№2(27) февраль 2005

подписной индекс 81655

www.samag.ru

Системная интеграция – общие концепции

Автоматическая установка
операционной системы
и программного обеспечения
SOCKS – универсальный прокси-сервер
Строим виртуальную сеть с TINC
Создание релиза FreeBSD
IP-роуминг: вводный курс
Почтовый сервер на базе Postfix
Режем спам. Дополнительные методы
Техника оптимизации под Linux
№2(27) февраль 2005

Считаем трафик на FreeBSD:

ng_ipacct + Perl+ MySQL
 оглавление

ТЕНДЕНЦИИ 2 FreeBSD tips: NAT по старинке

Сергей Супрунов
СОБЫТИЯ 3 amsand@rambler.ru 44
Всегда на связи,
РЕПОРТАЖ 4 или IP-роуминг: вводный курс
Сергей Яремчук
АДМИНИСТРИРОВАНИЕ grinder@ua.fm 46
Сага о биллинге,
Системная интеграция – или Считаем трафик на FreeBSD
комплексный подход (ng_ipacct + perl+ MySQL)
к самостоятельному Часть 1
решению проблемы
Владимир Чижиков
Роман Марков skif@owe.com.ua 50
stepan-razin@newmail.ru 6
Автоматическая установка ОС
Кто купил Corel Linux? и сопутствующего программного
Обзор возможностей настольного дистрибутива Xandros. обеспечения
Валентин Синицын Иван Коробко
val@linuxcenter.ru 12 ikorobko@prosv.ru 60
Создание релиза FreeBSD ПРОГРАММИРОВАНИЕ
Андрей Елсуков
bu7cher@yandex.ru 16 Техника оптимизации под Linux
Конструктивный Dialog Крис Касперски
kk@sendmail.ru 68
Сергей Супрунов
amsand@rambler.ru 20 Zend Studio 4.0 – новая версия,
новые возможности
Почтовый сервер на базе Postfix
Защита от вирусов и нежелательной почты минимальными Евгений Воякин
средствами. evgy@mail.ru 75
Геннадий Дмитриев HARDWARE
stranger03@mail.ru 26
Режем спам. Дополнительные методы Запись дисков CD-R/RW в Linux
Часть 4
Денис Назаров
pheonix@sysattack.com 30 Владимир Мешков
ubob@mail.ru 80
Универсальный прокси-сервер
ОБРАЗОВАНИЕ
Валентин Синицын
val@linuxcenter.ru 34
Unformat для NTFS
Строим виртуальную сеть с TINC
Крис Касперски
Сергей Яремчук kk@sendmail.ru 88
grinder@ua.fm 39
BUGTRAQ 11, 15

№2, февраль 2005 1

 тенденции
Пополнение серверной линейки HP
Пресс-конференция компании HP, посвященная представ-
лению новых серверных продуктов HP ProLiant на базе про-
цессоров AMD Opteron, прошла 21 февраля в Москве в оте-
ле «Балчуг».
Специалистами компании была анонсирована обновлен-
ная линейка процессоров AMD Opteron x52, презентованы
новые модели 2-х и 4-х процессорных серверов HP ProLiant
DL385 и DL585 на процессорах AMD, и также новые сер-
верные модули на базе процессоров AMD в форм-факторе
блейд-серверов BL25p и BL35p.
Новые процессоры AMD Opteron, изготовленные по про-
цессу 90 нм, модели 152, 252 и 852, были представлены Сер-
геем Мелеховым, ведущим инженером по внедрению про-
дукции AMD. Набор привычных технологических новшеств
в стиле «дальше, выше и быстрее», которые характеризуют
продукцию AMD, возглавляют технологии Direct Connect,
HiperTransport и AMD PowerNow!. Старшие модели этого ряда
специально ориентированы на использование в многопро-
цессорных системах. Наиболее интересными представля-
ются результаты применения AMD PowerNow!, которые по-
зволяют процессорам AMD существенно превосходить кон-
курентные аналоги по энергосбережению.
Но, бесспорно, самое важное свойство новых изделий –
это так называемая совместимость с двуядерными процес-
сорами (Dual-Core), выпуск которых намечен на середину
2005 года. Использование этих процессоров в новых сер-
верах HP ряда DL и BL, о которых рассказали менеджеры
соответствующих направлений компании HP Игорь Слеп-
цов и Сергей Члек, делает эти модели очень привлекатель-
ными, поскольку позволит без аппаратных переделок про-
извести апгрейд на двуядерные процессоры AMD Opteron
и практически удвоить тем самым вычислительные мощ-
ности.
Новые серверы HP ProLiant DL385 и DL585, соответствен-
но 2U/2P и 4U/4P (для новичков: размер по вертикали/число
процессоров) являются очередными отлично выполненными
изделиями компьютерного hi-end и вполне могут повторить
успех предыдущей серверной пары на процессорах Intel
(DL380 в настоящее время лидер продаж). Производителем
гарантируется полная совместимость с широким рядом опе-
рационных систем и прикладных программ.
Серверы BL25p и BL35p, оба двухпроцессорные, выпол-
нены в форм-факторе «блейд». Серверы такого типа сей-
час фавориты внимания. Стратегия их внедрения, так на-
зываемые «экосистемы», очень спорна. Но именно в этом
классе серверов, в силу высокой интеграции, максимально
выгодно могут быть использованы свойства процессоров
AMD Opteron, пониженное тепловыделение и в недалеком
будущем двуядерные процессоры. И уже сейчас эти блейд-
серверы вместе с моделями DL показывают максимальную
производительность в своем классе.
Хотя, что тут удивительного! Если в Cray на основе AMD
Opteron создают суперкомпьютеры, то применение этих про-
цессоров в серверах стандартной архитектуры вместе с вы-
сокими технологиями HP позволяет добиваться замечатель-
ных результатов.
Алексей Барабанов
2
Сага о патентах на ПО в Европе
Продолжается затянувшаяся история с принятием законо-
проекта о патентах на программное обеспечение в Европе.
На OSDL Linux Summit в очередной раз эту проблему под-
нимают видные деятели Open Source (среди них Торвальдс,
Белендорф и Капор), открыто критикуя инициативу ЕС. И
уже 2 февраля выясняется, что директива CIID (о компью-
терных разработках) будет переписана – таковы итоги за-
седания юридического комитета Европарламента (JURI).
Несмотря на этот успех, Мартин Финк, Linux-специалист из
Hewlett-Packard, предостерегает всех противников патен-
тов на ПО, советуя им смириться с тем, что данного шага
все равно не избежать, и к этому надо привыкать. В сере-
дине месяца при поддержке FFII в Брюсселе проходит ак-
ция протеста против принятия закона о патентах на ПО, в
которой принимает участие около 300 представителей раз-
личных европейских стран. Позже Хартмут Пилч, возглав-
ляющий FFII, высказывает сомнение в том, что Европейс-
кая комиссия воспользуется возможностью подготовить ка-
чественную замену отвергнутому законопроекту.
Новости «огненного лиса»
Разработчик Firefox Бен Гуджер сообщает о планах по бу-
дущим релизам браузера. Firefox 1.1 Alpha появится в мар-
те, Beta – через месяц, а выпуск финальной версии 1.1, из-
начально ожидавшийся к началу весны, перенесен на июнь.
Ориентировочным временем выхода Firefox 2 остается де-
кабрь 2005 года. Поисковая система Yahoo решила после-
довать примеру Amazon.com и выпустила свою панель для
Firefox, с помощью которой пользователи могут искать в
сети, не заходя на сайт. Компания Ask Jeeves проявила за-
интересованность в возможном создании собственного бра-
узера на базе Mozilla Firefox, а также выразила готовность
открыть свои технологии поиска из Ask Jeeves Desktop
Search. 16 февраля Mozilla Foundation публикует анонс о
том, что Firefox скачали уже более 25 миллионов раз, а 24
числа сообщается о выходе Firefox 1.0.1 с исправлениями
(в частности, в безопасности браузера).
Linux-активность Novell
Novell не перестает вести активную политику по отноше-
нию к Linux. В начале месяца компания анонсирует бета-
версию Novell Client для Linux, затем совместно с IBM объяв-
ляет о намерении продвигать свой корпоративный дистри-
бутив SLES на платформе Power, а позже представляет
решение на базе SUSE Linux для обеспечения сетевой бе-
зопасности – Security Manager. Но не останавливается и на
этом: Novell открывает 200 тысяч строк кода проекта NetMail,
на которых базируется новое серверное Open Source ПО
компании для работы с электронной почтой, календарями
и контактами, получившее название Hula. Linux-инициати-
вы Novell добрались и до азиатских регионов: на Тайване
открыто два центра для сертификации дистрибутива SUSE
Linux, а в Корее подписан договор с KT, по которому мест-
ный оператор сотовой связи будет заниматься продажами
SLES.
Составил Дмитрий Шурупов
по материалам www.nixp.ru

Форум по открытому коду в России
27-29 апреля 2005 г.
В конце апреля впервые состоится Open Source Forum
Russia – крупнейшее на сегодняшний день мероприятие,
целиком посвященное технологиям разработки программ-
ного обеспечения с открытым исходным кодом.
Форум, включающий в себя конференцию и выставку,
пройдет 27-29 апреля 2005 года в Москве, в гостинице «Рэ-
диссон САС Славянская». Организаторы – ассоциация РУС-
СОФТ, агентство Форт-Росс и компания Линукс Инк.
Чем особенно интересно данное мероприятие?
! Многие широко известные в мире гуру открытого кода
и главы компаний, занимающихся открытым кодом, уже
подтвердили свои выступления в программе. Это Jon
maddog (Linux International), Richard Seibt (Novell), David
Axmark (MySQL), Larry Wall (Perl), Alex Pinchev (RedHat)
и другие.
! Во время форума будет постоянно работать выставка,
два раздела которой будут посвящены демонстрации
наиболее интересных решений (в разделе Linux City –
как различные предприятия и организации полностью
функционируют на Linux, и в разделе OpenSourceLive –
лучшие приложения и решения на открытом коде, ото-
бранные к демонстрации на конкурсной основе).
! Форум поддержан Министерством ИТ и связи и Мини-
стерством экономического развития и торговли. Вопро-
сам использования открытого кода в государственных
структурах будет посвящен один из дней конференции.
Программный комитет включает представителей все-
мирно известных вендоров, лидеров разработки программ-
ного обеспечения, представителей ведущих отраслевых
министерств и крупнейших ИТ-ассоциаций как РУССОФТ
и ITAA. Форум по открытому коду в России получил под-
держку Всемирного Альянса ИТ-ассоциаций (WITSA).
Программный комитет отбирает темы и выступления для
широкого обсуждения и профессиональных дискуссий:
! управление проектами при разработке ПО с открытым
кодом;
! безопасность программных продуктов и технологий на
базе ПО с открытым кодом;
! обучение персонала ведению разработок в среде ПО с
открытым кодом;
! особенности разработки и оказания коммерческих ус-
луг по разработке ПО с открытым кодом;
! сравнение характеристик ПО с открытым кодом и зак-
рытого ПО.
Подробную информацию об участии в выставке и кон-
ференции вы можете найти на сайте по адресу: http://
www.opensource-forum.ru. Ждем вашей регистрации на сай-
те или по электронной почте: info@fort-ross.ru.
Конкурс
Стартовал первый конкурс разработчиков открытого про-
граммного обеспечения, проводимый проектом OpenNet.ru
совместно с ассоциацией РУССОФТ, компанией LinuxCenter
и журналом «Системный администратор». Трех победителей
ждет бесплатное участие в специализированном форуме
№2, февраль 2005
события
«Open Source Forum Russia» и возможность внеконкурсного
показа своих разработок в демозоне OpenSourceLive.
Заявки на участие в конкурсе принимаются до 15 марта
2005 года по адресу http://www.opennet.ru/konkurs. С 15 мар-
та по 10 апреля будет проходить голосование, а уже 11 ап-
реля будут подведены итоги и опубликованы результаты ра-
боты.
В качестве претендентов могут выступать специалис-
ты, участвующие в разработке программ, распространяе-
мых с открытыми исходными текстами; авторы статей и пе-
реводов документации; энтузиасты, поддерживающие па-
кеты программ; эксперты, предоставляющие консультации
в веб-форумах, новостных конференциях и почтовых рас-
сылках.
Кроме бесплатного участия в московском форуме, по-
бедители конкурса ОpenNet.ru получат комплект призов от
компании LinuxCenter. От редакции журнала «Системный
администратор» обладатели призовых мест получат в по-
дарок бесплатную подписку на издание на 2005 год. Для
одного из участников, не вошедшего в тройку лидеров, на
основании решения администрации OpenNet.ru будет пре-
доставлен сертификат на покупку книг на сумму 3000 руб.
Планируется, что проводимое в рамках OpenNet.ru ме-
роприятие получит продолжение в серии конкурсов, направ-
ленных на поддержание и стимулирование русскоязычных
разработчиков открытых программ.
Международная специализированная
выставка-конференция
Infosecurity Russia
7-9 сентября 2005 г.
Выставочное объединение «Рестэк» совместно с компани-
ей Reed Exhibitions объявляют о проведении международной
специализированной выставки-конференции Infosecurity
Russia.
Выставка пройдет 7-9 сентября 2005 года на одной пло-
щадке с LinuxWorld Russia и StorageExpo в выставочном ком-
плексе «Гостиный двор» (Москва, ул. Ильинка, д. 4).
В рамках выставки Infosecurity 2005 предусмотрена на-
сыщенная деловая программа, которая включает в себя кон-
ференцию, «круглые столы», семинары и презентации для
специалистов отрасли.
На выставке Infosecurity 2005 будут представлены про-
дукты и решения мировых лидеров отрасли информаци-
онной безопасности, таких как Cisco Systems, CPS, Hewlett-
Packard, McAfee (Associates), Nortel, PatchLink Corporation,
RedHat, SafeBoot, Sun Microsystems, Symantec, Veritas, а
также ведущих российских фирм, таких как АМТ Груп, Ди-
алогНаука, Информзащита, Инфосистемы Джет, Корпо-
рация ЮНИ, Компьюлинк, Лаборатория Касперского, ЛА-
НИТ, ЛанКрипто, МОО «АЗИ», Элвис Плюс, Aladdin, Digital
Security, InfoWatch, Positive Technologies, Protection
Technologies, Rainbow Technologies, SecurIT и других.
Посетить экспозицию выставки Infosecurity 2005, а также
послушать любой из докладов экспертов абсолютно бесплат-
но может каждый специалист по информационной безопас-
ности, предварительно зарегистрировавшийся на официаль-
ном веб-сайте выставки www.infosecuritymoscow.com с мар-
та 2005 года. Следите за обновлениями на сайте!
3
 репортаж
Школа-cеминар
«Информационные технологии в образовании: Технологии Linux»
C 26 по 28 января на базе Московского Государственного использовать среду KDE, создавать текстовые документы,
Педагогического Университета (МПГУ) прошла школа-се- электронные таблицы, презентации и даже векторные ди-
минар «Информационные технологии в образовании: Тех- аграммы в открытом офисном пакете OpenOffice.org и ре-
нологии Linux». Организаторами мероприятия выступили дактировать растровые изображения в The GIMP.
Всемирный Распределенный Университет – World Distributed
University (WDU) и Центр компетенции Linux корпорации IBM.
Журнал «Системный администратор» выступил информа-
ционным спонсором этого события.
В работе школы приняли участие более 100 преподава-
телей информатики, студентов старших курсов, аспиран-
тов и IT-специалистов, прибывших в МПГУ со всех уголков
России и даже бывших союзных республик: Азербайджана
и Украины.

По окончании работы школы слушатели, успешно усво-

ившие программу практических занятий и подтвердившие
свои знания в ходе квалификационного экзамена, получи-
ли профессиональный сертификат «Пользователь Linux»,
удостоверенный печатью WDU. Кроме этого, участники се-
минара получили самозагружаемые компакт-диски (LiveCD)
со специализированной версией дистрибутива Knoppix RE,
содержащие тезисы наиболее интересных докладов, и дру-
Рабочий день семинара традиционно делился на две ча- гие полезные материалы.
сти. В первой половине дня проходили пленарные заседа-
ния и «круглые столы», затрагивающие актуальные темы:
«Технологии Linux», «Специальность ИТО», «Защита ин-
формации и информационная безопасность». С доклада-
ми на этих секциях выступали специалисты-практики, а
также приглашенные эксперты из министерств РФ.

Семинар «Технологии Linux» – первое и пока что един-

ственное мероприятие подобного рода. Вспоминая извест-
ную пословицу «первый блин – комом», не будем чересчур
строго относиться к организационным моментам, но отме-
тим исключительную важность таких «педагогических»
встреч для широкого продвижения идей Linux и Open Source
в массы.

Живым интересом со стороны слушателей-педагогов

пользовались «истории успеха» – сообщения о примене-
нии Linux в образовательном процессе в высшей школе, а
также вопросы совместного использования Windows и Linux.
Вторая половина дня отводилась для практических за-
нятий. Вниманию участников школы были предложены две
программы, разработанные Мельниковым В.В. (Академия
наук Крыма) и Синицыным В.Е. (LinuxCenter.ru) и рассчи-
танные на разный уровень начальной подготовки. В ходе
этих занятий слушатели приобрели базовые навыки, необ- Валентин Синицын
ходимые для повседневной работы в Linux. Они научились Фото Павла Заклякова

4
 администрирование
СИСТЕМНАЯ ИНТЕГРАЦИЯ – КОМПЛЕКСНЫЙ
ПОДХОД К САМОСТОЯТЕЛЬНОМУ РЕШЕНИЮ
ПРОБЛЕМЫ
«Системная интеграция». К сожалению, не все IT-специа-
листы четко понимают смысл этого выражения. Сегодня мы
попробуем разъяснить значение этого популярного в обла-
сти информационных технологий термина, а также дадим
рекомендации по самостоятельному осуществлению этой
задачи силами собственного IT-отдела.
Проект системной интеграции в разрезе информацион-
но-технического обеспечения предприятия – это комплекс
действий, направленных на автоматизацию рабочих про-
цессов и увеличение эффективности труда сотрудников при
помощи вычислительной техники, а также на повышение
безопасности корпоративной сети.
6
РОМАН МАРКОВ
При этом понятие «интеграция» подразумевает реали-
зацию единых механизмов взаимодействия IT-ресурсов и
пользователей, комплексные меры безопасности на уровне
всей информационной структуры предприятия, создание ад-
министративной политики работы в сети, регламент функ-
ционирования отделов технической поддержки, системных
администраторов и руководителей IT-структур.
Помимо этого, важным условием для успешного внедре-
ния проекта является реализация всех этапов автоматиза-
ции одной организацией (структурным подразделением),
имеющей опыт создания и сдачи подобных проектов «под
ключ».

