№7(20) июль 2004

подписной индекс 81655

www.samag.ru
Почтовая система на базе MTA exim
Обзор системы поддержки
списков рассылок GNU Mailman
Как различать и считать
маркированный трафик?
FreeBSD tips: ARP в «заморозке»
Строим шлюз с Luinux
CrossOver и лицензионный вопрос
Упрощаем себе жизнь с Webmin
PostgreSQL: первые шаги
HA-кластер LifeKeeper
компании SteelEye
№7(20) июль 2004

Русификация FreeDOS
Metro Ethernet
 оглавление

IMHO Строим шлюз с Luinux

Сергей Яремчук
Есть такая профессия grinder@ua.fm 40
Алексей Коршунов
akeeper@akeeper.ru 4 «Стальной глаз на страже жизни».
HA-кластер LifeKeeper компании SteelEye

АДМИНИСТРИРОВАНИЕ Антон Борисов

a.borisov@tesv.tmb.ru 43
Почтовая система на базе MTA exim
Вежливый отказ
Всеволод Стахов
cebka@jet.msk.su 6 Александр Шибенко
pulse@hotmail.ru 50
Настройка почтовой системы на базе
Postfix + Dovecot + PostgreSQL + Управление файловыми серверами
Amavisd-new + SpamAssassin + ClamAV
Иван Коробко
Рустам Атнагулов ikorobko@prosv.ru 52
mosqit@sc.rb.ru 14
Русификация FreeDOS
«Кто стучится в дверь ко мне…»
Обзор системы поддержки списков Вадим Дружин
рассылок GNU Mailman vdruzhin@mail.ru 59
Андрей Маркелов
andrew@markelov.net 18 ПРОГРАММИРОВАНИЕ

Как различать и считать Техника внедрения кода в РЕ-файлы

маркированный трафик? и методы его удаления
Павел Закляков Крис Касперски
amdk7@mail.ru 20 kk@sendmail.ru 62

PostgreSQL: первые шаги СЕТИ

Сергей Супрунов
amsand@rambler.ru 26 Metro Ethernet
Денис Еланский
Упрощаем себе жизнь с Webmin grosm@samag.ru 84
Сергей Яремчук
grinder@ua.fm 34 ОБРАЗОВАНИЕ

FreeBSD tips: ARP в «заморозке» Второе начало термодинамики – гарант

успеха систем с открытым исходным
Сергей Супрунов кодом
amsand@rambler.ru 38
Алексей Мичурин
alexey@office-a.mtu-net.ru 91
№7(20), июль 2004 1

С 24 июня по 3 августа 2004 года на страницах популяр-
ного каталога программного обеспечения SOFT@Mail.Ru
(http://soft.mail.ru) проводится конкурс «Сисадмин – тоже
человек», посвященный Международному дню системно-
го администратора (30 июля). Конкурс организован ком-
панией SoftLine и интернет-холдингом Mail.Ru.
Конкурс посвящен вам, уважаемые сисадмины, и ва-
шему нелегкому труду, и не только нелегкому, но еще и
нервному, а иногда и просто вредному. Для здоровья, ко-
нечно, а не для пользователей. Вознаграждать этот труд
обычно некому: для пользователя сисадмин – работник
«невидимого фронта», чем незаметней, тем лучше, да и
сами сисадмины по природе обычно скромные и сдержан-
ные. Работа обязывает.
Сисадмин в России часто отвечает за работу, не име-
ющую прямого отношения к его профессиональным обя-
занностям. Более половины сисадминов официально не
называются системными администраторами. Поэтому к
участию в этом летнем творческом конкурсе приглаша-
ются также веб-мастера, администраторы баз данных и
служб электронной почты, системные программисты, ад-
министраторы телефонных сетей и систем голосовой по-
чты и других служб.
Конкурс «Сисадмин – тоже человек» будет способство-
вать мягкой психологической реабилитации работников
системного администрирования: вам, уважаемые сисад-
мины, предлагается поделиться своими размышлениями
о работе, пользователях, компьютерах и жизни в целом.
Рассказав о трудностях (а может, и радостях) сисадминс-
кой жизни, изложив всю правду о «юзерах» и почитав со-
общения ваших коллег, вы снимете напряжение, рас-
слабитесь, выскажетесь и … улыбнетесь. Ваши оригиналь-
ные рассказы, жалобы, истории вдохновят пользователей
на создание открыток в честь дня сисадмина. Создание
открыток для сисадминов составит вторую часть конкур-
са под кодовым названием «Утешить сисадмина».
Открытки разместятся на сайте Открытки@Mail.Ru
(http://cards.mail.ru). С этого сайта все желающие смогут
послать поздравления своим знакомым сисадминам. Каж-
дая открытка будет создаваться автором в честь одного
из сисадминов, оставивших свое сообщение в книге жа-
лоб. Победитель среди сисадминов будет определяться
по числу размещенных в его честь открыток. Чем раньше
№7(20), июль 2004
конкурс
вы разместите свое сообщение, тем больше пользовате-
лей его прочитает и тем больше у вас шансов победить.
Итоги конкурса будут подведены 3 августа. Системно-
го администратора, чье сообщение будет пользоваться
наибольшим вниманием пользователей и авторов откры-
ток, ждет главный приз от генерального спонсора конкур-
са «Сисадмин – тоже человек» – Учебного Центра SoftLine
(http://softline.ru/edu). Это программа подготовки Microsoft
Certified Systems Administrator (MCSA 2003). Программа
представляет собой трек продолжительностью 17 дней,
состоящий из набора полезных курсов:
! управление и поддержка среды Windows Server 2003;
! установка, настройка и администрирование Windows
XP Professional;
! внедрение сетевой инфраструктуры Windows Server
2003: сетевые узы;
! внедрение, управление и сопровождение сетевой ин-
фраструктуры Windows Server 2003: сетевые службы;
! установка и управление Microsoft Internet Security and
Acceleration Server 2000.
Победитель может заменить входящие в трек MCSA
2003 курсы на аналогичные по стоимости и длительности
курсы Microsoft. Сисадминов-победителей ждут фирмен-
ные призы от Mail.Ru, а также бесплатная подписка на
второе полугодие 2004 года на журнал «Системный ад-
министратор» от редакции журнала. Авторы лучших от-
крыток получат ценные призы от интернет-магазина
Allsoft.ru (http://www.allsoft.ru) компании SoftLine, главный
из которых – графический планшет Wacom. А 30 июля – в
Международный день сисадмина – всех участников кон-
курса ждет приятный сюрприз.
Официальная страничка конкурса в Интернете – http://
soft.mail.ru/competitions/sysadmin.
По адресу info@soft.mail.ru вы можете задать любые
вопросы, связанные с проведением конкурса, а также при-
слать ваши предложения и пожелания.
С уважением организаторы конкурса – компании SoftLine
и Mail.Ru.
3
 IMHO
ЕСТЬ ТАКАЯ
ПРОФЕССИЯ
АЛЕКСЕЙ КОРШУНОВ
В последнее время профессия системного администра-
тора стала крайне популярной, особенно среди молодых
людей. Практически в любой компании есть специалисты
такого профиля. Кто эти люди, и какое у них как специа-
листов будущее?
Так как официально профессии «системный админист-
ратор» не существует, количество её трактовок неимовер-
но велико, каких только не приходилось мне слышать. От
ужасно вычурных до откровенно «забавных», но в одном
сходятся все – это человек, настраивающий и следящий за
работой «компьютерного хозяйства» компании. Будь то
мощные сервера и сотни пользовательских станций или
десяток пользовательских компьютеров и одиннадцатый
в «качестве сервера».
Из-за неразберихи с определением, а значит, и обя-
занностями системных администраторов, большинство
бизнесменов и начальников слабо представляют, чем че-
ловек с такой специальностью должен заниматься. Очень
часто приходится слышать, как сисадмина называют по-
свойски «компьютерщик». Я неспроста привел этот тер-
мин. Дело в том, что довольно давно, когда он появился, у
людей в голове сложилась картина этакого «маньяка кла-
виатуры», который, грубо говоря, просто хорошо разби-
рается в компьютерах. Следовательно, этот человек мо-
жет разобраться и в серверах, и в компьютерах пользова-
телей и… может настроить мини-АТС, починить ксерокс,
поменять бумагу в факсе. Ведь начальство действитель-
но свято верит, что все это оборудование напрямую отно-
сится к «компьютерному хозяйству» компании, а значит,
в ведении системного администратора. Другими слова-
ми, круг обязанностей системного администратора может
оказаться весьма широк.
Возросшая популярность профессии привела к пони-
жению общего уровня зарплат и уровня востребованнос-
ти системных администраторов. Я говорю о тех толпах сту-
дентов и просто безработных молодых людей, которые по
какой-то причине вообразили, что они могут работать си-
стемными администраторами. Давайте посмотрим на си-
туацию честно и непредвзято. Для большинства (относи-
тельно количественной, а не качественной массы) ныне
существующих системных администраторов эта специаль-
ность есть способ заткнуть дыру своей незанятости как
работающего человека. «Я нигде не работаю, но знаю ком-
пьютеры (это «знаю» заслуживает отдельного длинного
обсуждения, ну да бог с ним) – значит, я могу работать
системным администратором». Правильно? И да, и нет.
4
Любой специалист-сисадмин на пальцах разложит и
докажет, что такое утверждение не верно в принципе.
Но так ли это? Работа многих и многих системных ад-
министраторов заключается (разумеется, не всегда, но
чаще всего) в следовании некоторым схемам. «Настроил,
следишь за работой, избегаешь нештатных ситуаций, если
таковые возникают, исправляешь последствия». По боль-
шому счету схему работы среднего системного админис-
тратора небольшой компании можно было бы описать в
одной не самой толстой книжке. Даже места для карти-
нок хватило бы. «А как же искусство?» – спросите вы. «Как
же решение нестандартных проблем и задач?» Полнос-
тью с вами согласен – для решения действительно нетри-
виальных и сложных задач (проблем) нужен достаточный
опыт и просто элементарное знание основ плюс голова
на плечах. Но, господа хорошие, поймите, что работода-
телей устраивает «работа по схеме». Поэтому совсем не
удивительно, что они предпочитают взять на работу сту-
дента-недоучку за маленькие деньги вместо матерого и
опытного специалиста на весьма и весьма хорошие день-
ги. Более того, ситуация не стоит на месте, и многие уже
пришли к тому, что можно и настоящего специалиста взять
за копейки, дописав ему количество обязанностей, кото-
рые в принципе не способен выполнять один и тот же че-
ловек по причине отсутствия трех голов и восьми рук. Но
кого это интересует? Реально – никого, кроме самих «оби-
женных» системных администраторов. Для работающих
на данный момент специалистов назрела проблема – как
быть дальше. Куда развиваться, где искать заработок нор-
мального уровня. Причин возникновения данной ситуации
существует немало, и если вдаваться в детали и тонко-
сти, то получится как минимум хорошая курсовая для ка-
кого-нибудь студента. Давайте лучше подумаем, как вый-
ти из этого положения.
Первое, что приходит в голову, – это повышение про-
фессионального уровня. Прохождение курсов и получе-

ние сертификатов помогают найти высокооплачиваемую
работу по специальности. К слову сказать, некоторые сер-
тификаты можно получить, не посещая курсы, а лишь со-
вершенствуя свои познания в нужной области с последу-
ющей сдачей экзаменов.
Настоящие системные администраторы-профессиона-
лы не сидят на месте и не имеют возможности «зависать»
на форумах и в чатах целыми днями. У них слишком мало
времени и слишком много дел, за которые они и получа-
ют достойную оплату.
Также возможен последующий переход на новые сту-
пени. Известны случаи, когда администратор-професси-
онал перерастал в руководителя крупного IT-отдела боль-
шой компании или же вовсе начинал собственное дело.
Но скажите честно, все ли вы действительно собирае-
тесь всю жизнь работать системными администраторами,
пусть даже в надежде стать начальниками IT-отдела? Не
та это специальность, которая способствует постоянному
профессиональному росту и радует душу будущими зо-
лотыми горами. (Исключаем из рассмотрения места в ком-
паниях, где данное утверждение не верно по причине боль-
шого размера компании и широчайших возможностей
карьерного роста – такая ситуация не настолько типична,
как многим хотелось бы.)
Если представить, что вы уже прошли тот период, ког-
да вам «срочно нужны деньги на пиво» и предположить
смещение приоритетов в более серьезную сторону, то
представляется весьма неплохая картина для смены ос-
новной специализации. Работа у вас уже есть, нехватки
свободного времени (как правило) нет, какие-никакие
деньги компания ежемесячно вам «отслюнявит». Что ме-
шает прекратить ныть о тяжести судьбы и начать менять
ситуацию хотя бы относительного себя самого? Думаю,
что только лень.
Кем может быть человек, проработавший какое-то вре-
мя системным администратором? Да кем угодно! Более
того, у системных администраторов зачастую даже боль-
ше возможностей найти специальность «под себя», так
как по воле работы им зачастую приходится поверхност-
но вникать в аспекты работы многих сотрудников.
Примером смены основного профиля может послужить
ситуация, когда люди в процессе работы понимали, что
общая деятельность компании им как минимум интерес-
на. Обычно впоследствии эти люди получали соответству-
ющее их интересам образование (как вариант, если это
возможно, прохождение нужных курсов) и, случалось, что
меняли род деятельности на совершенно иной. Так, на-
пример, один мой знакомый, работавший в компании, за-
нимающейся продажей мото- и автотехники, захотел быть
руководителем отдела продаж (там и заработки выше, и
работа много интересней, не говоря уже о различных пер-
спективах «полезных знакомств»). Получил образование,
прошел курсы менеджмента и сообщил своему началь-
ству о желании работать в новом качестве. Разумеется,
никто не назначил новоиспеченного менеджера руково-
дителем уже состоявшегося отдела в тот же миг, и ему
пришлось какое-то время работать, доказывая свою со-
стоятельность как исполнителя, так и руководителя. Од-
нако для нас гораздо важнее то, что спустя всего полгода
№7(20), июль 2004
IMHO
(от момента «смены профиля») он добился желаемого ре-
зультата и, насколько я знаю, весьма им (как результа-
том, так и профилем) доволен.
Другой пример не связан с поиском места работы «вок-
руг себя», однако имеет прямое отношение к профессии
системного администратора. Так как многие достаточно
долго работающие в данной специальности люди имеют
свои «рабочие» схемы и способы анализа как задач, так
и различных внештатных ситуаций (другими словами, ис-
пользуют системный подход), не удивительно, что анали-
тическая часть ума у этих людей развита превосходно.
Поэтому лично я ничуть не удивился, когда узнал, что два
моих знакомых стали аналитиками в достаточно крупных
компаниях. Разумеется, эта работа гораздо более инте-
ресна для них, так как не зациклена на чем-то одном (ком-
пьютеры, сервера и проч.), а охватывает несоизмеримо
больший круг вопросов.
Другими словами, примеров смены основного профи-
ля масса. Зачастую они сделаны с учетом тех сильных
сторон человека, которые были выявлены в процессе ра-
боты в должности системного администратора. Какая-то
часть людей находит интересную для себя работу в том
же офисе, где они обслуживали компьютерную сеть. Как
правило, все вопросы, связанные с аналитическими, так-
тическими сторонами работы, достаточно легко даются
человеку, работавшему системным администратором.
Видимо, причина в типе мышления людей, выбирающих
эту специальность.
Так в чем же дело? Может быть, пора перестать де-
лать большие круглые глазки, встречая очередное объяв-
ление о поиске «человека-комбайна» и вплотную занять-
ся своим будущим? Я понимаю, что возможность целыми
днями фактически ничего не делать, а только сидеть на
форумах и в чатах, для многих притягательна, но пора за-
думаться о том, чем это обернется в будущем. Огляни-
тесь вокруг, может быть, «ваша» специальность скрыва-
ется за соседним столом менеджера по работе с корпора-
тивными клиентами.
Мне приходилось слышать уверения вроде «я больше
ничего делать не умею». Думаю, нетрудно вспомнить, что
когда-то вы и UNIX не смогли бы установить. Или вы ро-
дились, зная, как работать в шелле? Сомневаюсь.
Специальность системного администрирования нельзя
сравнивать со сферой коммунальных услуг, все-таки она
требует некоторого интеллектуального труда, а не слепо-
го следования инструкциям. Но и рассматривать ее как
постоянную специальность для состоявшегося человека,
мне кажется, не совсем правильно, так как эта профес-
сия не может дать достойного развития и карьерного рос-
та (повторюсь – за исключением редких случаев, рассмат-
ривать которые я не берусь особенно в свете глобальной
популяризации этой специальности) для действительно
умного сотрудника.
Начальство зачастую и не подозревает, какие ценные
кадры скрыты в их компании до тех пор, пока вы сами это
им не покажете.
Может быть, уже пришло время активных действий,
чтобы не было мучительно больно за впустую потрачен-
ные годы лет так через десять?
5
администрирование

