дальнейшем «продвижении» со-
искателя клиенту.
Встречу в агентстве нужно воспринимать очень се-
рьезно, к ней нужно подготовиться. Следует продумать
ответы на возможные вопросы, подготовить свою
«мини-презентацию», заранее сформулировать те воп-
росы, на которые вы хотели бы знать ответ. Для мно-
гих технических позиций наличие развитых коммуни-
кативных навыков, а иными словами, умение общаться
с людьми, понимать их и быть понятыми, – не самое
главное. Но не следует забывать, что рекрутер в пер-
вую очередь оценивает ваше поведение, то, насколько
вы активны, доброжелательны, контактны и уверены в
себе. Не стоит злоупотреблять технической термино-
логией, и уж тем более указывать консультанту на его
неосведомленность и безграмотность в тех вопросах,
в которых вы считаете себя профи. Задача консультан-
та – не вступать с вами в диспут о преимуществах той
или иной ОС или качестве и возможностях «железа»,
используемого вами в работе. Консультанту нужно по-
нять, насколько ваша кандидатура подходит к конкрет-
ному заказчику, являетесь ли вы тем идеальным кан-
дидатом, о котором было столько разговоров при об-
суждении «описания позиции». Тем более, что в том
случае, если у вас будет возможность попасть на встре-
чу непосредственно к работодателю, с вами обязатель-
но пообщаются на технические темы профильные спе-
циалисты, и вы блеснете своими знаниями.
92
Следующим этапом в работе КА является представ-
ление резюме кандидата клиенту. Скорее всего, агент-
ство несколько переработает резюме соискателя, офор-
мит его в индивидуальном формате, который принят в
компании. Также резюме дополняется комментариями
консультанта, которые он готовит после встречи с кан-
дидатом. В этих комментариях консультант описывает
свои впечатления от встречи, указывает индивидуаль-
ные особенности соискателя, его слабые и сильные сто-
роны в личностном плане.
После того как резюме попало в руки работодате-
ля, им принимается решение о назначении встречи на
своей территории. Этот этап является наиболее важ-
ным и сложным в процессе поиска работы. От этой
встречи на 90% зависит, получите ли вы заветное пред-
ложение о работе. Чтобы увеличить ваши шансы на
успех, рекрутер должен помочь вам подготовиться к
встрече.
Старайтесь фиксировать все, о чем вам будет гово-
рить консультант, письменно. Это необходимо, т.к. ин-
формации будет достаточно много, и, чтобы не упус-
тить мелочей, записи очень пригодятся.
Разрабатывая план беседы, надо помнить, что на
встрече у работодателя вы предстаете неким «това-
ром», который нужно с успехом прорекламировать.
Основной посыл «аудитории» – это ваши личные дос-
тижения, то, чем вы можете гордиться, и то, что вы де-
лаете и знаете лучше всего.
Не забудьте уточнить время, место, должность и имя
человека, с которым вам предстоит встречаться. Луч-
ше всего, если консультант сможет дать вам короткую
справочную информацию о нём. «Предупрежден – зна-
чит вооружен» – это справедливо и для соискателя ва-
кантного места. Знание личных и деловых качеств че-
ловека, с которым предстоит встречаться, его харак-
тер и деловой опыт помогут сориентироваться, правиль-
нее выстроить план беседы.
На встрече не следует первым поднимать тему «де-
нег». Работодатель уже знает, на какие деньги вы пре-
тендуете, т.к. это обязательно было отражено в вашем
резюме. Логично, что, если вас пригласили на встречу,
значит, клиент готов предложить вам эту сумму. К тому
же деловой этикет подобных встреч не предполагает
подобных разговоров, т.к. стороны пока еще не при-
шли к окончательному решению, и говорить о заработ-
ной плате, социальном пакете и бонусах пока рано. В
том случае, если работодатель первым задает вопрос
о том, на какие деньги вы рассчитываете, проявите такт
и постарайтесь не называть конкретную сумму. Попро-
сите перенести обсуждение этой темы на следующие
встречи. Многие агентства ведут практику переговоров
по вопросу зарплат от лица кандидата и заказчика, и
чаще всего это оптимальный вариант безболезненного
решения проблемы.
По окончании встречи необходимо обязательно по-
благодарить работодателя за встречу и обязательно по-
интересоваться, каковы ваши дальнейшие шаги. По-
мните, чем больше информации вы получите, тем лег-
че вы сможете планировать дальнейшие действия.

