Так видит журнал человек, который забыл оформить подписку:

СЬ

ЛИ
ЛИ
ТЯ Е

Ж ПИ
ЗА ДНИ
НУ

РА КУ
ЛЫ ГО

ТИ РАС
КУ ВО

О
НИ НО

№6(31) ИЮНЬ 2005

ТР
С
БЫ
подписной индекс 81655
КА

www.samag.ru

Postfix: диагностируем

И
ЬГ
ЬД О
РА СКА
и устраняем неисправности
ТЕ
К

ИС НН
ЕН
УС

БО
НА ТПУ

ИЛ ДА
ТП

НЧ ЖИ
ВО

РА Е О

КО НЕО
АВ СЛ
Л

Л
ХА

Asterisk и Linux:
ПО
УЕ

ЗА
миссия IP-телефония
Насколько неуязвима
Так видит журнал человек, оформивший подписку:
ваша беспроводная сеть?
Используем одноразовые пароли
для удаленного входа на сервер
Как защититься от fingerprinting?
Solaris 10 в качестве десктопа?
Пробуем!
Ускоряем MS SQL Server
Модифицируем BIOS
ПОДПИШИТЕСЬ И ЧИТАЙТЕ! Ищем дополнительные
источники дохода
№6(31) июнь 2005

Роспечать – 81655
Пресса России – 87836
Интер-почта – тел. (095) 500-00-60
 оглавление
2 ТЕНДЕНЦИИ 56 Изучаем принципы работы
Heimdal Kerberos
ИНТЕРВЬЮ
Михаил Кондрин
4 ALT Linux: третье пришествие. mkondrin@hppi.troitsk.ru
Скоро на экранах ваших машин
Интервью с Алексеем Смирновым, генеральным ди- 61 Защищенная почтовая система
ректором компании ALT Linux. с Tiger Envelopes
Андрей Бешков
tigrisha@sysadmins.ru Сергей Яремчук
grinder@ua.fm
АДМИНИСТРИРОВАНИЕ
64 Насколько неуязвима
8 Postfix: диагностируем ваша беспроводная сеть?
и устраняем неисправности
Крис Касперски
Андрей Бешков kk@sendmail.ru
tigrisha@sysadmins.ru
70 Как защититься от fingerprinting?
12 Asterisk и Linux: миссия IP-телефония
Сергей Борисов
Михаил Платов imp@samag.ru
platov@cs.vsu.ru
WEB
20 Испытываем Antmon – новую систему
мониторинга
77 Используем ImageMagick в веб-разработке
Сергей Жуматий
serg@guru.ru Кирилл Сухов
geol@altertech.ru
25 Автоматизация MS Windows, или AutoIt
как мечта эникейщика. Часть 3 HARDWARE
Алексей Барабанов 81 Модифицируем BIOS
alekseybb@mail.ru
Крис Касперски
32 Решаем нестандартные задачи с помощью kk@sendmail.ru
стандартного Windows Scripting Host
IMHO
Михаил Кошкин
Blackmail@bk.ru 86 Размышления о UNIX
37 Solaris 10 в качестве десктопа? Пробуем! Сергей Супрунов
amsand@rambler.ru
Андрей Маркелов
andrew@markelov.net ПОЛЕЗНЫЕ СОВЕТЫ
40 Файловые системы пространства 88 Системный администратор –
пользователя ищем дополнительные источники дохода
Сергей Яремчук Роман Марков
grinder@ua.fm stepan-razin@newmail.ru

44 Ускоряем MS SQL Server 93 КНИЖНАЯ ПОЛКА

Юлия Шабунио 48, 52, 76, 94 BUGTRAQ
yshabunio@eastwind.ru
ПО ВАШИМ МНОГОЧИСЛЕННЫМ ПРОСЬБАМ
49 MySQL 5 – что нового предлагают
нам разработчики? В редакцию продолжают поступать звонки и письма
от читателей, которые оформили подписку на второе
Кирилл Сухов полугодие с опозданием, начиная с сентябрьского
geol@altertech.ru номера, пропустив выпуски за июль и август.

БЕЗОПАСНОСТЬ Специально для вас мы открыли редакционную

подписку на первые два номера следующего
53 FreeBSD tips: повышаем безопасность полугодия.
с помощью одноразовых паролей
Подробности смотрите на сайте журнала
Сергей Супрунов www.samag.ru в разделе «Подписка».
amsand@rambler.ru

№6, июнь 2005 1

 тенденции
Microsoft наращивает возможности
своей линейки программ
для образования
Компания Microsoft провела в июне для партнеров се-
минар «Решения Microsoft для системы образования и
подготовки кадров». Ведущие менеджеры по работе с
образованием поделились опытом внедрения техноло-
гий и программных продуктов Microsoft за рубежом и в
России, а также представили новые решения для сфе-
ры образования на базе платформы Microsoft Learning
Gateway (MLG).
В первой части семинара Джим Леви и Айдан МкКарти
рассказали о новых версиях системы управления ИТ-ре-
сурсами учебного заведения Learning Network Manager и
системы управления учебным контентом и процессом об-
учения Class Server применительно к школьному и вузов-
скому образованию. Особое внимание было уделено воз-
можностям взаимодействия с органами управления обра-
зованием и существующему опыту в странах Европы. Вто-
рая часть семинара была посвящена представлению от-
ечественных проектов: Сергей Паринов рассказал о те-
кущем внедрении и перспективах развития портала Выс-
шей школы экономики на базе технологий MS SharePoint
Portal Server 2003, а Алексей Мороз в свою очередь поде-
лился результатами использования программного продук-
та MS Class Server для организации дистанционного обу-
чения в Российской академии правосудия Верховного су-
да РФ и Высшего арбитражного суда РФ.
Решения Microsoft для сферы образования уже обсуж-
дались на страницах журнала (см. №11, 2004 г.), поэтому
отметим только ключевые изменения в политике Microsoft.
Во-первых, можно констатировать существенное увеличе-
ние и коммерциализацию интереса к сфере образования на
уровне высших учебных заведений и правительства (ори-
ентация на решения для электронного правительства). Об
этом свидетельствует явно декларируемая коммерческая
целесообразность работ в области образования: «There is
Serious Money in Education – together we can unlock the Safe!»
(В образовании есть серьезные деньги – вместе мы можем
отпереть этот сейф!), которая базируется на увеличении ко-
личества платных студентов в вузах до 50%, существова-
нии нескольких высокобюджетных федеральных целевых
программ по информатизации образования (до 1 млрд. $)
и росте спроса на услуги по дистанционному обучению (e-
learning) в крупных предприятиях.
Во-вторых, поддерживая современную тенденцию, Micro-
soft на передний план выдвигает интеграционную платфор-
му MLG и ее возможности по расширению и развитию, ко-
торые потенциально могут компенсировать все существую-
щие на сегодняшний день преимущества программных про-
дуктов конкурентов. При этом Microsoft продолжает наращи-
вать возможности своей линейки программ для образова-
ния, выпуская новые версии и распространяя бесплатные e-
learning-компоненты для разработчиков в среде .Net.
В третьих, Microsoft делает первые шаги к автоматизации
образовательных процессов с точки зрения повышения эф-
фективности бизнеса. На текущий момент представители Mi-
crosoft говорят о заинтересованности в решениях только для
организации порталов и IT-инфраструктуры образовательных
2
учреждений, а остальные вопросы перекладываются на пар-
тнеров. Так, например, существует CRM-решение для сферы
образования от компании Distinction на базе MS Business Solu-
tions, которое активно используется в Великобритании.
Конечно, говорить о серьезной проработанности вопро-
сов организации бизнес-процессов в образовании на базе
технологий Microsoft еще рано, однако уже сейчас активно
ведутся работы по направлению Management information sys-
tems, куда пока в упрощенном виде, но уже входят решения
для отчетности на базе Business Intelligence, финансовые
и кадровые модули. Для повышения эффективности вза-
имодействия с существующими системами могут исполь-
зоваться возможности Enterprise Application Integration (EAI)
на базе XML-webservices и BizTalk Server 2003.
Более подробную информацию о докладах на семинаре
и программных продуктах Microsoft можно найти по адре-
су: http://www.microsoft.com/Rus/Education.
Андрей Филиппович
Завершение серии
PA-RISC – конец эпохи мини-ЭВМ?
В центре высоких технологий HP в Москве прошла пресс-
конференция, посвященная развитию бизнес-критичных
серверов, представлению процессора PA-8900, пробле-
мам защиты инвестиций и внедрению технологии вир-
туализации серверных ресурсов.
Создание нового процессора серии PA-8900 заверша-
ет историю архитектуры PA-RISC и как следствие знамену-
ет конец продолжателей класса мини-ЭВМ от HP. За время
своего развития эти процессоры увеличили рабочую часто-
ту в 20 раз и производительность в 60. Последний процес-
сор имеет сокетную совместимость с Intel Itanium, и поэтому
системы на его основе определяются как «Itanium READY».
В дальнейшем планируется поддержка только двух архи-
тектур – x86 и Itanium.
Для владельцев HP 9000 это означает неизбежную за-
мену процессоров в новых системах на Itanium, и их должен
заинтересовать компромиссный способ обновления суще-
ствующих систем такого класса. Идея, положенная в основу
нового семейства серверов HP Integrity, за счет стандарти-
зации оборудования позволяет смешивать серверные моду-
ли разной архитектуры и осуществлять поэтапное обновле-
ние бизнес-критичных серверов, обычно работающих в ре-
жиме non-stop. Это позволяет надеяться, что точно так же,
при следующей смене архитектуры на более прогрессив-
ную, существующее серверное оборудование не придется
100% списывать. Владельцам персоналок такой способ ча-
стичной модернизации хорошо знаком.
Еще большие возможности сбережения инвестиций от-
крывает технология виртуализации, при которой виртуаль-
ными становятся сами сервера, раскладываемые по мно-
гопроцессорным кластерным системам для лучшей балан-
сировки нагрузки, а, значит, и для создания оптимально-
го ценового соответствия оборудования решаемой задачи.
Теперь можно с уверенностью утверждать, что микро-ЭВМ
доминируют во всех сферах применения.
Алексей Барабанов

Nokia присоединяется к миру
Open Source
Начиная с конца мая компания Nokia демонстрирует пока-
зательную благосклонность к сообществу Open Source. Так,
например, анонсируется Nokia 770 Internet Tablet – интернет-
планшет, основанный на открытой ОС Linux (а не привыч-
ной Symbian). Причем также сообщается о планах компа-
нии опубликовать исходный код продукта в надежде при-
влечь разработчиков к написанию программного обеспе-
чения для устройства. Далее следует заявление о том, что
в ядре Linux разрешается использовать запатентованные
технологии Nokia. «Nokia полагает, что инвестиции, сделан-
ные со стороны независимых разработчиков и компаний в
ядро Linux, и открытое ПО, без сомнения, выгодны и заслу-
живают доверия», – гласит официальное заявление компа-
нии. Однако вскоре этот жест доброй воли был подвергнут
резкой критике Ричарда Столлмана, который и здесь обна-
ружил подвох: «... Free Software Directory (каталог свободно-
го ПО) насчитывает более 4000 пакетов. В заявлении Nokia
ничего не говорится о них, так что здесь по-прежнему оста-
ется потенциальная опасность атаки Nokia в будущем». Од-
нако это не остановило Nokia, и компания на конференции
GUADEC объявила о том, что подарит GNOME Foundation
доходы с продажи 500 своих устройств Nokia 770. И в сере-
дине июня, вновь подчеркивая интерес к Open Source, ком-
пания сообщила о намерении воспользоваться технологи-
ями WebCore и JavaScriptCore, основанными на коде KHT-
ML и KJS от KDE (Konqueror), в новый браузер для смарт-
фонов Nokia 60.
тенденции
дакции LiveDVD, на котором содержится более 4 Гб попу-
лярных пакетов.
Sun опубликовала исходный код Solaris
Компания Sun наконец-то выполнила свое обещание и опу-
бликовала исходный код своей ОС Solaris под лицензией
CDDL в рамках проекта OpenSolaris. Всего было открыто
более 5 миллионов строк кода, однако это не все – исход-
ники некоторых других компонентов должны будут появить-
ся позже. Вскоре Джон Фаулер сообщает о замене в Open-
Solaris загрузчика на открытый GRUB, что позволило «су-
щественно расширить прямую поддержку аппаратуры». А
вскоре после релиза OpenSolaris Йорг Шиллинг выпустил
первый основанный на нем LiveCD-дистрибутив – SchilliX.
Достижения проектов
по портированию Linux
Появились новости о развитии Linux во встраиваемой сре-
де. Так, например, энтузиастам удалось запустить ядро от-
крытой ОС и заставить работать framebuffer на КПК Dell Axim
X50. Очередных успехов достиг и проект портирования Lin-
ux на iPod: теперь стал возможным просмотр изображений
и запись аудио, а в ближайшее время ожидается поддерж-
ка устройств 4G iPod и iPod mini. Кроме того, разработчи-
ки DS Linux (версии Linux для Nintendo DS) смогли создать
виртуальную клавиатуру для экрана приставки.
Составил Дмитрий Шурупов
по материалам www.nixp.ru

Новые подробности об отношениях

*BSD и Linux
На прошедшем в Бразилии форуме FISL 6.0 Маршалл Мак-
кузик, один из авторов FreeBSD, поделился воспоминания-
ми о том, с чего начинал Линус Торвальдс. По его словам,
автор ядра Linux в свое время заявил, что ему бы «не при-
шлось создавать Linux, если бы в начале 90-х на BSD не
подали судебный иск». Другой представитель лагеря BSD,
Тео де Раадт, отметился интервью, в котором подчеркнул,
что не сомневается в превосходстве OpenBSD над Linux в
плане чистоты исходного кода системы. Кроме того, он от-
метил, что крупные компании (вроде IBM), поддерживаю-
щие ОС Linux, на самом деле фактически превращают раз-
работчиков Open Source в бесплатную рабочую силу.

Первые летние релизы популярных

Linux-дистрибутивов
После неоднократных отходов от плана выпуска новой ста-
бильной версии одного из наиболее популярных Linux-дис-
трибутивов проект Debian 6 июня представил столь дол-
гожданный «Sarge». Время разработки заняло около трех
лет, вследствие чего отныне планируется ускорить процесс
подготовки стабильных релизов Debian GNU/Linux. А уже
через неделю был обнародован и выпуск очередной вер-
сии Fedora Core – бесплатного наследника Red Hat Linux,
поддерживаемого сообществом Open Source. И в конце
месяца разработчики KNOPPIX объявили о релизе анон-
сированного на конференции LinuxTag обновления к сво-
ему дистрибутиву. Впервые система была выпущена в ре-

№6, июнь 2005 3

 интервью

ALT LINUX: ТРЕТЬЕ ПРИШЕСТВИЕ

СКОРО НА ЭКРАНАХ ВАШИХ МАШИН

На данный момент существует всего два русских Linux-дистрибутива – ALT и ASP.

Сегодня редактор нашего издания встретился с Алексеем Смирновым, генеральным
директором компании ALT Linux, – чтобы задать ему вопросы, интересующие многих
пользователей этого дистрибутива.

Г
лавный вопрос, волнующий на-
ших читателей, когда выйдет
Alt Linux 3.0 и насколько сильно
он будет отличаться от своего пред-
шественника Alt Linux 2.4?
На данный момент Alt Linux Compat
3.0 проходит внутреннее тестирова-
ние. К примеру, у меня на ноутбуке
он уже стоит и работает очень даже
хорошо. Со дня на день должна поя-
виться OEM-версия Compact 3.0, за-
тем выйдет розничная версия. Ну а к
осени должен появиться Alt Linux Mas-
ter 3.0. Как обычно, у нас произошло
обновление большинства прикладных
пакетов, но это не главное. Основное
изменение по сравнению с версией
2.4 – это переход на новую систему
инсталляции и настройки системы.
Хочу для примера отметить тот факт,
что во время установки нет необхо-
димости перезагружаться. В процес-
се инсталляции используются те же
самые модули, что и при последую-
щей настройке системы. В эту версию
встроен пакет Alterator, который отве-
чает за инсталляцию и конфигуриро-
вание системы. Его прототипом были
модули конфигурирования, эксплуа-
тировавшиеся ранее в «ИВК КОЛЬЧУ-
ГА». Благодаря этому нововведению
процесс инсталляции системы силь-
но упростился. При создании «Коль-
чуги» мы исходили из расчета на то,
что мест, где может применяться типо-
вое решение на базе Alt Linux, гораз-
до больше, чем опытных администра-
торов. Соответственно нужно макси-
мально облегчить процедуру инстал-
ляции. В версии 3.0 на первом этапе
производится установка на жесткий
диск минимальной рабочей системы,
затем управление передается ей. Все
остальные процессы, такие как соз-
дание файлов устройств и добавле-
ние дополнительных пакетов, проис-
ходят в рамках настройки уже работа-
ющей системы. Плюс ко всему выше-
сказанному мы перешли на ядро 2.6
и соответственно легко можем выпу-
стить Live CD одновременно с полной
версией дистрибутива. Одним из важ-
ных нововведений в ALT Linux версии
3.0 можно назвать переход на UTF-8.
Это позволит избавиться от пробле-
мы с ворохом разных кодировок ки-
риллических символов. На данный мо-
мент большинство приложений отлич-
но работают в новой среде, хотя неко-
торые консольные программы еще не
совсем дружат с этой кодировкой. Ду-
маю, что со временем эти шерохова-
тости постепенно будут сглажены.
На данный момент в ALT Linux 2.4 нет
удобных визуальных средств кон-

4

фигурирования системы. Насколь-
ко мне известно, эту роль призвана
выполнять внутрифирменная раз-
работка, фигурирующая под кодо-
вым именем Alterator. Стоило ли за-
тевать свой собственный проект, ес-
ли доступен для свободного исполь-
зования Yast от Suse?
Понимаете ли, когда мы начинали раз-
рабатывать Alterator, свободного Ya-
st еще не существовало. Стоит учи-
тывать тот факт, что наш проект на-
чался позже, чем Yast, соответствен-
но мы могли учиться на чужих ошиб-
ках и заложить в его основу идеи, кото-
рых нет у других. Если сравнивать Yast
и Alterator, то нужно обратить внима-
ние на то, что Yast не хранит настрой-
ки системы в конфигурационных фай-
лах. Для этих целей используется свое
промежуточное хранилище, на осно-
вании которого потом редактируются
эти самые файлы. Получается, что до
тех пор, пока мы пользуемся Yast для
настройки параметров системы, все
идет хорошо. Но как только конфигу-
рационные файлы изменены вручную,
от Yast приходится отказаться, потому
что будет уничтожать ваши исправле-
ния и целостность настроек. С Alter-
ator таких проблем возникнуть не мо-
жет. Все настройки берутся напрямую
из конфигурационных файлов, и после
синтаксического анализа ими можно
легко манипулировать через систему
настройки. Те настройки, которые Alt-
erator не распознал, будут сохранены
без изменений. Плюсом такого реше-
ния является высокая модульность и
возможность работы через любой ин-
терфейс. К примеру, в разных вари-
антах поставки Alterator-ом можно бу-
дет управлять через консоль, веб-ин-
терфейс, X-window, сетевой сокет или
что-нибудь еще. Простор для фантазии
разработчика прикладных интерфей-
сов практически ничем не ограничен.
Опять же свой собственный проект
поддерживать гораздо проще, и раз-
вивается он динамичнее. Тут и инстру-
ментарий на руках, и с разработчиками
легче контактировать. В чужие проек-
ты, особенно в такие большие, как Yast,
сложно вводить свои инновации. Как
я уже отметил, еще одним полезным
свойством Alterator можно считать его
высокую модульность. Думаю, что не
возникнет никаких проблем с добавле-
нием новой функциональности. К при-
№6, июнь 2005
меру, на основе Alterator и LDAP, кото-
рый выступает в качестве хранилища
объектов, можно будет построить до-
статочно гибкую систему управления
группами машин, сервисов, пользо-
вателей. Думаю, что подобная систе-
ма будет очень удобна и гибка. За счет
этих качеств она с легкостью впишется
в рамки любого предприятия. Для на-
шей компании Alterator – один из са-
мых приоритетных проектов, на его
разработку брошена «команда тяже-
ловесов», это в свою очередь значит,
что стоит ожидать динамичного разви-
тия этой подсистемы.
Как вы уже упоминали, ALT Lin-
ux версии 3.0, кроме всего проче-
го, будет выходить на Live CD. Со-
бираетесь ли вы выпускать какой-
либо диалект вашего дистрибути-
ва, предназначенный для создания
встроенных систем?
У нас есть такие планы. Хотя на самом
деле каждый раз, когда меня спраши-
вают, где используется ALT Linux, я ис-
пытываю смущение. Довольно часто
к нам извне приходит информация о
самых разнообразных применениях
ALT Linux. Был случай, когда на адрес
техподдержки пришло письмо с прось-
бой помочь в наладке системы виде-
онаблюдения, работающей на основе
нашего дистрибутива. Навели справ-
ки, оказалось, что в России существует
предприятие, вполне успешно занима-
ющееся производством этих систем.
Недавно нам прислали снимок игро-
вого автомата, построенного на базе
ALT Linux. Получается, что мы о таких
событиях узнаем последними. Пери-
одически у нас в компании всплыва-
ют разнообразные идеи по использо-
ванию встроенного ALT Linux. В част-
ности, есть версии для наладонников.
В общем, мы занимаемся этим по ме-
ре сил.
Достаточно много пользователей
дистрибутива жалуются на то, что
сайт altlinux.ru последние несколько
лет практически не развивается. На-
мерены ли вы предпринять что-либо
для исправления этой ситуации?
Сейчас мы занимаемся полной пере-
работкой нашего сайта. Дабы не со-
врать, точных сроков окончания ра-
бот называть не буду. Параллельно с
этим развивается проект онлайновой
интервью
документации docs.altlinux.ru. Конечно,
сейчас на него нет ссылок со страниц
главного сайта и найти его нелегко, но
думаю, что со временем это будет ис-
правлено. На данный момент силами
нашей команды разработана удобная
инфраструктура, позволяющая облег-
чить процесс создания и сопровожде-
ния документации. Изначально масси-
вы текстов хранятся в XML – это позво-
ляет без особых трудозатрат верстать
такой текст в любой выходной формат,
хоть в бумажную книгу, хоть в онлай-
новое руководство или в документа-
цию, идущую в комплекте с разными
дистрибутивами. Но работа с XML не-
проста, поэтому мы как раз решили это
упростить. Думаю, что плоды этой ра-
боты можно будет увидеть уже в бли-
жайшее время.
Раз мы заговорили о документи-
ровании, хотелось бы спросить,
не планирует ли команда ALT Linux
привлекать авторов со стороны для
описывания процесса создания тех
или иных востребованных решений
на основе дистрибутива.
На данный момент в процессе доку-
ментирования участвует некоторое ко-
личество специалистов из комьюнити.
Но, как вы понимаете, все виды вос-
требованных решений описать в при-
емлемые сроки будет трудно. Поэто-
му мы считаем, что если есть какие-
то типовые решения, то их проще не
описывать, а закодировать в скриптах
и дать конечному потребителю стан-
дартный интерфейс для того, чтобы
управлять аспектами работы получив-
шегося комплекса. Любое оконченное
описание это, по сути, техническое за-
дание, разумнее было бы сразу же во-
плотить его в коде и отдавать потреби-
телю специализированный продукт. В
мире не так много людей, которые хо-
тели бы читать объемные книги и раз-
бираться с особенностью работы меж-
сетевого экрана Linux. Большинство
все-таки предпочтет графический ин-
терфейс с возможностью удобно осу-
ществлять типовые действия по на-
стройке со стандартными заготовка-
ми правил для NAT и разрешением
работы по наиболее часто использу-
емым протоколам. Мы считаем, что в
этой нише будущее за специализиро-
ванными решениями вроде ALT Linux
SOHO Server.
5
 интервью
Есть пословица «Как вы лодку на-
зовете, так она и поплывет». Сре-
ди пользователей дистрибутива,
знакомых с легендой о Сизифе, об-
реченном на бесконечный тяжкий
труд, многие считают, что команда
ALT не столько занимается изготов-
лением готового продукта, сколько
ведет процесс ради самого процес-
са. Как вы прокомментируете дан-
ное утверждение?
Ещё говорят, что Сизиф – это символ
бесплодного труда. В таких случаях мы
советуем почитать «Легенду о Сизи-
фе» Камю. Сизиф – это ведь не толь-
ко хранилище пакетов, это еще и на-
ша технологическая база. Работая с
ним, мы используем систему входно-
го контроля пакетов, распределенную
сборку с помощью hasher и другие ин-
тересные вещи. Опираясь на эту тех-
нологию, мы можем гибко управлять
процессом создания коробочных ре-
шений. Соответственно создание дис-
трибутива с помощью Сизифа превра-
щается в довольно простую задачу, ко-
торую можно выполнять довольно ре-
гулярно. Все-таки это сильно отлича-
ется от сборки дистрибутива подруч-
ными средствами на коленке. Понят-
но, что Сизиф в силу своей специфи-
ки никогда не будет законченной рабо-
той, но это и хорошо, потому что озна-
чает развитие технологии, которая лег-
ко позволяет адаптировать систему к
любым условиям.
Многие администраторы, пользую-
щиеся ALT Linux, жалуются на не-
достаточное количество пакетов в
комплекте дистрибутива. К сожале-
нию, самостоятельная сборка паке-
тов – процесс нетривиальный, и он
под силу довольно малому количе-
ству пользователей дистрибутива. В
то же время официальная команда
поддержки часто отказывается со-
бирать те или иные пакеты, необхо-
димые для работы со стандартными
сервисами, под предлогом небезо-
пасности этих программ. Не лучше
ли было доверить выбор того, что
устанавливать, конечному пользо-
вателю и не ограничивать его искус-
ственными запретами? Большин-
ство дистрибутивов, наоборот, хва-
лятся количеством пакетов по умол-
чанию. Может, стоило бы все-таки
включать такие пакеты в стандарт-
6
ный репозитарий с пометкой «ис-
пользовать на свой страх и риск»?
В ALT Linux 2.4 Master имеется 5775
бинарных пакетов, вряд ли такое ко-
личество можно назвать недостаточ-
ным. В процессе создания дистрибу-
тива вопросам безопасности уделя-
ется очень много внимания. Мы счи-
таем, что для начинающего админи-
стратора, неспособного самостоятель-
но собирать пакеты, лучше всего под-
ходит система, сразу же после уста-
новки работающая в наиболее защи-
щенном режиме. Поэтому приходится
немного затягивать гайки, иначе при-
емлемого уровня безопасности не до-
биться. Опытный администратор, уме-
ющий собрать пакет, уже способен сам
решить, что ему нужно подкрутить и
где можно при необходимости осла-
бить те или иные запреты. Я думаю,
что если в том или ином пакете есть
уязвимость, то его не стоит собирать
и класть в дистрибутив. С программа-
ми, распространяемыми без исходных
кодов, следует поступать так же. В слу-
чае крайней необходимости их можно
запустить в chroot. Иначе получается,
что мы провоцируем администратора
пользоваться заведомо небезопасны-
ми решениями. На двух последних вы-
ставках Softool проводилось тестиро-
вание наших серверов. На них рабо-
тал дистрибутив ALT Linux, установ-
ленный стандартным способом. Все
желающие могли попробовать взло-
мать систему. Добиться успеха в этом
начинании никому не удалось, думаю,
что это хороший повод для гордости.
Мы считаем, что безопасность и ста-
бильность работы должна быть пре-
выше всего.
О каких интересных проектах вы хо-
тели бы еще рассказать нашим чи-
тателям?
На данный момент активно развивает-
ся направление сотрудничества с Ми-
нистерством экономического разви-
тия. Последние два года мы выполня-
ли для них достаточно объемные зака-
зы, а в этом году даже выиграли тен-
дер на разработку системы публика-
ции под свободной лицензией резуль-
татов работ, выполненных по госзака-
зу. Это сотрудничество началось с раз-
работки «Рекомендаций по использо-
ванию свободного программного обе-
спечения в государственном секторе».
Государственные заказчики ожидали,
что в нем мы опишем список префе-
ренций, которые необходимо предо-
ставить разработчикам свободных про-
дуктов при проведении тендеров на го-
сударственные закупки ПО. К их удив-
лению, мы ответили, что считаем кате-
горически неприемлемой методику по-
добных поблажек, поскольку приобре-
тение свободного ПО не является са-
мостоятельной задачей госзаказчика.
Вместо этого хотелось бы видеть, что
методика проведения подобных тенде-
ров непредвзята и свободна от всякой
дискриминации по любому признаку.
Ни для кого не секрет, часто можно
столкнуться с ситуацией, когда назва-
ние ПО, выигравшего соревнование,
известно еще до начала тендера, или
же в тендерной документации встреча-
ются требования типа «ОС не хуже Win-
dows XP», что понимается поставщи-
ками однозначно. Таким образом, все
сводится лишь к поиску наиболее вы-
годного дистрибьютора. Заказчик тен-
дера в любом случае должен понимать,
что, покупая ПО, он получает не толь-
ко коробку, но и некоторый набор прав.
Сравнивать ПО аналогичного функцио-
нала от разных поставщиков нужно не
только по стоимости, а прежде всего
по набору этих самых прав. Одно дело,
когда вам выдается лицензия исполь-
зовать ПО одновременно на тысяче ма-
шин сроком на один год, а затем еже-
годно продлять лицензию за дополни-
тельные деньги. И совсем другое, воз-
можность в соответствии с лицензией
использовать программу неограничен-
ное время на любом количестве стан-
ций внутри одного ведомства. Мы ду-
маем, что в случае тендера заказчик
должен четко формулировать список
необходимых ему прав.
Представим ситуацию, когда поку-
пателем ПО является школа. В данном
случае логично было бы потребовать
от поставщика что-то вроде кампусной
лицензии. В образовательном учреж-
дении ПО, очевидно, выступает в ро-
ли учебного пособия. Если учитель или
ученик из-за ограничения лицензии не
может взять ПО домой для самостоя-
тельного изучения, то получается, что
госзаказчик провоцирует пользовате-
ля на сознательное нарушение этой са-
мой лицензии. В случае покупки ПО,
обеспечивающего какие-либо функ-
ции безопасности, заказчик должен

получить исходный код и право само-
стоятельной сборки продукта из него.
Только таким образом можно быть уве-
ренным, что получаемый продукт дей-
ствительно соответствует своим исхо-
дным кодам, делает именно то, что де-
кларируется и свободен от закладок. В
случае если мы намерены достаточно
долго эксплуатировать продукт, нуж-
но решить вопрос с правами на моди-
фицирование исходного кода. Иначе
любой, кто, используя это ПО, постро-
ит достаточно большую систему, ав-
томатически становится заложником
поставщика.
В случае покупки ПО проблемы ли-
цензирования мы кратко рассмотрели,
если же ПО или научное исследова-
ние разрабатывается на заказ, то все
становится еще сложнее. Анализируя
российское законодательство, мы об-
наружили, что обладателем исключи-
тельных прав по умолчанию становит-
ся не заказчик, а исполнитель разра-
ботки, если иное не указано в контра-
кте. Мы считаем, что такое положе-
ние лучше всего подходит для разра-
боток выполняемых сторонними си-
лами в рамках госзаказа. Во-первых,
автор должен иметь возможность про-
должать развивать свой продукт. Во-
вторых, государству не нужны исклю-
чительные права, потому что они свя-
заны с излишним отягощением и не-
профильным расходованием средств,
в этом случае придется все это тем
или иным образом ставить на баланс
и тратить средства на борьбу с контра-
фактным распространением. Побоч-
ным вредом этих обстоятельств мож-
но считать автоматическое изыма-
ние хороших идей из рыночного про-
странства. Кроме того, не происходит
поступления программного продук-
та в хозяйственный оборот. Таким об-
разом, получается, что для успешной
работы с приобретенным ПО государ-
ству достаточно иметь права на поль-
зование, тиражирование, распростра-
нение и модификацию. Другое важное
требование – это публикация резуль-
татов таких разработок госзаказчиком
под свободной лицензией. Отсюда вы-
вод: в общем случае лицензирование
по модели GPL вполне подходит для
государственных заказов.
Минэкономразвития воспользова-
лось значительной частью этих реко-
мендации, и тендеры 2005 года про-
№6, июнь 2005
интервью интервью
иходили уже с учетом новых правил.
В частности, было объявлено, что все
материалы, полученные в результа-
те выполнения работ, будут выходить
под свободными лицензиями. На мой
взгляд, эта работа повлекла за собой
довольно революционные измене-
ния в менталитете заказчика. Теперь
есть четкое понимание, что ПО – это
не только какой-то функционал, но и
набор передаваемых авторских иму-
щественных прав. Таким образом, те-
перь не функционал, а права становят-
ся предметом тендера.
Как вы представляете себе операци-
онную систему вашей мечты? Суще-
ствует ли таковая? Если нет, то какая
из ОС, имеющихся в наличии, наибо-
лее близка к вашему идеалу?
Представление об идеале у всех раз-
ное. В данном случае мне больше всех
нравится Linux. Ключевыми аспекта-
ми являются разнообразие ПО, воз-
можность разных стилей работы, ди-
намическое развитие и свободная ли-
цензионная политика. Соответствен-
но если хочется чего-то, чего еще нет,
нужно лишь взять и реализовать это
самому.
Если не секрет, хотелось бы узнать,
собирается ли ALT Linux расширять-
ся и привлекать новых разработчи-
ков?
Конечно. Резкого увеличения числа
сотрудников ожидать не стоит, но все
же мы понемногу расширяемся. К со-
жалению, за нашей спиной нет боль-
шой фирмы с огромным мешком де-
нег, соответственно мы вынуждены
экономить и инвестировать сами в се-
бя. Сейчас мы живем с колес – в этом
есть свои плюсы и минусы, поэтому
нанимать дополнительных разработ-
чиков удается только в случае появле-
ния новых масштабных проектов. На-
личие ALT Linux Team для нас в этом
плане очень важно, получается, что во-
круг всегда есть достаточно много ква-
лифицированных специалистов, рабо-
тающих в рамках одной технологии с
нами. Исторически сложилось так, что
большинство людей, принятых к нам
на работу, в свое время засветилось в
ALT Linux Team.
Андрей Бешков,
фото автора
7 7
 администрирование

POSTFIX: ДИАГНОСТИРУЕМ И УСТРАНЯЕМ

НЕИСПРАВНОСТИ
Postfix прост и надежен в эксплуатации, словно
автомат Калашникова. Но все же неискоренимое
человеческое любопытство нет-нет, да и заставляет
нас задумываться над вопросами: Что будет, если
в один прекрасный день Postfix перестанет работать?
Смогу ли я понять, почему это произошло?
Удастся ли мне его починить?