С чего начать?
Попробуем описать общие концепции такого проекта, а так-
же типичные ошибки и трудности, с которыми придется
столкнуться на различных этапах работы. Автор статьи яв-
ляется руководителем отдела системной интеграции IT-ком-
пании и принимает прямое участие в таких проектах. Опи-
санные ситуации основаны на реальных событиях, проис-
ходящих в процессе взаимодействия с участниками проек-
та. Как было сказано выше, «системная интеграция» – гло-
бальный процесс, поэтому участниками проекта в той или
иной мере являются все сотрудники фирмы. В связи с этим
и появляется необходимость в создании административных
правил для всех подразделений предприятия. Впрочем, обо
всем по порядку. Опишем порядок как административных,
так и технических мер.
Существуют два варианта развития проекта:
! Вы хотите построить на своем предприятии всю IT-струк-
туру «с нуля» и «под ключ».
! У вас уже есть функционирующая сетевая инфраструк-
тура, которую необходимо упорядочить.
Как правило, первый вариант всегда проще, хотя и в
этом случае обязательна разработка плана и концепций. В
противном случае в итоге вы получите вариант №2 и нача-
ло новой попытки системной интеграции. Рассмотрим пер-
вый вариант как основу построения корпоративных систем,
а затем на его базе проанализируем возможные пути мо-
дификации уже существующей инфраструктуры.
Кабельная система – все «с нуля»
Как «театр начинается с вешалки», так и любая IT-система
начинается с физических коммуникаций. Проще говоря, с
проводов (или беспроводных коммуникаций). Именно гра-
мотное проектирование с учетом дальнейшего роста ком-
пании, а также качественная разводка кабельных систем и
определяет дальнейшие возможности масштабирования су-
ществующей сети.
Старайтесь сразу строить предварительные расчеты и
планы таким образом, чтобы свести все коммуникации (ло-
кальная сеть и телефония) в единый центр коммутации. Как
правило, это коммутационный шкаф-стойка для установки
в нем патч-панелей и оборудования. Именно здесь рекомен-
дуется сконцентрировать все проводные коммуникации для
их дальнейшей коммутации и распределения. Кажущиеся из-
лишними трудозатраты по организации описанной схемы с
лихвой оправдаются дальнейшей экономией времени при ре-
организации фирмы (переезды отделов в другие помеще-
ния, добавление рабочих мест и т. п.). Статистика показыва-
ет, что в средних и крупных компаниях примерно 30% слу-
жащих раз в год меняют свое рабочее место в связи с опи-
санными выше событиями. И именно по этой причине все-
гда необходимо планировать кабельную сеть таким образом,
чтобы количество розеток было большим, чем нужно для
удовлетворения сегодняшнего спроса. При масштабирова-
нии сети такой избыток дает возможность пользователям и
гостям беспроблемно мигрировать внутри офиса.
Всегда необходимо помнить, что и в глобальных комму-
никациях (это могут быть как соединения между помеще-
ниями, так и между зданиями) рекомендуется предусмот-
№2, февраль 2005
администрирование
реть «лишнюю пару» – дополнительный провод (или не-
сколько – все зависит от задач), который не будет исполь-
зоваться сразу, однако при необходимости легко вводится
в общую схему коммутации. Это поможет в будущем избе-
жать проблем с потерей скорости при резком увеличении
количества рабочих мест в соседних зданиях/помещениях.
Телефонная сеть вообще является камнем преткновения
при расширении компании. В случае с масштабированием
компьютерной сети всегда можно выйти из положения (пусть
и ценой потери скорости передачи данных) установкой до-
полнительного сетевого коммутатора в помещение, где
сгруппировались новые рабочие места. К сожалению, со
стандартной телефонией такой фокус не проходит и при
необходимости увеличить количество телефонов в опреде-
ленном помещении приходится тянуть туда новые прово-
да. В этом случае и можно будет использовать «лишний
провод», который был заблаговременно оставлен при пер-
вичной прокладке сети. Причем задействовать витую пару,
которая была запланирована под локальную сеть с некото-
рой избыточностью, оказывается гораздо удобнее, так как
по стандартной витой паре можно прокинуть сразу несколь-
ко телефонных линий.
Постарайтесь при начальном монтаже максимально об-
легчить себе дальнейшую жизнь. Справедливость поговор-
ки «Два переезда равны одному пожару» много раз прове-
рена на практике, поэтому попробуйте приложить все уси-
лия, чтобы спланировать это еще на этапе проектирования
кабельных систем. Помимо этого, не стоит забывать об уже
прочно держащих позиции технологиях беспроводных се-
тей. В последние годы оборудование для построения бес-
проводных сетей наконец-то стало удовлетворять тем тре-
бованиям, которые возникают при работе пользователей с
современными сетевыми приложениями, так что их приме-
нение в помещениях с прямой видимостью (или с незначи-
тельными перекрытиями) является прекрасной альтерна-
тивой проводным системам. Однако следует помнить, что
стремиться построить полностью беспроводную сеть не
стоит – соединения между помещениями/этажами лучше
сделать на кабельной основе.
Оборудование
После того, как все кабельные системы спроектированы и
построены, можно приступать к закупке нового оборудова-
ния и модификации устаревшего. Тут следует руководство-
ваться многократно описанными принципами соответствия
поставленных задач и необходимой для этого техники.
Прежде всего необходимо напомнить основную мысль, ко-
торую, к сожалению, очень часто игнорируют: не экономь-
те на узлах, которые являются критичными по отношению
к работоспособности всей системы. Практика показывает,
что возможность сэкономить хотя бы сотню долларов час-
то приводит к тому, что закрываются глаза на обратную
сторону медали – итоговую надежность системы. Как пра-
вило, руководители, принимающие решения в области фи-
нансирования, не в состоянии оперировать техническими
понятиями. Зато они прекрасно знают и понимают значи-
мость таких терминов, как «убытки в результате простоя
предприятия», «цейтнот при формировании результатов»,
«налоговая и финансово-экономическая отчетность». И в
7
 администрирование
техническом обосновании приобретения надежной техни-
ки должны бросаться в глаза не «гигагерцы и гигабайты»,
а аргументы, понятные именно этим людям. Например,
фраза о том, что «скорость формирования товарного отче-
та увеличится в 6-10 раз, а скорость формирования склад-
ских документов повысится в 4 раза» гораздо эффектив-
нее, нежели «время реакции дисковой системы при опера-
циях чтения-записи улучшается в 5 раз». Всегда помните –
для руководства важны итоговые результаты, а не техни-
ческие подробности. Научитесь формулировать свои мыс-
ли и идеи так, чтобы они были понятны людям, принимаю-
щим решения о финансировании проекта. Тогда вы полу-
чите большие возможности для реализации задуманного.
Также немаловажным является приведение расчетов, по-
казывающих экономическую эффективность модерниза-
ции. Спрогнозировав возможные перемещения рабочих
мест сотрудников, увеличение их численности, появление
новых задач, рост рабочих информационных баз, вы смо-
жете заранее просчитать будущие затраты на необходимую
модернизацию ресурсов, и сравнив их с возможностью сра-
зу приобрести необходимую технику, вывести экономичес-
кую выгоду.
В частности, попытка сэкономить на серверных систе-
мах обычно приводит либо к необходимости новой моди-
фикации уже через полгода, либо вообще к падению опе-
рационной системы, потере рабочих данных и, соответ-
ственно, незапланированным простоям – от невозможнос-
ти работы одного отдела до остановки работы всего пред-
приятия.
Если рассматривать требования к таким системам, то оче-
видна необходимость применения в серверах надежных дис-
ковых систем в случае больших вычислительных нагрузок –
многопроцессорных ресурсов, резервных систем электропи-
тания и защиты от перегрузок в электрических сетях. Не стоит
пользоваться принципом: «система может и на IDE-диске
стоять – там никаких нагрузок нет». Сэкономив 50-100 у.е.
сейчас, ваша фирма получит неработоспособную систему
через год. Причем произойдет это как всегда «в самый не-
подходящий момент». Запомните – не бывает «подходящих
моментов» для выхода из строя информационной системы.
И именно вы несете за это ответственность. Если при об-
суждении расходов вы натыкаетесь на стену непонимания и
экономить на критически важных узлах принуждают люди,
принимающие решения о финансировании, – не забывайте
принять меры для того, чтобы не оказаться крайним. В дан-
ном случае рекомендуется написать на имя руководителя
служебную записку примерно следующего содержания:
Äèðåêòîðó ÎÎÎ «Ðîãà è êîïûòà»
Ïóïêèíó Âàñèëèþ Äîðìèäîíòîâè÷ó
îò ñèñòåìíîãî àäìèíèñòðàòîðà
Ôåäüêèíà Ïåòðà Èâàíîâè÷à
Ñëóæåáíàÿ çàïèñêà
Äîâîæó äî Âàøåãî ñâåäåíèÿ, ÷òî èñïîëüçîâàíèå â ïðèîáðåòà-
åìûõ ñåðâåðàõ æåñòêèõ äèñêîâ òèïà IDE, à òàêæå îòñóòñòâèå
èñòî÷íèêîâ áåñïåðåáîéíîãî ïèòàíèÿ ìîùíîñòüþ íå ìåíåå 1000
VA ìîãóò ïðèâåñòè ê íåïîëàäêàì â ðàáîòå èíôîðìàöèîííîé ñèñ-
òåìû âïëîòü äî ïîëíîãî âûõîäà èç ñòðîÿ è ïîòåðå õðàíèìûõ
äàííûõ.
Ïîäïèñü
Îçíàêîìëåí: <ïîäïèñü äèðåêòîðà>
8
Ну и последнее замечание, касаемо физического пост-
роения сетей. Документируйте свои действия, маркируйте
коммуникации. Даже если вы не владеете профессиональ-
ными программами для проектирования и документирова-
ния информационных сетей – программу Microsoft Visio ник-
то не отменял. Она представляет собой довольно неплохой
инструмент для инженерного планирования начального
уровня. Маркировка кабелей и кабель-каналов – вообще
обязательное действие. Помимо этого необходимо марки-
ровать и серверы в стойках. Когда в стойке смонтировано
несколько серверов от одного производителя, вряд ли уда-
стся навскидку сказать, какой из них за что отвечает. Кре-
пите на них таблички с DNS-именем и IP-адресом.
Если что-то уже есть…
Если вы модернизируете уже существующую информаци-
онную систему, то все советы, приведенные выше, остают-
ся в силе. Помимо этого, при наличии старых коммуника-
ций необходимо проверить их на целостность и качество
передачи.
Простейший способ – посмотреть статистику передачи
по сетевым интерфейсам после проведения множествен-
ных операций передачи/приема данных. Если скорость пе-
редачи недостаточна, а в статистике появляются потерян-
ные пакеты – стоит задуматься о смене кабельной систе-
мы или отдельных ее частей. Однако такой способ провер-
ки является довольно спорным и отражает действитель-
ность только при грамотной настройке приемника/передат-
чика. В противном случае, например, плохо настроенное
антивирусное ПО, может отрицательно повлиять на упомя-
нутые характеристики, хотя сама кабельная система ока-
жется идеальной. Гораздо лучше применять тестирование
кабельной системы на физическом уровне при помощи
приборов, измеряющих такие характеристики, как сигнал/
шум, сопротивление изоляции и др. Это дорогостоящее
оборудование, однако вовсе необязательно его приобре-
тать. Для тестирования в сомнительных случаях можно об-
ратиться к организациям, оказывающим подобные услуги.
В любом случае при сложной кабельной разводке такое
исследование обойдется дешевле смены всей кабельной
системы. Точно так же необходимо подвергнуть тестирова-
нию и ресурсы серверов, и при необходимости – рабочих
станций. Недостаточно просто переустановить операцион-
ную систему на сервере. Необходимо убедиться в том, что
нет дефектов в оборудовании – дисковой системы, памяти
и т. д.
Информационная среда
Убедившись в исправности физических коммуникаций и
оборудования, следует переходить к следующему этапу –
внедрению информационной среды. На этом этапе необхо-
димо будет установить операционные системы на серверы
и рабочие станции, организовать их взаимодействие, на-
строить программное обеспечение под конкретных пользо-
вателей. Разумеется, что выбор операционных систем и
распределение задач должны происходить еще до того, как
будет закуплено оборудование. Тут все стандартно – под-
бор соответствующего оборудования происходит исходя из
поставленных задач.

Перейдем к принципам настройки серверного программ-
ного обеспечения, вопросам защиты от вторжений, а так-
же настройке рабочих станций для взаимодействия с сер-
верами и между собой. Акцентируем ваше внимание, что в
статье не приводится инструкций по настройке конкретно-
го программного обеспечения или оборудования, а даются
общие рекомендации, следуя которым вы получите макси-
мально защищенную IT-структуру. Также не указывается
никаких предпочтений при выборе операционных систем
для реализации проекта. Автор ни в коей мере не претен-
дует на непогрешимость указанных методов, а всего лишь
делится своим опытом реализации подобных проектов.
Практика показала, что после сдачи таких сетей у заказчи-
ков не возникает необходимости полной реорганизации, а
масштабируемость позволяет легко вводить в эксплуата-
цию новые сервера, рабочие места и программное обеспе-
чение.
Прежде всего необходима логическая структура, кото-
рая будет объединять все учетные записи для пользовате-
лей, компьютеров и серверов в одно целое. Это «домен».
Обращаем внимание, что понятие «домен» вовсе не под-
разумевает обязательное использование продуктов
Microsoft, как многие ошибочно считают. «Домен» в пере-
воде означает «область», «район». То есть в нашем случае
домен – это логическое объединение для централизован-
ного управления. Домен отличается от рабочей группы тем,
что данные о всех структурных единицах, в него входящих,
хранятся в единой центральной базе данных, что сильно
упрощает администрирование системы в целом.
Внутри домена необходимо спланировать разделение
упомянутых структурных единиц на группы. Это упростит
дальнейшее делегирование прав на пользование ресурса-
ми. Помните, что основой построения защищенной среды
является принцип «что не разрешено, то запрещено» и ни
в коем случае не наоборот! Действительно, по умолчанию
при начальном вводе систему в эксплуатацию никто (кро-
ме администратора, разумеется) не должен иметь доступа
никуда. Абсолютно! После этого можно делегировать груп-
пам и структурным единицам определенные права. Упомя-
нутый и кажущийся очень простым принцип на самом деле
подразумевает под собой систему глобальной безопаснос-
ти. Просто необходимо научиться корректно его реализо-
вывать.
Связь с внешним миром
и безопасность
Построив систему в виде локальной сети и проверив ее
работоспособность (взаимодействие клиент-сервер, кли-
ент-клиент, действие запретов и разрешений), приступаем
к организации связи с внешним миром. Проще говоря, под-
ключаемся к сети Интернет и другим филиалам компании.
Тут действует тот же универсальный принцип, о котором
мы уже писали. Поэтому перед тем, как подключить кабель
от внешнего мира к вашей локальной сети, необходимо убе-
диться в том, что на устройстве маршрутизации запрещен
проход любого трафика во всех направлениях. Только пос-
ле этого можно аккуратно добавлять настройки, которые
будут частично разрешать прохождение необходимого тра-
фика. Любые запросы, не отвечающие разрешающим пра-
№2, февраль 2005
администрирование
вилам, должны отбрасываться. Причем чаще всего реко-
мендуется применять для защиты «режим молчания». Зап-
рещающие правила систем маршрутизации при поступле-
нии соответствующего пакета отправляют ответ о том, что
запрошенный ресурс запрещает подключение к нему. При
соблюдении режима молчания такой пакет игнорируется,
имитируя выключенное или несуществующее устройство.
Для настройки таких систем необходим специалист, хоро-
шо представляющий работу стека протокола IP. Для боль-
шей надежности рекомендуется использовать аппаратные
маршрутизаторы/межсетевые экраны. Абсолютным лиде-
ром в этой области является компания Cisco Systems. Од-
нако их продукты отличаются очень высокой стоимостью
(проверенная надежность не бывает дешевой). В последнее
время на рынок вышли многочисленные компании, пред-
лагающие недорогую альтернативу подобным продуктам.
Практически все производители сетевого оборудования
имеют в ассортименте решения для построения защитных
систем эконом-класса (маршрутизаторы со встроенными
пакетными фильтрами, VPN-маршрутизаторы). Наиболее
надежным окажется решение с использованием каскадно-
го комплекса защиты. Например, последовательного ис-
пользования аппаратного маршрутизатора и шлюзового
сервера с работающими на нем средствами маршрутиза-
ции и протоколирования.
Следующие шаги также неразрывно связаны с досту-
пом во внешний мир. Это использование антивирусных
мониторов и сканеров корпоративного уровня, а также обя-
зательное создание внутреннего почтового сервера, отве-
чающего за перенаправление всей электронной почты ком-
пании. Акцентируем внимание на словосочетании «корпо-
ративный уровень». Помните, что в системе IT-безопасно-
сти компании не должно быть звеньев, хоть каким-то обра-
зом зависящих от решения пользователя. Понятие «корпо-
ративный антивирусный монитор и сканер» означает, что
это программное обеспечение настраивается и устанавли-
вается администратором системы, автоматически прове-
ряет наличие обновлений, распространяется на всю сеть, а
пользователь не в состоянии ни отключить, ни удалить про-
дукт со своей рабочей станции. Такой антивирусный про-
дукт при грамотной настройке не будет спрашивать пользо-
вателя о необходимости обновить свои базы, не станет уточ-
нять, что делать с зараженным файлом, не позволит вме-
шаться в свою работу.
При этом корпоративная почтовая система просканиру-
ет всю входящую и исходящую корреспонденцию еще до
того, как пользователь получит возможность принять ее,
отбросит зараженные письма, заблокирует подозрительные
и явно запрещенные вложения, проверит легитимность от-
правителя и отсутствие его в международных черных спис-
ках. И только после этого доставит письмо пользователю.
Как правило, на почтовые системы устанавливают антиви-
рус другого производителя, нежели используется в режи-
ме монитора внутри локальной сети. Таким образом дости-
гается страховка от несвоевременного выхода обновлений
какого-либо из них. Неопознанное на почтовом сервере
зараженное письмо будет поймано монитором на локаль-
ной машине пользователя и наоборот. Для еще большей
надежности можно применять третий способ защиты – ска-
9
 администрирование
нирование межсетевого трафика на промежуточном шлю-
зе. Однако стоит помнить, что нельзя использовать одно-
временно несколько таких средств в едином логическом
пространстве (например, сервере или рабочей станции).
Так, одновременная установка двух антивирусных монито-
ров разных производителей на один компьютер когда-то
породила известную в IT-мире байку про дуэль антивиру-
сов. Проверка может быть только последовательной.
Не стоит также забывать о контроле активности пользо-
вателей в сети Интернет, ведении статистики посещаемо-
сти и отчетов по трафику интернет-ресурсов. Так, перио-
дически просматривая указанную статистику, можно обна-
ружить «нездоровую» активность в определенном направ-
лении и предотвратить утечку информации или распрост-
ранение вредоносных программ. Помните, что «вы не мо-
жете управлять тем, что не можете подсчитать». Как пра-
вило, при грамотной настройке дальнейшая работа адми-
нистратора сети заключается в постоянном контроле. Все-
го и вся. Осознание того, что полностью контролируешь
процесс, приносит уверенность в дальнейшей работе. И
напротив – даже малое непонимание происходящего в ито-
ге приведет к полному падению системы. Контролируйте
свою систему и спите спокойно. И тогда бытующее мнение
о том, что системные специалисты работают круглосуточ-
но и не спят ночами, канет наконец-то в лету. В таком дер-
ганом режиме работают те, кто не спланировал работу за-
ранее.
Проблемы при модернизации
существующих систем
Перестроение уже работающей структуры также отвечает
описанным требованиям. Однако при таком развитии со-
бытий появляются некоторые трудности. Во-первых, необ-
ходимо составить подробный план перехода и проанализи-
ровать, с какими именно трудностями можно столкнуться
при реализации каждого этапа. Во-вторых, осуществить
внедрение в исключительно короткие сроки. Это, пожалуй,
самое трудновыполнимое условие, однако поверьте, что при
наличии необходимых профессиональных навыков и опы-
та оно осуществимо. В противном случае стоит задуматься
о возможности привлечения дополнительных специалистов
на время проекта. Чтобы не быть голословными, скажем,
что полная реорганизация информационной сети компании
(замена всех кабельных систем, располагающихся в 2 зда-
ниях, со 100 рабочими станциями и 3 серверами, довольно
большое количество сетевых приложений, включая уста-
ревшие DOS-программы) заняла у нас 3.5 дня. Выпавшие
на эти дни государственные праздники оказались как
нельзя кстати, и уже в начале второй половины рабочего
дня сотрудники приступили к своим обязанностям. В пос-
ледующие 2 дня специалисты выслушивали пожелания со-
трудников и исправляли незначительные неточности.
Хотелось бы сказать еще об одной довольно серьезной
проблеме, часто препятствующей успешной реализации
проекта. Это человеческий фактор. А точнее – нежелание
определенных индивидуумов оказывать содействие специ-
алистам, а иногда и саботаж с их стороны. За этим стоят
разные причины, одной из которых может быть нежелание
обучаться работе с новыми программными продуктами и
10
технологиями. Если к этому присовокупить то, что часто
такие люди занимают одни из ведущих или необходимых
постов в компании и к их словам бездумно прислушивают-
ся руководители, не желая при этом проанализировать си-
туацию, – процесс может быть крайне затруднен. На прак-
тике встречались разные случаи. Например, в одной круп-
ной строительной фирме бухгалтер со скандалом врыва-
лась к директору и жаловалась на то, что системный адми-
нистратор умышленно мешает ей работать. На самом деле
администратор после внедрения домена Windows 2000 хо-
тел добиться работы в единой операционной среде на всем
предприятии и заменить технически устаревшую операци-
онную систему Windows 98 на Windows 2000, тем более что
ресурсы компьютера это позволяли. А бухгалтер заявила,
что не будет работать в другой системе. В итоге техничес-
кому специалисту было в приказном порядке запрещено
что-либо менять на компьютере бухгалтера. Помимо этого
претензия заключалась в том, что «не надо мне никаких
нортонов, пусть стоит касперский». В другой организации
бухгалтера постоянно провоцировали сбои и ошибки в ра-
боте системы учета, так как не хотели принимать решение
руководства о переходе на новую информационную систе-
му бухгалтерского учета взамен старой, которая уже не
соответствовала изменениям в законодательстве. Сгово-
рившись, они умышленно искажали результаты работы про-
граммы. К счастью руководство оказалось более лояльным
по отношению к техническим специалистам и, уволив из
бухгалтерии двух человек, издало приказ о «содействии
сотрудников техническому персоналу для перехода на но-
вую систему учета».
Эти случаи далеко не единичны и многим знакомы не
понаслышке. К сожалению, тут два выхода: либо убедить
руководство в необходимости модернизации и создания
административных приказов и инструкций, либо отказать-
ся от проекта. В противном случае можно получить «час-
тично работающую систему», что не является приемлемым
в любых случаях.
Подводя итоги
В заключение можно сказать, что компании, решившиеся
на реализацию проекта системной интеграции своими си-
лами, должны быть уверены в том, что опыт сотрудников
собственного IT-отдела позволит осуществить внедрение
от начала и до конца. То есть не прекратить его, а именно
завершить. В противном случае может оказаться, что из-
за отсутствия навыков в некоторых областях весь проект
может претерпеть неудачу. Как следствие придется прибе-
гать к помощи компании-системного интегратора, которая,
скорее всего, заново будет просчитывать весь процесс и
потребует сменить не соответствующее требованиям обо-
рудование. Что, разумеется, приведет к дополнительным
(и часто немалым) расходам. Поэтому именно на руково-
дителя IT-структуры ложится основная ответственность по
выбору пути системной интеграции. И глобальное понима-
ние этим человеком всей структуры и бизнес-процессов
предприятия, а также профессионального потенциала сво-
их подчиненных поможет в итоге принять правильное ре-
шение, сделав процесс максимально эффективным, раци-
ональным, а значит, и экономически выгодным.

