№12(25) декабрь 2004

подписной индекс 81655

www.samag.ru

Единая учетная запись для Windows

и UNIX в Active Directory
Копирование файлов
в автоматическом режиме
с множества компьютеров через SSH
Защита сетевых сервисов
с помощью stunnel
Использование аппаратных ключей
в целях аутентификации в Linux
Система обнаружения атак SHADOW
Биллинг для АТС на базе PostgreSQL
Обработка переадресованных
http-запросов
№12(25) декабрь 2004

Автоматизация FTP с помощью Python

 оглавление

РЕПОРТАЖ 2 БЕЗОПАСНОСТЬ
АДМИНИСТРИРОВАНИЕ Защита сетевых сервисов
с помощью stunnel
Linspire одним глазком
Андрей Бешков
Валентин Синицын tigrisha@sysadmins.ru 42
val@linuxcenter.ru 4
Железный login:
Идеальный карманный компьютер ломаем зубы грубой силе
для системного администратора
Часть 2 Александр Похабов
chiko@agk.ru 48
Андрей Маркелов
andrew@markelov.net 8 Тени исчезают в полдень
Дистрибутив для всех Сергей Яремчук
grinder@ua.fm 54
Сергей Яремчук
grinder@ua.fm 10 WEB
Копирование файлов PHP-GTK
в автоматическом режиме
с множества компьютеров через SSH Андрей Уваров
dashin@ua.fm 60
Рашид Ачилов
shelton@granch.ru 12 Обработка переадресованных
http-запросов
Единая учетная запись
для Windows и UNIX Алексей Мичурин
в Active Directory alexey@office-a.mtu-net.ru 62
Игорь Полянский HARDWARE
ipoliansky@mail.ru 18
Запись дисков CD-R/RW в Linux
FreeBSD tips: настройка VLAN Часть 2
Сергей Супрунов
amsand@rambler.ru 24 Владимир Мешков
ubob@mail.ru 68
Биллинг для АТС на базе PostgreSQL
ОБРАЗОВАНИЕ
Георгий Толоконников
info@samag.ru 26 Файловая система NTFS извне и изнутри
Часть 2
Пакетный фильтр OpenBSD
Часть 2 Крис Касперски
kk@sendmail.ru 76
Денис Назаров
pheonix@sysattack.com 30 Разработка сценария регистрации
пользователей в сети
Настоящий UNIX в наши дни Часть 2
Александр Байрак Иван Коробко
x01mer@pisem.net 34 ikorobko@prosv.ru 82
Автоматизируем FTP с помощью Python Содержание журнала за 2004 год 92
Сергей Супрунов
amsand@rambler.ru 36 BUGTRAQ 33, 53, 91, 94

№12(25), декабрь 2004 1

 репортаж
AGNITUM OUTPOST OFFICE FIREWALL
НОВЫЙ АСПЕКТ КОРПОРАТИВНОЙ ЗАЩИТЫ
3 декабря 2004 года компания Agnitum (www.agnitum.com) –
разработчик популярного персонального брандмауэра
Outpost Firewall Pro анонсировала выход новой версии свое-
го продукта – Outpost Office Firewall, нацеленного на исполь-
зование в корпоративных локальных сетях в качестве сред-
ства персональной защиты клиентских компьютеров. Новая
разработка явилась продолжением работы над очередной
версией брандмауэра – Outpost Firewall Pro 2.5. Стоит отме-
тить, что речь идет не о серверном варианте Outpost Firewall,
а именно об офисной версии, то есть специализированном
ПО, предназначенном для массового развертывания в кор-
поративной сети, на компьютерах пользователей.
Презентация проходила в Санкт-Петербурге, на борту
легендарного крейсера «Аврора», что само по себе явилось
удивительным сюрпризом. Главный менеджер по продажам
Николай Васильев и координатор российского проекта,
организатор презентации Ольга Величко (на фото) расска-
зали, что они давно хотели провести презентацию на этом
историческом крейсере под лозунгом «Революция в мире
информационных технологий».
В назначенное время у трапа крейсера собрались жур-
налисты практически всех популярных IT-изданий России.
На борту представителей прессы встречали В.И. Ленин и
военные матросы, вручая каждому морскую бескозырку с
ленточкой, на которой было написано «Outpost Firewall Pro».
Расскажем о впечатлениях от анонса и о заявленных
возможностях нового продукта.
В качестве клиентской части Outpost Office Firewall бу-
дет содержать некоторое подобие Outpost Firewall Pro 2.5.
Дистрибутив брандмауэра поставляется в формате MSI, что
позволяет для развертывания его в домене Active Directory
использовать групповые политики. К сожалению, в пилот-
ной версии другие возможности удаленной установки под-
держиваться пока не будут. Таким образом, автоматичес-
кое развертывание Outpost Firewall будет возможно только
в доменах Active Directory и только на компьютерах с
Windows 2000 и старше. В остальных случаях установку
придется произвести вручную. Возможность удаленной ус-
тановки при помощи RPC, а не через групповые политики
планируется реализовать в следующих версиях.
2
Клиентская часть после установки взаимодействует с
сервером и нацелена на работу в корпоративной сети. В
частности, контроль компонентов приложений (Component
Control) и контроль скрытых процессов (Hidden Process
Control) будут выключены по умолчанию, а брандмауэр бу-
дет загружаться в фоновом режиме. Это обеспечит мини-
мальное вовлечение пользователя в процесс защиты ком-
пьютера – многочисленные запросы сетевого доступа при-
ложениями могли бы ввести неопытного пользователя в
замешательство. К сожалению, клиентская часть Outpost
Office Firewall несовместима с предыдущими версиями про-
граммы. Если на некоторых компьютерах уже установлена
одна из предыдущих версий, включая Outpost Firewall 2.5,
ее необходимо полностью удалить перед установкой офис-
ного варианта. Новых серьезных изменений по сравнению
с версией 2.5 в клиентской части практически не будет. Фун-
кциональность нового продукта будет постоянно улучшать-
ся, а переговоры с создателями антивирусных продуктов о
реализации совместных решений помогут привести к со-
зданию надежной комплексной защиты. Например, реали-
зовать защиту от программ типа Ad-Aware, количество ко-
торых в последнее время угрожающе растет.
Средством управления и мониторинга будет служить
Outpost Command Center, выполненный в виде оснастки «Кон-
соли управления» (MMC snap-in), через который осуществ-
ляется управление службами, запуск редактора настроек и
публикация конфигураций для клиентских машин. Одновре-
менно с ним устанавливается редактор настроек, предназ-
наченный для конфигурирования брандмауэра на клиентс-
ких машинах, а также «Служба обновлений» и «Служба пуб-
ликации».
Конфигурации клиентам передает «Служба публика-
ции». Она запускается на том же сервере, где и «Команд-
ный центр» Outpost, и также управляется с его помощью.
При каждой загрузке компьютер пользователя запрашива-
ет у сервера конфигурацию. Если были созданы и опубли-
кованы новые настройки, то «Служба публикации» пере-
дает клиенту файл по внутреннему протоколу. После полу-
чения настроек брандмауэр на компьютере пользователя
применяет их. Период запроса клиентами обновлений кон-
фигурации – изменяемый параметр. Однако форсировать
немедленное обновление на клиентах пока нельзя. Возмож-
но, это появится в следующих версиях.
В первой версии Outpost Office Firewall не предвидится
возможности назначения разных конфигураций различным
группам клиентов, а также не планируется разрешать ре-
дактирование отдельных записей в конфигурации без зат-
рагивания остальных параметров.
По словам представителей компании выпуск коммер-
ческой версии продукта ожидается примерно в феврале
2005 года.
Роман Марков
Фото автора
 администрирование
LINSPIRE ОДНИМ ГЛАЗКОМ
Фирма Linspire (www.linspire.com) – ветеран движения за по-
пуляризацию Linux, хотя самой торговой марке едва насчи-
тывается пять месяцев. Между тем компания была основа-
на в далеком 2001 году. С тех пор и по сей день ее бес-
сменным управляющим является всемирно известный аван-
тюрист-инноватор Майкл Робертсон (Michael Robertson), со-
здатель портала MP3.com. Первоначально компания назы-
валась Lindows, а ее основное детище и герой сегодняш-
ней статьи, настольный дистрибутив Linux, – LindowsOS.
Такое явное созвучие с «Окнами» не могло понравиться
корпорации Microsoft и очень быстро стало предметом мно-
гочисленных судебных разбирательств как на территории
США, так и за их пределами. Тяжба не утихала в течение
нескольких лет, причем фортуна практически равным об-
разом благоволила как той, так и другой стороне. Вконец
погрязнув в пучине судебных баталий, Lindows, Inc. и
Microsoft в июле этого года пришли к мировому соглаше-
нию, по которому все права на торговую марку «Lindows» и
соответствующие доменные имена отошли в «Редмонд»,
правда, не безвозмездно. Размер контрибуции составил
около 20 млн. долларов. Вполне удовлетворенная исходом
дела, Lindows сменила имя на Linspire и с большой выго-
дой продала свою прежнюю вывеску на аукционе eBay.
На сегодняшний день компания представляет широкий
модельный ряд, включающий базовую редакцию Linspire
4.5, профессиональную Linspire 4.5 Developers Edition, заг-
ружаемый диск LinspireLive! и специальную версию
LinspireEspaсol для испаноязычных пользователей. Поми-
мо этого имеются различные дополнения, например,
LinspireOffice. Ранее существовала еще одна разновид-
ность – Laptop Edition, предназначенная для ноутбуков, но
сейчас она, по-видимому, слилась с базовой версией.
Как и многие настольные дистрибутивы, Linspire явля-
ется коммерческим программным продуктом. Цена базо-
вой редакции – 49,95 доллара. Версия для разработчиков
стоит чуть дороже – $59,95. LinspireLive! можно приобрести
за $19,95 или (официально!) загрузить через файлообмен-
ную сеть BitTorrent. Выбрав столь оригинальный (для по-
4
ВАЛЕНТИН СИНИЦИН
ставщиков закрытого ПО) канал доставки, компания выз-
вала сильное удивление у коллег по цеху, а г-н Робертсон в
очередной раз подтвердил звание большого затейника.
Подробности доступны по адресу: http://info.linspire.com/p2p/
p2p-pr.html. Иногда (правда, в последнее время все реже и
реже) Linspire проводит промо-акции, в ходе которых тре-
буется угадать текст купона (как правило, это нечто оче-
видное для тех, кто внимательно следит за заголовками
новостных лент), ввести его и получить стопроцентную скид-
ку в интернет-магазине компании. После этого ISO-образ
дистрибутива можно загрузить бесплатно через HTTP или
все тот же BitTorrent.
В данном обзоре мы рассмотрим основные возможнос-
ти Linspire 4.5.189 Developers Edition, датированной янва-
рем 2004 года. С тех пор было выпущено несколько исправ-
лений (об их роли в этой истории мы поговорим чуть поз-
же), однако базовая функциональность системы не претер-
пела существенных изменений.
Делай раз: установка
Итак, вставляем компакт-диск с Linspire в оптический при-
вод и перезапускаем компьютер. Нашему взору представ-
ляется графический splash-экран с логотипом компании и
меню с двумя загрузочными опциями: Install и Diagnostic. Пос-
ледний вариант может использоваться для тонкой (эксперт-
ной) настройки параметров или восстановления системы.
Выбрав его и подождав достаточное время, можно попасть
в текстовую консоль и, например, переразбить жесткий диск,
пользуясь командой fdisk или же реанимировать файловую
систему с помощью fsck. Из важных утилит в этом режиме
не доступен, пожалуй, один hdparam (читатели, у которых
хотя бы раз «взрывался» хорошо раскрученный CD-ROM,
меня поймут). Впрочем, развитие промышленности идет се-
мимильными шагами и несбалансированные/некачествен-
ные диски сейчас встречаются все реже и реже.
Сделав все необходимое, можно начать установку
Linspire командой startx или же выйти из диагностического
режима, набрав exit.

Ðèñóíîê 1. Êëèåíò Click-N-Run
Программа-инсталлятор, напротив, является воплоще-
нием простоты. Достаточно упомянуть, что она состоит мак-
симум из четырех экранов. Вначале пользователю предла-
гается выбрать один из двух режимов: Take Over An Entire
Hard Disk («Занять жесткий диск целиком» – режим по умол-
чанию, хорошо подходит для установки на чистый нераз-
меченный диск и не требует вмешательства пользователя)
или Advanced Install. «Продвинутость» в данном случае оз-
начает возможность указать существующий раздел для ин-
сталляции корневой файловой системы. Изменить их струк-
туру программа не позволяет, вероятно, для того, чтобы нео-
пытный пользователь нечаянно не уничтожил данные на со-
седнем Windows-разделе. После осуществления выбора мы
переходим на третий экран, где предлагается ввести имя
для нашего компьютера и пароль. Последняя настройка яв-
ляется необязательной, что очень понравится пользовате-
лям Windows 9x и приведет в ужас бывалых администрато-
ров. Программа не проверяет введенные пароли на проч-
ность: хотите «123456» – пожалуйста. После заполнения
данных полей ваше участие в процессе заканчивается и
система приступает к копированию файлов. Вполне оправ-
дывающий себя подход, по крайней мере до тех пор, пока
не возникнет внештатная ситуация.
Сообщения инсталлятора об ошибках малоинформатив-
ны и обычно состоят из числового кода, краткого описания
(например: «200: rsync failed» или «255 Unspecified Error») и
предложения обратиться в службу технической поддерж-
ки, которая, как следует из периодически появляющейся в
ходе установки рекламной картинки, доступна через Web и
по телефону, правда, не круглосуточно. Опыт показывает,
что специалисты откликаются достаточно быстро, однако
на вопрос о причинах неудачи разводят руками: мол ошиб-
ка, знаем, работаем. Возможно, build 189 был в этом отно-
шении не слишком успешным (как уже упоминалось ранее,
с тех пор вышло несколько исправлений, и текущий релиз
имеет номер 444), но мне с трудом удалось найти компью-
тер, на который Linspire поставился без сучка и задоринки.
Особенно обидно, что в число «неприкасаемых» попал и
мой ноутбук, с помощью которого предполагалось прове-
рить на практике, насколько хорошо система поддержива-
ет работу с беспроводными сетями. Эта возможность ши-
роко рекламируется в руководстве пользователя, что вну-
шает некоторое уважение: прочие дистрибутивы Linux, ори-
№12(25), декабрь 2004
администрирование
ентированные на ту же целевую аудиторию, стали продви-
гать совместимость с WiFi лишь к концу 2004 года (моя вер-
сия Linspire, напомню, была выпущена в январе). Возмож-
но, эти ошибки уже исправлены, однако достоверных све-
дений на сей счет у меня нет.
В процессе установки программа сама отформатирует
предназначенный системе раздел. В качестве файловой си-
стемы по умолчанию (впрочем, этот термин здесь не впол-
не уместен, ведь ничего другого выбрать не предложили)
используется ReiserFS, что неудивительно – Linspire спон-
сирует ее разработчиков, о чем красноречиво свидетель-
ствует лейбл на сайте Namesys (www.namesys.com). Эта
компания вообще поддерживает или принимает участие в
достаточно большом числе открытых проектов, в том чис-
ле KDE (www.kde.org) и Mozilla (www.mozilla.org), и даже с
некоторых пор имеет собственную Open Source инициати-
ву – Nvu (www.nvu.com), задача которой ни много ни мало –
создать свободный аналог Macromedia DreamWeaver и
Microsoft Frontpage. В качестве основы используется редак-
тор Mozilla Composer. Проект делает определенные успе-
хи: по крайней мере все новые страницы на сайте Linspire
разработаны с помощью Nvu.
Завершив (ура!) копирование файлов, инсталлятор вы-
даст соответствующее сообщение и предложит перезагру-
зить систему. Добро пожаловать в мир настольного Linux!
Делай два: первый запуск
и постинсталляционная настройка
После неизбежного перезапуска мы видим уже знакомую
заставку и меню, на этот раз содержащее три опции. Две
из них нам хорошо известны и предназначены для нормаль-
ного старта системы и перехода в экспертный режим. Сред-
няя, «Redetect», используется для обнаружения нового обо-
рудования. Дождавшись загрузки системы (наберитесь тер-
пения – как и многие настольные дистрибутивы, Linspire не
слишком легок на подъем. Это неизбежная плата за отсут-
ствие тонкой настройки) и введя пароль (если таковой име-
ется), мы окажемся в окне мастера первого запуска, кото-
рый предложит нам ознакомиться с лицензией и установить
ряд параметров. Беглый взгляд на соглашение конечного
пользователя (EULA) обнаруживает занятную вещь – лицен-
зия Linspire является Family Friendly. Говоря русским язы-
ком, одну копию системы можно легально установить на
неограниченное число компьютеров, владельцы которых со-
ставляют одну семью. Не вдаваясь в юридические тонко-
сти, отметим явное преимущество такого договора как для
нас с вами, так и для производителя: если отечественный
пользователь худо-бедно свыкся с мыслью о том, что про-
граммы имеют лицензию, которую надо соблюдать, то пла-
тить за себя, за маму и за папу он точно не станет. Нажав
на расположенную в окне кнопку «Advanced», можно доба-
вить новые учетные записи (по умолчанию вы заходите в
систему как root) или настроить экранное разрешение, глу-
бину цвета и частоту развертки (в состав Linspire входят
фирменные драйверы ATI и Nvidia, поэтому приготовьтесь
к высокому refresh rate). Программа также предложит вам
настроить системное время. Выполнив все необходимые
операции, можете спокойно выходить из мастера. Вас ждет
сюрприз: одно из фирменных аудиоруководств Linspire! В
5
 администрирование
ходе интерактивных уроков, выполненных с использовани-
ем технологии Macromedia Flash (конечно, проигрыватель
Flash-роликов также включен в комплект поставки), пользо-
ватель может получить представление о возможностях си-
стемы и приобрести базовые навыки работы с нею. Значи-
тельная часть первого руководства посвящена технологии
CNR («Click-N-Run»), речь о которой пойдет чуть ниже. К
сожалению, эта красота требует жертв: после нескольких
уроков, прослушанных на моем компьютере, диктор стал
«заикаться», а потом и вовсе умолк. Пришлось лечить сис-
тему с помощью Quick Restart, по-простому – перезагрузки
X-сервера.
Ðèñóíîê 2. Linspire 4.5: ðàáî÷èé ñòîë ïî óìîë÷àíèþ
Как и многие современные дистрибутивы, Linspire не-
мыслим без Интернета. По утверждению разработчиков,
кабельное подключение система распознает и конфигу-
рирует в полуавтоматическом режиме (пользователю мо-
жет потребоваться ввести IP-адрес и т. п.). Для «счастли-
вых» владельцев модемов на рабочий стол вынесена спе-
циальная пиктограмма – Internet Connection Tools. Созда-
тели Linspire позаботились о клиентах крупнейших интер-
нет-провайдеров США (AOL, Juno, Earthlink и т. д.) – им
достаточно просто щелкнуть по иконке с нужным именем.
Остальным предлагается настроить KPPP (а именно эта
утилита используется для доступа в Интернет) вручную –
подробное руководство прилагается. Сверх указанных ав-
торами мер мне пришлось лишь указать устройство, к ко-
торому подсоединен мой модем, в настройках этой заме-
чательной утилиты.
Теперь, когда вы подключены к Всемирной паутине, на-
стало время познакомиться с «жемчужиной» Linspire – CNR
Warehouse.
Делай три: Кладовая «Раз – и готово»
Не пугайтесь непривычных слов: примерно так переводится
на русский язык словосочетание «Click-N-Run Warehouse»,
обозначающее технологию, разработанную в Linspire с це-
лью упрощения установки нового ПО и обновления систе-
мы. Зависимости всегда были бичом Linux, и любой созда-
тель дистрибутива, претендующий на место в сердцах сред-
нестатистических пользователей, должен позаботиться о
скруглении «острых углов». В настоящий момент с помо-
щью CNR Warehouse можно установить более 1900 про-
6
грамм, как открытых, так и коммерческих. Для этого потре-
буется доступ в Интернет и несколько щелчков мышью. Кли-
ент Click-N-Run (рис. 1) автоматически скачает и установит
выбранные вами программы, а также позволит добавить
иконку на рабочий стол или в меню Autostart. Вы можете
инсталлировать как отдельные приложения, так и целые на-
боры – «Aisles», созданные разработчиками Linspire или
другими пользователями. Членство в CNR платное (4,95
доллара в месяц или 49,95 год), однако «прикоснуться к
прекрасному» можно и даром. Достаточно ввести номер
кредитной карточки, и в течение 15 дней вы можете пре-
кратить подписку, не заплатив ни цента за загруженный
софт. Переведя эти деньги в отечественную валюту, полу-
чим 120-150 рублей в месяц, то есть намного меньше, чем
большая часть жителей нашей страны тратит на сотовый
телефон. Важным ограничивающим фактором является ши-
рина канала: скачать большую часть интересных приложе-
ний по модему практически нереально, а оплата трафика
при использовании выделенной линии может влететь в ко-
пеечку.
Таким образом, целевая аудитория CNR Warehouse у
нас в России, по сути, ограничена пользователями unlimited-
тарифов. Большая часть репозитария CNR бесплатна для
подписчиков, исключения составляют коммерческие при-
ложения, на которые предоставляются ощутимые скидки.
Единожды загрузив как ую-либо программу из CNR
Warehouse, вы становитесь ее собственником навеки и смо-
жете вновь получить к ней доступ, когда потребуется. Су-
ществование этого банка программ создает определенную
специфику Linspire. В состав системы включен самый ми-
нимум приложений (нет ни офисного пакета, ни графичес-
кого редактора, ни проигрывателя видеофильмов). Все ос-
тальное предлагается загружать из CNR. Каждый пункт
меню «Launch» (аналог кнопки «Пуск» Windows) включает
обязательную ссылку на Warehouse, поэтому логотип дан-
ной технологии – бегущий человек в зеленом круге – вы
будете видеть довольно часто.
Постоянное желание «выклянчить пару баксов» являет-
ся несомненным минусом Linspire. Впрочем, выход, как все-
гда, есть. Дистрибутив основан на Debian и содержит необ-
ходимый для опытного пользователя инструментарий: dpkg
и apt-get, с помощью которого можно устанавливать пакеты
в формате deb. Редакция Developers Edition, помимо этого,
включает в себя полный комплект средств разработки (в
том числе среду KDevelop), что позволяет собирать пакеты
из исходных текстов. Может быть, это и неэстетично, но по
крайней мере дешево. Таким образом я скомпилировал «про-
грамму в правом нижнем углу» – системный монитор gkrellm
(http://web.wt.net/~billw/gkrellm/gkrellm.html).
В меню утилита не появилась, но зато работала как
часы. Другое дело, захочет ли Пользователь с большой
буквы связываться с инструментами командной строки?
Можно сказать, что CNR Warehouse отражает идеологию
Open Source: брать деньги не за ПО, а за услуги, то есть за
желание клиента не делать чего-то самостоятельно.
Однако, несмотря на все многообразие приложений для
Linux, пользователь может захотеть запустить и какую-то
программу для Win32, например, игру. Что же предостав-
ляет Linspire для этой категории граждан? Исходной целью