Не стоит забывать и о таких вещах, как внешний вид.
Даже если на новом месте работы от вас не потребует-
ся соблюдать dress-code, тем не менее на официаль-
ную встречу с работодателем необходимо появиться
одетым по-деловому, опрятно и без излишеств. Это
может показаться странным, но некоторые кандидаты
пренебрегают правилами личной гигиены, что недопу-
стимо при встрече с работодателем, да и в повседнев-
ной жизни воспринимается, мягко говоря, не очень.
Надеюсь, что среди потенциальных кандидатов, чита-
ющих эту статью, таких нет.
Очень важно соблюсти пунктуальность. Опоздания
на такие встречи недопустимы. Наилучший вариант –
приехать за 10 минут до назначенного времени. Это по-
зволит вам «отдышаться», освоиться в новой обстанов-
ке, еще раз подготовиться к интервью.
После того как прошла встреча у работодателя, от
вас будут ждать звонка консультанты агентства. Им не-
обходимо узнать, как вы провели переговоры, в какой
тональности шла беседа, какие договоренности и пред-
ложения были озвучены. Вы также можете поинтересо-
ваться, какое впечатление вы произвели на работодате-
ля. Договоритесь, когда вы должны выходить «на связь»
в следующий раз, как будет вестись работа дальше.
После того как прошла встреча между кандидатом и
клиентом агентства, консультанту необходимо выяснить,
№11(12), ноябрь 2003
полезные советы
каково впечатление клиента о кандидате. Вариантов мо-
жет быть три: «кандидат понравился», «не понравился»,
«кандидат понравился, но будем смотреть еще». Их всех
трех вариантов только «не понравился» означает, что на
этот раз кандидату не повезло и дальнейшего обсужде-
ния позиции не будет. Далеко не всегда консультант смо-
жет совершенно правдиво объяснить, почему клиент от-
казывается рассматривать кандидатуры в дальнейшем.
Т.к. в большинстве случаев отказ происходит по причи-
нам личностного характера, не всегда удобно и этично
говорить об этом кандидату. Если же речь идет о недо-
статочных профессиональных качествах – скорее всего
кандидат получит ответ, что конкретно не устраивает ра-
ботодателя. Конечно, отказ – это всегда неприятно и вос-
принимается болезненно. Но не стоит раздражаться и
выказывать недовольство работой КА. Не исключено, что
в другое время у КА появится новая вакансия, которая
вас заинтересует, и вы снова сможете сделать попытку.
В том же случае, если вы произвели благоприятное
впечатление на работодателя, ждите нескольких пос-
ледующих встреч. Не стоит думать, что это формаль-
ность, так что на каждой их этих встреч вы должны быть
все так же собранны и подготовлены. Случается, что
даже на повторных встречах делается отказ. Тем бо-
лее что кандидатов на позицию несколько и конкурс
продолжается.
93
 полезные советы
Если вы подошли к встрече, на которой должно быть
озвучено конкретное предложение о работе, выслушай-
те и примите к сведению все, что будет вам предложе-
но, и возьмите тайм-аут. Не стоит тут же соглашаться.
Еще раз взвесьте и обдумайте возможные последствия
. Если вы не согласны с предложенными условиями, по-
звольте консультанту КА вступить в переговоры от ва-
шего лица. «Торговаться» по этим вопросам возмож-
но, но следует знать меру. После вашего встречного
предложения последует ответ от работодателя, и если
он вас не устраивает, скорее всего существенных из-
менений ждать не придется. Решайте самостоятельно,
выбор за вами.
Итак, решение принято, и осталось лишь «законно
оформить отношения». Проявите предельную внима-
тельность, проследите, чтобы все формальности были
соблюдены, хотя практика показывает: недобросовес-
тные работодатели не так часто сотрудничают с КА, так
что вероятность быть обманутым стремится к нулю.
Но даже если вы успешно нашли работу с помощью
КА, на этом ваше сотрудничество не закончилось. Во-
первых, существует испытательный срок. В течение это-
го времени внимание к вашей персоне как со стороны
работодателя, так и КА очень пристальное. Испытатель-
94
ный срок, как правило, составляет 3 месяца. За это вре-
мя у кандидата есть возможность проявить себя с луч-
шей стороны и доказать, что он именно тот, кого так
усердно искали КА и работодатель. В противном слу-
чае испытательный срок может закончиться поиском
«замены» кандидата. И тогда КА начинает работу по-
новому.
Хотелось бы дать еще несколько рекомендаций кан-
дидатам, успешно нашедшим работу через КА. Как и в
большинстве сфер жизни, наибольшее значение игра-
ют личностные отношения. Консультанту агентства, так
же, как и любому нормальному человеку, приятно, ког-
да его работа оценена не только клиентом, но и канди-
датом. Не стоит забывать о поддержании доброжела-
тельных отношений с рекрутером, тем более что и де-
ловые отношения могут возобновиться вновь, при же-
лании кандидата сменить место работы. Иногда кон-
сультанту могут потребоваться ваши рекомендации или
совет. Не стоит пренебрегать возможностью дать от-
вет и оказать информационную помощь представите-
лю КА. В свою очередь, рекрутер сможет дать разъяс-
нения по интересующим вас вопросам. Наладив парт-
нерские отношения с консультантом, вы сможете пла-
нировать ваше дальнейшее карьерное развитие и рост.
 подписка

Продолжается подписка на I полугодие 2004 г.