Отказ в обслуживании при обработке
BGP-пакетов в Cisco IOS
Программа: Cisco IOS все версии.
Опасность: Высокая.
Описание: Уязвимость существует во всех версиях Cisco OIS
при использовании Border Gateway Protocol (BGP) и устрой-
ствах с включенным bgp log-neighbor-changes. Удаленный
пользователь может послать устройству специально сфор-
мированный BGP-пакет, что вызовет перезагрузку систе-
мы. Большое количество таких пакетов приведет к отказу в
обслуживании.
URL производителя: http://www.cisco.com.
Решение: Установите обновления с сайта производителя
для соответствующей версии IOS.
Отказ в обслуживании при обработке
IPv6-пакетов в Cisco IOS
Программа: Cisco IOS с включенным IPv6 (все версии).
Опасность: Высокая.
Описание: Уязвимость обнаружена при обработке IPv6 во
всех версиях Cisco IOS. Злонамеренный пользователь мо-
жет с помощью специально сформированного IPv6-пакета
вызвать перезагрузку системы. Большое количество таких
пакетов приведет к отказу в обслуживании устройства.
URL производителя: http://www.cisco.com.
Решение: Установите обновления с сайта производителя
для соответствующей версии IOS или запретите использо-
вание IPv6-протокола.
Отказ в обслуживании при обработке
MPLS-пакетов в Cisco IOS
Программа: Cisco IOS 12.1T, 12.2, 12.2T, 12.3 и 12.3T.
Опасность: Высокая.
Описание: Уязвимость существует при обработке Multi
Protocol Label Switching (MPLS)-пакетов во всех версиях
Cisco IOS, которые поддерживают MPLS, даже если MPLS
запрещено на интерфейсе. Удаленный пользователь может
послать специально сформированный пакет и вызвать пе-
резагрузку системы. Большое количество таких пакетов
приведет к отказу в обслуживании.
URL производителя: http://www.cisco.com.
Решение: Установите обновления с сайта производителя
для соответствующей версии IOS.
Отказ в обслуживании в Squid
при обработке WCCP-сообщений
Программа: Squid 2.5.STABLE7 и более ранние версии.
Опасность: Высокая.
Описание: Уязвимость существует при обработке WCCP-
сообщений. Удаленный пользователь может создать спе-
циально сформированное длинное WCCP-сообщение и выз-
вать переполнение буфера в функции recvfrom(), что при-
ведет к аварийному завершению работы прокси-сервера.
URL производителя: http://www.squid-cache.org.
Решение: Установите обновление от производителя: http://
w w w . s q u i d - c a c h e . o r g / Ve r s i o n s / v 2 / 2 . 5 / b u g s / s q u i d -
2.5.STABLE7-wccp_buffer_overflow.patch.
№2, февраль 2005
bugtraq
Обход встроенных механизмов защиты
от переполнения буфера в куче
и технологии DEP в Windows XP SP2
Программа: Windows XP.
Опасность: Высокая.
Описание: Positive Technologies сообщает о возможности
обхода встроенных механизмов защиты от переполнения
кучи и выполнения кода в области данных в Windows XP
Service Pack 2.
Несколько уязвимостей обнаружено в механизме про-
верки маркера («cookie»), введенного для определения це-
лостности заголовка блока памяти.
Проверочный маркер проверяется только тогда, когда
выделяется свободный блок, однако такая проверка не
выполняется при его освобождении. В результате возмож-
но изменить размер блока и поместить его в произвольный
freelist.
При работе с lookaside-списками не реализовано ника-
ких проверок целостности заголовка – нет даже проверки
достоверности значения проверочного маркера. В резуль-
тате этого, теоретически, появляется возможность переза-
писать до 1016 байт в любой области памяти.
Подробнее об уязвимости и практических примерах ее
эксплуатации можно прочитать тут: http://www.securitylab.ru/
52238.html.
URL производителя: www.microsoft.com.
Решение: Способов устранения обнаруженной уязвимос-
ти не существует в настоящее время. В качестве времен-
ного решения, компания Positive Technologies выпустила
бесплатную утилиту, которая для определенных приложе-
ний устанавливает глобальный флаг, который будет зап-
рещать использование ассоциативных списков. Скачать
программу можно отсюда: http://www.ptsecurity.ru/
ptmshorp.asp.
Множественные уязвимости
в PostgreSQL
Программа: PostgreSQL 7.x, 8.x.
Опасность: Высокая.
Описание: Ошибка в опции LOAD позволяет непривилеги-
рованному пользователю загрузить произвольные библио-
теки. Удачная эксплуатация этой уязвимости может позво-
лить выполнить произвольный код с повышенными приви-
легиями. Выполнение такого кода возможно лишь на
Windows и UNIX ELF-системах (Linux).
Злоумышленник может обойти ограничения на выпол-
нение функций и выполнить произвольные функции на си-
стеме.
Неизвестная уязвимость в contrib/intagg.
Переполнение буфера при выполнении plpgsql с боль-
шим количеством параметров.
URL производителя: http://postgresql.org
Решение: Установите обновление: http://www.master.
postgresql.org/download/mirrors-ftp.
Составил Александр Антипов
11
 администрирование
КТО КУПИЛ COREL LINUX?
ОБЗОР ВОЗМОЖНОСТЕЙ НАСТОЛЬНОГО ДИСТРИБУТИВА XANDROS
Историческая справка
Компания Xandros была основана в мае 2001 года в Кана-
де с целью создания и продвижения на рынок недорогой,
дружественной пользователю настольной операционной си-
стемы на базе Linux, которая составила бы конкуренцию
Microsoft Windows – «Complete Linux Desktop Solution». В
августе того же года компания приобрела Corel Linux OS,
некогда популярную и весьма удачную систему, оставшую-
ся в результате известных событий в истории Corel «не у
дел». Именно она легла в основу выпущенного некоторое
время спустя Xandros Desktop 1.0. Будучи наследником Corel
Linux, Xandros Desktop OS ведет свою родословную от про-
екта Debian, разработки которого и используются по сей
день для поддержания кодовой базы. Таким образом,
Xandros, по сути, является коммерческой разновидностью
Debian, подобной Libranet GNU/Linux и Linspire (с последней
системой Xandros некоторое время «жил под одной кры-
шей» и развивался параллельно, в память о чем сохранил-
ся имущественный иск, предъявленный Linspire к Xandros
около года назад), а значит, он совместим с пакетами DEB,
репозитариями apt и прочими «прелестями цивилизации».
В настоящий момент модельный ряд Xandros насчиты-
вает несколько продуктов. Это Xandros Desktop 3 Standard/
Deluxe Edition, ориентированный на домашенго пользова-
теля, корпоративный рабочий стол Xandros Business Desktop
OS Version 2.5 Business Edition и его разновидность Xandros
Desktop OS PowerTerm Edition, а также серверный дистри-
бутив – Xandros Desktop Management Server. С возможнос-
тями каждого из них можно ознакомиться по адресу: http://
www.xandros.com/products/products.html.
В том что касается бесплатных и оценочных версий, кор-
порация Xandros придерживается несколько запутанной стра-
тегии. Долгое время они попросту отсутствовали. Однако
аккурат 1 апреля 2004 года компания переменила свое мне-
ние, неожиданно предоставив для свободной загрузки са-
мый дорогой (на тот момент) из своих продуктов – Xandros
Business Desktop OS Version 2.5. Было это розыгрышем или
нет, но спустя несколько дней Xandros, не объяснив мотивов
своих действий, прекратила распространение ISO-образа.
Однако уже в середине лета компания анонсировала еще
одну community-инициативу, получившую название Xandros
Desktop OS Version 2 Open Circulation Edition – OCE (http://
www.xandros.com/products/home/desktopoc/dsk_oc_intro.html).
Суть ее сводилась к следующему. Из состава дистрибутива
удалили коммерческие приложения, в первую очередь – эму-
лятор CrossOver Office и офисный пакет StarOffice 7, ограни-
чили скорость записи компакт-дисков во встроенном фай-
ловом менеджере (об этом далее), лишили поддержки про-
фессиональных консультантов и... отпустили в свободное
плавание. Систему было разрешено использовать в неком-
мерческих целях и даже распространять, беря за это номи-
12
ВАЛЕНТИН СИНИЦЫН
нальную плату. Иными словами, с точки зрения домашнего
пользователя, Xandros OCE оказался ничем не хуже Fedora
Core или (не побоюсь этого высказывания) оригинального
Debian, поскольку вносить изменения в код системы или за-
рабатывать с ее помощью деньги многие из них и не помыш-
ляли. Удачно составленная лицензия на продукт не могла не
привлечь внимание дистрибьютеров, в частности Линукс-
Центра (www.linuxcenter.ru), благодаря усилиям которых при-
обрести Xandros OCE в России стало не сложнее, чем обыч-
ный свободный дистрибутив. Впрочем, граждане с тонким
кошельком и толстым каналом всегда могут загрузить ISO-
образ системы через сети BitTorrent.
В момент написания данной статьи последней версией
Xandros является третья, отличающаяся от своих предше-
ственниц встроенной функцией записи DVD и персональным
брандмауэром. Однако в связи с ее недоступностью для боль-
шей части читателей мы решили сфокусировать свое вни-
мание на второй версии дистрибутива, распространяющей-
ся в форме редакции OCE. О планах выпуска Open Circualtion
Edition для Xandros 3 компания ничего не сообщает, однако
можно предположить, что это все же случится, ведь свора-
чивать данную инициативу пока никто не собирается.
Установка
Программа-инсталлятор системы является предметом гор-
дости компании Xandros, и не без оснований. Как утверж-
дает реклама, дистрибутив можно установить в пять щелч-
ков мышью. Это вполне соответствует действительности:
процедура установки проходит в пять этапов. После стан-
дартного приветствия и ознакомления с лицензией пользо-
вателю предлагается сделать выбор между автоматичес-
ким (Express Install) и ручным (Custom Install) режимом ус-
тановки. Предпочитающие делать все «дешево и быстро»
могут выбрать первый вариант, создать пару учетных за-
писей и приступить непосредственно к копированию фай-
лов, как это обычно и происходит в других настольных дис-
трибутивах. Однако Xandros предоставляет более богатые
возможности для настройки в ручном режиме. Во-первых,
это менеджер разделов, вещь сама по себе не удивительная
и распространенная повсеместно: от Red Hat до Slackware.
Однако его разновидность, входящая в состав Xandros, об-
ладает рядом особенностей. Это в первую очередь встро-
енный навигатор по файловой системе в стиле Konqueror,
поддерживающий ext2, ext3, ReiserFS и даже NTFS. Если в
других случаях вам приходилось «играть в русскую рулет-
ку», вспоминая, какой из разделов жесткого диска подле-
жит сносу, а какой – содержит бесценные данные, то сей-
час достаточно просто нажать на кнопку и посмотреть его
содержимое. Как правило, структура каталогов и имена на-
ходящихся в них файлов говорят простому пользователю
(да, впрочем, и не очень простому пользователю тоже) куда

больше, чем аббревиатуры типа «hda3» или словосочета-
ния вроде «третий основной раздел». Для уже созданных
разделов можно назначить точку монтирования, которая вы-
бирается из выпадающего списка (в соответствии с нау-
кой, содержащаяся на разделе файловая система – ext2,
ext3 или ReiserFS – может быть смонтирована в /, /usr/local,
/var или /opt). Если вы пожелаете установить Xandros на
непустой раздел, инсталлятор предложит вам сохранить
имеющиеся на нем каталоги /root и /home. Естественно, это
произойдет лишь в том случае, если раздел ранее принад-
лежал какой-либо UNIX-системе. Среди элементов управ-
ления в окне менеджера разделов присутствует и кнопка
«Add», которая, по логике вещей, должна создавать новые
партиции, однако по не очень понятным мне причинам она
перманентно отключена.
Другая уникальная в разрезе рассмотренных ранее на-
стольных дистрибутивов возможность Xandros – это функ-
ция выбора пакетов. Начинающий администратор может ус-
тановить одну из заранее определенных конфигураций:
«Minimal Desktop» (минимальный набор, всего 655 Мб),
«Standard Desktop» (стандартный набор – 980 Мб),
«Complete Desktop» (полный набор, 1156 Мб) и «Custom
Desktop» (установка по выбору пользователя). Все доступ-
ные пакеты сгруппированы по категориям, а их выбор осу-
ществляется путем выставления «галочки» возле имени.
Отрадно, что в этом списке присутствуют и средства раз-
работки. Как правило, производители настольных дистри-
бутивов по ряду причин предпочитают не включать столь
мощный инструмент в базовый комплект поставки.
Разобравшись с программным обеспечением, можно пе-
реходить к вводу параметров сети (Static IP/DHCP, шлюз,
DNS). Здесь все вполне стандартно. Далее инсталлятор
предложит ввести пароль администратора (Administrator),
он же – root. При этом в нижней части окна будут располо-
жены две «галочки», одна из которых – «Enforce strong
passwords» («Требовать сильные пароли») – сейчас пред-
ставляет для нас особый интерес. Если она находится во
включенном состоянии, то отделаться паролем «123456»,
который, не пикнув, проглатывали Linare, Linspire и Lycoris
Desktop/LX, уже не удастся. Второй флажок – «Make user
home folders private» («Сделать домашние каталоги пользо-
вателей личными») – просто запрещает автоматический до-
ступ к домашним каталогам пользователей по сети. Завер-
шив эти манипуляции, можно приступать к созданию не-
привилегированных учетных записей. Рекомендуется сде-
лать хотя бы одну из них, и использовать ее для повседнев-
ных надобностей. При включенной опции «Enforce strong
passwords» к паролям простых пользователей предъявля-
ются те же требования, что и к паролю администратора.
Однако пустой пароль инсталлятор вполне устраивает.
В вопросах установки дискового загрузчика Xandros так-
же проявил неординарную проницательность и учтивость.
Инсталлятор корректно определил уже установленные на
компьютере операционные системы: Mandrakelinux и
Windows 2000 и добавил их в свое меню, сохранив, таким
образом, время, которое я традиционно тратил на восста-
новление содержимого MBR после деятельности менее
аккуратных «собратьев». Правда, «покопаться с паяльни-
ком» все же пришлось: включенная в состав Xandros вер-
№2, февраль 2005
администрирование
сия LILO наотрез отказалась дружить с моим ноутбуком,
намертво зависая при загрузке. Пожалуй, этой проблемы
можно было бы избежать, если знать о ней заранее: я бы
просто попросил программу не устанавливать свой загруз-
чик в MBR или вообще никуда – Xandros предоставляет и
такую возможность.
После всех описанных выше манипуляций программа
откроет окно «Summary». Проверьте и, если вас устраива-
ют все введенные параметры, нажмите кнопку Finish, что-
бы начать копирование файлов. Инсталлятор будет держать
вас в курсе происходящего, постоянно сообщая о своих те-
кущих занятиях («устанавливаю базовую систему», «на-
страиваю Samba» ) в строке статуса.
Первый запуск
После того как инсталлятор закончит работу, вам будет
предложено перезагрузить компьютер (в вопросах подоб-
ного рода Xandros не скупится – соответствующие пригла-
шения выводятся на экран шрифтом такого размера, что
разрешения 1024x768 едва хватает на 3-4 строчки текста).
Выбрав нужный пункт в загрузочном меню и подождав не-
которое время (как и все настольные дистрибутивы, Xandros
тяжеловат на подъем), вы увидите менеджер входа в сис-
тему, выглядящий на фоне своих аналогов из Linspire или
Lycoris Desktop/LX несколько аскетично: выпадающее меню
с именем учетной записи, поле для ввода пароля и пара
кнопок. Как видите, ничего лишнего. После авторизации
появляется стандартный стартовый экран KDE, а затем –
мастер первого запуска («First Run Wizard»). Выбрав тип
мыши («левая» или «правая»), пользователь попадает на
поистине интересную вкладку: «Regional Settings» («Регио-
нальные настройки»). Здесь можно указать системную ло-
каль, язык рабочего стола, кодировку и раскладку клавиа-
туры для текущего пользователя. Для каждого из этих па-
раметров (кроме, к сожалению, языка рабочего стола) дос-
тупны «русифицированные» варианты ответа. Лично я ос-
тановился на следующем наборе: локаль – ru_RU, кодиров-
ка – KOI8-R, раскладка – Russian. После этого Xandros сра-
зу же заговорил по-русски, весьма неплохо, хотя и с «ак-
центом». Шрифты, используемые системой для отображе-
ния кириллицы, выглядят ничуть не хуже латинских, благо
в стандартную поставку Xandros (в том числе, Xandros OCE)
входит некоторое число коммерческих фонтов от Bitstream.
Правда, моноширинный кириллический шрифт, использу-
емый в эмуляторе терминала, почему-то странно двоится,
однако этот огрех можно считать мелочью на фоне того,
что творится с поддержкой русского языка в иных конкури-
рующих продуктах (любознательного читателя мы отсыла-
ем за подробностями к более ранним статьям данного цик-
ла [1, 2, 3]). Для нормальной работы с системой следует до-
установить язык US. English. Это можно сделать с помощью
контекстного меню стандартного переключателя раскладок
KDE, «обитающего» в системном лотке. Несмотря на несом-
ненные достижения в области «лингвистики», Xandros был
и остается иностранцем, поэтому пользоваться родным язы-
ком в нем приходится с некоторой долей осторожности. Не-
которые подводные камни мы обсудим чуть позже.
Вслед за региональными настройками вам будет пред-
ложено выбрать часовой пояс и установить принтеры (под-
13
 администрирование
держиваются как локальные, так и сетевые, например, уп-
равляемые компьютерами на базе Windows или подключен-
ные напрямую через HP JetDirect). После ненавязчивой
просьбы о регистрации Мастер первого запуска попроща-
ется с вами, сказав напоследок, где его можно будет най-
ти, если он вдруг понадобится. Принимая во внимание час-
тые мучения пользователей, вспоминающих, «где же было
такое вот окошко», эта информация кажется весьма и весь-
ма нелишней.
Закрыв мастер, можно начинать знакомиться с рабочим
окружением (рис. 1). По умолчанию на каждого непривиле-
гированного пользователя автоматически заводится два
виртуальных рабочих стола: «синий» и «зеленый». В про-
цессе повседневной работы их число легко можно увели-
чить, щелкнув правой кнопкой мыши по апплету «Virtual
Desktop» в панели и выбрав пункт меню «Configure Virtual
Desktops». Простой эксперимент показывает, что столы с
номерами три и четыре имеют соответственно желтый и
фиолетовый цвета, а в дальнейшем эта закономерность
портится, и все становится одинаково темно-синим.
Ðèñóíîê 1. Ðàáî÷èé ñòîë íåïðèâèëåãèðîâàííîãî ïîëüçîâàòåëÿ
Xandros
В свою очередь рабочий стол администратора имеет
красный цвет, так что разобраться, какими полномочиями
вы обладаете в системе, не составляет труда – достаточно
беглого взгляда на экран. Кнопка «Пуск» в Xandros назы-
вается «Launch», рядом с ней располагается панель быст-
рого запуска, на которой находятся пиктограммы эмулято-
ра терминала (только для root), веб-браузера, файлового
менеджера, встроенной справки и очистки рабочего стола.
Крайняя правая кнопка возле системного лотка (tray) слу-
жит для смены пользователя («Switch user»). При ее нажа-
тии открывается диалог, предлагающий заблокировать те-
кущую сессию и запустить X-сервер на новой консоли. Пе-
реключение между ними осуществляется как стандартным
способом (<Ctrl>+<Alt>+<Fn>, где n = 7, 8, 9), так и при по-
мощи все того же диалогового окна. Однако первое, что
бросается в глаза при обзоре рабочего стола, – это отсут-
ствие пиктограммы «Мой компьютер», столь привычной
пользователям Windows. Как мы увидим ниже, сама кон-
цепция «My Computer» в Xandros живет и здравствует, а
почему разработчики решили не помещать средство дос-
тупа к ней в привычное место – остается только догады-
ваться.
14
Xandros File Manager
Файловый менеджер является еще одним козырем в колоде
Xandros. Так или иначе о нем упоминают все рекламные
проспекты, а встроенная возможность записи CD (в версии
3.0 – еще и DVD) выставляется как едва ли не главное пре-
имущество этой ОС над конкурентами. В общем, данный
продукт вполне заслуживает пристального рассмотрения.
Ðèñóíîê 2. Îêíî Xandros File Manager ñ ìåíåäæåðîì ïðîåê-
òîâ. Ïóíêò «Removable Disc» â ñàìîì íèçó äåðåâà ñîîòâåòñòâó-
åò ïîäêëþ÷åííîìó USB-íîñèòåëþ
В основе Xandros File Manager (XFM) лежит Konqueror,
что весьма логично – это обеспечивает высокую степень
интеграции с KDE. В левой части окна XFM находится дере-
во My Linux (рис. 2), того самого аналога «Моего компьюте-
ра», который почему-то забыли поместить на рабочий стол.
Первой среди его ветвей является My Home (домашний ка-
талог), за нею следуют принтеры, сетевые ресурсы Microsoft
(компьютеры с Xandros добавляются сюда автоматически) и
NFS, разделы Windows, которые имеют привычные имена:
C,D,..., а также менеджер проектов записи CD (CD Writer) и
подключенные съемные носители. Легко заметить, что дос-
тупа к корневой файловой системе и «посторонним» разде-
лам Linux дерево не предоставляет, однако для этого можно
воспользоваться адресной строкой. Введя в ней что-нибудь
вроде «/», вы увидите соответствующее запросу дерево ка-
талогов, а в My Linux появится новый, скрытый доселе пункт:
«All File Systems». Видимо, разработчики не без оснований
полагают, что рядовому пользователю шастать за предела-
ми своего домашнего каталога не стоит, вот и решили пре-
достеречься от излишне любопытных. Кстати, если вы все
же решите полазить по дереву каталогов в одиночку, без
помощи KDE, имейте в виду, что все «чужие» файловые си-
стемы (в том числе разделы Windows и съемные носители:
CD-ROM, USB Flash и т. д.) Xandros подключает не в /mnt,
как можно было бы того ожидать, а в /disks.
Как уже вскользь упоминалось выше, XFM обладает
собственными функциями для записи CD, причем, на мой
взгляд, реализует их удачнее, чем Microsoft Windows XP. В
основе этой возможности лежит понятие проекта – т.е. на-
бора файлов, предназначенных для записи на CD. Суще-
ствующие проекты хранятся в «папке» CD Writer в My Linux.
Там же находятся инструменты, позволяющие создать но-
вый проект и начать запись.
Чтобы добавить к проекту файл(ы) или целые катало-
ги, можно воспользоваться пунктом контекстного меню «Add