разработчиков Lindows была практически стопроцентная
совместимость с Windows-приложениями (отчасти поэтому
ей и было присвоено столь «неудачное» имя). Стремясь до-
стичь ее, компания не жалела денег на инвестиции, в пер-
вую очередь, в проект Wine (http://www.winehq.com). Одна-
ко, спустя некоторое время г-н Робертсон изменил курс.
Сославшись на дороговизну продуктов для Windows, он
предложил сконцентрировать все усилия на написании их
полноценных аналогов (чем компания сейчас и занимает-
ся, достаточно вспомнить тот же Nvu). Было ли это реаль-
ной причиной или же стопроцентная эмуляция Win32 API
оказалась чересчур трудоемкой задачей, науке доподлин-
но неизвестно, но факт остается фактом: в смысле двоич-
ной совместимости с Windows у пользователей Linspire нет
особых преимуществ перед «простыми смертными». Через
CNR Warehouse доступны все те же Wine, NeTraverse
Win4Lin (около 70 долларов с учетом «клубной скидки») и
WineX (приблизительно 15 долларов). Весьма популярный
пакет CrossOver Office, базирующийся на Wine, и входящий
в комплект поставки конкурентов Linspire (Lycoris Desktop/
LX и Xandros), в CNR Warehouse отсутствует.
Как вы уже, наверное, обратили внимание, названия ин-
терфейсных элементов в данной статье приводятся на анг-
лийском языке. Это происходит вовсе не из-за прозапад-
ной ориентации автора – английский является языком
Linspire по умолчанию, а помимо него, система официаль-
но поддерживает лишь испанский. В отличие от Linare (см.
статью «Заметки о Linare», журнал «Системный админист-
ратор», №11, ноябрь 2004 г.), где поддержка кириллицы
выдрана с корнем, научить Linspire хоть как-то говорить по-
русски возможно. Для этого потребуется установить стан-
дартный пакет локализации KDE и шрифты все из того же
CNR Warehouse.
Среди заслуживающих внимания приложений, входящих
в состав «Кладовой», следует назвать авторские разработ-
ки Linspire: аудиоплейер в стиле «все в одном2 Lsongs (http:/
/info.linspire.com/lsongs), аналогичный iTunes и фотоальбом
Lphoto (http://info.linspire.com/lphoto), заменяющий iPhoto.
Обе программы бесплатны для подписчиков CNR и стоят
около 20 долларов для остальных.
Делай четыре: приступаем к работе
Итак, все подготовительные операции завершены, допол-
нительное ПО установлено, и мы можем наконец-то при-
ступить к тому, ради чего все и затевалось, – работе. Вне-
шний вид Linspire 4.5 представлен на рис. 2. В качестве ра-
бочего стола используется KDE. Содержимое меню
«Launch» (зеленая буква «L» в левом нижнем углу) стара-
тельно повторяет привычное пользователям Windows (кро-
ме тех, кто успел основательно обжиться в XP): те же
Programs, Settings, Search и Run Command. В устоявшийся
порядок вещей добавлен всего один штрих – опция
«Terminate Program» («Снять программу»). При ее выборе
(равно как и при нажатии магической комбинации <Ctrl-Alt-
Del>) на экране появляется дерево запущенных процессов.
Во время своего старта система автоматически загружает
апплет, извещающий пользователя о наличии новых сооб-
щений в почтовом ящике (конверт в правом нижнем углу) –
мелочь, а удобно. Для чтения писем, а также просмотра Web
№12(25), декабрь 2004
администрирование
и создания HTML-документов используется интернет-пакет
Mozilla.org. Не так давно компания MozDev Group (http://
www.mozdevgroup.com) по заказу создателей дистрибути-
ва расширила его возможности интегрированным поиском
(по любому слову на странице, в теле письма и т. д.) и про-
веркой правописания. Функция имеет название Hot Words
(http://info.linspire.com/suite.html) и доступна, как и все в мире
Linspire, через CNR Warehouse. В состав Linspire 4.5 вклю-
чены также интернет-пейджер GAIM (gaim.sourceforge.net)
и IP-телефон SIPphone (www.sipphone.com).
Поинтересуйтесь у начинающего линуксоида, что ему
кажется самым непонятным в этой системе. Уверен, в «го-
рячую десятку» непременно попадет процедура подключе-
ния (mount) разделов, особенно остро встающая для съем-
ных носителей: дискет, компакт-дисков, USB Flash и т. д.
Здесь Linspire оказался на высоте. Вставленный в USB-
разъем «брелок» система опознала сразу, о чем уведоми-
ла меня, разместив пиктограмму «Flash Disk» на рабочем
столе. Вставленный в привод DVD-ROM оптический диск
был также легко опознан и смонтирован, а вот с его отклю-
чением возникли небольшие проблемы. В случае, если он
оказывался занят (в понимании Linux – например, было от-
крыто окно с деревом расположенных на нем каталогов),
система игнорировала нажатие на кнопку Eject на передней
панели. Такое поведение родного компьютера может сму-
тить и испугать новичка. Было бы лучше, если бы Linspire
выдавала диалог с сообщением о невозможности извлече-
ния диска и списком потенциальных причин (или даже на-
званием приложения, использующего CD/DVD-ROM в дан-
ный момент).
Вот и подошел к концу этот небольшой обзор. Что мож-
но сказать в заключение? По-моему, Linspire – это непло-
хой дистрибутив, страдающий излишним интересом к день-
гам своего владельца и отсутствием полноценной русифи-
кации, но, несмотря на это, предоставляющий достаточный
комфорт для домашнего и офисного применения. Если у
вас есть широкий канал в Интернет – загрузите LinspireLive.
Возможно, он вам понравится. Если что-то не получилось,
не расстраивайтесь – Linspire не единственный в своем
роде. В январском номере журнала мы рассмотрим Lycoris
Desktop/LX, загадочный дистрибутив от компании, ранее
известной как Redmond Linux.
Ðèñóíîê 3. Ïîíàäîáèëñÿ îôèñ? Äîáðî ïîæàëîâàòü â CNR Warehouse!
7
 администрирование
ИДЕАЛЬНЫЙ КАРМАННЫЙ КОМПЬЮТЕР
ДЛЯ СИСТЕМНОГО АДМИНИСТРАТОРА
ЧАСТЬ 2
Обновляем системное программное
обеспечение КПК
За время, прошедшее с выхода первой части статьи1, ком-
пания Sharp успела выпустить преемника рассматриваемой
модели карманного компьютера, в основном отличающе-
гося наличием четырехгигабайтного жесткого диска. Однако
пока еще эта модель под названием SL-C3000 заговорит
хотя бы по-английски, а не по-японски, и доберется до на-
шего рынка, пройдет очень много времени. А пока идеаль-
ным КПК для системного администратора как был, так и
остается Sharp Zaurus SL-C860. Кстати, с появлением трех-
тысячной модели, цена на восемьсот шестидесятую долж-
на упасть, что сделает Zaurus более доступными. Продол-
жим же наш разговор об этом карманном компьютере, ра-
ботающем под управлением ОС Linux.
В первой части статьи я уже рассказывал о существую-
щем многообразии «прошивок» ROM для Zaurus. Две ос-
новных из них – это pdaXrom (http://www.pdaxrom.org) и
Cacko ROM (http://cacko.biz/cacko). Первая в качестве гра-
фической среды использует X11, а вторая, как и родная
шарповская – Qtopia. Доставшийся мне «карманник» шел
с довольно устаревшей русифицированной для «МакЦент-
ра» версией Cacko ROM. Поэтому я хочу начать вторую
часть с описания процесса перепрошивки ROM, который
весьма не тривиален. После окончания операции по срав-
нению с макцентровской версией, помимо исправлений
ошибок, мы должны дополнительно получить огромное чис-
ло бонусов:
Наиболее заметные изменения:
! переделаны все значки и обои;
! значительно обновлена программа kino2 – оболочка для
mplayer;
! включена поддержка NLS для всех языков в ядре;
! модернизирована программа переключения клавиатур-
ных раскладок;
1
Маркелов А. Идеальный карманный компьютер для системного администратора. Часть 1. – Журнал «Системный администратор», №10,
октябрь, 2004 г.
8
АНДРЕЙ МАРКЕЛОВ
! включены версии баузеров Opera 7.25 и NetFront 3.1;
! улучшена поддержка USB-устройств через CF USB Host;
! добавлена поддержка эмуляторов SNES и Scumvm.
! поддержка файловых систем ext3 (позволяет создавать
отказоустойчивые ext3 разделы на больших внешних кар-
тах памяти) и squashfs (предоставляет очень хорошую
степень сжатия данных при невысоком использовании
системных ресурсов), fuse (FileSystem in User Space);
! обновлены драйвера bluetooth и WiFi (используются
драйвера HostAp, поддерживаются Wireless Extentions
версии 15, WPA);
! добавлен модуль брандмауэра iptables;
! bash «дорос» до версии 3.0;
! в прошивку включен Midnight Commander;
! включены в прошивку unrar, diff, smbmount и другие кон-
сольные утилиты, которые иначе пришлось бы доуста-
навливать вручную;
! созданы новые версии многих консольных утилит (wget,
fdisk, OpenSSL/OpenSSH);
! обновлена программа эмулятора терминала;
! добавлена поддержка целого ряда новых bluetooth и WiFi
CF-карт.
Как видите, список изменений весьма внушителен, для
того чтобы приступить к обновлению прошивки. Нужно ска-
зать, что к этому процессу стоит отнестись со всей ответ-
ственностью, так как можно легко привести КПК в нерабо-
тоспособное состояние. Снимки с экрана Zaurus во время
выполнения этого увлекательного процесса вы можете най-
ти по адресу www.markelov.net/z860upd.html, а далее я по-
стараюсь подробно описать само действо.
Начнем с того, что на всякий случай сохраним копию те-
кущей прошивки. Для этого нам необходимо попасть в так
называемое «диагностическое меню» карманного компью-
тера – аналог BIOS настольных ПК. Для того чтобы зайти в
 администрирование
него, необходимо на некоторое время вынуть батарею, либо ставить о нем представление тем, кто только собрался об-
просто отодвинуть на некоторое время защелку батареи. завестись карманной Linux-системой, но окажутся полез-
После чего возвращаем все в исходное состояние, и при ными и обладателям Zaurus. На возникшие вопросы автор
включении «завра» держим нажатыми клавиши <D+M>. Пе- с удовольствием ответит по электронной почте, либо на фо-
ред вами меню на английском языке. Я настоятельно реко- руме журнала.
мендую не экспериментировать с его пунктами, так как мож- Хочу поблагодарить Антона Масловского, предоставив-
но легко «убить» ваш КПК. Теперь перемещаемся на третью шего мне предварительную версию Cacko ROM 1.22, кото-
страницу меню. Там выбираем пункт «NAND Flash Back Up». рая к моменту публикации статьи наверняка уже выйдет в
Перед этим необходимо убедиться, что в КПК вставлена от- свет.
форматированная в файловой системе FAT карточка. Места
же должно хватить для 135 Мб файла с полной копией ваше-
го текущего содержимого NAND ROM. По окончании про-
цесса на флэшке будет лежать файл systc860.dbk. Обратно
в диагностическое меню можно будет вернуться по клавише
«Cancel», а из самого диагностического меню выход осуще-
ствляется выбором подпункта «Reset» пункта «Extra menu».
При необходимости вернуться к сохраненной прошивке мож-
но выполнить обратную операцию по восстановлению через
пункт «NAND Flash Restore».
Теперь приступим непосредственно к замене нашей ус-
таревшей версии на новую прошивку. Это делается из спе-
циального меню на японском языке. Не забудьте, что Sharp
официально не продает Zaurus за пределами Японии! По-
лучить доступ в это меню можно, если после «горячего»
рестарта включать КПК кнопкой «Power» с одновременно
нажатой клавишей «Ок». В меню выбираем четвертый, ниж- Ðèñóíîê 1. Çàãðóæàåòñÿ îáíîâëåííàÿ âåðñèÿ Cacko ROM
ний пункт. После КПК спросит, с какого носителя мы будем
обновлять прошивку. Три файла из архива – initrd.bin,
tools.tar и updater.sh должны лежать в корне либо CF – либо
SD-карты. Кроме того, убедитесь, что подключили блок
питания, иначе процесс не начнется. До этого момента он
не должен был быть подключенным. Итак, выбираем вто-
рой или третий пункт, и спустя некоторое время попадаем
в загрузочное меню установщика.
Далее, для корректной работы новой прошивки нам не-
обходимо переразбить внутреннюю flash-память КПК, вы-
делив под root-раздел 28 Мб. Выбираем пятый пункт «Flash
repartition», и в ответ на вопрос вводим 28. По окончании
переразбивки КПК предложит перезагрузиться. Заново вхо-
дим в японское меню, и повторяем все действия вплоть до
попадания в загрузочное меню установщика прошивки. На-
конец, выбираем «Install new ROM» и ожидаем окончания
Ðèñóíîê 2. Îáíîâëåííûé èíòåðôåéñ
процесса.
После обновления ROM, вам, возможно, захочется по-
пробовать собрать какую-нибудь программу на Zaurus из
исходников. К сожалению, из-за относительно небольшого
объема запоминающего устройства на КПК по умолчанию
не стоят средства разработки. Тем более что все в основ-
ном собирается кросс-компилятором на «большом» линук-
се. Однако все-таки возможность разработки непосред-
ственно на КПК есть. Для этого необходимо скачать и уста-
новить «Developer image» – образ сжатой файловой систе-
мы, который занимает порядка 35 Мб. В нем содержится
компилятор gcc, заголовочные файлы, утилиты и библио-
теки для сборки утилит командной строки и Qtopia. Ска-
чать его можно с http://www.zaurususergroup.com. Там же
находятся и RPM-пакеты для кросс-компилятора.
Надеюсь, статьи, посвященные замечательному карман-
ному компьютеру от фирмы Sharp, не только помогли со- Ðèñóíîê 3. Ñèñòåìíàÿ èíôîðìàöèÿ