АНДРЕЙ БЕШКОВ

В
предыдущих статьях [1, 2] мы говорили о том, как
Postfix устроен изнутри, почему я считаю его одним
из лучших SMTP MTA и как с его помощью построить
корпоративный почтовый сервер. Многие читатели, озна-
комившись с этими материалами, принялись за создание
собственных систем на основе Postfix. Судя по откликам,
99% из них преуспели в этом начинании, у подавляющего
большинства почтовый сервер работает в штатном режи-
ме без каких-либо проблем уже год или более.
Все, о чем будет говориться сегодня, проверялось на
версиях Postfix 2.2 под FreeBSD, Solaris и несколькими дис-
трибутивами Linux. Под всеми перечисленными системами
приемы, которым я вас научу, работают практически оди-
наково. Мелкие различия в формате вывода информации
на экран или названии директорий, в которых лежит тот
или иной файл, в данном случае несущественны. Поэто-
му я думаю, что у вас не возникнет проблем с применени-
ем полученных знаний.
Начинаем диагностику
Итак, представим, что неприятности все же случились. Про-
изошло это по вине неловкого администратора или аппа-
ратного сбоя – неважно, наша задача – найти неполадки
и исправить их. Каменщики обычно пляшут от печки, а мы
начнем диагностику с проверки, запущен ли главный про-
цесс Postfix. Сделать это проще всего командой:
# ps -ax | grep master
22628 ? Ss 0:00 /usr/lib/postfix/master
В некоторых дистрибутивах Linux того же эффекта мож-
но добиться командой:
# netstat -na | grep LISTEN | grep 25
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
Теперь неплохо было бы приказать Postfix самому про-
вести внутреннюю диагностику.
# postÞx check
postfix: fatal: /etc/postfix/main.cf, line 100: missing ‘=’
after attribute name: “mynetworks_style”
Как видите, в данном случае проблема состоит в непра-
вильном синтаксисе файла main.cf. Впрочем, эта команда
работает не только с конфигурационными файлами, заодно
она позволяет убедиться, что все необходимые служебные
файлы и директории имеют надлежащие права и принад-
лежат кому положено. Стоит отметить тот факт, что, если в
результате проверки будут обнаружены проблемы с каки-
ми-либо директориями, Postfix попытается самостоятель-
но исправить их атрибуты. В случае успешности этого дей-
ствия на экране не появится никаких предупреждений. Ну а
если самостоятельно разобраться с проблемами не удаст-
ся, сообщения об ошибках будут достаточно детализиро-
ваны и легко понятны даже начинающему администрато-
ру. Иногда случается так, что служебные директории бы-
вают полностью удалены, в этом случае Postfix постарает-
ся самостоятельно восстановить их. Единственное, чего он
не умеет создавать – бинарные выполняемые файлы вза-
мен утраченных. После выполнения команды check непло-
хо было бы перезагрузить Postfix, в идеале это требуется
редко, но иногда лучше перестраховаться:
# postÞx stop
# postÞx start

# service postÞx status

Убедившись в том, что процесс запущен, нужно пере-
ходить к следующему этапу и проверить, принимает ли он
входящие соединения на 25-м порту нужных нам интер-
фейсов:
Анализируем протоколы
Если все вышеперечисленные действия не спасли «отца
русской демократии» и почта все еще не работает – значит
пришло время заняться анализом протоколов работы по-
чтовой системы. Обычно они находятся в /var/log/mail/ или /

8

var/log/maillog. Если вам не удалось найти нужный файл, то
в зависимости от того, какая система syslog у вас исполь-
зуется, посмотрите в /etc/syslog.conf или /etc/syslog-ng.conf.
Поищите в этих файлах строки, где встречается mail, и вам
сразу все станет понятно. Итак, с местонахождением про-
токолов мы определились, теперь следует посмотреть, что
в них записано. В общем виде записи в протоколе долж-
ны выглядеть так:
Jun 12 17:23:41 altlinux postfix/postfix-script: starting the Postfix mail system
Jun 12 17:23:41 altlinux postfix/master[23846]: daemon started -- version 2.1.6
Каждая запись состоит из нескольких компонентов. Пе-
речисляем по порядку: дата и время события, имя хоста,
имя компонента postfix и ID процесса, ну и, наконец, само
сообщение.
Я уже упоминал, что Postfix является не монолитной
программой, а целым содружеством демонов, во главе ко-
торых стоит процесс master. С точки зрения безопасности
это неоспоримое преимущество, потому что отказ одного
компонента не приведет к падению всех остальных. Но в
то же время благодаря такому подходу каждая программа
подсистемы самостоятельно отвечает за протоколирова-
ние результатов своей работы. Получается, что, несмотря
на свое главенство, процесс master обладает лишь необхо-
димым минимумом информации о подчиненных процессах.
К примеру, он может сообщить, что, судя по коду ошибки,
у процесса с определенным ID проблемы, но сути их mas-
ter все равно не знает. В большинстве случаев поиск по ID
процесса, на который пожаловался master, дает исчерпы-
вающую информацию о неполадках в системе.
Для указания серьезности ошибки служат специально
зарезервированные слова. Давайте рассмотрим их зна-
чение.
! panic – произошло что-то из ряда вон выходящее. Вы,
видимо, нашли какую-то серьезную ошибку в работе
Postfix, которую вряд ли сможете исправить самостоя-
тельно. Стоит отметить, что за несколько лет эксплуа-
тации Postfix мне ни разу не приходилось встречать со-
общения об ошибках подобного типа.
! fatal – продолжение работы невозможно до тех пор, по-
ка ошибка не будет исправлена. Обычно причиной та-
ких сообщений становится отсутствие важных файлов
или прав на доступ к каким-либо объектам.
! error – ошибка может быть фатальной или нет, но обыч-
но продолжение работы системы невозможно.
! warning – предупреждение о не фатальных ошибках. Мо-
жет указывать на некоторые несущественные пробле-
мы или ошибки в конфигурации.
Посмотрим на одну из самых типичных записей об
ошибке:
Jun 12 17:41:28 altlinux postfix/smtpd[24506]: fatal:
open database /etc/postfix/helo_restriction.db: No such file or directory
Jun 12 17:41:29 altlinux postfix/master[23846]: warning:
process /usr/lib/postfix/smtpd pid 24506 exit status 1
Jun 12 17:41:29 altlinux postfix/master[23846]: warning:
/usr/lib/postfix/smtpd: bad command startup -- throttling
Судя по сообщению от postfix/master[23846], процесс
postfix/smtpd[24506] аварийно завершил свою работу, по-
тому что не смог найти файл служебных таблиц /etc/post-
fix/helo_restriction.db.
№6, июнь 2005
администрирование
DB-файлы – это бинарная форма вспомогательных та-
блиц, используемых Postfix во время работы. Обычно она
создается из текстовых файлов специального формата с
помощью команды postmap <имя текстового файла>. На-
чинающие администраторы при попытке расширить функ-
циональность postfix довольно часто забывают создавать
вспомогательные таблицы, которые сами же прописали в
main.cf.
Обычно Postfix записывает в файлы протокола доста-
точно информации для того, чтобы понять, в чем именно за-
ключается проблема, но иногда бывает полезно увеличить
«разговорчивость» некоторых компонентов системы. Для
этого открываем файл master.cf, выбираем нужный компо-
нент системы и дописываем к его ключам запуска -v. К при-
меру, строка, заставляющая демона cleanup подробнее от-
читываться о своих действиях, выглядит вот так:
cleanup unix n - - ↵
- 0 cleanup -v
Выполняем команду postfix reload и смотрим, что проис-
ходит. Если полученные сведения все еще не устраивают
нас, добавляем через пробел к ключам запуска еще одну
-v, и так до тех пор, пока не получим необходимую подроб-
ность. Подобный метод можно применять к любому из ком-
понентов Postfix. При проблемах с входящими SMTP-соеди-
нениями добавляют подробности компоненту smtpd. Если
нас интересует доставка, то ключ надо добавить к параме-
трам демона очереди qmgr. Плюс зависимости от направ-
ления, в котором должно уйти письмо, внести такие же из-
менения в параметры вызова агентов доставки smtp, lmtp,
pipe, local, virtual. Также можно глобально указать ключ
-v для программы postfix, которая в свою очередь переда-
ет параметры в master.
Делается это, к примеру, вот так:
# /usr/sbin/postÞx -v
Как и в предыдущих примерах, количество повторений
-v указывает, насколько подробными должны быть выво-
димые сообщения.
Следующей весьма полезной для отладки командой
является postconf. Она выводит на экран огромное коли-
чество информации о состоянии внутренних переменных
и таким образом позволяет посмотреть, каковы на данный
момент настройки postfix. Кстати, стоит отметить, что зна-
чение практически всех переменных, выводимых postconf,
вы можете переопределить в файле main.cf. К примеру,
узнать версию Postfix можно, выполнив:
# postconf | grep version
А с помощью postconf -m можно увидеть, с какими типа-
ми баз данных умеет работать ваш экземпляр Postfix.
# postconf –m
static
cidr
cdb
nis
regexp
9
 администрирование
environ
proxy
btree
unix
hash
Представим, что нам необходимо посмотреть, что ста-
ло с тем или иным письмом. Подобная задача довольно ча-
сто встает перед администратором почтовой системы, ког-
да пользователь звонит и жалуется, что ему два дня назад
отправили письмо, а он его до сих пор не получил. Отсле-
дить путь прохождения письма довольно просто: нужно от-
крыть файл протокола, найти сообщения о соединении с ин-
тересующего хоста. К примеру, нам интересно увидеть, ку-
да делось письмо от vasa@unreal.net к ira@unreal.net. Ищем
в протоколе vasa@unreal.net, например, с помощью grep и
находим следующие строки:
Jun 12 19:11:19 altlinux postfix/smtpd[27445]: connect from
clif.unreal.net[10.10.21.75]
Jun 12 19:12:09 altlinux postfix/smtpd[27445]: F29D3562E:
client=clif.unreal.net[10.10.21.75]
Jun 12 15:12:27 altlinux postfix/cleanup[27482]: F29D3562E:
message-id=20050612151145.F29D3562E@mailhost.unreal.net
Jun 12 19:12:27 altlinux postfix/qmgr[27342]: F29D3562E:
from=<vasa@unreal.net >, size=363, nrcpt=1 (queue active)
Jun 12 15:12:29 altlinux postfix/smtpd[27445]: disconnect from
clif.unreal.net[10.10.21.75]
Из них следует, что письмо было принято от clif.unreal.
net[10.10.21.75], и ему присвоен ID F29D3562E почтовой оче-
реди. Выполним следующую команду:
# grep /var/log/maillog F29D3562E
Jun 12 19:12:27 altlinux postfix/local[27491]: F29D3562E:
to=<ira@unreal.net >, relay=local, delay=42,
status=sent (delivered to command: /usr/bin/procmail -a $DOMAIN -d $LOGNAME)
Jun 12 19:12:27 altlinux postfix/qmgr[27342]: F29D3562E: removed
Проверим доставку
Судя по выводу, письмо было успешно доставлено в почто-
вый ящик пользователя, что и требовалось доказать.
Иногда бывает нужно проверить, как передается почта
между нашим сервером и каким-либо другим. В случае ес-
ли администрируемый сервер доступен для нас по SMTP,
выполнить это достаточно просто. А что делать, если сер-
вер предназначен для внутренней почты компании и нахо-
дится в закрытой сети, соответственно у нас к нему есть до-
ступ только по ssh или telnet? Первый способ – проверить
прохождение почты: отправить письмо из командной стро-
ки с помощью команды mail и затем проанализировать то,
что будет написано в файлах протокола. Большинство ад-
министраторов делает именно так, но есть более удобный
путь. С помощью команды sendmail можно проверить про-
хождение почты гораздо более простым способом.
# sendmail -v vasa@unreal.net
После доставки письма к vasa@unreal.net все данные,
касающиеся этого факта, будут не только записаны в про-
токол, но еще и отправлены почтой пользователю, от име-
ни которого была запущена программа. В нашем случае
это пользователь root.
# sendmail -bv vasa@unreal.net
10
Если воспользоваться такой командой, то на финальной
стадии доставка письма будет прервана и пользователь не
получит тестового письма, но все записи протокола так же,
как и в предыдущем случае, придут к нам в почтовый ящик.
Еще одним удобным способом посмотреть, что проис-
ходит во время SMTP-сессии, является директива debug_
peer_list из файла main.cf. Глобально включать отладку всех
SMTP-соединений было бы очень накладно, поэтому в нее
стоит добавлять только список хостов, взаимодействие с
которыми мы хотим отслеживать тщательнее, чем обычно.
К примеру, для наблюдения за передачей писем между на-
ми и yandex.ru, mail.ru, pochta.ru и 10.10.10.23 строка могла
бы выглядеть вот так:
debug _ peer _ level = 2
debug _ peer _ list = yandex.ru, mail.ru pochta.ru ↵
10.10.10.23/32 10.10.10.0/24
Как видите, хосты можно перечислять двумя путями –
через запятую и через пробел. Впрочем, как вы уже убеди-
лись, никто не мешает в качестве хоста указывать IP-адре-
са или целые подсети вроде 10.10.10.0/32. С данной возмож-
ностью стоит обращаться очень осторожно, потому что каж-
дая SMTP-сессия, попадающая под наш фильтр, записыва-
ет в файл протокола примерно 20 Кб текста. При большом
потоке писем между нами и наблюдаемым хостом стоит не-
много зазеваться, и место на файловой системе /var может
закончиться довольно быстро. Директива debug_peer_lev-
el указывает, насколько подробными должны быть отчеты.
По умолчанию ее значение равно 2.
Если хочется заглянуть чуть глубже в процесс рабо-
ты Postfix, можно воспользоваться услугами стандартных
трассировщиков системных вызовов. Для разных систем
их имена могут несколько отличаться, но, скорее всего, вы
легко найдете в своей системе что-то вроде trace, strace,
truss или ktrace. Следить за каким-либо процессом доволь-
но просто – нужно всего лишь вызвать команду, актуальную
для вашей системы с ключом -p и номером процесса.
Ну а если и это не помогло, можно провести отладку с
помощью интерактивного отладчика xgdb или его не инте-
рактивного собрата gdb. За этот функционал отвечает ди-
ректива debugger_command из файла main.cf. Впрочем, я
сильно сомневаюсь, что она пригодится кому-то из вас. По
крайней мере мне за последние три года ни разу не при-
шлось воспользоваться ею, даже под большой нагрузкой,
Postfix работал без каких-либо нареканий.
Думаю, на данном этапе можно остановиться. вы уже
достаточно хорошо подготовлены для самостоятельного по-
иска неисправностей в работе Postfix, если таковые встре-
тятся на вашем пути. В следующей статье мы поговорим
о методиках анализа узких мест в работе почтовой систе-
мы и способах тонкой настройки нацеленной на увеличе-
ние производительности.
Литература:
1. Бешков А. Почтовая система для среднего и малого
офиса. – Журнал «Системный администратор», №5,
май 2003 г. – 46-54 с.
2. Бешков А. Архитектура Postfix. – Журнал «Системный
администратор», №6, июнь 2004 г. – 04-08 с.
 администрирование

ASTERISK И LINUX – МИССИЯ IP-ТЕЛЕФОНИЯ

У вас уже есть офисная мини-АТС или вы только планируете ее покупку? Думаете
о предоставлении новых возможностей для повышения эффективности работы сотрудников?
Сегодня мы приоткроем дверь в мир Open Source IP-телефонии, рассмотрев возможности
одного из самых популярных продуктов для Linux – Asterisk PBX.

МИХАИЛ ПЛАТОВ

И
так, что же такое Asterisk? Читаем на официальном
сайте [1]: «Asterisk – полностью программная учреж-
денческая АТС (УАТС), работающая под управлени-
ем операционной системы Linux». По возможностям (см.
[2]) Asterisk зачастую опережает своих традиционных со-
братьев. Поддерживаются практически все популярные
протоколы IP-телефонии (SIP, H323, SCCP, ADSI). Помимо
стандартных и общеизвестных, Asterisk также имеет свой
собственный протокол – IAX.
Его можно использовать как для подключения обычных
клиентов, так и для передачи голосового трафика между
несколькими серверами Asterisk. Для сопряжения с «тра-
диционной телефонией» имеются аналоговые (FXO, FXS)
и цифровые модули расширения (E1, T1). С помощью As-
terisk вы сможете реализовать проект любого масштаба –
от простого домашнего сервера голосовой почты до теле-
фонного сервера предприятия с функциями IVR (Interactive
Voice Response – система голосовых меню).
Сегодня мы рассмотрим простой пример установки и на-
стройки сервера Asterisk для работы с несколькими поль-
зователями.
Можно ли на него посмотреть?
Думаю, что после знакомства со списком возможностей (а
это более 70 позиций) у вас возникло желание как можно
быстрее взглянуть на Asterisk своими глазами. Спешу вас
обрадовать – посмотреть на Asterisk без его установки мож-
но! Для этого воспользуйтесь специальным LiveCD, обра-

12
 администрирование
зами сетевой загрузки для PXE-совместимой сетевой пла- новки достаточно прост – необходимо поочередно зайти
ты или карты CompactFlash [3]. в каждый из каталогов и выполнить команды make clean
Однако, если вы считаете LiveCD или другие способы и make install:
«знакомства» излишними, можете сразу перейти к инста-
ляции, только предварительно давайте разберемся, что # cd zaptel
# make clean install
именно мы будем устанавливать. # cd ../libpri
# make clean install
# cd ../asterisk
Каким бывает Asterisk # make clean install samples
Существует две версии Asterisk – HEAD и STABLE. Пер-
вая – версия для разработчиков и «продвинутых» пользо- Последняя команда не только скомпилирует и устано-
вателей. Все новые возможности первоначально добавля- вит Asterisk, но и скопирует стандартные файлы конфигу-
ются именно в HEAD. Версия STABLE, напротив, содержит рации в /etc/asterisk. Вообще установочный скрипт копиру-
только проверенные и отлаженные компоненты и модули. В ет файлы в 3 основных каталога:
ней функциональность заведомо приносится в жертву ста- ! /etc/asterisk – расположение конфигурации;
бильности и надежности. Сильно расстраиваться по этому ! /usr/lib/asterisk/modules – место хранения модулей Aster-
поводу не стоит – немного терпения и все самое «модное» isk;
из HEAD плавно перейдет в STABLE. ! /var/lib/asterisk/ – здесь находятся дополнительные фай-
Итак, для начинающих пользователей, желающих мак- лы asterisk (звуки, agi-скрипты, картинки и т. д.).
симально быстро получить работающее и проверенное ре-
шение, рекомендуется использовать STABLE-версию. (Её Сам же исполняемый файл обычно помещается в /usr/
же в силу простоты мы будем описывать в статье.) sbin/asterisk.
Если же вы собираетесь принять участие в процессе Для проверки правильности установки выполним сле-
разработки Asterisk или просто хотите всегда использо- дующую команду:
вать все самое последнее и новое – устанавливайте вер-
сию HEAD. # asterisk -vvvvvcd

Процесс установки. Если все нормально, то мы увидим несколько экра-

Что нам стоит «*» построить нов пока еще непонятной для нас информации, заканчи-
Asterisk является свободно распространяемым продуктом вающейся приветствием командного интерфейса Aster-
для платформы. Рекомендуемый способ установки – ком- isk (см. рис. 1).
пиляция из исходных кодов. (Существуют бинарные паке-
ты для Redhat/Fedora, Debian, а также ebuild для Gentoo,
правда, как правило, более старой версии по сравнению с
тем, что доступно на сайте.) Однако прежде чем что-либо
компилировать, необходимо получить исходный код Aster-
isk. Сделать это можно двумя способами:
! Скачать tarball с официального сайта [1].
! Загрузить исходный код с CVS-сервера проекта.

Первый способ достаточно прост, и вряд ли он вызовет

какие-то проблемы, поэтому при установке Asterisk вос-
пользуемся вторым способом. К тому же, если вам потре-
буется установить HEAD-версию, вам просто придется ис-
пользовать CVS. (Для Asterisk основной веткой CVS явля-
ется HEAD, поэтому для загрузки STABLE-версии необхо-
димо указать ревизию (-r v1-0).) Процесс компиляции для Рисунок 1. Консоль Asterisk
обеих веток абсолютно одинаков, поэтому все, что написа- Не вдаваясь в подробности, напишем в консоли stop
но далее, применимо и для HEAD, и для STABLE. now и перейдем к более детальной настройке.
Итак, нам понадобятся 3 модуля: zaptel – модуль ана-
логовой телефонии, libpri – модуль цифровой телефонии, Чего же мы хотим?
и сам Asterisk. Для загрузки модулей с сервера CVS выпол- Прежде чем приступить к редактированию конфигураци-
ните следующие команды: онных файлов Asterisk, давайте определим, что же именно
мы хотим от него получить. Итак, нам необходимо:
#
#
cd /usr/src
export CVSROOT=:pserver:anoncvs@cvs.digium.com:/usr/cvsroot
! Обеспечить возможность разговора абонентов по IP
# cvs login # введите пароль anoncvs (SIP).
# cvs checkout -r v1-0 zaptel libpri asterisk ! Создать персонифицированные голосовые ящики (с
автоматической отсылкой голосовых сообщений на
После выполнения последней команды в /usr/src будут e-mail).
созданы соответствующие подкаталоги. Процесс уста- ! Настроить «перехват», передачу и парковку звонков.

№6, июнь 2005 13

 администрирование
Таблица 1. Сравнениваем возможности программных клиентов SIP

С задачей вроде бы определились, поэтому, не отклады- поддерживающие кодек G729 (из бесплатных – firefly). Для
вая дела в долгий ящик, приступим к ее выполнению. тестового примера предположим, что у нас есть 3 пользо-
вателя, использующие X-lite, sjPhone и MS Messenger соот-
А ты меня слышишь? ветственно. Отразим эту информацию в конфигурацион-
Первое, что мы сделаем с нашим сервером, – научим его ных файлах. Начнем с sip.conf:
обслуживать внутренние звонки. Начнем с редактирова-
ния файла /etc/asterisk/sip.conf. Убедимся, что в секции ge- [200] ; xlite phone
type=friend
neral присутствуют следующие строки: host=dynamic
username=200
secret=user1 _ password
[general] nat=no
context=default canreinvite=no
allowguest=no context=ofÞce
bindport=5060 callerid=”User1” <200>
bindaddr=0.0.0.0 allow=gsm
allow=ulaw
В первой строке мы определяем контекст, в который бу- allow=alaw
дут попадать все входящие звонки. Во второй строке мы за-
[201] ;sjphone
прещаем неавторизованный доступ к нашему серверу, что type=friend
особенно важно в случае, если Asterisk будет доступен из host=dynamic
username=201
Интернета. В двух последующих строках мы задаем порт и secret=user2 _ password
интерфейс, на котором ожидаем запросы SIP-клиентов. dtmfmode=rfc2833
context=ofÞce
Теперь несколько слов о самих клиентах – они могут быть callerid=”User2” <202>
как программными (приложение на компьютере), так и аппа- allow=gsm
allow=ulaw
ратными (автономное устройство, реализующее один из про- allow=alaw
токолов Asterisk). Для первого знакомства с Asterisk нам впол-
[203] ; ms messenger
не хватит возможностей программных клиентов. Наиболее type=friend
известные из них: X-Ten X-Lite, sjPhone, FireFly, MS Messen- host=dynamic
username=202
ger, kPhone. Возможности этих программ лучше всего срав- secret=user3 _ password
нивать, представив их в виде таблицы (см. таблицу 1). dtmfmode=rfc2833
context=ofÞce
В зависимости от решаемой задачи можно использо- callerid=”User3” <203>
вать различные программные клиенты. Если ваш сервер allow-ulaw
allow-alaw
будет преимущественно использоваться для внутренних
звонков, то имеет смысл обратить внимание на программы Небольшие пояснения по параметрам конфигурации.
с более функциональным интерфейсом (X-lite, sjPhone). В Поле type, определяющее тип клиента, может принимать
случае большого количества междугородних звонков (либо три значения:
работы в условиях ограниченной пропускной способности ! user – возможны только входящие звонки;
или ненадежного канала) лучше использовать программы, ! peer – возможны только исходящие звонки;
1
Доступно с использованием бесплатной внешней библиотеки.
2
Здесь приводится субъективная оценка автора.
3
Поддержка расширенной функциональности доступна в коммерческой версии.

14

! friend – разрешены как исходящие, так и входящие вы-
зовы.
Поле host позволяет определить IP-адрес, с которого
разрешены подключения для данного клиента. В нашем
случае задавать такое ограничение особого смысла нет,
поэтому оставим динамические адреса (dynamic). Поля us-
ername и secret определяют имя пользователя и пароль, ко-
торые должны использоваться клиентом при регистрации.
Dtmfmode задает способ передачи сигналов DTMF. Пара-
метр nat говорит, может ли данный клиент работать из-за
NAT. Canreinvite разрешает (yes) или запрещает (no) уста-
новку прямого соединения между участниками (минуя As-
terisk). Некоторые клиенты поддерживают строго опреде-
ленные способы работы, что необходимо отражать в фай-
лах конфигурации. Context – имя контекста, в котором бу-
дет находиться данный абонент. CallerID – идентификаци-
онная строка, отображается при звонках от данного поль-
зователя (АОН).
После задания всех вышеописанных настроек и сохра-
нения файла sip.conf перейдем к определению номерного
плана. Для этого нам понадобится отредактировать файл
/etc/asterisk/extensions.conf. Но, прежде чем запустить ре-
дактор, давайте более детально посмотрим на то, что вхо-
дит в стандартную поставку.
Номерной план в Asterisk (Dial plan) задается при помо-
щи так называемых расширений (extension). В файле стан-
дартной установки можно увидеть следующее:
[demo]
exten => s,1, Wait,1
exten => s,n, Answer
exten => s,n, SetVar(TIMEOUT(digit)=5)
exten => s,n, SetVar(TIMEOUT(response)=10)
exten => s,n(restart), BackGround(demo-congrats)
exten => s,n(instruct), BackGround(demo-instruct)
exten => s,n, WaitExten
Обработка контекста demo начинается с записей, в ко-
торых «s» является первым символом. Так, сначала Aster-
isk подождет 1 секунду, потом поднимет трубку и ответит на
звонок, установит значения переменных (строки 2, 3), про-
играет содержимое файлов demo-congrats и demo-instruct
и будет ожидать набора добавочного номера. Следующие
строки определяют конкретные номера в контексте demo:
exten => 2,1, BackGround(demo-moreinfo)
exten => 2,n,Goto(s,instruct)
exten => 3,1, SetVar(Language()=fr)
exten => 3,2, Goto(s, restart)
exten => 8500, 1, VoiceMailMain
exten => 8500, n, Goto,s
exten => 1000, 1, Goto(default,s,1)
Итак, определены 4 номера – 2, 3, 8500 и 100. При звон-
ке на номер 2 мы прослушаем сообщение demo-moreinfo,
после которого Asterisk перенаправит нас в начало, к со-
общению demo-instruct. Набрав номер 3, мы изменим язык
данной сессии на французский. (Чтобы Asterisk мог «раз-
говаривать» с вами на французском языке, необходимо на-
личие соответствующих файлов озвучки в папке /var/lib/as-
terisk/sounds/fr.) При наборе номера 8500 нам ответит си-
4
Символ t отсутствует в стандартной конфигурации. Если мы хотим использовать передачу звонков, его необходимо добавить.
№6, июнь 2005
администрирование
стема голосовой почты Asterisk. Номер 1000 отправит нас
в начало контекста demo.
Надеюсь, что теперь ситуация с контекстами немного
прояснилась. Теперь добавим наши телефоны в этот номер-
ной план. Для этого создадим следующий контекст:
[ofÞce]
exten => 200,1, Macro(stdexten,200,SIP/200)
exten => user1, 1, Goto(200|1)
exten => 201,1, Macro(stdexten,201,SIP/201)
exten => user2, 1, Goto(201|1)
exten => 202,1, Macro(stdexten,202,SIP/202)
exten => user3, 1, Goto(202|1)
include => demo
Мы определили три номера и три псевдонима, при набо-
ре которых активируется макрос stdexten, отвечающий за
обработку вызовов пользователей. Псевдонимы позволят
звонить абоненту не только по его номеру, но и по имени.
В качестве параметров макросу передается номер данно-
го пользователя и имя его SIP-устройства. Давайте посмо-
трим, что же делает этот макрос:
[macro-stdexten]
exten => s, 1, Dial (${ARG2},20,t4)
exten => s, 2, Goto(s-$(DIALSTATUS),1)
exten => s-NOANSWER, 1, Voicemail(u${ARG1})
exten => s-NOANSWER, 2, (Goto(default,s,1))
exten => s-BUSY, 1, Voicemail(b,${ARG1})
exten => s-BUSY, 2, (Goto(default,s,1))
exten => _ s-., 1, Goto(s-NOANSWER)
exten => a, 1, VoiceMailMain(${ARG1})
Данный макрос звонит указанному пользователю. Если в
течение 20 секунд никто не ответил или вызываемый або-
нент был занят, звонящему проиграется соответствующее
сообщение, после чего он получит возможность оставить
сообщение голосовой почты. Правда, пока у наших або-
нентов голосовых ящиков еще нет. Исправим это недораз-
умение, добавив в файл /etc/asterisk/voicemail.conf следу-
ющие строки:
[general]
format=wav49
maxmessage=300
[ofÞce]
200 => 123, User1, user1@mail.company.com,,attach=yes
201 => 456, User2, user2@mail.company.com,,attach=yes
202 => 789, User3, user3@mail.company.com,,attach=yes
Этим мы определили 3 ящика голосовой почты для на-
ших пользователей, с паролями 123, 456, 789 соответствен-
но. При поступлении нового сообщения пользователю неза-
медлительно будет отсылаться e-mail на указанный адрес.
Во вложении письма будет присутствовать само голосо-
вое сообщение в формате wav (вместо wav можно исполь-
зовать любой формат, поддерживаемый сервером). Мак-
симальная длина сообщения – 5 минут. Если в качестве
параметра ящика указать attach=no, то высылаться будет
только уведомление об оставленных сообщениях. Для то-
го чтобы сообщения отправлялись, нам понадобится опре-
делить еще один параметр – команду для отправки почты.
По умолчанию она имеет следующий вид:
;mailcmd=/usr/sbin/sendmail –t
15
 администрирование
Как видно из названия, для работы данной функции необ- Устанавливаем и запускаем соответствующий файл уста-
ходимо, чтобы на компьютере с Asterisk был установлен новки. Для настройки нажимаем на «кнопку с отверткой»
почтовый сервер sendmail или другой, имеющий подобной (см. рис. 3).
интерфейс вызова (postfix, exim и др.). Информацию по на-
стройке почтового сервера можно найти в [4-6].
Для работы с голосовой почты с телефона в нашем но-
мерном плане используется номер 8500. После ввода номе-
ра телефона и пароля пользователь получает доступ к интер-
фейсу управления своим голосовым ящиком. Помимо стан-
дартных возможностей прослушивания перемещения и уда- Рисунок 3. Элемент интерфейса sjPhone после установки
ления сообщений пользователь может самостоятельно запи- Переходим на закладку «Profile» и нажимаем на кнопку
сывать персональные приветствия, менять свой пароль или «New». Создадим новый профиль «Asterisk» с типом «Calls
отправлять голосовые сообщения другим пользователям. though SIP Proxy». Перейдем на закладку «SIP Proxy» и вве-
На этом базовую настройку Asterisk можно считать за- дем IP-адрес (или имя) сервера Asterisk и нажмем «ОК»
конченной, теперь самое время перейти к настройке наших (см. рис. 4).
программных клиентов.