ПОЧТОВАЯ СИСТЕМА НА БАЗЕ MTA EXIM

ВСЕВОЛОД СТАХОВ

6

В этой статье пойдет речь о создании эффективного по-
чтового сервера на базе MTA exim. Первый вопрос, кото-
рый, конечно же, приходит в голову – «Почему именно
exim?». Отвечают на этот вопрос по-разному, поэтому я
скажу, что меня так привлекает в exim:
! логичная схема обработки почты;
! высокая скорость работы;
! удобный формат конфигурационного файла;
! широчайшие возможности по поиску каких-либо зна-
чений в файлах, СУБД, LDAP;
! встроенная поддержка smtp-аутентификации;
! небольшое число найденных уязвимостей (фактичес-
ки я знаю только об одной, найденной недавно, она ка-
салась версий exim до 4.20 включительно);
! очень большое количество возможностей, а также
чрезвычайная гибкость;
! возможность полной замены sendmail (т.е. можно сде-
лать):
ln -sf /usr/local/sbin/exim /usr/libexec/sendmail
На мой взгляд, exim является весьма и весьма удач-
ным продуктом, не зря он используется по умолчанию в
ОС Debian GNU Linux. Два больших минуса exim состоят в
том, что отсутствует качественная документация на рус-
ском языке (этот недостаток я, возможно, постараюсь в
скором времени исправить написанием книги, посвящен-
ной целиком и полностью этому замечательному MTA) и
необходимость правки Makefile для включения тех или
иных возможностей exim.
Итак, для начала подумаем, что должна содержать
«идеальная» с точки зрения удобства администрирования
и использования почтовая система. Сформулируем ряд
требований к почтовой системе:
! простота управления пользователями;
! возможность предоставления доступа для отправки по-
чты пользователям локальной сети и мобильным поль-
зователям (при помощи smtp-аутентификации);
! максимальная защита от хакерских атак, вирусов и спа-
ма.
Базовой системой для установки MTA явилась FreeBSD
5.2.1, что обусловило определенные особенности установ-
ки. Перечислю весь набор программного обеспечения для
организации mail-сервера:
! exim-4.34;
! MTA (mail transfer agent – агент передачи почты);
! courier-3.0.4 – imap-сервер для доступа к почте поль-
зователей, не имеющих локальных пользовательских
учетных записей (виртуальные пользователи);
! ClamAV – для поиска вирусов;
! SpamAssasin – для поиска спамерских писем;
! PostgreSQL-7.4.2 – для хранения всех данных о пользо-
вателях почтовой системы;
! SquirrelMail – просто приятный веб-интерфейс для по-
чты (требует веб-сервер и php).
Конечно, можно собрать все вышеперечисленные ком-
поненты и вручную, но я не поклонник такого подхода. Во-
№7(20), июль 2004
администрирование
первых, надо очень четко представлять порядок сборки
различных компонентов. Во-вторых, необходимо разби-
раться в куче опций для связки различных библиотек. В-
третьих, надо четко представлять себе все пути и знать,
каких пользователей надо добавлять. Ну и в-четвертых,
это дело очень сложно обновлять. Потому мы воспользу-
емся услугами системы портов (если у вас, например,
Debian GNU Linux, то нужный пакет называется exim4-
daemon-heavy).
Для этого ставим следующие порты:
databases/pogstgresql7
mail/exim
при компиляции необходимо указать следующие опции:
make WITH_PGSQL=yo
mail/p5-Mail-SpamAssassin
security/clamav
mail/courier-imap
при компиляции опять же указываем:
make WITH_CRAM=yo WITH_POSTGRESQL=yo
mail/squirrelmail
После сборки всего нужного переходим к стадии на-
стройки. Тут придется затратить порядочное количество вре-
мени на настройку всех компонентов почтовой системы, и
целью этой статьи является минимизация этого времени.
Итак, начнем с настройки СУБД PostgreSQL, как осно-
вы для построения почтовой системы. Во-первых, Postgre
SQL работает с правами системного пользователя pgsql
(обратите внимание, этот пользователь имеет реальный
shell и домашний каталог – /usr/local/pgsql). Поэтому для
начала задаем пароль для данного пользователя:
# passwd pgsql
Далее делаем su pgsql и начинаем создание базы дан-
ных:
# su pgsql
% psql
Вводим пароль пользователя pgsql и попадаем в ко-
мандную строку SQL-запросов. Для подробного ознаком-
ления с возможностями СУБД советую обратиться к ру-
ководству или же одной из книг. Создаем БД:
CREATE DATABASE users;
Присоединяемся к данной БД:
\c users
Создаем таблицу пользовательских аккаунтов, а так-
же constraint для нее:
CREATE TABLE accounts (
uid serial NOT NULL,
login character varying(128),
"password" character varying(128),
maildir character varying(255),
gecos character varying(255),
7
 администрирование
gid integer DEFAULT 150,
home character varying(255),
mailquota integer DEFAULT 20
);
ALTER TABLE ONLY accounts
ADD CONSTRAINT uid_k PRIMARY KEY (uid);
ALTER TABLE ONLY accounts
ADD CONSTRAINT login_k UNIQUE (login);
Создаем таблицу алиасов:
CREATE TABLE aliases (
mail character varying(128) NOT NULL,
alias character varying(128)
);
ALTER TABLE ONLY aliases
ADD CONSTRAINT mail_k PRIMARY KEY (mail);
Поясню назначение таблиц и полей:
! таблица accounts предназначена для хранения данных
о виртуальных пользователях почтовой системы, на-
значение полей:
! uid – уникальный номер пользователя, имеет авто-
инкрементный тип;
! login – строка, содержащая имя пользователя в фор-
мате «имя@домен» для возможности доставки по-
чты для пользователей различных доменов;
! password – пароль в открытом виде (для возможно-
сти безопасной cram-md5 аутентификации);
! maildir – путь к почтовому ящику в формате maildir -
gecos – комментарий (для чего-нибудь да пригодит-
ся);
! gid – идентификатор группы (не нужен реально, но
зачем-то требуется для courier);
! home – аналогично gid;
! mailquota – число в мегабайтах, указывающее кво-
ту для пользователя;
! таблица aliases представляет собой просто замену /etc/
aliases, содержит два поля – mail (исходный адрес) и
alias (адрес для перенаправления).
После этого будем считать, что PostgreSQL у нас ра-
ботает. Однако для полного использования возможностей
этой СУБД лучше почитать документацию.
Далее перейдем к настройке собственно MTA exim.
Конфигурационный файл для версии «из портов» хранит-
ся в /usr/local/etc/exim/configure. Для начала я бы хотел
пояснить значение некоторых терминов и рассказать о
базовых принципах работы exim.
Представим себе путь прохождения любого почтового
сообщения. Любое письмо состоит из так называемого кон-
верта и собственно данных. То, с чем мы привыкли рабо-
тать в почтовых клиентах, как раз является «данными» и
не имеет к конверту никакого отношения. В конверте опи-
сываются 2 параметра: mail from: и rcpt to:, которые указы-
вают отправителя и получателей соответственно. Сеанс
работы с MTA может предваряться «приветствием» – стан-
дартным (HELO) и расширенным (EHLO). В приветствии
должно указываться FQDN клиента, хотя по ряду причин
не стоит слишком строго следить за именно FQDN, т.к.
многие машины могут находиться за NAT. MTA в ответ на
HELO или EHLO сообщает о своих возможностях, обеспе-
чивая тем самым синхронизацию клиента и сервера. Да-
лее exim осуществляет проверку целевых адресов на пред-
8
мет их допустимости для данного сервера. Этот этап мо-
жет предваряться аутентификацией и установкой TLS-сес-
сии. Если пользователь прошел какой-либо из этих этапов,
ему присваиваются определенные флаги, которые в даль-
нейшем могут использоваться на этапе проверки конвер-
та. По умолчанию exim осуществляет проверку недопусти-
мых символов в адресах и позволяет отправлять почту толь-
ко из локальных доменов и только на локальные домены.
Кроме того, при успешной аутентификации письмо прохо-
дит и в Интернет. Для остальных писем релей (передача
писем) запрещена. Все проверки в exim4 осуществляются
на основании механизма acl (access control list – список
доступа). Также может осуществляться проверка данных
(этот механизм добавляется при установке патча exiscan,
который при установке портов уже ставится). После успеш-
ного прохождения этого этапа exim просматривает rewrite-
правила для переписывания отдельных частей конверта
(может использоваться в целях перенаправления всех пи-
сем на какой-либо смарт-хост, например). Далее письмо
попадает на цепочку так называемых роутеров, которые
определяют, как именно доставлять письмо. Среди роуте-
ров фигурирует dnslookup, доставляющий письма на осно-
вании MX-записей в DNS, проверка файла алиасов и
.forward-файлов, ну и локальная доставка. Каждый роутер
имеет некое условие срабатывания и соответствующий
транспорт. При выполнении условия exim выбирает указан-
ный транспорт для доставки письма, иначе письмо прохо-
дит на следующий роутер (поэтому важен порядок описа-
ния роутеров в конфигурационном файле). Транспорты же
определяют порядок доставки письма. Таким образом,
настройка exim состоит из нескольких частей:
! настройка глобальных параметров;
! настройка acl’s;
! настройка роутеров;
! настройка транспортов;
! настройка аутентификаторов;
! настройка очереди;
! настройка rewrite-правил.
В настройке exim широко используются различные
списки (hostlist, domainlist и dnslist) и так называемые
lookup, при помощи которых exim извлекает данные из
внешних источников.
Многие мои знакомые, пытаясь освоить exim, считали
lookup самой запутанной темой, потому я остановлюсь на
этом вопросе чуть подробнее. Существует два типа поис-
ка: поиск по одному ключу (single-key) и поиск по запросу
(query). Первый используется для поиска в локальных
файлах, а второй – в различного рода базах (sql, ldap и
прочее). Любые lookup могут быть вложенными, то есть в
одном поиске используются результаты другого.
Поиск на основе single key строится примерно так:
${lookup{$var_to_search}lsearch{/path/to/file}}
Особо следует отметить расставление фигурных ско-
бок. Если вы знакомы с функциональными языками вро-
де лиспа, то такой синтаксис для вас будет привычен, ина-
че просто нужно считать каждую конструкцию списком,

который обрабатывает exim. Тогда все строковые и дру-
гие константы тоже заключаются в фигурные скобки.То
есть вышеприведенный пример можно рассматривать как:
$ñïèñîê -> ${lookup ñïèñîê} -> ${lookup {$var_to_search} ↵
driver{driver_arguments}}
При этом сам файл, в котором осуществляется поиск,
должен выглядеть так:
$var_to_search: çíà÷åíèå
Приведу более конкретный пример – построение спис-
ка доменов из файла на основании адреса отправителя
(пример из документации):
domainlist domains = ${lookup{$sender_host_address} ↵
lsearch{/some/file}}
при этом сам файл должен выглядеть следующим образом:
192.168.3.4: domain1 : domain2 : ...
192.168.1.9: domain3 : domain4 : ...
При этом поиск осуществляется по первому полю. Отли-
чие query-style-поиска в том, что мы явно не обозначаем,
что искать, указывая вместо этого запрос. Так выглядит
типичный запрос к SQL-базе:
${lookup driver{query}{action_if_query_succeed} ↵
{action_if_query_failed}}
Например:
domainlist domains = ${lookup pgsql{select domains from ↵
domains where sender='$sender_host_address'}{$value}fail}
При успешном выполнении запроса возвращается зна-
чение из базы, иначе совершается специальное действие
fail, означающее неудачный запрос.
Несколько пугающими бывают запросы к LDAP. Раз-
беру их поподробнее. Указание сервера и порта LDAP выг-
лядит следующим образом:
ldap_default_servers = 127.0.0.1::389
Запросы к директории выглядят так:
${lookup ldap{ldap://ldap.test.ru/dc=${domain},ou=mail, ↵
o=tehnopark?mail?sub?(&(objectClass=inetOrgPerson) ↵
(mail=${local_part}@${domain}))}{$value} fail}
Форма запроса описана в стандарте, но, думаю, ее сто-
ит дополнительно пояснить. В запросе мы указываем ад-
рес LDAP-сервера (ldap://ldap.test.ru/), basedn для поиска
(dc=${domain},ou=mail,o=tehnopark), значение, которое
нужно вернуть (mail), описание запроса (также в постфик-
сной форме, характерной для функциональных языков:
(&(objectClass=inetOrgPerson)(mail=${local_part}@${domain}))).
Когда требуется аутентификация на сервере, тогда
просто указываем нечто вроде:
${lookup ldap
{user="cn=manager,o=tehnopark of innovation,c=RU" pass=secret
ldap:///o=tehnopark%20of%20innovation,c=RU?sn?sub?(cn=foo)}
{$value}fail}
№7(20), июль 2004
администрирование
Заметьте необходимость замены пробелов на %20, как
того требует стандарт. Более подробно обо всем этом
можно узнать на http://www.exim.org/exim-html-4.30/doc/
html/spec_9.html#CHAP9. Думаю, для дальнейшего пони-
мания статьи этого вполне достаточно.
Итак, собственно конфигурационный файл exim. Кое-
где я добавил свои комментарии, чтобы улучшить пони-
мание различных директив.
##########################################################
# Runtime configuration file for Exim #
##########################################################
# Çäåñü ìû îïðåäåëÿåì ìàêðîñû, îïèñûâàþùèå ðàçëè÷íûå ïóòè
CONFIG_PREFIX=/usr/local/etc/exim
ACL_PREFIX=CONFIG_PREFIX/acls
CERTDIR=CONFIG_PREFIX/certs
# Çäåñü ìû óêàçûâàåì, ãäå íàõîäèòü íàø PostgreSQL-ñåðâåð,
# ñîåäèíåíèå îñóùåñòâëÿåòñÿ ÷åðåç ëîêàëüíûé ñîêåò, êîìàíäà
# hide ïîìîãàåò ñïðÿòàòü ýòó íàñòðîéêó ïðè âûçîâå exim -bP,
# êîãäà exim âûâîäèò âñå êîíôèãóðàöèîííûå îïöèè â ñòàíäàðòíûé
# âûâîä. Ó÷òèòå, ÷òî ñàì /usr/local/etc/exim/configure äîëæåí
# èìåòü âëàäåëüöà root:wheel è èìåòü ïðàâà äîñòóïà 0600, ÷òî
# îòëè÷àåòñÿ îò òîãî, ÷òî ïðèíÿòî ïî óìîë÷àíèþ (0644)
hide pgsql_servers = (/tmp/.s.PGSQL.5432)/users/pgsql/pAsSwOrD
# Òóò ìû îïèñûâàåì ñïèñêè äîìåíîâ
# Local_domains âêëþ÷àåò äîìåíû, ñ÷èòàþùèåñÿ ëîêàëüíûìè, òî
# åñòü òå äîìåíû, äëÿ êîòîðûõ exim äåëàåò ëîêàëüíóþ äîñòàâêó,
# äëÿ îñòàëüíûõ äîìåíîâ ïî÷òà äîñòàâëÿåòñÿ ïî MX çàïèñÿì â DNS.
# Îáðàòèòå âíèìàíèå íà äîïîëíèòåëüíûå ôàéëû ACL_PREFIX/localdomains
# è ACL_PREFIX/hostingdomains, â êîòîðûõ ïåðå÷èñëåíû äîìåíû,
# ðàçäåëåííûå ïåðåâîäîì ñòðîêè (òî åñòü ïî îäíîìó äîìåíó íà
# êàæäóþ ñòðîêó)
domainlist local_domains = unona.test.ru : ↵
ACL_PREFIX/localdomains : ACL_PREFIX/hostingdomains
# Äîïîëíèòåëüíàÿ íàñòðîéêà
domainlist hosting_domains = ACL_PREFIX/hostingdomains
# Ñïèñîê õîñòîâ, ïî÷òó íà êîòîðûå ìû ÿâíî îòâåðãàåì
hostlist host_reject = ACL_PREFIX/hostreject
domainlist relay_to_domains =
# Ñïèñîê àäðåñîâ, ñ êîòîðûõ ðàçðåøåíà ïåðåäà÷à ïî÷òû âî
# âíåøíèé ìèð
hostlist relay_from_hosts = localhost : 192.168.1.0/24 : ↵
ACL_PREFIX/relayfromhosts
# Ïðîâåðêà ïîëó÷àòåëÿ
acl_smtp_rcpt = acl_check_rcptú
# Ïðîâåðêà mime ñîäåðæèìîãî
acl_smtp_mime = acl_check_mime
# Ïðîâåðêà íà ñïàì è âèðóñû
acl_smtp_data = acl_check_virus
# Çäåñü ìû îïèñûâàåì íàø àíòèâèðóñ
av_scanner = clamd:127.0.0.1 3310
# È spamassasin
spamd_address = 127.0.0.1 783
# Íàñòðîéêè ïîëüçîâàòåëÿ è ãðóïïû ïî óìîë÷àíèþ
exim_user = mailnull
exim_group = mail
# Íèêîãäà íå îñóùåñòâëÿåì äîñòàâêó ïîä ðóòîì - root äîëæåí
# áûòü àëèàñîì íà äðóãîãî ëîêàëüíîãî ïîëüçîâàòåëÿ. Êñòàòè,
# ýòî îáÿçàòåëüíîå óñëîâèå, çàäàííîå åùå íà ýòàïå êîìïèëÿöèè
never_users = root
# Íàñòðîéêè äèðåêòîðèè äëÿ î÷åðåäè
spool_directory = /var/spool/exim
# Ðàçäåëÿåì spool_directory íà íåñêîëüêî áîëåå ìàëåíüêèõ,
# àíàëîã õåø-òàáëèöû, óñêîðÿåò îáðàáîòêó spool
split_spool_directory
# Ïûòàåìñÿ ñäåëàòü ñîîòâåòñòâèå ïðÿìîé è îáðàòíîé çîíû DNS
# äëÿ êàæäîãî õîñòà. Íåñêîëüêî çàòðàòíî, íî âåñüìà ïîëåçíî
host_lookup = *
# Óáèðàåì ïðîâåðêó identd íà êëèåíòñêîé ñòîðîíå. Èç-çà
# íåïðàâèëüíî íàñòðîåííûõ firewall ýòî ÷àñòî âûçûâàåò
# äëèòåëüíûå òàéì-àóòû, êðîìå òîãî, ýòîò ñåðâèñ ïîäíÿò
# íå ó ìíîãèõ
rfc1413_query_timeout = 0s
# Óêàçûâàåì êîå-êàêèå ëèìèòû (èõ íàçíà÷åíèå ÿñíî èç íàçâàíèÿ)
9
администрирование
smtp_accept_max = 50 # Ïðèíèìàåì ëþáûå ñîåäèíåíèÿ, êîòîðûå áûëè óñïåøíî
smtp_connect_backlog = 40 # àâòîðèçîâàíû
smtp_accept_max_per_host = 10 accept authenticated = *
smtp_accept_queue = 22
smtp_accept_queue_per_connection = 10 # Ðåàëèçàöèÿ íàøåãî áàí-ëèñòà
recipients_max = 16 deny hosts = +host_reject
recipients_max_reject = true message = You are banned. Go away.
message_size_limit = 16M # Çàïðåùàåì âñå, ÷òî íå ðàçðåøåíî, çàêðûâàÿ òåì ñàìûì ðåëåé
accept_8bitmime # äëÿ ñïàìåðîâ
deny message = relay not permitted
# Èãíîðèðóåì ñîîáùåíèÿ, êîòîðûå ïðèõîäÿò íàì æå, äàâíîñòü
# êîòîðûõ áîëåå 12 ÷àñîâ
ignore_bounce_errors_after = 12h # Ñïèñîê äîñòóïà äëÿ ïðîâåðêè mime-÷àñòåé ñîîáùåíèÿ
acl_check_mime:
# Óäàëÿåì çàìîðîæåííûå ñîîáùåíèÿ, äàâíîñòü êîòîðûõ áîëüøå
# íåäåëè. # Ïðîèçîäèì äåêîäèðîâàíèå mime-ñîîáùåíèé. Ïîëåçíî äëÿ
timeout_frozen_after = 7d # äàëüíåéøåé ïðîâåðêè íà âèðóñû
warn decode = default
# Íàñòðîéêè TLS
tls_certificate = CERTDIR/mailed.crt # Ìîæíî î÷åíü áûñòðî îòñåÿòü ñîîáùåíèÿ, ïðîñòî çàïðåòèâ
tls_privatekey = CERTDIR/mailed.key # íåêîòîðûå mime-âëîæåíèÿ, ÷àùå âñåãî ñîäåðæàùèå âèðóñû,
tls_advertise_hosts = * # õîòÿ, êîíå÷íî, ýòî íå ïàíàöåÿ
tls_verify_certificates = * deny message = Blacklisted file extension detected
# Ñëåäóþùàÿ îïöèÿ çàêîììåíòèðîâàíà, íî âåñüìà ïîëåçíà, condition = ${if match {${lc:$mime_filename}} ↵
# ïîçâîëÿÿ àâòîðèçèðîâàòüñÿ {\N(\.wav|\.cpl|\.pif| ↵
# òîëüêî ÷åðåç áåçîïàñíûé ssl-êàíàë \.bat|\.scr|\.lnk| ↵
#auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}} \.com)$\N} {1}{0}}