to CD Prject», ссылкой «Add all to CD Project...» в окне с со-
держимым каталога или простым перетаскиванием (drag-
n-drop). Опыт работы показывает, что для файлов или про-
ектов с русскими именами применим только последний
метод. Очевидно, что подобным образом можно добавлять
файлы, находящиеся в различных каталогах или даже на
различных носителях. Сведения о текущем состоянии про-
екта можно получить, щелкнув по его имени в ветви «CD
Writer» (рис. 2). В нижней части появившегося окна распо-
ложена линейка, хорошо знакомая пользователям Ahead
Nero и отражающая текущий процент заполнения диска.
XFM умеет работать с rewritable-носителями (т.е. очищать
их) и может создавать аудио-CD. К сожалению, разработ-
чики не предусмотрели поддержку мультисессионных дис-
ков, т.е. «записать» на диск получится, а вот «дописать» –
уже нет.
В заключение отметим, что в бесплатном Xandros OCE
максимальная скорость записи в XFM ограничена 4x (600
Кб/сек).
Впечатления от работы
В стандартную поставку Xandros входит весьма неплохой
комплект программ, способный удовлетворить все нужды
среднестатистического офисного служащего. Немного
удивляет отстуствие полноценного графического редакто-
ра, например, GIMP, однако для простых рисунков неплохо
подойдет и KPaint. В качестве браузера по умолчанию ис-
пользуется Opera 7.5 (в версии OCE – adware), ее же пред-
полагается применять для работы с электронной почтой.
Ни Mozilla, ни Firefox, ни тем более Evolution в состав
Xandros, как ни странно, не входят. Вообще у разработчи-
ков наблюдается странная неприязнь к приложениям на
базе GTK. Они практически отсутствуют – за исключени-
ем, пожалуй, MP3-проигрывателя XMMS, который искусно
замаскирован под общий стиль оформления (Plastik) при
помощи соответствующей «шкурки». Архитектурно такой
подход оправдан – рабочий стол получается более интег-
рированным, однако, как ловко подметил кто-то из экспер-
тов: «И в мире GTK, и в мире Qt есть приложения, не имею-
щие аналогов». Вряд ли ориентированность на другую ин-
терфейсную библиотеку стала причиной нелюбви к GIMP –
вероятнее всего, он просто не влез на диск. Для исправле-
ния сложившейся ситуации можно использовать Xandros
Networks (http://www.xandros.com/products/home/xn/
xn_intro.html) – продуманную систему для установки и об-
новления пакетов, бесплатно доступную всем зарегистри-
рованным пользователям.
Xandros Networks может работать как с собственным
программным репозитарием, так и с банком программ
Debian, компакт-дисками и любыми другими хранилищами,
совместимыми с apt. Если автоматическое разрешение за-
висимостей для вас не играет принципиальной роли, с по-
мощью Xandros Networks можно установить или удалить
любой пакет в формате DEB и RPM. Помимо свежего ПО
через сеть Xandros Networks распространяются новости,
уведомления и патчи. Таким образом, эта программа пред-
ставляет собой мощный инструмент для сопровождения и
управления системой, но, к сожалению, ее детальное рас-
смотрение выходит за рамки данной статьи.
№2, февраль 2005
администрирование
Попробуем подвести итог вышесказанному. Xandros,
несомненно, один из самых мощных игроков на рынке на-
стольного Linux, а неплохая поддержка русского языка и
наличие бесплатной версии делает его привлекательным
и для отечественных пользователей. Неопределенность
относительно будущего Open Circualtion Edition несколько
настораживает, однако если вы твердо решили установить
Linux на своем рабочем столе, я бы посоветовал вам иметь
Xandros в виду. При своей доступности и легкости внедре-
ния он может составить достойную конкуренцию распрост-
раненным некоммерческим дистрибутивам Linux.
В заключение цикла статей о настольном Linux я хочу
привести небольшую сводную таблицу рассмотренных нами
дистрибутивов, чтобы вам было легче сравнивать их меж-
ду собой. Предварительно необходимо сделать несколько
замечаний. В графе «Стоимость» указан диапазон цен для
различных моделей продуктовой линейки. Наличие средств
разработки и запуска Windows-приложений определялось
по принципу: «хотя бы в одной редакции продукта в стан-
дартной комплектации». Это означает, что доступность со-
ответствующих пакетов в сетях поддержки (например, CNR
Warehouse) в расчет не принималась. Качество поддержки
русского языка оценивалось по пятибалльной шкале, где 1
соответствует некоему абстрактному дистрибутиву, в прин-
ципе не способному отображать ничего, кроме латиницы, а
5 – полностью русифицированной системе (ввод и вывод
кириллицы на экран и на печать, переведенные системные
сообщения, интерфейс программ и т. д.).
Пока верстался номер, 14 февраля в Сети появились све-
дения о том, что компания Xandros выпустила в свет третью
версию Open Circulation Edition, восстановив таким образом
соответствие между бесплатной и платной версиями. В со-
став продукта вошли веб-браузер Mozilla Firefox, клиент элек-
тронной почты Mozilla Thunderbird и интернет-телефон Skype.
Как и его предшественник, Xandros Desktop 3 Open Circulation
Edition будет доступен для свободной загрузки через
BitTorrent. Вероятно, к выходу этого номера из печати, дист-
рибутив можно будет приобрести и в российских интернет-
магазинах.
Литература:
1. Синицын В. Заметки о Linare. – журнал «Системный
администратор», №11, ноябрь 2004 г.
2. Синицын В. Linspire одним глазком. – журнал «Систем-
ный администратор», №12, декабрь 2004 г.
3. Синицын В. Linux из Редмонда: обзор Lycoris Desktop/
LX. – журнал «Системный администратор», №1, январь
2005 г.
15
 администрирование

СОЗДАНИЕ РЕЛИЗА FreeBSD

АНДРЕЙ ЕЛСУКОВ
В этой статье я хочу обобщить свой опыт по сборке релиза не существует, то следующие компоненты для вас не важ-
операционной системы FreeBSD. Создание релиза – не та- ны, если же нет, то идём по пунктам.
кая уж сложная задача, но достаточно длительная и при
некоторых обстоятельствах может продолжаться дольше, CVS-репозитарий
чем ей необходимо. Да и к тому же описание этого процес- Эта «свалка файлов» в архиве на данный момент у меня
са на русском языке мне найти не удалось. Надеюсь, что занимает порядка 500 Мб. Чтобы получить репозитарий –
статья поможет желающим собрать свой релиз и обойти те проще всего воспользоваться CVSup. У меня по крону раз
проблемы, с которыми столкнулся когда-то я. в сутки запускается следующая команда для обновления
репозитария:
Для чего это нужно?
Я вижу несколько причин, для чего может понадобиться со- # cvsup –g –L 2 /mnt/cvs/cvs-supfile
здать релиз ОС FreeBSD в «домашних» условиях:
! не всегда есть время, средства, возможность покупать где конфигурационный файл CVSup выглядит так:
свежий релиз системы, чтобы иметь его на CD для бо-
лее быстрой установки «свежей» системы; *default host=cvsup2.FreeBSD.org
*default base=/var/db
! хочется иметь под рукой загрузочный инсталляционный *default prefix=/mnt/cvs/ncvs
диск системы со специфическими настройками: устано- *default release=cvs
*default delete use-rel-suffix
вочный диск STABLE-ветки; диск с обновленными драй- *default compress
верами, например для RAID-контроллеров; с определен-
src-all
ным набором скомпилированных пакетов; с архивами ports-all
исходных файлов некоторых программ для компиляции doc-all
cvsroot-all
из «портов»;
! хочется всё знать и уметь. Лучше всего, если вы достанете архив репозитария, пусть
даже старый у своего знакомого или ещё где-то – сэконо-
Кто-то, возможно, предложит свои причины, для меня мите кучу времени и трафика. Поддержание репозитария
достаточно и этих. в «свежем» состоянии уже не так накладно, так что, сде-
лав один раз, использую и сейчас.
Что нам необходимо для начала?
Как это ни банально, нужна машина под управлением ОС Архивы исходных файлов для сборки портов
FreeBSD. Причём желательно, чтобы версия системы была Не пугайтесь, дистрибутивы для всех портов нам не понадо-
из той же ветки, что и версия будущего релиза (почему «же- бятся. Но и перечислять каждый порт довольно утомитель-
лательно» – расскажу позднее). Если ваша машина под- ное занятие, да и от релиза к релизу этот список может раз-
ключена к Интернету и проблемы с ценой трафика для вас личаться, поэтому я немного обобщу:

16

! для сборки проекта документации понадобятся исход-
ные файлы для портов, список которых можно посмот-
реть в файле src/release/Makefile.inc.docports;
! для создания ISO-образов дисков нужен порт ports/sys
utils/cdrtools;
! для создания полноценного miniinst-диска нужны исход-
ные файлы Perl и X.org, либо XFree (в зависимости от
версии системы).
В общем-то, вот и всё. Недостающие компоненты мож-
но будет скачать во время сборки (если есть доступ к Инте-
ренету, то они скачаются автоматически).
Как это происходит?
Весь процесс сборки я условно разделил на несколько эта-
пов. Отчасти моя классификация перекрывает ту, что опи-
сана в мануале release(7). Итак, по порядку.
Подготовка к сборке
Кроме вышеперечисленного я отнёс сюда следующие дей-
ствия:
! получение исходных файлов системы для будущего ре-
лиза;
! выбор раздела, на котором достаточно свободного ме-
ста.
К слову сказать, для сборки релиза может понадобить-
ся от двух до четырёх с небольшим гигабайт свободного
места.
Сборка мира
Собственно, сборка мира точно такая же, как и при обнов-
лении системы, подробности – в handbook.
Создание chroot-окружения
Весь процесс сборки релиза, сразу после компиляции мира,
происходит в chroot-окружении. Сначала туда инсталлиру-
ется собранный мир, затем там происходит дальнейшая
компиляция системных библиотек, ядер, портов, проекта
документации и т. п.
Создание дистрибутива
Это заключительная стадия, включает в себя компиляцию
указанных ядер, создание структуры каталогов дистрибути-
ва, размещение архивов бинарных файлов и установочных
скриптов, создание каталога для инсталляции с FTP, созда-
ние ISO-образов дисков.
На что следует обратить внимание?
Рекомендую прочитать Makefile в каталоге src/release. Из него
можно почерпнуть довольно много полезной информации.
Так же обязательно прочитать мануал release(7) и желательно
просмотреть все файлы, на которые он ссылается.
make.conf
При сборке мира используются установки из /etc/make.conf
текущей системы. Рекомендую просмотреть их и подумать –
нужны ли они вам. К примеру, некоторые настройки могут
запрещать сборку отдельных частей системы, отсутствие
№2, февраль 2005
администрирование
которых может фатально сказаться на дальнейшей сборке
релиза, например Perl. Так что, если не хотите терять вре-
мя, лучше на первый раз закомментировать все опции в
make.conf или переименовать этот файл. Возможно, наобо-
рот, вы хотите использовать какие-то специфические оп-
ции, например дополнительную оптимизацию, – дело ваше.
Переменные окружения
Часть переменных окружения описана в мануале release(7).
Часть можно найти в make-скриптах, используемых при
сборке (в папке src/release). Хочу обратить внимание на не-
которые из них:
! DOC_LANG – в ней можно перечислить через пробел
языки, для которых вы хотите собрать документацию,
например, DOC_LANG=”en_US.ISO8859-1 ru_RU.KOI8-
R”. Если вы не укажете языки, то будут собираться все
возможные, а это довольно долго.
! NOPORTREADMES – при включении в дистрибутив де-
рева портов не будут генерироваться README.html с
описанием портов, что существенно ускорит процесс
сборки релиза.
! RELEASENOUPDATE – если при сборке у вас возникнет
ошибка, эта переменная совместно с целью make
rerelease освободит вас от повторного обновления ис-
ходных файлов системы из CVS-репозитария.
! BUILDNAME – имя релиза. Если не зададите, то получи-
те в результате что-то подобное FreeBSD-4.11-20050131-
STABLE. Ещё рекомендую задавать имя в стандартном
виде, как это делается в оригинальных дистрибутивах,
например 5.3-STABLE. Не нужно называть релиз своим
именем, если не хотите в дальнейшем иметь пробле-
мы, например, при установке или обновлении портов.
! MAKE_ISOS – если задать, то при завершении всех эта-
пов сборки автоматически будут созданы ISO-образы
дисков дистрибутива. Советую не спешить с указанием
этой переменной, создать образы никогда не поздно.
! hostname – это не переменная окружения, но я отнёс её
сюда. Когда вы соберёте релиз, при его установке, в
выводе команды uname, будет фигурировать имя хос-
та, на котором происходила сборка. Из эстетических
соображений на время сборки можно сменить имя хос-
та командой hostname.
«distfiles» для портов
Как я уже говорил, для сборки релиза понадобятся дистри-
бутивы некоторых портов. Если у вас уже есть скачанные
дистрибутивы, вы можете указать скриптам их местополо-
жение, и они не будут скачиваться снова. Для этого исполь-
зуется переменная окружения RELEASEDISTFILES. Если вы
пользуетесь системой портов и в вашем дереве есть ката-
лог ports/distfiles, то переменную можно не определять, этот
каталог будет скопирован в chroot-окружение (наверное,
стоит задуматься о том, сколько места он занимает).
Когда что-то пошло не так
Если с машины, где происходит сборка релиза, нет прямо-
го доступа к Интернету, то есть большая вероятность того,
что на каком-нибудь этапе сборка прервётся с ошибкой.
Хотя практика показывает, что они могут возникать и при
17
 администрирование
наличии доступа в Интернет. Ошибки, препятствующие
сборке релиза, могут быть разными. Начиная от простых –
нехватки каких-нибудь дистрибутивов для сборки из пор-
тов и заканчивая различными ошибками при компиляции.
Не нужно начинать всё сначала
Чтобы не начинать всё заново, расскажу, как с «минималь-
ными потерями» продолжить сборку релиза. Итак, предпо-
ложим, что процесс сборки прервался по какой-то причине.
Решив проблему, вы хотите продолжить сборку. Для этого
нужно указать утилите make цель «rerelease». И если нет не-
обходимости в обновлении исходных файлов системы из ре-
позитария, желательно определить переменную RELEASE
NOUPDATE.
Теперь, предположим, что вы хотите повторить какой-то
этап сборки, например пересобрать ISO-образы системы.
Предыдущая схема здесь не сработает. Если ISO-образы уже
были созданы, то повторного создания таким методом не
добиться, даже если предварительно их удалить. По той про-
стой причине, что при завершении этапов сборки (они опи-
саны в мануале release(7)) скриптами сохраняются «помет-
ки» об их завершении. Пометки – это обычные файлы, со-
зданные командой touch. Имена файлов соответствуют на-
званию завершившегося этапа. Файлы находятся в катало-
ге ${CHROOTDIR}/usr/obj/usr/src/release. Для того чтобы вновь
пересобрать ISO-образы, нужно удалить файл «iso.1» и уже
тогда запускать make rerelease.
Не хватает дистрибутивов для установки порта
Если есть доступ в Интернет, то возникновение такой ошиб-
ки маловероятно. Если же доступа нет, то можно вручную
скачать дистрибутив для установки порта с машины, где
есть доступ, и поместить его в папку ${CHROOTDIR}/usr/
ports/distfiles, конечно, нужно не забывать, что некоторые
дистрибутивы могут располагаться в отдельных каталогах.
Чтобы узнать, должен ли дистрибутив порта располагаться
в отдельном каталоге, нужно выполнить в каталоге порта
команду grep DIST_SUBDIR Makefile. После этого можно
продолжить сборку, как это описано выше.
Ошибки компиляции
Однозначный ответ на вопрос: что делать при ошибках ком-
пиляции? – пожалуй, дать довольно сложно. Опять же, могу
направить к чтению handbook, в котором есть несколько
советов на эту тему. Приведу несколько примеров ошибок
и возможных путей их решения:
! При сборке порта выводится ошибка о нехватке какой-
либо библиотеки, вместо установки её как зависимости.
Возможно, у вас отсутствует индексный файл портов –
ports/INDEX или ports/INDEX-5 (для 5-й ветки FreeBSD),
ports/INDEX-6 (для 6-й ветки FreeBSD). Можно скачать ин-
дексный файл с сайта – http://www.freebsd.org/ports/
INDEX.bz2, INDEX-5.bz2 или INDEX-6.bz2. Или просто пе-
рейти в ${CHROOTDIR} и собрать требуемый порт рука-
ми, устанавливая каждую зависимость, а затем продол-
жить сборку. Переходить в ${CHROOTDIR} нужно с по-
мощью команды chroot, чтобы порты устанавливались и
регистрировались в окружении той системы, релиз кото-
рой вы собираете.
18
! Какой-то определённый порт не собирается, даже если
выполнить предыдущие рекомендации. Некоторые пор-
ты во время сборки определяют версию системы и в за-
висимости от неё выбирают соответствующие парамет-
ры сборки приложения, либо по версии системы выби-
рается, какие зависимости имеет порт. Система портов
определяет версию через переменные ядра. Поэтому,
хоть сборка порта и происходит в chroot-окружении, где
все бинарные файлы и исходные коды от нужной вер-
сии ОС, для системы портов версия ОС будет той, в ко-
торой вы собираете релиз. Это следует помнить, так как
версия системы влияет и на выбор индексного файла, и
на то, какой файл будет скачиваться при выполнении
make fetchindex, и какой файл будет генерироваться при
выполнении make index. Это ограничение можно обой-
ти, если определить переменные OSVERSION и OSREL.
Формат OSVERSION можно посмотреть в переменной
ядра kern.osreldate, OSREL определяется по первым
цифрам вывода «uname -r». Подробнее всё это можно
узнать, просмотрев скрипты в каталоге ports/Mk. Эти
переменные можно поместить в ${CHROOTDIR}/etc/
make.conf, тогда они будут использоваться при каждом
запуске make в chroot-окружении.
Прочие ошибки
Искать способы исправления других ошибок вам придётся,
видимо, самим. Можно попытаться обратиться в один из
списков рассылки или форум, посвящённый FreeBSD. Рас-
скажу только об одной ошибке, не относящейся к предыду-
щим пунктам. Я столкнулся с ней, когда попытался собрать
релиз 4-й ветки, находясь в 5-й. Ошибка возникает, когда
система пытается создать загрузочную область и образы
загрузочных дискет. В 5-й версии было убрано псевдоуст-
ройство vn(4) и утилита vnconfig(8), их функционал перене-
сён в драйвер md(4) и mdconfig(8). Да, и ещё в 5-й версии
используется devfs.
Итак, как решить проблему по созданию релиза 4-й вер-
сии FreeBSD в окружении 5-й? Не скажу, что способ пра-
вильный, но он рабочий, по пунктам:
! Нужно определить в make.conf переменные OSVERSION
и OSREL в значение, которое они должны иметь в со-
здаваемом релизе.
! Собираем мир, устанавливаем его и после завершения
этапа release.2 прерываем сборку. Добавляем аналогич-
ные опции в ${CHROOTDIR}/etc/make.conf. Это необхо-
димо для корректной сборки портов. Продолжаем сбор-
ку релиза.
! После завершения этапа release.7 сборка должна пре-
рваться с ошибкой в скрипте doFS.sh. Теперь нужно ста-
тически собрать утилиту mdconfig, чтобы исключить все
зависимости от разделяемых библиотек. Для этого по-
надобятся исходные файлы текущей системы (той, в ко-
торой происходит сборка релиза), переходим в каталог
src/sbin/mdconfig и запускаем команду «make -DNO
SHARED depend all». В каталоге obj/usr/src/sbin/mdconfig
будет статически скомпилированная утилита mdconfig.
Копируем её в ${CHROOTDIR}/sbin/. Монтируем файло-
вую систему devfs – «mount_devfs devfs ${CHROOTDIR}/
dev». Теперь можно продолжить сборку релиза.