Более подробная информация на сайте www.samag.ru
в разделе «Подписка»

Единый
подписной
индекс:

81655
по каталогу
агентства
«Роспечать»

Рады видеть
Вас нашими
читателями!

№11(12), ноябрь 2003 95

 СИСТЕМНЫЙ АДМИНИСТРАТОР
№11(12), Ноябрь, 2003 год

РЕДАКЦИЯ
ЧИТАЙТЕ
Исполнительный директор
Владимир Положевец
В СЛЕДУЮЩЕМ
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
НОМЕРЕ:
Технический редактор
Владимир Лукин
Научно-технические консультанты Безумный чертенок таки на последний. Что делать в та-
Дмитрий Горяинов Почти каждый день мы слышим о том, ком случае? Существует множество
Руслан Иванов что появился новый однодискетный/ различных утилит, так или иначе
Игорь Гарасюк LiveCD/«полновесный» дистрибутив предназначенных для улучшения за-
Linux, а вот аналогичную новость про щиты Linux-системы. В данной статье
РЕКЛАМНАЯ СЛУЖБА *BSD не каждый день услышишь. Из хочу обратить внимание на проект
тел.: (095) 928-8253 (доб. 112) новостей портала www.opennet.ru я уз- Bastille Linux.
факс: (095) 928-8253 нал о проекте Frenzy (пер. с англ. –
Константин Меделян безумие), который меня весьма заин- LTSP – вторая жизнь
reсlama@samag.ru тересовал. Процитирую разработчи- старых компьютеров
ка: «Целью проекта Frenzy является Все ОС Unix и подобные операционные
Верстка и оформление создание «портативного инструмента системы изначально подготовлены для
imposer@samag.ru системного администратора» на базе полноценной работы в среде клиент-
maker_up@samag.ru ОС FreeBSD, который было бы удоб- сервер. Основой взаимодействия гра-
Дизайн обложки но постоянно иметь при себе...» фических приложений с сервером яв-
Николай Петрочук ляется протокол Х, который реализован
Крепость для пингвина так, что ему абсолютно неважно, где
103012, г. Москва, Сегодня особое внимание уделяется находится клиент и сервер. В самом
Ветошный переулок, дом 13/15 защите серверов и персональных общем случае они работают на одном
тел.: (095) 928-8253 (доб. 112) компьютеров от вторжения извне. компьютере, но ничто не мешает раз-
факс: (095) 928-8253 Описание различных методов атак местить их на разных компьютерах.
Е-mail: info@samag.ru можно найти практически везде, у на- Такая организация позволяет эффек-
Internet: www.samag.ru падающего огромное количество спо- тивно использовать компьютерный
собов пробраться в чужой компьютер. парк организации: все ресурсоемкие
РУКОВОДИТЕЛЬ ПРОЕКТА Но сисадмину или обычному пользо- операции выполняются на специально
Петр Положевец вателю от этого не легче, все больше выделенном мощном компьютере.
УЧРЕДИТЕЛИ и больше приходится уделять време-
Владимир Положевец ни чтению документации, настройке Обживаем мир Nagios
Александр Михалев системы, но время, как правило, не В статье речь пойдет о действиях, ко-
на стороне обороняющегося, да и торые необходимо предпринять для
ИЗДАТЕЛЬ опыт приходит вместе с ошибками. русификации веб-интерфейса. Опи-
ЗАО «Издательский дом Ситуация усугубляется тем, что про- саны процедуры инсталляции допол-
«Учительская газета» изводители все чаще выпускают дис- нительного программного обеспече-
трибутивы по типу «два-в-одном», ко- ния, необходимого для работы с плос-
Отпечатано типографией торые могут быть с одинаковым ус- кой и трехмерной картами сети. Рас-
ООО «Мастер Печати» пехом установлены как на сервер, так смотрены методики создания само-
Тираж 5500 экз. и на персональный компьютер, при- дельных иконок хостов и сервисов и
Журнал зарегистрирован чем, по моему мнению, все равно для настройки Nagios, которые необходи-
в Министерстве РФ по делам печати, того, чтобы привлечь большее коли- мо задействовать для достижения вы-
телерадиовещания и средств мас- чество клиентов, упор делается все- шеуказанных целей.
совых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002г.)

За содержание статьи ответственность

Наши партнеры
несет автор. За содержание рекламно-
го обьявления ответственность несет
рекламодатель. Все права на опубли-
кованные материалы защищены. Ре-
дакция оставляет за собой право изме-
нять содержание следующих номеров.

96