# Ìíîãî ëè ó íàñ ëþäåé, çíàþùèõ êèòàéñêèé? À âîò êèòàéñêîãî

########################################################## # ñïàìà ýòî ïîóáàâèò
# ACL CONFIGURATION # deny message = Sorry, noone speaks chinese here
# Specifies access control lists for incoming SMTP mail # condition = ${if eq{$mime_charset}{gb2312}{1}{0}}
######################################################################
accept
begin acl
# Ïðîâåðêà ñîäåðæèìîãî íà âèðóñû è ñïàì
# Ýòîò ñïèñîê äîñòóïà îïèñûâàåò ïðîâåðêè, îñóùåñòâëÿåìûå acl_check_virus:
# ïðè âûçîâå ëþáîé RCPT-êîìàíäû # Ìû íå çàïðåùàåì ïèñüìà ñî ñïàìîì, à ïðîñòî äîáàâëÿåì
acl_check_rcpt: # çàãîëîâîê, ñîäåðæàùèé êîëè÷åñòâî ñïàìåðñêèõ î÷êîâ,
# à ïîëüçîâàòåëü íà ñâîåé ñòîðîíå óæå ïðîñòî íàñòðàèâàåò
# Âíà÷àëå ïðîâåðÿåì äîñòîâåðíîñòü îòïðàâèòåëÿ # ñâîè ôèëüòðû. Òàê ìû èñêëþ÷àåì æàëîáû ñî ñòîðîíû
require verify = sender # ïîëüçîâàòåëåé î ïîòåðÿííûõ ïèñüìàõ
# Ïðèíèìàåì ñîåäèíåíèÿ îò ëîêàëüíûõ MUA (òî åñòü íå ÷åðåç TCP/IP) warn message = X-Spam-Score: $spam_score ($spam_bar)
accept hosts = : spam = nobody:true
##########################################################
# Ïðîâåðêà ñîîòâåòñòâèÿ ïî÷òîâîãî àäðåñà ñòàíäàðòó # Äîáàâëÿåì çàãîëîâêè, óêàçûâàþùèå, ÷òî ïèñüìà áûëè ïðîâåðåíû
deny message = Restricted characters in address # SpamAsssasin
domains = +local_domains warn message = X-Spam-Scanned: Yes
local_parts = ^[.] : ^.*[@%!/|] warn message = X-Spam-Scanner: SpamAssassin running ↵
accept domains = +local_domains on mail.test.ru
# Çäåñü ïðîïèñàíû òàê íàçûâàåìûå dnsbl, òî åñòü ÷åðíûå
# ñïèñêè MTA ñ îòêðûòûì ðåëååì, ìû ïðîâåðÿåì IP-àäðåñ # Âîò ÷òî-÷òî, à âèðóñû íàì íå íóæíû
# îòïðàâèòåëÿ íà ñîîòâåòñòâèå òàêèì ñïèñêàì è áëîêèðóåì ïèñüìî, deny message = Message rejected: virus found.
# åñëè îòïðàâèòåëü áûë íàéäåí â òàêîì ñïèñêå Your message was successfully
deny message = host is listed in $dnslist_domain trashed.
dnslists = blackholes.mail-abuse.org: ↵ hosts = *
dialups.mail-abuse.org: ↵ malware = *
relays.mail-abuse.org: ↵ accept
relays.ordb.org: ↵
work.drbl.caravan.ru: ↵
dul.ru:sbl.spamhaus.org ##########################################################
# ROUTERS CONFIGURATION #
# Ïðàâèëî íà ïðîâåðêó âñåõ ïî÷òîâûõ àäðåñîâ, êðîìå ëîêàëüíûõ # Specifies how addresses are handled #
# (ìåíåå ñòðîãîå) ##########################################################
deny message = Restricted characters in address # THE ORDER IN WHICH THE ROUTERS ARE DEFINED IS IMPORTANT!#
domains = !+local_domains # An address is passed to each router in turn until it is #
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ # accepted. #
########################################################## ######################################################################
# Ïðèíèìàåì ïî÷òó äëÿ ïîëüçîâàòåëÿ postmaster ëîêàëüíûõ
# äîìåíîâ, íå âçèðàÿ íà îòïðàâèòåëÿ begin routers
accept local_parts = postmaster
domains = +local_domains # Ðîóòåð, îñóùåñòâëÿþùèé ïîèñê ïî MX-çàïèñÿì â DNS
dnslookup:
# Deny unless the sender address can be verified driver = dnslookup
domains = ! +local_domains
accept domains = +local_domains transport = remote_smtp
endpass ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
verify = recipient no_more
# Åñëè äîìåí â ñïèñêå relay_to_domains, òî ðàçðåøàåì ðåëåé # Âñå îñòàíëüíûå ðîóòåðû îáñëóæèâàþò äîñòàâêó ëîêàëüíîé ïî÷òû
accept domains = +relay_to_domains # Äðàéâåð àëèàñîâ ïîëüçîâàòåëÿ. Îáðàòèòå âíèìàíèå íà lookup
endpass # â pgsql-áàçå. ×òî èíòåðåñíî, ýòîò lookup ðàáîòàåò äàæå äëÿ
verify = recipient # èåðàðõè÷åñêèõ àëèàñîâ, íàïðèìåð, postmaster -> root ->
accept domains = +hosting_domains # cebka -> cebka@jet.msk.su Òàêæå îïðåäåëÿþòñÿ òðàíñïîðòû
endpass # äëÿ ïåðåäà÷è ïî÷òû â ôàéë (>/path/to/file) è â pipe
verify = recipient # (|/usr/local/libexec/slocal)
system_aliases:
accept hosts = +relay_from_hosts driver = redirect

10

allow_fail
allow_defer
data = ${lookup pgsql{select alias from aliases where ↵
mail ='$local_part@$domain'}{$value}fail}
user = mailnull
group = mail
file_transport = address_file
pipe_transport = address_pipe
# Äëÿ ëîêàëüíûõ ïîëüçîâàòåëåé òàêæå ñîçäàåì âîçìîæíîñòü
# ïåðåíàïðàâëåíèÿ ïî÷òû ÷åðåç ~/.forward-ôàéë. Åñëè âêëþ÷åíà
# äèðåêòèâà allow_filter, òî â .forward-ôàéëå ìîæíî
# èñïîëüçîâàòü ÿçûê sieve-ôèëüòðîâ. Äëÿ ïîäðîáíîñòåé
# ñì. äîêóìåíòàöèþ íà www.exim.org, ò.ê. íà ðàññìîòðåíèå
# ýòîé òåìû óéäåò ñëèøêîì ìíîãî âðåìåíè
userforward:
driver = redirect
check_local_user
file = $home/.forward
no_verify
no_expn
check_ancestor
# allow_filter
file_transport = address_file
pipe_transport = address_pipe
reply_transport = address_reply
condition = ${if exists{$home/.forward} {yes} {no} }
# Ëîêàëüíàÿ äîñòàâêà, åñëè äàííûé ïîëüçîâàòåëü íàéäåí â áàçå
localuser:
driver = accept
condition = ${lookup pgsql {select uid from accounts where ↵
login = '$local_part@$domain'}{yes}{no}}
transport = local_delivery
cannot_route_message = Unknown user
##########################################################
# TRANSPORTS CONFIGURATION #
######################################################################
# ORDER DOES NOT MATTER # # ----------------- -----
#Only one appropriate transport is called for each delivery.#
######################################################################
begin transports
# Äðàéâåð äëÿ äîñòàâêè ÷åðåç ñîåäèíåíèÿ ñ óäàëåííûìè
# smtp-ñåðâåðàìè
remote_smtp:
driver = smtp
# Ýòîò òðàíñïîðò äîñòàâëÿåò ïî÷òó â ëîêàëüíûå maildir. Ïóòü
# ê maildir õðàíèòñÿ îïÿòü æå â òàáëèöå accounts. Ðàçðåøåíèÿ
# íà äèðåêòîðèþ 0700 äëÿ âîçìîæíîñòè ðàáîòû ñ äàííûìè
# äèðåêòîðèÿìè imap-ñåðâåðà. Ïðè ýòîì âëàäåëüöåì ÿâëÿåòñÿ
# ãðóïïà è ïîëüçîâàòåëü èç accounts (ïîòîìó ïðè âêëþ÷åíèè
# çàïèñåé â ýòó òàáëèöó íàäî íà÷èíàòü çíà÷åíèÿ uid
# ñ äîñòàòî÷íî áîëüøîãî ÷èñëà, íàïðèìåð, 2000 è ïåðåñåêàòüñÿ
# ñ ðåàëüíûìè ïîëüçîâàòåëÿìè îíî äîëæíî, òîëüêî åñëè ðåàëüíîìó
# ïîëüçîâàòåëþ íóæåí ëîêàëüíûé äîñòóï ê maildir).
# Òàêæå èç òàáëèöû accounts èçâëåêàþòñÿ äàííûå î ðàçìåðå
# êâîòû, è óñòàíàâëèâàåòñÿ ïîðîã â 75% îò êâîòû, êîãäà
# ïîëüçîâàòåëþ ïîñûëàåòñÿ óêàçàííîå ïðåäóïðåæäåíèå îá ïîäõîäå
# ê ïîðîãó êâîòû
local_delivery:
driver = appendfile
directory = ${lookup pgsql{select maildir from accounts ↵
where login = '$local_part@$domain'}{$value}fail}
create_directory
directory_mode = 0770
maildir_format
delivery_date_add
envelope_to_add
return_path_add
group = ${lookup pgsql{select gid from accounts where ↵
login = '$local_part@$domain'}{$value}fail}
user = ${lookup pgsql{select uid from accounts where ↵
login = '$local_part@$domain'}{$value}fail}
mode = 0660
no_mode_fail_narrower
quota = ${lookup pgsql{select mailquota from accounts ↵
where login = '$local_part@$domain'}{$value}fail}M
quota_warn_message = "\
To: $local_part@domain\n\
From: postmaster@test.ru\n\
Subject: Your maildir is going full\n\
This message is automaticaly gnerated by your mail ↵
администрирование
server.\n\
This means, that your mailbox is 75% full. If you would \n\
override this limit new mail would not be delivered ↵
to you!\n"
quota_warn_threshold = 75%
# Òðàíñïîðò, îñóùåñòâëÿþùèé äîñòàâêó â pipe
address_pipe:
driver = pipe
return_output
# Òðàíñïîðò, îñóùåñòâëÿþùèé äîñòàâêó ïðÿìî â ôàéë
address_file:
driver = appendfile
delivery_date_add
envelope_to_add
return_path_add
# Ýòîò òðàíñïîðò èñïîëüçóåòñÿ äëÿ àâòîìàòè÷åñêîãî îòâåòà íà
# ñîîáùåíèÿ îá îøèáêàõ
address_reply:
driver = autoreply
##########################################################
# RETRY CONFIGURATION #
##########################################################
begin retry
# Íàñòðîéêè ïî óìîë÷àíèþ, êîòîðûå ÿ íå òðîãàë, óïðàâëÿþò
# èíòåðâàëîì ïîâòîðíîé ïåðåäà÷è ñîîáùåíèé
# This single retry rule applies to all domains and all
# errors. It specifies retries every 15 minutes for 2 hours,
# then increasing retry intervals, starting at 1 hour and
# increasing each time by a factor of 1.5, up to 16 hours,
# then retries every 6 hours until 4 days have passed since
# the first failed delivery.
# Address or Domain Error Retries
-------
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h
##########################################################
# REWRITE CONFIGURATION #
##########################################################
begin rewrite
# Ñîçäàåì ïðàâèëî ïî ïåðåïèñûâàíèþ çàãîëîâêà To: ñ *@test.ru
# íà ëîêàëüíûé smart-host - @unona.test.ru. Ýòî áûëî ñäåëàíî
# äëÿ ëîêàëüíûõ ïîëüçîâàòåëåé, ïî èäåå ñ õðàíåíèåì
# ïîëüçîâàòåëåé â postgres óæå íå íóæíî, ïîêàçàíî äëÿ ïðèìåðà.
*@test.ru $1@unona.test.ru T
##########################################################
# AUTHENTICATION CONFIGURATION #
##########################################################
# Îïèñàíèÿ àóòåíòèôèêàöèè
begin authenticators
# CRAM-MD5-àóòåíòèôèêàöèÿ, òðåáóåò íàëè÷èÿ ïàðîëÿ â îòêðûòîì
# âèäå, èìÿ ïîëüçîâàòåëÿ äîëæíî áûòü â ôîðìàòå user@domain,
# êàê îíî õðàíèòñÿ â òàáëèöå accounts
lookup_cram:
driver = cram_md5
public_name = CRAM-MD5
server_secret = ${lookup pgsql {select password from ↵
accounts where login='$1'}{$value}fail}
server_set_id = $1
# LOGIN-àóòåíòèôèêàöèÿ - íå òðåáóåò õðàíåíèÿ ïàðîëÿ
# â îòêðûòîì âèäå, îäíàêî, ïî ñåòè ïàðîëü ïåðåäàåòñÿ
# â îòêðûòîì âèäå - òðåáóåòñÿ ëèøü âûïîëíåíèå óñëîâèÿ
# server_condition - $1 - èìÿ ïîëüçîâàòåëÿ, à $2 - ïàðîëü.
# LOGIN áåçîïàñåí òîëüêî ïðè óñòàíîâëåíèè ssl-ñîåäèíåíèÿ.
login:
driver = plaintext
public_name = LOGIN
server_prompts = Username:: : Password::
server_condition = ${lookup pgsql {select login from ↵
accounts where login='$1' and password='$2'}{yes}{no}}
server_set_id = $1

№7(20), июль 2004 11

 администрирование
########################################################## Этот файл указывает настройки для программы freshclam,
# CONFIGURATION FOR local_scan() # использующейся для обновления антивирусных баз ClamAV.
##########################################################
# If you have built Exim to include a local_scan() function
# that contains tables for private options, you can define
# those options here. Remember to uncomment the "begin"
# line. It is commented by default because it provokes
# an error with Exim binaries that are not built with
# LOCAL_SCAN_HAS_OPTIONS set in the Local/Makefile.
# begin local_scan

# End of Exim configuration file

Далее необходимо создать сертификат для smtp-сер-

вера. В ходе эксплуатации выяснилось, что некоторые кли-
енты, например, The Bat!, требуют, чтобы в CN-сертифика-
те (подробнее о сертификатах и способах их генерации мож-
но прочитать в моей статье из данного журнала, распола-
гающейся по адресу http://cebka.pp.ru/my/openssl.txt) содер-
жалось имя (FQDN) сервера. Например, для сервера на
mail.test.ru серификат должен содержать CN: mail.test.ru.
Содержание остальных полей некритично. Создать сер-
тификат можно, например, так:
SpamAssassin работает без дополнительных настроек.
# openssl genrsa -out mailed.key 2048
# openssl req -new -x509 -key mailed.key -days 365 -out mailed.crt

При этом все поля сертификата будут запрошены. Уч-

тите, что файл секретного ключа не должен быть зашиф-
рован, иначе exim не сможет его прочитать, просто уста-
новите владельцем этого файла root:wheel и установите
права 0600. После этого можно попробовать запустить
exim в режиме отладки:

exim -bd -d+all

и понаблюдать за выводимыми сообщениями. Чтобы вклю-

чить exim вместо sendmail, выполняем следующие дей-
ствия: в файле /etc/rc.conf нужны строки:

sendmail_enable="NONE"
exim_enable="YES"
# À òàêæå äëÿ spamassasin è clamav:
clamav_clamd_enable="YES"
spamd_enable="YES"
Перейдем к следующей части – настройка courier. Этот
Затем настраиваем доставку почты для локальных при- imap-сервер для своей работы использует несколько про-
ложений через exim, для чего файл /etc/mail/mailer.conf у цессов, которые, в свою очередь, настраиваются из раз-
нас должен выглядеть следующим образом: личных конфигурационных файлов. В моем примере за-
пущено 3 процесса – authdaemon, courier-imapd и courier-
sendmail /usr/local/sbin/exim imapd-ssl. Причем во внешний мир открыт только courier-
send-mail /usr/local/sbin/exim
mailq /usr/local/sbin/exim imapd-ssl. Для начала создадим сертификат для imapd-ssl
newaliases /usr/local/sbin/exim и для TLS-соединений с imapd: правим файл /usr/local/etc/
hoststat /usr/local/sbin/exim
purgestat /usr/local/sbin/exim couier-imap/imapd.cnf на предмет своего dn для сертифи-
ката, для чего в части req_dn прописываем свои настрой-
После этого перейдем к настройке ClamAV: заходим в ки (не забудьте, что cn должен совпадать с FQDN imap-
/usr/local/etc/ и копируем clamav.conf.sample в clamav.conf сервера):
и правим его таким образом, чтобы он принимал соеди-
нения через tcp/ip, а не через локальный сокет, для чего в [ req_dn ]
clamav.conf нужны следующие строки: C=RU
ST=Moskow region
TCPSocket 3310 L=Moskow
TCPAddr 127.0.0.1 O=Tehnopark
OU=Internet technologies
CN=test.ru
Далее копируем freshclam.conf.sample в freshclam.conf. emailAddress=postmaster@test.ru

12
 администрирование
Далее генерируем сертификат специальным скриптом: или из-под непосредственно DocumentRoot самого apache.
Вот в принципе, и все.
cd /usr/local/share/courier-imap/
./mkimapdcert

После чего настроим imap-аутентификацию:

cd /usr/local/etc/courier-imap/
cp authdaemonrc.dist authdaemonrc

Далее в authdaemonrc заменяем список модулей для

аутентификации на:

authmodulelist="authpgsql"

Теперь courier знает, что ему нужно аутентифициро-

ваться через pgsql. Надо только настроить сам pgsql-мо-
дуль, настройки которого хранятся в authpqsqlrc. Он дол-
жен содержать следующее:

# Ñîåäèíÿåìñÿ ñ ÑÓÁÄ ÷åðåç ëîêàëüíûé ñîêåò (íå óêàçàí àäðåñ)

PGSQL_PORT 5432
PGSQL_USERNAME pgsql
PGSQL_PASSWORD pAsSwOrD Есть некоторые особенности запуска SquirrelMail при
PGSQL_DATABASE users
включенном safe_mode в php. Во-первых, все php-файлы и
# Íàñòðîéêè òàáëèöû äëÿ àóòåíòèôèêàöèè, çäåñü ìû óêàçûâàåì, каталоги SquirrelMail должны принадлежать тому пользова-
# â êàêèõ ïîëÿõ òàáëèöû õðàíÿòñÿ ðàçëè÷íûå ïîëüçîâàòåëüñêèå
# äàííûå: телю, из-под которого работает apache (настройка VirtualHost
PGSQL_USER_TABLE accounts или глобальная, по умолчанию – www:nogroup). Кроме того,
PGSQL_CLEAR_PWFIELD password
DEFAULT_DOMAIN test.ru необходимо сменить разрешения в /var/spool/squirrelmail:
PGSQL_UID_FIELD uid
PGSQL_GID_FIELD gid # chmod 1777 /var/spool/squirrelmail/attach
PGSQL_LOGIN_FIELD login # chmod 1777 /var/spool/squirrelmail/pref
PGSQL_HOME_FIELD home
PGSQL_NAME_FIELD gecos
PGSQL_MAILDIR_FIELD maildir Ну и владельца установить того же, что и на /usr/local/
www/squirrelmail.
Перейдем к настройке непосредственно imapd: скопири- Комментарии вы можете присылать на cebka@jet.msk.su.
уем imapd.dist в imapd. Правим следующие строчки (для ос-
тальных настроек вполне подходят значения по умолчанию): Cписок полезных ссылок:
1. http://www.exim.org – сайт MTA exim, очень хорошая и
# imapd ñëóøàåò òîëüêî íà ëîêàëüíîì àäðåñå, äëÿ âíåøíèõ подробная документация;
# ñîåäèíåíèé ìû áóäåì èñïîëüçîâàòü imapd-ssl
ADDRESS=127.0.0.1 2. ftp://ftp.exim.org/pub/exim/config.samples.tar.bz2 – приме-
ры разнообразных конфигурационных параметров, по-
# Ïî óìîë÷àíèþ â NO, äåëàåì â YES, ÷òîáû imapd ìîã çàïóñêàòüñÿ
IMAPDSTART=YES лезно для ознакомления;
3. http://duncanthrax.net/exiscan-acl/ – патч exiscan с сопут-
Этих настроек в принципе хватает. Далее копируем ствующей документацией;
imapd-ssl.dist в imapd-ssl и правим следующие строчки: 4. http://www.clamav.net – сайт свободного антивируса
ClamAV;
IMAPDSSLSTART=YES 5. http://www.spamassasin.org – официальный сайт
SpamAssasin;
После чего делаем запуск courier-imap при старте сис- 6. http://www.courier-mta.org – ресурс courier продуктов, в
темы. Для этого заходим в /usr/local/etc/rc.d и снова не- том числе и courier-imap;
много попереименовываем файлы: 7. http://www.squirrelmail.org – сайт web-mail-системы
SquirrelMail;
# mv courier-imap-imapd-ssl.sh.sample courier-imap-imapd-ssl.sh 8. http://www.nixp.ru/cgi-bin/go.pl?q=articles;a=mta-home –
# mv courier-imap-imapd.sh.sample courier-imap-imapd.sh
exim+mutt+bmx – для домашней почтовой системы (хо-
После этого считаем, что наша почтовая система прак- рошая и интересная статья);
тически готова. Нужно только немного понастраивать 9. http://tomster.org/geek/freebsdcookbook/ – альтернатив-
SquirrelMail, для чего заходим в /usr/local/www/squirrelmail ный вариант реализации почтовой системы, где вмес-
и запускаем скрипт ./configure. В принципе интерфейс кон- то courier используется cyrus imapd;
фигурации понятен без лишних пояснений, потому я не 10. http://cebka.pp.ru/samag/clamstat.tar.bz2 – скрипт стати-
буду особо останавливаться на этой проблеме (не забудь- стики ClamAV;
те, главное, указать imap- и smtp-сервера). Делаем сим- 11. http://cebka.pp.ru/samag/uidchk.pl – скрипт проверки
линк на /usr/local/www/squirrelmail из какого-либо VirtualHost пересечения uid из БД и системных.