Я не проверял, будет ли этот способ работать при сбор-
ке релиза 5-й версии FreeBSD, находясь в окружении 4-й,
но не вижу причин, по которым сборка может не удастся.
Различие только в том, что собирать нужно будет не
mdconfig, а vnconfig и вместо монтирования devfs создавать
файлы устройств с помощью скрипта /dev/MAKEDEV.
Приступим к сборке
Процесс сборки релиза опишу именно так, как делаю его я.
Начальные данные:
! Рабочий сервер, у которого есть доступ в Интернет, на
нём находятся CVS-репозитарий и каталог distfiles с ди-
стрибутивами для сборки портов.
! Ещё один сервер, на котором я ставлю эксперименты,
он находится внутри локальной сети без доступа в Ин-
тернет.
! Доступ к CVS-репозитарию осуществляется по NFS.
! Собирать буду FreeBSD 5.3-STABLE, т.е. с CVS-тэгом
RELENG_5.
Подготовка
# cd /usr/home
# mkdir release
# mount_nfs –o rdonly server:/usr/home/cvs /mnt
# cvs –Rd /mnt/ncvs co –Pr RELENG_5 src
# cd src/
# mv /etc/make.conf /etc/make.conf.old
# make –j8 buildworld
# cd release/
# vim start.sh
После сборки мира я создаю скрипт примерно со сле-
дующим содержанием:
make –j8 CHROOTDIR=/usr/home/release BUILDNAME=5.3-STABLE ↵
CVSROOT=/mnt/ncvs RELEASETAG=RELENG_5 ↵
DOC_LANG=”en_US.ISO8859-1 ru_RU.KOI8-R” ↵
NOPORTREADMES=yes RELEASENOUPDATE=yes release
-j8 –максимальное количество make-процессов, которое мо-
жет работать параллельно (сервер у меня двухпроцессор-
ный, со SCSI RAID-5); RELEASENOUPDATE – это на буду-
щее (чтобы не забыть), для цели «release» эта переменная
не используется.
NFS-каталог server:/usr/ports/distfiles можно примонтиро-
вать сейчас в /usr/ports/distfiles или позже.
Сборка релиза
Теперь запускаем сборку релиза: sh start.sh. После получе-
ния исходных файлов системы и дерева портов из CVS
можно прервать сборку и примонтировать distfiles:
# mount_nfs –o rdonly server:/usr/ports/distfiles ↵
/usr/home/release/usr/ports/distfiles
# vim start.sh
В файле start.sh исправляем цель release на rerelease и
запускаем sh start.sh. Теперь можно заняться своими дела-
ми, но переодически посматривать за процессом сборки.
Если каких-то портов не будет хватать, я запускаю на сер-
вере make fetch-recursive для нужного порта и после завер-
шения снова запускаю start.sh. Когда процесс закончится,
вы увидите надпись «make rerelease for i386 finished …».
№2, февраль 2005
администрирование
Перед сборкой ISO-образов в 5-й версии FreeBSD не-
обходимо создать пакеты xorg и perl5. Если делать всё «по
правилам», то для создания пакетов должен использовать-
ся отдельный сервер, так как других лишних серверов у
меня в наличии нет, я использую этот же.
Технология такая:
! Создаётся каталог ${CHROOTDIR}/usr/ports/packages.
! В chroot-окружении создаются необходимые пакеты вме-
сте со всеми зависимостями при помощи make package-
recursive.
! По имеющимся пакетам создаётся файл INDEX.
! Каталог packages копируется в ${CHROOTDIR}/R/cdrom/
disc1/.
По первым двум пунктам вроде бы вопросов быть не дол-
жно, а вот о создании файла INDEX расскажу подробнее.
Я использовал для его создания свой скрипт, поэтому
не заметил, как в версии 5.3 появился скрипт src/release/
scripts/mkpkgindex.sh.
Мой скрипт выглядит так:
#!/usr/local/bin/perl
foreach(`ls All/`) {
chop;
s/\.t.z$//;
`grep -E "^$_" ../INDEX-5 >> INDEX`;
}
Итак, для минимального дистрибутива нужны пакеты
perl и xorg, создаём их и копируем на «будущий» диск:
# mkdir /usr/home/release/usr/ports/packages
# cp mkindex.pl /usr/ports/packages
# chroot /usr/home/release
# cd /usr/ports/lang/perl5.8 && make package-recursive
# cd /usr/ports/x11/xorg && make package-recursive
# cd /usr/ports/x11/xorg-manpages && make package-recursive
# cd /usr/ports/packages
# ./mkindex.pl
# rm mkindex.pl
# cp –PRv /usr/ports/packages /R/cdrom/disc1/
# exit
Теперь можно создавать ISO-образы, исправляем файл
start.sh, добавив переменную MAKE_ISOS=yes, и запуска-
ем start.sh. Установится порт cdrtools и создадутся два об-
раза диска.
На этом всё.
Заключение
В завершение хотелось бы упомянуть о возможностях со-
здания нестандартного дистрибутива, имеющихся в сбороч-
ных скриптах релиза системы.
В первую очередь это настройка sysinstall при помощи
конфигурационного файла install.cfg. На эту тему в Интер-
нете можно найти множество статей, ну и конечно же не
надо забывать про мануал sysinstall(8).
Также есть возможность применения сторонних патчей
к исходным файлам системы во время создания релиза.
Обратите внимание на переменные LOCAL_PATCHES,
PATCH_FLAGS и LOCAL_SCRIPT в мануале release(7).
Ну и если вам необходимо что-то действительно нео-
бычное, обратите внимание на сборочные скрипты таких
проектов, как Frenzy, FreeSBIE, LiveBSD.
19
 администрирование
КОНСТРУКТИВНЫЙ DIALOG
Думаю, вам приходилось сталкиваться с работой утилиты
dialog, входящей в состав большинства UNIX-систем (вклю-
чая FreeBSD и практически все дистрибутивы Linux). Для
Linux она часто используется в конфигурационных сцена-
риях, во FreeBSD ее можно встретить при установке неко-
торых приложений из коллекции портов (например, oops,
php). Она позволяет создавать простейшие диалоговые
окна для взаимодействия с пользователем, используя псев-
дографику (как в sysinstall). Конечно, для «ортодоксально-
го» системного администратора любое отступление от ко-
мандной строки – кощунство, однако интерактивность в
ряде случаев может быть весьма полезной.
20
СЕРГЕЙ СУПРУНОВ
Нужно заметить, что версии этой утилиты для Linux и
для FreeBSD несколько отличаются. Данная статья будет
посвящена версии, входящей в состав FreeBSD по умолча-
нию (конкретно – FreeBSD 5.3), а в завершение я скажу не-
сколько слов об особенностях dialog в Linux.
Если в командной строке набрать «dialog» без парамет-
ров, то будет выведена справка по использованию утили-
ты. Нужно заметить, что богатством функций она не бле-
щет. Так, с ее помощью можно задать пользователю воп-
рос, требующий ответа «Да» или «Нет», отобразить содер-
жимое файла или результат работы какой-нибудь коман-
ды, запросить ввод строки, предложить выбрать одну или

несколько альтернатив из списка, создать меню, отобразить
список некоторых значений в виде дерева. Dialog не позво-
ляет комбинировать несколько элементов в одном окне (на-
пример, группу полей ввода), то есть если вы решите ис-
пользовать его для разработки сценария настройки сете-
вых интерфейсов, то такие параметры, как IP-адрес, мас-
ка, шлюз по умолчанию, придется запрашивать поочеред-
но в отдельных окнах. Тем не менее на базе этой утилиты
можно строить достаточно «продвинутые» сценарии.
Синтаксис команды, с вашего позволения, дублировать
не буду. Для разминки сразу напишем сценарий, позволяю-
щий управлять сервером Apache – запускать его, останав-
ливать, выполнять «мягкий» и «жесткий» перезапуск (graceful
и restart соответственно). Обычно для этого используется
утилита apachectl, однако если Apache работает достаточно
стабильно, то ее ключи начинают забываться. Следующий
пример демонстрирует решение поставленной задачи:
Ïðèìåð 1: apctl.sh - Ñöåíàðèé óïðàâëåíèÿ ñåðâåðîì Apache
#!/bin/sh
# apctl.sh
dialog --title "Apachectl interface" \
--menu "
Äàííûé ñöåíàðèé óïðàâëÿåò ñåðâåðîì Apache.
Âûáåðèòå äåéñòâèå èç ïðåäëîæåííûõ íèæå:" 17 50 8 \
start "Çàïóñê ñåðâåðà Apache" \
stop "Îñòàíîâ ñåðâåðà Apache" \
restart "'Æåñòêèé' ïåðåçàïóñê" \
graceful "'Ìÿãêèé' ïåðåçàïóñê" \
status "Ñòàòóñ ñåðâåðà" \
fullstatus "Ïîäðîáíûé ñòàòóñ" \
configtest "Òåñò êîíôèãóðàöèîííîãî ôàéëà" \
help "Âûâîä ñïðàâêè" 2> apctl.tmp
COMMAND=`cat apctl.tmp`
COMMAND="/usr/local/sbin/apachectl $COMMAND"
dialog --title "Apachectl interface" \
--yesno "
ÂÍÈÌÀÍÈÅ! Áóäåò âûïîëíåíà ñëåäóþùàÿ êîìàíäà:
$COMMAND
Ïðîäîëæèòü?" 10 50
if [ $? = 0 ]; then
$COMMAND
fi
rm apctl.tmp
Рассмотрим подробнее, что происходит. Основная ра-
бота выполняется утилитой dialog, которой передаются па-
раметры для построения в данном случае диалога «Меню»,
позволяющего выбрать один из вариантов среди предло-
женных. Синтаксис достаточно прост. Ключ --title задает за-
головок окна, далее ключ --menu указывает тип диалога и
требует следующих параметров:
! Сопроводительный текст.
! Высота окна (в символах).
! Ширина окна (в символах).
! Количество пунктов меню.
! Пары «Ключ» – «Пояснение» для каждого пункта меню.
В результате мы получим окно, изображенное на рис. 1.
Ключ выбранного пункта меню выводится в стандарт-
ный поток сообщений об ошибках (stderr), и, чтобы можно
было его в дальнейшем использовать, мы перенаправляем
№2, февраль 2005
администрирование
strerr (имеющий дескриптор 2) в файл с помощью такой кон-
струкции: 2> apctl.tmp. В дальнейшем сохраняем содержи-
мое этого файла в переменной $COMMAND и дополняем
полным именем утилиты apachectl. Таким образом, в пере-
менной $COMMAND оказывается команда, которую нужно
исполнить. Теперь уточним у пользователя, действительно
ли он хочет выполнить эту команду, для чего используем
еще один диалог типа «Да/Нет». Результат взаимодействия
с пользователем в данном случае можно получить из пере-
менной $?, хранящей код возврата последней команды.
Если была выбрана кнопка «Yes», код возврата будет 0 (ус-
пешное завершение).
Ðèñóíîê 1
Ну и прежде чем завершить работу, сценарий apctl.sh
должен удалить созданный им временный файл apctl.tmp.
Учитывая, что этот файл создается в том же каталоге, из
которого был вызван сценарий, вероятность, что несколь-
ко пользователей запустят его одновременно в одной и той
же папке, достаточно низка. Тем не менее если она все же
существует, то имеет смысл имя временного файла фор-
мировать динамически, как будет показано ниже.
Перейдем к более серьезному примеру: напишем сцена-
рий, позволяющий формировать файл .htaccess для управ-
ления поведением сервера Apache в конкретных каталогах.
Как вы сейчас увидите, работа эта неблагодарная, и создать
файл тонкой настройки вручную намного проще. Тем не ме-
нее если вы выделяете своим пользователям место под до-
машнюю страничку и предоставляете им терминальный до-
ступ к домашнему каталогу, то подобным сценарием можно
несколько упростить жизнь не только хозяевам странички,
но и службе технической поддержки. К тому же в данном
примере мы встретимся почти со всеми типами диалоговых
окон, что очень хорошо для усвоения материала.
Чтобы не завязнуть в возможностях .htaccess и не уйти
от основной темы статьи, ограничимся двумя простейши-
ми опциями: обработкой ошибки 404 «Файл не найден» (оп-
ция ErrorDocument 404) и включением SSI-обработки для
файлов с определенными расширениями (опция AddHandler
server-parsed).
Опция ErrorDocument может принимать в качестве вто-
рого параметра (первый в нашем случае равен «404» – но-
мер обрабатываемой ошибки) либо просто текстовую стро-
ку, которая будет использоваться в стандартной странице
ошибки, либо URL файла, возвращаемого пользователю
при запросе несуществующей страницы. Причем файл мо-
жет располагаться как локально на этом же сервере, так и
21
 администрирование
на другой, удаленной машине. В первом случае указывает- OFF \
ся относительный или абсолютный (от корня веб-сервера) REDIR "Ïåðåíàïðàâëåíèå íà óäàëåííûé ↵
ðåñóðñ" OFF 2> $TF
путь к файлу, во втором – полный URL ресурса, включая
протокол: ERR_MSG=`grep "MSG" $TF`
ERR_FILE=`grep "FILE" $TF`
ERR_REDIR=`grep "REDIR" $TF`
ErrorDocument 404 “Çàïðîøåííàÿ ñòðàíèöà íå ñóùåñòâóåò
ErrorDocument 404 /_srv_/error404.html QUOT=""
ErrorDocument 404 http://my.server.ru/errors/error404.htm if [ "$ERR_MSG" != "" ]; then
QUOT="\""
TEXT="
С опцией AddHandler все еще проще – она первым па- Ââåäèòå òåêñò ñîîáùåíèÿ îá îøèáêå 404:"
раметром принимает тип обработчика (в нашем случае это fi
server-parsed, говорящий, что будет обрабатываться SSI), if [ "$ERR_FILE" != "" ]; then
а далее – список расширений файлов, которые должны под- TEXT="
Ââåäèòå àáñîëþòíîå èìÿ ôàéëà (îò êîðíÿ âåá-ñåðâåðà)
падать под действие этого обработчика: èëè èìÿ îòíîñèòåëüíî òåêóùåãî êàòàëîãà:
Ïðèìåð: /errors/err404.html"
fi
AddHandler server-parsed .shtml .shtm
if [ "$ERR_REDIR" != "" ]; then
TEXT="
Как обычно, сначала приведу весь сценарий полностью: Ââåäèòå ïîëíûé URL ðåñóðñà (âêëþ÷àÿ íàèìåíîâàíèå ïðîòîêîëà):
Ïðèìåð: http://my.server.ru/errors/err404.html"
fi
Ïðèìåð 2: mkhtac.sh – Ñöåíàðèé äëÿ ñîçäàíèÿ .htaccess
#==[Dialog 3b]==
#!/bin/sh dialog --title "Make .htaccess: ErrorDocument" \
# mkhtac.sh --inputbox "$TEXT" 10 70 2> $TF
# Ñîçäàíèå âñïîìîãàòåëüíûõ ôàéëîâ ERRMSG=`cat $TF`
TF=`mktemp –t dlg` ERR2HT="ErrorDocument 404 $QUOT$ERRMSG"
TF_TREE=`mktemp –t tree` echo $ERR2HT
fi
# Çàïèñü â ôàéë äåðåâà êàòàëîãîâ
find www -type d > $TF_TREE if [ "$SSI" != "" ]; then
#==[Dialog 4a]==
# Ðåãèñòðàöèÿ îáðàáîò÷èêà ñèãíàëîâ dialog --title "Make .htaccess: SSI parse" \
trap "rm -f $TF $TF_TREE" 0 2 9 15 --checklist "
Îòìåòüòå, êàêèå ôàéëû äîëæíû
#==[Dialog 0]== îáðàáàòûâàòüñÿ ïàðñåðîì SSI:" 15 40 4 \
dialog --title "Make .htaccess: Confirmation" \ ".shtml" "ôàéëû shtml" ON \
--yesno " ".shtm" "ôàéëû shtm" ON \
Äàííûé ñöåíàðèé ïîìîæåò âàì ".html" "ôàéëû html" OFF \
ñîçäàòü ôàéë .htaccess. ".htm" "ôàéëû htm" OFF 2> $TF
Ïðîäîëæèòü?" 10 40 EXTLST=`cat $TF | tr "\"" "\0"`
SSI2HT="AddHandler server-parsed $EXTLST"
if [ $? != 0 ]; then echo $SSI2HT
exit fi
fi
# Çàïèñü ðåçóëüòàòîâ â ôàéë .htaccess
#==[Dialog 1]== HTFILE=$HTDIR/.htaccess
dialog --title "Make .htaccess: Select dir" \ touch $HTFILE
--ftree $TF_TREE "/" " [ "$ERR2HT" != "" ] && echo $ERR2HT >> $HTFILE
Óêàæèòå êàòàëîã, â êîòîðîì äîëæåí [ "$SSI2HT" != "" ] && echo $SSI2HT >> $HTFILE
áûòü ñîçäàí ôàéë .htaccess:" 19 40 10 2> $TF
#==========================[Dialog 5]==
if [ $? != 0 ]; then dialog --title "Make .htaccess: Finish" \
exit --msgbox "
fi Ðàáîòà çàâåðøåíà. Ñåé÷àñ ñîçäàííûé ôàéë
áóäåò âûâåäåí íà ýêðàí, ÷òîáû âû ìîãëè
HTDIR=`cat $TF` îçíàêîìèòüñÿ ñ ðåçóëüòàòîì.
#==[Dialog 2]== Äàëüíåéøèå èçìåíåíèÿ â ñîçäàííûé ôàéë
dialog --title "Make .htaccess: Select options" \ ìîæíî áóäåò âûïîëíèòü âðó÷íóþ." 15 50
--checklist "
Óêàæèòå îïöèè, êîòîðûå ñëåäóåò äîáàâèòü #==[Dialog 6]==
â ôîðìèðóåìûé .htaccess:" 15 50 2 \ dialog --title "Make .htaccess: Result" \
ErrorDocument "Îáðàáîòêà îøèáêè 404" OFF \ --textbox $HTFILE 15 50
AddHandler "Âêëþ÷åíèå SSI" OFF 2> $TF