Настраиваем X-Lite
Идем на сайт http://www.xten.com. Скачиваем, устанав-
ливаем и запускаем программу X-Lite. При первом запу-
ске программа предложит настроить микрофон и откро-
ет окно настроек SIP прокси-сервера. В этом окне опреде-
лим следующее:

Enabled - Yes
Display Name - Asterisk
Username – 200
Authorization User – 200
Password – user1 _ password
Domain/Realm - asterisk
SIP Proxy – 192.168.0.205
Outbound Proxy – 192.168.0.20
Register – Always
Рисунок 4. Настраиваем параметры SIP sjPhone
Если все настройки сделаны правильно, то в окне X-Li- В появившемся окне введем имя и пароль для данно-
te мы увидим: го сервера – 201 и user2_password соответственно. По-
сле закрытия окна свойств sjphone изменит свой вид. Ес-
ли данные введены правильно, то мы увидим следующее
(см. рис. 5).

Рисунок 2. X-Lite, зарегистрированный на сервере Asterisk

Теперь можно попробовать позвонить по тестовым но-
мерам стандартной инсталляции – 2, 3, 1000, 1234, 1236,
500, 600, 8500, 200, 201, 202. При звонках на последние два
номера вам, скорее всего, ответит Allison Smith – облада-
тельница приятного голоса, которым разговаривает Aster-
isk. Эти телефоны пока еще не настроены, и о том, как их Рисунок 5. sjPhone, зарегистрированный на сервере Asterisk
можно найти, Asterisk еще ничего не знает. Что ж, давайте
исправим это недоразумение! Настраиваем Windows Messenger
Если устанавливать специального клиента не хочется, мож-
Настраиваем sjphone но попробовать разговаривать с помощью Windows Mes-
Скачиваем с сайта http://www.sjlabs.com программу sjphone. senger. Работа с Asterisk не является для него стандартной

5
IP-адрес или DNS-имя машины с Asterisk.

16

возможностью, так что вооружимся редактором реестра и
отправимся в путь. Если мы используем Windows Messen-
ger версии ниже 4.7, то нам понадобится следующий ключ
реестра: HKEY_CURRENT_USER\Software\Microsoft\Mes-
sengerService.
Если же установлена версия 5.1, то ключ будет другим6:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Mes-
senger.
По данному адресу нам необходимо исправить значе-
ние поля CorpPC2Phone с «0» на «1».
Перезапустим Messenger. Из меню откроем «Tools →
Options → Accounts». В поле «Communications Service Ac-
count» введем имя пользователя Asterisk – 202@asterisk.
Нажмите на кнопку «Advanced» и в открывшемся диалого-
вом окне введите адрес сервера Asterisk, попутно отметь-
те UDP в качестве транспорта. Теперь попробуем подклю-
читься к серверу Asterisk (sign in) с именем 202@asterisk. В
случае успеха мы увидим следующее (см. рис. 6).
Рисунок 6. Windows Messenger, зарегистрированный
на сервере Asterisk
Итак, теперь все три клиента настроены. Связь можно
проверить, позвонив с каждого из них на приведенные вы-
ше номера нашего сервера.
Иду на перехват!
Как вы, наверное, уже догадались, сейчас речь пойдет о
«перехвате звонков». Для начала несколько слов о том, что
же это такое в понимании Asterisk. Допустим, вы слышите,
как у человека рядом звонит телефон, а его самого на ме-
сте нет. По специфике вашей деятельности вы сами можете
ответить на этот звонок, не заставляя звонившего лишний
раз обращаться к голосовой почте. Для того чтобы не под-
ходить к телефону физически, можно «перехватить» звонок
со своего телефона. Нажав определенную последователь-
ность клавиш, вы сможете ответить на «чужой» вызов. В As-
terisk поддерживается два вида таких «перехватов»:
! в рамках указанной группы;
! конкретного номера.
Для перехвата конкретного номера вы набираете на те-
лефоне: *8#номер_звонящего_телефона, после чего звонок
переключается на ваш номер. Первый способ более уни-
6
Если такого пути нет, его необходимо создать. CorpPC2Phone имеет тип DWORD.
7
Если вам нужно просто включить возможность перехвата для всех абонентов Asterisk, вместо модификации номерного плана можно про-
сто раскомментировать строчку pickupexten в файле features.conf.
№6, июнь 2005
администрирование
версален. Вы определяете так называемые группы вызо-
ва – телефоны, звонки на которые можно перехватывать, а
также для каждого из телефонов определяете, какие груп-
пы они могут перехватывать (см. рис. 7).
Рисунок 7. Группы вызова и группы перехвата
В нашем случае мы реализуем самый простой вариант
перехвата звонков – все телефоны смогут перехватывать
звонки друг друга. Для этого внесем некоторые дополне-
ния в файл sip.conf. В секциях описания наших телефонов
(200, 201, 202) добавим две строчки:
callgroup=1
pickupgroup=1
Теперь добавим саму возможность «перехвата» звон-
ков, внеся соответствующие изменения в номерной план.
В контекст [office] после правил вызова абонентов добавим
следующую строчку7:
exten => *8,1,PickUP()
Теперь, после перезагрузки номерного плана Asterisk, у
нас появится возможность перехвата вызовов. Для этого,
когда вы услышите звонок телефона, просто нажмите *8,
и разговор будет переключен на ваш телефон.
Можно здесь припарковаться?
Под «парковкой» в Asterisk понимается следующая ситуа-
ция: вам кто-то позвонил, в процессе разговора вы поня-
ли, что вам нужно перейти к другому телефону. Вы «парку-
ете» ваш звонок в определенном месте, подходите к друго-
му телефону и «подключаете» оставленный ранее звонок.
Парковка в Asterisk сделана с использованием другой удоб-
ной возможности – передачи звонка. Определив некую по-
следовательность символов (по умолчанию это 1#), можно
в процессе разговора переводить звонки другим абонен-
там. Специфика же парковки заключается в том, что есть
некие места – парковочные слоты, в которые собеседни-
ков можно помещать и забирать.
Давайте разберемся со всем этим на практике. Пара-
метры парковки и передачи вызовов определяются в фай-
ле features.conf. В стандартной инсталляции для парковки
звонков определяется 20 номеров, начиная с номера 701.
Для активации функции убедимся, что файл features.conf
содержит следующие данные:
[general]
parkext => 700
parkpos => 701-720
17
 администрирование
context => parkedcalls
xfersound =beep
xferfailsound = beeper Описание конфигурационных
featuredigittimeout = 1000 файлов Asterisk
[featuremap]
blindxfer => #1

Итак, для «парковки» звонка будем использовать номер

700, при его обратном подключении (или ошибке подклю-
чения) мы будем слышать звуковой сигнал, для активации
режима передачи звонка будем использовать последова-
тельность #1, при этом пауза между нажатиями кнопок не
должна превышать одной секунды.
Теперь внесем изменения в номерной план, добавив в
контекст [office] следующую строчку:

include => parkedcalls

Теперь, если во время разговора мы наберем 1#700,

звонок «припаркуется» в свободный слот (Эллисон прого-
ворит нам его номер). Затем мы можем подойти к другому
телефону (при данных настройках на это у нас есть 45 се-
кунд) и, набрав известный нам номер слота, продолжить
разговор с данного телефона.

Включаем межгород
(Межгород? Соединяю...)
Для совершения междугородних звонков можно использо-
вать как более «родной» для Asterisk протокол SIP, так и бо-
лее распространенный среди российских провайдеров IP-
телефонии протокол H323. Поддержка H323 появляется по-
сле установки определенных модулей (в нашей инсталля-
ции этих модулей пока нет), а вот SIP присутствует по умол-
чанию. Кроме того, есть как минимум один российский про-
вайдер, работающий с этом протоколом, – сеть Тарио [7].
Работа в данной сети не бесплатна, поэтому предваритель-
но нам придется зарегистрироваться8. После этого можно
приступить к настройке. Откроем уже знакомый нам файл
sip.conf и добавим в него следующие записи 9:
[tario _ out]
type=peer
host=адрес _ сервера _ tario
username= номер _ лицевого _ счета _ tario
fromusername=номер _ лицевого _ счета _ tario
fromdomain=домен _ tario
secret= пароль _ tario
usereqphone=yes
Для входящих вызовов:
register => номер _ лицевого _ счета _ tario:пароль@tario _ in
[tario _ in]
type=user
context=tario _ inc
host=ip _ адрес _ сервера _ tario
Для исходящих звонков через этого провайдера будем
использовать префикс 8. В контексте [office] добавим сле-
дующую строчку:
exten => _ 8, Dial(SIP/${EXTEN:1}@tario _ out,20,rT)
Конструкция EXTEN:1 означает то, что при передаче
звонка шлюзу провайдера первый символ будет отбрасы-
ваться.
Все входящие звонки от провайдера будем принимать
в контекст [tario_inc]. Его можно сконфигурировать при-
мерно так:
[tario _ inc]
exten => s,1,Wait, 1
exten => s, 2, Answer
exten => s,3, BackGround(local-welcomе)
exten => s,4, WaitExten
exten => 200,1, Macro(stdexten,200,SIP/200)
exten => 201,1, Macro(stdexten,201,SIP/201)
exten => 202,1, Macro(stdexten,202,SIP/202)
exten => 8500,1, VoiceMailMain
exten => 8500,n, Hangup
При звонке в этот контекст пользователь сначала услы-
шит сообщение local-welcome (сообщение нужно будет
предварительно записать), в котором его попросят ввести
добавочный номер вызываемого абонента. После введения
номера звонящего соединят с требуемым пользователем,
если же этот пользователь недоступен, звонивший получит
возможность оставить сообщение голосовой почты. Подоб-
но доступу к шлюзу голосовой почты мы также можем пре-
доставить доступ к другим функциям Asterisk.
Несколько слов о безопасности
При определении контекстов, доступ к которым будут по-
лучать внешние пользователи, необходимо дважды (а то
и трижды) подумать. Так, если бы в последнем примере

8
О том, как это сделать, вы сможете прочитать на официальном сайте [7].
9
Предполагается, что подключение к провайдеру производится с компьютера, имеющего реальный интернет-адрес (без NAT).

18

вместо «ручного» создания правил для дозвона до каждо-
го пользователя мы бы просто написали:
include => ofÞce
то все внешние пользователи, звонящие на наш сервер, по-
мимо вполне легального доступа к внутренним номерам и
серверу голосовой почты также получили бы не совсем ле-
гальный доступ к междугородним звонкам с использовани-
ем нашего провайдера. Однако дублировать записи вызо-
ва тоже не слишком красиво, поэтому более правильно бы-
ло бы перенести все доступные извне правила маршрути-
зации в отдельный контекст [office-rules], а в контексте [of-
fice] вместо них написать так:
[ofÞce]
include => [ofÞce-rules]
exten => _ 8, Dial(SIP/${EXTEN:1}@tario _ out,20,rT
После этого в контексте [tario-inc] вместо повторного пе-
речисления правил дозвона до пользователей можно сме-
ло написать include => [office-rules]. При такой схеме office-
rules не содержит ничего лишнего, и соответственно вос-
пользоваться нашим «межгородом» внешние пользовате-
ли уже не смогут.
Заключение
Итак, сегодня мы рассмотрели основы настройки Aster-
isk и связанные с этим подробности – файлы конфигура-
ции пользователей, настройки номерного плана, настрой-
№6, июнь 2005
администрирование
ки «дополнительных» возможностей, а также способы кон-
фигурации нескольких популярных программных клиентов.
На этом наше знакомство с Asterisk не заканчивается. Как
вы могли видеть, процесс конфигурации не является очень
простым для непосвященного пользователя. Именно это мы
постараемся исправить в следующий раз, рассмотрев не-
сколько веб-интерфейсов, значительно упрощающих на-
стройку Asterisk. Кроме того, постараемся более детально
изучить «аппаратную» часть телефонных систем на осно-
ве Asterisk, а также расширить функциональность создан-
ной сегодня системы.
Литература и ссылки:
1. http://www.asterisk.org.
2. http://www.asterisk.org/index.php?menu=features.
3. http://www.automated.it/asterisk.
4. Шергин Д. Установка IMAP4-сервера на базе Cyrus-
imapd + sendmail. – Журнал «Системный администра-
тор», №10, октябрь, 2003 г. – 10-14 c.
5. Бешков А. Архитектура Postfix. – Журнал «Системный
администратор», №6, июнь, 2004 г. – 4-8 c.
6. Стахов В. Почтовая система на базе MTA Exim. – Журнал
«Системный администратор», №7, июль, 2004 г. – 6-13 c.
7. http://www.tario.net.
8. http://www.voip-info.org.
9. http://www.asterisk-support.ru.
10. http://lists.digium.com.
11. Платов М. Что важно знать об IP-телефонии. – Журнал
«Системный администратор», №5, май, 2005 г. – 20-25 c.
19
администрирование

ИСПЫТЫВАЕМ ANTMON – НОВУЮ СИСТЕМУ

МОНИТОРИНГА
Неприятности с компьютерами и сервисами случаются
в самый неподходящий момент. Избежать их,
быстро исправить положение, а иногда и предвидеть –
всё это может мониторинг. Antmon – новая система
мониторинга, созданная для того, чтобы жизнь
сисадмина была спокойнее.

СЕРГЕЙ ЖУМАТИЙ

20

В
наше время компьютерные мощности растут всё бы-
стрее и быстрее, поэтому системным администрато-
рам приходится обслуживать всё более обширный
компьютерный парк. Проблемы с рабочими станциями поль-
зователей можно решать по мере поступления и, как пра-
вило, нет необходимости моментально на них реагировать
(если это не машина шефа или главбуха).
Но все знают, какая свистопляска начинается, если вы-
ходит из строя сервер. Нет выхода в Интернет, не печатает
принтер, повисла база и т. п.
Можно ли как-то застраховаться от подобной ситуации?
Конечно, можно! Достаточно установить систему монито-
ринга. Систему, которая может обнаружить (а зачастую и
предсказать) проблему и сообщить об этом администрато-
ру до того, как появились разгневанные пользователи. Уме-
ло настроенная система позволит не только сигнализиро-
вать о наличии проблемы, но и подсказать, почему, а так-
же предпринять соответствующие действия. А при ещё бо-
лее умелом использовании сделает простейшие шаги са-
ма, например, перезапустит сервис.
Какие системы мониторинга бывают
Большинство некоммерческих систем мониторинга на-
целены на простейший мониторинг доступности узла или
работоспособности конкретного сервиса. Многие имеют
встроенные методы проверок и не могут быть дополне-
ны, часть не имеет средств оповещения о сбоях (напри-
мер, Ganglia).
Из заслуженно известных систем стоит упомянуть PIKT,
OpenView и Nagios. Последние два продукта, кроме широ-
кой функциональности, имеют и разветвлённые средства
визуализации. Какому админу не будет приятно посмотреть
на красивую картинку своей сети?
К недостаткам Nagios, да и большинства других систем
мониторинга (к примеру, snmp-обработчики открытых snmp-
серверов) можно отнести реализацию процедуры сбора не
«вшитых» намертво параметров. Каждый модуль для мони-
торинга нового параметра (или группы параметров) пред-
ставляет собой отдельную программу, которая запускает-
ся всякий раз, когда необходимо получить значения пара-
метров. А если таких параметров десяток и не на одном, а
нескольких серверах? Для серьёзного мониторинга серве-
ра нужно снимать данные по температурам, скорости вра-
щения вентиляторов, загрузке процессоров, объёмам пе-
редаваемых данных. А к тому же неплохо бы смотреть ак-
тивность сервисов (кто «съел» всю память – почтовик, ба-
за данных или самописный сервер приложений?). А если
надо собирать статистику не только по доступности како-
го-либо сервиса, но и локальные данные на удалённых сер-
верах? К примеру, свободный объём на диске или темпе-
ратуру процессора?
Накладных расходов набегает немало, и каждый раз
запускать десяток программ становится накладно. Да и
запускаются все они на головной машине, проверяя пара-
метр удалённо.
Есть способы решения этих проблем. Например, на-
писать свой сервис, который будет снимать нужные дан-
ные и отдавать их по SNMP. Решение хорошее, но что ес-
ли на сервере уже есть сервис для SNMP? Весьма веро-
№6, июнь 2005
администрирование
ятно, что будет иметь место конфликт по портам. Можно
повесить свой сервер SNMP и на нестандартный порт, но
тогда агенту мониторинга надо будет объяснять, что одни
данные надо с этого порта брать, а другие – с того... Есть
серверы SNMP, которые допускают подключение внеш-
них обработчиков, но все такие обработчики для получе-
ния одного значения каждый раз запускают отдельный
процесс, а если их с десяток и опрашивать их надо часто?
Да и написать такой сервис тоже дело не получаса... Мно-
гие наверняка скажут: «Ничего, мы же пользуемся». Не бу-
ду спорить, во многих случаях подход себя оправдывает
(всё-таки SNMP именно для этого и создавался), но, как
показывает практика, не всегда. К примеру, получение по
SNMP статистики с коммутатора 3Com 3300 по всем пор-
там может занять около минуты – проверено. А это дале-
ко не всегда хорошо.
OpenView является коммерческим продуктом и полнос-
тью основан на использовании SNMP. Если вы используете
серьёзные дорогостоящие системы хранения и базы дан-
ных, то, скорее всего, у вас уже есть поддержка агентов для
OpenView, и его использование будет весьма продуктивно.
Однако, чтобы добавить к нему своего агента для съёма не-
стандартных параметров (OpenView позволяет это делать),
придётся изрядно попотеть... Взять хотя бы минимальные
требования для пакета OpenView Operations, который необ-
ходим для разработки: HP-UX version 11.0, 11.11/Solaris 8,9,
1 GB dedicated RAM/5 GB for management server installation,
Oracle 9i Enterprise.
Вышесказанное не уменьшает достоинств упомянутых
систем мониторинга. Но когда мне пришлось контролиро-
вать несколько десятков узлов вычислительного кластера
и серверы для его поддержки, оказалось, что требования
к системе мониторинга довольно высоки, и мало какие из
существующих систем могут им удовлетворить. Особенно
если добавить требование повышенной надёжности. Что
делать, если завис или оказался недоступен сервер с го-
ловным монитором? Если канал в Интернет «умер»? Тог-
да админ уже ничего не узнает.
Система Antmon
Для решения обозначенных проблем я создал систему мо-
ниторинга Antmon (http://parcon.parallel.ru/antmon). Она бы-
ла создана под конкретный комплекс, но заложенные в
неё принципы построения дают ей очень широкие (как я
полагаю) возможности применения. Пока и головные сер-
веры, и агенты системы работают только под UNIX-совме-
стимыми операционными системами, под Windows они не
тестировались, но порт агента и головного сервера под эту
платформу планируется в самое ближайшее время. Кро-
ме того, система продолжает развиваться, и я всегда от-
крыт пожеланиям.
Кратко сформулирую требования, которые легли в осно-
ву Antmon:
! лёгкая расширяемость (написать модуль расширения
для снятия нестандартных параметров или реакции на
нештатную ситуацию должно быть по силам среднему
программисту);
! нетребовательность к ресурсам (затраты на работу мо-
ниторов должны быть минимальны);
21
 администрирование
! высокая стабильность (отказ головного сервера не дол-
жен приводить к полному отказу системы, по крайней
мере администратор должен узнать об этом первым).
Рассмотрим общую архитектуру системы Antmon и за-
одно увидим, как в ней удовлетворяются сформулирован-
ные требования.
Структура комплекса Antmon
С отдельных серверов данные собираются при помощи
агентов, которые не выполняют анализа данных, а лишь
собирают их и отправляют на головной сервер. Именно
головной сервер даёт запросы на сбор значений параме-
тров и производит их анализ. В планах развития системы
значится и пассивная схема работы, когда параметры со-
бираются агентами самостоятельно и передаются на сер-
вер только по условию, например, при превышении допу-
стимого значения.
Если значение какого-либо параметра выходит за до-
пустимые пределы, он помечается как ошибочный, а ес-
ли оно не возвращается в необходимый диапазон в тече-
ние заданного числа опросов, то параметр помечается как
сбойный. После этого для «реабилитации» ему потребуется
не только вернуться в необходимый диапазон «хороших»
значений, но и продержаться там в течение определённо-
го числа опросов. Например, температура процессора мо-
жет «плавать», и сбойной её стоит пометить, только если
она остаётся вне безопасного диапазона некоторое время.
А, к примеру, наличие битых пакетов в канале сигнал тре-
вожный, и чтобы не пропустить его, стоит пометить пара-
метр как сбойный сразу же. Число опросов для перехода в
«сбойное» и в «хорошее» состояние задаётся в файле кон-
фигурации и может быть настроено для каждого сервера
и параметра отдельно.
Возможности расширения Antmon
Система Antmon не имеет жёстко «вшитых» средств мо-
ниторинга, кроме проверки доступности удалённого аген-
та. Поэтому всегда можно настроить систему под конкрет-
ные требования и не иметь дела с избыточными для вас
данными.
Все параметры мониторятся агентами с помощью под-
ключаемых модулей. Каждый модуль – программа, запу-
скаемая один раз при первом запросе параметра. После за-
пуска программа сообщает агенту Antmon, какие параме-
тры она способна мониторить. После этого агент по мере
необходимости в цикле даёт модулю на стандартный ввод
запрос в виде списка имён параметров и ждёт от модуля
на стандартном выводе список результатов.
Если модуль возвращает некорректные результаты, за-
висает или просто падает, то агент пытается перезапустить
его. Если же ответ от модуля не будет получен и после этого
агент вернёт серверу ответ «сенсор недоступен».
Таким образом, один модуль способен обслуживать
сразу несколько параметров (например, число передан-
ных, полученных и ошибочных пакетов через каждый из
доступных сетевых интерфейсов или скорости вращения
всех вентиляторов и температуры процессоров и материн-
ской платы).
22
Все требования к модулю сводятся к использованию
крайне простого протокола (выдать в начале работы спи-
сок контролируемых параметров и на запрос параметров
по имени выдать их значения), и к асинхронности всех опе-
раций ввода-вывода через стандартные потоки. Последнее
необходимо для того, чтобы зависший или долго работаю-
щий модуль не мог блокировать работу остальных.
Благодаря таким простым требованиям модуль для An-
tmon может быть написан практически на любом языке, и
навыки программиста для его написания должны быть ми-
нимальны (главное – запрограммировать съём значений
параметров). В поставку входит набор готовых модулей,
которые могут быть легко модифицированы и использо-
ваны для написания собственных.
За счёт того, что модули запускаются единожды и акти-
визируются только по запросу агента, накладные расходы
на мониторинг на сервере сводятся к минимуму.
Обработка событий
К любому событию в системе можно привязать обработчик,
работающий аналогично модулям агентов – на его стандарт-
ный вход подаются строки, соответствующие событиям, а
обработчик в цикле их обрабатывает. Формат строк зада-
ётся в конфигурационном файле и может быть настроен
индивидуально для различных обработчиков и событий. К
примеру, все значения температуры процессора можно за-
писывать в лог – достаточно привязать ко всем событиям,
связанным с ней, соответствующий обработчик. А к факту
превышения критической температуры можно привязать от-
правку почты администратору или другое действие. К лю-
бому событию может быть привязано несколько обработ-
чиков, которые будут работать параллельно.
Обеспечение надёжности
Для повышения надёжности в Antmon было решено отка-
заться от единого головного сервера. Система может быть
настроена на одновременную работу нескольких головных
серверов. При этом за каждый параметр мониторинга от-
вечает только один сервер, но если он выходит из строя,
то остальные сигнализируют о сбое и пытаются взять его
работу на себя.
В конфигурации головных серверов указывается, какие
параметры могут быть переданы дублирующим серверам
(ведь дублирование не всегда возможно, например, из-за
firewall). В любом случае дублирующие серверы отреагиру-
ют на сбой одного из своих «собратьев».
За счёт использования нескольких головных серверов
можно, к примеру, проводить мониторинг в нескольких вир-
туальных сетях, попутно контролируя их доступность через
NAT и заодно работоспособность веб-сайта компании.
Система Antmon опробована на небольших сетях и на
конфигурации из более чем ста компьютеров, на каждом
из которых отслеживалось около десятка параметров. Во
всех случаях она зарекомендовала себя с положительной
стороны.
Примеры
Вот пример конкретного конфигурационного файла с ком-
ментариями.
 администрирование
Листинг 1. Кольцевая конфигурация mons 1 2
# Проверять могут мониторы head1 и head2.
heads head1 head2 serv # head1 имеет приоритет
# Используем 3 головных сервера с именами
# head1, head2 и serv names http.antmod test _ url
# Формат: имя модуля [аргументы] название
topo 1 2 3 2 # В этот момент происходит объявление сенсора
# Описываем топологию. # с указанным именем на агенте по адресам,
# Кратко – 1–й сервер будет посылать пакеты 2–му # указанным в последней инструкции addr либо addresses
# для подтверждения того, что он «жив», # (тогда объявляются сенсоры на всех перечисленных хостах)
# 2–й – 3–му, а 3–й – 2–му.
# addresses host1 host2 host3
# Если 1–й сервер откажет, об этом узнает только 2–й min 5000
# (но он «расскажет» 3–му) max 100000
min _ ret 5500
head _ ping 120 max _ ret 100000
# Посылаем ping (точнее keep _ alive) остальным серверам ret _ count 2
# каждые 2 минуты # Меняем параметры сенсоров.
# Описанные ранее параметры, которые не изменены,
head _ tmout 300 # не сбрасываются!
# Если в течение 5 минут нет сигнала от другого сервера, # Проверяем на 3-х хостах
# он считается сбойным
on _ fail down
action mail _ servfail action _ mail root@superserver.ru
action _ line Server $addr fails. mons 2 3
# Описываем действие – передать на вход модулю # Ответственные мониторы – head2 и serv.
# action _ mail указанную строку, сам модуль # head2 имеет приоритет
# action _ mail запускается с параметром – адресом
# администратора names fans.antmod w83781-isa-0290 w83781-isa-0290 fan1
# Объявляем сенсор
action mail _ status action _ mail root@superserver.ru
action _ line $name on server $addr is $state adsdresses node1 node2 node3 node4
# Ещё одно действие – тоже отсылка письма # Объявляем сенсоры с указанным ранее
# в инструкции names именем на узлах node1–node4
action down action _ shutdown #
action _ line $addr # Проверяем вентилятор процессора на узлах node1–node4,
# Другой вариант реагирования – зайти на указанный сервер # используя их локальные агенты
# по ssh и выполнить shutdown

action log action _ log /var/log/Antmon _ log В этом примере всего два сенсора. Один из них (до-
action _ line $addr $name $val $state
# Реагирование в виде записи в файл журнала ступность веб-страницы) контролируется сервером head1
и страхуется сервером head2, а второй – сервером head2
on _ head _ death mail _ servfail
# В случае сбоя головного сервера оповестить и страхуется сервером serv.
# администратора с помощью описанного выше действия Как видим, настройка головных мониторов – дело не-
# mail _ servfail
сложное. Агенты в конфигурации не нуждаются, достаточ-
##################################################### но их установить, запустить и скопировать в рабочий ката-
# Описание параметров мониторинга.
# Все инструкции описывают шаблон для параметра – лог необходимые модули.
# диапазон значений, реакции на события и т. п. Ещё один пример, чуть сокращённый – конфигурация
#
# Инструкции names или addr _ set «актуализируют» шаблон, мониторинга трёх площадок с контролем доступности друг
# реализуя описанные параметры на сервере из инструкции друга (предполагается, что VPN они не соединены).
# addresses или на указанных серверах с именем
# из инструкции name соответственно.
# Листинг 2. Три площадки
# Шаблон не обнуляется после «актуализации»,
# так что нет необходимости описывать каждый параметр heads site1 site2 site3
# заново – достаточно модифицировать предыдущий # Головные сервера площадок – site1, site2 и site3

addressess host1 topo 1 2 3 1

# Имя хоста, на котором работает агент # Все контролируют друг друга

min 200 action mail _ fail action _ mail root@superserver.ru

max 200 action _ line $name fails.
# Диапазон допустимых значений кода веб–страницы action sms _ servfail action _ sms 1234567
action _ line Server $addr fails.
min _ ret 200
max _ ret 200 action log action _ log /var/log/Antmon _ log
# Диапазон значений для возврата в состояние «ОК» action _ line $addr $name $val $state
action restart _ base action _ baserst
bad _ count 2 action _ line restart
# Один сбой странички допускаем, 2 – уже нет
on _ head _ death sms _ servfail
ret _ cout 1 # Шлём sms, если один из серверов помер
# Для возврата в состояние «ОК» достаточно одного
# «хорошего» результата её опроса addr 192.168.10.10
# Сервер баз данных
on _ fail mail _ state log min 0
# При сбое – информировать администратора и сделать max 0
# запись в журнале # Код успешного статуса базы данных

on _ ret mail _ state log min _ ret 0

# При возврате в состояние «ОК» – тоже address serv1 max _ ret 0
# проверять будем на агенте на head1 # Диапазон значений для возврата в состояние «ОК»

№6, июнь 2005 23

 администрирование
bad _ count 1 max _ ret 1.9
# Первый же сбой фатален # Максимально допустимая нагрузка на 2-процессорный узел
bad _ count 3
ret _ cout 1 ret _ cout 2
names sysstat.antmod loadavg
on _ fail mail _ fail restart _ base log
# При сбое базы – перестартовать её. max 70
# Информировать администратора и сделать запись # Максимальная температура
# в журнале names fantemp.antmod w83781-isa-0290 w83781-isa-0290 fan1

on _ ret log max 2

bad _ count 1
mons 1 ret _ cout 1
# Проверять будет только site1 names sysstat.antmod eth0 _ rcv _ errs
names sysstat.antmod eth0 _ sent _ errs
names dbcheck.antmod database names sysstat.antmod eth0 _ sent _ colls
names sysstat.antmod nfs _ retrans
addr 1.2.3.4
# Вторая площадка с реальными адресами on _ fail mail _ fail log
on _ fail mail _ fail log on _ ret log
mons 2 1 3
# Первая и третья площадки могут быть «на подхвате» mons 1 2
min 200
names smtp.antmod mail.myserv.ru; http.antmod www.myserv.ru min _ ret 200
# В инструкции names можно определить и несколько max 201
# сенсоров max _ ret 201
addresses localhost
addr 5.6.7.8 # Небольшое жульничество, каждый головной сервер будет
# Третья площадка с реальными адресами # опрашивать локального агента, но сначала это будет
mons 3 2 1 # делать только первый

names smtp.antmod mail.serv2.ru; http.antmod www.serv2.ru names http.antmod www.server.com

# За этот сенсор ответственны все
mons 3
min 0
max 70
min _ ret 0
max _ ret 60
names fantemp.antmod w83781-isa-0290 w83781-isa-0290 fan1
# Вентилятор на 5.6.7.8 контролирует только site3
Заметим, что все сенсоры, кроме вентилятора на тре-
тьей площадке, имеют два состояния – 0 и 1. 0 означает
нормальную работу. Поэтому диапазон «хороших» значе-
ний (0-0) прописывается один раз и потом просто наследу-
ется сенсорами, объявляемыми позднее до тех пор, пока
этот диапазон не переопределяется.
Другой пример – мониторинг состояния вычислитель-
ного кластера из 8 узлов, его доступности извне (с внеш-
него сервера в другой сети) и проверка работоспособно-
сти сайта кластера. Сейчас вычислительные кластеры от-
нюдь не редкость, так что пример может быть весьма по-
казателен.
Листинг 3. Кластер и внешняя площадка.
heads clusterhead friend.ru
topo 1 2 1
# Оба контролируют друг друга
action mail _ fail action _ mail root@superserver.ru
action _ line $name fails.
action sms _ servfail action _ sms 1234567
action _ line Server $addr fails.
action log action _ log /var/log/Antmon _ log
action _ line $addr $name $val $state
on _ head _ death sms _ servfail
# Шлём sms, если один из серверов помер
on _ fail action _ log mail _ fail
on _ ret action _ log
addresses node1 node2 node3 node4 node5 node6 node7 node8
mons 1
min 0
min _ ret 0
max 2.3
Можно отметить, что на второй площадке ничего не
описано. Она существует для контроля доступности пер-
вой, и своих сенсоров не опрашивает. Если первая рабо-
тает – всё ОК, если нет – вторая берёт на себя контроль
за работоспособностью сайта и сообщает админу о слу-
чившемся.
Важно, чтобы на всех головных серверах файлы кон-
фигурации были одинаковыми. По крайней мере, инструк-
ции mons должны быть одинаковы, иначе возможна рас-
синхронизация работы. Реакция на события или интер-
валы опроса сенсоров могут и отличаться, если это не-
обходимо.
Недостатки Antmon
Отмечу и недостатки. Система Antmon пока не работает
на платформе Windows (хотя я не проверял вариант ком-
пиляции под cygwin). Кроме того, полный перенос логи-
ки на головные сервера имеет свою отрицательную сто-
рону – излишнюю передачу данных для некоторых ви-
дов параметров мониторинга. Иногда удобнее, чтобы
агент сам определял валидность параметра и только в
случае смены его статуса (OK → FAIL, например) инфор-
мировал об этом головной сервер, аналогично механиз-
му Trap в SNMP. В систему Antmon уже заложена основа
для реализации такой схемы работы (параллельно с вы-
шеописанной).
Заключение
Несмотря на то что Antmon имеет некоторые минусы (а у
кого их нет?) и не так хорошо обкатана, как многие дру-
гие системы мониторинга, она может стать хорошим под-
спорьем в работе администратора. К тому же система бу-
дет развиваться, а значит становиться ещё удобнее. На её
освоение не требуется много времени, как и на доводку под
свои специфичные нужды.
Надеюсь, для многих администраторов Antmon сможет
сослужить добрую службу.