№12(25), декабрь 2004 9

 администрирование
ДИСТРИБУТИВ ДЛЯ ВСЕХ
Какие бы доводы ни приводились в вечных спорах Windows
vs Linux, но изучать компьютерные технологии, мне кажет-
ся, лучше все-таки на UNIX-системах. Открытость, возмож-
ность разобраться во внутреннем строении, наличие огром-
ного числа удобных и свободных инструментов – все это
позволяет при желании в совершенстве освоить любую про-
фессию, связанную с компьютерами. Но не всегда имеется
возможность установить еще одну операционную систему.
Сегодня пойдет речь об интересном дистрибутиве, который
позволяет изучить возможности GNU/Linux и, думаю, при-
дется по вкусу некоторым администраторам и пользовате-
лям.
Цель австралийского LiveCD дистрибутива ADIOS – Auto-
mated Download and Installation of Operating Systems (http://
dc.qut.edu.au/adios) – дать возможность быстро и легко заг-
рузить и использовать операционную систему для лабора-
торных исследований. Первоначально образ ADIOS через
веб-сервер использовался для установки операционной си-
стемы на жесткие диски компьютеров, дополнительно воз-
можно было сохранять копии образов OС на запасные дис-
ковые разделы, и только относительно недавно появилась
возможность запускать с CD-ROM. Базируется дистрибу-
тив на Fedora 1.0. Поэтому ADIOS присущи поддержка боль-
шого количества оборудования и его автоматическое оп-
ределение, реализуемое при помощи kudzu, а также все те
понятные и удобные инструменты для настройки системы.
Система включает популярные графические среды – KDE,
GNOME и IceWM, так что первое знакомство с Linux прой-
дет в благоприятной обстановке. Ядро 2.4.24 собрано с под-
держкой loopback squashfs (http://squashfs.sourceforge.net),
файловой системы, использующей zlib для уменьшения раз-
мера, в результате в дистрибутив поместилось больше чем
2 Гб приложений. В составе имеются ядра, поддерживают-
ся защищенные режимы – LIDS (Linux Intrusion Detection
System), SELinux (NSA Security Enhanced Linux), в будущем
планируется добавить Grsecurity или RSBAC. И кроме того
поддерживается UML (User Mode Linux), при помощи кото-
рого возможно разбить одиночную систему на несколько
независимых виртуальных машин, общающихся между со-
бой через виртуальные Ethernet-интерфейсы. Поэтому поль-
зователи, желающие изучить на досуге эти технологии,
получают готовый и уже настроенный инструмент. Систем-
ные требования невысоки, поддерживаются все процессо-
ры от 486 до Pentium 4 и минимально рекомендуемый объем
ОЗУ – 64 Мб.
Работа с дистрибутивом
ADIOS в первую очередь LiveCD, и для удобства пользова-
телей в дистрибутиве заложены широкие возможности по
сохранению части данных на разделах жесткого диска (DOS
FAT или Linux EXT2/3), флоппи-диске или USB-устройствах.
При каждом запуске система сканирует разделы жесткого
диска и, если находит готовый swap-раздел, предлагает под-
10
СЕРГЕЙ ЯРЕМЧУК
ключить его. При появлении приглашения boot: возможно
выбрать несколько вариантов загрузки. При нажатии на Enter
(или ввести linux) загружается обычное ядро, если набрать
lids, загрузится ядро с поддержкой этого режима, возможны
еще варианты: 11 (переход сразу к 11 пункту см. ниже), 4 (к
4 пункту), s4 (4 пункт с поддержкой LIDS), lock (пункт lock).
Далее перед пользователем появляется меню:
1) Run Linux from CD-ROM with /var in RAM only
2) Run Linux from CD-ROM with /var on FAT/EXT2 disk
3) Run Linux from FAT/EXT2 disk (incorporates Option 2)
4) Run Linux from CD-ROM with /var on USB storage
5) Install ADIOS repartition disk and create EXT3 filesystem
9) Create Swap file on FAT/EXT2 disk
x) Remove hardware and X windows configuration information
r) Change run-level (default 5 for X windows)
i) Display Copyright, License and System Information
h) Display Help
g) Display the 'guru' menu options
Как видите, выбор большой. Возможно запустить ADIOS
только с CD-ROM, примонтировать раздел /var с других ис-
точников либо установить его на жесткий диск и запускать
в дальнейшем оттуда, изменить уровень запуска системы
(по умолчанию 5). Но это еще не все пункты, если выбрать
«g» – guru, то их количество удвоится (появятся и опции 11
и lock). Отсюда при необходимости можно прямо из меню
создать/удалить swap-раздел или swap-файл (только на FAT
или ext2/3). Установку на жесткий диск система может вы-
полнить автоматически, в том числе и переразбить разде-
лы (как FAT, так и NTFS). Эта несколько рискованная опе-
рация может быть выполнена и вручную при помощи ути-
литы ntfsresize. За подробностями работы которой обращай-
тесь к документации дистрибутива или к моей статье «Linux
и NTFS» (журнал «Системный администратор», №8, август
2004 г.). В системе заведены четыре пользователя: root,
super (Alternate Administrator), cso (Chief Security Officer) и
adios. Первые два представляют собой администраторов,
причем в графическом режиме root система не позволит
зарегистрироваться, только super, cso необходим для ра-
боты с SELinux и adios предназначен для повседневной ра-
боты. Пароль у всех этих пользователей один – 12qwaszx
(легко запомнить по две клавиши слева в каждом ряду),
поэтому рекомендуется сразу же его сменить. Все найден-
ные разделы система монтирует в режиме «только чтение»,
при необходимости записи перемонтируйте их с опцией –o
remount,rw. Дистрибутивы, основанные на RedHat, всегда
отличались большим списком поддерживаемого оборудо-
вания, поэтому в большинстве для выхода в сеть остается
выставить только нужные параметры. Те, кто не знаком с
работой консольных утилит вроде /sbin/ifconfig, найдут боль-
шое количество графических front-end для настройки сети,
например internet-druid (рис. 1).
Программное обеспечение на диске содержит коллекцию
утилит управления и сетевого администрирования. Здесь
все: веб-сервер Apache; прокси-сервер Squid; FreeS/WAN
IPSec для создания VPN; маршрутизатор zebra; пакет Samba,

который позволит работать в сетях Windows; сервер аутен-
тификации openldap; сетевая система обнаружения атак
Snort c ACID; сканеры Nessus и Nmap; снифферы tcpdump
и ethereal позволят проанализировать сетевые пакеты; фай-
рвол iptables с графическим интерфейсом firestarter;
traceroute и графический xtraceroute позволят выяснить путь
к интересующему узлу, и еще много сетевых утилит, тра-
диционно входящих в состав любой UNIX-системы. Имеют-
ся утилиты для работы в беспроводных сетях.
Ðèñóíîê 1
Если набрать в строке веб-браузера IP-адрес своего ком-
пьютера, то обнаружится еще одна положительная сторо-
на ADIOS – ARK (Administrators Resource Kit) (рис .2), со-
держащий большое количество различной документации
и коллекцию ссылок по Linux/UNIX вообще, настройке от-
дельных сервисов, защите, языкам программирования, ко-
торые придутся по душе новичкам. Отсюда же можно полу-
чить доступ к man-страницам дистрибутива.
Ðèñóíîê 2
Для удобства администрирования системы в комплект
входит webmin, для его запуска достаточно ввести /sbin/
service webmin start и затем набрать в строке браузера http://
localhost:10000, после чего использовать для входа пользо-
вателя root. Этот сервис может оказаться полезным еще и
потому, что дистрибутив практически не содержит данных,
необходимых для локализаций, отличных от английской, и
только webmin можно заставить общаться на русском.
Для работы с данными, содержащимися на жестких дис-
ках, в том числе для их восстановления и исследований по-
следствий взлома в комплекте имеется Sleuthkit file system
№12(25), декабрь 2004
администрирование
analysis tools (http://www.sleuthkit.org/sleuthkit). О возможно-
стях утилит, входящих в его комплект, уже писалось на стра-
ницах журнала. Для наглядности работы этих утилит раз-
работчиками также установлен Autopsy Forensic Browser
(http://www.sleuthkit.org/autopsy), позволяющий использовать
для вывода результатов веб-интерфейс. Для этого доста-
точно набрать в консоли autopsy & и вставить появившую-
ся строку в браузер.
Далее Squirrelmail Webmail также дает возможность ис-
пользовать браузер для работы, в данном случае это по-
чта. Для его использования достаточно разрешить запуск
сервиса IMAP в /etc/xinetd.d/imap (disable = no) и запустить
xinetd, который по умолчанию не работает.
# /sbin/service xinetd start
И затем sendmail.
# /sbin/service sendmail start
Проверяем, работает ли веб-сервер /sbin/service httpd
status (для проверки всех запущеных /sbin/service --status-all).
Если все работает, набираем http://localhost/webmail.
В комплект программ также включен Swish-e (http://
swish-e.org), позволяющий легко создать небольшой, но эф-
фективный поиск по сайту. При этом поиск по документам,
имеющимся на ADIOS CD, уже настроен. В любом другом
случае это просто организовать самому. Настраиваем пара-
метры поиска в /etc/swish.conf, затем индексируем файлы.
#cd /var/www/swish
#swish-e -c /etc/swish.conf -f index.swish
И в html-код страницы вставляем что-то вроде:
<form action=”/cgi-bin/search.cgi” target=”main”>
для возможности поиска документов из браузера.
Также в дистрибутиве имеются сервер переадресации
rinetd и утилита контроля Nagios. Плюс принятые в боль-
шинстве UNIX утилиты для программирования в bash, nasm,
C, C++, Perl, Python, PHP и Ruby со средствами отладки. А
еще офисные программы, утилиты для работы с мультиме-
диа, графикой, игры. Так что комплект на все случаи жиз-
ни. Работа с поддержкой SELinux возможна только после
установки ADIOS на жесткий диск.
Для тех, кто хочет создать свой собственный LiveCD,
проект представляет набор скриптов ADIOS development kit
(ADK), работа с которыми хорошо описана в документации.
Изучение UNIX-систем никогда не было легким, требу-
ется затратить некоторые усилия и проявить терпение,
прежде чем появится первый результат. ADIOS представ-
ляет собой хороший инструмент, который поможет сделать
эти первые шаги. Кроме того, это неплохой инструмент для
демонстрации возможностей GNU/Linux, при организации
всевозможных курсов, особенно когда используется обо-
рудование, задействованное в других задачах. И, конечно
же, его можно использовать при решении задач админист-
рирования, когда нет под рукой других инструментов, по-
зволяющих решить вдруг возникшие проблемы.
11
 администрирование
КОПИРОВАНИЕ ФАЙЛОВ
В АВТОМАТИЧЕСКОМ РЕЖИМЕ
С МНОЖЕСТВА КОМПЬЮТЕРОВ
ЧЕРЕЗ SSH
Постановка задачи
Предположим, имеется некоторое количество компьютеров
под управлением операционной системы UNIX (Windows) с
запущенным SSH-сервером, на которых автоматически по
расписанию в некоторое время стартует программа, созда-
ющая резервные копии некоторых каталогов (например,
/etc, /usr/local/etc) и складывающая их в определенное мес-
то. Пример такого скрипта, адаптированного под систему
periodic во FreeBSD, можно скачать с http://www.granch.ru/
~shelton/fileZ/130.backup-dirs. Все используемые парамет-
ры описаны в начале скрипта. Для обеспечения сохраннос-
ти данных архивов было бы неплохо копировать их все в
одну точку, откуда их можно было бы перенести на съем-
ный носитель, например. Копирование должно проводить-
ся в автоматическим режиме, все имена каталогов – быть
уникальными, требовать минимум настроек и обеспечивать
максимум безопасности при передаче данных по сети (если,
например, архив /etc попадет в чужие руки, можно полу-
чить столько проблем, что мало не покажется). С этой це-
лью был разработан скрипт копирования файлов через
SCP2 (программу безопасного копирования, входящую в
комплект SSH2) без ввода паролей, используя авториза-
цию с помощью публичных ключей. Скрипт выполняет ко-
пирование файлов, размещенных в некотором, заранее
обусловленном каталоге, отмечает каждое действие в соб-
ственном файле журнала. В статье скрипт будет приводить-
ся по частям (которые, будучи объединены вместе, тем не
менее дадут полноценный скрипт), полный текст скрипта
можно загрузить с http://www.granch.ru/~shelton/fileZ/safecopy.
Для разработки скрипта, отладки и применения исполь-
зовался компьютер с операционной системой FreeBSD 4.10-
STABLE и SSH2 от SSH Communications Inc., установлен-
ный из портов (/usr/ports/security/ssh2). Скрипт имеет неко-
торые адаптационные возможности для работы с OpenSSH,
но работоспособность этих возможностей не проверялась
и может содержать ошибки. Для работы скрипта использо-
валось имя пользователя rmbackup.
12
РАШИД АЧИЛОВ
Настройка SSH
SSH – это протокол связи двух компьютеров через TCP/IP
c шифрованием передаваемых данных. Этот протокол обес-
печивает надежный и безопасный доступ к удаленному ком-
пьютеру, расположенному... да неважно где, лишь бы у него
был выход в Интернет. С точки зрения рядового системно-
го администратора SSH обычно рассматривается как бе-
зопасное средство удаленного управления сервером, для
чего ранее использовалась программа telnet. Конечно, есть
и другие средства шифровки трафика, но их мы рассмат-
ривать не будем.
Разумеется, шифрование сессии во время работы по
SSH выполняется, но возможности SSH не исчерпываются
только этим. Я не буду приводить здесь описание всех воз-
можностей SSH, это тема для отдельной статьи, всех инте-
ресующихся отсылаю к документации на SSH2 (http://
www.ssh.fi/support/documentation/online/ssh/adminguide/32).
Одной из возможностей SSH является то, что он может
выполнять авторизацию пользователей и организовывать
удаленное выполнение команд в SSH-сессии без ввода па-
роля, с помощью так называемого публичного ключа. Эта
возможность основана на стандартном методе авториза-
ции с помощью асимметричных ключей – приватного и пуб-
личного.
Приватный ключ доступен только пользователю и тща-
тельно им оберегается от хищения, публичный же ключ, на-
оборот, размещается во всех местах, где только можно его
разместить. На мой взгляд, наиболее удачное описание
того, как работает SSH и как его использовать (не считая,
конечно, man ssh2, man ssh.conf и прочих манов) – это кни-
га «SSH, the Secure Shell: Definitive Guide» [1].
После того как принято решение о включении данного
компьютера в автоматическое копирование файлов, но пе-
ред тем как начинать собственно копирование, необходи-
мо выполнить следующие шаги по настройке SSH:
1. Создаем пользователя, от имени которого будет вы-
полняться копирование файлов. Пользователь может не