if [ $? != 0 ]; then В первых строках сценарий подготавливает два времен-

exit ных файла. Они создаются утилитой mktemp с префиксами
fi
dlg и tree соответственно и по умолчанию будут размеще-
ERROR=`grep "ErrorDocument" $TF` ны в каталоге /tmp.
SSI=`grep "AddHandler" $TF`
Первый из них ($TF) служит для перехвата вывода ути-
if [ "$ERROR" != "" ]; then литы dialog, во второй ($TF_TREE) заносится результат ра-
#==[Dialog 3a]==
dialog --title "Make .htaccess: ErrorDocument" \ боты команды find, которая возвращает имена всех ката-
--radiolist " логов, найденных в папке www. Благодаря тому, что mktemp
Âûáåðèòå îäèí èç ñïîñîáîâ îáðàáîòêè îøèáêè 404:" 15 60 3 \
MSG "Òåêñòîâîå ñîîáùåíèå îá îøèáêå" ON \ создает файлы со случайными именами, можно не беспо-
FILE "Ïåðåíàïðàâëåíèå íà ëîêàëüíûé ôàéë" ↵ коиться о том, что скрипт, запущенный одним пользовате-

22
 администрирование
лем, удалит временные файлы, с которыми в этот же мо- нейшем используется в следующем диалоге ([Dialog 3b]),
мент времени работает другой экземпляр сценария. поясняя пользователю, что же он должен ввести.
Командой trap регистрируем обработчик для сигналов
0 (нормальное завершение), 2 (SIGINT – прерывание, на-
пример, по Ctrl-C), 9 (SIGKILL – безусловное завершение) и
15 (SIGTERM – программное прерывание). При поступле-
нии одного из этих сигналов будет выполнена команда rm,
удаляющая созданные сценарием временные файлы.
Фрагмент сценария, помеченный как [Dialog 0], выво-
дит окно типа «Да/Нет» с вопросом о продолжении, и при
ответе «Нет» работа сценария завершается.
[Dialog 1] выводит дерево каталогов, корнем которого
является в нашем случае папка www, и пользователь мо-
жет выбрать в нем каталог, в котором следует создать файл
.htaccess. Результат представлен на рис. 2, выбор пользо-
вателя заносится в переменную $HTDIR. Ðèñóíîê 4
Значение, введенное в [Dialog 3b] (рис. 5), заносится в
переменную $ERRMSG, и вместе с именем самой опции в
переменной $ERR2HT формируется строка, которая в даль-
нейшем будет записана в файл.

Ðèñóíîê 2
[Dialog 2] (см. рис. 3) выводит список флажков (checklist),
предлагая пользователю отметить те опции, которые он
желает иметь в создаваемом файле .htaccess. Результат
выбора раскладывается по переменным $ERROR и $SSI с
помощью утилиты grep. Если та или иная опция не упоми-
нается во временном файле, то соответствующая перемен-
ная останется пустой, что и используется при определении
последующих действий.
Ðèñóíîê 5
Следующий диалог ([Dialog 4a]) предлагает пользова-
телю отметить типы файлов, которые будут обрабатывать-
ся SSI-парсером (рис. 6). Поскольку отмеченные пункты при
выводе в stderr (перенаправляемый в файл) заключаются
в кавычки, то при их извлечении кавычки нужно удалить,
для чего используется утилита tr.

Ðèñóíîê 3
Так, если была выбрана опция ErrorDocument, то на эк-
ране появится диалоговое окно, изображенное на рис. 4.
За его формирование отвечает вызов dialog, помеченный,
как [Dialog 3a]. Здесь реализуется список зависимых кно-
пок (radiolist), позволяющий выбрать один из предложен-
ных вариантов. В зависимости от выбора пользователя в
переменную $TEXT заносится сообщение, которое в даль-
Ðèñóíîê 6
После всех этих мучений наконец-то создается файл
.htaccess, и в него записываются сформированные строки
(если они не пустые). [Dialog 5] поздравляет пользователя
с этим знаменательным моментом (рис. 7), а [Dialog 6] вы-
водит на экран полученный результат, демонстрируя рабо-

№2, февраль 2005 23

 администрирование
ту диалога типа «textbox», который выводит содержимое
указанного в качестве параметра файла.
Ðèñóíîê 7
Вернемся к свойствам утилиты dialog. Цветовую гамму
окон и некоторые другие параметры (например, отображе-
ние тени) можно изменить. Для этого используется конфи-
гурационный файл, шаблон которого можно создать такой
командой:
$ dialog --create-rc <file>
В результате в файл <file> будет записана конфигура-
ция по умолчанию. Полученный файл следует либо пере-
именовать в .dialogrc и поместить в домашнюю папку
пользователя (в результате он будет распространяться на
все диалоги, запущенные этим пользователем), либо ука-
зать к нему путь в переменной окружения DIALOGRC. Ре-
дактирование конфигурационного файла сложностей выз-
вать не должно, поскольку каждая строчка в нем достаточ-
но хорошо прокомментирована.
Ðèñóíîê 8
Ну и как было обещано – несколько слов об особеннос-
тях dialog в Linux. Так как «стационарного» Linux у меня под
рукой нет, я воспользовался LiveCD-дистрибутивом Knoppix.
В отличие от FreeBSD-версии в Linux dialog имеет ряд допол-
нительных опций и возможностей. Так, с его помощью мож-
но реализовать диалоги выбора даты (--calendar, рис. 8),
выбора файла (--fselect, рис. 9), вывести индикатор выполне-
ния процесса, именуемый в народе «термометром» (--gauge),
запросить ввод пароля (элемент --passwordbox), можно до-
бавлять в диалоговые окна дополнительные кнопки и т. д.
Зато в нем нет «деревьев» (элементы --tree и --ftree в
FreeBSD-версии), так что рассмотренный нами пример 2 на
24
Linux работать не будет, и придется запрашивать папку для
создания .htaccess другим способом (например, с помощью
поля ввода).
Ðèñóíîê 9
Ряд параметров (цвет элементов окна, наличие тени
и т. д.) в Linux-версии можно изменить не только в конфи-
гурационном файле, но и в командной строке с помощью
соответствующих ключей.
Кстати говоря, Linux-версию утилиты dialog можно ус-
тановить и на FreeBSD. Она доступна в коллекции портов
под именем cdialog (/usr/ports/devel/cdialog).
Помимо консольной версии существует Xdialog, выпол-
няющий аналогичные функции в графической среде. В том
же Knoppix его работу можно наблюдать, например, при
вызове сценария настройки сети (рис. 10). А на рис. 11 еще
раз показан «Календарь», но уже в исполнении Xdialog.
Ðèñóíîê 10
Ðèñóíîê 11
В завершение статьи отмечу также, что библиотеку,
лежащую в основе утилиты dialog, можно использовать и
непосредственно в своих программах на C/C++. Существу-
ют также интерфейсы к данной библиотеке для Perl, Python
и Ruby (их можно установить из коллекции портов: devel/
p5-Dialog, devel/py24-dialog и devel/ruby-dialogs соответствен-
но). Дополнительную информацию, как обычно, можно по-
лучить на страницах справочного руководства man dialog(1)
и dialog(3).

Множественные уязвимости в AWStats
Программа: AWStats 6.3 final и более ранние версии.
Опасность: Высокая.
Описание: Уязвимость позволяет удаленному пользовате-
лю выполнить некоторые perl-директивы, вызвать отказ в
обслуживании и получить доступ к важной информации
пользователей.
Уязвимость обнаружена в плагине rawlog при обработ-
ке переменных loadplugin и pluginmode. Удаленный пользо-
ватель может выполнить произвольный perl-сценарий с при-
вилегиями веб-сервера или вызвать отказ в обслуживании.
Пример:
↵
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?↵
&PluginMode=:print+getpwent
Удаленный пользователь может выполнить произволь-
ный плагин. Уязвимость существует из-за недостаточной
проверки данных перед вызовом функции require(). Пример:
http://server/cgi-bin/awstats-6.4/awstats.pl? ↵
&loadplugin=../../../../usr/libdata/perl/5.00503/blib
Удаленный пользователь может получить доступ к важ-
ной информации, вызвав один из отладочных сценариев.
Пример:
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=1
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=2
URL производителя: http://awstats.sourceforge.net.
Решение: Установите обновление с сайта производителя.
Выполнение произвольного кода
в Symantec Norton Anti-Virus
Программа: Norton AntiVirus для Microsoft Exchange 2.1, вер-
сии до build 2.18.85; Symantec Norton Antivirus 2004 для
Windows и Macintosh; Symantec Norton Antivirus 9.0 для
Macintosh.
Опасность: Высокая.
Описание: Уязвимость обнаружена в DEC2EXE при обра-
ботке UPX-файлов. Удаленный пользователь может создать
специальным образом UPX-файл, вызвать переполнение
буфера и выполнить произвольный код на уязвимой систе-
ме.
URL производителя: http://www.symantec.com.
Решение: Установите обновление: http://www.symantec.com/
techsupp.
Уязвимость форматной строки в ngIRCd
Программа: ngIRCd 0.8.2 и более ранние версии.
Опасность: Высокая.
Описание: Обнаружена уязвимость форматной строки, ко-
торая позволяет удаленному пользователю выполнить про-
извольный код на уязвимой системе.
Уязвимость обнаружена в функции Log_Resolver() фай-
ла log.c. Если ngIRCd был скомпилирован с поддержкой Ident,
syslog и DEBUG, удаленный пользователь может послать
строку специально сформированных данных ident в ответ на
ident-запрос и выполнить произвольный код на системе.
URL производителя: http://arthur.ath.cx/~alex/ngircd.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
№2, февраль 2005
bugtraq
Переполнение буфера в fd_set-структуре
во многих приложениях
Программа: gnugk 2.2.0, jabber 1.4.1, bnc 2.8.4, socks5 1.0r1,
citadel 6.27, dante 1.1, rinetd 0.62, bld 0.3, 3proxy 0.4.
Опасность: Высокая.
Описание: Структура fd_set на всех POSIX-совместимых
платформах определяется как bitmask-массив с номером
сокета в качестве индекса массива. Структура fd_set ис-
пользуется в функции select() и нескольких специальных
макросах (FD_SET, FD_CLR, FD_ISSET, FD_CLEAR) для
работы с дескрипторами ввода/вывода. Ни FD_SET ни фун-
кция select() не контролируют, чтобы номер сокета был боль-
ше значения FD_SETSIZE. Удаленный пользователь может
перезаписать память за fd_set-структурой и выполнить про-
извольный код или вызвать отказ в обслуживании.
Решение: Установите обновления от производителей.
Источник: http://www.security.nnov.ru/advisiories/sockets.asp.
Php-инклудинг и XSS в SquirrelMail
Программа: SquirrelMail версии до 1.4.4.
Опасность: Высокая.
Описание: Некоторые переменные в сценарии src/web
mail.php позволяют удаленному пользователю с помощью
специально сформированных параметров произвести php-
инклудинг и выполнить произвольные команды на системе
с привилегиями веб-сервера.
Удаленный пользователь может с помощью специаль-
но сформированного URL произвести XSS-нападение и по-
лучить доступ к важным данным пользователей. Уязвимость
существует в сценарии src/webmail.php.
Отсутствие инициализации переменных в файле functions/
prefs.php позволяет удаленному пользователю инклудинг и
выполнение произвольных php-сценариев при включенной
опции register_globals в конфигурационном файле php.ini.
URL производителя: http://www.squirrelmail.org.
Решение: Установите обновление: http://www.squirrel
mail.org/download.php
Удаленное выполнение произвольного
кода в BrightStor ARCserve Backup
Программа: BrightStor ARCserve Backup версии до 11.1.
Опасность: Высокая.
Описание: BrightStor ARCserve посылает пробные UDP-со-
общения на широковещательный адрес для выявления дру-
гих BrightStor-серверов в сети. Служба Discovery слушает
на 41524 UDP-порту пробные запросы. Переполнение бу-
фера существует в функции recvfrom() при обработке проб-
ных UDP-пакетов. Функция получает 4096 байт, которые ко-
пируются в буфер меньшего размера. UDP-сообщение, раз-
мером более 1000 байт, вызовет переполнение буфера и
даст возможность удаленному пользователю выполнить
произвольный код на уязвимой системе с привилегиями
Local SYSTEM.
URL производителя: http://supportconnectw.ca.com/public/
enews/BrightStor/brigcurrent.asp.
Решение: Установите обновления от производителя.
Составил Александр Антипов
25
 администрирование
ПОЧТОВЫЙ СЕРВЕР НА БАЗЕ POSTFIX
ЗАЩИТА ОТ ВИРУСОВ И НЕЖЕЛАТЕЛЬНОЙ ПОЧТЫ
МИНИМАЛЬНЫМИ СРЕДСТВАМИ
В январском номере журнала за прошлый год вышла моя
статья [1], посвященная настройке почтовых фильтров на
базе MTA Sendmail. Тогда я не предполагал, что она может
вызвать такой широкий интерес и привести к целому ряду
публикаций на совершенно разные темы. Очень большое
количество откликов со стороны читателей натолкнуло меня
на мысль поделиться своими новыми изысканиями в обла-
сти системного администрирования.
Немного теории
Среди многочисленных систем передачи информации в
глобальной сети Интернет немаловажную роль играет сис-
тема передачи электронных сообщений от одного респон-
дента к другому. Она включает в себя клиентов доставки,
протоколы передачи данных и процедуры согласования
между агентами. Один из основных агентов, отвечающий
за доставку сообщения от одного клиента к другому, полу-
чил название MTA (Mail Transfer Agent). На сегодняшний
день этих агентов насчитывается уже более десяти. В дан-
ной статье речь пойдет об MTA Postfix.
Некоторое время назад я сменил работу, перейдя в одну
из лучших фирм Петербурга на должность ведущего инже-
нера. Системный администратор, занимавшийся управлени-
ем сетевой инфраструктурой фирмы, был очень занят серь-
езным проектом и меня попросили помочь в решении не-
большой проблемы, связанной с постоянным падением по-
чтового сервера. Таким образом я получил в свои руки
связку из Red Hat Enterprise Linux (RHEL) 3.0 и как-то на-
строенного Postfix. При всем моем скептическом отноше-
нии к Linux меня в данной ситуации подогревал жуткий ин-
терес, какими минимальными средствами можно заставить
корректно работать данную систему. При этом требовалось,
26
ГЕННАДИЙ ДМИТРИЕВ
чтобы она выполняла функции фильтрации почты как на
вирусы, так и на нежелательную корреспонденцию. В этой
статье я не буду подробно описывать всю систему цели-
ком, материалов на похожие темы предостаточно. Я лишь
укажу на некоторые интересные моменты в данной связке
и покажу, какими минимальными средствами можно полу-
чить вполне рабочую систему. Итак, начнем.
Kaspersky
Со времен выхода первой статьи [1], где я рассказывал о
связке Sendmail и Kaspersky Antivirus for FreeBSD, ничего не
изменилось. Однако для привязки Kaspersky Antivirus в RHEL
3.0 нужно будет использовать отдельную утилиту, обеспечи-
вающую шлюз для обмена данными между Postfix и антиви-
русной программой. Но все по порядку.
Первое, с чего мы начнем – это создадим отдельную
группу и пользователей, от имени которых будут работать
наши демоны. Они пригодятся нам в дальнейшем, когда
мы будем устанавливать и настраивать спам-фильтры.
# groupadd filter –g 551
# mkdir /var/spool/filter /var/spool/filter/spamd
# useradd -u 542 -g 551 -d /var/spool/filter/spamd ↵
-s /sbin/nologin avpclient
# useradd -u 543 -g 551 -d /nonexistent ↵
-s /nonexistent avpdaemon
# chown avpclient:filter /var/spool/filter/spamd
# cd /var/spool/filter/avp
# mkdir Bases ctl dev etc proc tmp tst usr var var/log
# chown –R avpdaemon:filter Bases ctl tmp tst var
# cd dev
# mknod console c 0 0
# mknod null c 2 2
Последние две команды необходимы, так как антиви-
русный демон будет запускаться в chroot-окружении.
 администрирование
Покончив с деревом каталогов, берем дистрибутив BackupInfected=No
Kaspersky Antivirus for Linux Server (kavwslinux-4.0.3.1.tgz), IfDisinfImpossible=1
распаковываем: [Report]
# Òðåáóåì âåñòè ôàéë æóðíàëà
Report=Yes
# tar xzvf kavwslinux-4.0.3.1.tgz UseSysLog=No
# cd kavwslinux # Ïðîïèñûâàåì ïóòü ê ôàéëó æóðíàëà
ReportFileName=/var/log/kavscan.log
Из всего списка получившихся файлов нам понадобит- # Îòêëþ÷àåì ðàñøèðåííûå ôîðìû çàïèñè â æóðíàëå
ся: AvpUnix.ini, kavdaemon, kavscanner, kavupdater, а также ExtReport=No
RepForEachDisk=No
файл /etc/defUnix.prf. LongStrings=Yes
Перейдем к установке и настройке антивируса. Скопи- # Îòêëþ÷àåì ïîëüçîâàòåëüñêèé ôàéë æóðíàëà
UserReport=No
руем в каталог /var/spool/filter/avp перечисленные выше фай-
лы. В результате должно получиться следующее (обратите # Óñòàíàâëèâàåì ðåàêöèþ íà îáíàðóæåíèå âèðóñà: íå äåëàòü
# êîïèè ïèñåì
внимание на имя владельца подкаталогов): [ActionWithInfected]
InfectedCopy=No
# ls –all # Óñòàíàâëèâàåì ïîðÿäîê äåéñòâèé ïðè ïîäîçðåíèè íà âèðóñ:
# íå äåëàòü êîïèè ïèñåì
drwxr-xr-x 17 root wheel 4096 Фев 14 19:36 .
[ActionWithSuspicion]
drwxr-xr-x 4 root wheel 4096 Янв 15 15:17 .. SuspiciousCopy=No
-rwxr-xr-x 1 root wheel 21713 Янв 14 19:44 avcheck
-rw-r--r-- 1 root wheel 170 Янв 17 11:54 AvpUnix.ini # Óñòàíàâëèâàåì ïîðÿäîê äåéñòâèé â ñëó÷àå, åñëè íå óäàëîñü
drwxr-xr-x 2 avpdaemon filter 4096 Янв 27 13:31 Bases # ðàñïàêîâàòü ôàéë (ñ÷èòàåì åãî ïîâðåæäåííûì): íå äåëàòü
drwxr-xr-x 2 avpdaemon filter 4096 Фев 14 18:15 ctl # êîïèè ïèñåì
-rw-r--r-- 1 root wheel 1865 Янв 15 14:44 defUnix.prf [ActionWithCorrupted]
drwxr-xr-x 2 root wheel 4096 Янв 15 14:31 dev CorruptedCopy=No
drwxr-xr-x 2 root wheel 4096 Янв 15 14:44 etc
-rwxr-xr-x 1 avpdaemon filter 830742 Янв 24 2003 kavdaemon [TempFiles]
-rwxr-xr-x 1 root wheel 803771 Янв 24 2003 kavscanner # Óñòàíàâëèâàåì ïðåäåëüíûé ðàçìåð ñêàíèðóåìûõ ôàéëîâ
-rwxr-xr-x 1 root wheel 647648 Янв 24 2003 kavupdater # è îïðåäåëÿåì êàòàëîã äëÿ âðåìåííûõ ôàéëîâ
drwxr-xr-x 2 root wheel 4096 Янв 15 14:30 proc
UseMemoryFiles=Yes
LimitForMemFiles=6000
drwxr-xr-x 2 avpdaemon filter 4096 Фев 10 14:49 tmp
MemFilesMaxSize=20000
drwxr-xr-x 2 avpclient filter 4096 Фев 15 10:57 tst TempPath=/tmp
drwxr-xr-x 2 root wheel 4096 Янв 15 14:30 usr
drwxr--r-- 3 avpdaemon filter 4096 Янв 15 14:55 var [Customize]
# Îòêëþ÷àåì ïðîâåðêó íåîáõîäèìîñòè îáíîâëåíèÿ âèðóñíûõ áàç.
Перейдем к конфигурационным файлам. Ниже будут # Äàííàÿ îïöèÿ íåîáõîäèìà äëÿ ðàáîòû àíòèâèðóñíîé ïðîãðàììû
приведены лишь параметры, значения которых отличают- # áåç âìåøàòåëüñòâà àäìèíèñòðàòîðà.  ïðîòèâíîì ñëó÷àå
# îíà áóäåò ïðîñèòü îáíîâèòü áàçû êàæäûé ðàç ïðè çàãðóçêå
ся от принятых по умолчанию. UpdateCheck=No
# Îòêëþ÷àåì âñå ëèøíèå ïðåäóïðåæäåíèÿ íà êîíñîëè ñåðâåðà
OtherMessages=No
AvpUnix.ini RedundantMessage=No
DeleteAllMessage=No
[AVP32]
# Ìåíÿåì ïóòü ê îñíîâíîìó êîíôèãóðàöèîííîìó ôàéëó Основная идея состоит в том, чтобы максимально упрос-
DefaultProfile=defUnix.prf
тить ведение файлов журнала, и хранить в них только самое
[Configuration] главное: проверен такой-то файл, инфицирован или нет. К
KeysPath=.
# Ïðîïèñûâàåì ïóòü ê âèðóñíûì áàçàì îò êîðíåâîãî êàòàëîãà тем параметрам, которые я менял в этом файле, написаны
BasePath=/Bases комментарии. Остальные параметры не менялись. Как мож-
но заметить, все каталоги прописаны от корневого, в кото-
Конфигурационный файл defUnix.prf описывает дей- ром, собственно, и находится антивирусная программа. Все
ствия антивирусного сканера при обнаружении вирусов в дело в том, что дальше мы будем запускать антивирус в
теле сканируемого файла. chroot-окружении (зачем это нужно, будет объяснено чуть
позже). Приведу сценарий для запуска процедуры обнов-
defUnix.prf ления вирусных баз. Он достаточно маленький и состоит
# same section with parameters for objects из двух строчек. Этот скрипт следует прописать в crontab
[Object] для ежедневного выполнения, скажем, в час ночи.
# Óêàçûâàåì êàòàëîã, â êîòîðîì áóäåì ïðîâîäèòü ñêàíèðîâàíèå
# ôàéëà íà âèðóñû
Names=*/tst updater.sh
# Îòêëþ÷àåì ñêàíèðîâàíèå ïàìÿòè è ñåêòîðîâ ëîãè÷åñêèõ òîìîâ
Memory=No #!/bin/sh
Sectors=No /var/spool/filter/avp/kavupdater -y -kb ↵
# Óêàçûâàåì ïàðàìåòðû ñêàíèðîâàíèÿ óïàêîâàííûõ ôàéëîâ, -ui=http://downloads2.kaspersky-labs.com/updates/ ↵
# àðõèâîâ, ñàìîðàçâîðà÷èâàþùèõñÿ àðõèâîâ è òàê äàëåå -b=/var/spool/filter/avp/Bases
Packed=Yes /etc/init.d/kavd restart
Archives=Yes
SelfExtArchives=Yes
MailBases=Yes Сценарий для запуска/остановки демона антивирусной
MailPlain=Yes
Embedded=Yes программы (/etc/init.d/kavd) также необходимо несколько
# Óñòàíàâëèâàåì ðåàêöèþ íà îáíàðóæåíèå âèðóñà â òåëå ïèñüìà модифицировать. Здесь приведены лишь его части, под-
# «3» îçíà÷àåò óäàëåíèå òåëà âèðóñà áåç ïîïûòîê åãî ëå÷åíèÿ
InfectedAction=3 вергшиеся изменению. Остальное можно найти в дистри-
# Òðåáóåì íå àðõèâèðîâàòü ïèñüìî â ñëó÷àå îáíàðóæåíèÿ âèðóñà бутиве AVP.