24
 администрирование

АВТОМАТИЗАЦИЯ MS WINDOWS,
ИЛИ AUTOIT КАК МЕЧТА ЭНИКЕЙЩИКА
ЧАСТЬ 3

Вы уже познакомились с возможностями AutoIt по автоматизации работ в Windows.

Узнали, как с его помощью решаются рутинные задачи администрирования.
Сегодня займемся созданием диска автоматической установки операционной системы
и необходимых приложений. Здесь AutoIt позволит сделать выбор приложений независимым
от типа инсталлятора, используемого разработчиком, и заодно настроить рабочую станцию.

АЛЕКСЕЙ БАРАБАНОВ
Создаем диск автоматической диска, скорее всего, никогда не понадобится далее, зна-
установки чит за их счет можно выделить больше места для разме-
щения приложений.
Если мы собираемся вас инструктировать перед обновлением
программного обеспечения системы, не беспокойтесь.
Мы ведь никуда не денемся, когда это закончится!
Подготовим дистрибутивные файлы
Итак, приступим. Все пути в Linux будут приводиться с ис-
За основу возьмем диск Windows XP Professional с интегри- пользованием «/» и задавая их положение в Linux-нотации,
рованным 2-м сервиспаком, что на сегодня является наи- а пути в Windows – с «\» и с указанием буквы, использован-
более свежей версией. Это будет единственное соприкос- ного устройства или подразумевая положение от рассма-
новение с Windows в процессе производства. Все осталь- триваемого корня, например от I386 (см. листинг 1).
ные действия будем совершать в среде Linux. Базовые све-
дения по процессу автоматической установки Windows, вы Листинг 1. Содержимое исходного диска, примонтированного
в точке /cdrom
можете получить, воспользовавшись ссылками [1, 2]. Те-
перь перейдем от теории к практике. /cdrom # ls -als
Сначала подготовим исходный материал для постро- total 2990
ения дистрибутивного диска. Здесь особо отмечу, что не 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 .
стоит излишне демонизировать этот процесс. Дистрибу- 4 drwxr-xr-x 16 root root 4096 Mar 14 14:32 ..
2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 Autorun
тив – это обычный набор архивов, записанный вместе с 5 -r--r--r-- 1 root root 4952 Oct 20 2001 Bootfont.bin
установщиком на CD-диск. Совершенно не важно, какое 312 dr-xr-xr-x 1 root root 319488 Sep 7 2004 I386
имя имеет полученный диск, какая у него дата создания, и 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 Soft
1 -r-xr-xr-x 1 root root 10 Aug 23 2001 WIN51
какая контрольная сумма у имиджа этого диска и файлов, 1 -r-xr-xr-x 1 root root 10 Aug 23 2001 WIN51IP
в него входящих. Точно также не следует надеяться най- 1 -r--r--r-- 1 root root 2 Aug 29 2002 WIN51IP.SP1
ти загрузчик диска в 20 секторе. Главное, чтобы установ- 1 -r--r--r-- 1 root root
2 dr-xr-xr-x 1 root root
56 May 19 2003 autorun.inf
2048 Sep 7 2004 cmpnents
щик на таком диске нашел все нужное для своей работы. 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 crack
Очевидно, что изначально установщик имеет очень много 35 -r--r--r-- 1 root root 35371 Jul 17 2004 readme.htm
1 -r--r--r-- 1 root root 29 Feb 11 2003 serial.txt
встроенных возможностей. Но так как нас интересует лишь 2524 -r--r--r-- 1 root root 2584576 Aug 17 2004 setup.exe
один вариант установки, то можно с уверенностью утверж- 97 -r--r--r-- 1 root root 98665 Jul 17 2004 setupxp.htm
дать, что часть файлов с оригинального дистрибутивного 1 -r--r--r-- 1 root root 2 Aug 17 2004 win51ip.SP2

№6, июнь 2005 25

 администрирование
Выберем местом создания нового дистрибутива /heap/ 312 dr-xr-xr-x 1 root root 319488 Sep 7 2004 .
Windows/uawsp2. Скопируем туда часть исходного диска, 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 ..
2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 ASMS
исключив очевидно лишнее, и добавив то, что указано в 36 dr-xr-xr-x 1 root root 36864 Sep 7 2004 COMPDATA
листинге 2. 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 DRW
2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 SYSTEM32
Листинг 2. Рабочая директория после копирования исходного 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 WIN9XMIG
диска 2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 WIN9XUPG
2 dr-xr-xr-x 1 root root 2048 Sep 7 2004 WINNTUPG
/heap/Windows/uawsp2 # ls -als 4 dr-xr-xr-x 1 root root 4096 Sep 7 2004 lang

total 168 При копировании исключим те поддиректории, что от-

4 drwxr-xr-x 3 root root 4096 Feb 6 00:12 $OEM$ носятся к вариантам установки Windows XP в режиме ми-
4 drwxr-xr-x 6 root root 4096 Mar 3 14:54 . грации и обновления с предыдущих версий. Получится
4 drwxr-xr-x 10 root root 4096 Mar 16 13:17 ..
8 -r--r--r-- 1 root root 4952 Oct 20 2001 Bootfont.bin следующее:
116 dr-xr-xr-x 7 root root 114688 Feb 2 21:45 I386
4 -r-xr-xr-x 1 root root 10 Aug 23 2001 WIN51 Листинг 5. Дистрибутивные поддиректории, которые надо
4 -r-xr-xr-x 1 root root 10 Aug 23 2001 WIN51IP составить
4 -r--r--r-- 1 root root 2 Aug 29 2002 WIN51IP.SP1
4 -r--r--r-- 1 root root 26 Feb 2 22:43 autorun.inf /heap/Windows/uawsp2 # ls -als I386 | grep dr-x
4 drwxr-xr-x 2 root root 4096 Dec 5 14:52 boot
8 -r--r--r-- 1 root root 4286 Apr 11 2003 icon.ico 116 dr-xr-xr-x 7 root root 114688 Feb 2 21:45 .
4 -r--r--r-- 1 root root 2 Aug 17 2004 win51ip.SP2 4 dr-xr-xr-x 15 root root 4096 Sep 7 2004 ASMS
16 dr-xr-xr-x 2 root root 16384 Sep 7 2004 COMPDATA
4 dr-xr-xr-x 4 root root 4096 Sep 7 2004 DRW
Прокомментирую состав файлов в корне дистрибутив- 4 dr-xr-xr-x 2 root root 4096 Sep 7 2004 SYSTEM32
ного диска: 4 dr-xr-xr-x 2 root root 4096 Sep 7 2004 lang
$OEM$ – директория с дополнительным ПО, о ее содер-
жимом мы поговорим позже; Это позволит сильно сократить размеры создаваемого
Bootfont.bin – шрифт текстового режима установки; дистрибутива и освободит место для размещения дополни-
I386 – директория с дистрибутивными файлами; тельных программ. Директории $OEM$ и boot будут созда-
WIN51 – маркерный файл, соответствующий Windows ны и наполнены содержимым в процессе дальнейшей ра-
v5.1; боты. В сумме получилось весьма немного:
WIN51IP – маркерный файл, соответствующий Windows
Листинг 6. Объем оставшегося дистрибутива
XP Professional;
WIN51IP.SP1 – маркерный файл, соответствующий пер- /heap/Windows/uawsp2 # du -sh
вому сервиспаку; 437M .
autorun.inf – блокировка автозапуска;
boot – директория загрузчика; Для дополнительных программ остается еще почти
icon.ico – иконка диска; 300 Мб, а с учетом overburn еще больше. Теперь заполним
win51ip.SP2 – маркерный файл, соответствующий вто- директорию boot. Это техническая директория, использу-
рому сервиспаку. емая в процессе построения имиджа загружаемого диска.
В нее надо будет поместить загрузчик для ISO9660 и да-
Обратите внимание, регистр символов для наименова- лее указать ее же как целевую для размещения каталога
ний служебных меток не имеет значения и все имена соот- диска. В собранном диске эта директория вместе с содер-
ветствуют правилу 8.3. Это верно только в отношении ука- жимым будет скрыта от просмотра. Так, в нее надо поло-
занных файлов. Все остальные названия файлов уже не жить загрузочный сектор для Windows. Как уже было ска-
ограничиваются спецификацией имен древнего FAT и орто- зано, нет простого способа экстрагировать этот сектор из
доксальной версии ISO9660. рабочего имиджа.
Маркерные файлы, содержимое которых далее никак не Дело в том, что ISO9660 имеет структуру подобную ар-
обрабатывается, то есть может быть любым, и Bootfont.bin хивному файлу, и положение загрузочного сектора опре-
берем с исходного диска. Иконка имеет чисто косметиче- деляется порядком его обхода при построении имиджа. По-
ское значение (см. листинг 3). этому рекомендуется или найти этот сектор в Интернете,
или загрузить прилагаемый к этой статье [3]. Загрузочный
Листинг 3. Файл автозапуска сектор в ходе своего выполнения обращается к двум дру-
/heap/Windows/uawsp2 # cat autorun.inf гим фазам загрузки (см. листинг 7).
[autorun]
Листинг 7. Подстроки, выделенные из загрузчика
ICON=Icon.ico
/heap/Windows/uawsp2 # strings boot/ntboot.bin
Самым важным преобразованиям подвергнем дирек- CDBOOT: Cannot boot from CD - Code: 0
торию с дистрибутивными файлами I386. В исходном дис- CDBOOT: Couldn't find NTLDR
ке она содержит следующие поддиректории: CDBOOT: Memory overflow error
&8G
SVRP
Листинг 4. Поддиректории с дистрибутивными файлами XZ^[
/cdrom # ls -als I386 | grep dr-x SETUPLDR.BINBOOTFIX.BINI386

26

Можно понять по последней строке, что они размещены в
директории I386 под именами SETUPLDR.BIN и BOOTFIX.BIN.
Последний из них является тем самым программным кодом,
который запрашивает разрешения загрузки с CD:
Листинг 8. Подстрока сообщения, сопровождающего загрузку
/heap/Windows/uawsp2 # strings I386/BOOTFIX.BIN
Press any key to boot from CD.
И в случае нажатия любой клавиши на локальной кла-
виатуре управление передается на SETUPLDR.BIN, который
в свою очередь и производит запуск процедуры установки.
Вот окончательное содержимое директории boot:
Листинг 9. Содержимое директории boot
/heap/Windows/uawsp2 # ls -als boot
total 12
4 drwxr-xr-x 2 root root 4096 Mar 17 01:05 .
4 drwxr-xr-x 5 root root 4096 Mar 17 17:17 ..
4 -rw-r--r-- 1 alekseybb users 2048 Dec 5 14:25 ntboot.bin
администрирование
изводится в локали среды разработки, в данном случае
в koi8-r, а затем полученный файл конвертируется в нуж-
ную кодировку и размещается в директории I386 (см. ли-
стинг 10). Подготовленную версию файла вы можете по-
смотреть по ссылке [4].
Листинг 10. Конвертация в cp866
# iconv -f koi8-r -t cp866 WINNT.SIF.koi8r | ↵
awk '{print $0 "\015"}' > ↵
/heap/Windows/uawsp2/I386/WINNT.SIF
Текст обильно снабжен комментариями. Поэтому не бу-
ду приводить его полностью. Лишь отмечу то, что имеет ва-
риантную настройку, важную для нас.
На первом этапе у нас есть выбор, сделать ли установ-
ку полностью автоматической или оставить ручной выбор
раздела. Выберем последнее в секции, определяющей раз-
мещение данных:
[Data]
; Включим режим ручного выбора раздела установки.
AutoPartition=0

Приступаем к установке При полностью автоматической установке не произой-

Установка Windows XP производится в три этапа. Каж- дет ничего плохого, если все работы производятся только
дый из которых начинается с загрузки, и все, кроме по- в рамках предприятия. Но ручной вариант позволяет при-
следнего, завершаются перезагрузкой. Перечислю все менять полученный диск еще и в приватной практике, ког-
происходящие внутри этапов технологические действия да жесткие диски разбиваются не столь единообразно.
в порядке их наступления и попутно прокомментирую са- Для этого в секции, отвечающей за режимы автоматиче-
мое важное. ской установки, укажем запрет автоматического перераз-
биения диска и автоматического преобразования файло-
Первый этап вой системы:
Происходит в текстовом режиме:
1. Запуск загрузчика установочного диска boot/ntboot.bin. [Unattended]
; Запрещаем автоматическое переразбиение диска.
2. Запуск i386/bootfix.bin. Repartition=No
3. Запуск i386/setupldr.bi.
4. Чтение и интерпретация i386/txtsetup.sif, i386/winnt.sif и То есть все необходимые вопросы, касающиеся раз-
других *.sif. мещения устанавливаемой системы на жестком диске бу-
5. Загрузка драйверов оборудования. дут заданы персоне, присутствующей за консолью рабо-
6. Запуск system32/ntdll.dll и system32/smss.exe. чей станции. Такой режим позволит избежать ошибок из-
7. Копирование файлов с дистрибутивного диска. за случайно оставленных в лотках дисках автоматической
8. Обновление hive*.inf в реестр. установки и при необходимости избежать уничтожения ло-
9. Перезагрузка. кальных данных.
На этом же этапе все специально подготовленные дан-
Первые три пункта уже были описаны. Четвертый, на ко- ные с дистрибутивного диска будут скопированы на целе-
тором, кстати, проверяется синтаксическая правильность вой раздел. Дополнительные данные помещаются в дирек-
используемых файлов, весьма интересен. Txtsetup.sif со- торию $OEM$. Например, как показано в листинге 11.
держит подробное описание всех дистрибутивных файлов
и дисковых меток win51ip.sp*, задает режимы запуска пер- Листинг 11. Размещение дополнительных обоев
вой фазы «/fastdetect /noguiboot /nodebug» и многое другое. /heap/Windows/uawsp2 # ls -als \$OEM\$/\$\$/Web/Wallpaper
Читать это «чудище» размером в 468 Кб одно удовольствие.
total 484
Модифицируя указанный текстовый файл, можно с Windows 4 drwxr-xr-x 2 root root 4096 Feb 2 21:56 .
творить что угодно. В этом же файле должны быть «про- 4 drwxr-xr-x 3 root root 4096 Dec 26 16:31 ..
писаны» и автоматически устанавливаемые драйвера. Но 320 -rw-r--r--
156 -rw-r--r--
1
1
alekseybb
alekseybb
users 320111 Oct
users 154966 Oct
26
26
2003
2003
oaks.jpg
winter.jpg
самый важный в контексте рассматриваемой темы – файл
winnt.sif. Это тот самый файл ответов, который позволяет А если нужно добавить некоторые программные файлы
выполнять автоматическую установку и настройку Windows. так, чтобы они далее могли находиться автоматически, то
Этот файл надо будет создать. Его кодировка, как и всех следует их разместить так, как показано в листинге 12.
текстовых управляющих файлов, должна соответствовать
кодовой странице cp866. Но так как вся разработка ведет- Листинг 12.Размещение дополнительных программ
ся под Linux, то первоначальный набор этого файла про- /heap/Windows/uawsp2 # ls -als \$OEM\$/\$\$/System32

№6, июнь 2005 27

 администрирование
total 280
4 drwxr-xr-x 2 root root 4096 Mar 19 01:48
4 drwxr-xr-x 4 root root 4096 Mar 22 23:08
240 -rw-r--r-- 1 root root 241664 Nov 6 2003
32 -rw-r--r-- 1 root root 31232 Aug 18 2003
Другими словами, директория $OEM$/$$ соответству-
ет директории установки ОС на целевом диске. Если сле-
довать установкам по умолчанию, то для Windows XP это
C:\WINDOWS.
Чтобы в директории C:\Documents and Settings разме-
стить специальную команду, которая будет далее исполь-
зоваться для настройки профиля вновь создаваемых ло-
кальных пользователей, то следует сделать так:
Листинг 13. Размещение дополнительных команд
/heap/Windows/uawsp2 # ls -als ↵
\$OEM\$/\$1/Documents\ and\ Settings
total 12
4 drwxr-xr-x 2 root root 4096 Mar 18 18:25 .
4 drwxr-xr-x 6 root root 4096 Feb 7 23:00 ..
4 -rw-rw-r-- 1 root users 740 Feb 6 12:45 usersetup.cmd
Все эти файлы будут на первом этапе скопированы в
одноименные директории на локальном диске так, что его
корень будет соответствовать директории $OEM$/$1 на
дистрибутивном диске. Придерживаться правила 8.3, как
и было ранее заявлено, здесь не следует.
Таким же образом с создаваемого установочного диска
будут переноситься дистрибутивные файлы прикладного
программного обеспечения. Достаточно все нужные фай-
лы поместить в директорию $OEM$/$1/InstData, и в про-
цессе выполнения первого этапа установки все они будут
скопированы в C:\InstaData. После установки эту директо-
рию надо будет не забыть удалить, и лучше сделать это ав-
томатически.
Второй этап
Следующий этап продолжается в графическом режиме.
Его основные шаги перечислены ниже. В некоторых стро-
ках записаны временные метки, соответствующие этому
этапу, так называемые T-*. Кстати сказать, временная мет-
ка не имеет точного соответствия с затратами времени на
процесс установки, который всецело зависит от мощно-
сти компьютера.
1. 39 минут – запуск setup.exe/syssetup.dll (syssetup.inf).
2. Загрузка nt5.cat и *.cat.
3. Выполнение *.inf.
4. Запуск ocmanage.dll.
5. Определение оборудования (machine.inf).
6. 37 минут – установка драйверов устройств.
7. Запуск intl.cpl (intl.inf).
8. Запрос CD-KEY.
9. Установка компонентов ОС (sysoc.inf).
10. 32 минуты – установка поддержки сети.
11. 29 минут – копирование всех необходимых файлов ОС.
12. 25 минут – завершение установки.
13. 22 минуты – установка меню «Пуск» (shell.inf).
14. 18 минут – регистрация компонентов (OLE regsrv).
15. 13 минут – запуск $OEM$/Cmdlines.txt.
16. 9 минут – сохранение параметров.
28
17. 8 минут – сохранение настроек (sfc.dll сканирует все си-
. стемные файлы для создания базы WFP).
.. 18. Создание signhash Hardware ID.
KIX32.EXE
cmdow.exe 19. Удаление временных файлов.
20. Перезагрузка.
Это самый длительный этап установки. Он, как и сле-
дующий, будет автоматизирован полностью. Фактически,
во время 2-го этапа ставится ядро операционной системы.
Рассмотрим некоторые важные действия и настройки:
На этом этапе задается пароль встроенного бюджета
Администратор. Его можно указать в зашифрованном ви-
де, но тогда полученный диск лишится своей универсаль-
ности, т. к. пароль, назначенный в процессе установки, но-
сит явно временный характер, то выберем самую простую
его форму.
[GuiUnattended]
; Задаем пароль Администратора.
AdminPassword="admin»
EncryptedAdminPassword=No
Второй параметр из секции, отвечающей за автомати-
ческую установку в графическом режиме, задает число ав-
томатических перезагрузок. Обратите внимание, на тре-
тьем этапе штатной установки будут запущены инсталля-
торы прикладного программного обеспечения, после че-
го перезагрузка будет произведена еще раз. То есть нуж-
но установить счетчик автоматических авторизаций на 2.
А если для выполнения каких-то действий, например, пе-
резагрузки в режиме сохранения для выполнения некото-
рых модификаций, потребуется еще одна перезагрузка, то
счетчик надо будет увеличить дополнительно.
[GuiUnattended]
; Установим режим автоматического входа в систему
; от имени Администратора
AutoLogon=Yes
; Число автоматических входов.
AutoLogonCount=2
Следующий раздел отвечает за пользовательские дан-
ные. Применительно к Windows, это практически данные по-
купателя. Итак, мы снова вернулись к вопросу лицензиро-
вания. Рассмотрим его подробнее.
В процедуре обычной установки пользователю предла-
гается ввести код с установочного диска. Теоретически эта
проблема решается следующими строками из winnt.sif:
[UserData]
; Подставляем установочный ключ для Windows XP
ProductID=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Где вместо ХХХХ подставляется код лицензии. Но дело
в том, что если бы защита от копирования Windows ограни-
чивалась только эти кодом, то всякая автоматическая уста-
новка означала бы нарушение лицензии, так как приводи-
ла бы к установке одной лицензионной копии продукта на
множество компьютеров. Хитроумные обитатели предмес-
тья Сиэтла отлично понимали, что загнали себя в тупик. И
тогда появились специальные механизмы активации Win-
dows или WPA (Windows Product Activation) вместе со счет-
чиком наработки или OOBE (Out Of Box Experience). Теперь

автоматическая установка копий ОС под идентичными ли-
цензионными ключами не снимала необходимость актива-
ции копии в течение 30 дней. Для ряда потребителей это уже
достаточный уровень решения проблемы автоматической
установки. Те же, кто требует большего, должны выбрать
или легальный путь преодоления этой проблемы, или об-
ходной. Как уже было сказано выше, легальным является
способ использования такой лицензии, которая предусма-
тривает серийную установку. Для MS Windows это так на-
зываемая корпоративная лицензия или VL (Volume License).
Здесь надо очень тщательно следить за тем, чтобы число
установок не превысило числа оплаченных копий. Обход-
ной путь заключается в создании такого дистрибутива, что-
бы механизмы защиты от несанкционированного копиро-
вания и активации копий не мешали выполнению техноло-
гических функций. При этом не исключается номинальная
оплата нужного числа копий. То есть вне зависимости от
выбранного технологического пути создания диска с авто-
матической процедурой установки и, значит, активации ко-
пии, вопросы выполнения требований законодательства по
защите прав интеллектуальных собственников могут ре-
шаться совершенно бесконфликтным путем и в согласии
с совестью системного администратора.
Далее производится настройка сети. Предполагаем,
что выбираются стандартные сетевые настройки, ориен-
тированные на раздачу динамических адресов провай-
дером DHCP и соответственно случайное имя компьюте-
ра. Любой другой способ не позволит выполнить установ-
ку нескольких компьютеров одновременно. То есть при на-
значении или фиксированного адреса, или фиксированно-
го имени обязательно необходимо вмешательство сисад-
мина для смены их на постоянные значения. Причем если
со сменой имени рабочей станции нет проблем, то смена
сетевого адреса из сеанса удаленного подключения к ра-
бочему столу неминуемо приведет к разрыву соединения,
что, впрочем, не фатально.
[UserData]
; Задаем случайное имя.
ComputerName=*
[Networking]
; Зададим сетевые настройки по умолчанию
InstallDefaultComponents=Yes
Далее обращаю ваше внимание на раздел [Components],
который управляет установкой программ, входящих в дис-
трибутив ОС. Обычно в этом разделе запрещают установку
игрушек и прочих утилит, которые далее не предполагается
использовать. В нем самое большое число строк. Настрой-
ка этого раздела всецело зависит от политики системно-
го администрирования. Например, в отношении игрушек:
разрешение установки встроенных игр, на взгляд автора,
уменьшает стремление пользователей к установке игрушек
сторонних производителей. Хотя всегда можно проконтро-
лировать состав установленных на рабочей станции про-
грамм удаленно с помощью snmp.
Поскольку в согласии с нашей технологией предпола-
гается управление создаваемой рабочей станцией с уда-
ленных терминалов, то следующая настройка просто не-
обходима:
№6, июнь 2005
администрирование
[TerminalServices]
; разрешить RDP
AllowConnections=1
Вернемся к вопросу установки дополнительного про-
граммного обеспечения. За 13 минут до завершения 2-го
этапа установки запускается интерпретация команд из фай-
ла $OEM$/Cmdlines.txt. Этот файл предоставляет возмож-
ность добавления дополнительных действий по настрой-
ке, по установке обновлений MS Windows или приложений
третьих производителей. Но поскольку в точке Т-13 опера-
ционная система настроена еще не в полной мере, то не
все полноформатные GUI-приложения можно запускать из
Cmdlines.txt. В таком режиме многие установочные процеду-
ры не работают. Поэтому опустим описанную возможность
установки, тем более, что есть способ со всех точек зрения
максимально привлекательный для этого – запуск при пер-
вом логоне в систему, так называемый GuiRunOnce. Стро-
го говоря, есть еще и третий способ, но об этом позднее.
Принято считать, что этим путем удобно вносить измене-
ния в реестр, так как ветка HCU здесь относится к пользо-
вательскому профилю по умолчанию.
Из методологических целей воспользуемся именно та-
ким путем для добавления пользователей в систему. Очень
удобно для управления компьютерами в сети использовать
единого административного пользователя. Пользователи
временами меняют пароли и забывают их, а так всегда есть
способ даже удаленно поправить подобную проблему. Ес-
тественно, этот бюджет не должен совпадать с бюджетом
администратора на серверах сети. Необходимые команды
можно вписать непосредственно в Cmdlines.txt, но если туда
записать обращение к внешнему командному файлу, тогда
можно быть уверенным, что выполнение команд будет про-
исходить в стандартной среде. Поэтому создадим $OEM$/
Cmdlines.txt и наполним его следующим содержимым:
Листинг 14. Содержимое Cmdlines.txt
[Commands]
"mkusers.cmd"
А в файл $OEM$/mkusers.cmd запишем команды соз-
дания пользователя localadmin с неустаревающим паро-
лем admin и присвоим этому пользователю статус локаль-
ного администратора:
Листинг 15. Содержимое mkusers.cmd
net user localadmin admin /add
net localgroup Администраторы localadmin /add
net accounts /maxpwage:unlimited
Теперь за 13 минут до завершения второго этапа уста-
новки будет создан служебный административный бюджет
с тривиальным паролем admin, который надо не забыть сме-
нить после завершающей настройки станции.
А ещё через 40 виртуальных минут установочного вре-
мени компьютер должен перегрузиться и тогда начинает-
ся 3-й этап установки.
Третий этап
Последний этап установки состоит из следующих дей-
ствий:
29
 администрирование
1. Включение oobeinfo, активация копии системы.
2. Добавление пользовательских бюджетов.
3. Применение установок.
4. Настройка пользовательских профилей.
5. Запуск команд из секции GuiRunOnce.
6. Загрузка рабочего десктопа.
В 1-4 пунктах все очевидно. Здесь практически нечего
настраивать или менять в процессе автоматической уста-
новки. Разве что запретить добавление пользовательских
бюджетов:
[GuiUnattended]
; Запретим запрос о создании пользовательских бюджетов
AutoLogonAccountCreation=No
А вот пятый пункт является ключевым. Как уже было
сказано выше, здесь происходит запуск установки при-
кладного программного обеспечения. Все необходимые
для этого команды записываются после маркера секции
[GuiRunOnce] строка за строкой в обрамлении двойных
кавычек. На самом деле эти команды не интерпретируют-
ся непосредственно из файла winnt.sif, а предварительно
записываются в соответствующую ветвь реестра HKEY_
CURRENT_USER\Software\Microsoft\Windows\CurrentVer-
sion\Runonce и после выполнения удаляются из нее авто-
матически. И есть даже такие схемы установки, где эти
данные добавляются в реестр динамически при выпол-
нении Cmdlines.txt. Но не будем все так усложнять. Нао-
борот, вынесем все команды в отдельный исполняемый
файл GuiRunOnce.cmd, вызов которого запишем в winnt.
sif в секции GuiRunOnce. Так можно будет уменьшить чис-
ло модифицируемых компонентов на создаваемом дис-
ке и сократить проблемы из-за синтаксических ошибок,
поскольку ошибка во внешнем файле никак не скажет-
ся на остальной процедуре установки и тогда в аварий-
ном случае возможен еще путь ручной установки прило-
жений прямо с диска. Полный текст файла GuiRunOnce.
cmd, можно получить по ссылке [5], естественно, в коди-
ровке koi8-r. Теперь определимся с перечнем дополни-
тельных действий, которые следует выполнить на этой
стадии автоматической установки. Исходя из специфи-
ки применения рабочей станции, для которой создается
диск автоматической установки, пусть набор действий бу-
дет следующим:
1. Модификации реестра HKEY_LOCAL_MACHINE.
2. Установка прикладного программного обеспечения.
3. Копирование данных в «Documents and Settings».
4. Удаление директории InstData.
5. Перезапуск компьютера.
Первый шаг совершенно очевиден. Надо сделать про-
стые настройки реестра Windows в разделах HKEY_LOCAL_
MACHINE в соответствии с предполагаемой средой рабо-
ты. Существует целый пласт литературы, посвященной во-
просам тюнинга реестра этой чудной операционной систе-
мы. Нет смысла повторяться, поскольку авторы этого «кар-
манного» чтива и так друг у друга все списывают «напере-
гонки». Каждый может выбрать, что понравилось. Отмечу
лишь то, что важно в нашем контексте.
30
Во-первых, для успешного подключения в домен на Sa-
mba внесем правочку SignOrSeal:
Листинг 16. Исправление в реестре для подключения
в домен на Samba
[HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\Services\
Netlogon\Parameters]
"requiresignorseal"=dword:00000000
И, во-вторых, поскольку в SP2 добавлен firewall, то для
того чтобы можно было управлять создаваемой рабочей
станцией через подключение к рабочему столу, разрешим
доступ к порту 3389 из локальной сети и подсетей, исполь-
зуемых как туннельные. И здесь же еще настроим доступ к
snmp для снятия учетных данных.
Листинг 17. Исправление в реестре для разрешения работы
нужных сетевых служб
[HKEY _ LOCAL _ MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
GloballyOpenPorts\List]
"3389:TCP"="3389:TCP:192.168.0.0/255.255.255.0, ↵
192.168.10.0/255.255.255.0:Enabled:@xpsp2res.dll,-22009"
"161:UDP"="161:UDP:LocalSubNet:Enabled:SNMP"
Лучше каждую правку определенной ветви реестра со-
хранять в отдельном файле, и все их поместить в $OEM$/
$1/InstData. И тогда можно будет манипулировать соответ-
ствующими настройками, просто комментируя команды
изменения реестра. Сами же команды должны выглядеть
примерно так:
Листинг 18. Команда обновления реестра
%systemdrive%\windows\regedit /s %systemdrive%\ ↵
InstData\WinXP _ SignOrSeal.reg
Для установки прикладного программного обеспече-
ния используются заранее созданные и скомпилирован-
ные программы на AutoIt.
Например, установка MS Office XP из размещенного в
директории $OEM$/$1/InstData/OfficeXP дистрибутива про-
изводится командой:
Листинг 19. Установка MS Office
%systemdrive%\InstData\install _ office.exe ↵
%systemdrive%\InstData\OfficeXP\SETUP.EXE
При этом путь до файла штатного установщика Office XP
передается в программу AutoIt как параметр:
Run ( $CmdLine[1] )
Копирование данных в «Documents and Settings» необ-
ходимо производить динамически. Если разместить в этой
директории нужные поддиректории и файлы заранее, то
при настройке пользовательских профилей они будут ис-
ключены из работы, так же как это происходит при уста-
новке Windows поверх старой версии. Поэтому и исправ-
ление параметров запуска Far, если, конечно, мы его ис-
пользуем, и добавление специальных установочных ко-
манд в директорию автозагрузки будем производить так,
как указано далее:

Листинг 20. Команды дополнительных настроек
copy %systemdrive%\InstData\farmanag.lnk ↵
"%systemdrive%\Documents and Settings\All Users\ ↵
Главное меню\Программы\FAR manager\ ↵
FAR manager.lnk" /b /y
copy %systemdrive%\InstData\farmanag.lnk ↵
"%systemdrive%\Documents and Settings\All Users\ ↵
Рабочий стол\FAR manager.lnk" /b /y
copy /Y "%systemdrive%\Documents and Settings\ ↵
usersetup.cmd" "%systemdrive%\Documents and Settings\ ↵
Default User\Главное меню\Программы\Автозагрузка\"
copy /Y "%systemdrive%\Documents and Settings\ ↵
usersetup.cmd" "%systemdrive%\Documents and Settings\ ↵
Администратор\Главное меню\Программы\Автозагрузка\"
copy /Y "%systemdrive%\Documents and Settings\ ↵
usersetup.cmd" "%systemdrive%\Documents and Settings\ ↵
localadmin\Главное меню\Программы\Автозагрузка\"
Здесь важно отметить, что в первом случае правится
меню и десктоп, принадлежащие всем пользователям ра-
бочей станции. А вот добавление команды в автозагрузку
надо произвести не только для профиля по умолчанию, но
и для профиля Администратора, который сразу же после
завершения стадии GuiRunOnce будет активирован, и для
профиля пользователя, которого мы ранее создали как
предполагаемый служебный бюджет.
Теперь самое время вспомнить, что, кроме запуска ин-
сталляторов прикладного программного обеспечения, на-
до еще не забыть удалить директорию C:\InstData и для
верности перезапустить компьютер. Вот это уже надо де-
лать из секции [GuiRunOnce]. В итоге должно получиться
следующее:
[GuiRunOnce]
; запусим установку прикладных программ
"%systemdrive%\InstData\GuiRunOnce.cmd"
; удалим дистрибутивы прикладных программ
"%systemdrive%\WINDOWS\system32\cmd.exe /c rmdir ↵
%systemdrive%\InstData /s /q"
; запустим перезагрузку компьютера
"%systemdrive%\WINDOWS\system32\shutdown -r -f -t 180"
Длительная задержка перезагрузки нужна для того, что-
бы успели пройти все остальные работы по настройке и от-
работал usersetup.cmd, который был скопирован в автоза-
грузку Администратора. Если возникает необходимость в
еще одной стадии установки, например, надо перезагру-
зить систему в режим сохранения для выполнения каких-
то действий, тогда следует создать еще один командный
файл для 4-й стадии, назовем его step4.cmd. И в конец сек-
ции [GuiRunOnce] перед вызовом команды shutdown запи-
сать следующее:
copy /Y %systemdrive%\InstData\step4.cmd ↵
"%USERPROFILE%\Главное меню\Программы\Автозагрузка\"
bootcfg /raw «"/fastdetect /safeboot:minimal ↵
/sos /bootlog /noguiboot" /id 1
После этого произойдет перезагрузка в режиме сохра-
нения, и после автоматической авторизации будет запу-
щен командный файл step4.cmd. Стоит учесть, что для вы-
полнения этого действия потребуется еще одна автомати-
ческая перезагрузка. То есть если предполагается в конце
четвертого этапа снова перезагрузить компьютер, то надо
будет заранее увеличить счетчик автоматических переза-
грузок AutoLogonCount. Но поскольку во время этой пере-
загрузки снова возможен запуск step4.cmd, то надо позабо-
№6, июнь 2005
администрирование
титься или об удалении командного файла step4.cmd, или
о его автоматическом отключении.
Собираем диск
Итак, все работы по подготовке данных завершены и те-
перь можно создать образ загрузочного диска:
Листинг 21. Сборка загрузочного диска
# mkisofs -v -J -N -D -relaxed-filenames -no-iso-translate \
-input-charset koi8-r \
-P «Ivan Ivanovich» \
-p «Handy Man» \
-V «WXPSP2 _ RU» \
-A «mkisofs» \
-b boot/ntboot.bin -no-emul-boot -c boot/boot.catalog \
-hide boot -hide-joliet boot \
-o wxpsp2 _ ru.iso \
/heap/Windows/uawsp2
Отметим некоторые из использованных параметров. Во-
первых, включаем расширение Joliet, для того чтобы на по-
лученном диске читались длинные имена, которые были ис-
пользованы в директории $OEM$ – ключ «-J». Во-вторых,
укажем, что исходная локаль имен файлов koi8-r. Если в
применяемой системе не так, то следует поправить – пара-
метр «-input-charset koi8-r». В-третьих, запишем, что исполь-
зуется только загрузочный сектор, а не имидж флоппи-дис-
ка, и заодно запретим доступ к загрузочной информации –
ряд параметров «-b boot/ntboot.bin -no-emul-boot -c boot/boot.
catalog -hide boot -hide-joliet boot». Остальное все очевидно
и создается в полном согласии с «man mkisofs».
«Прожигание» самого диска CD-R/RW является триви-
альной задачей, которая не должна вызывать вопросов, по-
сему опустим ее описание. Точно так же каждому сисадми-
ну должно быть ясно, что и в этой статье, и в тех скриптах и
действиях, которые будут предприняты по материалам ста-
тьи, могут вкрасться ошибки. Поэтому рекомендуется снача-
ла получить устойчивый результат на эмуляторе VMWare.
В заключительной части статьи рассмотрим некоторые
аспекты практического использования полученного диска
и добавим к полученному программу сбора информации о
конфигурации компьютера.
Ссылки:
1. Оригинальная информация по созданию дисков авто-
матической установки MS Windows: http://www.micro-
soft.com/resources/documentation/WindowsServ/2003/all/
techref/en-us/Default.asp?url=/Resources/Documentation/
windowsserv/2003/all/techref/en-us/W2K3TR_unatt_how.
asp?frame=true&hidetoc=true.
2. Дополнительная информация по созданию дисков ав-
томатической установки MS Windows: http://unattended.
oszone.net.
3. Загрузчик диска: http://www.barabanov.ru/arts/autoit/
ntboot.bin.
4. Файл управления автоматической установкой: http://
www.barabanov.ru/arts/autoit/WINNT.SIF.koi8r.
5. Командный файл, запускаемый в процессе автоматиче-
ской установки: http://www.barabanov.ru/arts/autoit/Gui-
RunOnce.cmd.koi8-r.
6. Архив исходных текстов: http://www.barabanov.ru/arts/
autoit/src.tgz.
31
 администрирование
РЕШАЕМ НЕСТАНДАРТНЫЕ ЗАДАЧИ С ПОМОЩЬЮ
СТАНДАРТНОГО WINDOWS SCRIPTING HOST
С
егодня мы рассмотрим возможности Windows Script-
ing Host для получения основных характеристик ком-
пьютерных систем, которые могут быть использова-
ны, например, для решения задач инвентаризации техниче-
ских средств, учета пользователей, работающих в локаль-
ной сети, и даже при проведении криминалистической экс-
пертизы компьютерной техники.
Примеры скриптов на языке VBScript, приведенные в
статье, разработаны и протестированы для W2K. В боль-
шинстве своем они могут быть использованы и при рабо-
те под управлением Windows 98 или ME без установки до-
полнительного программного обеспечения.
Носители информации
Изучение компьютеров практически во всех случаях требу-
ет индивидуальных подходов, особенности которых опре-
деляются результатами первичного анализа, задейство-
ванного при работе оборудования, версий и настроек уста-
новленных операционных систем и прикладных программ,
а также данных, которые могли быть созданы и отредакти-
рованы пользователем.
Ниже приведена общая структура кода программы, по-
32
Достаточно часто в администрировании
приходится сталкиваться с разовыми
задачами, программные решения
для которых под рукой отсутствуют,
а путешествие по Интернету не приносит
требуемого результата. Для таких
случаев в операционной системе Windows
панацеей практически от всех бед может
стать Windows Scripting Host.
Его возможности позволят вам в короткие
сроки составить нужный алгоритм
и решить возникшую проблему.
МИХАИЛ КОШКИН
зволяющая определить, какие устройства для хранения ин-
формации (далее – диски) имеются в системе.
' Получение доступа к объектам FileSystem Object
Dim fso : Set fso = ↵
WScript.CreateObject("Scripting.FileSystemObject")
' Перебираем все диски (HDD, FDD, CD и др.), имеющиеся
' в системе
Dim i
For Each i In fso.Drives
….
Next
В теле цикла с использованием дескриптора, содержа-
щегося в переменной i, могут быть получены такие свойства
(из наиболее значимых в рамках тематики статьи), как: буква
диска – i.DriveLetter; тип диска – i.DriveType (см. таблицу 1).
Кроме того, с использованием дескриптора доступа к
элементам файловой системы fso дополнительно могут
быть получены все основные характеристики носителя:
! тип файловой системы носителя – fso.GetDrive(i.DriveLet-
ter).FileSystem;
! серийный номер тома – Hex(fso.GetDrive(i.DriveLetter).
SerialNumber);
! метка тома – fso.GetDrive(i.DriveLetter).VolumeName;

Таблица 1. Возможные значения типа диска для i.DriveType
! общий размер диска – FormatNumber (fso.GetDrive(i.Dr-
iveLetter).TotalSize /1048576, 1) & " Мб");
! размер незанятого пространства диска – FormatNumber
(fso.GetDrive(i.DriveLetter).FreeSpace /(1024*1024), 1) & "
Мб").
При разработке кода программы необходимо учитывать
то обстоятельство, что в считывающем устройстве необя-
зательно присутствие носителя (дискеты в дисководе или
диска CD в приводе), и при обработке функций для получе-
ния свойств носителя могут возникнуть ошибки. Для таких
случаев в языке VBScript используются конструкции On Er-
ror Resume Next, Err.Number и Err.Clear, позволяющие поль-
зователю сформировать код для самостоятельной обработ-
ки исключений (см. рис. 1).
Рисунок 1. Результаты обработки информации об имеющихся
в системе дисках
Следует также предусматривать ситуации, когда диски
появляются в системе лишь на некоторое время. Это мо-
жет быть связано с подключением сетевых дисков, наличи-
ем сменных USB flash или шифрованных дисков. Некоторые
подходы, позволяющие определить, с какими дисками поль-
зователю приходилось иметь дело, будут изложены далее.
Поиск файлов
Если задаться целью найти все файлы-контейнеры для
шифрованных дисков, то эта задача может быть решена,
например, путем проверки содержимого всех файлов, раз-
мещающихся на диске, на предмет наличия в них опреде-
ленной комбинации байт-сигнатуры. Кроме того, большин-
ство известных программ работы с шифрованными дис-
ками регистрируют в операционной системе определен-
ные расширения файлов, ассоциируемые с файлами-кон-
тейнерами, что позволяет сузить круг поиска интересую-
щих файлов до проверки наличия в имени определенно-
го расширения.
№6, июнь 2005
администрирование
Ниже приводится структура рекурсивной процедуры
обхода подкаталогов для решения задачи поиска на диске
файлов, обладающих необходимыми свойствами.
Sub WorkSubFolder(sdrivename)
Dim sfolder : set sfolder=fso.getfolder(sdrivename)
' Для работы с подкаталогами источника
Dim ssfolder : set ssfolder=sfolder.SubFolders
' Для работы с файлами каталога источника
Dim ssÞles : set ssÞles=sfolder.Files
Dim fo
' Цикл обработки подкаталогов каталога источника
For Each fo In ssfolder
WorkSubFolder SDriveName&"\"&fo.name
Next
' Для всех файлов текущего каталога вызывается процедура
' WorkForFile
Dim Þ : For Each Þ In ssÞles : ↵
WorkForFile sfolder&"\"&Þ.name : Next
End sub
Файлы, имена которых содержат интересующее расши-
рение, могут быть найдены с применением функции fso.Get-
ExtensionName(fullnamefile) (см. рис. 2).
Рисунок 2. Результаты поиска файлов, имеющих заданные
расширения
Для поиска файлов с определенной сигнатурой в про-
стейшем случае достаточно воспользоваться функциями
открытия файла (fr=fso.OpenTextFile(FullNameFile, 1, false)),
чтения данных из файла (s_read=fr.Read(1)) и закрытия фай-
ла (fr.Close) (см. рис. 3).
Рисунок 3. Результаты поиска файлов-контейнеров шифрованных
дисков с использованием заданной сигнатуры
При работе с томами файловой системы NTFS будьте
готовы к ситуациям, когда доступ с правами пользовате-
ля к некоторым подкаталогам будет запрещен (например,
33
 администрирование
«System Volume Information», который размещается в корне-
вом каталоге тома). Необходимо также учитывать то обсто-
ятельство, что при значительных размерах дисков и боль-
шом количестве файлов поиск может выполняться доста-
точно продолжительное время.
Ярлыки
Информацию о пристрастиях пользователя можно почерп-
нуть при изучении файлов-ярлыков, которые формируют-
ся при различных обстоятельствах (будь то история рабо-
ты с файлами Microsoft Office или раздел Recent). Для ана-
лиза достаточно обработать дату создания файла, являю-
щегося ярлыком, и параметр TargetPath, в котором содер-
жится информация о запускаемом файле.
Dim wshshell : Set wshshell = ↵
WScript.CreateObject("WScript.Shell")
Dim shortcut : Set shortcut = ↵
wshshell.CreateShortcut(fullnameÞlelnk)
' Вывод информации с названием и полным путем
' к запускаемому файлу
WScript.Echo( shortcut.TargetPath )
Dim fso : Set fso=CreateObject("Scripting.FileSystemObject")
Dim Þlelnk : Set Þlelnk = ↵
fso.getÞle(строка с полным названием файла-ярлыка)
' Вывод информации о дате создания файла-ярлыка
WScript.Echo( Þlelnk.DateCreated )
При этом может обнаружиться, что пользователь откры-
вал файлы с дисков, которые в системе отсутствуют, что
может свидетельствовать о наличии у пользователя смен-
ного USB-накопителя или использовании секретного шиф-
рованного диска.
Рисунок 4. Результаты поиска файлов-ярлыков в двух
пользовательских каталогах
Документы Word
Возможности использования элементов ActiveX позволяют
серьезно расширить область применения пользовательских
программ на VBScript. Примером этому может стать описа-
ние подхода получения метаданных документов Microsoft
Word. К слову сказать, за последние три года содержимое
метаданных послужило поводом для ряда неприятных исто-
рий с крупными компаниями и даже государствами (слу-
чаи с досье правительства Британии о военном потенциа-
ле Ирака и исковым заявлением компании SCO).
Следующий пример демонстрирует возможность полу-
чения метаданных для документа Microsoft Word, а также
позволяет отследить ситуации, когда документ зашифро-
ван с использованием пароля.
On Error Resume Next
Dim wordapp : Set wordapp = ↵
WScript.CreateObject("Word.Application")
34
' Открываем файл fullnameÞle с документом Word
' с паролем " "
Dim doc
Set doc = wordapp.Documents.Open(fullnameÞle, _
False, _
blnReadOnly, _
False,
" ")
If Err.Number = 5408 then
' Обработка файла с документом Word, который имеет пароль
End if
' Метаданные с пользовательскими свойствами документа
Dim propitem
For Each propitem In ↵
wordapp.ActiveDocument.CustomDocumentProperties
' В цикле обрабатываются propitem.Type и propitem.Value
Next
' Метаданные со стандартными свойствами документа
For Each propitem In ↵
wordapp.ActiveDocument.BuiltInDocumentProperties
' В цикле обрабатываются propitem.Type и propitem.Value
Next
Err.Clear
On Error GoTo 0
Рисунок 5. Результаты обработки свойств документов MS Word
Следует отметить, что документы Microsoft Word мо-
гут содержать и другие метаданные, которые нельзя по-
лучить путем применения стандартных функций работы с
документами Word, для этого требуется визуальный кон-
троль содержимого. В файле могут обнаружиться такие
данные, как:
! имя и полный путь к файлу с документом;
! адреса электронной почты или информация о веб-сер-
вере;
! имена принтеров;
! текстовые фрагменты, удаленные из документа в неко-
торый момент до сохранения;
! текстовые фрагменты из других документов, не имею-
щих отношения к данному, попавшие в него из-за оши-
бок в Microsoft Word.
Переменные среды и данные реестра
Если подходы, описанные в предыдущих разделах, доста-
точно универсальны и позволяют исследовать содержимое
отдельных носителей информации, то далее речь пойдет о
возможностях VBScript, которые требуют запуска скриптов
на исследуемом компьютере либо выполнения программ
под управлением изучаемой операционной системы.
Обработка с использованием VBScript переменных сре-
ды для системы Windows поможет ответить на вопрос, от-
носится ли операционная система к Win9x или W2K, а так-
же получить информацию о некоторых особенностях уста-
новки и настройки операционной системы.
 администрирование
Dim wshshell : Set wshshell = ↵ Таблица 3. Ключи, которые могут представлять интерес
WScript.CreateObject("WScript.Shell") при изучении компьютера
Dim wshproenv : Set wshproenv = ↵
wshshell.Environment("PROCESS")
wshproenv (var _ env)

Таблица 2. Возможные значения строкового параметра

var _ env для W2K

Основная информация, особенности настройки опера-

ционной системы и прикладных программ сосредоточены
в реестре, из которого можно почерпнуть большое количе-
ство полезной информации (см. рис. 6).

Таблица 4. Для Win98 и WinME используются отдельные ключи,

располагающиеся в других ветвях

Рисунок 6. Результаты обработки значений некоторых ключей

реестра
Как известно, данные реестра хранятся в нескольких
файлах, которые размещаются в системном и пользова-
тельском каталогах. В случае, если на компьютере уста-
новлено несколько операционных систем, возможности
VBScript позволяют обработать данные реестра лишь для
текущей загруженной системы Windows. Другим ограниче-
нием VBScript при работе с реестром является отсутствие
возможностей для перебора всех ключей, содержащихся
в заданном разделе, что не позволяет программно обрабо-
тать другую полезную информацию, хранимую в реестре.
WMI
В случаях, если есть возможность запустить скрипт под
управлением изучаемой операционной системы версии
W2К, полезную информацию можно получить используя Mi-
crosoft Windows Management Instrument (WMI). Достаточно
подробно подходы работы с WMI описаны в статьях Ивана
Коробко, опубликованных в журнале «Системный админи-
стратор» в 2004 г. В общем случае код инициализации ра-
боты с WMI выглядит следующим образом.
' Подключение к службе WMI локального компьютера
Dim wbemservices
Set wbemservices = GetObject("winmgmts://127.0.0.1/Root/Cimv2")
Далее следует использовать информацию с названиями
необходимых классов и их свойств, знание о которых мож-
но почерпнуть в процессе изучения объектной модели WMI
с помощью утилиты WMI Object Browser. Так, например, по-
лучить данные, о включенных на момент проверки сетевых
интерфейсах, можно с помощью следующего кода.
Dim objectitems
Set objectitems = wbemservices.ExecQuery("Select * ↵
from Win32 _ NetworkAdapter")
Dim objectitem
For Each objectitem In objectitems
If objectitem.MacAddress<>"" then

№6, июнь 2005 35

 администрирование
WScript.echo("Сетевая карта название: " + ↵
objectitem.Name + Chr(13) + _ ↵
" производитель: " ↵
& objectitem.Manufacturer + Chr(13) + _ ↵
" MAC: " & objectitem.MacAddress)
End if
Next

Использование возможностей WMI позволяет разработ-

чику сценария на языке VBScript получить:
! информацию об установленном в системе оборудовании
(марка и параметры жесткого диска, тип и частота процес-
сора, размер оперативной памяти, тип BIOS, характери-
стики и названия видео-, звуковой и сетевой карт и пр.);
! данные протокола работы, имеющие отношение к опре-
деленным событиям (запуск, остановка операционной
системы, установка и извлечение USB-устройства, уста-
новка и удаление программного обеспечения и т. п.);
! параметры настройки компьютера (название компьюте-
ра, рабочая группа, название ОС и дата установки, пе-
речень загружаемых ОС, список пользователей ОС, имя
зарегистрировавшегося пользователя, время последней
загрузки и пр.).
Подводя итог изложению возможностей VBScript для
изучения компьютерной системы, следует остановить-
ся на ограничениях, отдельные из которых уже упомина-
лись в статье.
! Полный набор возможностей VBScript может быть за-
действован только в случае запуска программ для ана-
лиза на изучаемой системе.
! Невозможно достичь высокого быстродействия для про-
грамм на VBScript.
! При наличии на исследуемом компьютере нескольких опе-
рационных систем Windows или даже более одного рабо-
Рисунок 7. Результаты обработки свойств классов Win32 _ Com-
puterSystem, Win32 _ OperatingSystem и Win32 _ UserAccount
чего пользователя реализация решений с использовани-
ем скриптовых языков существенно усложняется. А в слу-
чаях, когда на диске имеется раздел операционной си-
стемы Linux, VBScript оказывается просто бесполезен.
! Запуск программ WSH, вообще говоря, влечет за собой
изменения на носителе изучаемого компьютера, что не
всегда приемлемо, а работа с образами в отдельных
случаях может быть достаточно проблематичной.
! Для VBScript отсутствуют механизмы восстановления
на носителях удаленной информации (глубокий ана-
лиз подходов для восстановления данных с носителей,
обладающих различной файловой структурой, скрупу-
лезно был изложен Крисом Касперски в предыдущих
номерах журнала за 2004-2005 гг.).
В качестве бонуса для заинтересованных читателей ав-
тором подготовлен набор скриптов, в которых реализованы
все возможности VBScript, изложенные в статье (см. http:\\
www.samag.ru раздел «Исходный код»).

36
 администрирование

SOLARIS 10 В КАЧЕСТВЕ ДЕСКТОПА?

ПРОБУЕМ!

Лучший способ изучить новую операционную систему – постоянно

работать в ее среде. В какой ОС мы больше всего работаем?
Правильно, в той, что стоит на нашем десктопе.
Попробуем погрузиться в одну из самых успешных коммерческих
UNIX-систем, поставив ее на свой рабочий компьютер.
АНДРЕЙ МАРКЕЛОВ

В
ноябре прошлого года компания
Sun Microsystems анонсировала
выход бесплатной операцион-
ной системы Solaris 10 для платфор-
мы x86. Новую ОС может скачать и ис-
пользовать любой, кто зарегистриру-
ется на сайте http:\\www.sun.com и при-
мет лицензионное соглашение. Компа-
ния планирует зарабатывать по схеме,
успешно применяемой Red Hat, то есть
брать деньги за платную техническую
поддержку.
Кроме того, 14 июня этого года Sun
Microsystems открыла исходные коды
своей операционной системы. Они до-
ступны всем желающим на специаль-
но созданном сайте http://www.open-
solaris.org по лицензии CDDL. Так-
же нужно сделать замечание относи-
тельно платформы x86. Solaris на x86
работает с версии 2.1 – то есть бо-
лее 10 лет. Правда, в прошлом Solaris
OE ассоциировалась со SPARC. Ком-
пания Sun Microsystems решила ра-
зорвать эту связь в сознании заказ-
чиков, сделав ставку на процессоры
фирмы AMD.
Все это делает операционную си-
стему Solaris прямым конкурентом
Linux и в частности Red Hat Enterprise
Linux. И хотя пока невозможно опреде-
ленно сказать, насколько удачно пой-
дут дела у Sun Microsystems и удаст-
ся ли Solaris получить приток «свежей
крови» благодаря открытию исходных
кодов, но посмотреть, что же представ-
ляет из себя эта операционная систе-
ма, без сомнения, стоит.
Что нового в системе?
Итак, что же появилось революционно-
го в новой версии одной из самых рас-
пространенных ОС из семейства ком-
мерческих UNIX? Во многих обзорах
и на самом сайте http:\\www.sun.com
уже не раз рассматривались новше-
ства и технологии, включенные в So-
laris 10. Поэтому я не буду подробно о
них рассказывать и ограничусь лишь
перечислением.
! Solaris Containers (Zones) – появи-
лась возможность создавать «вир-
туальные сервера» на одной маши-
не со своими отдельными ресурса-
ми и своей копией операционной
системы.
! Dynamic Tracing – полезная функ-
ция, позволит вам в реальном вре-
мени практически без потери в
производительности отслеживать
огромное число внутренних функ-
ций и процессов операционной
системы на глубоком уровне. Про
DTrace и Zones на русском языке
можно почитать на сайте http://sola-
ris.reys.net. Могу порекомендовать
еще один неплохой русскоязычный
ресурс http://solaris-center.ru.
! Predictive Self Healing – автомати-
ческая диагностика и восстановле-
ние в случае сбоев (как программ-
ных так и аппаратных).

№6, июнь 2005 37

 администрирование
Рисунок 1. Первый запуск Solaris 10
Две широко разрекламированные
функции ZFS (новая файловая систе-
ма) и Project «Janus» (бинарная совме-
стимость c Linux) пока в релиз не вош-
ли, но обещаются разработчиками в
обновлениях.
Устанавливаем Solaris 10
на рабочую станцию x86
Для начала было бы неплохо обна-
ружить свое оборудование в списке
Hardware Compability List, доступном
по адресу: http://www.sun.com/bigad-
min/hcl. Но, поскольку в нем содержит-
ся крайне мало систем и комплектую-
щих, надежда на то, что вы найдете там
свое «железо», крайне мала. Оконча-
тельно же убедиться в том, что Solaris
будет работать на конкретной конфи-
гурации, можно только эксперимен-
тальным путем.
В отличие от предыдущей версии,
для установки которой было достаточ-
но двух CD, «десятка» идет уже на че-
тырех. Первый диск при этом является
загрузочным. На пятом, дополнитель-
ном Software Companion CD, содержит-
ся ряд наиболее часто используемого
открытого программного обеспечения,
собранного под Solaris. По отдельно-
сти пакеты из состава Software Comp-
anion можно скачать по адресу: http://
www.sun.com/software/solaris/freeware.
Полная установка Solaris 10 занимает
достаточно много времени. Субъек-
тивно – как минимум в два раза доль-
ше, чем Linux или Windows.
Если вы хотите получить систе-
му с двойной или тройной загрузкой,
то лучше устанавливать Solaris после
того, как вы поставили Windows, но до
Linux. Загрузчик Solaris сможет распо-
38
Рисунок 2. JDS в Solaris 10
знать установленную копию операци-
онной системы от Microsoft. RHEL или
Fedora распознает как Windows, так и
Solaris. Поэтому, для того чтобы вруч-
ную не возиться с загрузчиками – про-
ще использовать приведенную после-
довательность установки.
В процессе инсталляции вам бу-
дут заданы стандартные для установ-
ки любой системы вопросы: настрой-
ки сети, имя машины и тому подобное.
При первом знакомстве стоит выбрать
полную установку.
Я пробовал устанавливать Solar-
is 10 для x86 на нескольких рабочих
станциях, и хотя всегда указывал нали-
чие серверов DNS и их IP-адреса, про-
грамма установки ни разу не создава-
ла файла /etc/resolv.conf. Вероятно, это
особенность сборки для x86, потому
что при установке Solaris 10 для плат-
формы SPARC с подобной проблемой
я не столкнулся. А поэтому на x86, пер-
вым делом после окончания процесса
инсталляции, вам нужно создать этот
файл и прописать свои DNS-сервера.
Без resolv.conf X-Window стартовать у
вас не будет. Кстати, в состав Solaris 10
для платформы x86 входят два X-сер-
вера: X.org и «родной» от Sun Microsys-
tems. Переключаться между ними мож-
но при помощи утилиты kdmconfig.
Следующим шагом после создания
resolv.conf можно создать пользовате-
ля, под которым мы и будем работать.
Причем в отличие от Linux потребует-
ся более развернутый синтаксис ко-
манды useradd:
# useradd -d /export/home/user -m ↵
-s /bin/bash user
Как видно, в качестве shell можно
использовать более дружественный
для выходца из мира Linux командный
интерпретатор bash, чем работающий
по умолчанию korn. Ну и не забудьте
вашему пользователю назначить па-
роль командой passwd.
Итак, после всех этих манипуляций
вы должны увидеть графическое при-
глашение ввести имя пользователя и
пароль. При первом заходе в систему
вам будет предложен выбор между
классической CDE (Common Desktop
Enviroment) в ее инкарнации 1.6 и Java
Desktop System 3, которая фактически
представляет из себя Gno-me 2.6. На-
до заметить, что в поставку ОС вклю-
чен Star Office 7 update 4, хотя для ле-
гального использования этого офис-
ного пакета его все равно необходи-
мо приобретать отдельно. В качестве
веб-браузера поставляется Mozilla 1.7,
а в роли почтового клиента выступа-
ет Evolution. При желании можно по-
играть в стандартные для поставки
Gnome игры и работать с изображе-
ниями в Gimp версии 2.0.2. По субъ-
ективным ощущениям на одинаковом
оборудовании, Gnome под Linux 2.4 ра-
ботает значительно медленнее. Осо-
бенно это хорошо было заметно на но-
утбуке Asus M5N с 256 Мб оператив-
ной памяти.
С поддержкой русского языка –
проблем я не обнаружил. Все прило-
жения нормально отображают русские
символы, а с переключением раскла-
док справился переключатель из со-
става Gnome. При его использовании
необходимо из предложенных трех ва-
риантов раскладки выбрать «Plain Ru-
ssian keymap». Однако интерфейс луч-
ше оставить английским. Дело в том,