иметь пароля («*» в поле пароля в /etc/master.passwd), но
должен иметь действительный shell, поскольку он (shell)
будет выполнять некоторые команды. Пользователь должен
быть создан на всех компьютерах, с которых будут копиро-
ваться файлы, и на всех компьютерах иметь одинаковые
настройки и имя. Это не обязательно с точки зрения SSH,
но необходимо для скрипта, поскольку тот использует одно
фиксированное имя пользователя. Интерактивной работы
на компьютерах, с которых будут копироваться данные,
никогда не будет, поэтому /bin/sh будет вполне достаточно.
На компьютере, на котором будет выполняться скрипт (на-
зовем его «мастер») установите любой привычный shell.
2. Создаем ключевую пару для данного пользователя
на данном компьютере. Для этого используется программа
ssh-keygen2. Порядок создания ключей не важен, следует
только помнить, что мастер-компьютер обращается ко всем
компьютерам, с которых копируются данные, а к самому
мастер-компьютеру не обращается никто. Поскольку пред-
полагается автоматическая работа, то создается ключевая
пара, не защищенная паролем. Пример создания ключе-
вой пары приведен ниже:
>ssh-keygen2 -P
Опускать -P здесь нельзя – опция указывает на необхо-
димость создания ключа, не защищенного паролем. После
создания ключевой пары появляются файлы id_dsa_2048_a
(приватный ключ) и id_dsa_2048_a.pub (публичный ключ).
Подробную информацию о создании ключевой пары см. man
ssh-keygen2. Публичный ключ мастер-компьютера, пере-
именованный, например, в rmbackup_master.pub, нужно по-
местить в подкаталог .ssh2 домашнего каталога пользова-
теля rmbackup на всех компьютерах, с которых будут копи-
роваться файлы.
3. Настраиваем конфигурационные файлы идентифи-
кации и авторизации. Эти файлы определяют имя файла
(файлов – в SSH2 их может быть несколько) приватного
ключа (ключей) и имена файлов, задающие ключи, автори-
зация с которыми разрешена на данном компьютере для
данного пользователя. По умолчанию имена этих файлов
identification и authorization. На мастер-компьютере файл
authorization можно не создавать – на него никто не будет
заходить данным пользователем. На компьютерах, с кото-
рых будут копироваться данные, файл authorization обяза-
тельно должен содержать имя файла ключа мастер-компь-
ютера. Примеры файлов:
identification:
IdKey id_dsa_2048_a
authorization:
Key rmbackup_master.pub
Следует иметь в виду, что если планируется заходить с
нескольких компьютеров, ключ каждого компьютера дол-
жен быть помещен в подкаталог .ssh2 данного компьютера
и описан в файле authorization. Более подробная информа-
ция о настройке авторизации по публичному ключу приве-
дена в man ssh.conf и man sshd.conf.
4. В первый раз заходим с мастер-компьютера на ком-
пьютер, с которого будут копироваться файлы в интерак-
№12(25), декабрь 2004
администрирование
тивном режиме. Это необходимо для создания хост-клю-
чей в подкаталоге hostkeys каталога .ssh2. Хост-ключи иден-
тифицируют SSH-сервер в целом. При отсутствии хост-клю-
ча в подкаталоге hostkeys перед началом сессии мастер и
удаленный компьютер обмениваются хост-ключами, и хост-
ключ удаленного компьютера помещается в подкаталог
hostkeys для пользователя rmbackup. При этом на консоли
появляется следующий запрос:
>ssh mybox
Host key not found from database.
Key fingerprint:
xocob-bicub-vatun-mofos-nutym-parok-sahet-hefer-papuh-kepyz-rexox
You can get a public key's fingerprint by running
% ssh-keygen -F publickey.pub
on the keyfile.
Are you sure you want to continue connecting (yes/no)? yes
Host key saved to /usr/home/rmbackup/.ssh2/hostkeys/key_22_mybox.pub
host key for mybox, accepted by rmbackup Wed Nov 03 2004 23:44:10 +0600
Проверка того, что авторизация настроена правильно,
очень проста – набираете команду ssh remote на мастер-
компьютере, где remote – имя или адрес удаленного компь-
ютера. Удаленная SSH-сессия должна начаться сразу же,
без дополнительных запросов пароля. Если появится зап-
рос пароля на разблокировку ключа:
>ssh mybox
Passphrase for key "/usr/home/rmbackup/.ssh2/id_dsa_2048_a"
with comment "2048-bit dsa, rmbackup@mybox.com,
Fri Jul 23 2004 12:50:25 +0700":
значит ключ был сгенерирован с паролем. Такой ключ сле-
дует удалить и создать заново, но без пароля (см. пример
выше).
Если же появляется стандартный запрос пароля:
>ssh mybox
rmbackup's password:
значит, существуют проблемы в настройке авторизации. В
разделе «Возможные ошибки и изменения скрипта» при-
ведены примеры того, что может пойти не так во время на-
стройки, и некоторые советы по исправлению создавшего-
ся положения.
Дополнительные вопросы безопасности
Поскольку созданный нами публичный ключ не имеет па-
рольной защиты, то всегда существует ненулевая вероят-
ность, что данный ключ может быть похищен и использо-
ваться не по назначению. Для того чтобы сделать такую
возможность как можно менее привлекательной, пользо-
вателя, от имени которого выполняется копирование, по-
местим в chroot-окружение.
Что это такое? Это отдельная настройка SSH-сервера,
при которой он передает клиенту информацию о том, что
домашний каталог пользователя – это корень файловой
системы. Естественно, выше корня двигаться невозможно.
Технология изоляции критичных системных сервисов в «пе-
сочницы» (sandboxes) применяется уже достаточно давно
и успешно. Правда тут есть одно «но» – нам понадобится
обеспечить работоспособность сервера в данном окруже-
нии. Поскольку абсолютно все, что находилось выше до-
машнего каталога в режиме chroot, недоступно, следует со-
здать собственную иерархию каталогов со всем необходи-
мым. Правда, этого необходимого крайне мало. В домаш-
13
 администрирование
нем каталоге пользователя rmbackup на удаленном компь-
ютере следует создать каталоги /bin и /etc. В каталог /bin
поместить файлы (переписать из стандартного /bin) ls, sh и
(ВНИМАНИЕ!) исполняемый файл sftp-server, собранный
таким образом, что у него отсутствуют динамические ссыл-
ки на библиотеки. Такой режим обычно применяется для
программ, используемых в процессе восстановления сис-
темы. Исполняемый файл sftp-сервера должен быть обяза-
тельно собран с отключением динамических библиотек,
иначе придется дублировать всю структуру динамической
загрузки – /usr/libexec/ld-elf.so, /var/run/ld-so.hints и все ос-
тальное. Исполняемый файл такого типа можно получить,
дописав в каталоге, где лежат исходные тексты ssh, в под-
каталоге apps/ssh в файл Makefile в строчку 273 (или около
того) LDADD=<флаги> флаг -static и пересобрать SSH. Как
проверить, является ли полученный исполняемый файл ста-
тически или динамически собранным?
> ldd sftp-server2
Ldd: sftp-server2: not a dynamic executable
Приведенный выше ответ является правильным, если
вместо него появляется что-то типа:
> ldd sftp-server2:
libm.so.2 => /usr/lib/libm.so.2 (0x280bb000)
libcrypt.so.2 => /usr/lib/libcrypt.so.2 (0x280d7000)
libutil.so.3 => /usr/lib/libutil.so.3 (0x280f0000)
libncurses.so.5 => /usr/lib/libncurses.so.5 (0x280f9000)
libc.so.4 => /usr/lib/libc.so.4 (0x2813b000)
значит, это динамически собранный исполняемый файл, и
он не годится. На самом деле его тоже можно использо-
вать. Но для этого придется создать /usr/libexec в домаш-
нем каталоге пользователя rmbackup, перенести туда ls-
elf.so, создать /usr/lib и поместить туда все библиотеки, пе-
речисленные в выводе ldd, создать /var/run/ld-so.hints ко-
мандой ldconfig. С моей точки зрения, пересобрать програм-
му значительно проще.
В каталог /etc помещаются файлы group и master.passwd.
Из файла group удаляются все реальные пользовательс-
кие группы, важно, чтобы там присутствовала группа, про-
писанная как ChrootGroup в конфигурационном файле SSH-
сервера. Из файла master.passwd удаляются все пользова-
тели с паролями, пароль root заменяется на «*». После чего
создаются файлы passwd, pwd.db и spwd.db командой:
>pwd_mkdb -p -d . master.passwd
Теперь файл master.passwd можно стереть. Кроме того,
в конфигурационном файле SSH-сервера указывается груп-
па, к членам которой будет применяться chroot (по умолча-
нию это группа sftp):
ChRootGroups sftp,guest
Кроме того, проследите, чтобы параметр AllowedAuthen-
tications содержал publickey, а RequiredAuthentications не
содержал password. Еще лучше, чтобы он был удален или
закомментирован. Как убедиться в том, что сессия идет в
chroot? В файле регистрационного журнала SSH-сервера
об этом делается специальная отметка:
14
connection from "192.168.1.1"
Public key /usr/local/share/rmbackup/.ssh2/rmbackup_mybox.pub used.
Public key authentication for user rmbackup accepted.
User rmbackup, coming from mybox, authenticated.
User 'rmbackup' will be chrooted to directory '/usr/local/share/rmbackup'.
Now running on rmbackup's privileges.
Предварительная подготовка завершена. Мы настрои-
ли компьютеры, с которых (и на которые) будут копировать-
ся данные таким образом, что можно выполнять команду
на удаленном компьютере через SSH2 без ввода паролей с
помощью авторизации по публичному ключу.
Настройка скрипта
Настройка скрипта выполняется через задание перемен-
ных в конфигурационном файле /etc/periodic.conf. Эти пе-
ременные используются скриптом резервного копирования,
упомянутым в начале статьи, и скриптом, описываемым в
данной статье.
Скрипт использует следующие переменные:
daily_backup_owner="rmbackup" # Owner of backup files
daily_backup_group=”wheel” # Group of backup files
daily_backup_mode="0600" # Mode of backup files
daily_backup_dirmode="0700" # Mode of intermediate dirs
Это соответственно переменные, задающие пользова-
теля, группу, режим доступа к файлам и каталогам, созда-
ваемым скриптами. Скрипт не устанавливает значения пе-
ременных по умолчанию, поэтому все переменные должны
быть заданы в /etc/periodic.conf или /etc/defaults/periodic.conf.
Заголовок и вспомогательные функции
#!/bin/sh
# Safe updating, so – copying current daily backup directory
# from remote server to local. Used SSH2 publickey auth
# method, so you need a working installation before starting.
# This is an open-source software, licenced by BSD license.
# Written by CityCat 23.07.2004
# $Id: safecopy,v 1.5 2004/08/10 04:26:40 shelton Exp $
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin: ↵
/usr/local/sbin
В приведенном выше заголовке нет ничего необычно-
го. Переустановка переменной PATH нужна для того, что-
бы находить программу SSH2, даже если пользователь ее
изменил.
# Logging function
# Logged string in variable logline!
safe_logger()
{
logdate=`date +"%d/%m/%Y %T"`
echo "$logdate [$$] safering: $logline" >> $logfile
}
Функция записи информации в регистрационный жур-
нал, который ведется программой, имитирует работу про-
граммы logger и формирует в журнале записи такого фор-
мата:
07/08/2004 05:00:02 [70241] safering: File _etc.tar.bz2 from host mybox
was succesfully transferred
при этом выводимая в журнал строка передается в пере-
менной logline.
 администрирование
# Go down function ! Переменные hostlist и logfile задают соответственно име-
# Set variable godown to downing directory name на файлов списка компьютеров и регистрационного
go_down() журнала.
{ ! Переменные wsyear, wsmon и wsday хранят текущие год,
if [ ! -e $godown ]; then
mkdir $godown месяц, день.
chown $daily_backup_owner:$daily_backup_group $godown ! Переменная openssh указывает на то, что SSH, обнару-
chmod $daily_backup_dirmode $godown
fi женный скриптом, является OpenSSH (используется для
cd $godown
адаптации путей и работы с конфигурационными фай-
} лами).
! Переменная sshconf указывает на расположение конфи-
Функция перехода в подкаталог, задаваемый перемен- гурационного файла SSH по умолчанию.
ной godown. Если каталог отсутствует, он будет создан, и ! Переменная sshome указывает на пользовательский ка-
ему будут установлены права доступа, заданные в конфи- талог с настройками, ключами и т. д. для SSH (имена
гурационном файле. каталогов отличаются в SSH2 и OpenSSH).
! Переменная scpname задает имя программы безопас-
# If there is a global system configuration file, suck it in. ного копирования SCP (в SSH2 и OpenSSH они отлича-
#
if [ -r /etc/defaults/periodic.conf ]; then ются).
. /etc/defaults/periodic.conf
source_periodic_confs
fi Проверка командной строки
и обнаружение SSH
Загрузка значению по умолчанию для скрипта, если они
заданы (обычно вписываются в /etc/defaults/periodic.conf). # Check commandline
if [ $# -ne 0 ]; then
if [ $1 = "-h" ]; then
Переменные echo "Safering updater. Copying current daily ↵
backup dir from remote server."
Единственная переменная, которую имеет смысл настра- echo " Usage: safecopy [hostlist-location-and-name]."
ивать в скрипте, вынесена перед строкой предупрежде- exit
else
ния. Разумеется, все остальные переменные тоже можно hostlist=$1
менять – это же скрипт. Но все же делать это не рекомен- fi
fi
дуется без понимания механизма его работы.
# Check on presence SSH in system and detect their version
# Variables wssh=`which ssh2'`
# There is only maintained variables! if [ -z $wssh ]; then
# This is a root folder for all subordinated folders wssh=`which ssh'`
sysdir="/usr/local/share/rmbackup"
if [ -z $wssh ]; then
# NO CHANGES BEHIND THIS LINE!! YOU HAVE BEEN WARNED!! logline="No any SSH program was detected, ↵
backupdir="backup"
ringdir="$sysdir/backup" install it first"; safe_logger
exit
maintdir="$ringdir/maint" else
hostlist="$maintdir/cphosts"
logfile="$maintdir/saferlog" wsver=`$wssh | awk '{printf "%s %s %s",$1,$2,$3}'`
sshome="$HOME/.ssh"
wsyear=`date +"%Y"` scpname=scp
wsmon=`date +"%m"` wsx=`$wssh | awk '{print $3}'`
wsday=`date +"%d"`
# We assumed SSH2 by SSH Com. presence and locating config if [ $wsx = "SSH" ]; then
openssh=1
# in /usr/local/etc/ssh2 sshconf="/etc/ssh/ssh_config"
openssh=0
sshconf="/usr/local/etc/ssh2/ssh2_config" else
logline="Broken SSH1 from SSH ↵
sshome="$HOME/.ssh2" Communicationc Inc. probably detected"
scpname=scp2
safe_logger
exit
fi
Итак: fi
! Переменная sysdir указывает корневой каталог систе- else
wsver=`$wssh -V 2>&1 | awk '{printf "%s %s ↵
мы кольцевого копирования. Обычно это домашний ка- %s %s",$2,$3,$4,$5}'`
талог пользователя rmbackup, хотя можно указать лю- fi
бой другой. В этом каталоге будут располагаться все # Log detected version
остальные каталоги. logline="Detected version: $wsver"; safe_logger
! Переменная backupdir указывает на каталог с резерв-
ными копиями на удаленном компьютере. Допустимыми параметрами командной строки являют-
! Переменная ringdir указывает на каталог с резервными ся -h или имя файла со списком компьютеров, с которых
копиями на мастер-компьютере. производится копирование. Если имя файла не задано,
! Переменная maintdir указывает на каталог с регистра- будет использоваться файл cphosts в каталоге $maintdir.
ционным журналом, списком компьютеров, с которых Первым делом ищется программа ssh2 (which ssh2).
будут копироваться данные, и собственно скриптом. Если она найдена, то выбирается информация о версии (пе-

№12(25), декабрь 2004 15

 администрирование
ременная wsver будет содержать «SSH Secure Shell x.x.x.x»,
где x.x.x.x – номер версии SSH), и полученная информация
выводится в регистрационный журнал. Если же она не най-
дена, производится попытка обнаружить программу ssh
(which ssh), и если она найдена, проверяется, что за про-
грамма обнаружена. Если это OpenSSH (определяется по
характерному признаку – третье слово при запуске без па-
раметров содержит «SSH»), то переменные sshome, scpname,
sshconf и openssh устанавливаются в соответствующие зна-
чения. Иначе скрипт завершает работу, поскольку работа с
SSH1 от SSH Communications не поддерживается (по при-
чине его небезопасности).
Проверка наличия
файла идентификации
и разбор списка компьютеров
Как уже говорилось выше, файл идентификации обязатель-
но должен быть создан, если предполагается использовать
авторизацию по публичному ключу. Поэтому отсутствие
данного файла обозначает ситуацию, когда авторизация по
публичному ключу еще не была настроена.
# Taking identity file name, drop down comment field
identity=`grep IdentityFile $sshconf`
idfirst=`echo $identity | awk '{print $1}'`
if [ $idfirst = "#" ]; then
idfile=`echo $identity | awk '{print $3}'`
else
idfile=`echo $identity | awk '{print $2}'`
fi
# For OpenSSH drop down path from pathname
if [ $openssh -eq 1 ]; then
idname=${idfile##*/}
else
idname=$idfile
fi
# Check on existance identification file. When doesn't –
# SSH dodn't setup to work with publickey auth method
if [ ! -e $sshome/$idname ]; then
logline="Publickey auth method did not configured ↵
yet"; safe_logger
exit
fi
Скрипт проверяет наличие параметра IdentityFile в кон-
фигурационном файле сервера (даже если он отмечен зна-
ком комментария). Для OpenSSH дополнительно отбрасы-
вается путь к IdentityFile, если он там указан. Потом прове-
ряется существование файла, описанного как IdentityFile.
Если он не существует, скрипт прекращает работу.
Разбор списка компьютеров осуществляется установ-
кой переменной IFS в значение «\n». Для этого не нужно
писать «IFS=”\n”» – shell не интерпретирует метасимволы.
Следует написать «IFS=”», нажать «перевод строки» и зак-
рыть кавычку – внутри кавычек окажется символ перевода
строки. После считывания файла организовывается стан-
дартный цикл по списку переменных-строк:
# Taking hosts list
IFS="
" fi
hosts=`cat $hostlist`
cd $ringdir
# Doing safering update
for host in $hosts
do
16
Разбор строки и получение списка
файлов для копирования
# Parse host line
hostname=`echo $host | awk '{print $1}'`
hostadr=`echo $host | awk '{print $2}'`
fullpath=$backupdir/$wsyear/$wsmon-$wsyear/ ↵
$wsday-$wsmon-$wsyear
# Take list of files to backup
wls=`$wssh -o "BatchMode yes" -q $hostadr ↵
"cd $fullpath 2> null && /bin/ls -1"`
Один из двух наиболее важных моментов. Скрипт копи-
рования файлов создает каталоги вида YYYY/MM-YYYY/DD-
MM-YYYY, где YYYY – текущий год, MM – текущий месяц,
DD – текущий день. Можно было бы, конечно, создавать
папки типа YYYY/MM/DD, но мне удобнее просматривать
список в mc, когда видна полная дата. В переменной wls
после выполнения команды будет результат команды «пе-
рейти в заданный каталог и получить список файлов в нем».
Если предполагается копировать нечто другое, следует за-
дать соответствующий путь в переменной fullpath.
Если команда завершилась аварийно, то список будет
пуст, и скрипт перейдет к другому узлу из списка или завер-
шит работу, если этот список уже кончился. Результат вы-
полнения последней команды хранится в переменной status.
Если команда выполнена успешно, то выполняется после-
довательный переход в каталоги: имя удаленного компью-
тера, YYYY, MM-YYYY, DD-MM-YYYY, например: cd myhost;
cd 2004; cd 12-2004; cd 15-12-2004. Если такой каталог от-
сутствует, он создается с правами, заданными параметра-
ми. Мы говорили об этом в разделе «Настройка скрипта».
# When list is empty, do nothing
# (and don't create directories)
status=$?
if [ $status -ne 0 ]; then
continue
else
# Go down the ladder
godown=$hostname; go_down
godown=$wsyear; go_down
godown=$wsmon-$wsyear; go_down
godown=$wsday-$wsmon-$wsyear; go_down
fi
Пофайловое копирование
for file in $wls
do
$scpname -q -Q $hostadr:$fullpath/$file . 2> null
status=$?
# Check on operation return code
if [ $status -ne 0 ]; then
logline="Transfer of file $file unsuccesful, ↵
return code is $status"; safe_logger
else
logline="File $file from host $hostname ↵
was succesfully transferred"; safe_logger
chown $daily_backup_owner:$daily_backup_group $file
chmod $daily_backup_mode $file
done
# Return to top
cd $ringdir
done

Последнее и самое важное действие скрипта – пооче-
редное копирование файлов из списка, полученного на пре-
дыдущем шаге. Выполняется команда scp, и результат ее
работы заносится в переменную status. В зависимости от
значения переменной status выдается сообщение либо об
успешном завершении копирования (при этом устанавли-
ваются права и режим доступа, соответствующие парамет-
рам, перечисленным в пункте «Настройка скрипта»), либо
об аварийном завершении (и тогда в журнал заносится код
ошибки, расшифровку которого можно посмотреть в man
ssh2).
Возможные ошибки
и изменения скрипта
Если скрипт работает не так, как ожидается, то, скорее все-
го, имеет место ошибка в настройке SSH (по крайней мере,
почти все ошибки, с которыми я сталкивался после завер-
шения его разработки, были такого плана). Это очень про-
сто проверить – достаточно с консоли мастер-компьютера
набрать ssh remotebox, где remotebox – имя любого компь-
ютера, с которого должны копироваться данные. Если сра-
зу же открывается терминал удаленного компьютера – все
нормально (при этом motd показываться не должно). Если
же появляется запрос пароля на разблокирование ключа,
запрос пароля на регистрацию на удаленном компьютере
или какие-либо сообщения об ошибках – следует устранить
ошибки и повторить.
Единственной ошибкой, которую можно совершить при
генерации ключа, является запуск ssh-keygen2 без ключа
-P. При этом при генерации ключа будет запрошен пароль.
Если при генерации ключа появился запрос пароля, лучше
генерацию прервать и запустить ssh-keygen2 заново с клю-
чом -P.
Самой распространенной ошибкой авторизации явля-
ется то, что ключ мастер-компьютера не помещен в ката-
лог .ssh2 пользователя rmbackup удаленного компьютера,
не описан в файле authorization, или в имени ключа допу-
щена банальная опечатка. Если ключ для пользователя
rmbackup создавался через su rmbackup от пользователя
root, возможно, установлены неверные права на файлы
identification и authorization (при создании файлов владель-
цем становится создатель). Второй распространенной
ошибкой является задание параметра RequiredAuthentication
password в конфигурационном файле sshd.conf на удален-
ном компьютере, требующего обязательной аутентифика-
ции по паролю.
Если терминальная сессия на удаленном компьютере
открывается нормально, то следует попробовать вручную
ввести команду (вместо 192.168.1.1 подставить IP или имя
компьютера, с которого должны быть получены файлы):
>su rmbackup
>ssh2 -o "BatchMode yes" -q 192.168.1.1 "cd /etc && ↵
/bin/ls -1"
Если в результате выполнения этой команды получа-
ется оглавление каталога /etc (в chroot это файлы group,
passwd, pwd.db и spwd.db) – значит, следует проверить ра-
боту scp. Иначе следует проверить файл журнала, в кото-
рый выводятся сообщения от SSH-сервера на удаленном
№12(25), декабрь 2004
администрирование
компьютере на предмет сообщений об ошибках и устра-
нить их.
Если предыдущая команда завершена успешно, следу-
ет проверить работу команды scp следующим образом (за-
менить 192.168.1.1 на IP-адрес или имя компьютера, с ко-
торого должны быть получены файлы. Файл .profile должен
существовать на удаленном компьютере):
scp2 192.168.1.1:.profile ./profile-tmp
(Внимание! Точка – элемент команды!)
Если в текущем каталоге появился файл .profile-tmp,
следует уточнить код ошибки по руководству к ssh2 (man
ssh2) и устранить ошибки. Если же нет – проверить файл
журнала, в который выводятся сообщения от SSH-сервера
на удаленном компьютере на предмет сообщений об ошиб-
ках, и устранить их. Здесь наиболее частой ошибкой мо-
жет быть неверный sftp-server2, который не собран в соот-
ветствии с рекомендациями раздела «Дополнительные воп-
росы безопасности», а просто переписан и для работы тре-
бует наличия динамического загрузчика, libc и пр.
Как можно изменить место, откуда берутся копируемые
файлы на удаленном компьютере? Для этого достаточно
изменить формирование переменной fullpath, описанной в
разделе «Разбор строки и получение файлов для копиро-
вания».
Как можно изменить место и организацию каталогов, в
которые раскладываются файлы на мастер-компьютере? Для
этого в функцию go_down передается значение переменной
godown – каталог будет создан по ее содержимому. Можно
вообще все складывать в один каталог – для этого нужно
закомментировать строки с «godown=...; go_down».
Заключение
Данный скрипт – инструмент системного администратора
из разряда «настроил и забыл». После его настройки он не
требует какого-либо сопровождения, кроме, пожалуй, ре-
гулярного резервного копирования каталога с файлами,
скопированными с удаленных компьютеров. Ну и, конечно,
обеспечения необходимых мер безопасности по отношению
к каталогу, в котором хранятся резервные копии. Разуме-
ется, он разрабатывался для решения определенной част-
ной задачи, но его нетрудно адаптировать для копирова-
ния чего угодно откуда угодно. Ошибки в самом скрипте
исключены ввиду его достаточной простоты, как правило,
все ошибки связаны с ошибками самого SSH.
Дополнительная информация:
1. Daniel J. Barrett, Richard Silverman. SSH, the Secure Shell:
Definitive Guide. O’Reilly & Associates, 2001, 558 pages.
ISBN: 0-596-00011-1.
2. http://www.ssh.fi/support/documentation/online/ssh/
adminguide/32 – SSH Secure Shell for Servers Version 3.2
Administrator’s Guide.
3. http://www.opennet.ru/docs/RUS/ssh_faq – Faq по SSH в
русской редакции. Русская редакция: Андрей Лаврен-
тьев (lavr@unix1.jinr.ru).
4. man ssh2, man sshd2, man ssh.conf, man sshd.conf, man
ssh-keygen2.
17
 администрирование
ЕДИНАЯ УЧЕТНАЯ ЗАПИСЬ
ДЛЯ WINDOWS И UNIX
В ACTIVE DIRECTORY
В данной статье речь пойдет о том, как управлять единой
учетной записью пользователя посредством MS Active
Directory вне зависимости от того, на какой платформе он
работает, будь то Windows или UNIX-подобные системы. За-
бегая вперед, скажу, что если с Windows-клиентами все ясно,
то интеграция с каталогом от Microsoft тем способом, кото-
рый будет здесь описан, подходит не для всех UNIX-подоб-
ных операционных систем. Так уж сложилось – все они раз-
ные, да и Active Directory вовсе не идеальная среда для ин-
теграции разнородных систем. Тогда зачем я все это пишу?
18
ИГОРЬ ПОЛЯНСКИЙ
А за тем, что очень многие организации изначально ориен-
тированы на платформу Windows и в качестве каталога при-
меняют Active Directory, а когда в сети начинает появляться
UNIX, то встает вопрос об интеграции, и не всегда хорошие
коммерческие решения подходят, либо из-за стоимости, либо
в силу других причин. Я изначально рассматривал вариант с
ведением второго каталога для UNIX-клиентов на базе
OpenLdap, но хотелось все-таки управлять учетными запи-
сями из единой точки, а именно из Active Directory, потому
что этот каталог широко используется у нас в сети.