№7(20), июль 2004 13

 администрирование

НАСТРОЙКА ПОЧТОВОЙ СИСТЕМЫ НА БАЗЕ

Postfix + Dovecot + PostgreSQL + Amavisd-new +
SpamAssassin + ClamAV
В данной статье будет рассмотрена установка почтового сервера на базе AltLinux Master 2.2
с использованием пакетов из репозитария Sisyphus. Наша система обеспечит поддержку виртуальных
доменов в связке Postfix + Dovecot + PgSQL с защитой от спама и вирусов с помощью SpamAssasin
и ClamAV.
РУСТАМ АТНАГУЛОВ
Итак, посмотрим, для чего предназначен каждый из этих Создадим пользователя mailuser в базе данных Postgre
компонентов SQL, c правами которого Postfix и Dovecot будут подклю-
! Postfix (http://postfix.org) – это популярный MTA (Mail чаться к базе данных и выполнять запросы:
Transfer Agent), позволяющий эффективно передавать
письма адресатам. [root@mosqit /]# createuser -U postgres
! Dovecot (http://dovecot.org) – Secure IMAP server. IMAP-
сервер, рассчитанный на максимальную безопасность
и надежность. Преимуществом этой программы явля-
ется то, что для поиска в больших файлах применяется
бинарный древовидный индекс. Как указывает автор Устанавливаем пароль пользователю mailuser:
этого сервера, он тестировал его с 367 000 почтовыми
учетными записями и не обнаружил проблем. Также про- [root@mosqit /]# psql -U postgres template1
грамма может обслуживать запросы пользователей с
помощью протоколов imap, imaps, pop3, pop3s.
! ClamAV (http://clamav.sourceforge.net) – opensource-ан-
тивирус.
! SpamAssasin (http://spamassasin.org) – почтовый фильтр.
Предназначен для борьбы со спамом.
! Amavisd-new (http://www.ijs.si/software/amavisd) – высо-
коэффективный и надежный интерфейс между MTA и
одним или несколькими фильтрами содержимого: ви-
русные сканеры, спам-фильтры (в нашем случае Spam
Assassin). Amavisd-new написан на Perl, обеспечиваю-
щим высокую надежность, мобильность и ремонтоп-
ригодность. Он взаимодействует с MTA через (E) SMTP
или LMTP или при использовании программ-посред- Следующий этап – это создание базы данных, в кото-
ников. рой будет все храниться.

Сначала устанавливаем все необходимые пакеты из [root@mosqit /]# createdb -U postgres mails
репозитария:

[root@mosqit /]# apt-get install postfix postfix-pgsql ↵
postgresql postgresql-server dovecot amavisd ↵
clamav spamassasin
Далее переходим к конфигурированию нашей почтовой
системы. Создаем пользователя, от имени которого бу-
дет работать наша почтовая система:
База данных mails создана. Далее создаем в ней таб-
лицы. Есть 2 способа: писать SQL-команды руками в кли-
енте postgresql или приготовить файл с SQL-запросом, а
потом создать структуру таблиц, выполнив этот самый
запрос.Я выбираю последний способ. Создаем файл
createtables.sql:

[root@mosqit /]# groupadd -g 5000 mailuser CREATE TABLE "public"."users" (

[root@mosqit /]# adduser -d /var/spool/mail -M -g mailuser ↵ "userid" VARCHAR(128) NOT NULL,
-s /sbin/nologin -u 5000 mailuser "password" VARCHAR(128),
"realname" VARCHAR(128),
"uid" INTEGER NOT NULL,
"gid" INTEGER NOT NULL,
PostgreSQL "home" VARCHAR(128) NOT NULL,
"mail" VARCHAR(255),
Настройку и конфигурирование PostgreSQL не привожу, CONSTRAINT "users_pkey" PRIMARY KEY("userid")
т.к. информации об этом предостаточно. ) WITHOUT OIDS;

14
 администрирование
grant select on users to mailuser; queue_directory = /var/spool/postfix
mail_owner = postfix
CREATE TABLE "public"."aliases" ( # Ýòîò ïàðàìåòð îòíîñèòñÿ ê Amavisd
"alias" VARCHAR(128) NOT NULL, # Ïîêà êîììåíòèðóåì, ÷òîáû ìîæíî áûëî ïðîâåðèòü
"dest" VARCHAR(128) NOT NULL, # ðàáîòîñïîñîáíîñòü postfix.
"comment" TEXT DEFAULT ''::text #content_filter=smtp-amavis:[127.0.0.1]:10024
) WITH OIDS;
grant select on aliases to mailuser;
Остальные параметры по умолчанию, но их можно из-
менить по собственному усмотрению.
Структура таблиц создана: Далее редактируем конфигурационный файл master.cf:

[root@mosqit /]# /usr/bin/psql -U postgres mails < createtable.sql master.cf:

Запускаем PostgreSQL:

[root@mosqit /]# service postgresql start

Postfix
Переходим к правке конфигурационного файла main.cf,
который находится в /etc/postfix.main.cf. Он хорошо коммен-
тирован, поэтому внимательно вчитываемся в описание и
настраиваем согласно своим требованиям. У меня main.cf
выглядит так:

main.cf:
# Çàäàåì èìÿ íàøåãî ïî÷òîâîãî óçëà
myhostname = testdomain.ru
# Èìÿ íàøåãî äîìåíà, åñëè íå óêàçûâàòü, òî ïî óìîë÷àíèþ
# âûñòàâèòñÿ ìèíóñ ïåðâûé êîìïîíåíò èìåíè óçëà
mydomain = testdomain.ru
myorigin = $myhostname
# RECEIVING MAIL # äàëåå îòíîñèòñÿ ê Amavisd
# Çäåñü çàäàåì, íà êàêèõ ñåòåâûõ èíòåðôåéñàõ áóäåò ðàáîòàòü
# Postfix, â ìîåì ñëó÷àå íà âñåõ
inet_interfaces = all -o smtp_data_done_timeout=1200
# Ñïèñîê äîìåíîâ, íà êîòîðûå áóäåò îñóùåñòâëÿòüñÿ äîñòàâêà -o smtp_send_xforward_command=yes
# ÷åðåç local transport -o disable_dns_lookups=yes
mydestination = localhost, $myhostname, ↵
localhost.$mydomain, $config_directory/mydestination
-o content_filter=
# REJECTING MAIL FOR UNKNOWN LOCAL USERS -o relay_recipient_maps=
# Çäåñü ìû óêàçûâàåì, ÷òî ïîëüçîâàòåëåé testdomain.ru íóæíî -o smtpd_restriction_classes=
# ïðîñìàòðèâàòü â $virtual_maibox_maps -o smtpd_client_restrictions=
local_recipient_maps = $virtual_maibox_maps -o smtpd_helo_restrictions=
unknown_local_recipient_reject_code = 550 -o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
# TRUST AND RELAY CONTROL -o mynetworks=127.0.0.0/8
# çäåñü óêàçûâàåì, êîìó ðàçðåøåí relay, ò.å. ïîëüçîâàòåëÿì -o strict_rfc821_envelopes=yes
# îáñëóæèâàåìîé ñåòè -o smtpd_error_sleep_time=0
mynetworks = 127.0.0.0/8, 10.70.1.0/24 -o smtpd_soft_error_limit=1001
# Çàäàåì äèðåêòîðèþ, ãäå áóäåò õðàíèòüñÿ ïî÷òà -o smtpd_hard_error_limit=1000
mail_spool_directory = /var/spool/mail
mailbox_command = /usr/bin/procmail -a $DOMAIN -d $LOGNAME
# Íàø ïî÷òîâûé ñåðâåð òðåáóåò ñíà÷àëà êîììàíäó helo И соответственно создаем файлы aliases.pgsql,
smtpd_helo_required = yes maibox.pgsql, transport.cf:
transport_maps = hash:/etc/postfix/transport.cf
# Çàäàåì äèðåêòîðèþ, ãäå áóäåò õðàíèòüñÿ ïî÷òà aliases.pgsql:
# èç âèðòóàëüíûõ äîìåíîâ hosts = localhost
virtual_mailbox_base = /var/spool/mail/ user = mailuser
# Ïðîñìîòð òàáëèö ñ öåëüþ ïðîâåðêè äåéñòâèòåëüíîñòè àäðåñà password = topsecret
virtual_mailbox_maps = pgsql:/etc/postfix/mailbox.pgsql dbname = mails
virtual_alias_maps = pgsql:/etc/postfix/aliases.pgsql table = aliases
# Èñïîëüçóþ ñòàòè÷åñêèå uid & gid; 5000 – ýòî mailuser select_field = dest
virtual_uid_maps = static:5000 where_field = alias
virtual_gid_maps = static:5000
virtual_minimum_uid = 5000 mailbox.pgsql:
hosts = localhost
# INSTALL-TIME CONFIGURATION INFORMATION user = mailuser
readme_directory = /etc/postfix/README_FILES password = topsecret
sample_directory = /etc/postfix/samples dbname = mails
sendmail_path = /usr/sbin/sendmail table = users
setgid_group = postdrop select_field = home
command_directory = /usr/sbin where_field = userid
manpage_directory = /usr/share/man
daemon_directory = /usr/lib/postfix transport.cf:
newaliases_path = /usr/bin/newaliases testdomain.ru virtual:
mailq_path = /usr/bin/mailq another.domain.ru virtual:

№7(20), июль 2004 15

 администрирование
В transport.cf указываем, каким образом будут обра- read email
батываться домены, наши домены – через virtual, в про- pos=`expr match "$email" '[a-z1-9A-Z.]*@'`
if [ $pos = "0" ]
тивном случае они будут обработаны с помощью local_ then echo "Íåïðàâèëüíîå èìÿ ïîëüçîâàòåëÿ"
transport. exit
fi
Запускаем postfix: domain=${email:$pos}
name=${email:0:($pos-1)}
cd $basedir/$domain/$name &> /dev/null
[root@mosqit /]# service postfix start if [ $? = "1" ];
then
echo 'Òàêîé ïîëüçîâàòåëü íå ñóùåñòâóåò !! '
Проверяем работу нашего сервера: exit
fi
echo "DELETE from public.users where userid='$email';" | ↵
[root@mosqit /]# telnet 127.0.0.1 25 usr/bin/psql -U postgres mails
rm -rf $basedir/$domain/$name &> /dev/null
cd $basedir/$domain/$name &> /dev/null
echo $?
if [ $? = "0" ];
then
echo 'Îøèáî÷êà âûøëà! '
exit
fi
echo "Ïîëüçîâàòåëü óäàëåí óñïåøíî"
Работает, иначе смотрим лог-файлы в /var/log/maillog. add_alias.bash:
#! /bin/bash
Создание учетных записей echo "Ââåäèòå aliasname âèäå name@domain"
пользователей read aliasname
Для этого я написал пару простейших скриптов на bash: pos=`expr match "$aliasname" '[a-z1-9A-Z.]*@'`
if [ $pos = "0" ]
then echo "Íåïðàâèëüíûé aliasname"
add_mailuser.bash: exit
#! /bin/bash fi
basedir=/var/spool/mail
echo "Ââåäèòå destination â âèäå name@domain"
echo "Ââåäèòå e-mail â âèäå name@domain" read dest
read email pos=`expr match "$dest" '[a-z1-9A-Z.]*@'`
pos=`expr match "$email" '[a-z1-9A-Z.]*@'` if [ $pos = "0" ]
if [ $pos = "0" ] then echo "Íåïðàâèëüíûé destination"
then echo "Íåïðàâèëüíîå èìÿ ïîëüçîâàòåëÿ" exit
exit fi

fi echo "Ââåäèòå êîììåíòàðèé"

domain=${email:$pos} read comment
name=${email:0:($pos-1)} echo -E "INSERT INTO public.aliases (email, alias, comment) ↵
cd $basedir/$domain/$name &> /dev/null VALUES ('$aliasname', '$dest', '$comment');" ↵
if [ $? = "0" ]; | /usr/bin/psql -U postgres mails
then echo "Alias ñîçäàí óñïåøíî"
echo 'Òàêîé ïîëüçîâàòåëü ñóùåñòâóåò !! '
exit Скрипты созданы на скорую руку и поэтому не совер-
fi шенны, но всегда существует возможность модифициро-
cd $basedir/$domain &> /dev/null вать их по своему усмотрению.
if [ $? = "1" ];
then Создаем почтового пользователя test@testdomain.ru:
echo 'Òàêîãî äîìåíà íå ñóùåñòâóåò'
exit [root@mosqit /]# add_mailuser.bash
fi
echo "Ââåäèòå ïîëíîå èìÿ "
read fullname
echo "Ââåäèòå ïàðîëü " Выполняем инструкции, которые выводятся на экран.
read pass Далее проверяем, как Postfix доставляет почту:
echo "ïàðîëü $pass"
echo -E "INSERT INTO public.users (userid, password, ↵
realname, uid, gid, home, mail) VALUES ('$email', '$pass', ↵ [root@mosqit /]# service postfix restart
'$fullname', '42', '42','$domain/$name/inbox', NULL);" ↵ [root@mosqit /]# telnet 127.0.0.1 25
| /usr/bin/psql -U postgres mails
mkdir $basedir/$domain/$name
touch $basedir/$domain/$name/inbox
chmod 600 $basedir/$domain/$name/inbox
chmod 700 $basedir/$domain/$name
chown postfix:postfix $basedir/$domain/$name -R
ls $basedir/$domain/$name/inbox &> /dev/null
if [ $? = "1" ];
then
echo 'Îøèáî÷êà âûøëà! '
exit
fi
echo "Ïîëüçîâàòåëü ñîçäàí óñïåøíî"
del_mailuser.bash:
#! /bin/bash
basedir=/var/spool/mail

echo "Ââåäèòå e-mail, êîòîðûé õîòèòå óäàëèòü â âèäå name@domain" Обращаю внимание на точку c новой строки после test

16
 администрирование
message, это означает, что передача данных завершена. auth_user = root
Далее идем в каталог /var/spool/mail/testdomain/test и
смотрим содержимое файла inbox, в нем и должно нахо- После этого нам требуется сгенерировать SSL-сер-
диться наше сообщение. Если файл пуст, то опять же смот- тификат, т.к. у нас заявлены протоколы imaps и pop3s
рим лог-файл (maillog). (s – secure).
Для этого правим файл /etc/dovecot/dovecot-openssl.cnf:
ClamAV
Идем в /etc/clamav.conf и находим строчку ScanMail и рас- [ req ]
default_bits = 1024
комментируем ее, для того чтобы антивирус проверял encrypt_key = yes
файлы формата mailbox. Запускаем ClamAV: distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[root@mosqit /]# service clamd start
[ req_dn ]
# country (2 letter code)
C=RU
Amavisd-new # State or Province Name (full name)
Далее настраиваем /etc/amavis/amavisd.conf по своему ST=Bashkortostan
усмотрению, конечно же, перед этим прочитав докумен- # Locality Name (eg. city)
тацию. Лично я ничего не изменял, но скорее всего со вре- L=Ufa
менем придется внести коррективы. # Organization (eg. company)
Запускаем Amavisd-new: O=Home Organizations.

# Organizational Unit Name (eg. section)

[root@mosqit /]# service amavisd start OU=POP3 IMAP server

# Common Name (*.example.com is also possible)

Проверяем его работу: CN=testdomain.ru

# E-mail contact
[root@mosqit /]# telnet 127.0.0.1 10024 emailAddress=master@testdomain.ru

[ cert_type ]
nsCertType = server
Раскомментируем строчку: filter=smtp-amavis:[127.0.0.1]:
10024 в файле main.cf. Перезапускаем Postfix, запускаем Запускаем скрипт для генерации сертификата.
ClamaV, Amavisd:
[root@mosqit /]# /usr/share/dovecot/mkcert.sh
[root@mosqit /]# service postfix restart
Правим файл /etc/dovecot/pgsql.conf, в котором указы-
Как и ранее, проверяем с помощью telnet работоспо- ваем, как Dovecot будет подключаться и забирать данные.
собность postfix. Если все нормально, то переходим к на-
стройке Dovecot. connect = host = localhost dbname = mails user = mailuser ↵
password = secret
default_pass_scheme = PLAIN
Dovecot password_query = SELECT password FROM users WHERE userid = '%u'
user_query = SELECT '/var/spool/mail/'|| home, uid, gid ↵
Далее редактируем файл настроек dovecot /etc/dovecot.conf. FROM users WHERE userid = '%u'
Так же внимательно вчитываемся в комментарии к пара-
метрам. Все настройки произведены, можно испытать работо-
способность нашего pop3-сервера:
dovecot.conf:
# Ïðîòîêîëû, êîòîðûå ìû èñïîëüçóåì [root@mosqit /]# service dovecot start
protocols = imap imaps pop3 pop3s
## IMAP login process
login = imap
Настраиваем наш почтовый клиент и проверяем, дос-
## POP3 login process тавляется почта или нет. Имя пользователя указывается
login = pop3
полное, т.е. test@testdomain.ru, а не test.
## Mail processes Если же не получается, то заглядываем в /var/log/
first_valid_uid = 5000 messages и устраняем причину (довольно часто причиной
# Ïóòü ê äèðåêòîðèè, ãäå õðàíèòñÿ ïî÷òà, ãäå %d – бывает банальная опечатка при редактировании конфи-
# èìÿ äîìåíà, %n – èìÿ ïîëüçîâàòåëÿ
default_mail_env = mbox:/var/spool/mail/%d/%n/: ↵ гурационных файлов).
INDEX=/var/spool/mail/%d/%n

mbox_locks = fcntl flock Используемая литература:

## Authentication processes
auth = default
auth_mechanisms = plain
auth_userdb = pgsql /etc/dovecot/pgsql.conf
auth_passdb = pgsql /etc/dovecot/pgsql.conf
# root ò.ê. èñïîëüçîâàòü ïîðòû äî 1024 ïîðòà ìîæåò òîëüêî root
1. Postfix Documentation: http://postfix.org/documentation.html
2. Documentation: http://dovecot.org/documentation.html
3. DovecotPostgresql: http://wiki.dovecot.org/moint.cgi/Dovecot
Postgresql