С чего начинался Solaris
Фирма Sun Microsystems была основа-
на в 1982 году при участии известно-
го в мире UNIX г-на Била Джоя (напри-
мер, он является автором стандартно-
го для UNIX-систем редактора vi). На-
звание фирмы произошло от первых
букв Stanford University Network, так как
большинство основателей было имен-
но из этого университета. В 1983 году
вышла первая версия операционной
системы SunOS – предшественника
Solaris, реализации BSD UNIX от Sun.
Спустя два года вышла вторая вер-
сия продукта, в которой впервые была
представлена новая разработка фир-
мы – NFS, известная сейчас каждому
системному администратору.
SunOS успешно развивалась с де-
сяток лет, пока в 1992 году не было
объявленно, что SunOS 4.1.4, основан-
ная на BSD UNIX, станет последней из
разработанных версией, и в дальней-
шем Sun Microsystems переходит на
что в процессе локализации часть про-
грамм переведена в одной кодировке,
а часть в другой.
Начинаем работать
Несколько освоившись в системе,
предлагаю обратить внимание на пе-
речень корректно работающего обо-
рудования. Очень высока вероятность
того, что звуковая карта не будет ра-
ботать с идущими в поставке драйве-
рами. В форумах я даже видел сооб-
щение от инженера Sun Microsystems,
который рекомендовал посмотреть на
сторонние драйвера. В частности на
Open Sound System (http://www.open-
sound.com), бесплатную для персо-
нального не коммерческого использо-
вания, и бесплатные драйвера с сай-
та http://www.tools.de/solaris/audio. Если
вы решите использовать OSS – един-
ственным неудобством будет необхо-
димость раз в четыре месяца обнов-
лять лицензию.
В настоящее время в Solaris не
реализован так называемый проект
«Янус», обещающий бинарную совме-
стимость с ОС Linux, а именно Red Hat
Enterprise Linux. Поэтому для упро-
щения установки программ и управ-
ления обновлениями я рекомендую
вместо самостоятельной сборки не-
обходимого свободного софта, отсут-
№6, июнь 2005
UNIX System V, релиз 4. Новая опера-
ционная система была названа Solar-
is, и первой выпущенной версией ста-
ла Solaris 2. Первой же версией Sola-
ris фирма Sun стала называть снятую
с производства SunOS. Год спустя вы-
шла Solaris 2.2 с поддержкой симме-
тричных мультипроцессорных систем,
а также версии для х86.
C выхода Solaris 2.6 в 1997 году,
графический интерфейс CDE стано-
вится стандартным компонентом этой
ОС. В 1998 году выходит Solaris 7 – пол-
ностью 64-разрядная система с под-
держкой средств программирования
на языке Java. Четыре года спустя – са-
мая распространенная на данный мо-
мент версия под номером девять.
В 2004 году был анонсирован вы-
ход Solaris 10, а в середине июня это-
го года Sun Microsystems открыла ис-
ходные коды своей операционной си-
стемы.
ствующего на дополнительном Soft-
ware Companion CD, воспользовать-
ся коллекцией пакетов с http://www.
blastwave.org. Сайт содержит более 10-
00 пакетов (почти 5 Гб) регулярно об-
новляющегося открытого ПО, собран-
ного для платформы Solaris. Для об-
новления и установки пакетов доста-
точно всего лишь одной команды pkg-
get, при этим автоматически разреша-
Рисунок 3. Помимо Gnome вы можете работать в традиционной CDE
администрирование
ются зависимости пакетов и скачива-
ются все пакеты, от которых зависит
устанавливаемый.
Например, если вы привыкли не к
Gnome а KDE, то вполне можете поста-
вить сборку с http://www.blastwave.org.
Сделать это «не просто, а очень про-
сто» – командой pkg-get -i kde_gcc. По
окончании установки в опции dtlogin
помимо JDS и CDE вы должны полу-
чить и KDE. Перед тем как устанавли-
вать что-либо, ознакомьтесь с краткой
инструкцией, доступной на http://www.
blastwave.org/howto.html.
Еще одна альтернативная коллек-
ция пакетов для Solaris объемом более
20 Гб, на которую можно обратить вни-
мание, расположена по адресу: http://
www.sunfreeware.com.
Также на просторах Интернета
можно найти игры, собранные под So-
laris. В частности, со странички http://
members.tripod.com/~Vitaly_Filatov мож-
но скачать небезызвестный Heretic.
В целом можно сказать, что Solaris
10 обеспечивает достаточно удобную
рабочую среду на персональном ком-
пьютере. Вы можете продолжать поль-
зоваться почти всеми программами
из числа тех, к которым привыкли под
Linux и под Solaris. Основной недоста-
ток рассматриваемой операционной
системы – малый спектр поддержи-
ваемого оборудования. Надеюсь, что
с открытием исходных кодов ОС этот
список будет расширяться.
39
 администрирование
ФАЙЛОВЫЕ СИСТЕМЫ ПРОСТРАНСТВА
ПОЛЬЗОВАТЕЛЯ
Сегодня администраторы и пользователи сталкиваются со многими новыми технологиями, на
изучение которых требуется время. При этом полученные ранее навыки работы и привычные
инструменты могут не пригодиться или показаться неудобными. «Синтетические» файловые
системы, работающие в пространстве пользователя, позволяют скрыть разницу в работе
конкретных протоколов и применять для всех задач одни и те же инструменты.
В
се является файлами – ключевая концепция UNIX-си-
стем. Файлами является даже периферийное обору-
дование компьютера, разделы жесткого диска. При
этом для приложений доступ к файлу устройства или от-
правка данных другому процессу практически не отличи-
ма от доступа к обычному текстовому файлу, что позволяет
пользователю применять одни и те же команды для вывода
текстового файла на консоль, печати файла, вывода зву-
ка через /dev/dsp и пр. Синтетические файловые системы,
работающие в пространстве пользователя, реализуют ана-
логичный подход к самым разнообразным источникам ин-
формации. Файлами является все, с чем приходится иметь
дело пользователю такой файловой системы – почтовые
ящики, веб-страницы и ftp-серверы, защищенные SSH-со-
единения, архивы и другие локальные данные…
Работа вне ядра:
! Упрощает установку и использование приложений.
! Позволяет минимизировать последствия краха.
! Позволяет использовать для программирования язы-
ки, отличные от С.
! Отлаживать такие приложения легче.
! Появляется возможность вынести часть кода во внеш-
ние библиотеки.
! Нет необходимости в переписывании кода для новых
ядер.
! Исходя из всего перечисленого, появляется возмож-
ность создавать инструменты для самых разнообраз-
ных задач.
Например, в настоящее время существуют проекты
SULF – Stackable User-Level Filesystem (http://pobox.com/
~vgough/fuse-csharp.html) и FUSE-J (http://www.cl.cam.ac.uk/
~Etdm25/fuse-j). Первый позволяет написать свою файло-
вую систему на C, второй на Java.
Интерфейс спроектирован так, чтобы обеспечить про-
стую, эффективную и прозрачную работу с поддержкой
привычной семантики.
Первоначально разработанный для поддержки AVFS
(http://www.inf.bme.hu/~mszeredi/avfs), FUSE (http://fuse.
sourceforge.net) вскоре стал отдельным проектом и на се-
годня имеет приличный список файловых систем, исполь-
зующих его наработки. Совсем недавно код FUSE включен
в дерево ядра -mm Эндрю Мортона (Andrew Morton). К со-
40
СЕРГЕЙ ЯРЕМЧУК
жалению, второй подобный проект, LUFS – Linux Userland
FileSystem (http://lufs.sourceforge.net/lufs) несмотря на над-
пись на сайте «Actively maintained» обновлялся в последний
раз в конце 2003 года, поэтому уже можно говорить о пре-
кращении работ. Принцип работы такой системы ясен из
рис. 1. Модуль ядра перехватывает запросы к VFS и соз-
дает для пользователя иллюзию работы с обычной файло-
вой системой, на которой эмулируется специальное дерево
каталогов, отвечающее семантике хранимых в ней данных.
Теперь для работы с этими файлами можно применять при-
вычные утилиты, например, для копирования файлов через
защищенное ssh-соединение достаточно воспользоваться
cp. Модуль ядра и библиотека связываются через дескрип-
тор специального файла /proc/fs/fuse/dev, через который и
происходит взаимодействие.
Реализации файловых систем
для защиты информации
На сайте проекта FUSE можно найти только небольшую про-
грамму – пример, демонстрирующую возможности, основ-
ной же интерес представляют собой сторонние разработ-
ки, список которых можно найти на http://fuse.sourceforge.
net/filesystems.html.
На момент написания статьи список насчитывал 22 про-
екта, большая часть из которых еще не достигла состояния
релиза и стабильная работа не гарантируется в том числе
и самими разработчиками, к тому же их не всегда возмож-
но откомпилировать без проблем. Поэтому весь список пе-
речислять не буду, остановлюсь только на некоторых са-
мых интересных.
EncFS – Encrypted Filesystem (http://pobox.com/~vgough/
encfs.html) реализует зашифрованную файловую систему.
Как и другие подобные файловые системы, основное назна-
чение EncFs – защита персональных данных, резервных ко-
пий. Работа отличается от «loopback» систем, работающих
в режиме ядра. При этом в EncFs размер файловой систе-
мы может динамично изменяться. Некоторые метаданные
остаются видимыми, что позволяет программе резервиро-
вания определить количество файлов, их размер, прибли-
зительно количество знаков в имени (само имя шифрует-
ся) , т.е. узнать изменившиеся файлы. Но програма резер-
вирования не может их расшифровать, таким образом, ре-
зервные копии можно сделать без расшифровки.

Рисунок 1. Модуль ядра перехватывает запросы к VFS
и создает для пользователя иллюзию работы с обычной
файловой системой
Работать с такой файловой системой можно как с ло-
кального, так и удаленного узла, а также сменных носите-
лей вроде CD-ROM. Проверим ее в работе. Первым делом
требуется установить fuse. Здесь ничего сложного.
# tar -xzvf fuse-2.2.1.tar.gz
# cd fuse-2.2.1
# ./conÞgure && make
# make install
# /sbin/modprobe fuse
Проверяем загружен ли соответствующий модуль:
# /sbin/lsmod | grep fuse
fuse 24020 0 (unused)
Новая файловая система должна быть в списке извест-
ных ФС.
# cat /proc/Þlesystems | grep fuse
nodev fuse
Все работает. Для примера работы можно зайти в подка-
талог fuse-2.2.1/example/ и запустить тестовую программу.
#./fusexmp /mnt/fuse/ -d
unique: 2, opcode: INIT (26), nodeid: 0, insize: 44
INIT: 5.1
unique: 2, error: 0 (Success), outsize: 24
Теперь, глядя на содержимое каталога /mnt/fuse/, можно
обнаружить дерево основной файловой системы.
Настала очередь EncfFS. Для работы, кроме архива с
самой файловой системой, требуется наличие библиотек
OpenSSL и Rlog (http://rlog.sourceforge.net). Устанавливает-
ся EncfFS обычным образом, после компиляции будут до-
ступны два исполняемых файла – еncfs и encfsctl. При по-
мощи первой можно создать или примонтировать зашиф-
рованную файловую систему.
$ encfs ~/.crypt ~/crypt
Директория "/home/sergej/.crypt" не существует. Создать ее? (y,n) y
Директория "/home/sergej/crypt" не существует. Создать ее? (y,n) y
Создание нового зашифрованного раздела.
Выберите одну из следующих букв:
введите "x" для режима эксперта,
введите "p" для режима максимальной секретности,
любой другая буква для выбора стандартного режима.
?> x
№6, июнь 2005
администрирование
Выбрана ручная конфигурация.
Доступны следующие алгоритма шифрования:
1. blowfish-compat : алгоритм совместим с EncFS 0.2-0.6
-- длина ключа 160 бит
-- размер блока 64 байт
Введите номер соответствующий Вашему выбору: 1
Выбранный алгоритм "blowfish-compat"
Using key size of 160 bits
Using filesystem block size of 64 bytes
Доступны следующие алгоритмы зашифровки:
1. Block : Block encoding, hides file name size somewhat
2. Stream : Шифрование потока, сохраняет имена файлов как только возможно
Введите номер соответствующий Вашему выбору: 2
Выбранный алгоритм "Stream""
Enable filename initialization vector chaining?
This makes filename encoding dependent on the complete path,
rather then encoding each path element individually.
This is normally desireable, therefor the default is Yes.
Any response that does not begin with 'n' will mean Yes: Yes
Enable per-file initialization vectors?
This adds about 8 bytes per file to the storage requirements.
It should not affect performance except possibly with applications
which rely on block-aligned file io for performance.
The default here is Yes.
Any response that does not begin with 'n' will mean Yes:
Включить имя файла в IV цепочку заголовков?
Эта опция позволит сделать данные файла
зависимыми от полного файлового пути. Если файл
переименовать, то нельзя будет его расшифровать.
Если включить эту опцию, то жесткие ссылки на файлы
не будут поддерживаться файловой системой.
Значение по умолчанию No.
Любой ввод не начинающийся на 'y' будет воспринят как No:
Enable block authentication code headers
on every block in a file? This adds about 12 bytes per block
to the storage requirements for a file, and significantly affects
performance but it also means [almost] any modifications or errors
within a block will be caught and will cause a read error.
The default here is No.
Any response that does not begin with 'y' will mean No: Yes
Add random bytes to each block header?
This adds a performance penalty, but ensures that blocks
have different authentication codes. Note that you can
have the same benefits by enabling per-file initialization
vectors, which does not come with as great of performance
penalty.
Select a number of bytes, from 0 (no random bytes) to 8: 4
Конфигурация завершена. Создана файловая система
с следующими свойствами:
Шифр файловой системы: "ssl/blowfish-v0.2", версия 2:0:1
Шифр файла: "nameio/stream", версия 2:1:2
Размер ключа: 160 бит
Размер блока: 64 байт, включая 12 байт MAC заголовок
Каждый файл содержит 8-ми байтный заголовок с уникальными IV данными.
Файловые имена зашифрованы с использованием IV цепочек.
Введите пароль для доступа к файловой системе.
Запомните пароль, так как в случае утери его,
будет невозможно восстановить данные. Тем не менее
этот пароль можно изменить с помощью утилиты encfsctl.
Новый пароль EncFS:
Повторите пароль EncFS:
Как видите, при создании новой файловой системы до-
ступно два предустановленных режима standard и paranoia
(шифр AES, размер ключа 256, размер блока – 512), а так-
же режим expert, при использовании которого можно вы-
брать все параметры самому (половина вопросов при этом
будет задана по-русски).
Теперь можно проверить работу вновь созданной ФС:
# cd crypt/
41
 администрирование
# echo «Это зашифрованное сообщение» > testÞle
# cat testÞle
Это зашифрованное сообщение
Размонтируем и смотрим, что в каталоге:
# fusermount -u ~/crypt
# ls ./.crypt/
Srdhn7yaqbS-Q1
Также невозможно прочитать содержимое файлов. Кро-
ме того, можно задать дополнительные параметры, кото-
рые позволяют автоматически размонтировать файловую
систему в случае неактивности в течение какого-то проме-
жутка времени, организовать доступ нескольким пользо-
вателям и некоторые другие. При помощи утилиты encfsctl
можно проверить параметры файловой системы или сме-
нить пароль. Например:
$ encfsctl ./.crypt
Версия 5; создана EncFS 1.2.1 (ревизия 20040813)
Шифр файловой системы: "ssl/blowfish-v0.2", версия 2:0:1
Шифр файла: "nameio/stream", версия 2:1:2
Размер ключа: 160 бит
Размер блока: 64 байт, включая 12 байт MAC заголовок
Каждый файл содержит 8-ми байтный заголовок с уникальными IV данными.
Файловые имена зашифрованы с использованием IV цепочек.
Для использования в военных, правительственных и
других организациях, в которых уделяется особое внима-
ние режиму секретности, разработана файловая система
Phonebook (http://www.freenet.org.nz/phonebook), использу-
ющая технологию, получившую название «Deniable Encryp-
tion technology».
Её разработчики пытаются учесть «человеческий фак-
тор», являющейся основной причиной многих проблем,
возникающих при защите информации. Суть этой техноло-
гии заключается в использовании нескольких слоев коди-
рования, каждый со своим паролем, поэтому чтобы полу-
чить доступ, необходимо знать уже два параметра: назва-
ние слоя и пароль. В случае ошибки набора будет создан
новый слой, никакого сообщения об ошибке выведено не
будет. При этом есть возможность создать несколько сло-
ев с одним именем, но разными паролями, в случае взлома
будет раскрыта информация только в одном из них.
Все файлы шифруются индивидуально (256-Blowfish,
CFB-режим, плюс SHA1 хеш), в случайном порядке изме-
няется и время доступа к файлу. Файлы могут быть запи-
саны на CD-ROM или доступ к ним можно получить через
сеть (например, NFS).
SSH через файловый менеджер
Следующая интересная файловая система shfs – (Secure)
SHell FileSystem (http://shfs.sourceforge.net), использующая
FUSE, позволяет монтировать удаленные системы, исполь-
зуя ssh-соединения и работать с ними как с обычной локаль-
ной системой. После стандартной установки пользователю
будут доступны две утилиты shfsmount и shfsumount. В об-
щем случае строка запуска выглядит так:
shfsmount[user@]host:[dir]] mountpoint [options]
Далее:
42
# mount -t shfs sergej@somewhere.com: /mnt/local
The authenticity of host ' somewhere.com (192.168.0.20)' can't be established.
RSA key fingerprint is 1a:49:b0:db:df:19:69:af:45:16:da:4b:3a:36:ab:fe.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ' somewhere.com,192.168.0.20' (RSA)
to the list of known hosts.
sergej@somewhere.com 's password:
Если теперь посмотреть в /mnt/local, то в нем обнаружат-
ся файлы, расположенные на удаленном компьютере. По
умолчанию монтируется домашний каталог пользователя,
при необходимости можно указать на конкретный каталог,
порт отличный от принятого по умолчанию и прочие пара-
метры соединения. Для удобства можно создать символи-
ческую ссылку и вызывать команду привычным образом.
# ln-s /sbin/mount.shfs /sbin/shfsmount
# mount -t shfs sergej@somewhere.com: /mnt/local
Практически такими же возможностями обладает па-
кет sshfs-fuse, доступный для закачки с сайта проекта fuse
(http://prdownloads.sourceforge.net/fuse/sshfs-fuse-1.1.tar.
gz?download). Работа с ним отличается только используе-
мой командой.
# sshfs sergej@somewhere.com:/tmp /mnt/local
# mount | grep shfs
sergej@somewhere.com: on /mnt/local type shfs ↵
(version=2,mnt=/mnt/local,fd=5)
Сетевые ресурсы в окне МС
Подобным образом можно смонтировать и SMB-ресурсы Win-
dows машин. Проект SMB for Fuse (http://hannibal.lr-s.tudelft.nl/
~vincent/fusesmb) позволяет монтировать не только отдель-
ные ресурсы, как это делается обычным способом при по-
мощи smbclient и smbmount, но и полностью всю рабочую
группу или компьютер. Затем к ресурсам можно обращать-
ся из любого приложения, как к локальным файлам. Кэши-
рование при помощи скрипта fusesmbcache ускоряет про-
смотр доступных ресурсов. Этот скрипт необходимо запу-
скать при помощи cron.
# crontab -e
*/30 * * * * fusesmbcache &> /dev/null
И теперь мониторим ресурсы.
# mkdir ~/net
# fusermount ~/net fusesmb &
В указанном каталоге появится дерево каталогов, соот-
ветствующих рабочим группам, входящим в них компьюте-
рам и доступным ресурсам.
Не менее интересной является разработка еще одного
Open Source проекта FunFS – Fast User Network FileSystem
(http://www.luminal.org/wiki/index.php/FunFS/FunFS), цель ко-
торого – полноценная замена NFS. Особое внимание было
уделено повышению надежности и безопасности соедине-
ний. К сожалению, на данный момент FunFS находится в со-
стоянии альфа-версии, поэтому о сколько-нибудь серьез-
ном его применении пока говорить еще рано. Практически
аналогична ситуация с проектом fusedav (http://0pointer.de/
lennart/projects/fusedav), позволяющим монтировать Web-

DAV (http://www.webdav.org) ресурсы. Разработки идут вя-
ло, хотя версия 0.1, доступная в настоящее время на сайте,
в принципе функциональна. Впрочем, и AVFS (http://source-
forge.net/projects/avf) позволяет также просматривать уда-
ленные ресурсы (ftp, http, dav), и кроме того монтирует ар-
хивы (tar, tar.gz, zip) в дерево файловой системы.
Контроль версий файлов
Wayback (User-level Versioning File System for Linux, http://
wayback.sourceforge.net) позволяет сохранять старые вер-
сии текстовых файлов, независимо от их количества, и ка-
талогов, в которых они располагаются. Работает wayback
на любом блочном устройстве с любой файловой системой.
Для отката такая система ведет файл журнала, в котором
описываются все изменения. Монтируется новая файловая
система при помощи скрипта mount.wayback.
$ ./mount.wayback ~/wayback/ /mnt/disk
fusermount: unable to open fuse device /proc/fs/fuse/dev: No such file or directory
Скрипт пытается загрузить модуль fuse. Если он раннее
был загружен, то появится такое сообщение. Поэтому для
работы его необходимо первоначально выгрузить.
# /sbin/rmmod fuse
# ./mount.wayback ~/wayback/ /mnt/disk
# mount | grep fuse
/proc/fs/fuse/dev on /mnt/disk type fuse (rw,nosuid,nodev)
# echo «test» > /mnt/disk/test
# ls /mnt/disk/
test
Смотрим содержимое:
# ls ~/wayback/
test test~. versionfs! version test. versionfs! version
# echo «test2» >> /mnt/disk/test
# echo «test3» >> /mnt/disk/test
# ls ~/wayback/
test ~test ~test. versionfs! version test~.
versionfs! version test. versionfs! version
Отмечается более быстрая работа с файлами по срав-
нению с CVS. Но если все таки необходим доступ именно к
системе CVS, то некоторые, возможно, предпочтут исполь-
зовать довольно удобную cvsfs (http://sourceforge.net/proj-
ects/cvsfs), позволяющую смонтировать CVS и работать с
ней как с локальной файловой системой. При этом пользо-
вателю будут доступны изменения, без необходимости за-
качки всего дерева каталогов. В данный момент пользова-
тель ограничен только самым последним релизом, исполь-
зовав знаки ‘@@’ в имени файла (например filename@@1.1)
можно получить доступ к любой версии файла.
Второй вариант lufs_unionfs (http://alumnus.caltech.edu/
~muresan/projects/lufs_unionfs.html), которая основана на
LUFS. Такая система имеет два каталога, основной рабо-
тает в режиме «только для чтения» (некий образ, содержи-
мое которого остается постоянным), а в дополнительный бу-
дут занесены все изменения и новые файлы (идея взята с
проекта unionfs (http://www.fsl.cs.sunysb.edu/project-unionfs.
№6, июнь 2005
администрирование
html). В точке монтирования это будет выглядеть, как обыч-
ная файловая система, но всегда можно будет вернуться в
исходное состояние.
Работа с e-mail, bluetooth
и устройствами
Для пользователей почтового сервиса Gmail доступна фай-
ловая система GmailFS – Gmail Filesystem (http://richard.jones.
name/google-hacks/gmail-filesystem/gmail-filesystem.html). Это
написанное на Python приложение, использующее библио-
теку libgmail (http://libgmail.sourceforge.net) для связи с Gm-
ail. Позволяет монтировать почтовый аккаунт как обычную
файловую систему и пользоваться в дальнейшем обычны-
ми командами вроде ls, rm, cp, grep и другими утилитами,
позволяющими быстро разобраться с 1 Гб информации.
Не менее интересны файловые системы, позволяющие
получить доступ к различным устройствам. Среди них btfs –
Bluetooth FileSystemMapping (http://www.mulliner.org/bluetooth/
btfs.php), при помощи которой можно узнать обо всех доступ-
ных bluetooth-устройствах просто использовав команду ls.
# ls -la /OPUSH
/OPUSH/SE _ T630
/OPUSH/myPalm
Для пересылки файлов – ср.
# cp Þle.txt /OPUSH/myPalm
К сожалению, в данный момент получить файлы от
устройств таким образом невозможно. Аналогично, если
вы считаете, что специализированные утилиты, предна-
значенные для работы с цифровыми фотокамерами вроде
gtkam, не удобны и предпочитаете использовать для это-
го стандартные инструменты, попробуйте gphoto2-fuse-fs
(http://www.hep.phy.cam.ac.uk/~lester/gphoto2-fuse-fs). Ис-
пользуя эту файловую систему, можно смонтировать в ре-
жиме «только для чтения» фотокамеру и просматривать
изображения. Для доступа к памяти в мобильных телефо-
нах Siemens разработана файловая система SieFS (http://
chaos.allsiemens.com/siefs), которая в настоящее время ра-
ботает с телефонами 45, 55 и 65 серий.
Проблему доступа к данным и настройкам во время вы-
полнения программы (что особенно актуально для встро-
енных устройств) пытаются решить разработчики проекта
RTA – Run Time Access (http://www.runtimeaccess.com), пред-
ставляющего специализированный постоянно загруженный
интерфейс к внутренним данным работающего приложения.
Используя его, можно получить доступ ко всем структурам
выполняющейся программы через Postgres-интерфейс, ин-
формация которого теперь будет видна пользователю как
таблицы базы данных или как дерево файловой системы. И
теперь к ним можно получить доступ любым удобным спо-
собом (консоль, веб-интерфейс, SNMP и др.).
Это не все разработки, использующие FUSE. Остальную
информацию можно найти на сайте проекта. Но как види-
те, подобные файловые системы заметно упрощают работу
пользователя. К сожалению, большинство разработок нахо-
дятся еще в состоянии альфа-версии, так что окончательное
решение придется принимать на свой страх и риск.
43
 администрирование

УСКОРЯЕМ MS SQL SERVER

Что может быть хуже сервера, который неизвестно из-за чего стал работать слишком
медленно? Только сервер, который работает слишком медленно по хорошо известной
и неустраняемой причине! Чтобы реже сталкиваться с такой ситуацией, рассмотрим методы
борьбы с причинами замедления работы Microsoft SQL Server.

ЮЛИЯ ШАБУНИО

В
первой части статьи (см. «По-
чему MS SQL медленно работа-
ет? Ищем причины» – №5, 2005
г.) мы рассмотрели способы локализа-
ции проблемы, кроме одного – как об-
наруживать дедлоки? Для начала из-
учим оставшийся вопрос и после это-
го перейдем непосредственно к сегод-
няшней теме.
Поиск дедлоков
Дедлоки (Deadlocks) являются доволь-
но специфичной проблемой. С одной
стороны, они не затрагивают весь сер-
вер, а происходят на некоторых кон-
кретных процессах. С другой стороны,
если жертвы (снятые процессы) дедло-
ка очевидны просто по журналу оши-
бок, то вот с каким процессом и на ка-
ких объектах случилось пересечение –
непонятно. К счастью, в SQL Profiles вхо-
дит великолепная возможность отсле-
дить всю цепочку блокировок с помо-
щью Locks\Lock:Deadlock Chain. Чтобы
эффективно ею воспользоваться, мож-
но построить следующий шаблон:
1. События:
! Locks\Lock:Deadlock Chain
! Locks\Lock:Deadlock
! Security Audit\Audit Login
! Security Audit\Audit Logout
! Session\ExistingConnection
Первые два события нам нужны,
чтобы отследить собственно блокиров-
ки. Остальные понадобятся для иден-
тификации проблемного процесса. Де-
ло в том, что событие «Deadlock Chain»
ничего не пишет об участвующих про-
цессах, кроме SPID. Поэтому нам по-
требуется регистрировать еще и входы
и выходы из системы. По SPID и време-
ни дедлока мы сможем точно найти за-
писи о его подключении и отключении,
а значит – найдём описание процесса.
Событие «ExistingConnection» даст нам
список тех процессов, на вход которых
в систему мы уже опоздали.
2. Поля данных:
! EventClass
! SPID
! StartTime
! ObjectID (объект, на котором был
дедлок)