Вариант Samba + winbind меня не устраивал, поскольку
по роду задач samba вообще не нужна, к тому же это лиш-
ние службы на каждой машине, использование которых все-
таки не решает проблем с централизованным управлени-
ем пользовательскими данными, поэтому это решение мне
показалось неразумным и неизящным.
Более всего привлекал вариант с использованием сер-
вера NIS, который входит в продукт, известный как Services
For Unix от компании Microsoft и синхронизация записей
Active Directory to NIS. Зайдя на microsoft.com в надежде
скачать SFU3.5, которая в отличие от предыдущей версии
SFU3.0 бесплатна, я набрел на ряд интересных статей, про-
читав которые, пошел по другому пути.
Как уже говорилось в начале, не все UNIX-подобные си-
стемы могут проходить аутентификацию и запрашивать
данные о пользователе в Active Directory описанным здесь
способом, а только те, которые умеют работать с PAM и
pam-модулями. Как вы, наверное, догадались, я буду опи-
сывать способ взаимодействия с ldap-сервером, входящим
в Active Directory через модули pam_ldap и nss_ldap.
Итак, начнем. В качестве подопытных будут выступать
MS Windows 2000 Server Standart с установленной Active
Directory (в дальнейшем AD), Linux Manrdake 10.0, Solaris 9
x86, FreeBSD 4.10. Над Windows 2000/XP опыты ставить бес-
смысленно – все и так работает. Как минимум понадобит-
ся DNS-сервер, который может быть установлен на том же
Windows 2000 Server. Свежеустановленная AD не имеет тра-
диционной ldap-схемы для UNIX: userid, grouid, login shell,
home directory. Нам нужно её расширить, и для этого я вос-
пользуюсь SFU3.5. Вообще-то существует несколько спо-
собов это сделать: вручную создав ldif-файл с нужной схе-
мой и импортировав его при помощи каких-либо программ
сторонних разработчиков, например такой, как AD4Unix
(www.padl.com/download/MKSADPlugins.msi), или с помощью
SFU от Microsoft. Первый способ я оставляю гуру, вышеоз-
наченную программу MKSADPlugins.msi вам установить
вряд ли удастся, если Windows 2000 Server работает с аль-
тернативной локалью, отличной от US, что для России уме-
стно. В пользу же SFU, на мой взгляд, говорит то, что она
сделана в том же КБ, где Windows и AD, плюс в своем со-
ставе имеет много утилит от UNIX.
Пройдя добровольно-принудительную процедуру полу-
чения .NET Passport, вы сможете бесплатно скачать и ис-
пользовать SFU3.5 (www.microsoft.com/windows/sfu). Размер
программы примерно 230 Мб. Прежде чем устанавливать
SFU, нужно инсталлировать Active Directory Schema MMC
snap-in следующей командой:
regsvr32 ñ:\WINNT\system32\schmmgmt.dll
Для расширения схемы AD достаточно установить толь-
ко NIS-сервер из состава SFU. Для успешного завершения
установки необходимо быть либо членом групп Domain
Admins и Schema Admins, либо работать с правами Адми-
нистратора. После установки будет предложено перегру-
зить машину. NIS-сервер как таковой не понадобится и его
можно остановить и благополучно забыть о нём. В свой-
ствах пользователя, группы, компьютера в Active Directory
Users and Computers добавится вкладка UNIX Attributes.
№12(25), декабрь 2004
администрирование
Как видите, теперь у каждого пользователя есть атрибу-
ты, применяемые в UNIX-системах. Первое поле «NIS
Domain» будет содержать краткую форму имени нашего до-
мена. Этот параметр нужен для службы NIS, и хотя в нашем
случае она не применяется, без нее не активируются другие
поля. С остальными полями, я думаю, затруднений не воз-
никнет, может быть, за исключением GID. Прежде чем выб-
рать из этого поля группу, её надо создать или в свойствах
уже имеющейся задать UNIX-атрибуты. Проблема с группа-
ми заключается в том, что нельзя задать одно и то же имя
для пользователя и группы, а в мире UNIX такой подход весь-
ма распространен. В таком случае можно использовать толь-
ко численное представление, правда, я сомневаюсь, что это
хороший выход из создавшейся ситуации. Ещё потребуется
создать учетную запись, которая будет применяться для вза-
имодействия UNIX-машин с ldap-сервером. Это своего рода
дыра в безопасности, поэтому сей аккаунт не должен при-
надлежать кому-либо и доступ к важным ресурсам ему дол-
жен быть запрещен. Тем не менее он должен иметь право на
поиск объектов в каталоге. На этом этапе вы готовы управ-
лять единой учетной записью при помощи Active Directory.
Переходим к настройке клиентских машин. Я использо-
вал Linux Mandrake 10.0 Official и всё необходимое ПО ус-
танавливал из rpm-пакетов, входивших в состав дистрибу-
тива. Понадобится установить pam_ldap и nss_ldap. После
установки этих пакетов нужно отредактировать несколько
конфигурационных файлов. Pam_ldap и nss_ldap для на-
строек используют один и тот же файл ldap.conf. Также нуж-
но будет отредактировать nsswitch.conf и как минимум один
файл, находящийся в /etc/pam.d, а именно system-auth. Не
забудьте сделать копии оригинальных файлов. Итак, файл
ldap.conf должен содержать следующее:
# Áàçîâûå íàñòðîéêè, íåîáõîäèìûå äëÿ ïîäêëþ÷åíèÿ ê AD.
# domain, loc è server.domain.loc âû äîëæíû èçìåíèòü
# â ñîîòâåòñòâèè ñî ñâîèìè íàñòðîéêàìè
base dc=domain,dc=loc
19
 администрирование
scope sub правила для локального пользователя, если такой учетной
uri ldap://server.domain.loc записи нет, то информация берется из AD. Но есть одна ма-
port 389
ldap_version 3 ленькая проблема, которая может стать большой. Дело в том,
# Òîò ñàìûé àêêàóíò, êàê âèäèòå, îí áûë ñîçäàí â êîíòåéíåðå
что домашний каталог автоматически не создается и по умол-
# Users ñ èìåíåì ldap è ïàðîëåì qwerty чанию таковым считается /. Вам придется создавать домаш-
binddn cn=ldap,cn=Users,dc=domain,dc=loc ние каталоги руками на каждой машине, что не очень удоб-
bindpw qwerty
но. Для этого можно использовать модуль pam_mkhomedir.
# Êîãäà âû áóäåòå ââîäèòü èìÿ ïîëüçîâàòåëÿ è ïàðîëü, áóäóò При регистрации в данной системе модуль смотрит, есть ли
# ïðèìåíÿòüñÿ ñëåäóþùèå îáúåêòû è àòðèáóòû èç AD:
pam_filter objectclass=User домашний каталог, если нет, то он его создает и копирует
pam_login_attribute sAMAccountName туда файлы из /etc/skel. Вы можете в соответствии со свои-
pam_password ad
ми требованиями менять и порядок модулей, и их опции для
# Ýòè çàïèñè íóæíû äëÿ óñêîðåíèÿ ïîèñêà. Ìîæåòå èõ âîîáùå разных служб. В таких перестановках надо быть осторож-
# íå âñòàâëÿòü. Îáðàòèòå âíèìàíèå, âñå ïîëüçîâàòåëè â ýòîì
# ïðèìåðå õðàíÿòñÿ â «Organization Unit → firma» ным, потому как можно прийти к неожиданным результатам
nss_base_passwd ou=firma,dc=domain,dc=loc?sub вплоть до невозможности регистрироваться в системе даже
nss_base_shadow ou=firma,dc=domain,dc=loc?sub
nss_base_group ou=firma,dc=domain,dc=loc?sub под учетной записью root. Для начала логично почитать что-
# Ýòè çàïèñè îòíîñÿòñÿ ê ìîäóëþ nss_ldap, ïðåîáðàæàþò
нибудь о PAM. После этих манипуляций можно попробовать
# îáúåêòû è àòðèáóòû AD ê âèäó, ïðèíÿòîìó â LDAP зарегистрироваться на Linux-машине пользователем, кото-
nss_map_objectclass posixAccount User рый не упоминается в файлах passwd, shadow, group, но его
nss_map_objectclass shadowAccount User
nss_map_attribute uid sAMAccountName UNIX-атрибуты присутствуют в AD.
nss_map_attribute uidNumber msSFU30UidNumber Если всё прошло отлично, то при первом входе среди
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute cn sAMAccountName прочих надписей увидим следующее:
nss_map_attribute uniqueMember member
nss_map_attribute homeDirectory msSFU30HomeDirectory Creating directory '/home/test'.
nss_map_attribute loginShell msSFU30LoginShell Creating directory '/home/test/tmp'.
nss_map_attribute gecos name Посмотрим, кем нас считает система:
nss_map_objectclass posixGroup Group
[test@linux-pc test]$ id
Далее на очереди файл nsswitch.conf, тут всё просто – uid=10000(test) gid=10000(testgroup) groups=10000(testgroup)
находите строчки: Настраиваем Solaris 9 x86. В Solaris есть свои модули
pam_ldap и nss_ldap, только вот незадача – они не совсем
passwd: files nisplus nis совместимы с Active Directory, поэтому Microsoft рекомен-
shadow: files nisplus nis
group: files nisplus nis дует использовать модули от PADL (www.padl.com), те же,
что применяются в Linux. Чтобы скомпилировать эти моду-
и меняете их на: ли, потребуется установить ряд GNU-утилит, получить их
можно на www.sunfreeware.com. Оглашаю весь список:
passwd:
shadow:
files ldap
files ldap
! autoconf-2.57-sol9-intel-local.gz
group: files ldap ! automake-1.7.2-sol9-intel-local.gz
! gcc-3.2.1-sol9-intel-local.gz
Редактируем файл /etc/pam.d/system-auth: ! m4-1.4-sol9-intel-local.gz
! make-3.80-sol9-intel-local.gz
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok Плюс к этому берем с сайта www.blastwave.org пакет
auth sufficient /lib/security/pam_ldap.so ↵ berkeleydb3-3.11-i386-CSW.pkg.gz.
use_first_pass
auth required pam_deny.so Перед тем как собирать pam_ldap и nss_ldap, создадим
символическую ссылку в /usr/local/bin на perl:
account required pam_unix.so
account [default=bad success=ok user_unknown=ignore ↵
service_err=ignore system_err=ignore] ↵ ln -s /usr/bin/perl /usr/local/bin/perl
lib/security/pam_ldap.so
password required pam_cracklib.so retry=3 ↵ На файлы из каталогов /opt/csw/bin, /opt/csw/lib, /opt/csw/
minlen=2 dcredit=0 ucredit=0 ucredit=0
password sufficient pam_unix.so nullok ↵ include, созданные в процессе инсталляции berkeleydb3-
use_authtok md5 shadow 3.11-i386-CSW.pkg.gz, сделаем символические ссылки в
password sufficient /lib/security/pam_ldap.so ↵
use_authtok аналогичные каталоги, расположенные в /usr. Сделаем ре-
password required pam_deny.so зервную копию оригинальных модулей pam_ldap и nss_ldap:
session required pam_limits.so
session required pam_unix.so cp /usr/lib/security/pam_ldap.so.1 ↵
session required /lib/security/pam_mkhomedir.so ↵ /usr/lib/security/pam_ldap.so.1.bak;
skel=/etc/skel umask=0022 cp /usr/lib/nss_ldap.so.1 /usr/lib/nss_ldap.so.1.bak
session optional /lib/security/pam_ldap.so
Объявим переменные среды:
В этом примере строчки, содержащие модуль pam_
ldap.so, были добавлены в соответствии с рекомендациями PATH=/usr/local/bin:$PATH
LD_LIBRARY_PATH=/usr/local/lib
Microsoft. Суть их такова, что сначала система применяет export LD_LIBRARY_PATH

20

Это сработает для оболочек, совместимых по синтак-
сису с sh, например, bash, ksh. Если вы пользуетесь другим
интерпретатором, посмотрите документацию к нему.
Соберем модули от PADL, перейдя в соответствующие
директории, созданные в процессе разархивации файлов,
полученных с www.padl.com/download:
cd pam_ldap-176
./configure
make
make install
cd nss_ldap-226
./configure --enable-schema-mapping
make
make install
Если все прошло удачно, редактируем ldap.conf и
nsswitch.conf аналогично Linux, за исключением строчки:
uri ldap://server.domain.loc
которую заменим на:
администрирование
! Скачал исходный код: http://keutel.de/pam_mkhomedir/
pam_mkhomedir.c тоже в /tmp и скомпилировал следую-
щей командой (в одну строчку), находясь в /tmp:
/usr/local/bin/gcc -D_REENTRANT -g -O2 -Wall -fPIC ↵
-c -ILinux-PAM-0.77/libpam/include ↵
-ILinux-PAM-0.77/libpamc/include ↵
-ILinux-PAM-0.77/modules/pammodutil/include ↵
-DPAM_DYNAMIC pam_mkhomedir.c -o pam_mkhomedir.o
! Получил готовый модуль следующей командой:
/usr/ccs/bin/ld -o pam_mkhomedir.so -B dynamic -G ↵
-lc pam_mkhomedir.o
К сожалению, FreeBSD 4.x не умеет работать с nss_ldap
и значит запрашивать данные о пользователе в AD, плюс
не может менять пароль стандартными средствами с помо-
щью pam_ldap. Но всё же доступ к машине, как с консоли,
так и к службам ssh, ftp и т. д. можно получить, пройдя аутен-
тификацию в Active Directory. Для этого установите pam_
ldap, отредактируйте два файла – ldap.conf и pam.conf. В
ldap.conf достаточно внести следующий фрагмент:

host server.domain.loc base dc=domain,dc=loc

scope sub
uri ldap://server.domain.loc
Linux воспринимает оба формата, Solaris почему-то толь- port 389
ldap_version 3
ко host. Настройки PAM в Solaris хранятся в файле /etc/ binddn cn=ldap,cn=Users,dc=domain,dc=loc
pam.conf. На этом этапе, следуя советам Microsoft, я полу- bindpw qwerty
pam_filter objectclass=User
чил неработоспособную систему, поэтому кое-что поменял pam_login_attribute sAMAccountName
и добавил (представлены фрагменты с внесенными изме- pam_password ad
нениями):
В этом случае пароль из AD будет запрашиваться при
# login service (explicit because of pam_dial_auth) входе с консоли, ftp и ssh, если пароль отвергнут, поиск
login auth requisite pam_authtok_get.so.1
login auth required pam_dhkeys.so.1 будет продолжен в локальных файлах.
login auth sufficient pam_unix_auth.so.1
login auth required pam_dial_auth.so.1 login auth sufficient /usr/local/lib/pam_ldap.so
login auth sufficient pam_ldap.so.1 use_first_pass login auth sufficient pam_skey.so
# Default definitions for Authentication management login auth sufficient pam_opie.so no_fake_prompts
#login auth requisite pam_opieaccess.so
# Used when service name is not explicitly mentioned login auth requisite pam_cleartext_pass_ok.so
# for authenctication
other auth requisite pam_authtok_get.so.1 #login auth sufficient pam_kerberosIV.so try_first_pass
#login auth sufficient pam_krb5.so try_first_pass
other auth required pam_dhkeys.so.1 login auth required pam_unix.so try_first_pass
other auth sufficient pam_unix_auth.so.1
other auth sufficien pam_ldap.so.1 use_first_pass login account required pam_unix.so
login password required pam_permit.so
# Default definition for Session management login session required pam_permit.so
# Used when service name is not explicitly mentioned # Same requirement for ftpd as login
# for session management ftpd auth sufficient /usr/local/lib/pam_ldap.so
other session required pam_unix_session.so.1
other session sufficient ↵ ftpd auth sufficient pam_skey.so
ftpd auth sufficient pam_opie.so no_fake_prompts
pam_mkhomedir.so skel=/etc/skel/ umask=0022 #ftpd auth requisite pam_opieaccess.so
# Default definition for Password management ftpd auth requisite pam_cleartext_pass_ok.so
#ftpd auth sufficient pam_kerberosIV.so try_first_pass
# Used when service name is not explicitly mentioned #ftpd auth sufficient pam_krb5.so try_first_pass
# for password management
other password required pam_dhkeys.so.1 ftpd auth required pam_unix.so try_first_pass
other password requisite pam_authtok_get.so.1 # OpenSSH with PAM support requires similar modules.
other password requisite pam_authtok_check.so.1
other password required pam_authtok_store.so.1 # The session one is a bit strange, though...
sshd auth sufficient /usr/local/lib/pam_ldap.so
other password sufficient pam_ldap.so.1 use_authtok sshd auth sufficient pam_skey.so
sshd auth sufficient pam_opie.so no_fake_prompts
Здесь смысл примерно такой же, как и в случае с Linux. #sshd auth requisite pam_opieaccess.so
#sshd auth sufficient pam_kerberosIV.so try_first_pass
Pam_mkhomedir для Solaris не существует, но его можно #sshd auth sufficient pam_krb5.so try_first_pass
собрать самостоятельно. Я следовал инструкциям на http:/ sshd auth required pam_unix.so try_first_pass
sshd account required pam_unix.so
/keutel.de/pam_mkhomedir и получил работоспособный мо- sshd password required pam_permit.so
дуль, проделав следующие шаги на машине с Solaris: sshd session required pam_permit.so
! Скачал и распаковал исходный код Linux-PAM: http://
www.kernel.org/pub/linux/libs/pam/pre/library/Linux-PAM- Локально пароль можно вообще не хранить. Для этого
0.77.tar.gz, допустим, в /tmp. при помощи команды vipw отредактируйте файл паролей.