№2, февраль 2005 27

 администрирование
/etc/init.d/kavd # ñîîáùåíèé îòïðàâèòåëþ è ïîëó÷àòåëþ âèðóñíîãî ñîîáùåíèÿ
VIRUS_ALERT=
# Óêàçûâàåì êàòàëîã, â êîòîðûé óñòàíîâëåí àíòèâèðóñíûé ôèëüòð # Îòêëþ÷àåì èíôîðìàòèâíûå ñîîáùåíèÿ îòïðàâèòåëþ è ïîëó÷àòåëþ
INSTPATH=/var/spool/filter/avp INFORM_SENDER=n # no send alert
# Óêàçûâàåì êàòàëîã, â êîòîðîì áóäåì òåñòèðîâàòü ôàéëû INFORM_RCPT=n # send alert to recipients
AVPDIR="/tst"
# Óêàçûâàåì êàòàëîã äëÿ õðàíåíèÿ ñîêåòà # Óäàëÿåì ôóíêöèè attach_message() è attach_message_headers()
AVPPIPE="/ctl"
# Óêàçûâàåì ïàðàìåòðû çàïóñêà äåìîíà # Â ñåêöèè ãåíåðàöèè ïðåäóïðåæäåíèÿ àäìèíèñòðàòîðó óáèðàåì
DPARMS="-Y -MP -f=$AVPPIPE -dl -MD -I0 -o{$AVPDIR} $AVPDIR" # âûçîâ ôóíêöèè attach_message(). Òàêæå â ñëó÷àå, åñëè ìû
# íå èñïîëüçóåì èíôîðìàòèâíûå ñîîáùåíèÿ îòïðàâèòåëþ
# Ñòðîêè, ïðîâåðÿþùèå íàëè÷èå êîíôèãóðàöèîííûõ è êëþ÷åâûõ # è ïîëó÷àòåëþ âèðóñíîãî ïèñüìà, ìîæíî óäàëèòü ñåêöèè
# ôàéëîâ, ìîæíî èñêëþ÷èòü.  ñëó÷àå êîððåêòíîé íàñòðîéêè # «send alert to sender»
# ñèñòåìû îíè íå íóæíû. Äàëåå â ñåêöèè çàïóñêà äåìîíà # «alert to recipients»
# óáèðàåì ïðîâåðêó äåìîíñòðàöèîííîé âåðñèè, íàëè÷èÿ âèðóñíûõ
# áàç è êîððåêòèðóåì ñòðîêó çàïóñêà ñàìîãî äåìîíà. Ïî÷åìó С настройкой антивирусного демона закончили. Перей-
# îíà âûãëÿäèò èìåííî òàê, áóäåò îáúÿñíåíî ÷óòü ïîçæå дем к установке SpamAssassin.
start ()
{ SpamAssassin
if [ -r "$PIDFILE" ]; then
echo "$NAME is running" С фильтром на нежелательную почту все немного проще.
exit 1 Находим дистрибутив, скачиваем, распаковываем, устанав-
fi
cd $INSTPATH ливаем:
echo -n "Starting $DESC: "
daemon "/bin/env - HOME=/ /bin/nice ↵
/var/spool/filter/avp/uchroot ↵ # tar xzvf Mail-SpamAssassin-3.0.2.tar.gz
-u avpdaemon $INSTPATH /kavdaemon $DPARMS" # cd Mail-SpamAssassin-3.0.2
RETVAL=$? # make
echo # make install
[ $RETVAL -eq 0 ] && touch /var/lock/subsys/$NAME
cd $WD
} Инсталляцию можно произвести и из RPM-пакета, если
таковой имеется у вас под рукой. Обратите внимание, в 3-й
Обратите внимание на строку запуска антивирусного версии SpamAssassin некоторые параметры конфигураци-
демона: онных файлов сильно отличаются. Ниже будут приведены
тексты именно для 3-й версии и выше. Файл конфигурации
daemon "/bin/env - HOME=/ /bin/nice ↵ SpamAssassin, приведенный целиком и созданный мною
/var/spool/filter/avp/uchroot -u avpdaemon ↵
$INSTPATH /kavdaemon $DPARMS" практически с нуля, а также стартовый сценарий (/etc/init.d/
spamd), который пришлось слегка модифицировать для
Как легко видеть, мы пытаемся запустить демона в запуска демона от имени другого пользователя.
chroot-окружение с использованием неких утилит. Дело в Все необходимые каталоги были созданы нами ранее.
том, что входящий в комплект AVP шлюз kavkeeper, обес- Конфигурационный файл SpamAssassin:
печивающий связь между почтовым сервером и антивирус-
ным демоном, корректно работает лишь в случае, когда в local.cf
качестве фильтров используется только антивирус. При по- # don't use agent
пытке привязать к системе дополнительные фильтры вро- use_razor2 0
use_dcc 0
де Spamassassin образовывается некая внутренняя петля, use_pyzor 0
и почтовое сообщение постоянно крутится по кругу внутри
# check rbl
почтового сервера. Переписка с технической поддержкой skip_rbl_checks 0
лаборатории Касперского по этому поводу, к сожалению,
# autowhitelist
ничего не дала. Поэтому вместо kavkeeper мы будем ис- use_auto_whitelist 1
пользовать avcheck (http://www.corpit.ru/avcheck), написан- auto_whitelist_path /var/spool/filter/spamd/auto_whitelist
ный Михаилом Токаревым. # bayes
use_bayes 1
# cd /home/gennadiy bayes_auto_learn 0
# tar xzvf avcheck-0.8.tar.gz bayes_path /var/spool/filter/spamd/bayes
bayes_expiry_max_db_size 1500000
# cd avcheck-0.8 bayes_auto_learn_threshold_nonspam 0.1
# make
# cp avcheck /var/spool/filter/avp/ bayes_auto_learn_threshold_spam 10.0
bayes_min_ham_num 100
# cp uchroot /var/spool/filter/avp/ bayes_min_spam_num 200
# mkdir /var/spool/filter/avp/infected
# cp infected.ex2.ru /var/spool/filter/avp/infected auto_learn 0
ok_languages en ru
Вот вроде бы и все. Единственный момент связан с тем, ok_locales en ru
что я откорректировал конфигурационный файл infected.
# Spam header rewriting – clear_headers
ex2.ru таким образом, чтобы в случае обнаружения вируса rewrite_header subject ****SPAM (_SCORE_)****
администратору высылалось лишь предупреждение без required_hits 3.5
оригинального вложения. # user rules
allow_user_rules 0
infected.ex2.ru
# report options
always_add_report 1
# Îñòàâëÿåì äàííóþ ñòðî÷êó ïóñòîé, ÷òîáû íå ïîñûëàòü ëèøíèõ

28
 администрирование
report_safe 0 Последние штрихи
report_charset koi8-r Кажется, все хорошо. Почта работает, вирусы отлавливает,
# dns testing спам идентифицируется. Но, как всегда, хочется большего.
dns_available no В связке Sendmail + SpamAssassin в milter (это программа,
# score options предоставляющая транспорт между MTA и почтовым фильт-
score FROM_ILLEGAL_CHARS 1.5 ром) можно было указать, на какой адрес пересылать всю
score HEAD_ILLEGAL_CHARS 1.5
score SUBJ_ILLEGAL_CHARS 1.5 нежелательную корреспонденцию. В Postfix мы воспользу-
score SUBJ_HAS_SPACES 2.5 емся стандартными средствами фильтрации по заголовкам
score NO_REAL_NAME 1.0
score PENIS_ENLARGE 3.5 письма. Однако прежде чем это делать, нам необходимо
score PENIS_ENLARGE2 3.5 проверить, чтобы наш MTA был не ниже версии 2.1. Ранние
score FROM_HAS_MIXED_NUMS 1.0
score FORGED_IMS_TAGS 0.5 версии не поддерживают инструкцию REDIRECT. Находим
score FORGED_MUA_OUTLOOK 0.5 дистрибутив для RHEL 3.0, устанавливаем:
score FORGED_OUTLOOK_TAGS 0.5
score BAYES_80 3.5 # rpm –Uvh postfix-2.1.5-4.rhel3.i386.rpm
score BAYES_90 4.0
score BAYES_99 10.0
# network whitelist
В файле main.cf добавляем строки, осуществляющие
whitelist_from localhost поиск в заголовках письма по регулярному выражению,
сохраненному в /etc/postfix/header.regexp:
В скрипте запуска демона SpamAssassin меняем одну
строку, относящуюся к стартовым параметрам демона. main.cf

header_checks=regexp:/etc/postfix/header.regexp
/etc/init.d/spamd

# Set default spamd configuration. Затем создаем файл /etc/postfix/header.regexp следую-

SPAMDOPTIONS="-d -m 5 -u avpclient -x ↵ щего содержания:
-r /var/run/spamd/spamd.pid"

Особых изменений по сравнению с настройками для header.regexp

FreeBSD здесь не наблюдается (см. [1]), поэтому подробно
останавливаться на данном вопросе мы не будем.
Нам осталось лишь настроить фильтры на нашем по-
чтовом сервере.
Postfix
Каких-то особых хитростей в конфигурации данного почто-
вого сервера я описывать не буду. Статей на эти темы пре-
достаточно и в журнале, и в глобальной Сети. Нам инте-
ресны лишь моменты, связанные с использованием настро-
енных нами почтовых фильтров.
Для этого в файле main.cf необходимо включить фильтр
avcheck:
main.cf
content_filter=avcheck
И добавить фильтры в файл master.cf:
master.cf
# check mail with spamd and kaspersky
avcheck unix - n n - 5 pipe
flags=q user=avpclient argv=/usr/bin/spamc ↵
-u avpclient -e /var/spool/filter/avp/avcheck
-i /var/spool/filter/avp/infected/infected.ex2.ru -h Ok
-d /var/spool/filter/avp/./tst -s AVP:/var/spool/ ↵
filter/avp/ctl/AvpCtl -f ${sender}
-S :1025 -- ${recipient}
localhost:1025 inet n - n - - smtpd -o content_filter=
Теперь следует перезапустить Postfix и проверить ра-
ботоспособность почтового сервера. Если он не функцио-
нирует, проверьте права доступа к каталогам, скрипты за-
пуска, конфигурационные файлы. Приведенные мною при-
меры взяты с реального сервера.
/^X-Spam-Flag: YES/ REDIRECT spam@company.ru
т.е. требуем, чтобы все письма, в заголовке которых стоит
флаг «X-Spam-Flag», перенаправлялись по адресу spam@
company.ru.
Соответственно стоит позаботиться, чтобы у нас в сис-
теме присутствовал пользователь с именем «spam» или на
существующего пользователя была сделана ссылка (alias).
Таким образом, весь почтовый трафик, идентифицирован-
ный как потенциальный спам, будет перенаправлен на оп-
ределенный адрес. Вот вроде бы и все.
Итоги
В этой статье я попытался поделиться секретами настрой-
ки почтовых фильтров на базе MTA Postfix. Статей на по-
добные темы достаточно, однако некоторые из них слиш-
ком громоздки и используют очень большое количество
связок. Другие же слишком неполны. Я попытался обой-
тись минимальными средствами, чтобы получить макси-
мальный уровень защиты. Ведь чем проще система, тем
легче за ней следить. Тексты конфигурационных файлов
будут опубликованы на сайте журнала и на техническом
форуме «Тринити».
Хочется выразить огромную благодарность Сергею Та-
раненко, системному администратору фирмы «Тринити»,
за интеллектуальную поддержку.
Ссылки и литература:
1. Дмитриев Г. Почтовый сервер с защитой от спама и
вирусов на основе FreeBSD. – журнал «Системный ад-
министратор», №1, январь 2005 г. – 68-73 с.
2. Большое количество полезной информации вы найде-
те на форуме http://www.3nity.ru.