№7(20), июль 2004 17

 администрирование
«КТО СТУЧИТСЯ
В ДВЕРЬ КО МНЕ…»
ОБЗОР СИСТЕМЫ ПОДДЕРЖКИ
СПИСКОВ РАССЫЛОК GNU MAILMAN
Нет, это, конечно, не милиция (надеюсь, вы не использу-
ете знания, полученные со страниц журнала, в целях, про-
тиворечащих вашему местному законодательству). Речь
пойдет об открытом программном продукте, предназна-
ченном для создания собственных списков рассылки –
Mailman (в переводе с англ. – почтальон). Сей продукт
расположился в глобальной паутине по адресу http://
www.list.org. Mailman распространяется в соответствии с
General Public License. Используется в своих рассылках
такими маститыми IT-компаниями, как Red Hat, Apple
Computer, Dell Computers и большим числом GNU-проек-
тов, включая The XFree86 Project, Samba, Exim, XEmacs.
Со списком сайтов, где используется рассматриваемый
продукт, можно ознакомиться по ссылке http://www.list.org/
inthenews.html.
Программа обладает обширным списком возможнос-
тей. Вот некоторые из них:
! Управление списками, подпиской и пользовательской
конфигурацией через веб-интерфейс.
! Модерирование рассылок, поддержка открытых и зак-
рытых списков рассылки, фильтров.
! Поддержка архивов списков рассылки.
! Автоответчик.
Прежде чем приступить к установке, ознакомимся с
требованиями к системе, на которую ставится Mailman:
! Естественно, должен присутствовать почтовый сервис.
Mailman работает с Sendmail, Postfix, Exim и qmail. На
моей тестовой системе стоял Sendmail, поэтому на него
и буду ориентироваться в описании.
! Веб-сервер с поддержкой CGI/1.1 API.
! GCC 2.8.1 или выше.
! Интерпретатор Python, на котором, собственно, и на-
писана система (с небольшими кусочками кода на C).
Поддерживаются версии 2.1 и выше.
Я проверял установку системы на дистрибутиве White
Box Enterprise Linux 3 (http://www.whiteboxlinux.org/), который
является версией Red Hat Enterprise Linux 3, заново собран-
ной из свободно доступных исходников.
В моем случае интеграция «почтальона» производилась
с веб-сервером Apache. Далее в статье будет дан необхо-
димый минимум сведений, достаточный для установки
Mailman и создания своего собственного списка рассылки.
Установка
Скачиваем с сайта проекта либо с одного из зеркал ар-
хив mailman.tar.gz. Последняя версия «почтальона» на
18
АНДРЕЙ МАРКЕЛОВ
момент написания статьи была 2.1.5. Конечно, можно было
бы найти и поставить Mailman из rpm-файла. Так было бы
проще, но, учитывая, что не все читатели используют си-
стемы на основе менеджера пакетов rpm, рассмотрим ус-
тановку из исходных текстов. Разархивируем скачанный
файл в каталог /tmp.
gunzip mailman.tar.gz
tar –xvf mailman.tar
Для дальнейших действий требуются полномочия су-
первизора. Создаем пользователя mailman, являющего-
ся членом группы mailman.
В дистрибутивах, основывающихся на Red Hat Linux
это делается одной командой:
useradd mailman
Теперь создаем директорию, в которую будет установ-
лен Mailman и даем на нее права:
mkdir /usr/local/mailman
chgrp mailman /usr/local/mailman
chmod a+rx,g+ws /usr/local/mailman
Далее заходим в систему как пользователь mailman или
другой пользователь, которого вы предварительно вклю-
чили в группу mailman. Важно, чтобы эти шаги выполня-
лись не от лица суперпользователя:
cd /tmp/mailman-2.1.5/
./configure --with-cgi-gid=apache --with-mail-gid=mail
make install
Теперь проверим корректность разрешений на файлы
при помощи специального скрипта, входящего в пакет:
cd /usr/local/mailman
./bin/check_perms
Скрипт должен выдать сообщение о том, что проблем
с правами не обнаружено.
Далее, даем команду exit, и уже под пользователем root
правим httpd.conf, добавив туда строчки:
ScriptAlias /mailman/ /usr/local/mailman/cgi-bin/
Alias /pipermail/ /usr/local/mailman/archives/public
<Directory “/usr/local/mailman/archives/public/”>
AddDefaultCharset Off
</Directory>
Таким образом, мы предписываем Apache, что из ука-
занного каталога разрешается выполнять CGI-скрипты, со-

здаем алиас для /archives/public/ и выключаем для этого
каталога кодировку «по умолчанию».
Потом копируем логотипы Mailman, Python, GNU Logo
в доступное вашему веб-серверу место, и не забываем
перезапустить сам веб-сервер:
cp /usr/local/mailman/icons/* /var/www/icons
service httpd restart
Создаем служебный «site-wide»-список под названи-
ем mailman:
./bin/newlist mailman
По запросу вводим mail ведущего список и пароль (на
этот адрес будет выслано письмо с подтверждением и
указанным паролем).
Теперь, согласно инструкциям, выданным после отра-
ботки команды, добавляем в /etc/aliases псевдонимы (в
качестве примера был создан список под именем test):
test: "|/usr/local/mailman/mail/mailman post test"
test-admin: "|/usr/local/mailman/mail/mailman admin test"
test-bounces: "|/usr/local/mailman/mail/mailman bounces test"
test-confirm: "|/usr/local/mailman/mail/mailman confirm test"
test-join: "|/usr/local/mailman/mail/mailman join test"
test-leave: "|/usr/local/mailman/mail/mailman leave test"
test-owner: "|/usr/local/mailman/mail/mailman owner test"
test-request: "|/usr/local/mailman/mail/mailman request test"
test-subscribe: "|/usr/local/mailman/mail/mailman ↵
subscribe test"
test-unsubscribe: "|/usr/local/mailman/mail/mailman ↵
unsubscribe test"
Если ваш Sendmail идет с включенной по умолчанию
опцией smrsh, ограничивающей исполнение скриптов че-
рез MTA (а в случае использования дистрибутивов, не ба-
зирующихся на Red Hat Linux, это именно так), то вам необ-
ходимо в каталоге /etc/smrsh/ создать симлинк на mailman:
cd /etc/smrsh/
ln –s /usr/local/mailman/mail/mailman mailman
Следующий шаг – создание списка периодически вы-
полняемых задач при помощи crontab (например, опове-
щение администратора о запросах на включение пользо-
вателей в список рассылки):
cd /usr/local/mailman/cron
crontab –u mailman crontab.in
cd ..
Теперь запустим демона вручную, а на будущее доба-
вим возможность автоматического старта после перезаг-
рузки сервера. Команды для дистрибутивов, поддержи-
вающих chkconfig, следующие:
./bin/mailmanctl start
cp scripts/mailman /etc/init.d/mailman
chkconfig –add mailman
Проверьте правильность выставленных значений пере-
менных DEFAULT_EMAIL_HOST и DEFAULT_URL_HOST в
файле ./Mailman/Defaults.py. Они должны содержать пол-
ное имя вашего почтового и веб-сервера.
Далее применяем шаблон сайта (его можно было пред-
варительно отредактировать, но мы все оставим по умол-
№7(20), июль 2004
администрирование
чанию). Шаблон содержит практически все настройки си-
стемы, и хорошо задокументирован. При первой, тесто-
вой установке я предлагаю его не изменять, так как с на-
стройками можно «поиграться» и через веб-интерфейс.
Так будет намного нагляднее.
./bin/config_list –I data/sitelist.cfg mailman
Теперь задаем пароль администратора сайта. Он по-
надобится для создания публичных списков рассылки.
./bin/mmsitepass
Если в процессе конфигурирования у вас что-то пой-
дет не очень гладко, рекомендую просмотреть FAQ по ад-
ресу: http://www.python.org/cgi-bin/faqw-mm.py?req=index.
Также обратите внимание на логи «почтальона», ведущи-
еся в каталоге /usr/local/mailman/logs/, и возможные бло-
кировки в /usr/local/mailman/loсks/.
Создаем список рассылки
Теперь у нас все готово для создания первого списка рас-
сылки. Идем по ссылке: http://сервер.домен.ru/mailman/
create, и заполняем поля: имя списка, пароль, почтовый
ящик владельца, язык. В самом последнем поле вводим
пароль администратора сайта, который мы задавали ко-
мандой mmsitepass.
После успешного создания списка вам придет письмо
с подтверждением, и будет доступна ссылка: http://
сервер.домен.ru/mailman/admin/имя_списка, по которой
можно вызвать интерфейс администратора. А по http://
сервер.домен.ru/mailman/listinfo/имя_списка можно подпи-
саться на список. Также по http://сервер.домен.ru /mailman/
listinfo приведен общий перечень всех списков рассылки,
существующих на сайте. Естественно, в нем пока присут-
ствует только один элемент.
Протестировать новый список, предварительно подпи-
савшись на него, можно, отправив письмо на адрес имя_
списка@сервер.домен.ru.
Я не буду подробно описывать интерфейс администра-
тора и настройки списков, поскольку все параметры снаб-
жены вполне понятными описаниями на русском языке.
19
 администрирование
КАК РАЗЛИЧАТЬ И СЧИТАТЬ
МАРКИРОВАННЫЙ ТРАФИК?
В предыдущей статье о пиринге [2] я специально не зат-
рагивал технических вопросов, неизбежно возникающих
при раздельной тарификации. Сейчас я хотел бы в двух
словах рассказать, что такое маркировка, зачем она нуж-
на, когда и где может пригодиться. А также поделиться
опытом подсчёта маркированного трафика.
Подобно тому, как биологи и химики в своих химичес-
ких реакциях используют помеченные атомы (нуклиды, а
точнее, изотопы1) для выяснения в подробностях, какие
именно из них участвуют в реакции, и в какие вещества
они переходят, в сети используют аналогичную схему с
маркировкой с целью выяснения маршрутов и разделе-
ния различных видов трафика.
Если выяснение перемещения атомов – задача ско-
20
ПАВЕЛ ЗАКЛЯКОВ
рее научная, малоприменимая на практике, то вопрос с
трафиком более чем насущен для большинства сетей и
на практике очень актуален. С философской точки зре-
ния получается интересная ситуация, когда конечным
пользователям не очень интересен вопрос с маркиров-
кой. Что и говорить, если кругозор большинства пользо-
вателей обычно не распространяется дальше, чем IP-
адрес их компьютера, а их компьютеру, использующему
в большинстве случаев ОС Windows, вообще не ведомо
такое понятие, как маркировка. Но в то же время, эти же
пользователи являются зависимыми от маркировки и
маршрутизации, так как большинство из них привыкло
экономить, а цена и другие параметры трафика напря-
мую зависят от маршрута.
 администрирование
Любой уважающий себя владелец сети, желая повы- следует понимать изменение значений определённых би-
сить её надёжность, как только появляется такая возмож- тов в пакетах в соответствии с принятыми договорённос-
ность, создаёт резервные каналы на ответственных учас- тями. По идее можно менять что угодно, как угодно и где
тках. В графе сети появляются петли, а это означает, что угодно, однако в большинстве случаев это негативно ска-
на этих участках уже не существует однозначного марш- жется на правильной работе тех или иных уже существу-
рута между двумя узлами. Проблема появляется в тот ющих протоколов, поэтому согласно RFC791 (Internet
момент, когда выясняется, что себестоимость доставки Protocol) было решено использовать для целей маркиров-
трафика по различным граням графа оказывается раз- ки только один, второй байт в заголовке IP-пакетов, име-
ной. Помимо стоимости у граней (маршрутов) имеются и нуемый ToS, сокращённо от Type of Service, изменения в
другие важные характеристики. Вот некоторые из них: рамках которого должны пониматься всеми корректно.
задержка, надёжность передачи, пропускная способность.
Можно точно сказать, что пиринг неразрывно связан с
поставленной проблемой. Допустим, имеется две сети с
реальными адресами в двух соседних микрорайонах, об-
служиваемых различными провайдерами. Для прохода
пакетов из одной сети в другую пакеты уходят к одному Ðèñóíîê 1. Çàãîëîâîê IP-ïàêåòà. Êðàñíûì âûäåëåíî ïîëå, îáû÷íî
провайдеру, передаются другому и попадают в соседнюю èñïîëüçóåìîå äëÿ ìàðêèðîâêè ïàêåòîâ
сеть. Пользователи двух сетей понимают, что даже если Согласно тому же самому RFC791 выделенное крас-
между провайдерами заключены пиринговые соглашения ным цветом поле ToS подразделяется на несколько под-
и трафик обходится в копейки, то канал между сетями, полей, которые имеют следующее предназначение для
какой бы он быстрый не был, так или иначе будет узким используемых в них битах.
местом. В попытках расширить это узкое место создаёт-
ся дополнительный канал и с этого момента трафик меж-
ду сетями может ходить по разным маршрутам. Ðèñóíîê 2. Ðàçäåëåíèå ïîëÿ ToS íà áèòû ñîãëàñíî RFC791
Если в данном примере между провайдерами нет пи- Первые три бита с 0 по 2 – это поле Precedence. Всего
ринговых соглашений, то одни и те же пользователи мо- может быть 8 комбинаций значений этих битов:
гут быть готовы к обмену файлами через бесплатный ка- ! 111 – Network Control
нал, а через платные каналы провайдеров – нет. Как же ! 110 – Internetwork Control
быть в этой ситуации? Когда-то бесплатный шлюз между ! 101 – CRITIC/ECP
сетями работает, а когда-то нет. Открыть свой ftp для ска- ! 100 – Flash Override
чивания и закачивания адресам другой сети – значит при- ! 011 – Flash
влечь к себе дополнительный трафик в те моменты, ког- ! 010 – Immediate
да шлюз между сетями по каким-то причинам не работа- ! 001 – Priority
ет или находится на профилактике. Не разрешать доступ ! 000 – Routine
к открытому ftp из другой сети – лишить себя возможнос-
ти получить новые файлы. Несмотря на то что согласно рекомендации поле
На уровне провайдеров проблемы нет, так как его ос- Precedence входит в состав поля ToS, иногда под полем ToS
новные маршрутизаторы, принимая трафик, всегда видят подразумевают всё, что идёт после поля Precedence, не
откуда (с какого интерфейса) он был получен, поэтому и включая его и зарезервированные 2 бита, а встречающие-
могут его правильно подсчитывать. Проблемы начинаются ся далее в нём биты имеют следующее предназначение.
у пользователей, которые, наоборот, не знают по какой цене Бит 3 (буква D (Delay) на рис. 2) отвечает за задержку тра-
им учитывать те или иные пакеты. Тут однозначно работа- фика и рекомендует в случае, если в этом поле стоит 1
ет придуманное мной правило (из разряда следствий зако- минимизировать задержку (0 = Normal Delay, 1 = Low Delay).
на Мёрфи): «меньше знаешь – больше платишь». Бит 4 (буква T (Throughput) на рис. 2) отвечает за пропуск-
Узнав, откуда приходит трафик, можно нежелательный ную способность: 0 – обычная (Normal Throughput), 1 – по
ограничить и платить меньше. возможности, повышенная (High Throughput). Бит 5 отве-
Логичным и давно используемым решением данной чает за надёжность передачи: 0 – обычная надёжность
проблемы служит маркировка трафика. Под маркировкой (Normal Reliability), 1 – повышенная (High Reliability). Биты 6 и
1
Изотопы: (от изо... и греч. topos – место ), разновидности одного химического элемента, занимающее одно место в
периодической системе элементов Менделеева, но отличающиеся массами атомов. Химические свойства атомов, т.е.
принадлежность атома к тому или иному химическому элементу, зависят от числа электронов и их расположения в
электронной оболочке атома. Место химического элемента в периодической системе элементов определяется его по-
рядковым номером Z, равным числу электронов в оболочке атома или, что то же самое, числу протонов, содержащихся
в атомном ядре. Кроме протонов, в ядро атома входят нейтроны, масса каждого их которых приблизительно равна массе
протона. Количество нейтронов N в ядре атома с данным Z может быть различным, но в определённых пределах... От
соотношения чисел протонов и нейтронов в ядре зависят различные свойства атомов. Атомы с одинаковым Z, но с
различным числом нейтронов N обладают идентичными химическими свойствами... и также называются изотопами.
Большая Советская Энциклопедия, том 10, М.: Издательство «Советская энциклопедия»,1972, стр 109.

№7(20), июль 2004 21

 администрирование
7 не используются и зарезервированы для будущих целей.
Замечание. Согласно RFC 792 (Internet Control Message
Protocol), так как у ICMP-пакетов используется заголовок,
идентичный протоколу IP, то в них также может использо-
ваться маркировка. Программа sing [9] не только показы-
вает значение поля ToS приходящих пакетов, но и позво-
ляет с помощью параметров менять это поле у отправля-
емых ею пакетов. Использование маркировки IP-пакетов
в поле ToS было задумано в 1979 году с самого начала
появления этого протокола, определяемого устаревшим
на сегодня документом IEN 123.
Появившиеся вместо него документы RFC 760 (1980 г.)
и RFC 791 (1981 г.) не изменили ситуацию существенным
образом.
Последний документ действует и поныне, однако че-
рез 10 лет после появления протокола IP вышел RFC 1122
(Requirements for Internet Hosts – Communication Layers),
который включил два зарезервированных бита в TOS, и
разделение полей стало выглядеть так:
Ðèñóíîê 3. Ðàçäåëåíèå ïîëÿ ToS íà áèòû ñîãëàñíî RFC 1122
Чуть позже, когда назначение сети Интернет смести-
лось в коммерческую область, да и многие другие вещи
стали замещаться денежными эквивалентами, в 1992 году
к вопросу о маркировке пакетов вышло дополнение – RFC
1349 (Type of Service in the Internet Protocol Suite), соглас-
но которому у поля ToS был отобран последний бит, и оно
получило следующую трактовку битов.
Ðèñóíîê 4. Ðàçäåëåíèå ïîëÿ ToS íà áèòû ñîãëàñíî RFC 1349
По сравнению с предыдущей редакцией из двух после-
дних неиспользуемых битов (6-го и 7-го) только 6-му биту
было дано новое определение – минимизация возможной
стоимости передачи трафика. Если 6-й бит равен 1, то сле-
дует выбирать более дешёвые маршруты.
В 1993 году вышел RFC 1455, который предлагал ва-
риант использования поля TOS (биты 3-6) для задания
гарантированного уровня безопасности соединений.
С появлением IP-телефонии и других сервисов, став-
ших доступными в сети, в декабре 1998 года вышел RFC
2474 (Definition of the Differentiated Services Field (DS Field)
in the IPv4 and IPv6 Headers), согласно которому значение
поля ToS целиком должно быть заменено полем DS (for
differentiated services). После чего значения поля ToS, от-
меченного на рис. 1, приобрели следующие значения.
Ðèñóíîê 5. Ðàçäåëåíèå ïîëÿ DS (áûâø. ToS) íà áèòû ñîãëàñíî RFC 2474
DSCP: differentiated services codepoint
CU: currently unused
Cвято место пусто не бывает, через месяц, в январе
1999-го, неиспользуемые два бита CU изменили своё на-
звание на ECN и получили другое назначение, которое
стал определять документ RFC 2481 (A Proposal to add
Explicit Congestion Notification (ECN) to IP).
Ðèñóíîê 6. Ðàçäåëåíèå ïîëÿ DS (áûâø. ToS) íà áèòû ñîãëàñíî RFC 2481
22
В сентябре 2001 вышел RFC 3168 (The Addition of Explicit
Congestion Notification (ECN) to IP), который был нацелен
на то, чтобы внести стабильность в поле маркировки и
закрепить сложившуюся ситуацию, обозначенную в уста-
ревшем RFC 2481. Новая рекомендация заменила старые
RFC 2481 и RFC 2474 и внесла поправки в некоторые дру-
гие документы.
Такая бурная история изменения рекомендаций по ис-
пользованию нескольких бит в заголовках IP-пакетов ска-
залась на том, что используемые оборудование и програм-
мы работают каждый по своей рекомендации. Каждая
программа или железка считает своё понимание пробле-
мы единственно верным и действует по своему, субъек-
тивному наиболее правильному алгоритму.
Администраторы по большей части, если и подозре-
вают о существовании таких скрытых возможностей, во-
обще с этим полем стараются не связываться без особой
на то надобности. Некоторые вообще не видят никакой
выгоды от использования этого поля. Всё и так прекрасно
работает с их точки зрения.
Маркировка и подсчёт различных видов
трафика на практике
Насколько мне известно, провайдеров, использующих раз-
дельную тарификацию, мало [2], а использующих марки-
ровку – вообще один – ИМТЦ «МГУ». Помимо маркиров-
ки существуют и другие способы решения проблемы раз-
дельной тарификации. Например, упомянутая мной в [2]
сеть gagarino.net, как было недавно выяснено, не исполь-
зует маркировку трафика для абонентов, а использует
списки доступа [3]. При этом договорённость с вышестоя-
щим провайдером у них близка по политике к провайдеру
Zenon N.S.P., когда не важно, как пришли пакеты, если
они из сети, принадлежащей списку [3], то тогда они счи-
таются российскими. Такая система разделения трафи-
ка, с точки зрения конечных пользователей наиболее бла-
гоприятна, конечно после полностью безлимитного Интер-
нета. Даже не смотря на частичную безлимитность, поль-
зователь, поставивший скачиваться десяток-другой филь-
мов на ночь из российского сегмента сети, может спать
спокойно. Если вдруг на каких-то участках сети нарушит-
ся связанность и пакеты начнут приходить из-за рубежа,
то на тарификации это не отразится.
Подсчёт скачанного трафика в этом случае с помощью
iptables осуществляется следующим образом. Создают-
ся цепочки, каждая отвечающая за ту или иную российс-
кую сеть и осуществляющая пометку принадлежащего ей
трафика как российского, например семёркой.
До прохождения правил весь трафик также метится,
допустим шестёркой. Пакет, прошедший через все пра-
вила, либо изменит маркировку на российскую, либо так
и останется зарубежным.
Например, если российскими из всего списка [3] будут
только две сети 217.26.176.0/20 и 217.146.192.0/20, а вхо-
дящим интерфейсом будет eth0, то вышесказанное на
языке iptables будет выглядеть так:
iptables -A PREROUTING -t mangle -i eth0 -j MARK --set-mark 6
iptables -A PREROUTING -t mangle -i eth0 -s 217.26.176.0/20 ↵
-j MARK --set-mark 7