44

! IndexID (индекс, участвовавший в
дедлоке)
! Mode
! EventSubClass (в каком режиме бы-
ла попытка блокировки)
! стандартные поля для определе-
ния смысла процесса – Application
Name, NTUserName и так далее
! TextData
Первые два поля я выношу в спи-
сок полей, определяющих порядок
сортировки (называется он почему-
то Groups).
3. Фильтры в данном случае ника-
кие не нужны. Подключение/отключе-
ние пользователя не самое частое яв-
ление в работе сервера, а уж дедло-
ки и подавно.
Итак, шаблон готов. Сохраняем, за-
пускаем и... готовимся к долгому ожи-
данию. Редко сервер доходит до та-
кого состояния, что дедлок случается
каждую минуту. Даже в очень тяже-
лых случаях приходится подождать па-
ру часов, а то и дней, прежде чем на-
берётся материал для анализа. Поэ-
тому я советую настроить сохранение
счётчиков в файл и забыть о них на
сутки как минимум. Особенностью в
данном случае является еще и то, что
когда у вас упорядочение задаётся по
нескольким полям в Groups, то рабо-
тать с ними в онлайн-режиме очень
неудобно: из-за ошибки в профайлере
курсор всё время скачет. Приходится
или останавливать процесс сбора ин-
формации, или работать с сохранён-
ным файлом журнала.
При анализе обратите внимание
на то, что событие Deadlock Chain ре-
ализуется одним и тем же процессом
с маленьким номером. Это системный
процесс, который следит за ошибками,
но сам в них не участвует. Процессы-
участники дедлока указываются в Text-
Data события Deadlock Chain.
Не могу не упомянуть о методе, по-
зволяющем сохранять подробную ин-
формацию о случившемся дедлоке без
использования профайлера. Это вклю-
чение trace-флагов:
DBCC TRACEON(1204, -1)
К сожалению, документирован
только один из них – 1024, как раз и
обозначающий сохранение информа-
ции о дедлоке. Но нам нужен еще и -1
№6, июнь 2005
для того, чтобы включить отладку для
всех процессов, а не только для теку-
щего. В некоторых случаях для того,
чтобы полученная подробнейшая ин-
формация о совершившемся дедлоке
сохранялась в журнал SQL сервера,
потребуется установить еще и флаг
3605. Эти флаги отладки общеизвест-
ны, но не документированы. Исполь-
зуйте их на свой страх и риск.
Мы закончили рассмотрение ме-
тодов обнаружения проблем и при-
ступаем к обсуждению способов их
устранения.
Решаем проблемы
производительности
Итак, вы нашли, в какой точке возника-
ет проблема производительности и ка-
кого она рода. Поздравляю! Вы сдела-
ли 3/4 работы. Осталось совсем немно-
го, всего лишь исправить ситуацию.
Оптимизация индексов
Вопрос поиска идеального набора ин-
дексов неисчерпаем. На эту тему мож-
но написать отдельную статью. Прав-
да, польза от нее будет сомнитель-
ной, поскольку каждая база данных
по-своему уникальна, и подбор наи-
лучшей схемы доступа к данным до
сих пор остаётся скорее искусством,
нежели точной наукой. В данной ста-
тье я лишь упомяну о нескольких наи-
более частых ошибках в выборе ин-
дексов.
Не забывайте об индексах!
Как показывает мой опыт, это проис-
ходит чаще, чем можно было бы ожи-
дать. Проекты не укладываются в сро-
ки, программа доделывается в боль-
шой спешке, и на оптимизацию по ин-
дексам не остаётся времени. В ре-
зультате или система работает с ин-
дексами по умолчанию (которые ред-
ко близки к оптимальным), или с вы-
бранными как попало, или без индек-
сов вообще. Третий вариант, пожалуй,
самый предпочтительный, так как в
этом случае проблема будет выявле-
на очень быстро.
Используйте составные
индексы
Microsoft SQL Server 7.0 не умел ис-
пользовать в одном запросе два ин-
декса на таблицу. Версия 2000 на это
способна, но скорость выполнения за-
администрирование
проса вас вряд ли обрадует. Поэтому,
если какие-то два поля таблицы уча-
ствуют в большинстве запросов, – не
делайте два индекса по каждому из
столбцов. Сделайте один составной!
Составной индекс имеет еще и то пре-
имущество, что если он содержит все
нужные для запроса поля, то обраще-
ние к таблице не понадобится. Зна-
чит, можно избежать операции Book-
mark Lookup (поиска страницы в базе
по известному индексу), что позволя-
ет увеличить скорость работы раза в
два. Мне приходилось добавлять в со-
ставной индекс поля, которые в индек-
се, в общем-то, и не нужны, но позво-
ляют избежать поиска по родитель-
ской таблице.
Разделяйте часто и редко
используемые данные
кластерным индексом
Выбирая кластерный индекс, имейте
в виду, что именно он определяет фи-
зический порядок записей таблицы на
диске. Физический порядок определя-
ет соседство записей на страницах, а
те, в свою очередь, задают порядок
загрузки и выгрузки страниц в память
сервера. А это значит, что часто луч-
шим кластерным индексом будет та-
кой, который разделяет часто и ред-
ко используемые записи. Давайте для
примера рассмотрим таблицу заказов.
Предположим, что у нас есть ClientID –
идентификатор клиента и OrderDate –
дата заказа. Пусть большая часть за-
просов содержит условие на ClientID
как точное равенство и условие на Or-
derDate как диапазон. Рассмотрим си-
туацию, в которой заказов в таблице
очень много, но активно использует-
ся только заказы за последнюю неде-
лю, и в запросе чаще всего указывает-
ся именно этот период. Классические
рекомендации советуют выбрать ин-
декс (ClientID, OrderDate). По первому
полю будет происходить точное срав-
нение, по второму – сканирование ди-
апазона. Так бы и стоило поступить,
не будь этот индекс кластерным. Если
вы сделаете такой кластерный индекс,
то заказы за последнюю неделю будут
разбросаны по всей базе данных! За-
грузка их всех в память просто невоз-
можна, и каждый запрос к данным но-
вого клиента приведёт к физическо-
му (а не логическому) чтению. Если же
вы используете в качестве кластерно-
45
 администрирование
го индекс (OrderDate), то, несмотря на
ухудшение плана запроса, вы получите
большой выигрыш на активно работа-
ющей базе данных. В самом деле при
активной работе с заказами последней
недели все страницы с данными боль-
шую часть времени будут находиться
в памяти сервера. А сканирование ди-
апазона дат в памяти, нужное для по-
иска данных по конкретному клиенту,
как правило, быстрее, чем считывание
с диска этих данных, даже по извест-
ному заранее адресу.
Не увлекайтесь созданием
большого числа индексов
Обычно при тестировании индексирован-
ных запросов используют всевозможные
выборки (т.е. запросы, выполняющие чте-
ние данных). Это понятно – выборки не
разрушают данные. Но при этом упуска-
ется очень важный момент – при встав-
ке, удалении, а часто и при обновле-
нии данных индексы работают проти-
воположным образом. Нет, они, конеч-
но, помогают найти строчки, нуждаю-
щиеся в изменении. Но потом тратится
куча времени на реорганизацию изме-
нённых данных, и в итоге порой полу-
чается гораздо медленнее, чем на базе
данных совсем без индексов. Именно
поэтому стратегия «добавим индексы
везде, где что-то тормозит», глобаль-
но проигрывает при попытке хоть что-
то изменить в этой базе данных. Более
пяти индексов на большой таблице яв-
ляется почти приговором для процес-
сов, которые как-то пытаются изменять
индексированные поля.
Самый главный совет –
не следуйте советам
В том числе и этому, да. Все советы да-
ются для частных случаев, которые мо-
гут никогда не сложиться в вашей базе
данных. Проверяйте. Меняйте индек-
сы, делайте запросы и следите за про-
изводительностью. Анализ планов за-
просов – это мощнейший инструмент,
но даже он порой даёт сбои и непра-
вильно оценивает стоимость различ-
ных вариантов выполнения. Самый на-
дёжный вариант – это в QA щелкнуть
правой кнопкой в окне редактирова-
ния, выбрать Current Connection Prop-
erties, а там – галочки Set statistics time
и Set statistics IO. И затем уже выпол-
нить тестовый запрос. Уверяю вас, ес-
ли время компиляции и выполнения
46
может зависеть от нагрузки сервера,
число физических чтений определяет-
ся состоянием кэша страниц, то число
логических чтений даёт почти идеаль-
ный параметр для оценки затрат на вы-
полнение именно этого запроса. Ищи-
те новые варианты, пробуйте их. Опти-
мизация индексов – это всегда очень
интересно.
Управляем планами
запросов
Эта задача немного проще преды-
дущей. Если нужный индекс на ба-
зе данных уже есть, но MS SQL Serv-
er им почему-то не пользуется, то до-
вольно просто уговорить его это сде-
лать. Стоп, не тянитесь писать with
(index=<ИмяИндекса?>)! Это тоже ва-
риант, но он нужен на крайний случай.
Предлагаю вам свой список мер:
Выполните запрос dbcc freeproc-
cache. Этот нехитрый запрос очища-
ет кэш скомпилированных планов за-
проса и даёт серверу возможность пе-
рекомпилировать планы заново. Ес-
ли сбой, нарушивший генерацию пла-
на, был единичный, то новые алгорит-
мы окажутся правильными, и система
оживёт. Но если вам приходится часто
использовать dbcc freeproccache, то
будьте внимательны – это может быть
последствием какого-то неблагополу-
чия сервера в целом.
Cгенерируйте дополнительную ста-
тистику. Вот уж чего, как говорится,
много не бывает. Её можно «навеши-
вать» хоть на каждое поле. Главное –
не забывать регулярно выполнять пе-
регенерацию (а лучше создать зада-
ние для регулярного выполнения та-
ких действий).
Используйте подсказки для MS
SQL Server, оставаясь в рамках стан-
дарта ANSI-SQL. Предположим, что
сервер выбрал использование ин-
декса по полю, которое кажется вам
наименее подходящим в такой си-
туации. Всё просто – в секции за-
проса where пишите условие по это-
му полю не в виде прямого равен-
ства или диапазона (например, Na-
me = ‘Иван’), а с помощью функции
COALESCE(<Имя поля>, <Имя поля>).
Например, coalesce(Name, Name) =
‘Иван’. Это совершенно корректно ма-
тематически, но при этом проблемный
индекс по указанному полю не может
быть использован. Другой пример –
представьте, что у вас есть условие ти-
па where @Number like Code + ‘%’. Если
бы запрос был построен как Code like
@Number + ‘%’, сервер сам догадался
бы использовать индекс по Code. Но в
нашем варианте Code используется в
составе сложного выражения, и опти-
мизатор пасует. Человеку же очевид-
но, что @Number like Code + ‘%’ может
быть верно только тогда, когда @Num-
ber >= Code, так как у них одинаковые
первые символы, но @Number длин-
нее. Вот тут и имеет смысл добавить
в условия @Number >= Code, так как
оно не изменит логики и поможет сер-
веру самостоятельно избрать нужный
запрос.
Упростите запросы. Например, мне
известны ситуации, в которых планы
запросов сильно «плавали» при внеш-
них соединениях (join) с представлени-
ями (view), построенными на внешних
соединениях.
И только если всё предыдущее не
помогло, используйте подсказки MS
SQL Server. Они порой дают велико-
лепный непосредственный результат,
но с ними необходимо проявлять осто-
рожность – в другой ситуации, на дру-
гих данных или с другой загрузкой вы-
нужденный план запроса иногда силь-
но деградирует.
Немного сложнее приходится, в си-
туации если вас устраивают выбран-
ные индексы, но не устраивают мето-
ды и порядок слияния. MS SQL Server
позволяет настраивать и эти момен-
ты, но тут выбор возможностей очень
ограничен. Вы можете сделать поря-
док соединений жёстко зависящим
от порядка их упоминания в запросе
(force order), выбрать метод соедине-
ния (loop|merge|hash join) или указать,
что несколько строк в результирую-
щем запросе вам нужны раньше дру-
гих (FAST число строк). Будьте осто-
рожны, выбирая соединение хэширо-
ванием (hash join). Оно даёт порой по-
трясающие результаты по произво-
дительности, но всегда требует очень
много памяти. И когда вашему серверу
перестанет ее хватать, такие запросы
не только заметно деградируют по ско-
рости, но сильно замедлят работу в це-
лом. И наоборот, если сервер работа-
ет в состоянии нехватки оперативной
памяти, изменение метода слияния с
hash на loop может увеличить число ло-
гических чтений, но при этом волшеб-

ным образом уменьшить время выпол-
нения запроса и облегчить работу сер-
веру целиком.
Как лечить блокировки
Лечение блокировок очень часто делает-
ся командой kill. Что может быть проще:
уничтожил головной процесс – и всё за-
работало! Но у этого подхода есть и от-
рицательные моменты. Первый – рас-
пределённые блокировки склонны по-
вторяться. Так что не исключено, что
через некоторое время вы будете де-
журить в офисе весь день и всю ночь
и держать палец над кнопкой kill. Вто-
рой – убивая головной процесс, мы
теряем всю информацию о распреде-
лённой блокировке. Впоследствии мы
можем так никогда и не узнать, что же
на самом деле произошло, и не смо-
жем принять меры к тому, чтобы ситу-
ация больше не повторялась. Третья
причина – далеко не всегда уничтоже-
ние головного процесса приведёт про-
сто к перезапуску клиентского прило-
жения. Иногда ценой вопроса являет-
ся несколько дней работы целого под-
разделения.
Более правильным вариантом ра-
боты является продуманная стратегия
блокировок. Но её нельзя делать без
хорошего представления о конкрет-
ной системе и предметной области.
Нужно знать, для каких запросов сго-
дятся «грязные данные» и какого рода
неточности тут могут возникнуть. Не-
которые проблемы можно лечить рас-
становкой подсказки nolock или пе-
реводом целых процессов на низший
уровень изоляции транзакций. В дру-
гих ситуациях может потребоваться ис-
правление существенных ошибок про-
ектирования. Например, представьте,
что в одной таблице оказались дан-
ные справочного типа, запрашивае-
мые постоянно множеством процес-
сов и активно изменяемые, и важные
поля. Эта ситуация будет приводить к
постоянным блокировкам – читающие
процессы будут мешать изменяющим,
и наоборот. Одно из решений – выпол-
нять чтение справочных данных с фла-
гом nolock. Но если это почему-то не-
приемлемо, то можно воспользовать-
ся другим способом. А именно: разде-
лить эту таблицы на две, с созданием
на месте старой таблицы представле-
ния (view) с «instead of» триггерами.
При этом процессы, запрашивающие
№6, июнь 2005
справочную информацию, будут бло-
кировать одну таблицу, а изменения с
помощью триггеров будут выполнять-
ся на другой.
Повысить или понизить уровень
гранулярности блокировок на каком-
либо индексе или таблице можно с по-
мощью процедуры sp_indexoption.
И всё-таки выработка стратегии
блокировок – задача скорее разработ-
чика, чем администратора. Для про-
граммиста огромным подспорьем бу-
дет уже картина блокировок, получен-
ная вами на этапе поиска проблемы.
Снимаем дедлоки
Как уже говорилось, дедлоки, завязан-
ные на несколько объектов, снимают-
ся довольно легко. Ведь такой дедлок
означает, что к одним и тем же объек-
там базы данных разные транзакции
обращаются в разном порядке. Доста-
точно установить один какой-то поря-
док и проследить, чтобы он везде вы-
полнялся. Если вы решили везде обра-
щаться сначала к А, и только потом к Б,
а необходимо сделать наоборот, то на-
до просто установить сначала блоки-
ровку на А, а потом можно работать с
Б и снова с А в своё удовольствие. На-
пример, это можно сделать так:
declare @l tinyint select @l = 1 ↵
from A with (tablockx) ↵
where 1 = 2
Менее понятно, что делать с дед-
локами в рамках одной таблицы. Ча-
сто они решаются четким указанием
режима уровня блокировок (pagelock,
например). Тогда сервер не будет по-
вышать эту блокировку до таблично-
го уровня без крайней необходимости.
Возможно, что придётся поработать с
индексами и планами запросов, при-
водящих к взаимной блокировке. Ну
и наконец, самый надёжный способ
борьбы с дедлоками на уровне табли-
цы – это подсказка with (tablock) или
изменение режима блокировок с по-
мощью sp_indexoption. Конечно, про-
изводительность в этой ситуации мо-
жет пострадать (а может и нет, зави-
сит от конкретной БД). Но зато дедло-
ков не будет наверняка.
Проблемы на аппаратном
уровне
Как уже говорилось, решать эту про-
блему должен не администратор базы
администрирование
данных. Тут на его долю остаётся толь-
ко контроль и забота о файлах базы
данных – наблюдение за фрагмента-
цией таблиц с помощью dbcc showco-
ntig, регулярная проверка физической
целостности и перестройка индексов.
Но даже эти простые процедуры могут
дать очень большой прирост произво-
дительности, особенно если вы давно
этим не занимались.
Заключение
Описанные сценарии не претендуют
на полноту или оптимальность, но они
работают, и я использую их ежеднев-
но. Надеюсь, что набор приёмов и ре-
комендаций пригодится вам при ре-
шении проблем производительности
MS SQL Server.
Литература и ссылки:
1. Дэн Тоу. Настройка SQL для про-
фессионалов (O’REILLY, «Питер», –
2004 г.). См. обзор в рубрике «Книж-
ная полка» в журнале «Системный
администратор», №3, 2005 г. Книга
нравится мне тем, что представля-
ет собой не перечень разных правил
с неясными граничными условиями
применения, а содержит очень чёт-
кие алгоритмы.
2. Блокировки SQL Server 7.0/2000 – тео-
рия и практика устранения проблем
(По материалам статьи KB224453
Understanding and Resolving SQL
Server 7.0 or 2000 Blocking Prob-
lems): http://www.sql.ru /articles /
mssql/2004/04112301ResolvingBlo-
ckingProblems.shtml.
3. Иван Бодягин. Deadlocks. Что такое
взаимоблокировки и как с ними бо-
роться (http://www.rsdn.ru/article/db/
deadlocks.xml) – подробный анализ
причин возникновения дедлоков, ме-
тоды диагностики и разрешения.
4. Полезные флаги трассировки SQL
Server 7.0 и 2000 (по материалам
статьи Randy Dyess «Documented
and Undocumented Trace Flags for
SQL Server 2000 and 7.0»): http://
www.sql.ru/articles/mssql/02080603
DocumentedAndUndocumentedTra-
ceFlagsForSQLServer.shtml.
5. Рассылка «MS SQL Server – дело
тонкое...» – http://subscribe.ru/cata-
log/comp.soft.winsoft.sqlhelpyouself.
6. Форум на сайте SQL.ru: http://
w w w.sql.ru / forum /ac tualtopic s.
aspx?bid=1.
47
 bugtraq
Отказ в обслуживании в Nortel VPN
Router при обработке IKE-пакетов
Программа: Nortel VPN Router версии до 5.05.200; Mod-
els 1010, 1050, 1100, 600, 1600, 1700, 1740, 2600, 2700, 4500,
4600 и 5000.
Опасность: Средняя.
Описание: Удаленный пользователь может послать марш-
рутизатору один IKE-пакет со специально сформирован-
ным ISAKMP-заголовком и вызвать отказ в обслуживании
устройства.
URL производителя: www.nortel.com.
Решение: Установите последнюю версию от производи-
теля.
Отказ в обслуживании при обработке
DNS-сообщений в продуктах Cisco
Программа: Cisco ATA 180 Series Analog Telephone Adap-
tors: Cisco IP Phone 7900 Series, Cisco Unity Express 2.x, Cisco
ACNS Software Version 4.x – 5.x, Cisco 500 Series Content En-
gines, Cisco 7300 Series Content Engines, Cisco Content Rout-
ers 4400 series, Cisco Content Distribution Manager 4600 se-
ries, Cisco Content Engine Module for Cisco 2600, 2800, 3600,
3700 и 3800 series Integrated Service Routers.
Опасность: Низкая.
Описание: Уязвимость существует в реализации DNS во
время декомпрессии сжатого DNS-сообщения. Удаленный
пользователь может с помощью специально сформирован-
ного DNS-пакета, содержащего некорректную информацию,
вызвать отказ в обслуживании устройства.
URL производителя: www.cisco.com.
Решение: Установите исправление от производителя.
Межсайтовый скриптинг и загрузка
произвольных файлов в CuteNews
Программа: CuteNews все версии.
Опасность: Высокая.
Описание: Удаленный пользователь может произвести
XSS-нападение и выполнить произвольные команды на
целевой системе.
1. Уязвимость существует из-за некорректной обработ-
ки данных в некоторых значениях URL. Удаленный пользо-
ватель может внедрить произвольный HTML-сценарий и по-
лучить файлы cookie, связанные с аутентификацией поль-
зователя. Пример:
http://[target]/index.php?mod=editnews&action=editnews&id=[id]
&source=<script>alert(document.cookie);</script>
2. Авторизованный пользователь может загрузить и вы-
полнить произвольный php-сценарий. Функция переимено-
вания изображений не проверяет имя входящего и исходя-
щего файлов, что делает возможным загрузить gif/jpg-файл
с комментарием в виде php-кода () с последующей сменой
расширения. Кроме того, отсутствие фильтрации символов
обхода каталога («../») делает возможным загрузку злона-
меренного файла на каталог выше относительно уязвимого
скрипта при наличии соответственных прав доступа
URL производителя: www.cutephp.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
48
Целочисленное переполнение
в небезопасной инициализации файлов
в GDB
Программа: GDB версии до 6.3-r3.
Опасность: Низкая.
Описание: Обнаруженные уязвимости позволяют локаль-
ному пользователю выполнить произвольный код на целе-
вой системе.
1. По умолчанию приложение читает файл .gdbinit из те-
кущей рабочей директории. Локальный пользователь может
заманить целевого пользователя, запустившего приложе-
ние в директорию со специально сформированным .gdbinit-
файлом и повысить свои привилегии на системе.
2. Локальный пользователь может с помощью специаль-
но сформированного бинарника вызвать целочисленное пе-
реполнение и повысить свои привилегии на системе.
Решение: Установите последнюю версию от производи-
теля.
Удаленный административный доступ
в Symantec Brightmail AntiSpam
Программа: Symantec Brightmail AntiSpam версии до
6.0.2.
Опасность: Низкая.
Описание: Уязвимость существует из-за того, что пароль
на доступ к базе данных является статическим. Удален-
ный пользователь может получить доступ к сообщениям,
находящимся на карантине, и некоторой системной ин-
формации.
URL производителя: www.symantec.com.
Решение: Установите последнюю версию от производи-
теля.
Удаленное выполнение
произвольного кода в библиотеке
Computer Associates Vet
Программа: CA InoculateIT 6.0 (all platforms including Notes/
Exchange, CA eTrust Antivirus r6.0 all platforms including Notes/
Exchange, CA eTrust Antivirus r7.0 all platforms including Notes/
Exchange, CA eTrust Antivirus r7.1 all platforms including Notes/
Exchange, CA eTrust Antivirus for the Gateway r7.0 all modules
and platforms, CA eTrust Antivirus for the Gateway r7.1 all mod-
ules and platforms, CA eTrust Secure Content Manager all releas-
es, CA eTrust Intrusion Detection all releases, CA BrightStor ARC-
serve Backup (BAB) r11.1 Windows, CA Vet Antivirus, Zonelabs
ZoneAlarm Security Suite, Zonelabs ZoneAlarm Antivirus.
Опасность: Критическая.
Описание: Библиотека Computer Associates Vet обеспечи-
вает возможность сканирования файлов на предмет об-
наружения вирусов и позволяет антивирусным продуктам
анализировать различные потоки в поисках злонамерен-
ного ПО.
Переполнение кучи обнаружено при обработке OLE-по-
токов. Успешная эксплуатация уязвимости позволит злоу-
мышленнику получить полный контроль над системой.
Решение: Установите обновление от производителя.
Составил Александр Антипов
 администрирование

MySQL 5 – ЧТО НОВОГО ПРЕДЛАГАЮТ

НАМ РАЗРАБОТЧИКИ?
10 лет, с 1995 года, нас критиковали за отсутствие
возможностей, присущих «настоящим» СУБД. Пятой
версией мы ответили на все вопросы сразу.

Дэвид Аксмарк, один из основателей MySQL

На лето запланирован выход новой, пятой версии популярнейшего сервера баз данных – MySQL.
Как правило, смена первой цифры в номере версии означает довольно радикальные перемены.
Это удивительно – возможности четвёртой ветки, появившейся чуть более года назад, освоены
и приняты ещё далеко не всеми разработчиками. И тем не менее уже сейчас MySQL 5 доступна
для тестирования в виде бета-версии. Что действительно нового предлагают её создатели?

«Просто набор индексированных файлов!», «недо-база дан-
ных» – такие слова в адрес СУБД MySQL нередко можно
найти на форумах разработчиков. И приходится признать –
они имели под собой основание. MySQL при всех её досто-
инствах (нетребовательность к ресурсам, быстродействие,
высокая производительность, на простых запросах, низкая
стоимость владения) имела очевидные недостатки. Отсут-
ствовали элементарные средства контроля целостности дан-
ных, не было механизма транзакций, да что там, не было да-
же вложенных запросов, а о хранимых процедурах и тригге-
рах приходилось только мечтать.
Положение изменилось с выходом версий 4.0 и 4.1. По-
мимо вышеупомянутых вложенных запросов и транзакций
было осуществлено ещё множество нововведений. Появи-
лась возможность задания кодировок на уровне базы дан-
ных, таблиц и столбцов, поддержка Unicode (utf8 и ucs2),
включён геометрический тип данных – GIS, введёно поня-
тие «подготовленных выражений» (prepared statements).
С выходом MySQL 5 нас ждут ещё более радикальные
изменения. Разработчики из MySQL AB установили до-
вольно высокую планку – вплотную приблизиться к стан-
дарту SQL:2003. Большая часть новых возможностей уже
КИРИЛЛ СУХОВ
доступна в бета-версии пятой ветки, и основные из них мы
с вами рассмотрим.
Хранимые процедуры
Данной функциональности, пожалуй, больше всего не хва-
тало разработчикам. Смысл применения хранимых проце-
дур (stored procedures) и функций – сохранять на сервере
скомпилированные блоки SQL-кода. После единожды на-
писанной, отлаженной и скомпилированной процедуры или
функции, её можно вызывать из вашего приложения, пере-
давая на сервер вместо обычного запроса, только вызов
процедуры и аргументы. При этом не только снижаются за-
траты на трафик и повышается производительность. Глав-
ное преимущество состоит в том, что бизнес-логика прило-
жения, возложенная на базу данных, становится прозрач-
ней и переносимей.
Как процедуры, так и функции могут возвращать зна-
чения (в виде набора записей). Различие состоит в том,
что функция вызывается из запроса, а процедура из от-
дельной команды.
На настоящий момент реализация хранимых процедур
не поддерживает никаких внешних языков, но (по крайней

№6, июнь 2005 49

 администрирование
мере, так заявляется) соответствует стандарту SQL:2003, и в результате запроса мы получим:
позволяющему применять условные конструкции, итера-
ции и обработку ошибок. mysql> SELECT * FROM t
Пример создания хранимой процедуры в MySQL 5: +----+
| s1 |
CREATE PROCEDURE p () +----+
LANGUAGE SQL | 6 |
NOT DETERMINISTIC | 6 |
SQL SECURITY DEFINER +------+
COMMENT 'A Procedure' <-- 2 rows in set (0.01 sec)
SELECT CURRENT _ DATE, RAND() FROM t
Кроме условных, возможны и любые циклические кон-
В данном случае мы создали процедуру с именем p, ко- струкции:
торая возвращает текущую дату и псевдослучайное чис-
ло из таблицы t. Пример ее вызова и возвращаемого ре- CREATE PROCEDURE p3 ()
BEGIN
зультата: DECLARE v INT;
SET v = 0;
WHILE v < 5 DO
mysql> call p2() INSERT INTO t VALUES (v);
SET v = v + 1;
+--------------+-----------------+ END WHILE;
| CURRENT_DATE | RAND() | END;
+--------------+-----------------+
| 2005-06-27 | 0.7822275075896 |
+--------------+-----------------+ Вызов процедуры:
1 row in set (0.26 sec)
Query OK, 0 rows affected (0.26 sec) mysql> CALL p3()
Чуть более сложный пример создания и использова- +------+
ния функции: | s1 |
+------+
…………
CREATE FUNCTION factorial (n DECIMAL(3,0))
RETURNS DECIMAL(20,0) | 0 |
DETERMINISTIC
BEGIN | 1 |
DECLARE factorial DECIMAL(20,0) DEFAULT 1; | 2 |
DECLARE counter DECIMAL(3,0); | 3 |
SET counter = n; | 4 |
factorial _ loop: REPEAT +------+
SET factorial = factorial * counter; Query OK, 1 row affected (0.00 sec)
SET counter = counter - 1;
UNTIL counter = 1
END REPEAT; Также применимы итерации, переходы, словом, всё, что
RETURN factorial; предполагает стандарт.
END
Внутри функций и хранимых процедур осуществлена
В приложении: реализация курсоров, но, к сожалению, она пока ограни-
чена (ASESITIVE, READ ONLY и NONSCROLL):
INSERT INTO t VALUES (factorial(pi))
SELECT s1, factorial (s1) FROM t CREATE PROCEDURE p25 (OUT return _ val INT)
UPDATE t SET s1 = factorial(s1) BEGIN
WHERE factorial(s1) < 5 DECLARE a,b INT;
DECLARE cur _ 1 CURSOR FOR SELECT s1 FROM t;
DECLARE CONTINUE HANDLER FOR NOT FOUND
Разумеется эфективность применения хранимых поро- SET b = 1;
цедур существенно возрастает при вызове их с параметра- OPEN cur _ 1;
REPEAT
ми (аргументами). Ниже дан пример процедуры с обработ- FETCH cur _ 1 INTO a;
кой переданых ей параметров: UNTIL b = 1
END REPEAT;
CLOSE cur _ 1;
CREATE PROCEDURE p1 (IN parameter1 INT) SET return _ val = a;
BEGIN END;
DECLARE variable1 INT;
SET variable1 = parameter1 + 1;
IF variable1 = 0 THEN
INSERT INTO t VALUES (17); Триггеры
END IF; Триггеры похожи на хранимые процедуры. Это тоже скомпи-
IF parameter1 = 0 THEN
UPDATE t SET s1 = s1 + 1; <-- лированные SQL-запросы, хранимые на сервере. Отличие со-
ELSE стоит в том, что триггер начинает работать в ответ на опреде-
UPDATE t SET s1 = s1 + 2;
END IF; лённое событие, а именно на запросы UPDATE и DELETE.
END; Пример создания и работы триггера:

Вызов процедуры теперь будет таким: CREATE TABLE t22 (s1 INTEGER)

CREATE TRIGGER t22 _ bi

mysql> CALL p2(0) // Query OK, 2 rows affected (0.28 sec) BEFORE INSERT ON t22

50
 администрирование
FOR EACH ROW возможность в MySQL достигалась различными SHOW-ко-
BEGIN
SET @x = ‘Trigger was activated!’; мандами, но такой подход имеет очевидные недостатки. Эти
SET NEW.s1 = 55; команды нельзя использовать в простых запросах с соеди-
END;
нениями, и, что существенно, они не соответствовали стан-
После этого при выполнении запросов получим: дартам, будучи специфичными для MySQL.
В новой версии СУБД появилась новая служебная ба-
mysql> INSERT INTO t22 VALUES (1) за данных – INFORMATION_SCHEMA. Её наличие продик-
mysql> SELECT @x, t22.* FROM t22 // вызывается триггер
товано тем же стандартом SQL:2003, и именно она реша-
+------------------------+------+
| @x | s1 |
ет задачу реализации словаря данных (data dictionary). IN-
+------------------------+------+ FORMATION_SCHEMA содержит таблицы, описывающие
| Trigger was activated! | 55 | состояние и параметры сервера, в том числе определения
+------------------------+------+
1 row in set (0.00 sec) и сущности таблиц. Это виртуальная база данных – физи-
чески (в виде файлов на диске) она не существует, вся ин-
К сожалению, на данный момент триггеры в MySQL мо- формация динамически предоставляется сервером. При-
гут обращаться только к своей таблице. Это, конечно, не де- мер использования этой таблицы:
лает данный механизм совсем бесполезным, но существен-
но сужает его возможности. Тради Пелзер (Trudy Pelzer) из mysql> SELECT table _ name, table _ type, engine
-> FROM INFORMATION _ SCHEMA.tables
MySQL AB заявляет, что разработчики трудятся сейчас над -> WHERE table _ schema = ‘tp’
снятием этого ограничения, но достигнут ли они результа- -> ORDER BY table _ type ASC, table _ name DESC;
тов к моменту релиза пятой версии, не сообщается. +------------+------------+--------+
| table_name | table_type | engine |
Представления +------------+------------+--------+
| t2 | BASE TABLE | MyISAM |
Представления (views) можно сравнить с временными табли- | t1 | BASE TABLE | InnoDB |
цами, наполненными динамически формируемым содержи- | v1 | VIEW | NULL |
+------------+------------+--------+
мым. В общем-то, неименованные представления (те самые
вложенные запросы) были доступны ещё в версии 4.1. В на- Другой пример работы со словарём данных – просмотр
стоящей реализации есть две возможности создания пред- привелегий:
ставлений: с использованием алгоритма временных таблиц
MySQL и с созданием самостоятельной таблицы. Нас инте- mysql> SELECT * FROM
-> INFORMATION _ SCHEMA.COLUMN _ PRIVILEGES\G
ресует именно второй способ (первый был реализован, ско-
рее всего, исходя из соображений совместимости и унифи- ************************ 1. row ************************
GRANTEE: 'peter'@'%'
кации). Такие представления позволяют значительно сни- TABLE_CATALOG: NULL
зить объём кода, в котором часто повторялись простые объ- TABLE_SCHEMA: tp
TABLE_NAME: t1
единения таблиц. К ним (после создания) применимы любые COLUMN_NAME: col1
запросы, возвращающие результат в виде набора строк. То PRIVILEGE_TYPE: UPDATE
есть команды SELECT, UPDATE, DELETE, можно применять IS_GRANTABLE: NO
************************ 2. row ************************
так же, как и к реальным таблицам. Важно и то, что посред- GRANTEE: 'trudy'@'%'
ством представлений можно более гибко распоряжаться пра- TABLE_CATALOG: NULL
вами пользователей базы данных, так как в этом случае есть TABLE_SCHEMA: tp
TABLE_NAME: t2
возможность предоставлять доступ на уровне отдельных за- COLUMN_NAME: col1
писей различных таблиц. Пример создания и работы простей- PRIVILEGE_TYPE: SELECT
IS_GRANTABLE: YES
шего (и потому абсолютно бесполезного) представления:

mysql> CREATE VIEW v AS SELECT column1 FROM t; Заключение

Query OK, 0 rows affected (0.01 sec) Темп, взятый командой MySQL AB два года назад, впечатляет.
Полным ходом идёт работа над MySQL 5.1, в которой планиру-
mysql> INSERT INTO v VALUES (1);
ется осуществить такие возможности, как поддержка внеш-
Query OK, 1 row affected (0.00 sec) них ключей (foreign key) для всех типов таблиц (в настоящий
mysql> SELECT * FROM v;
момент она существует только для таблиц InnoDB), новые схе-
мы репликации (online backup) и кэширования таблиц и мно-
+---------+
| column1 |
гое другое. Более того, в разделе официального руководства
+---------+ по MySQL (MySQL Reference Manual), озаглавленном «Что
| 1 | не планируется реализовать?», прямо сказано, что таких за-
+---------+
1 row in set (0.00 sec) дач просто нет – реализовать планируется всё! Существует,
правда, мнение, что новые возможности MySQL нивелируют
её основные преимущества, такие как быстродействие, про-
Словарь данных стота и нетребовательность к ресурсам. Возможно, в чём-то
Иметь доступ к значениям метаданных – совершенно не- критики и правы, но пока разработчикам удавалось этого из-
обходимое требование к современной СУБД. Ранее такая бежать. Будем, надеяться, что удастся и далее.