№2, февраль 2005 29

 администрирование
РЕЖЕМ СПАМ
ДОПОЛНИТЕЛЬНЫЕ МЕТОДЫ
Знакомый анекдот? А в реальной жизни вы пробовали под-
считать количество «спама», проходящего через ваш по-
чтовый сервер? Недавний аудит одной финансовой компа-
нии показал, что через почтовый сервер прошло больше
22 Гб почтового трафика в месяц. Я информировал об этом
начальство и со спокойной душой решил, что аудит окон-
чен, но я ошибся, руководство компании уверяло меня в
том, что это просто невозможно, т.к. раньше у них был го-
раздо меньший объем почтового трафика, а новых сотруд-
30
Идет бабулька по подворотням, видит два парня
третьего пинают, она cпрашивает:
– За что это вы его так, сынки?
– Бабка, да это спамер!
– А ну тогда по почкам его! По почкам!
ДЕНИС НАЗАРОВ
ников они не набирали. Пришлось разбираться дальше.
Проанализировав протоколы за месяц, я пришел к выводу,
что 20 из этих 22 Гб были просто «спамом». Решено было
избавлять компанию от этой назойливой почты...
Итак, мы имеем в наличии
! OpenBSD 3.6.
! Postfix 2.1.5 (считаю этот МТА одним из лучших благо-
даря гибкости настройки и возможностям).
 администрирование
! DrWeb 4.32 (отличный антивирус, никогда не подводил, /etc/rc.conf
идеально работает с OpenBSD). spamd_flags="" # for normal use: "" and see spamd-setup(8)
spamd_grey=YES # use spamd greylisting if YES
! Пользователи: примерно 500 человек.
Влючаем spamd и указываем на то, что мы хотим ис-
Задача: Обеспечить максимальную защиту от спама и пользовать Grey Listing.
вирусов, которые вам стремятся подсунуть по электронной
почте. Crontab
0 * * * * /usr/libexec/spamd-setup

Система В crontab для root прописываем запуск утилиты spamd-

Настройка системы начинается с файла /etc/rc.conf. С вер- setup таким образом, чтобы она выполнялась в начале каж-
сии 3.3 OpenBSD имеет встроенный механизм защиты от дого часа. Данная утилита скачивает из Интернета списки
спама, называемый spamd. Именно о настройке данного с IP-адресами спамерских релеев и автоматически зано-
компонента системы мы и поговорим. Что есть spamd? Это сит их в ваш «черный список».
демон, который пропускает через себя весь почтовый по-
ток и принимает решения – отдать ли письмо на обработку /etc/spamd.conf
all:\
«реальному» МТА или же отбросить, как «спам». :spamhaus:spews1:spews2:china:korea:whitelist:blacklist:
Как работает spamd? В его распоряжении имеются 2 или
# Mirrored from
3 списка (в зависимости от того, что вы выберете в конфигу- # http://spfilter.openrbl.org/data/sbl/SBL.cidr.bz2
рационном файле) – «черный список», «белый список», «се- spamhaus:\
:black:\
рый список». Последний («серый список») может быть от- :msg="SPAM. Your address %A is in the Spamhaus Block ↵
ключен, если вам нужен более жесткий контроль над спаме- List\n\
See http://www.spamhaus.org/sbl and\
рами. Демон spamd при запуске начинает слушать порт 8025 http://www.abuse.net/sbl.phtml?IP=%A for more details":\
на интерфейсе 127.0.0.1 (переопределить порт можно, отре- :method=http:\
:file=www.openbsd.org/spamd/SBL.cidr.gz
дактировав файл /etc/services). Затем при помощи PF
(OpenBSD Packet Filter) мы перенаправляем весь трафик с # Mirrored from http://www.spews.org/spews_list_level1.txt
spews1:\
25-го порта на порт 8025. И видим следующую картину: :black:\
:msg="SPAM. Your address %A is in the spews level 1 ↵
Trying 127.0.0.1... database\n\
Connected to localhost. See http://www.spews.org/ask.cgi?x=%A for more details":\
Escape character is '^]'. :method=http:\
220 bastion ESMTP spamd IP-based SPAM blocker;Tue Feb 15 12:57:50 2005 :file=www.openbsd.org/spamd/spews_list_level1.txt.gz

С виду похоже на приветствие обычного МТА, если не # Mirrored from http://www.spews.org/spews_list_level2.txt

spews2:\
считать строчку: IP-based SPAM blocker. :black:\
Вот теперь начинается самое интересное. Возвращяем- :msg="SPAM. Your address %A is in the spews level 2 ↵
database\n\
ся к спискам. See http://www.spews.org/ask.cgi?x=%A for more details":\
! «Черный список» – думаю все понятно. IP-адреса, пе- :method=http:\
:file=www.openbsd.org/spamd/spews_list_level2.txt.gz
речисленные тут, будут вежливо отвергнуты.
! «Белый список» – IP-адреса из этого списка будут иметь # Mirrored from http://www.okean.com/chinacidr.txt
china:\
доступ к «реальному» МТА напрямую, без прохождения :black:\
спам-фильтра. Подразумевается, что в этот список вы :msg="SPAM. Your address %A appears to be from China\n\
See http://www.okean.com/asianspamblocks.html ↵
вносите те IP-адреса, в которых уверены на 99,97%. for more details":\
! Grey List – динамический список. Приходящее письмо с :method=http:\
:file=www.openbsd.org/spamd/chinacidr.txt.gz
IP-адресом, не входящее ни в «черный список», ни в «бе-
лый список», будет помечено как «grey», и отвергнуто с # Mirrored from http://www.okean.com/koreacidr.txt
korea:\
ошибкой: «450. Temporary failure. Try again later.» Полу- :black:\
чая данный ответ, удаленный хост, отправивший вам :msg="SPAM. Your address %A appears to be from Korea\n\
See http://www.okean.com/asianspamblocks.html ↵
сообщение, должен будет снова попытаться переслать for more details":\
сообщение через некоторое время. Обычно интервал :method=http:\
:file=www.openbsd.org/spamd/koreacidr.txt.gz
ожидания может быть от 10 до 30 минут. Spamd следит
за этим и, получая письмо второй раз, передает его по-
# Whitelists are done like this, and must be added
чтовой системе, занося отправителя в «белый список». # to «all» after each blacklist from which you want
Зачем все это нужно? Получив в ответ ошибку, спамер # the addresses in the whitelist removed
whitelist:\
будет настойчиво пытаться впихнуть нам свое сообще- :white:\
ние. Возможно, даже выполняя множество попыток в :file=/var/mail/whitelist.txt
течение одной минуты. Spamd считает такие попытки. blacklist:\
При превышении определенного количества хост тут же :black:\
:msg="SPAM! Go fsck anyone else!":\
попадает в «черный список». :file=/var/mail/blacklist.txt
relaydb-black:\
Чтобы окончательно понять, как это работает, присту- :black:\
пим к конфигурированию. :msg="SPAM. Your address %A is in my relaydb list.":\

№2, февраль 2005 31

 администрирование
:method=exec:\
:file=relaydb -4lb:
relaydb-white:\
:white:\
:method=exec:\
:file=relaydb -4lw:
Данный файл отвечает за обработку этих самых «чер-
ных», «белых» и «серых» списков. Я перечислил основные
самые крупные «черные списки» для спамеров, вы можете
их смело использовать.
Переходим к настройке ваших «черных» и «белых» спис-
ков.
blacklist:\
:black:\
:msg="SPAM! Go fsck anyone else!":\
:file=/var/mail/blacklist.txt
Директива msg отвечает за то сообщение, которое мы
будем отправлять во время сессии, в том случае если хост
находится в «черном списке». Директива file определяет
путь для файла со списком IP-адресов, которые автоматом
при загрузке попадают в «черный список».
# cat /var/mail/blacklist.txt
81.213.107.93
212.112.102.194
81.195.250.132
212.19.145.86
Конфигурационный файл похож и для «белого списка»,
за исключением директивы msg – она отсутствует.
# cat /var/mail/whitelist.txt
192.168.0.0/24
Важно.
all:\
:spamhaus:spews1:spews2:china:korea:whitelist:blacklist:
Решение принимается на основе последнего совпаде-
ния IP-адреса и записи в списках.
Все. Основная конфигурация для spamd закончена. Так
как мы перенаправляем письма в spamd при помощи PF
(Packet Filter), то конфигурируем сам фильтр:
/etc/pf.conf
table <spamd> persist
table <spamd-white> persist
rdr pass inet proto tcp from <spamd> to any port ↵
smtp -> 127.0.0.1 port 8025
rdr pass inet proto tcp from !<spamd-white> to any port ↵
smtp -> 127.0.0.1 port 8025
Тем, кто читал в журнале мои предыдущие статьи о па-
кетном фильтре операционной системы OpenBSD, все бу-
дет понятно. Для остальных поясню – фильтр перенаправля-
ет весь трафик с 25-го порта на порт 8025. Но если трафик
на 25 порт идет с IP-адреса, который находится в «белом
списке», то PF пропускает трафик сразу «реальному» МТА.
Готово. Теперь осталось запустить spamd.
Можно запустить spamd вручную, но лучше будет – пе-
резагрузить сервер, т.к. при запуске spamd создает нуж-
32
ные файлы в /var/db, а также «привязывает» себя к пакет-
ному фильтру.
# ps ax | grep -i spa
3123 ?? Is 3:52.08 spamd: (pf <spamd-white> update) (spamd)
17434 ?? I 17:44.88 /usr/libexec/spamd -g
11229 ?? I 0:01.86 spamd: (/var/db/spamd update) (spamd)
26245 ?? Is 0:00.00 /usr/libexec/spamlogd
23886 p0 I+ 0:00.00 grep -i spa
Отлично. Спам-фильтр, основанный на проверке IP-ад-
ресов, это, конечно, хорошо и будет работать в связке с
любым МТА, но мы сделаем еще лучше.
Идем дальше.
Postfix
Я не буду рассказывать, почему Postfix такой замечатель-
ный и гибкий, и быстрый, и мощный – просто сразу начнем
его настраивать.
/etc/postfix/main.cf
#
# Our stuff for coniguring Postfix goes here
#
Запрещаем использование команды VRFY для провер-
ки наличия пользователя в системе.
disable_vrfy_command = yes
Обязываем удаленный хост здороваться с нами, а не
сразу начинать нас забрасывать почтой. Софт, разработан-
ный для рассылки спама, зачастую не умеет работать с
smtp-командой helo.
smtpd_helo_required = yes
Проверяем наличие «верного» имени хоста для отпра-
вителей. Иначе отказываем отправителю.
smtpd_helo_restictions = permit_mynetworks,
reject_invalid_hostname,
reject_unknown_hostname,
reject_non_fqdn_hostname
Проверяем наличе «верного» домена у отправителя,
иначе отказываем.
smtpd_sender_restrictions = reject_unknown_sender_domain,
check_sender_access hash:/etc/postfix/reject
Если же намеренно хотим отказать отправителю – за-
носим его домен в файл /etc/postfix/reject и выполняем ко-
манду:
# postmap /etc/postfix/reject
Утилита postmap создаст хеш из файла /etc/postfix/reject,
который будет использоваться самим Postfix для отказа в
приеме почты.
Проверяем наличие «верного» имени домена для полу-
чателей, отказываем всем, чьё имя домена не соответству-
ет требованиям FQDN, или не существует вообще.

smtpd_recipient_restrictions = reject_invalid_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client relays.visi.com,
reject_rbl_client relays.ordb.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client dnsbl.void.ru,
reject_rbl_client blackholes.mail-abuse.org,
reject_rbl_client relays.mail-abuse.org,
reject_rbl_client dul.mail-abuse.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client blackholes.wirehub.net,
reject_rbl_client dynablock.wirehub.net,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client http.dnsbl.sorbs.net,
reject_rbl_client socks.dnsbl.sorbs.net,
reject_rbl_client misc.dnsbl.sorbs.net,
reject_rbl_client smtp.dnsbl.sorbs.net,
reject_rbl_client web.dnsbl.sorbs.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dev.null.dk,
reject_rbl_client blackholes.mail-abuse.com,
reject_rbl_client relays.mail-abuse.com,
reject_rbl_client dialups.mail-abuse.com,
reject_rbl_client relays.ordb.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client multihop.dsbl.org,
reject_rbl_client argentina.blackholes.us,
reject_rbl_client brazil.blackholes.us,
reject_rbl_client china.blackholes.us,
reject_rbl_client cn-kr.blackholes.us,
reject_rbl_client hongkong.blackholes.us,
reject_rbl_client japan.blackholes.us,
reject_rbl_client korea.blackholes.us,
reject_rbl_client malaysia.blackholes.us,
reject_rbl_client mexico.blackholes.us,
reject_rbl_client nigeria.blackholes.us,
reject_rbl_client singapore.blackholes.us,
reject_rbl_client taiwan.blackholes.us,
reject_rbl_client thailand.blackholes.us,
reject_rbl_client turkey.blackholes.us
Строчка reject_rbl_client relays.visi.com … добавляет так
называемую RBL-проверку. Принцип тот же, что и у spamd.
Хост проверяется в «черном списке» у всех добавленных
нами «reject_rbl_client», и, если будет обнаружен там, пись-
мо отбрасывается, как спам.
После данной настройки системы и Postfix в качестве
MTA в протоколах мы можем наблюдать следующее:
# tail /var/log/daemon
Feb 15 12:10:22 bastion spamd[17434]: 66.94.237.32: connected (1/0)
Feb 15 12:10:23 bastion spamd[17434]: 66.94.237.32:
disconnected after 1 seconds.
Feb 15 12:13:29 bastion spamd[17434]: 222.67.37.40:
connected (103/100), lists: china
Feb 15 12:13:32 bastion spamd[17434]: 222.67.37.40:
disconnected after 3 seconds. lists: china
Feb 15 12:13:53 bastion spamd[17434]: 63.209.157.52:
connected (1/1), lists: spamhaus
Feb 15 12:21:11 bastion spamd[17434]: 63.209.157.52:
disconnected after 438 seconds. lists: spamhaus
Из протоколов видно, какой IP-адрес и сколько раз пы-
тался соединиться и отправить нам спам.
# grep –i spam /var/log/maillog
Feb 15 01:19:34 bastion postfix/smtpd[8447]: NOQUEUE: reject:
RCPT from domain.name[195.2.80.59]: 554 Service unavailable;
Client host [195.2.80.59] blocked using dnsbl.sorbs.net;
№2, февраль 2005
администрирование
Spam Received See:
http://www.dnsbl.sorbs.net/lookup.shtml?195.2.80.59;
from=<user@domain.name>
to=<user@ourhost.com> proto=SMTP helo=<domain.name>
Система работает, как часы, все четко и точно. Если
вам не нравится, как spamd распределяет IP-адреса отпра-
вителей по «черному» и «белому» списку, используем ути-
литу spamdb.
# spamdb | more
WHITE|12.111.30.74|||1105460517|1105466496|1108576943|2|0
WHITE|129.215.166.64|||1106681432|1106683445|1109793856|2|0
WHITE|13.16.138.21|||1105587869|1105591107|1108701528|3|0
WHITE|130.126.232.30|||1106168619|1106170545|1109281002|6|0
WHITE|134.130.3.130|||1107270887|1107274487|1110384920|2|0
WHITE|138.220.29.7|||1105954380|1105956190|1109066641|6|0
Данный листинг показывает ваши «белый список» и
Grey Lists. Если вы намеренно хотите добавить в таблицу
хост, помеченный как White, используем параметр -a, что-
бы удалить -d:
spamdb –a xxx.xxx.xxx.xxx
spamdb –d xxx.xxx.xxx.xxx
Примечание. Добавить или удалить можно только IP-
адреса, помеченные как White. Для добавления IP-адреса
в ваш «черный список» отредактируйте файл, указанный в
директиве file файла /etc/spamd.conf.
Основная настройка закончена. Остаются «рюшечки».
Спам это, конечно, вредная вещь, но вирусы, трояны и про-
чее может принести вам еще больше проблем. Приступим.
Берем последнюю версию DrWeb на сайте http://download.
drweb.com/unix/OpenBSD+3.6 и оттуда же фильтр для Postfix.
Установка DrWeb очень проста. Нужно распаковать ар-
хив и расположить файлы в системе так, как это сказано в
readme. Также вам потребуется наличие демонстрацион-
ного ключа для запуска антивируса в демо-режиме. Если
понравится работа DrWeb (а я надеюсь, так и будет), то вы
можете без проблем приобрести нормальный ключ.
Переходим к Postfix. Тут тоже все довольно просто.
/etc/postfix/master.cf
Заменяем строчку:
smtp inet n - n - - smtpd
на
smtp inet n - n - - ↵
smtpd -o content_filter=filter:dummy
и добавляем в конец файла:
filter unix - n n - - pipe
flags=R user=drweb argv=/usr/local/drweb/drweb-postfix ↵
-f ${sender} -- ${recipient}
Вот, в общем-то, и все. Отличная антивирусная защита
к вашему Postfix готова.
На сим заканчиваю, надеюсь, описанные мной способы
помогут отбить все почки вашим спамерам.
33
 администрирование
УНИВЕРСАЛЬНЫЙ ПРОКСИ-СЕРВЕР
В этой статье мы поговорим о протоколе SOCKS1. С его по-
мощью можно решать самые разные задачи: организовы-
вать защищенный доступ к службам, расположенным за
межсетевым экраном (firewall), скрывать свой истинный IP-
адрес во время работы с недружелюбными сетевыми ресур-
сами или реализовать универсальный прокси-сервер, под-
держивающий любые протоколы прикладного уровня (HTTP,
FTP, POP3/SMTP, ICQ и т. д.). К сожалению, несмотря на всю
простоту и богатство возможностей SOCKS, многие систем-
ные администраторы недостаточно хорошо знакомы с ним и
не представляют, чем он может быть полезен. Хочется наде-
яться, что после прочтения данного материала незаслужен-
но забытый протокол займет достойное место в их арсена-
ле. Сразу же оговоримся: все последующее изложение бу-
дет относиться к пятой версии SOCKS, SOCKS5. Предыду-
щая, четвертая версия (SOCKS4), все еще имеет хождение
в Сети, однако ее возможности ограничены.
1
Socks (англ.) – носки, чулочки.
34
– Извини, Пух, – сказала САВА. – Тигра сжевал все
провода от почтового сервера, и почта долго никак
не приходила...
– Провода, – подумал Пух злобно. – Носки вязать из
таких проводов.
Андрей Щербаков
«9600 бод и все-все-все...»
ВАЛЕНТИН СИНИЦЫН
К слову сказать, название протокола не имеет ничего об-
щего с упомянутыми в эпиграфе чулочными изделиями и яв-
ляется простым сокращением от «SOCK-et-S» – «гнезда»,
или, в более привычном уху компьютерного специалиста пе-
реводе – «сокеты». Термин был предложен создателями в
качестве рабочего варианта, да так и прижился. Как извест-
но, сокеты лежат в основе любого API, реализующего сете-
вое взаимодействие – UNIX, Winsock и т. п. Чтобы послать
данные по сети, приложению достаточно просто записать их
в сокет, подобно тому, как это делается при сохранении ин-
формации в локальном файле. И в том, и в другом случае
программе не приходится заботиться о происходящем «за
кулисами». Дополнение пользовательских данных служеб-
ной информацией, разбивка на сегменты с их последующей
инкапсуляцией в датаграммы и физическая отправка осу-
ществляются другими частями операционной системы – сте-
ком TCP/IP и драйверами устройств, о которых приложению

ничего не известно. Такое «разделение труда» позволяет как
угодно изменять процедуру доставки сообщений при усло-
вии, что интерфейс прикладного программирования остает-
ся постоянным. Именно эта особенность и лежит в основе
идеологии SOCKS. Основная задача данного протокола –
внедрить в «нормальный» процесс обмена данными некое-
го посредника, называемого SOCKS-сервером или SOCKS-
прокси. Когда клиент (поддерживающее SOCKS приложе-
ние: веб-браузер Mozilla, клиент ICQ Miranda IM и др., см.
ниже) желает отправить какую-либо информацию по сети,
он устанавливает соединение не с реальным адресатом, а с
SOCKS-сервером, который, в свою очередь, пересылает дан-
администрирование
ICMP, используемый утилитами ping и traceroute, находит-
ся ниже транспортного уровня, а потому соксификации, к
сожалению, не поддается2.
Прежде чем отправлять какие-либо данные, клиент дол-
жен пройти процедуру авторизации. Для этого он создает
TCP-соединение с SOCKS-сервером (стандартный порт –
1080) и отправляет по нему специальное сообщение, со-
держащее кодовые номера поддерживаемых методов
аутентификации (см. таблицу 1). SOCKS-сервер выбирает
один из них по своему усмотрению и сообщает его номер
клиенту. Как легко видеть, аутентификация может отсут-
ствова