iptables -A PREROUTING -t mangle -i eth0 -s 217.146.192.0/20 ↵
-j MARK --set-mark 7
Естественно, цель MARK должна поддерживаться яд-
ром.
Ðèñóíîê 7. Ïîääåðæêà öåëè MARK â ÿäðå
После того как пакеты были помечены, их можно уже
раздельно учитывать и выполнять над ними различные
действия. Например, подсчёт приходящего зарубежного
трафика на адрес 192.168.0.5 можно осуществить следу-
ющим правилом:
iptables -A FORWARD -d 192.168.0.5 -m mark --mark 6
а российского:
iptables -A FORWARD -d 192.168.0.5 -m mark --mark 7
эти же самые метки трафика можно скармливать и дру-
гим программам вроде tc для задач выборочного ограни-
чения пропускной способности, например:
tc filter add dev eth0 parent 1:0 prio 0 protocol ip ↵
handle 6 fw flowid 1:6
tc filter add dev eth0 parent 1:0 prio 0 protocol ip ↵
handle 7 fw flowid 1:7
С финансовой точки зрения для провайдера данная
схема не очень удобна, особенно если пользователей у
провайдера тысячи. В этом случае лучше разграничить
ответственность таким образом, чтобы проблемы нару-
шения связанности каких-то участков сети переложить на
плечи пользователей. А именно, провайдер не гарантиру-
ет идентичность маршрутов доставки трафика от одних
узлов к другим и не занимается вопросами минимизации
стоимости. Если пакеты от некоторых российских узлов
по каким-то причинам начинают приходить с зарубежно-
го интерфейса и их стоимость значительно увеличивает-
ся, то в этом случае затраты пользователей растут. Ми-
нимизировать затраты один раз и навсегда невозможно.
Пользователи, если желают экономить, должны сами ог-
раничивать нежелательный трафик, выделяя его из об-
щего числа косвенными способами, например, отслежи-
вая маршруты движения пакетов с помощью traceroute,
либо анализируя запоздавшую статистику уже пришед-
ших пакетов. Такая схема используется некоторыми про-
вайдерами, упомянутыми мной в [2]. Нельзя сказать, что-
бы это было совсем нечестно по отношению к конечному
№7(20), июль 2004
администрирование
пользователю, тут есть своя логика. Несомненно, более
правильно при такой схеме дополнительно для удобства
пользователей маркировать, например, зарубежный тра-
фик. ИМТЦ «МГУ» маркирует трафик в поле Precedence
установкой 1-го и 2-го битов (Flash)(ToS=0x60) [4].
Ðèñóíîê 8. Ìàðêèðîâêà ïëàòíîãî òðàôèêà ÈÌÒÖ "ÌÃÓ" â ïîëå ToS
Недостатки этого способа в том, что при маркировке
трафика провайдером затрачиваются значительные вы-
числительные ресурсы маршрутизаторов. Возможно, по-
этому не все провайдеры используют маркировку, так как
просто не могут себе это позволить.
Если вы изменили какие-то биты в пакете, то необхо-
димо пересчитать и изменить контрольную сумму. А те-
перь представьте, что пакетов миллионы, в этом случае
не так-то просто сохранить пропускную способность мар-
шрутизатора, промаркировав при этом несколько терабайт
пакетов за месяц.
Попытка выяснить в ИМТЦ «МГУ», кому и почему при-
шла в голову идея маркировать трафик так, а не по-дру-
гому, результатов не дала. «Так исторически сложилось,
– был их ответ, – работавшему на то время администра-
тору маркируемые биты, видимо, показались наиболее
правильными, а после его ухода за ненадобностью никто
ничего не менял».
При маркировке трафика решить проблемы ограниче-
ния скачивания чего-то лишнего гораздо проще, чем без
таковой. А именно, если поставить скачиваться какой-ни-
будь фильм на ночь из российской части сети и устано-
вить фильтр на запрет прихода любых пакетов из зару-
бежной части, то можно смело сказать, что вместо ска-
чанных гигабайт в случае изменения маршрутизации вы
максимум получите несколько лишних килобайт платного
трафика.
При подсчёте внешне маркированного трафика с по-
мощью iptables первое, что приходит в голову – это вос-
пользоваться расширением dscp:
iptables -A FORWARD -d 192.168.0.5 -m dscp --dscp 0x18
Это правило будет считать все пакеты, у которых уста-
новлены два бита маркировки, за исключением тех, у ко-
торых почему-то оказались поднятыми и другие биты, кро-
ме отведённых двух.
Например, если поле dscp будет содержать значение
19 (биты 01 1001), то формально биты платности будут в
таком пакете установлены, но считаться вышеустановлен-
ным правилом он уже не будет. Получится, что для под-
счёта всех возможных случаев потребуется 16 правил (ос-
тавшихся битов 4, 24=16), что не очень-то и удобно, если
учесть, что эти правила надо будет создавать на каждый
адрес. От того, чтобы не писать так много правил, можно
застраховаться. Например, перед проверкой дополнитель-
но потребовать, чтобы пакеты, идущие на правило под-
счёта, имели другие биты равными нулю.
Сделать это можно с помощью модуля ToS, реализую-
щего более раннюю рекомендацию, биты которого не пе-
ресекаются с битами маркировки. Например:
23
 администрирование
iptables -N user-chain жения, в которых указано местонахождение исходников
iptables -A FORWARD -d 192.168.0.5 -m tos ↵ ядра и iptables. Если они окажутся пустыми, то нам будут
--tos Normal-Service -j user-chain
iptables -A FORWARD -d 192.168.0.5 -m dscp --dscp 0x18 заданы соответствующие вопросы. После ответа на них
вам будут предлагаться на выбор различные патчи с их
Однако толку от таких конструкций не будет, так как кратким описанием и примерами. Следует выбирать «n»
пакеты с ToS, не равным нулю, и так бы не посчитались до тех пор, пока у вас на экране не появится запрос на
последним правилом. Чтобы в правилах, описанных выше установку u32.
появился смысл, их надо изменить таким образом, чтобы
во всех приходящих пакетах насильно в поле ToS выстав-
лялось нулевое значение (Normal-service). Например, так:

iptables -t mangle -A PREROUTING -j TOS --set-tos 0

iptables -t mangle -A FORWARD -j TOS --set-tos 0

Тогда подсчитывающему правилу:

iptables -A FORWARD -d 192.168.0.5 -m dscp --dscp 0x18

не понадобятся никакие другие усложняющие конструк-

ции. Этот метод прост и хорош, и, возможно, даже не по-
требует перекомпиляции ядра, так как большинство ядер,
по умолчанию поставляемых с системами, уже знает про
используемые нами модули и осуществляет их поддерж-
ку. (Для тех, кто будет компилировать ядро самостоятель-
но, поддержку DSCP и TOS следует включить, см. рис. 7.)
Но в то же время такой способ решения проблемы неуда- Ðèñóíîê 9. Ïðèãëàøåíèå, ïðåäëàãàþùåå óñòàíîâèòü ïàò÷ u32
чен, потому что требует очень больших ресурсов. Если После этого выбираем «t» (test), и в случае успешного
пользователь Вася настраивает правила у себя на домаш- тестирования устанавливаем патч выбором «y». Далее
нем компьютере, то скорее всего, как бы он ни старался, появится предложение установить следующий патч и т. д.
у него не получится более 100 правил. Его система заве- Чтобы не выбирать много раз «n», можно сразу выйти с
домо справится со всеми пакетами без потерь и задер- помощью «q» (quit). По окончании вы увидите сообщение
жек. Но если речь идёт о маршрутизации на уровне не- о том, что исходники готовы к компиляции.
большого или среднего провайдера, то все ресурсы на
счету. Правил может быть больше тысячи, к тому же на
сервере могут работать другие задачи. Если в каждом
пакете придётся менять какие-то биты, обнулять что-то в
поле ToS, то непременно придётся у всех этих пакетов
пересчитывать контрольную сумму, что может значитель- Ðèñóíîê 10. Ñîîáùåíèå: èñõîäíèêè ãîòîâû ê êîìïèëÿöèè
но загрузить систему. Далее следует выполнить конфигурацию и компиля-
Поэтому лучше и красивее использовать другой спо- цию ядра и модулей обычным образом. Следует обратить
соб подсчёта. Наложить на ядро патч u32 [6, 7] от patch-o- внимание, что после наложения патча в разделе Networking
matic, написанный Don Cohen (don@isis.cs3-inc.com). options IP: Netfilter Configuration должен появиться пукт
Для этого, как обычно, скачиваем последние версии «U32 match support», который следует выбрать.
ядра (http://www.ru.kernel.org/pub/linux/kernel/v2.4/linux-
2.4.26.tar.gz), patch-o-matic (http://www.iptables.org/files/
patch-o-matic-ng-20040302.tar.bz2) и заодно iptables (http:/
/www.iptables.org/files/iptables-1.2.9.tar.bz2). Затем, распа-
ковав исходники, следует наложить на них патч.
Особенность patch-o-matic состоит в том, что предла-
гаемые патчи, хотя и были написаны отнюдь не дурака-
ми, всё же могут содержать неумышленные ошибки. Так-
же никто не гарантирует совместимость всех патчей меж-
ду собой. Поэтому, чтобы лишний раз не понижать надёж-
ность системы, следует устанавливать только те патчи,
которые вам реально необходимы. В нашем случае это
u32. Наложение патча несколько отличается от обычного
синтаксиса команды patch, поэтому об этом чуть подроб- Ðèñóíîê 11. Ïóíêò U32 match support
нее. Прочитав прилагающийся файл README, можно уз- После установки нового ядра, а также компиляции и
нать, что следует запустить файл runme с ключом extra. инсталляции iptables, можно приступать к написанию пра-
Затем программа проверит значения переменных окру- вил с использованием нового фильтра u32. К сожалению,

24

документация, подготовленная автором модуля (Don
Cohen) и поставляемая в комплекте очень слаба, поэтому
лучше воспользоваться руководством, написанным William
Steams [7].
Краткий формат написания правил для u32 таков:
iptables ... -m u32 --u32 "Start&Mask=Range"
где Start – это то, что будет сравниваться, Mask – маска
тех битов, которые будут сравниваться, Range – сравни-
ваемое значение, если оно совпадёт с тем что будет в па-
кете, то правило «сработает».
Из-за особенностей реализации u32 в Start указывает-
ся не абсолютное значение байта в пакете, начиная с нуле-
вого, а относительное, смещённое на -3 байта от его ре-
ального месторасположения. Например, если вы хотите
фильтровать пакеты с TTL<4, то глядя на рис. 1, вы опреде-
ляете, что полю TTL в заголовке соответствует 8-й байт
пакета (вначале пакета идёт заголовок). После чего можно
подсчитать (8-3=5), что в поле Start следует указать число
5. Для сравнения следует учитывать все биты, поэтому ис-
пользуемая маска будет 1111 1111 (0xFF). Значения мень-
ше 4 – это те, что принадлежат отрезку значений [0, 3].
Полученное таким образом правило будет выглядеть так:
iptables ... -m u32 --u32 "5&0xFF=0:3"
при этом оно будет аналогично правилу:
iptables ... -m ttl --ttl-lt 4
Так как переменная Start не может быть меньше 0, то
получить вышеописанным образом доступ к первым трём
байтам не получится. Для доступа к ним используется бо-
лее сложная конструкция со сдвигом. Подробнее об этом
можно прочитать в [7]. Так как маркируемые биты нахо-
дятся во втором байте заголовка (2-3=-1), то простым об-
разом обратиться к ним не получится. Конструкция
Start&Mask позволяет считать первые 4 байта сразу без
сдвига с помощью «0&0xFFFFFFFF», конструкция, считы-
вающая второй по счёту (первый по нумерации, начиная
с нуля) байт выглядит так «0&0x00FF0000». Фактически
это то, что нам нужно. Уже сейчас можно написать аналог
применяемого нами ранее правила:
iptables -A FORWARD -d 192.168.0.5 -m dscp --dscp 0x18
который будет выглядеть так:
iptables -A FORWARD -m u32 --u32 "0&0x00FF0000=0x00600000" ↵
-d 192.168.0.5
Это правило полностью аналогично, то есть оно содер-
жит все те недостатки, что были обсуждены ранее. Однако
теперь их можно исправить, используя для сравнения не все
биты, а только те, которые нас интересуют 0110000 (0x60).
iptables -A FORWARD -m u32 --u32 "0&0x00600000=0x00600000" ↵
-d 192.168.0.5
Такая конструкция полностью делает всё от неё ожи-
№7(20), июль 2004
администрирование
даемое, хотя и не очень удобна в том плане, что сравни-
ваемое значение приходится окружать большим количе-
ством нулей. Куда разумнее оба сравниваемых значения
сдвинуть на 2 байта (16 бит) вправо, тогда лишних нулей
можно будет избежать, при этом правило для iptables бо-
лее элегантно можно будет записать так:
iptables -A FORWARD -m u32 --u32 "0&0x00600000>>16=0x60" ↵
-d 192.168.0.5
Логично догадаться, что если у вас маркируются другие
биты, то поменять значения в правиле не очень сложно.
Замечание 1. Вадимом Беркгаутом было обнаружено,
что маршрутизаторы Cisco (в частности 7206) помечают не
все пакеты в поле DSCP. Почему-то не помечаются пакеты
с установленными флагами SYN или FIN и иногда некото-
рые пакеты, идущие перед последним. Также не всегда по-
мечаются и ICMP-пакеты. Если на счёт SYN- и FIN-пакетов
есть некоторые соображения, то по поводу случайной не
маркировки некоторых ICMP-пакетов сделать выводы слож-
но. В частности, есть предположение, что существуют те
или иные RFC, которые рекомендуют так поступать. Напри-
мер, RFC 2873 (TCP Processing of the IPv4 Precedence Field),
указывающий, что во время установки соединения поле
precedence должно игнорироваться обеими сторонами. Это
значит, что Cisco может думать так: «а зачем маркировать
пакеты, если поле всё равно игнорируется». Возможно, что
это особенности конкретного экземпляра, если кто-то из
читателей знает, почему так происходит и как ведут себя
другие маршрутизаторы, буду рад услышать ваше мнение.
Замечание 2. Если поле ToS (DSСP+ECN по современ-
ной трактовке) никак не используется в сети и не обнуля-
ется на межсетевом экране, а при этом есть возможность
свободному выходу определённых пакетов из сети (в сеть),
то создаётся хорошая лазейка для скрытной передачи ин-
формации. Много передать по такому каналу не получит-
ся, но можно без особых усилий отправлять небольшие
сообщения, не привлекая к происходящему процессу вни-
мания.
Спасибо Павлу Янченко за ответы на некоторые мои
вопросы по теме данной статьи.
Литература, ссылки:
1. Список документов RFC: http://www.rfc-editor.org/rfc-
index.html
2. Закляков П. Пиринг. – Журнал «Системный админист-
ратор» №6(19), июнь 2003 г. – 82-87 с.
3. IP-адреса Российских сетей по данным gagariono.net:
http://www.gagarino.net/ips.txt
4. ИМТЦ «МГУ» тарифы и маркировка трафика: http://
www.direct.ru/internet/index_line.html
5. Classifying packets with filters: http://www.tldp.org/
HOWTO/Adv-Routing-HOWTO/lartc.qdisc.filters.html
6. Расширение u32 для iptables: http://www.iptables.org/
patch-o-matic/pom-base.html#pom-base-u32
7. William Steams IPTables U32 Match Tutorial: http://
www.sans.org/rr/special/iptables_u32.pdf
8. Страница со ссылками для скачивания iptables и patch-
o-matic: http://www.iptables.org/downloads.html
9. Сайт проекта sing: http://sourceforge.net/projects/sing
25
 администрирование
PostgreSQL: первые шаги
Все примеры в данной статье приведены для FreeBSD 5.2
и PostgreSQL 7.4.2, однако в принципиальном отношении
все изложенное остается верным и для других актуаль-
ных сегодня операционных систем и версий. Статья но-
сит обзорный характер и предназначена прежде всего ад-
министраторам, желающим познакомиться с этой СУБД
и оценить ее возможности для решения тех или иных за-
дач. Предполагается, что читатель знаком с такими ве-
щами, как реляционная база данных, СУБД, а также с ба-
зовыми понятиями и операторами языка SQL.
PostgreSQL – это объектно-реляционная система уп-
равления базами данных, работающая как клиент-сервер-
ная система. Основываясь на базовых понятиях реляци-
онных БД, PostgreSQL поддерживает и ряд «объектных»
операций, например наследование. PostgreSQL соответ-
ствует базовой спецификации SQL99 и поддерживает боль-
шое число возможностей, описанных стандартом SQL92.
Может возникнуть вопрос – почему именно PostgreSQL?
Лучше всего ответить на него, сравнив этот продукт с не
менее популярным и, пожалуй, более известным – MySQL.
Моей целью не является доказательство, что один из них
лучше другого – это несколько разные продукты, области
применения которых во многом пересекаются, но отнюдь
не совпадают, и сравнением я хочу определить нишу
26
Сейчас довольно трудно представить себе
более или менее серьезный программный
проект, который не использовал бы базу
данных для хранения информации.
В статье я хочу рассмотреть одну из лучших
(на мой взгляд) систем управления базами
данных, распространяемых бесплатно –
PostgreSQL. Существуют версии этой СУБД
как для различных UNIX-систем, так и для
Windows. Учитывая, что разрабатывается
она прежде всего для работы в среде UNIX,
то рассмотрим ее установку, первичную
настройку и основные принципы
использования на примере ОС FreeBSD.
СЕРГЕЙ СУПРУНОВ
PostgreSQL, те категории задач, для которых эта СУБД
более эффективна.
Прежде всего следует отметить различия в организа-
ции данных. Если в MySQL каждая таблица заносится в
собственный файл (для большинства типов БД), то Postgre
SQL организует единую файловую структуру, в которой
отдельные файлы не соответствуют непосредственно таб-
лицам или другим объектам базы данных. То есть в MySQL
вы можете создать резервную копию лишь части БД, со-
хранив соответствующие файлы. Для PostgreSQL такой
номер пройдет только для всей структуры, включающей в
себя все обслуживаемые сервером БД базы. Как след-
ствие – MySQL полагается при организации БД на файло-
вую систему ОС, в то время как PostgreSQL зависит от нее
меньше, но требует дополнительного обслуживания – пе-
риодической дефрагментации базы данных командой
VACUUM.
Далее эти две СУБД используют различную реализа-
цию нескольких подключений. PostgreSQL имеет более
широкие возможности, как для обработки данных, так и
для администрирования, но это, в свою очередь, несколь-
ко повышает сложность работы с этой СУБД. Наиболее
характерные различия сведены в таблицу, после которой
приведены некоторые комментарии-выводы.