№12(25), декабрь 2004 21

 администрирование
Сотрите зашифрованный пароль во втором поле и поставь-
те там * (звёздочка).
По сведениям, взятым на http://www.padl.com/OSS/nss_
ldap.html, FreeBSD 5.1 и выше уже работает с nss_ldap, но
проверить это лично не удалось по причине отсутствия ди-
стрибутива.
Осталось прикрутить SSL. Хотя это вовсе не обязатель-
но, наверняка вы захотите использовать шифрование по
двум причинам. Первая – безопасность, ведь запросы к ldap,
в том числе пароли, передаются в открытом виде, вторая –
возможность пользователю самому менять пароль в AD
посредством стандартной команды passwd. Необходимо
проделать некоторые операции, как на Windows-сервере,
так и на клиентских машинах.
На сервере:
! Убедиться, что поддерживается шифрование 128 bit, ина-
че вы не сможете удаленно поменять пароль. Windows
2000 sp2 и выше это умеет, в противном случае устано-
вите Encryption pack.
! Установить сервис сертификатов, входящий в дистри-
бутив. Без этого сервер не будет принимать соедине-
ния по протоколу ldaps. В процессе инсталляции серви-
са сертификатов будет предложено создать корневой
сертификат. Заполнив поля (можно не все), вы получи-
те файл сертификата, лежащий в директории с:\. Де-
лать с ним ничего не придется. В журнале событий (event
viewer) должна появиться запись о возможности приня-
тия соединений LDAPS (прим.: у меня это сообщение
появилось на следующий день, может, потому, что я не
перегружал машину, а до этого все попытки коннекта
на ldaps:636 терпели неудачу). Проверить, что сервер
работает корректно, можно простым способом. С лю-
бой Windows-машины в домене или на самом сервере
выполните «Start → Search → For People».
В свойствах укажите адрес сервера, порт 636, контей-
нер для поиска.
В данном примере мы ищем объекты в контейнере Users.
Если поиск завершился успехом, значит ваш сервер настро-
ен на прием запросов по протоколу LDAPS порт 636.
На клиенте:
Самым простым решением для меня оказалось исполь-
зование программы stunnel. После установки stunnel нуж-
но поправить два файла stunnel.conf и ldap.conf. Stunnel.conf
может выглядеть так:
chroot = /var/tmp/stunnel
pid = /stunnel.pid
setuid = stunnel
22
setgid = stunnel
# Some debugging stuff
debug = 7
output = /var/log/stunnel.log
# Use it for client mode
client = yes
# Service-level configuration
[ldap]
accept = 127.0.0.1:389
connect = server.domain.loc:636
Из данного примера мы видим – stunnel работает в кли-
ентском режиме, слушает запросы на 127.0.0.1 порт 389 и
пересылает их на Windows-сервер порт 636 уже в зашиф-
рованном виде. В зависимости от операционной системы
вам придется вручную создать пользователя stunnel и ка-
талог /var/tmp/stunnel с возможностью записи для этого
пользователя. В файле ldap.conf просто поменяем строчку:
ri ldap://server.domain.loc
на
host 127.0.0.1
Перегружаем машину, регистрируемся, пробуем менять
пароль. Параллельно tcpdump на другом терминале можно
наблюдать наши SSL-соединения.
В результате мы имеем централизованную систему уп-
равления пользователями средствами Active Directory, что
значительно облегчает работу администратора. Интегра-
ция таким способом позволяет внедрить UNIX-системы в
существующую структуру Windows-сетей и при этом отка-
заться от ведения дополнительных каталогов или хране-
ния пользовательских данных на каждой машине.
 администрирование
FreeBSD TIPS:
НАСТРОЙКА VLAN
СЕРГЕЙ СУПРУНОВ
Представьте себе ситуацию: узел СПД в составе маршру-
тизатора CISCO и коммутатора Catalyst находится на пер-
вом этаже, а ваш FreeBSD-сервер – на четвертом. И при
этом требуется вывести во внешний мир несколько подсе-
тей, которые проходят через сервер FreeBSD на Catalyst.
Можно, конечно, подключить к серверу несколько сетевых
адаптеров, занять для внутреннего использования несколь-
ко портов на Catalyst и пробросить между этажами кило-
метр кабеля 5-й категории. На кабеле можно даже сэконо-
мить, пропустив по одному кабелю сразу два соединения и
задействовав тем самым все имеющиеся пары. Однако все
равно и затрат, и дополнительных работ по прокладке ка-
белей получается слишком много. А раз возникает слож-
ность, то наверняка кто-то уже нашел способ ее устранить.
И в нашем случае панацеей будет технология VLAN – вир-
туальные локальные сети.
Данная технология позволяет логически разделять не-
сколько подсетей на одном устройстве (например, комму-
таторе) таким образом, что машины, объединенные в одну
VLAN, ничего не знают о существовании компьютеров, вхо-
дящих в другую. И с точки зрения топологии сети мы полу-
чаем отдельные коммутаторы для каждой подсети.
На уровне протоколов это достигается добавлением не-
скольких полей в заголовок пакета сетевого уровня. Одно
из добавленных полей содержит идентификатор (номер)
сети VLAN, на основе которого и происходит разделение
Ethernet-кадров по виртуальным сетям. Кадры, имеющие
одинаковый номер VLAN, рассматриваются как принадле-
жащие одной подсети. Регламентируется это стандартом
IEEE 802.1Q.
Развитие технологии VLAN привело к тому, что стало
возможным не только назначать отдельные подсети отдель-
ным портам, но и через один порт пропускать несколько
VLAN (так называемый multiVLAN). То же относится и к се-
тевым адаптерам, чем мы и воспользуемся.
Рассмотрим настройку VLAN для FreeBSD на следую-
щем примере: пусть имеется один отрезок кабеля между
Catalyst и FreeBSD. На Catalyst свободен один порт, на
FreeBSD – одна сетевая карта, обслуживающая внешние
соединения. Нужно через это соединение организовать
передачу следующих подсетей:
24
! подсеть реальных адресов для работы в Интернете
(111.222.0.0/28);
! корпоративная частная подсеть для доступа к вышесто-
ящим узлам компании (10.0.123.0/24);
! и еще одна сеть для управления оборудованием СПД
(10.254.0.0/24).
Прежде всего нужно проверить, поддерживает ли ваша
сетевая карта работу по VLAN. Некоторые карты обеспе-
чивают поддержку данной технологии на аппаратном уров-
не, однако драйвер также должен поддерживать VLAN.
Страница справочного руководства (см. man vlan) для
FreeBSD 5.2 сообщает, что аппаратное мультиплексирова-
ние поддерживается для драйверов bge, em, gx, nge, ti и
txp. (Во FreeBSD 5.3 к этому списку добавился еще и драй-
вер re, обеспечивающий работу сетевых адаптеров на чип-
сетах RealTek 8139C+/8169/8169S/8110S). Узнать подроб-
ную информацию по каждому из драйверов, в том числе
список поддерживаемых драйвером моделей сетевых карт,
можно на страницах man (например, man 4 em сообщает,
что драйвером em поддерживается Intel PRO/1000 Gigabit
Ethernet adapter). Если ваш адаптер не входит в этот спи-
сок, то наверняка он сможет работать с использованием
программной эмуляции мультиплексирования. По крайней
мере, для большинства современных карт это утвержде-
ние справедливо. Нужно заметить, что тот же man vlan гла-
сит, что сетевой адаптер для полноценной эмуляции дол-
жен поддерживать «длинные» кадры (oversized frames). В
противном случае из-за необходимости размещения допол-
нительных полей заголовка, содержащих информацию о
VLAN, которой принадлежит пакет, приходится снижать мак-
симальный размер передаваемого пакета (MTU) на соот-
ветствующем интерфейсе.
Драйвера сетевых адаптеров, поддерживающих длин-
ные кадры, перечислены в man vlan, однако данный список
нельзя считать исчерпывающим, поскольку с 2002 года (ког-
да писались страницы руководства) ситуация изменилась
в лучшую сторону и перечень совместимых сетевых карт
значительно расширился. По крайней мере, D-Link DFE-
538TX, работающий на драйвере rl, отсутствующем в спис-
ке, никаких нареканий с моей стороны не вызвал. (Замеча-

ние: во FreeBSD 5.3 поддержка vlan значительно расшире-
на, и теперь поддержка длинных кадров драйвером rl офор-
млена официально.)
Пожалуй, хватит теории. Перейдем к практике.
Для работы VLAN в системе должны быть соответствую-
щие псевдоустройства. В случае с FreeBSD 5.2 (думаю, это
справедливо и для всей 5-й ветки) устройства vlan создают-
ся динамически. За это отвечает модуль ядра if_vlan.ko. Если
вы предпочитаете иметь монолитное ядро, то потребуется
пересобрать его со следующей опцией:
device vlan
Для 3-й и 4-й веток FreeBSD может потребоваться пе-
ресобрать ядро с такой строчкой:
pseudo-device vlan N trunk-режим и при желании можно указать список разре-
Вместо N нужно подставить количество устройств, ко-
торое вам понадобится. После сборки и установки нового
ядра в системе должны появиться соответствующие интер-
фейсы vlan0, vlan1 и т. д., просмотреть которые можно ко-
мандой:
ifconfig -a
Для FreeBSD 5.2 (в недавно вышедшей 5.3 все настра-
ивается точно так же) для создания vlan-интерфейсов ис-
пользуется «клонирование» (cloning) на этапе загрузки (об
этом – чуть ниже) либо программа ifconfig с опцией create.
Второй вариант выглядит следующим образом:
# ifconfig vlan0
ifconfig: interface vlan0 does not exist
# ifconfig vlan0 create 111.222.0.5 ↵
netmask 255.255.255.240 vlan 111 vlandev rl0
# ifconfig vlan0
vlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 111.222.0.5 netmask 0xfffffff0 broadcast 111.222.0.15
inet6 fe70::204:5cff:fedf:f81f%vlan0 prefixlen 64 scopeid 0xd
ether 00:05:5d:cf:f9:1e
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 111 parent interface: rl0
Опция vlan задает номер VLAN, присвоенный этой сети.
Параметр vlandev указывает физический интерфейс, исполь-
зуемый для организации VLAN. Заметьте, что этот интерфейс
(в нашем случае rl0) должен иметь собственный IP-адрес,
даже если реально он нигде использоваться не будет:
# ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 10.10.10.10 netmask 0xffffff00 broadcast 10.10.10.255
inet6 fe70::204:5cff:fedf:f81f%rl0 prefixlen 64 scopeid 0x1
ether 00:05:5d:cf:f9:1e
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
Обратите внимание, что интерфейсы vlan наследуют
MAC-адрес «родительского» интерфейса, но поскольку сети
у нас разные, то ни к каким конфликтам это не приведет.
№12(25), декабрь 2004
администрирование
Если со стороны CISCO все настроено должным обра-
зом (собственно говоря, основное требование – номер VLAN
должен совпадать с тем, который назначен интерфейсу со
стороны FreeBSD), то после этой команды все должно ра-
ботать. Например, конфигурация интерфейса для подсети
реальных адресов на CISCO у меня выглядит следующим
образом:
interface FastEthernet0/0.111
encapsulation dot1Q 111
ip vrf forwarding Inet
ip address 111.222.0.1 255.255.255.240
no ip route-cache
Аналогично описываются остальные интерфейсы. Иден-
тификатор VLAN задается в параметре encapsulation dot1Q,
в данном случае он равен 111.
На Catalyst соответствующий порт нужно перевести в
шенных номеров VLAN:
interface FastEthernet0/24
switchport trunk allowed vlan 100,111,999
switchport mode trunk
no ip address
С точки зрения остальных служб операционной систе-
мы, например ipfw или natd, полученный интерфейс ничем
не отличается от физических и может использоваться как
обычно. Например, можно подсчитать трафик, проходящий
через vlan0:
# ipfw add 1234 count ip from any to any via vlan0
Остался последний штрих – настройка конфигурации
для автоматического создания нужного интерфейса при пе-
резагрузке. Для этого в файл /etc/rc.conf добавим следую-
щие строчки:
# Ñîçäàåì íóæíûå èíòåðôåéñû, èñïîëüçóÿ ìåõàíèçì
# êëîíèðîâàíèÿ:
cloned_interfaces="vlan0 vlan1 vlan2"
# È îïèñûâàåì ñîîòâåòñòâóþùèå èíòåðôåéñû VLAN:
ifconfig_vlan0="inet 111.222.0.5 ↵
netmask 255.255.255.240 vlan 111 vlandev rl0"
ifconfig_vlan1="inet 10.254.0.5 ↵
netmask 255.255.255.0 vlan 100 vlandev rl0"
ifconfig_vlan2="inet 10.0.0.3 ↵
netmask 255.255.255.0 vlan 999 vlandev rl0"
Если «пропадание» сервера на пару минут не критич-
но, то рекомендуется его перезагрузить, чтобы лишний раз
убедиться в правильности всех настроек. Бежать среди ночи
к неудачно загрузившемуся из-за пропущенного пробела
серверу – не самое приятное занятие.
Нужно заметить, что технология VLAN позволяет шиф-
ровать трафик (например, ряд сетевых карт поддерживают
аппаратное шифрование), однако во FreeBSD это не реа-
лизовано и поддерживается только разделение пакетов на
основе идентификаторов VLAN. Хотя можно ожидать, что
поддержка карт с аппаратным шифрованием появится в бу-
дущем. Тем не менее имеющихся в данный момент возмож-
ностей вполне достаточно, чтобы без особых усилий повы-
сить эффективность использования имеющегося оборудо-
вания.
25
 администрирование
БИЛЛИНГ ДЛЯ АТС НА БАЗЕ PostgreSQL
В статье рассматривается содержащая около 90 строк кода
биллинговая система для небольших АТС, которая легко
может быть расширена на АТС большой номерной емкос-
ти. В качестве примера рассматривается NEAX2000 IPS.
Стандартный выход АТС соединяется с портом компью-
тера, приходящая от АТС информация захватывается скрип-
том биллинговой системы, обрабатывается, и направляет-
26
ГЕОРГИЙ ТОЛОКОННИКОВ
ся в базу данных телефонных переговоров, поддерживае-
мую СУБД PostgreSQL. На основе базы данных ведется под-
счет трафика, расчет оплаты и выполняются практически
любые запросы, интересующие пользователей.
Обычный веб-интерфейс позволяет выводить на экра-
ны (удаленных) компьютеров результаты запросов в режи-
ме реального времени.

Введение
Биллинговая система – это комплекс программ, работаю-
щий на компьютере, сопряженном с АТС и позволяющий
тарифицировать телефонный трафик, выставлять счета
абонентам, получать практически любую информацию по
звонкам.
Такие системы обычно дороги. Многие пользуются Win
Tarif (как правило, взломанной версией…). Можно также по-
смотреть сайт www.billonline.ru со всеобъемлющим серти-
фицированным Министерством связи решением проблем
(за деньги) учета телефонных переговоров.
Наш подход, однако, – демонстрация философии UNIX
в действии – позволяет обеспечить простое, бесплатное,
открытое решение. Состоит оно из нескольких десятков
строк кода и опирается на типовые утилиты UNIX. Слож-
ность кода минимальная, достаточно, например, владения
азами SQL и Perl. Обычно оператор связи, предоставив-
ший телефоны, выставляет счет раз в месяц, а тарифика-
цию по внутренним номерам офисной АТС либо вообще от-
казывается делать, либо требует дополнительной оплаты.
Платное программное обеспечение имеет закрытый код и
не ясно, что и как оно считает, заменить в нем что-нибудь
на более подходящий вариант невозможно. Таким образом,
наличие подобного предлагаемого в статье простого реше-
ния полезно для работы организации.
В настоящее время в небольших фирмах – операторах
связи или в офисах крупных (и не очень) компаний наряду
в ЛВС имеется АТС, часто попадающая на обслуживание
системному администратору. Так что затронутые в статье
вопросы многим окажутся интересны.
План действий по автоматизации тарификации АТС сле-
дующий:
! смотрим, что и в каком формате выводит АТС на порт,
сопрягаемый с компьютером (часто это com-порт);
! пишем скрипт, разбирающий должным образом полу-
чаемый поток байтов с АТС;
! заводим в СУБД (PostgreSQL) необходимые таблицы;
! добавляем к скрипту блоки захвата вывода с АТС и заг-
рузки обработанных скриптом записей в СУБД;
! формируем скрипт сопряжения базы данных с веб-сер-
вером для возможности просмотра данных и запросов
абонентами и руководством.
Собственно и все. За пару дней это можно сделать и
запустить в эксплуатацию. Например, на следующем комп-
лексе: Pentium-200 MMX, 256 Мб ОЗУ, FreeBSD версии 4.5
и выше с Perl5, PostgreSQL 7 довольно быстро обрабаты-
вается до 100 тыс. записей звонков. Это около 100-150 но-
меров абонентов, звонящих с интенсивностью выше сред-
ней в течение месяца. На Pentium 4 можно легко обрабаты-
вать уже миллионы записей.
Все вышеприведенное будет легко работать и под лю-
бым другим UNIX.
Тестирование формата вывода АТС
и алгоритм программы
Сначала надо изучить выходные сигналы АТС. Мы рассмат-
риваем NEAX2000 IPS с настройками, практически не от-
личающимися от стандартных. В нашем случае отличие сво-
№12(25), декабрь 2004
администрирование
дится к тому, что обозначение внутренних номеров начина-
ется со знака *, например, *029. Такая нумерация обычно
используется, чтобы можно было звонить «в город» без на-
бора «9».
Соединим кабелем COM-порт компьютера с RS232
разъемом АТС, находящимся на процессорной плате. Для
определенности используем нулевой порт – как правило, в
компьютере два COM-порта: нулевой и первый.
Обычно тарификация проводится для исходящих вызо-
вов, поэтому здесь мы не будем рассматривать другие звон-
ки.
Введем следующую команду для прослушивания пор-
та, на который поступает информация от АТС (для Linux
порт будет называться не dev/cuaa0, а, cкорее всего, /dev/
ttyS0):
# cat /dev/cuaa0 >> file
получим при каждом исходящем вызове добавку к содер-
жимому файла file:
^B0!KA050077001*029 08110737260811073756
000050050100 0000 04040
(с учетом пробелов для каждой записи получаем 128 бай-
тов, по байту на каждый символ).
Приведенный пример содержит информацию о том, что
с номера *029, 11 августа с 7 час. 37 мин. 26 сек до 37 мин.
56 сек. абонент звонил на номер 100 (служба «время» в
МГТС).
При разборке файла с помощью Perl в качестве при-
знака конца записи для отдельных вызовов можно принять
восклицательный знак «!».
Воспользовавшись вызовом sysread(fd, $v, length), где
fd – дескриптор файла $v – переменная, в которую пишет-
ся информация, length – количество считывающихся бай-
тов за один вызов, можно установить, что АТС выдает всю
запись по вызову отдельными порциями наборов символов,
указанных в примере, разделенными пробелами. В АТС
имеется буфер (довольно приличный по размеру), в кото-
ром хранятся данные по вызовам, так что при соединении
с компьютером все предыдущие вызовы «скачиваются» в
компьютер.
Код будущей программы состоит из двух блоков:
! блок считывания и обработки (считывает из порта ин-
формацию, поступающую из АТС);
! блок загрузки записей в базу данных.
Перед рассмотрением приведенного ниже кода скрип-
та подчеркнем следующее.
Наша цель – показать, что создать собственную систе-
му биллинга совсем несложно. У каждого системного ад-
министратора есть свои излюбленные приемы в Perl, кото-
рые он при необходимости использует, приспособив под-
ходящим образом приведенный скрипт или написав свой
собственный. Поэтому мы для краткости оставили лишь ти-
повую обработку ошибок, не стремимся усложнять код для
обеспечения его безопасности, оптимальности или кратко-
сти. Отметим только, что приведенный код неплохо рабо-
тал у нас на стареньком отдельно стоящем компьютере:
27
 администрирование
процессы внутри АТС относительно медленные и Perl успе- sub duration {
вает делать все вовремя и без ухищрений. my $a=substr($ccc, 6, 10);
my $b=substr($ccc, 16, 10);
Отлаженный вариант биллинговой системы с учетом my @aa=split //, $a;
кода для вывода данных с помощью PHP на Apache-сервер my @bb=split //, $b;
достаточно длинный для размещения в тексте, поэтому пре- my $aaa=(($aa[2]*10)+$aa[3])*24*60*60+($aa[4]*10+ ↵
доставлен автором всем желающим (www.samag.ru/source). $aa[5])*60*60+($aa[6]*10+$aa[7])*60+$aa[8]*10+$aa[9];
my $bbb=(($bb[2]*10)+$bb[3])*24*60*60+($bb[4]*10+ ↵
$bb[5])*60*60+($bb[6]*10+$bb[7])*60+$bb[8]*10+$bb[9];
Реализация программы my $r=$bbb-$aaa;
my $cc1=$r%60;
Для реализации программы с помощью системы портов my $cc11=($r-$cc1)/60;
FreeBSD помимо PostgreSQL необходимо для работы ин- my $cc2=$cc11%60;
my $cc21=($cc11-$cc2)/60;
терфейса Perl к PostgreSQL установить модули Perl – DBI, my $cc3=$cc21%24;
DBD-Pg. my $z=" h$cc3 m$cc2 s$cc1 ";
}
Запустив PostgreSQL, создадим таблицу atstarif базы
данных ats: foreach $ss (@s)
{
$ss =~ s/.*\*/\*/g;
# create table atstarif (nums varchar(15), mydate date, ↵ $ss =~ s/\b0000 .*//g;
mytime time, min int, numd bigint); $ss =~ s/\b0000600606//g;
$ss =~ s/\b000050050//g;
Таким образом, строки в ней будут содержать поля: $ccc=$ss;
my $z=substr($ss, 16, 10);
! Номер, инициировавший соединение.
! Дата и время начала разговора. # òåïåðü ïðèìåíèì ïîäïðîãðàììó ïîäñ÷åòà âðåìåíè
# ê ïåðåìåííîé $ccc;
! Длительность звонка в минутах разговора.
! Номер, на который шел вызов. my $res=&duration;
$ss=~ s/$z/$res/g;
$ss=~ s/h//g;
Программа биллинга на Perl может иметь следующий $ss=~ s/m//g;
$ss=~ s/s//g;
вид (некоторые комментарии даны в самом коде).
my @f= split (/\s+/, $ss);
if ($f[4]) {
#!/usr/bin/perl $f[4] = 1;
use POSIX qw(:errno_h); }
use DBI; my $z = $f[2]*60 + $f[3] + $f[4];
use strict; my @g = split (//, $f[1]);
my $user="pgsql"; if ($g[4]==0) {
my $dbname="ats"; $g[4]="";
my $dsh; }
my $dbh; my @gg = ($g[2].$g[3], '.', $g[0].$g[1], '.', ↵
my $p; '04', " ", $g[4].$g[5], ':', $g[6].$g[7]);
my $pid; $f[1]= join ("", @gg);
$SIG{ALRM}= 'proga'; my @ff = ($f[0], $f[1], $z, $f[5]);
$ss = join (" ", @ff);
sub proga { if ($ss=~ /\*\d\d\d \d\d\.\d\d\.\d\d \d+:\d+ \d+ \d+/) {
kill 9 => $pid;
kill 9 => $p; # ñòðîêà ñôîðìèðîâàíà äëÿ çàïèñè â áàçó äàííûõ
}
$g= $ss;
# ïðîãðàììà ðàáîòàåò â áåñêîíå÷íîì öèêëå, ïåðèîäè÷åñêè
# (ðàç â äâå ìèíóòû) ïîäêëþ÷àÿñü ê ïîðòó, íà êîòîðûé # òåïåðü ñòðîêó $g ïðèâåäåì ê íåîáõîäèìîìó ôîðìàòó
# ÀÒÑ ïîñûëàåò äàííûå î çâîíêàõ # è çàãðóçèì â áàçó äàííûõ
while(1) chomp($g);
{ my @gg=split / /, $g;
$dsh="dbi:Pg:dbname=$dbname;port=5432"; my @ggg=split /\./, $gg[1];
$dbh=DBI->connect("$dsh", "$user") or die ↵ $gg[1]=join "-", "20$ggg[2]", $ggg[1], $ggg[0];
"can't connect: $!\n"; my @dt;
$pid=open (ATS, "cu -l/dev/cuaa1 -s9600|"); $dt[0]=$dbh->quote("$gg[0]");
$p=($pid)+1; $dt[1]=$dbh->quote("$gg[1]");
$dt[2]=$dbh->quote("$gg[2]");
# ïðîãðàììà ïîäêëþ÷èëàñü ê áàçå äàííûõ è íà÷àëà ñ÷èòûâàòü $dt[3]=$dbh->quote("$gg[3]");
# äàííûå îò ÀÒÑ $dt[4]=$dbh->quote("$gg[4]");
my $tbl="atstarif ";
eval { alarm(60); }; $dbh->do("insert into $tbl (nums, mydate, mytime, min, numd)
my @str = <ATS>; values ($dt[0], $dt[1], $dt[2], $dt[3], $dt[4])");
my $sstr; }
my $ccc; }
my $ss; }
my $g; }
$dbh->disconnect();
# â ýòîì öèêëå íà÷èíàåòñÿ îáðàáîòêà ïîñòóïàþùèõ ñòðîê îò ÀÒÑ close ATS;
sleep(60);
foreach $sstr (@str) { }
if ($sstr=~ /!/)
{
my @s= split /!/, $sstr; Программу можно запустить в фоновом режиме, обыч-
ным образом обеспечить ее запуск при перезагрузке ком-
# ïîäñ÷åò âðåìåíè çâîíêà óäîáíî âûäåëèòü â îòäåëüíóþ
# ïîäïðîãðàììó пьютера, организовать ее использование по усмотрению
системного администратора.

28
 администрирование
ПАКЕТНЫЙ ФИЛЬТР OpenBSD
ЧАСТЬ 2
Вот и вышел очередной новогодний выпуск этого замеча-
тельного журнала из печати, на улице холодно, а мы будем
сидеть в тепле, пить горячий кофе и с удовольствием по-
знавать то, что несет нам этот номер.
В прошлой статье1 я рассказал об основных возможно-
стях пакетного фильтра операционной системы OpenBSD
и почему так важно использование фильтров. Недавно нам
поступило тревожное сообщение от одной из организаций
о том, что их сервер «барахлит», мне пришлось ехать и про-
верять, но я и не подозревал, насколько всё серьёзно! Сеть
организации была спроектирована довольно хорошо, од-
нако единственным слабым местом был Linux-сервер, на
котором крутились Java-сервлеты и обслуживали денеж-
1
Назаров Д. Пакетный фильтр OpenBSD. – Журнал «Системный администратор», №11, ноябрь 2004 г.
30
ДЕНИС НАЗАРОВ
ные транзакции. Пограничным хостом (firewall) была дав-
ненько установленная нами, в то время еще OpenBSD 3.1-
stable, с PF в качестве пакетного фильтра. При осмотре
Linux-сервера сразу стало понятно, что его атаковали, и не
раз, я нашел огромное количество различных exploits на
сервере и несколько скриптов, которые в тот момент дер-
жали открытыми порты с shell, запущенными от прав www-
сервера. После проверки сервера различными методами я
пришел к выводу, что злоумышленникам так и не удалось
ни похитить данные, ни проникнуть на сервер. Мне стало
интересно, как же данные со взломанного сервера (сервер
действительно считался взломанным по нашим критериям)
так и не ушли в чужие руки.

Так как сервер останавливать было нельзя, пришлось
вживую искать все ниточки. Все свелось к одному – на сер-
вере с OpenBSD, посмотрев лог-файлы пакетного фильт-
ра, сразу стало ясно, что любые попытки добраться к тем
shell на Linux-сервере оканчивались провалом, ибо фильт-
рация была настолько четкой, что помимо входящих соеди-
нений контролировались и все исходящие. Дальнейшее ис-
следование показало все места, откуда были произведены
атаки, и подтвердило их безуспешность. Сейчас в той орга-
низации стоит новый мощный сервер под управлением Sun
Solaris 10 и теперь уже OpenBSD 3.6-stable. К чему вся эта
история? Показать на конкретном примере, как важно ис-
пользование пакетных фильтров и как они могут защитить
заведомо опасные приложения.
Итак, приступим к продолжению нашей статьи, я рас-
скажу вам о следующих вещах:
! Распределение по очередям (Queuing).
! Роутинг (маршрутизация).
Распределение по очередям (Queuing)
Любые пакеты могут быть разделены по очередям для кон-
троля полосы пропускания. Зачем это надо? Распределять
нагрузку на канал равномерно для всей сети, например, или
же, наоборот, урезать трафик для определенного сервиса
или IP-адреса. Для определения «очереди» (queue) нужны
всего лишь две декларации, и в дальнейшем все пакеты
можно будет распределять по очередям, используя «имя
очереди». Согласно компоненту фильтрации пакетного
фильтра (PF), для правила pass данный пакет будет поме-
щен в очередь, на которую ссылалось последнее(!) прави-
ло. Немножко запутанно?
Поясню на примере:
pass in on $ext_if inet proto tcp from any to ↵
any port 80 keep state queue www-1
pass in on $ext_if inet proto tcp from any to ↵
any port 80 keep state queue www-2
Здесь будет применено последнее правило, т.е пакет бу-
дет присвоен очереди с именем «www-2».
Очередями управляют «планировщики». На данный мо-
мент PF поддерживает 3 типа «планировщиков»:
! CBQ (Class Based Queueing) – очереди, прикрепленные
к интерфейсу, создают «дерево», в котором каждая из
этих очередей может иметь своих «потомков». Очере-
ди имеют приоритет и полосу пропускания. Приоритет
определяет, через какую очередь пакет пройдет первым,
а полоса пропускания уже непосредственно влияет на
скорость прохождения. CBQ выполняет двухсторонее
разделение полосы пропускания вашего канала, исполь-
зуя иерархически-структурированные классы. Каждый
класс имеет свою собственную «очередь» и присвоен-
ную ей способность пропускания. Класс-потомок может
заимствовать у родительского класса только(!) ту про-
пускную способность, которая в данный момент доступ-
на для него.
! PRIQ (Priority Queueing) – очереди просто присоедине-
ны к интерфейсу и не могут иметь очередей-потомков.
Каждая такая очередь имеет свой уникальный «приори-
тет», который может принимать значения от 0 до 15.
№12(25), декабрь 2004
администрирование
Пакеты в очереди с наибольшим приоритетом будут об-
работаны первыми.
! HFSC (Hierarchical Fair Service Curve) – описание очень
схоже с CBQ за исключением некоторых дополнений.
HFSC есть не что иное как «исправленный» механизм,
базирующийся на модели QoS. Его уникальность состо-
ит в возможности разъединять связь между задержкой
пакета и очередью. То есть HFSC обрабатывает очере-
ди и пакеты отдельно друг от друга, однако после про-
цесса обработки пакет и очередь опять логически свя-
зываются. В некоторых ситуациях это позволяет добить-
ся максимальной производительности от трафик-шей-
пера. Очень часто это используется для сервисов, ра-
ботающих в режиме реального времени.
Активизировать возможность распределения по очере-
дям нужно в конфигурационном файле вашего фильтра (по
умолчанию /etc/pf.conf) при помощи директивы «altq on»,
которая имеет свои дополнительные параметры:
! <interface> – имя интерфейса, для которого мы включа-
ем данную возможность, если не определено, то очере-
ди будут активированы для всех интерфейсов.
! <scheduler> – планировщик, в данный момент PF под-
держивает cbq, priq, hfsc.
! bandwidth <value> – максимальный битрейт для всех оче-
редей на данном интерфейсе. Значение может быть оп-
ределено как процент от общей пропускной способнос-
ти интерфейса, так и числовой величиной. Для этого
могут использоваться слова b, Kb, Mb, Gb. Что соответ-
ственно – биты, килобиты, мегабиты, гигабиты. Если
значение bandwidth не задано, то будет использована
максимальная скорость.
! qlimit <value> – количество пакетов, которое может об-
служивать очередь, по умолчанию 50, это значение от-
лично подходит для 100-мегабтиных сетей.
! queue <list> – определяет список очередей, которые бу-
дут созданы для данного интерфейса.
В этом примере интерфейс dc0 будет распределять в
очереди 5Mbit/s, используя CBQ.
altq on dc0 cbq bandwidth 5Mb queue { std, http, mail, ssh }
После включения altq мы можем создавать очереди-по-
томки. Для них используются те же дополнительные пара-
метры, что и для директивы altq, за исключением <scheduler>
и queue, т.к они уже определены. Имя родительской очере-
ди должно совпадать с определением в altq.
Например:
queue std bandwidth 10% cbq(default)
Для <scheduler> есть список параметров, которые по-
могают контролировать работу очереди.
! default – попадая в эту очередь, пакет не проверяется
дальше, а тут же обрабатывается.
! red – Random Early Detection – RED отбрасывает паке-
ты, которые, предположительно могут перегрузить оче-
редь.
31
 администрирование
! ecn – Explicit Congestion Notification – практически то же
самое, что и RED. Отличается лишь алгоритмом обра-
ботки очередей, в итоге результат тот же, что и при ис-
пользовании RED. RED использует более оптимизиро-
ванный алгоритм, и за его счет обработка очередей про-
исходит гораздо быстрее.
Для CBQ предусмотрены дополнительные параметры.
! borrow – очередь-потомок может «заимствовать» сво-
бодную пропускную способность у родительской очере-
ди в случае необходимости.
Теперь параметры для HFSC.
! realtime <sc> – минимальная доступная пропускная спо-
собность для очереди.
! upperlimit <sc> – максимальная доступная очереди про-
пускная способность.
! <sc> – список так называемых service curve (для realtime
задач), которые имеют формат (m1, d, m2), работают
они по принципу «для первых d мили-секунд выдавать
пропускную способность m1, после этого m2».
Синтаксис определения очередей CBQ и HFSC одина-
ков, разница лишь в дополнительных параметрах (см. вы-
ше). Однако стоит помнить, что скорость пропускания для
очередей-потомков не может быть больше той, что опреде-
лена для родительской очереди.
Дополнительный параметр для определения очередей –
priority <level> – указывает приоритет очереди. Для CBQ и
HFSC значения могут быть от 0 до 7, для PRIQ – от 0 до 15.
Значение по умолчанию для всех очередей 1.
Присвоение пакетов очередям происходит при помощи
ключевого слова queue в правилах фильтрации(!). В нор-
мальном режиме указать можно только одну очередь, од-
нако, если же указана вторая, то пакеты будут обрабаты-
ваться на основе TOS (Type Of Service).
Что ж, теперь давайте посмотрим, как все это выглядит
на практике, ибо в теории мало что понятно.
Включаем очереди:
altq on dc0 cbq bandwidth 5Mb queue { std, http, mail, ssh }
Определяем родительские очереди и очереди-потом-
ки.
queue std bandwidth 10% cbq(default)
queue http bandwidth 60% priority 2 cbq(borrow red) ↵
{ employees, developers }
queue developers bandwidth 75% cbq(borrow)
queue employees bandwidth 15%
queue mail bandwidth 10% priority 0 cbq(borrow ecn)
queue ssh bandwidth 20% cbq(borrow) ↵
{ ssh_interactive, ssh_bulk }
queue ssh_interactive priority 7
queue ssh_bulk priority 0
И назначаем правила:
block return out on dc0 inet all queue std
pass out on dc0 inet proto tcp from $developerhosts to ↵
any port 80 keep state queue developers
pass out on dc0 inet proto tcp from $employeehosts to ↵
any port 80 keep state queue employees
pass out on dc0 inet proto tcp from any to ↵
32
any port 22 keep state queue(ssh_bulk, ssh_interactive)
pass out on dc0 inet proto tcp from any to ↵
any port 25 keep state queue mail
Итак, очередь std будет забирать 10% от нашего 5Mbit/s
канала.
Очередь http будет забирать 60% и иметь двух потом-
ков employees и developers с механизмом определения
преждевременной нагрузки RED и возможностью «заим-
ствования» полосы пропускания у родителя. У очереди http
приоритет равен 2, что в данной конфигурации является
наивысшим приоритетом (т.к значения больше, чем «2» не
определены). Значит, данная очередь будет обрабатывать
пакеты первой. Для очередей-потомков установлены ско-
рости в процентном отношении соответственно 75% и 15%.
Важно понимать, что вычисляться эти проценты будут из
того куска общей пропускной способности канала, который
отдан родительской очереди.
Очередь mail определена как 10% от общей полосы про-
пускания и имеет низший приоритет (0), чем другие.
Очередь ssh делится на ssh_interactive и ssh_bulk, име-
ющие приоритеты 7 и 0. Как только появляется пакет с пор-
том назначения 22 и его помещают в очередь ssh_bulk. Пос-
ле того как соединение считается установленным, пакет пе-
реходит в очередь ssh_interactive и имеет наивысший
приоритет для родительской очереди. А зачем так сложно?
Стоит помнить, что «контроль состояний» (stateful in-
spection) применяется не только для фильтрации, но и для
контроля полосы пропускания, а это означает, что даже при
огромных правилах фильтров и различных ограничений ско-
рости ваш сервер не будет иметь проблем с загрузкой про-
цессора.
Роутинг (маршрутизация)
Тут все просто и мощно. Управлять пакетом нам позволяют
те же правила фильтрации, однако с добавлением одной
из нижеперечисленных опций. Помните – когда создается
«состояние» (state), все пакеты для данного правила филь-
трации и роутинга попадают под него.
! fastroute – обычный режим, система обрабатывает па-
кет обычным образом.
! route-to – система направляет пакет на нужный интер-
фейс с возможностью указания IP для «следующего
хоста». Надо помнить, что помимо route-to нужно создать
правила, позволяющие направлять пакет с одного ин-
терфейса на другой в правилах фильтрации, иначе все
ваши пакеты будут зарезаны фильтром.
! reply-to – на сей раз система отвечает пакетом с ука-
занным IP-адресом и интерфейсом.
! dup-to – создает дубликат пакета и отправляет его с по-
мощью route-to. Настоящий пакет обрабатывается обыч-
ным способом. Dup-to полезно использовать для обна-
ружения конфликтов в сети, когда рабочий сервер тро-
гать нельзя, а трафик, проходящий через него, нужно
анализировать.
Комбинируя правила фильтрации и опции роутинга,
можно добиться очень сложных схем маршрутизации, но
для таких целей придумали Cisco routers. А это уже совсем
другая история.