Существуют также различия в реализации некоторых
SQL-функций (PostgreSQL лучше соответствует стандар-
там), в наборе типов данных и т. д. Как видно из таблицы,
разработчики MySQL делают акцент на наилучшую ско-
рость чтения (выборки) данных, чем и объясняется попу-
лярность этой СУБД в среде веб-разработчиков, где вы-
борка – основная операция. Достигается это отсутствием
транзакций (они реализованы только для некоторых ти-
пов таблиц, например InnoDB, BerkleyDB) и многопоточ-
ной работой, однако это же и является причиной несколь-
ко меньшей надежности данной СУБД. В плане прав дос-
тупа MySQL несколько превосходит PostgreSQL, позволяя
задавать права доступа не только на уровне таблицы, но
и на уровне столбца, однако в PostgreSQL это с лихвой
компенсируется возможностью создавать пользователь-
ские представления («view»).
Наиболее острый вопрос, вызывающий нескончаемые
споры, – сравнение скоростных характеристик этих двух
пакетов. Результаты тестов, доступные в Интернете, весь-
ма противоречивы, что говорит об отсутствии явного ли-
дерства той или иной СУБД. Кроме того, результаты бу-
дут сильно зависеть от конкретной реализации теста, пре-
обладания тех или иных операций и нагрузки на систему.
В одних случаях первенство будет за MySQL, в других –
за PostgreSQL.
Также PostgreSQL часто сравнивают с коммерческой
СУБД Oracle. Oracle несколько превосходит PostgreSQL в
таких вопросах, как использование индексов, репликация
и восстановление данных, да и вообще инструменты ад-
министрирования Oracle более развиты (но вместе с тем
и более сложны). С другой стороны, PostgreSQL предос-
тавляет возможность использовать в качестве процедур-
ного языка помимо PL/pgSQL (очень схожего с PL/SQL,
используемым в Oralce) также PL/Perl, PL/Python, PL/Tcl,
что позволяет разработчику выбрать более привычный
инструмент.
Таким образом, можно сказать, что место PostgreSQL –
базы данных, требующие высокой степени надежности
хранения информации, предъявляющие повышенные тре-
бования к проверке всех изменений, имеющие необходи-
мость в автоматической корректировке большого числа
данных при изменении информации в одной из таблиц, а
также задачи, где требуется возможность разработки не-
тривиальных решений, использование нестандартных опе-
№7(20), июль 2004
администрирование
раторов и т. д. Что, впрочем, не мешает использовать эту
СУБД и для веб-приложений, например, форума или га-
лереи изображений.
Типовая установка
Для установки PostgreSQL во FreeBSD лучше всего вос-
пользоваться системой портов (/usr/ports/databases/
postgresql7 или другая актуальная версия). Однако в дан-
ном случае установка по умолчанию, скорее всего, вас
не устроит, поскольку в ней отсутствует поддержка рас-
ширенных кодировок, а следовательно, операции сорти-
ровки данных, хранимых в кириллической кодировке (на-
пример, KOI8-r), будут работать неправильно.
Прежде всего нужно собрать PostgreSQL с поддержкой
расширенных кодировок. Для этого добавьте в файл Makefile,
размещенный в директории порта, следующие строки пос-
ле первого упоминания переменной CONFIGURE_ARGS:
CONFIGURE_ARGS+= --enable-locale --enable-multibyte=KOI8 ↵
--enable-recode
Параметр --enable-locale необходим для поддержки
специфических для страны настроек (так называемой ло-
кали), --enable-recode включает поддержку перекодиров-
ки (данный параметр для описываемого варианта, в кото-
ром везде используется только KOI8-r, необязателен, но
зачастую может быть весьма полезен). Параметр --enable-
multibyte собственно и включает поддержку кодировки
KOI8-r. Если вы предпочитаете работать с другой кодо-
вой таблицей, укажите ее в качестве аргумента. Параметр,
заданный без аргумента, включит поддержку всех муль-
тибайтовых кодировок.
Таким же образом вы можете добавить другие нуж-
ные вам опции или изменить поведение СУБД по умолча-
нию. Например, изменить номер порта, который
PostgreSQL будет прослушивать в ожидании запросов,
можно с помощью параметра --with-pgport=NUM (по умол-
чанию – 5432). А ключ --with-perl позволит в дальнейшем
использовать процедурный язык PL/Perl для разработки
хранимых процедур в дополнение к PL/pgSQL. Для полу-
чения информации по всем ключам запустите configure --
help.
После того как в Makefile внесены все нужные парамет-
ры конфигурации, установка выполняется как обычно:
# make && make install
В ряде случаев может оказаться полезным выполнить
регрессионное тестирование, которое позволит убедить-
ся в полной работоспособности откомпилированных про-
грамм и выявить возможные проблемы еще до их инстал-
ляции. В этом случае сборку системы нужно выполнить
со следующей опцией:
# make –DWITH_TESTS
И затем, убедившись в успешности тестирования, вы-
полнить установку:
# make install
27
 администрирование
Если ваша система не поддерживает коллекцию пор-
тов или вы предпочитаете ставить все вручную, скачав
предварительно архив с исходниками, то после распаков-
ки вам нужно будет выполнить конфигурацию с приведен-
ными выше параметрами:
./configure --enable-locale --enable-multibyte=KOI8 ↵
--enable-recode .
Ну и любителям прекомпилированных RPM-пакетов нуж-
но будет найти пакет, собранный с требуемыми опциями.
Теперь для инициализации базы данных нужно выпол-
нить следующую команду:
# su –l pgsql –c “initdb –E KOI8”
Обратите внимание, что инициализацию БД нужно вы-
полнять с правами того пользователя, от имени которого
процесс будет в дальнейшем запускаться, и это не дол-
жен быть root. Если вы ставили PostgreSQL из коллекции
портов, то для этих целей автоматически будет создан
пользователь pgsql, чье имя мы и указываем в команде
su как аргумент ключа –l. Если же вы собирали систему
самостоятельно, то этого пользователя вам придется со-
здать вручную и позаботиться о правах доступа к нужным
исполнимым файлам, библиотекам и каталогам данных.
Обратите внимание на ключ –E команды initdb. Он по-
зволяет задать кодировку по умолчанию, с которой будет
создана база данных. Поддержка указываемой как аргу-
мент кодировки должна быть включена во время сборки
пакета.
В процессе инициализации в папке /usr/local/pgsql бу-
дет создан каталог data со структурами двух БД – template0
и template1. Изменить путь к БД можно с помощью ключа
–D команды initdb:
# su –l pgsql –c “initdb –E KOI8 –D /var/databases/postgres/data”
По умолчанию для FreeBSD установка исполнимых
файлов происходит в папку /usr/local/bin. Если вы измени-
ли это и новый путь не включен в переменную PATH, то
потребуется указать полный путь к файлу initdb.
По окончании инициализации вам будет предложено
два способа запуска процесса postmaster, который явля-
ется сервером СУБД:
$ /usr/local/bin/postmaster –D /usr/local/pgsql/data
или
$ /usr/local/bin/pg_ctl –D /usr/local/pgsql/data –l logfile start
В первом случае запускается непосредственно процесс
postmaster. Причем он будет выполняться в интерактив-
ном режиме, то есть все его сообщения будут выдаваться
на терминал запустившего его пользователя. Прерыва-
ние процесса приведет к остановке сервера СУБД (под
сервером здесь понимается процесс postmaster, а не сам
компьютер).
Такой режим работы может быть удобен на стадии от-
28
ладки, но для реальной работы он явно неудобен. Можно,
конечно, запустить его в фоновом режиме, указав в кон-
це команды знак амперсанда (&), но мне больше нравит-
ся управлять процессом postmaster с помощью специаль-
но для этого разработанной утилиты pg_ctl.
В обоих вариантах ключ –D позволяет задать каталог,
в котором хранятся данные. Каталог должен быть иници-
ализирован командой initdb, как описывалось ранее. В
принципе ничто не мешает инициализировать несколько
каталогов данных и запустить одновременно несколько
процессов postmaster (при этом также нужно позаботить-
ся о том, чтобы каждый из них прослушивал свой порт).
Один процесс может одновременно обслуживать только
один каталог данных.
Теперь для проверки, что все работает так, как ожидает-
ся, присоединитесь к базе template1 следующей командой:
$ psql –U pgsql template1
Если вы получили приветствие Интерактивного Терми-
нала PostgreSQL, значит, БД проинициализировалась и
сервер запущен правильно. А если это сообщение еще и
на русском языке, то вообще замечательно. Если же нет,
то убедитесь, что переменная окружения LANG соответ-
ствует выбранной кодировке:
В случае возникновения проблем проанализируйте
полученные сообщения об ошибках, поступающие на эк-
ран и в журнальные файлы (в зависимости от характера
ошибки это могут быть файлы /var/log/pgsql, /var/log/
messages и т. п.). Убедитесь, что вы запускаете PostgreSQL
от имени созданного ранее пользователя pgsql (впрочем,
имя может быть иным, например postgres). Запустите про-
цесс postmaster в интерактивном режиме, как было опи-
сано выше. Если анализ диагностических сообщений не
позволяет выявить источник проблем, может помочь воз-
врат на стадию инсталляции и выполнение регрессион-
ных тестов.
Итак, мы подключились к БД, интерактивный клиент
общается с нами на нашем родном (или, по крайней мере,
на очень знакомом) языке. Еще одна вещь, которую же-
лательно дополнительно проверить, – кодировка, с кото-
рой БД была инициализирована. Для этого в терминале
выполните команду \l, которая выводит список всех БД:

Поскольку у нас все работает, как и ожидалось, то
теперь можно позаботиться об автоматической загрузке
сервера PostgreSQL при старте системы. Если вы стави-
ли СУБД из коллекции портов, то беспокоиться вам не о
чем – в папке /usr/local/etc/rc.d уже есть файл 010.pgsql.sh,
который и будет отвечать за запуск и останов сервера
СУБД. Если же установка выполнялась вручную, то вам
нужно будет перенести в соответствующий каталог (/etc/
rc.d, /usr/local/etc/rc.d) сценарий автозапуска, соответ-
ствующий вашей операционной системе, из подкатало-
га contrib/start-scripts той папки, куда был распакован ди-
стрибутив.
Что еще важно иметь в виду: пользователь pgsql явля-
ется администратором СУБД, то есть его полномочия по
отношению к базам PostgreSQL практически ничем не
ограничены.
Кроме того, настоятельно не рекомендуется исполь-
зовать базы template0 и template1 для работы. Поэтому
первое, что нужно сейчас сделать, это создать новую базу
данных и нового пользователя, который будет являться
владельцем этой БД.
Для выполнения этих операций, как и всех остальных,
будем использовать терминал psql:
Теперь у нас есть база данных, с которой в дальней-
шем и будем экспериментировать. Обратите внимание,
что нового пользователя мы создавали с опциями
nocreatedb и nocreateuser, то есть он не будет иметь прав
на создание баз и пользователей. В дальнейшем следует
подключаться под этим пользователем к вновь созданной
базе test:
$ psql –U test test
Чтобы не указывать имя пользователя и базу каж-
дый раз при вызове терминала, вместо базы test и поль-
зователя test создайте базу и пользователя с именем,
совпадающим с вашим системным именем. В этом слу-
чае запуск клиента можно осуществлять просто коман-
дой psql.
Хотя это и достаточно очевидно, все же следует ука-
зать, что пользователи СУБД и системные пользовате-
ли – не одно и то же.
Наверняка вас удивило, что при подключении к БД не
указывается пароль. Действительно, настройка PostgreSQL
по умолчанию позволяет пользователям подключаться с
№7(20), июль 2004
администрирование
хоста localhost без ввода пароля, поскольку этот хост оп-
ределен как доверенный (trust). Если вы – единственный
пользователь, имеющий терминальный доступ к серверу
(например, PostgreSQL установлена на вашей машине для
изучения), то это можно не менять. Но поскольку никогда
нельзя быть уверенным, что злоумышленник не получит
доступ к командной оболочке, то лучше не пренебрегать
дополнительной защитой.
Поэтому имеет смысл ужесточить права доступа к дан-
ным. Но об этом речь пойдет чуть ниже, а пока – неболь-
шой раздел для тех, кто практически не имеет опыта ра-
боты с базами данных.
Пример простой базы данных
(основам SQL посвящается…)
Решим простейшую задачу: создадим телефонный
справочник, который технически будет реализован как
одна таблица с тремя полями (ФИО, должность, теле-
фон). Вся работа будет показана как листинг одного
сеанса.
Создаем таблицу с полями person, post и phone:
Просмотр списка таблиц в базе:
Просмотр структуры таблицы:
Добавляем запись:
Смотрим, что получилось:
Добавляем еще одну запись. Как видно, после имени
таблицы не обязательно перечислять заполняемые поля.
В этом случае поля будут заполняться значениями по по-
рядку:
29
 администрирование
Команда \h позволяет получить подсказку по любой
SQL-команде:
Так можно просмотреть все команды интерактивной обо-
лочки (здесь приведены наиболее часто используемые):
Просматривать можно не всю таблицу, а только ее
часть, для чего условие выборки следует указать в пред-
ложении where:
Изменим поле записи. Обратите внимание, что если
не указать условие where, то будут изменены соответству-
ющие поля всех записей:
Удалим одну из записей. Отсутствие предложения where
очистит всю таблицу:
Наигравшись, удаляем таблицу phbook.
30
Выходим:
Вот так мы познакомились с интерактивным термина-
лом и убедились, что с PostgreSQL вполне можно общать-
ся на языке SQL. Обратите внимание на синтаксис при-
глашения. Оно состоит из имени базы данных (в нашем
случае – test). Далее следует символ «=», если редакти-
руется новая строка; «--», если продолжается ввод коман-
ды, начатый на предыдущей строке; или «(», если продол-
жается ввод и в предложении имеется незакрытая скоб-
ка. Завершает приглашение символ «#», если текущий
пользователь является владельцем подключенной БД, или
«>» в противном случае. Каждая вводимая SQL-команда
должна завершаться точкой с запятой. Для команд тер-
минала это не требуется.
Специфика PostgreSQL
Теперь более подробно рассмотрим конкретные особен-
ности PostgreSQL. Было бы жестоко пытаться втиснуть
весь материал в одну журнальную статью, поэтому этот
раздел будет носить скорее обзорный характер. А наибо-
лее интересным особенностям постараюсь посвятить не-
сколько отдельных статей.
Сперва – о типах данных. Помимо стандартных, соответ-
ствующих SLQ99 и SQL92 (numeric, char, varchar, bool и т. д.),
поддерживается и ряд специфических, например, геомет-
рические типы данных (point, line, box, circle, polygon), сете-
вые типы (cidr – спецификация сети IP, inet – IP-адрес,
macaddr – MAC-адрес) и т. д. Конечно, дополнительные типы
данных не являются незаменимыми, но в ряде случаев су-
щественно упрощают логику и структуру базы. Например,
геометрические типы могут оказаться весьма полезными
при разработке картографических приложений.
Особо следует отметить специальный тип данных serial.
Он описывает поле типа integer, значения которого зада-
ются автоматически создаваемой последовательностью
(см. далее) и так же автоматически индексируются. То есть
это, по сути, аналог ограничения AUTO_INCREMENT в
MySQL.
Будучи объектно-реляционной СУБД, PostgreSQL под-
держивает и составные типы данных – массивы. Чтобы
определить поле как массив, его тип дополняется парой
квадратных скобок (например, «char(10)[]»). Массив (как
константа) записывается с помощью фигурных скобок:
«’{1,2,3}’», «’{“один”, “два”, “три”, “четыре”}’». Обращение
к элементу массива, как и в других языках программиро-
вания, выполняется по индексу: arra[2].
Пример:

Как видно, первый элемент массива имеет индекс «1».
С точки зрения PostgreSQL массив представляет собой
специально форматированную строку, и именно этим
обусловлена необходимость заключать запись массива в
апострофы независимо от типа его элементов. Для мас-
сива строк каждый элемент также должен быть заключен
в двойные кавычки. Очевидно, что скорость обработки
массивов оставляет желать лучшего, однако в ряде слу-
чаев возможность работать с этим типом может оказать-
ся весьма удобной.
Теперь про обещанные ранее последовательности.
Последовательность (sequence) представляет собой счет-
чик, то есть автоматически увеличивающееся целое чис-
ло. При вызове специальной функции nextval(‘seq_name’),
где seq_name – имя последовательности, значение пос-
ледовательности увеличивается на шаг, заданный при ее
создании (по умолчанию – 1), и возвращается получен-
ное значение. Прочитать это значение еще раз без увели-
чения последовательности можно с помощью функции
currval(‘seq_name’). Следующий листинг демонстрирует
основные принципы работы с последовательностью:
№7(20), июль 2004
администрирование
PostgreSQL имеет довольно развитые возможности ра-
боты с индексами. Создаются они командой CREATE INDEX,
синтаксис которой можно посмотреть в терминале коман-
дой «\h create index». В ряде случаев индексы создаются
автоматически (например, для полей с ограничением
PRIMARY KEY). Созданные пользователем индексы мож-
но просмотреть командой \di. Поддерживается три типа
индексов: B-tree (по умолчанию), R-tree и хэш. В большин-
стве случаев следует использовать B-деревья, хотя иног-
да (например, при операциях с геометрическими типами
данных) R-tree-индекс может показать лучшие результа-
ты. В любом случае выбор остается за пользователем.
Модифицировать таблицы можно с помощью коман-
ды ALTER TABLE. Однако нужно заметить, что она не по-
зволяет удалять столбцы или менять их тип, что связано с
особенностями организации базы данных. В большинстве
случаев достаточно переименовать ненужный столбец во
что-нибудь типа «deleted» и забыть про него. Если же очень
хочется удалить его физически, то воспользуйтесь коман-
дой CREATE TABLE AS, которая создаст новую таблицу
на базе существующей (или даже нескольких, поскольку
источником данных может быть любой запрос). Кроме
того, всегда можно воспользоваться «универсальным ал-
горитмом»:
! CREATE TABLE newtable .. – создаем новую таблицу с
нужной структурой;
! INSERT INTO newtable SELECT .. FROM oldtable – встав-
ляем в новую таблицу нужные поля записей из старой;
! DROP TABLE oldtable – удаляем старую таблицу;
! ALTER TABLE newtable RENAME TO oldtable – переиме-
новываем новую.
Очень интересная возможность, имеющаяся в Postgre
SQL, – наследование таблиц. Если таблица создается как
производная (дочерняя) от некоторой базовой (родитель-
ской), то она наследует структуру последней, то есть в ней,
помимо собственных полей, доступны и поля родительс-
кой таблицы, а записи дочерней можно прочитать из ро-
дительской. В качестве примера рассмотрим такую зада-
31
 администрирование
чу: требуется БД для учета имеющихся на предприятии
компьютеров (IP-адрес машины, место установки, опера-
ционная система), при этом для серверов дополнительно
требуется указать работающие на них службы (WWW, FTP,
DNS и т. д.). В классической реляционной СУБД это ре-
шалось бы созданием отдельной таблицы для хранения
информации по службам и привязкой ее к таблице ма-
шин по IP либо по дополнительному полю-идентификато-
ру. Объектные возможности PostgreSQL позволяют ре-
шить указанную задачу следующим образом:
Создаем родительскую таблицу (как обычно):
Добавляем в нее запись для рабочей станции (все опе-
рации – обычные):
Создаем дочернюю таблицу (предложение inherits с
указанием родительских таблиц):
Хотя таблица servers создавалась с одним полем, три
других она унаследовала от родительской:
В родительской таблице видим записи и из родитель-
ской, и из дочерней, но без учета полей, заданных только
в дочерней:
В дочерней – только те, которые заносились непосред-
ственно в нее:
Ключевое слово ONLY позволяет выбрать записи из
родительской таблицы без учета содержимого дочерней:
Как видите, наследование позволяет создавать впол-
не логичные и удобные для работы структуры. Следует
также заметить, что удалить базовую таблицу можно толь-
32
ко со всеми производными (указав ключевое слово
CASCADE в команде DROP TABLE).
PostgreSQL позволяет создавать собственные функции,
которые сохраняются в базе данных и могут быть исполь-
зованы при модификации полей записи, в операциях вы-
борки по условию, как триггеры, и т. д. Разработчику, по-
мимо процедурного языка PL/pgSQL (являющегося ана-
логом PL/SQL в СУБД Oracle), доступны PL/Perl, PL/Python
и др. Для этого PostgreSQL должна собираться с соответ-
ствующими опциями.
Те, кому доводилось работать с Oracle, знакомы с та-
кой удобной возможностью для автоматизации операций
с БД, как триггеры. Спешу их обрадовать – PostgreSQL
также поддерживает триггеры в полном объеме. Триггер
связывает функцию с операцией модификации таблицы.
Например, с его помощью можно проверять правильность
вводимых данных или при удалении одной записи авто-
матически удалять и все, логически связанные с удаляе-
мой (или соответствующим образом модифицировать). В
данной статье я не буду останавливаться на описании
работы с функциями и триггерами, поскольку это доволь-
но обширная тема.
Следующая особенность СУБД – возможность созда-
вать представления пользователя (view), которые пред-
ставляют собой результаты выборки (запроса), доступные
для непосредственного обращения к ним в будущем без
пересылки повторных запросов. Помимо упрощения ло-
гики работы с БД (когда вместо сложных запросов к не-
скольким таблицам можно отправить весьма простой зап-
рос к представлению пользователя), эта возможность по-
зволяет гибко управлять доступностью данных для раз-
личных пользователей. Например, если в БД есть табли-
ца, содержащая имена и пароли клиентов, но оператор
должен получить доступ только к именам, то достаточно
создать представление, в которое выбрать поле «Имя», и
дать оператору доступ к нему, а возможность чтения са-
мой таблицы исключить.
Ну и напоследок несколько слов о транзакциях. Этот
механизм позволяет выполнять несколько операций по
модификации БД единым блоком, что гарантирует целос-
тность данных. Например, если при оформлении покупки
через интернет-магазин нужно занести запись о покупке
и одновременно уменьшить количество соответствующих
товаров на складе, то в результате сбоя может сложиться
ситуация, когда запись о покупке будет сделана, а товар –
не зарезервирован. В ходе же транзакции изменения в
базу данных записываются только в случае успешности
всех операций.
Транзакционный блок открывается командой BEGIN (не
забывайте завершать эту команду, как и все остальные,
точкой с запятой). Все изменения, выполняемые в блоке,
не отражаются на базе данных, пока не поступит команда
COMMIT, по которой выполняется запись всех сделанных
изменений. Отменить транзакцию (например, в случае вы-
явления ошибки) позволяет команда ROLLBACK. Если вы
недостаточно хорошо представляете, как это работает,
попробуйте поработать с таблицами внутри транзакцион-
ного блока, анализируя изменения, происходящие при под-
тверждении транзакции (COMMIT) и ее откате (ROLLBACK).

Обратите внимание, что такие операции, как удаление таб-
лицы, внутри транзакции выполнены быть не могут.
Вопросы администрирования
В начале статьи упоминалось, что локальные пользовате-
ли компьютера, на котором запущен сервер postmaster,
могут подключаться к БД под именем любого пользова-
теля без указания пароля. Связано это с тем, что хост
localhost по умолчанию является доверенным. Изменить
это можно в файле pg_hba.conf, находящемся в каталоге
data, инициированном командой initdb.
Синтаксис этого файла хорошо прокомментирован в
нем самом. Поле TYPE содержит тип записи, который
может быть одним из следующих: local (соединение, уста-
навливаемое с того же компьютера, на котором работает
сервер СУБД; использует сокеты UNIX), host (соединение
TCP/IP) или hostssl (защищенное соединение TCP/IP с
использованием протокола SSL).
Поле METHOD может содержать следующие записи:
! trust – доверенный хост, подключения не требуют па-
роля;
! reject – отклонить соединение;
! password – требовать соответствия пароля (передает-
ся в открытом виде);
! crypt – требовать соответствия пароля (пароль шиф-
руется);
! krb4, krb5 – аутентификация Kerberos;
! ident – аутентификация по карте соответствия имени
пользователя PostgreSQL системному имени пользо-
вателя. Карты соответствия содержатся в файле
pg_ident.conf.
Назначение остальных полей файла pg_hba.conf пояс-
нений, думаю, не требует. При запросе соединения про-
верка условий выполняется с начала файла до обнаруже-
ния соответствия, после чего выполняется действие, за-
данное полем METHOD. Если соответствие не будет най-
дено, соединение не будет установлено. Следует заме-
тить, что после внесения изменений в этот файл требует-
ся перезапустить процесс postmaster, послав ему сигнал
SIGHUP, либо перезагрузить сервер СУБД командой:
# pg_ctl reload
Чтобы сервер мог обслуживать подключения по прото-
колу TCP/IP, процесс postmaster должен быть запущен с
ключом –i. Для SSL-соединений также требуется ключ –l,
и, кроме того, СУБД должна быть собрана с поддержкой
SSL (ключ --with-openssl).
Управление базой данных может осуществляться с
помощью SQL-команд. Ряд функций может быть выпол-
нен внешними программами. Ниже представлена табли-
ца, описывающая некоторые полезные команды:
№7(20), июль 2004
администрирование
Некоторого пояснения требуют команды назначения и
отмены привилегий (GRANT и REVOKE). Команда GRANT
позволяет давать пользователю или группе следующие
права (перечислены только основные):
Аналогично, команда REVOKE ограничивает соответ-
ствующие права. В качестве объекта, для работы с кото-
рым назначаются права, могут выступать таблицы, пред-
ставления пользователя и последовательности. Посмот-
реть назначенные привилегии доступа позволяет коман-
да терминала \z.
При необходимости программного доступа к инфор-
мации о пользователях и привилегиях весьма полезны
служебные таблицы pg_shadow (таблица пользователей)
и pg_class (права доступа к объектам БД).
Для тех, кто клавиатуре предпочитает мышь, разрабо-
тан пакет phpPgAdmin (аналог phpMyAdmin для MySQL),
позволяющий работать с СУБД через веб-интерфейс. Для
FreeBSD найти его можно в коллекции портов: /usr/ports/
databases/phppgadmin.
Также существует мультиплатформенная графическая
оболочка pgAdmin (www.pgadmin.org/pgadmin3), обеспечи-
вающая доступ ко всем функциям администрирования и
разработки.
Заключение
Итак, были рассмотрены основные особенности СУБД
PostgreSQL. Описание получилось несколько расплывча-
тым и отрывочным, но надеюсь, эта статья все же позво-
лит вам оценить возможности этой системы управления
базами данных и принять принципиальное решение о ее
использовании (или неиспользовании) для решения сто-
ящих перед вами задач.
Дополнительная информация:
! Страницы справочного руководства man (см. каталог
/usr/local/pgsql/man/man1 (программы «обвязки») и
man7 (справки по командам SQL));
! Встроенная справка интерактивного терминала (\h –
справочник по SQL-командам, \? – справочник по ко-
мандам терминала);
! Официальный сайт проекта – www.postgresql.org, один
из русскоязычных сайтов – www.linuxshare.ru/docs/
software/SQL/postgresql)
33
 администрирование
УПРОЩАЕМ СЕБЕ ЖИЗНЬ С WEBMIN
У UNIX-подобных операционных систем много положи-
тельных сторон: безопасность, стабильность и, что осо-
бенно привлекает внимание многих, – бесплатность. Но
для начинающих системных администраторов настройка
системы может превратиться в настоящий ад. Копание в
конфигурационных файлах, постоянное чтение докумен-
тации, к тому же на не для всех понятном английском язы-
ке, может отпугнуть любого, привычного к удобному ин-
терфейсу Windows-систем. Да что там отпугнуть, ошибки
в конфигурационных файлах могут привести к серьезным
проблемам с безопасностью. Мне часто в письмах прихо-
дят просьбы от новичков помочь подобрать дистрибутив
для использования в качестве шлюза, но с обязательным
наличием веб-интерфейса, сегодня попробуем раз и на-
всегда решить эту проблему.
Webmin (http://www.webmin.com) представляет собой
веб-интерфейс для системного администрирования UNIX,
использование которого существенно упрощает процесс
управления системой. Кроме того, он будет полезен для
удаленного управления системой тем администраторам,
34
СЕРГЕЙ ЯРЕМЧУК
у которых нет в данный момент доступа к компьютеру с
установленной UNIX-подобной системой, а стандартные
сетевые средства Windows не блещут особым выбором
необходимых утилит. В этом случае, используя любой веб-
браузер, поддерживающий таблицы и формы (и JAVA для
некоторых модулей), можно без затруднений в наглядной
форме с локального или удаленного компьютера настро-
ить пользовательские аккаунты, установить/удалить про-
граммы, настроить Web, mail, DNS-сервер, сервер печа-
ти, управлять базами данных, организовать совместное
использование файлов, применяя Samba или NFS, настро-
ить firewall, синхронизировать время, организовать совме-
стный доступ в Интернет, мониторинг состояния серви-
сов, осуществить резервное копирование, записать CD-
диск, получить доступ к файлам на удаленном компьюте-
ре, в том числе документации и прочие бесчисленные за-
дачи администрирования, коих не счесть, но требующих
определенных умений. При этом Webmin избавит вас от
синтаксических ошибок и неточностей, как сможет пре-
дупредит о потенциально опасных действиях. Но это, прав-

да, не значит, что совсем не обязательно все знать, и ум-
ная утилита сделает все сама. Иметь некоторые представ-
ления о строении UNIX, значениях тех или иных утилит,
особенностях работы протоколов и сервисов все-таки не-
обходимо. Опытным администраторам также не стоит иг-
норировать наличие такой удобной утилиты, ведь помнить
все параметры в конфигурационных файлах и тонкости
настройки сервисов на различных системах, согласитесь,
довольно тяжело.
Написанный Джейми Камероном (Jamie Cameron) на
языке Perl, Webmin имеет модульную структуру, позво-
ляющую свободно наращивать требуемую функциональ-
ность или, наоборот, убрать все ненужное. В настоящее
время доступно около 200 модулей как входящих в стан-
дартную поставку, так и доступных для загрузки отдель-
но. Дополнительно ко всему интерфейс переведен на 32
языка, среди которых имеется и русский. На странице
http://www.webmin.com/support.html найдете список из 35
UNIX-подобных операционных систем (в том числе и
Cygwin, Mac OS X), на которых Webmin без проблем бу-
дет работать. Если вашего дистрибутива в нем нет, то
отчаиваться не стоит, скорее всего, Webmin удастся зас-
тавить работать без трудностей. При этом одним из ос-
новных преимуществ Webmin является то, что он факти-
чески подстраивается, в том числе изменяя свой интер-
фейс и поведение в соответствии с используемой ОС,
т.е. фактически скрывает от конечного пользователя раз-
личия между всеми вариантами UNIX. Еще одним преиму-
ществом Webmin является возможность делегировать
часть полномочий по настройке определенных сервисов
другим пользователям. Установить Webmin проще просто-
го: скачиваем архив размером чуть меньше 7 Мб (доступ-
ны и прекомпилированные пакеты), распаковываем его,
заходим внутрь и даем команду ./setup с указанием ка-
талога, в котором вы хотите видеть установленный
Webmin. По умолчанию установка будет произведена в
текущий каталог. После чего необходимо будет ответить
на ряд вопросов о будущем размещении конфигураци-
онных файлов, нахождении интерпретатора Perl, номе-
ре порта, на котором Webmin будет ожидать соединения
(по умолчанию 10000), логин и пароль для доступа, ав-
томатический запуск при старте системы.
В большинстве случаев можно со всем соглашаться и
нажимать Enter. Если программа установки что-либо сама
не найдет, то тогда в другой консоли при помощи whereis
самостоятельно находим и прописываем путь вручную.
После чего запустится свой мини-веб-сервер и будет вы-
дана подсказка, по которой можно найти в сети webmin.
№7(20), июль 2004
администрирование
Еще один момент. Для возможности работы по защи-
щенному каналу (а из внешней сети работать нужно толь-
ко так, да и во внутренней не будет лишней подстраховка)
требуется наличие модуля Net::SSLeay и OpenSSL (http://
www.openssl.org/). Поэтому при появлении сообщения
загрузите модуль с CPAN и повторите установку, за до-
полнительной информацией обращайтесь по адресу: http:/
/www.webmin.com/ssl.html. Иначе в строке веб-браузера
набирайте http вместо https. Кстати, удалить Webmin так-
же просто. Запускаем скрипт /etc/webmin/uninstall.sh, и его
как не бывало. Дальнейшую настройку можно произво-
дить уже через Webmin. Но, например, если вы забыли
пароль, то локально его изменить можно при помощи
скрипта changepass.pl.
#/usr/local/webmin-1.140/changepass.pl /etc/webmin ↵
ïîëüçîâàòåëü íîâûé_ïàðîëü
Также изменить некоторые настройки можно, напря-
мую редактируя конфигурационные файлы miniserv.conf
и config, которые лежат в каталоге с Webmin. В них воз-
можно изменить значение сетевого порта, включить/вык-
лючить SSL (опция ssl=0/1), изменить месторасположение
рабочих файлов, установить другой язык интерфейса (для
русского значение lang должно быть ru_RU (для кодиров-
ки СР-1251) или ru_SU (koi8-r)). Если планируете часто за-
ходить с компьютеров, где установлена ОС Windows, вы-
берите лучше вариант с СР-1251, тогда будете реже пе-
ренастраивать кодировку в браузере. После изменений
перезапустите webmin.
# /etc/webmin/stop && /etc/webmin/start
Но все настройки, повторяю, теперь доступны через веб-
браузер. Набираем в строке браузера https://hostname:10000,
авторизируемся (рис. 1):
Ðèñóíîê 1
После чего попадаем в главное окно программы (рис. 2).
35
 администрирование
Ðèñóíîê 2
Как видите, вполне привычная большинству пользо-
вателей рабочая обстановка.
Небольшое примечание: если Webmin уже был уста-
новлен в системе, то для входа вместо admin придется
воспользоватья root (нужного пользователя можно посмот-
реть в файле webmin.acl, он идет первым, например,
admin), но затем заведите лучше отдельного пользовате-
ля для работы с Webmin. Также в некоторых дистрибути-
вах может быть выставлен другой порт, используемый
Webmin, иногда при выборе его значения следует учиты-
вать, что некоторые провайдеры не любят пропускать па-
кеты на порты с адресами выше 1024, и, например, если
не используется защищенный веб-доступ, то вполне по-
дойдет порт 443, также и проследите, чтобы нужный порт
был открыт firewall.
А так, зная особенности работы тех или иных серви-
сов, настроить их с Webmin особого труда не составит,
просто выбираете нужную категорию (рис. 3) и заполняе-
те или выбираете параметры, к тому же по адресу http://
www.swelltech.com/support/webminguide-1.0/index.html до-
ступна неплохая книга по использованию, которая будет
особенно полезна начинающим «The book of Webmin».
Ðèñóíîê 3
Остановлюсь лишь на мерах безопасности и удобстве.
Вполне
ляется родным языком админа, но, согласитесь, общать-
ся на родном все же приятней. Заходим «Webmin
Configuration → Language» и выбираем из выпадающего
списка нужный язык, после чего подтверждаем свой вы-
бор нажатием на «Change Language». И возвращаемся
теперь уже к пункту «Настройка Webmin». По умолча-
нию Webmin будет принимать подключения со всех ад-
ресов, что не всегда нужно и безопасно, используя пункт
«Управление доступом по IP» (IP Access Control), можно
ограничить доступ, оставив его только для тех адресов,
которым вы доверяете (например, внутренняя сеть), пол-
ный доступ можно разрешить, только если вы, например,
уезжаете в отпуск и хотите иметь возможность попасть
на свой сервер. Здесь возможно задать в качестве па-
раметра сразу сеть или подсеть, отдельные узлы по IP-
адресу или доменному имени. В последнем случае для
подстраховки установите галочку в пункте «Определять
IP-адрес по имени при каждом запросе». Для быстроты
эту операцию можно проделать и вручную, использовав
в файле /etc/webmin/miniserv.conf параметры allow= или
deny=. Первый содержит список узлов и компьютеров,
перечисленных через пробел, которым позволено соеди-
няться, второй, наоборот, попытки доступа с которых
будут игнорироваться.
После установки при положительном ответе на воп-
рос «Start Webmin at boot time» Webmin будет загружать-
ся при старте системы, другим вариантом запуска бу-
дет использование для этих целей xinetd. Для этого в
файл miniserv.conf добавляем строчку inetd=1 и убира-
ем session=1. После этого пишем в файл /etc/xinetd.conf
(в некоторых дистрибутивах вроде Slaskware его сна-
чала создаем командой touch /etc/xinetd.conf):
service webmin
{
user = root
env = LANG=
port = 10000
socket_type = stream
protocol = tcp
wait = no
disable = no
type = UNLISTED
server = /usr/local/webmin-1.140/miniserv.pl
server_args = /etc/webmin/miniserv.conf
}
После чего перезапускаем xinetd.
Теперь самое время заняться пользователями. Для
начала используем модуль «Аутентификация», который
позволяет включить увеличение задержки между неудач-
ными попытками ввода пароля для одного и того же
пользователя и блокирование доступа после нескольких
неудачных попыток на определенное время, что затруд-
нит попытки подбора пароля в лоб, все подобные дей-
ствия можно также заносить в журнал. Для забывчивых
и ленивых пользователей можно активировать опцию, по-
зволяющую автоматически отключать доступ после оп-
ределенного интервала времени, и здесь же отключить
возможность запоминания введенного пароля. Для улуч-
шения защиты от перебора стоит также установить ути-