Повышение привилегий
в Symantec Windows LiveUpdate
Программа: Norton AntiVirus 2001, Norton AntiVirus 2002,
Norton Internet Security 2001, Norton Internet Security 2002,
Norton Internet Security 2003, Norton Internet Security 2003
Professional, Norton Internet Security 2004, Norton Internet
Security 2004 Professional, Norton SystemWorks 2001, Norton
SystemWorks 2002, Norton SystemWorks 2003, Norton
SystemWorks 2004, Symantec AntiVirus for Handhelds 3.x,
Symantec Norton AntiVirus 2003, Symantec Norton AntiVirus
2004, Symantec Windows LiveUpdate 1.x, Symantec Windows
LiveUpdate 2.x.
Опасность: Средняя.
Описание: Обнаружена уязвимость в Symantec Windows
LiveUpdate. Локальный атакующий может повысить свои
привилегии на системе.
Уязвимость существует из-за того, что Symantec Automatic
LiveUpdate позволяет управлять некоторыми интернет-оп-
циями с системными привилегиями. Локальный атакующий
может использовать эту уязвимость во время сессии
LiveUpdate посредством графического интерфейса при за-
пущенной задаче «NetDetect».
URL производителя: www.symantec.com.
Решение: Установите обновления с сайта производителя.
Переполнение буфера в WINS
Программа: Microsoft Windows 2000 Advanced Server,
Microsoft Windows 2000 Datacenter Server, Microsoft Windows
2000 Server, Microsoft Windows NT 4.0 Server, Microsoft
Windows NT 4.0 Server, Terminal Server Edition, Microsoft
Windows Server 2003 Datacenter Edition, Microsoft Windows
Server 2003 Enterprise Edition, Microsoft Windows Server 2003
Standard Edition, Microsoft Windows Server 2003 Web Edition.
Опасность: Высокая.
Описание: Обнаружено переполнение буфера в службе
WINS. Удаленный атакующий может выполнить произволь-
ный код на уязвимой системе.
Уязвимость существует из-за некорректной проверки дли-
ны буфера при обработке параметра Name в определенных
пакетах. Удаленный атакующий может с помощью специ-
ально сформированного пакета вызвать переполнение бу-
фера и выполнить произвольный код на уязвимой системе.
URL производителя: www.microsoft.com.
Решение: Установите обновления с сайта производителя.
Выполнение произвольного кода
в Cyrus IMAP Server
Программа: Cyrus IMAP Server 2.2.9 и более ранние версии.
Опасность: Средняя.
Описание: Обнаружена уязвимость в Cyrus IMAP Server.
Удаленный атакующий может выполнить произвольный код
на уязвимой системе. Уязвимость обнаружена в функции
mysasl_canon_user(). Удаленный атакующий может вызвать
переполнение буфера и выполнит произвольный код на
системе с привилегиями IMAP-процесса.
URL производителя: asg.web.cmu.edu/cyrus.
Решение: Установите обновление: ftp://ftp.andrew.cmu.edu/
pub/cyrus-mail.
№12(25), декабрь 2004
bugtraq
Переполнение буфера
в Microsoft Windows NT DHCP
Программа: Microsoft Windows NT.
Опасность: Средняя.
Описание: Обнаружено несколько уязвимостей в DHCP-
службе в Microsoft Windows NT. Удаленный атакующий мо-
жет вызвать отказ в обслуживании и скомпрометировать
уязвимую систему.
1. Уязвимость существует из-за некорректной проверки
длины буфера при логировании некоторых значений оп-
ределенных пакетов. Удаленный атакующий может спе-
циальным образом сформировать DHCP-пакет и выз-
вать отказ в обслуживании.
2. Уязвимость существует из-за некорректной проверки бу-
фера при обработке DHCP-сообщений. Удаленный ата-
кующий может послать специально сформированное
DHCP-сообщение, вызвать переполнение буфера и вы-
полнить произвольный код на уязвимой системе.
URL производителя: www.microsoft.com.
Решение: Установите обновления:
1. Microsoft Windows NT Server 4.0 (requires Service Pack
6a): http://www.microsoft.com/downloa...F82D-F2A2-49AA-
BF33-897498898EAD.
2. Microsoft Windows NT Server 4.0 Terminal Server Edition
(requires Service Pack 6): http://www.microsoft.com/
downloa...259F-3004-462C-B2A8-37F65EB78A2D.
Выполнение произвольных FTP-команд
в Microsoft Internet Explorer
Программа: Microsoft Internet Explorer 6.
Опасность: Низкая.
Описание: Обнаружена уязвимость в Microsoft Internet
Explorer при обработке FTP-ссылок. Удаленный атакующий
может выполнить произвольную FTP-команду на уязвимой
системе.
Удаленный атакующий может создать специально сфор-
мированный FTP URL, который выполнит произвольную
FTP-команду на определенном FTP-сервере. Команда
вставляется в URL и разделяется символами «%0a». При-
мер:
ftp://ftpuser:ftppass@server/directory%0asomecommand%0a
URL производителя: www.microsoft.com.
Решение: Решения не существует на данный момент.
Повышение привилегий в ядре Linux
Программа: Linux kernel версии до 2.4.23.
Опасность: Низкая.
Описание: Уязвимость обнаружена в ядре Linux на плат-
формах AMD64 и Intel EM64T. Локальный атакующий мо-
жет повысить свои привилегии на системе.
Уязвимость существует при установке TSS-лимитов. Ло-
кальный атакующий может вызвать отказ в обслуживании
или выполнить произвольный код на уязвимой системе.
URL производителя: www.kernel.org.
Решение: Установите обновление от производителя.
Составил Александр Антипов
33
 администрирование
НАСТОЯЩИЙ UNIX
В НАШИ ДНИ
В этой статье я рассмотрю один из вариантов запуска на-
стоящего UNIX на современных компьютерах.
Я думаю, любой юниксоид хотя бы один раз читал исто-
рию возникновения UNIX, как он развивался и какие мета-
морфозы пережил, чтобы дойти до нас в виде множества
своих «детей». Глядя на генеалогическое древо UNIX, диву
даешься, какое большое количество ответвлений и версий
системы было выпущено в прошлом. Некоторые уже давно
умерли, иные просто в спячке, но большинство из них вы-
росли и дожили до наших дней. Ну как тут не загореться
желанием посмотреть на тот самый настоящий, легендар-
ный AT&T UNIX, с которого все и началось? Конечно, в наши
дни достаточно затруднительно найти PDP11 и родной ди-
стрибутив. Так что единственной возможностью погрузиться
во времена использования настоящего UNIX на PDP11 нам
помогут эмуляторы. Точнее, один из них – simh (Simulator
History). Начало данному проекту было положено в 1993
году. Главный разработчик проекта – Robert M Supnik. В
настоящее время simh можно запустить почти на всех со-
временных ОС, а именно:
! OpenVMS/VAX ! Tru64
! OpenVMS/Alpha ! Solaris
! Windows 9x/2k/XP ! HP-UX
! MacOS X ! *BSD
! Linux ! OS/2
Классический pdp 11/45 был выпущен в 1970 году. Из
pdp-серии это был единственный 16-битный компьютер.
Хотя были и 24- и 18-битные машины. При рекордно низкой
цене (~ 10800$) pdp 11 получил широчайшее распростра-
нение. Всего было продано около 600000 (!) экземпляров.
Некоторые из них работают и по сей день.
Все свои эксперименты я проводил на P3-550 МГц/
320 Мб RAM под управлением FreeBSD 5.3.
Для начала нашего путешествия во времени нам нужен
дистрибутив, который можно взять с http://simh.trailing-
edge.com/sources/simhv33-0.zip.
Также понадобится дамп диска с установленным UNIX.
Его мы берем с http://simh.trailing-edge.com/kits/uv7swve.zip.
Распакуем и установим программу:
# mkdir unixemul
# cd unixemul
# unzip ../simhv33-0.zip
# unzip ../uv7swve.zip
# mkdir BIN
# gmake
Симулятор помещает все свои исполняемые файлы в
каталог BIN. Но так как по умолчанию он не существует,
создаем его:
# mkdir BIN
# gmake
34
АЛЕКСАНДР БАЙРАК
Если процесс компиляции прошел гладко, приступаем
непосредственно к запуску:
# BIN/pdp11
На экране появится приглашение программы.
// Óêàçûâàåì, êàêîé òèï ïðîöåññîðà ìû áóäåì ýìóëèðîâàòü:
sim> set cpu 18
// u18 ñîîòâåòñòâóåò ïðîöåññîðó, óñòàíîâëåííîìó
// íà êëàññè÷åñêîé pdp 11/45.
// Óêàçûâàåì, ÷òî áóäåì èñïîëüçîâàòü êîíñîëüíûé òåðìèíàë
// DL11. Âûâîä èíôîðìàöèè áóäåò ïðîèçâîäèòüñÿ â ðåæèìå
// 7 áèò íà ñèìâîë.
sim> set tto 7b
// Óêàçûâàåì, ÷òî ââîä áóäåò òàêæå èñêëþ÷èòåëüíî 7-áèòíûé.
sim> set tti 7b
// Ïðèñîåäèíÿåì äàìï äèñêà ñ UNIX ê rl.  êà÷åñòâå rl
// âûñòóïàåò êîíòðîëëåð äèñêà RLV12/RL01.
sim> attach rl unix_v7_rl.dsk
// Óêàçûâàåì, îòêóäà ïðîèçâîäèòü çàãðóçêó:
sim> boot rl
Начинается загрузка:
@boot
New Boot, known devices are hp ht rk rl rp tm vt
Указываем, что именно запускать:
: rl(0,0)rl2unix
Более подробно обо всех опциях, использованных выше,
можно прочитать в документации, поставляемой вместе с
программой.
Далее нам показывают объем доступной памяти, он
равен целым 177 856 байтам! После чего мы попадаем в
shell. В принципе можно начинать работу с настоящим UNIX
7-ой версии. По умолчанию мы попадаем в систему с пра-
вами root. В документации к эмулятору в качестве примера
работы были приведены следующие действия:
// Ñîçäàäèì êàòàëîã dmr
# mkdir /usr/dmr
// Ñäåëàåì âëàäåëüöåì êàòàëîãà dmr ïîëüçîâàòåëÿ dmr
# chown dmr /usr/dmr
// Èçìåíèì ãðóïïó âëàäåíèÿ êàòàëîãà íà òðåòüþ
# chgrp 3 /usr/dmr
// Ñîçäàäèì êàòàëîã äëÿ âðåìåííûõ ôàéëîâ
# mkdir /tmp
// Ïîñòàâèì äëÿ íåãî ïîëíûé äîñòóï äëÿ âñåõ
# chmod 777 /tmp
// Íàæèìàåì <Ctrl+D>
# ^D
После чего на экране появляется приглашение к вводу
логина.
Restricted rights: Use, duplication, or disclosure is subject to restrictions
stated in your contract with Western Electric Company, Inc.
Thu Sep 22 05:51:05 EDT 1988
Идем дальше.

// Ââîäèì ëîãèí dmr:
login: dmr
// Ñ ïîìîùüþ ðåäàêòîðà ed íà÷èíàåì ðåäàêòèðîâàòü ôàéë hello.c:
$ ed hello.c
?hello.c
a ОС. В нашем случае это boot rl. После вывода которой мы
main()
{
printf(«Hello World!\n»);
} Waiting for console Telnet connection.
.
w После чего мы можем получить доступ к эмулятору че-
40
q
// Ñêîìïèëèðóåì íàïèñàííûé íàìè ôàéë:
$ cc hello.c
// Çàïóñòèì:
$ a.out
Видим результат:
Hello World!
Кстати, вы еще не догадались, кому принадлежит имя
пользователя dmr? Человеку – живой легенде современ-
ности – Деннису Ритчи, отцу и основоположнику Юникса!
Согласитесь, что очень неудобно при каждом запуске
ОС каждый раз вводить все команды инициализации. Тут
нам на помощь приходят команды save и restore. Для «со-
хранения» ввода команд, необходимых для запуска ОС, нам
нужно набрать команду:
sim> save filename
В качестве filename введите имя файла, в который вы
хотите сохранить текущий образ эмулятора.
Для «восстановления» состояния набираем:
sim> restore filename
После чего будут актуальны ранее введенные и сохра-
ненные настройки.
Также следует отметить одну очень досадную недора-
ботку по части удобства использования. В оболочке эмуля-
тора нет возможности редактировать вводимые команды.
Про возможность автодополнения команд я вообще
молчу. Хотя должен заметить, можно использовать зара-
нее определенные алиасы. Например, для команды attach
синонимом будет команда at. Более подробно про алиасы
можно прочитать в документации.
Simh поддерживает работу через сеть. Например, у вас
нет возможности работать с ОС, запущенной через эмуля-
тор, находясь непосредственно перед монитором компью-
тера, на котором включен simh. Или вы хотите дать воз-
можность своим знакомым или друзьям поэксперименти-
ровать на запущенной через эмулятор ОС.
Воспользуемся опцией, определяющей консоль:
sim> set console telnet=12345
Назначаем доступ к консоли через порт 12345.
На что эмулятор ответит:
Listening on port 12345.
Проверить, действительно ли нас ожидает соединение
№12(25), декабрь 2004
администрирование
на указанном порту, мы можем с помощью команд netstat -
na или sockstat -4.
Работать по сети мы сможем после ввода на локальной
машине параметров, указывающих, откуда нам запускать
видим на экране:
рез telnet. Пример сессии:
[01mer@darkthrone]:~> telnet marduk 12345
Trying 192.168.1.22
Connected to marduk
Escape charset is ‘^]’
Connected to PDP11 simulator
@
Я не буду описывать здесь все свои эксперименты ко-
торые проводил в UNIX, чтобы не лишать читателя удоволь-
ствия самому заняться исследованием этой ОС. А море
различных открытий и удивительных находок я вам обещаю.
Для корректного завершения работы с UNIX надо два
раза произвести синхронизацию диска с помощью коман-
ды sync. После чего нажать <Ctrl+E>, и вы снова попадете
в оболочку эмулятора. Выход из которой осуществляется с
помощью команд exit, quit, bye, на выбор.
В конце хотел бы добавить, что рассмотренный эмуля-
тор кроме PDP11 поддерживает еще достаточно большое
количество различных компьютеров:
! Data General Nova, Eclipse
! Digital Equipment Corporation PDP-1, PDP-4, PDP-7, PDP-8,
PDP-9, PDP-10, PDP-11, PDP-15, VAX
! GRI Corporation GRI-909
! IBM 1401, 1620, 1130, System 3
! Interdata (Perkin-Elmer) 16b and 32b systems
! Hewlett-Packard 2116, 2100, 21MX
! Honeywell H316/H516
! MITS Altair 8800, with both 8080 and Z80
! Royal-Mcbee LGP-30, LGP-21
! Scientific Data Systems SDS 940
Соответственно, если мы найдем ОС для данных компь-
ютеров и приложим немного смекалки и настойчивости, по-
лучим в собственное распоряжение целый полигон для изу-
чения истории компьютеров и ОС. Особый интерес (по край-
ней мере для меня) представляет эмуляция VAX. Особенно
при учете того, что на VAX можно запустить OpenBSD,
NetBSD, и другие менее известные в настоящее время ОС.
Но этому вопросу я намерен посвятить отдельную статью.
Я был бы очень рад всем вашим отзывам c описанием
экспериментов, поставленных с помощью этого эмулятора.
Ссылки:
1. http://simh.trailing-edge.com/software.html – небольшая
коллекция программ и ОС, подходящих для использо-
вания под эмулятором simh.
2. http://simh.trailing-edge.com/photos.html – фотогалерея
различных старых компьютеров.
3. http://www.cs.bell-labs.com/who/dmr – домашняя странич-
ка Денниса Ритчи.
35
 администрирование
АВТОМАТИЗИРУЕМ FTP С ПОМОЩЬЮ PYTHON
Любой системный администратор, если он в меру ленив,
рано или поздно берется за автоматизацию своей работы.
Сначала вместо длинных команд со множеством ключей по-
являются псевдонимы (aliases), потом группы команд объе-
диняются в пакетные файлы командной оболочки, затем
на арену выходят сценарии на более функциональных язы-
ках типа Perl… И все для того, чтобы сократить количество
«кликов» и по возможности переложить часть работы на
пользователей, которые эти операции и должны бы делать
«по идее», но «по факту» научить их находить нужный файл
в дереве каталогов, упаковывать его и отправлять по на-
значению оказывается на порядок сложнее, чем делать это
самому.
Об использовании Python для выполнения тех или иных
операций на UNIX-серверах написано достаточно много. В
данной же статье я хочу показать применение этого языка
для решения «бытовых» задач в среде Windows. В качестве
примера (которым возможности Python никоим образом не
ограничиваются) разработаем приложение, автоматизирую-
щее отправку данных и получение обновлений по FTP, ис-
пользуя заранее настроенные пути и имена файлов.
Попытаемся сделать наше приложение максимально
универсальным, однако будем иметь в виду конкретную
цель – нужно организовать обмен данными с удаленной кас-
сой (ежедневно сбрасывать на сервер файлы реестров и
время от времени получать с сервера обновленную базу
36
СЕРГЕЙ СУПРУНОВ
абонентов). Все задачи условно разделим на пользователь-
ские (например, инициирование отправки) и администра-
торские (например, первичная настройка). Первые из них
требуется разработать максимально удобно, предоставив
простейший интерфейс и лишив пользователя возможнос-
ти ошибаться. Задачи второй категории по традиции ре-
шим достаточно упрощенно – главное, чтобы все работало
при минимуме телодвижений.
Первым делом скачаем с http://python.org дистрибутив
Python для Windows. Его инсталляция никаких вопросов
вызвать не должна. На момент написания статьи у меня
была установлена версия Python 2.3.4. Входящая в состав
пакета среда разработки IDLE (рис. 1) предоставляет неко-
торые удобства, но для меня как-то уже устоялся стиль раз-
работки, когда код вбивается в обычный текстовый файл,
и затем исполняется командой типа:
C:\myworks\python\test>python test.py
Можно, конечно, в командной строке набрать просто
test.py – в процессе инсталляции в Windows расширение
«.py» ассоциируется с интерпретатором python.exe, и по-
добная команда тоже выполнит код. Однако на стадии от-
ладки это не совсем удобно – для потоков stdout и stderr в
этом случае создается новое консольное окно, которое зак-
рывается сразу же после завершения (в том числе и ава-

рийного) работы сценария, не позволяя ознакомиться с со-
общениями об ошибке.
Ðèñóíîê 1
Знакомство с Python
Подробно останавливаться на основах языка я не буду. Дан-
ный раздел имеет целью коротко пояснить, что и как, для
тех, кто ранее с Python не сталкивался, но статью прочи-
тать непременно хочет. И сразу, как говорится, – с места в
карьер:
(0) # -*- coding: cp866 -*-
(1) #----------------------------- first.py
(2) import os
(3) def hello(message):
(4) print message
(5) print 'Âû íàõîäèòåñü â %s.' % os.getcwd()
(6)
(7) if __name__ == '__main__':
(8) hello('Hello from Python.')
(9) raw_input('Íàæìèòå Enter...')
(a) else: pass
(b) #----------------------------end of first.py
Результат работы этого сценария будет следующим:
C:\myworks\python\test>python test.py
Hello from Python.
Вы находитесь в C:\myworks\python\test.
Нажмите Enter...
(0) – первая строка указывает интерпретатору, в какой
кодировке следует рассматривать приведенный ниже текст.
Для ASCII-текста она не требуется, но поскольку мы исполь-
зуем кириллицу, то без нее интерпретатор будет каждый
раз выдавать предупреждение «DeprecationWarining: Non-
ASCII character…».
(1, b) – комментарии, как и принято в UNIX, предваря-
ются символом «#». Для многострочных комментариев ча-
сто используют обрамление текста с помощью утроенных
кавычек: «’’’ multiline comment ’’’». Этот же прием можно ис-
пользовать для временного исключения участков кода на
стадии отладки.
(2) – третья строка импортирует модуль, в данном слу-
чае «os», который является стандартным для Python и со-
держит функции для работы с конкретной операционной
системой. В нашем примере из этого модуля мы использу-
ем функцию getcwd(), возвращающую текущий каталог.
(3) – с этой строки начинается определение функции
«hello». В скобках указывается список параметров, причем
даже если параметров нет, скобки обязательно должны
администрирование
ступом. Отступ может быть выполнен любым количеством
символов «пробел», но все операторы блока должны иметь
одинаковый отступ. Первая же строка, выполненная без
отступа, рассматривается как окончание блока операторов.
Здесь хочется сделать отступление и немного пофило-
софствовать о стиле программирования. Тот же Perl позво-
ляет кодировать как угодно – хоть в одну строку. С одной
стороны, каждый программист со временем вырабатывает
тот стиль, который ему более удобен. При переходе на Perl
с других языков можно перенести и устоявшийся стиль на-
писания кода. Но с другой стороны тут есть и вероятность,
что кто-то другой будет очень долго воспроизводить «не-
ASCII»-звуки, пытаясь разобраться в исходниках програм-
мы, написанной как-нибудь экзотически. Язык Python в этом
смысле более требователен к разработчику, унифицируя
тем самым стиль кодирования и упрощая работу тем, кому
придется работать с этим кодом в будущем. Однако про-
должим…
(4, 5) – оператор «print» выводит на экран значение стро-
ковой переменной или непосредственно строку, заключен-
ную в кавычки или апострофы. Вставка в строку перемен-
ных выполняется в стиле оператора printf языка Си, за тем
исключением, что список интегрируемых переменных за-
дается после символа «%» как кортеж (то есть через запя-
тую и в круглых скобках). Если переменная одна, как в на-
шем случае, скобки можно опустить.
(6) – пустые строки, естественно, допускаются.
(7, a) – оператор ветвления пояснять, думаю, не нужно.
Как и обычно, задаются условие и блок операторов (выде-
ляется отступом), которые будут выполнены, если условие
истинно. В противном случае, если задан далее оператор
«else», будет выполнен его блок операторов. Если команда
в блоке одна, допускается указывать ее непосредственно
после двоеточия в этой же строке (хотя это и противоречит
официальному стилю программирования). Оператор «pass»
ничего не делает, и строго говоря, строка «a» в нашем слу-
чае совершенно не нужна.
Чуть подробнее следует остановиться на самом усло-
вии, указанном в строке (7): __name__ == ‘__main__’. Встро-
енная переменная __name__ возвращает имя программы,
если вызывается как модуль из другого сценария (об этом
– чуть ниже) либо строку «__main__», если файл запуска-
ется непосредственно. То есть код строк «8-9» будет вы-
полнен только тогда, когда файл first.py запускается из ко-
мандной строки. Зачем это сделано, будет объяснено да-
лее.
(8) – здесь мы просто вызываем описанную ранее фун-
кцию «hello», передав ей текстовую строку в качестве аргу-
мента.
(9) – функция raw_input считывает со стандартного по-
тока ввода stdin строку, завершающуюся символом пере-
вода строки. В данном случае этот оператор используется
исключительно для задержки вывода, чтобы консольное
окно не закрывалось сразу.
Теперь рассмотрим еще одну конце