№6, июнь 2005 51

 bugtraq
Межсайтовый скриптинг в Sambar Server Отравление DNS-кеша и установка
Программа: Sambar Server 6.2 NetBIOS-подключения в Microsoft Internet
Опасность: Низкая. Security and Acceleration (ISA) Server
Описание: Уязвимость существует из-за недостаточной
фильтрации некоторых входных данных. Удаленный поль-
зователь может с помощью специально сформированного
URL выполнить произвольный HTML-сценарий в браузере
жертвы в контексте безопасности уязвимого сайта.
URL производителя: http://www.sambar.com.
Решение: Установите последнюю версию (6.2.1) с сайта
производителя.
Отказ в обслуживании в Microsoft
ISA Server 2000
Программа: Microsoft ISA Server 2000 SP2; Wspsrv.exe вер-
сии до 3.0.1200.411.
Опасность: Средняя.
Описание: Уязвимость существует, когда клиентские рабо-
чие станции являются SecureNAT-клиентами для ISA-серве-
ра. Большое количество трафика, генерируемого клиента-
ми, может вызвать отказ в обслуживании ISA-сервера.
URL производителя: www.microsoft.com.
Решение: Установите исправление от производителя: http://
support.microsoft.com/kb/894864/EN-US.
Переполнение буфера и обход каталога
в FutureSoft TFTP Server 2000
Программа: FutureSoft TFTP Server 2000 версия 1.0.0.1.
Опасность: Критическая.
Описание: Обнаруженные уязвимости позволяют удален-
ному пользователю получить доступ к потенциально важ-
ным данным и скомпрометировать систему.
1. Переполнение стека возможно из-за ошибки при об-
работке запросов на чтение и запись. Удаленный пользова-
тель может в качестве имени файла указать слишком длин-
ную строку, вызвать переполнение стека и выполнить про-
извольный код с привилегиями пользователя SYSTEM.
2. Отсутствует фильтрация символов обхода каталога.
Удаленный пользователь может выйти за пределы корне-
вого каталога TFTP-сервера и получить доступ к потенци-
ально важным данным на целевой системе.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Поднятие локальных привилегий
в Антивирусе Касперского
Программа: Антивирус Касперского версии 5.0.227, 5.0.228
и 5.0.335 для Windows 2000.
Опасность: Низкая.
Описание: Программа не снимает бит Супервизора со стра-
нички драйвера klif.sys. В результате уязвимость позволя-
ет локальному пользователю подгрузить динамическую би-
блиотеку, которая будет выполнена в адресном простран-
стве процесса с высоким уровнем привилегий.
URL производителя: www.kaspersky.ru.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
52
Программа: Microsoft Internet Security and Acceleration (ISA)
Server.
Опасность: Низкая.
Описание: Две уязвимости обнаружены в Microsoft Internet
Security and Acceleration (ISA) Server. Удаленный пользова-
тель может отравить кеш. Удаленный пользователь может
также установить NetBIOS-подключение к ISA Server.
Сервер с ошибками обрабатывает HTTP-заголовки. Уда-
ленный пользователь может представить специально сфор-
мированный HTTP-запрос, содержащий множество Content-
Length-заголовков, чтобы отравить кеш целевого ISA serv-
er [CVE: CAN-2005-1215]. В результате возможно получить
доступ к содержанию, которое блокируется сервером, или
заставить целевого пользователя посетить просмотреть
произвольную информацию.
Удаленный пользователь может использовать все пред-
установленные NetBIOS-фильтры, чтобы установить Net-
BIOS-подключение к целевому ISA Server [CVE: CAN-20-
05-1216].
URL производителя: www.microsoft.com.
Решение: Установите соответствующее обновление.
Переполнение буфера в Meteor
FTP-сервере
Программа: Meteor FTP Server 1.5
Опасность: Высокая.
Описание: Переполнение буфера обнаружено при обра-
ботке команд USER, PASS и PORT. Удаленный пользова-
тель может с помощью специально сформированных ко-
манд вызвать переполнение буфера и вызвать отказ в об-
служивании или выполнить произвольный код на целевой
системе. Пример:
USER (A x 80) (Following 4 Bytes = New Return Point)
PASS 0wn3r
PORT 127,0,0,1,18,12 (Must be same as connecting IP)
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Переполнение буфера в IBM WebSphere
Application Server
Программа: IBM WebSphere Application Server 5.0.
Опасность: Высокая.
Описание: Два переполнения буфера существуют в адми-
нистративной консоли сервера при обработке данных в ко-
дировке Unicode при включенной опции ‘global security op-
tion’. Удаленный пользователь может послать специаль-
но сформированные данные на порты 9080 (HTTP), 9090
(HTTP) и 9043 (HTTPS) приложения, чтобы вызвать пере-
полнение буфера и выполнить произвольный код на целе-
вой системе.
URL производителя: www.ibm.com.
Решение: Установите последнюю версию (5.0.2.11) с сай-
та производителя.
Составил Александр Антипов
 администрирование

FreeBSD TIPS: ПОВЫШАЕМ БЕЗОПАСНОСТЬ

С ПОМОЩЬЮ ОДНОРАЗОВЫХ ПАРОЛЕЙ

Одним из «узких мест» в плане защиты информации является использование системного

пароля для удаленного входа на сервер, который может быть подобран, перехвачен или
вскрыт иным способом. Решим эту проблему с помощью одноразовых паролей.

СЕРГЕЙ СУПРУНОВ

И
ногда возникает ситуация, когда нужно войти на сер-
вер с чужого компьютера. Например, выехав к кли-
енту, вы выясняете, что он начисто забыл свой па-
роль. Не возвращаться же из-за этого в офис? А заходить
на сервер с машины клиента достаточно опасно – кто зна-
ет, какие «шпионы» там установлены? Конечно, решить
эту проблему можно несколькими способами. Например,
используя ssh с аутентификацией ключевым файлом, ко-
торый записан на дискету (к слову, дискету можно на ра-
достях и в дисководе забыть, что отнюдь не поспособству-
ет безопасности сервера). Или хорошим решением выгля-
дит LiveCD – в этом случае вы гарантируете себе не толь-
ко повышение безопасности, но и наличие всех необходи-
мых программ.

№6, июнь 2005 53

 администрирование
Система FreeBSD предоставляет еще один удобный ин-
струмент – одноразовые пароли. Начиная с FreeBSD 5-й
версии, они реализуются системой OPIE (One-time Pass-
words In Everything), основанной на S/Key. Замечу, что OPIE
существует и в большинстве дистрибутивов Linux, так что
все описанное вы можете применить в этих системах. Од-
нако для конкретизации изложения я буду описывать имен-
но реализацию OPIE на FreeBSD 5.3.
В чем заключается идея
В общих чертах это выглядит следующим образом: при по-
пытке войти на сервер после ввода имени пользователя
вы получаете строку-оклик, содержащую номер итерации
и некоторую последовательность символов – так называ-
емое «зерно» (seed):
login as: serg
otp-md5 496 ko5622 ext
Password:
Далее вам нужно ввести парольную фразу (отзыв), со-
ответствующую указанному номеру и «зерну». Для генера-
ции паролей используется утилита opiekey (поэтому одно-
разовые пароли на жаргоне иногда называют «опиками»).
Ей нужно передать текущий номер последовательности и
«зерно», затем будет запрошена секретная фраза (она за-
дается во время активации учетной записи пользователя)
и выведен список шести коротких слов, которые и являют-
ся одноразовым паролем-отзывом.
В отличие от системного пароля одноразовый нечув-
ствителен к регистру символов, так что вводить его можно
и маленькими буквами.
Если в ответ на первое приглашение «Password:» про-
сто нажать <Enter>, то появится еще одно, с включенным
эхо-отображением вводимых символов, что позволит вам
видеть вводимый текст на экране.
При следующем входе номер последовательности умень-
шится, и вводить нужно будет уже другой отзыв. Таким об-
разом, вам не нужно заботиться о сохранности одноразо-
вого пароля после того, как он будет использован, – вы мо-
жете смело разложить листок с паролем на столе в присут-
ствии пользователя, включить эхо-повтор вводимых сим-
волов и, ни от кого не прячась, спокойно набирать пароль-
ную фразу. Поскольку после нажатия <Enter> данный па-
роль теряет свою актуальность, его знание уже никому ни-
чего не дает.
Собственно, основная идея использования одноразо-
вых паролей как раз и заключается в том, что никакая се-
кретная информация (в данном случае таковой является
секретная фраза, на основе которой осуществляется ге-
нерация паролей) по сети не передается.
Приступаем к реализации
Во FreeBSD уже все готово для использования одноразо-
вых паролей. Достаточно создать для пользователей, ко-
торые будут работать по данной схеме, соответствующие
записи в файле /etc/opiekeys.
Новая запись создается следующей командой:
root# opiepasswd -c test
54
Adding test:
Only use this method from the console; NEVER from remote.
If you are using telnet, xterm, or a dial-in, type ^C now or exit
with no password.
Then run opiepasswd without the -c parameter.
Using MD5 to compute responses.
Enter new secret pass phrase:
Again new secret pass phrase:
ID test OTP key is 499 ko6010
RACE DAYS CHEF ARE CAW LEAF
Ключ -c дает команду создать запись для пользовате-
ля, в данном случае это пользователь test. Если имя поль-
зователя не указано, создается (или изменяется) запись
для текущего пользователя. Обычный пользователь мо-
жет управлять своей записью, root – записями всех поль-
зователей.
Перед началом работы выводится предупреждение, что
утилиту opiepasswd следует запускать только в защищен-
ном режиме (с физической консоли или через ssh), чтобы
исключить возможность перехвата секретной фразы. Зна-
ние данной фразы позволит любому человеку сгенериро-
вать одноразовый пароль для входа под вашим именем.
После всех предупреждений запрашивается секрет-
ная фраза. Она понадобится вам в дальнейшем для гене-
рации паролей и управления своей записью. Утилита тре-
бует, чтобы длина этой фразы была от 10 до 127 символов,
иначе вы получите сообщение об ошибке:
Secret pass phrases must be between 10 and 127 characters long.
В конце работы утилита выдает текущие номер после-
довательности (по умолчанию – 499) и слово-«зерно», в
данном примере – ko6010. Запоминать эти значения не нуж-
но – они будут выводиться на экран при каждой попытке
войти в систему. Последней строкой выводится парольная
фраза, которая к данному моменту уже бесполезна и слу-
жит только для проверки, – следующий номер последова-
тельности устанавливается в 498.
Обратите внимание, что как только счетчик достигнет
0, вход в систему станет невозможным. Поэтому необходи-
мо заблаговременно осуществлять повторную инициали-
зацию записи в /etc/opiekeys, для чего используется opie-
passwd без ключей. Также с помощью ключа -n вы може-
те задать начальное значение счетчика. Замечу, что пере-
инициализация выполняется без запроса секретной фра-
зы (она остается прежней). Используются только однора-
зовые пароли, так что повторная инициализация может
быть выполнена и удаленно, с использованием небезопас-
ного соединения.
Также утилита opiepasswd используется для дезакти-
вации записи того или иного пользователя. Для этого ис-
пользуется ключ -d. Дезактивация не удаляет запись поль-
зователя из файла opiekeys, а просто «забивает» секрет-
ную фразу звездочками. Теперь при входе пользователя в
систему по-прежнему будет выдаваться строка-«оклик»,
но получить для нее правильную парольную фразу будет
уже невозможно.
Чтобы полностью отменить запрос на ввод одноразово-
го пароля и вернуться к прежней аутентификации систем-
ным паролем, достаточно удалить для соответствующего
пользователя строку в файле /etc/opiekeys.

Следующая утилита, которая может быть полезна, –
opieinfo. Она возвращает текущие значения номера после-
довательности и «зерна» для пользователя. Например, ее
можно использовать, перед тем как генерировать пароли.
Утилита opiekey имеет несколько полезных ключей. На-
пример, с помощью ключа -n можно указать, сколько па-
ролей должно быть сгенерировано начиная с текущего но-
мера итерации:
serg$ opieinfo
498 ko5623
serg$ opiekey -n 5 498 ko5623
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase:
494: LOOK RUSH WIFE BREW ROBE LAM
495: TERN MOCK MA LED PA MELD
496: NIL FALL AKIN FUSE MIND SLUR
497: GINA MOP AKIN SHAW CALF COMA
498: FLY GONE GAB MYRA WONT SANK
Теперь эти пароли можно аккуратно сохранить в на-
дежное место и ехать с ними в командировку или к кли-
енту – средство для пяти безопасных входов в систему у
вас есть.
Естественно, генерировать пароли можно и по мере
необходимости, например, на своем домашнем компью-
тере или ноутбуке с помощью соответствующей утилиты.
Но к такому инструменту предъявляются серьезные тре-
бования безопасности, поскольку во время генерации вы
должны быть уверены, что никто не узнает вашу секрет-
ную фразу.
Вы можете настроить вход в систему как исключительно
по одноразовым паролям, так и разрешив использование
постоянных паролей, предоставив пользователю право вы-
бирать в зависимости от ситуации, как входить в систему.
Например, вам может быть удобнее вводить системный па-
роль при работе из офиса, а «опики» использовать при не-
обходимости зайти на сервер с «чужой» территории.
Для определения возможных способов доступа исполь-
зуется файл /etc/opieaccess. По умолчанию, как только для
пользователя появляется запись в /etc/opiekeys, он уже не
может пользоваться системным паролем.
Чтобы разрешить вход по обоим паролям, нужно в opie-
access создать запись типа permit для нужных адресов. На-
пример, чтобы разрешить вход под системным паролем из
локальной сети, а для внешних соединений оставить только
«опики», можно использовать следующую строку:
permit 192.168.0.0 255.255.255.0
# permit 0.0.0.0 0.0.0.0
Закомментированная строка разрешит использование
обоих типов паролей с любого адреса. Правило deny по-
зволяет явно запретить использование системного паро-
ля для указанной подсети.
Обратите внимание, что разрешение вводить системные
пароли делает возможным использование уже скомпроме-
тированного пароля, сводя на нет преимущества системы
OPIE. Единственное, что при этом достигается,– это суще-
ственное снижение вероятности раскрыть свой пароль при
№6, июнь 2005
администрирование
работе в незащищенном режиме. Поэтому к вопросу разда-
чи прав следует относиться очень внимательно.
Более тонко процедуру входа в систему можно опре-
делить в настройках PAM (см. /etc/pam.d/system и прочие
файлы). Нужно заметить, что не все приложения могут ра-
ботать с одноразовыми паролями. Например, во FreeBSD
утилиты login, su, ssh, telnetd поддерживают аутентифика-
цию OPIE, popper – нет (но если вход с системным паролем
разрешен, проблем с использованием этой программы не
возникает). По умолчанию, если поддержка OPIE каким-
то сервисом имеется, в соответствующем файле каталога
/etc/pam.d будет присутствовать pam_opie.so.
Попытка аутентификации на FTP-сервере (FreeBSD 5.3,
стандартный ftpd) с одноразовым паролем выявила инте-
ресную проблему – с помощью клиента ftp вход по «опику»
выполнялся нормально, а вот попытка войти под системным
паролем (например, с использованием менеджера FAR) за-
вершалась неудачей, хотя настройки позволяли использо-
вание системного пароля. Разбор полета показал, что про-
блема заключается в разрешении имен. Происходило сле-
дующее – в процессе установки соединения IP-адрес кли-
ента преобразовывался в доменное имя типа client.domain.
provider.ru, которое обрезалось до client.domain, после чего
система пыталась определить IP-адрес этого «хоста», что-
бы установить права на вход с системным паролем в со-
ответствии с /etc/opieaccess. Это, естественно, не получа-
лось, и возвращалась ошибка «Неизвестный хост client.do-
main». Если же вход на сервер FTP выполнялся с машины,
адрес которой не присутствует в базе DNS, то все работа-
ло отлично. Вылечить это удалось добавлением следую-
щей строчки в /etc/resolv.conf:
options ndots:3
Эта строка заставляет функции разрешения имен (см.
man resolver) возвращать в качестве доменного имени часть
имени хоста до третьей точки, то есть целиком. По умол-
чанию параметр ndots равен 1, что и приводило к описан-
ной выше ситуации. Во FreeBSD 5.4 данная проблема уже
не наблюдается.
В заключение замечу, что на моей системе права досту-
па к файлу /etc/opiekeys по умолчанию были установлены в
rw-r--r--, что позволяло читать его абсолютно всем. Посколь-
ку данный файл хранит, хоть и в зашифрованном виде, клю-
чевую фразу, которая используется при генерации однора-
зовых паролей, то такой либеральный доступ к нему выгля-
дит не самой лучшей идеей. Возможно, это необходимо для
работы некоторых утилит, но в моем случае после установки
прав в rw------- никаких проблем пока не обнаружилось.
И, несмотря на банальность того, что я сейчас скажу,
считаю своим долгом предупредить – любые действия, свя-
занные с изменением порядка входа в систему, должны вы-
полняться осознанно и с предельной осторожностью. В слу-
чае с OPIE нужно очень постараться, чтобы полностью за-
блокировать себе доступ в систему. Но тем не менее всег-
да полезно иметь запасной вариант, например, создать для
использования одноразовых паролей другую учетную за-
пись и, лишь убедившись в ее работоспособности, перево-
дить на новую схему остальных пользователей.
55
 безопасность

ИЗУЧАЕМ ПРИНЦИП РАБОТЫ

НЕIMDAL KERBEROS
Как только ваша подконтрольная локальная сеть начнет развиваться и расширяться,
возникнут новые задачи: Как синхронизировать системные учетные записи растущего числа
пользователей? Как управлять доступом пользователей к сетевым сервисам внутри локальной
сети? При этом сервисы могут работать на разных компьютерах, а определенные службы
держат собственные учетные записи для авторизованных пользователей. Решением послужит
введение единой системы регистрации в локальной сети с помощью протокола Kerberos.

МИХАИЛ КОНДРИН

Ч
тобы подробнее разобраться с возникающими зада-
чами, рассмотрим ситуацию с организацией распре-
деленной вычислительной системы. Разумеется, чем
больше компьютеров входят в кластер, тем выше его вы-
числительная мощность. Наиболее распространненные си-
стемы кластерных вычислений на сегодня – Parallel Virtual
Machine и Message Passing Interface. Обе позволяют пользо-
вателю, в данном случае разработчику программ, пересы-
лать куски данных, нуждающихся в обработке, между узла-
ми кластера и синхронизировать получение результатов с
разных узлов. Это фасад системы. За кулисами происхо-
дит обращение к удаленному командному интерпретатору и
вызов определенных программ в нем. То есть администра-
тору такой системы необходимо добиться, чтобы пользо-
ватели кластера имели доступ к командному интерпрета-
тору на узлах кластера и, более того, этот доступ должен
быть беспарольным для каждой пары компьютеров в кла-
стере. Не очень-то удобна система, где запуск нескольких
параллельных копий программы требует от пользователя
регистрации на каждом из узлов кластера.
Таким образом, во-первых, информация о пользовате-
лях должна совпадать на всех этих компьютерах. Один из
вариантов решения – иметь одинаковые копии /etc/passwd
и /etc/shadow на каждом из узлов с их последующим обнов-
лением с помощью скриптов при добавлении нового пользо-
вателя. Во-вторых, если в качестве удаленного командного
интерпретатора используется rsh, то добиться беспароль-
ного входа с помощью внесения всех компьютеров, входя-
щих в этот кластер, в файл /etc/hosts.equiv (этот файл так-
же должен совпадать на всех узлах кластера). Однако ис-
пользование rsh гарантирует вам проблемы с безопаснос-
тью, если предположить возможность доступа к кластеру
извне локальной сети, который, как вы помните, должен
быть беспарольным. Можно сконфигурировать доступ по
адресу компьютера (с помощью tcp-wrappers) и бороться с
ip-spoofing внешними средствами или настраивать openssh
в качестве удаленного командного интерпретатора. В по-
следнем случае вам придется мириться с тем, что процес-
сорные циклы будут расходоваться не на расчет, а на коди-
рование/раскодирование блоков данных. Тем не менее ни
одно из этих решений нельзя считать удачным.
Далеко не каждому из вас приходится сталкиваться с
настройками вычислительных кластеров. Но именно эта
проблема построения распределенной вычислительной
системы Athena заставила в начале 80-х годов програм-
мистов из Массачусетского технологического института
разработать и внедрить протокол удаленной аутентифи-
кации пользователей. Комбинирование специальных крип-
тографических средств позволяло, с одной стороны, све-
сти на нет вероятность перехвата паролей и иметь шиф-
рованный канал для передачи данных между компьютера-
ми (эта возможность могла отключаться по желанию поль-
зователя). А с другой – иметь систему с единой регистра-
цией (single sign-on), что дает возможность пользователю
регистрироваться один раз при входе в систему и в даль-
нейшем иметь свободный доступ к сетевым ресурсам на
основе этой регистрации.
Понятно, что число пользователей, которым такая функ-
циональность была бы удобна, значительно превышает чис-
ло нуждающихся в распределенных системах, и в дальней-
шем этот протокол, получивший название Kerberos (по име-
ни трехголового пса из древнегреческих мифов, стерегу-
щего вход в царство мертвых), стал широко применяться
независимо от Athena как система регистрации в крупных
финансовых и академических учреждениях.
Kerberos с точки зрения пользователя
На пользовательском уровне все реализации Kerberos вы-
глядят однотипно, поэтому рассмотрим, как это происходит
в моем случае. Регистрация в Kerberos осуществляется ко-
мандой kinit, которая автоматически вызывается при моем
входе на рабочую станцию под управлением Windows XP. В
результате мне выдается основной документ, удостоверя-
ющий мою личность в Kerberos, – «супербилет», билет, га-
рантирующий получение доступа к сетевым службам (или
TGT – ticket granting ticket). При этом у меня всегда есть воз-
можность зарегистрироваться в Kerberos под другим име-
нем с помощью все той же команды kinit, что приводит к об-
новлению начального билета. Теперь предположим, что я
хочу посмотреть логи на своем router/firewall под управле-
нием Linux. Я открываю терминал cygwin. Первое, что мож-
но сделать, – просмотреть имеющиеся билетики:
mike@alex ~\$ klist

56

История создания Kerberos
В 1983 году была начата работа по созданию системы Athe-
na. Работу финансировали компании IBM и DEC, и в 1987 го-
ду была выпущена первая версия протокола Kerberos (Kerbe-
ros 4). Дальнейшая эксплуатация выявила недостатки про-
токола, и обновленный вариант Kerberos 5 вышел в свет в
1993 году. В настоящее время 4 версия практически не ис-
пользуется, но в реализациях протокола от МТИ совмести-
мость с предыдущей версией продолжает сохраняться. К
1993 году протокол Kerberos уже завоевал популярность, и
многие компании, разработчики программного обеспечения
стремились использовать его в своих программных продук-
тах. Но тут имел место юридический казус – дело в том, что
в то время в США еще действовали законы, введенные еще
во время холодной войны, запрещающие экспорт военных
технологий. Поскольку криптографическая защита, исполь-
зованная в Kerberos, классифицировалась как военная тех-
нология, это создавало препятствия для использования его
в программных продуктах сторонних фирм и распростране-
ния его за пределами США. Для решения этой проблемы бы-
ла выпущена версия протокола Kerberos 4, из которого бы-
ла изъята вся сильная криптография. Эта реализация Kerb-
eros получила название Bones (кости), и ограничения на ее
Credentials cache: FILE:/tmp/krb5cc_1017
Principal: mike@HPPI.TROITSK.RU
Issued Expires Principal
May 29 22:18:22 May 30 22:18:22 krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU
В списке, как вы видите, имеется только один билет –
тот самый TGT. Credential Cache – это файл, в котором хра-
нятся полученные мной сертификаты. По умолчанию его
название – это комбинация /tmp/krb5cc_ и id пользовате-
ля. Срок действия любого билетика ограничен по време-
ни – это снижает интерес к его перехвату со стороны зло-
умышленника. Теперь я запускаю командный интерпрета-
тор на удаленном компьютере:
\$ telnet -F relay
Trying 192.168.1.254...
Connected to relay.hppi.troitsk.ru.
Escape character is '^]'.
Waiting for encryption to be negotiated...
[ Trying mutual KERBEROS5 (host/relay.hppi.troitsk.ru@HPPI.TROITSK.RU)... ]
[ Kerberos V5 accepts you as ``mike@HPPI.TROITSK.RU'' ]
[ Kerberos V5 accepted forwarded credentials ]
Encryption negotiated.
\$klist
Credentials cache: FILE:/tmp/krb5cc_1000
Principal: mike@HPPI.TROITSK.RU
Issued Expires Principal
May 29 22:21:16 May 30 22:18:22 krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU
Вот пример магии Kerberos в действии – воспользовав-
шись моим супербилетом, Kerberos прозрачно для пользо-
вателя организует доступ к сетевому ресурсу (в данном слу-
чае он фигурирует под именем host/relay.hppi.troitsk.ru@HPPI.
TROITSK.RU) и более того – telnet при помощи Kerberos ав-
томатически шифрует весь сетевой трафик между клиентом
и сервером. Список билетов при этом не меняется – ключ -F
позволяет перемещать имеющиеся у меня билетики с ком-
пьютера на компьютер. Закрытие telnet-сессии автоматиче-
№6, июнь 2005
безопасность
экспорт уже не действовали. В 1997 году группа програм-
мистов из Стокгольмского Королевского университета, взяв
за основу Bones, проделала обратную работу и вставила не-
достающую криптографическую функциональность. Вот так
экспортные ограничения Соединенных Штатов способство-
вали развитию европейского hi-tech. Впоследствии ими же
была выпущена реализация протокола Kerberos 5, получив-
шая название Heimdal. Heimdal (Хеймдалль) – это божество
из скандинавского пантеона, чьи функции состояли в охра-
не стратегических коммуникаций, а именно – моста, разде-
ляющего Асгард и Мидгард. Так же, как и в случае с древ-
негреческим прототипом Kerberos, здесь эксплуатируется
образ неподкупного стража. Интересно отметить, что мо-
тивом для программистов из Стокгольмского университе-
та, так же как и для их коллег из МТИ, являлась задача обе-
спечения публичного доступа к вычислительному класте-
ру. Последним эпизодом из истории Kerberos стало объяв-
ление компанией Microsoft в 1999 году о поддержке Kerber-
os в своей будущей операционной системе NT 5.0 (впослед-
ствии названной Windows 2000), что действительно было ре-
ализовано в качестве компонента Active Directory. В насто-
ящее время Kerberos является промышленным стандартом
удаленной аутентификации пользователей.
ски очищает кэш на удаленном компьютере с помощью вы-
зова команды kdestroy, так что вы можете не опасаться, что
ваш кэш может быть использован кем-то еще. Так как супер-
билет по-прежнему со мной, то это позволяет мне получить
доступ к другому компьютеру, серверу Kerberos.
\$telnet -F kenga
Trying 192.168.1.253...
Connected to kenga.hppi.troitsk.ru.
Escape character is '^]'.
Waiting for encryption to be negotiated...
[ Trying mutual KERBEROS5 (host/kenga.hppi.troitsk.ru@HPPI.TROITSK.RU)... ]
[ Kerberos V5 accepts you as ``mike@HPPI.TROITSK.RU'' ]
[ Kerberos V5 accepted forwarded credentials ]
Encryption negotiated.
mike@kenga:~\$
Точно так же я могу получить доступ к любому сетевому
сервису – например, к локальному ftp-серверу.
mike@kenga:~\$ ftp kenga
Connected to kenga.hppi.troitsk.ru.
220 kenga FTP server (Version 6.00+Heimdal 0.6.3) ready.
Trying GSSAPI...
Authenticated to <host/kenga.hppi.troitsk.ru@HPPI.TROITSK.RU>
Authentication successful.
Name (kenga:mike):
S:232-Linux 2.4.25.
S:232 User mike logged in.
S:230 Password not necessary
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
S:221 Goodbye.
Заметьте, что во всех случаях мне не потребовался ввод
пароля. Доступ ко всем компьютерам мне предоставлялся
на основании моего TGT. Все операции c Kerberos (выдача
билетов, добавление/удаление пользователей и т. д.) фик-
сируются в его логах, и можете убедиться, что вся моя ак-
57
 безопасность
тивность с перемещениями от компьютера к компьютеру
зафиксирована в файле /var/log/krb5kdc.log. Для удобства
я разделил кусок log-файла на 4 части, соответствующие
процессам получения доступа к моей рабочей станции, уда-
ленного доступа к двум серверам и серверу ftp.
2005-05-29T22:18:22 AS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.45
for krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU
2005-05-29T22:18:22 Using des-cbc-crc/des-cbc-md5
2005-05-29T22:18:22 Requested flags: renewable_ok, renewable, forwardable
2005-05-29T22:18:23 sending 574 bytes to IPv4:192.168.1.45
2005-05-29T22:18:23 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.45
for krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU [renewable, forwardable]
2005-05-29T22:18:23 sending 593 bytes to IPv4:192.168.1.45
......
2005-05-29T22:21:15 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.45
for host/relay.hppi.troitsk.ru@HPPI.TROITSK.RU
2005-05-29T22:21:16 sending 546 bytes to IPv4:192.168.1.45
2005-05-29T22:21:16 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.45
for krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU [forwarded, forwardable]
2005-05-29T22:21:16 sending 589 bytes to IPv4:192.168.1.45
......
2005-05-29T22:21:43 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.254
for host/kenga.hppi.troitsk.ru@HPPI.TROITSK.RU
2005-05-29T22:21:44 sending 550 bytes to IPv4:192.168.1.254
2005-05-29T22:21:44 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.254
for krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU [forwarded, forwardable]
2005-05-29T22:21:44 sending 593 bytes to IPv4:192.168.1.254
......
2005-05-29T22:22:27 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.253
for ftp/kenga.hppi.troitsk.ru@HPPI.TROITSK.RU
2005-05-29T22:22:27 Server not found in database:
ftp/kenga.hppi.troitsk.ru@HPPI.TROITSK.RU: No such entry in the database
2005-05-29T22:22:27 sending 145 bytes to IPv4:192.168.1.253
2005-05-29T22:22:27 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.253
for host/kenga.hppi.troitsk.ru@HPPI.TROITSK.RU
2005-05-29T22:22:27 sending 550 bytes to IPv4:192.168.1.253
2005-05-29T22:22:28 TGS-REQ mike@HPPI.TROITSK.RU from IPv4:192.168.1.253
for krbtgt/HPPI.TROITSK.RU@HPPI.TROITSK.RU [forwarded, forwardable]
2005-05-29T22:22:28 sending 546 bytes to IPv4:192.168.1.253
Вы можете сказать: «Как же так – протоколы telnet и ftp
небезопасны и правильнее использовать openssh. И ничего
удивительного в беспарольной аутентификации нет – ту же
самую функциональность обеспечивает ssh, предоставляя
возможность регистрироваться по парам публичных/секрет-
ных ключей». Все правильно. Только для того, чтобы в сети
из N компьютеров обеспечить доступ по ssh с любого из этих
компьютеров на любой другой, вам придется в общем случае
проделать 2N*{число пользователей} перемещений публич-
ных ключей (каждая пара компьютеров в сети обменивается
публичными ключами пользователей), что в случае больших
сетей трудноосуществимо. В то же время с помощью Kerbe-
ros вам нужно только зарегистрировать каждый из компью-
теров на сервере Kerberos и иметь один ключ на каждом из
хостов (в отличие от ssh в Kerberos используется симметрич-
ное шифрование) – итого 2N операций. Что же касается пер-
вой части вопроса, то я использую специальный «кербери-
зованный» вариант telnet, что защищает соединения между
хостами не хуже, чем ssh. Главный недостаток стандартно-
го telnet (и не только его) состоит в том, что при аутентифи-
кации на удаленном компьютере telnet пересылает пароль
пользователя по сети в виде открытого текста, что позволя-
ет злоумышленнику перехватить его. Ssh обходит эту опас-
ность с помощью несимметричного шифрования пароля. А
каким же образом Kerberos удается избегать брешей в за-
щите связанных с удаленной аутентификацией?
Удаленная аутентификация в Kerberos
Делается это с помощью уже упоминавшихся ранее биле-
тиков/сертификатов (tickets/credentials – оба слова исполь-
зуются как синонимы) – специальным образом изготовлен-
58
ных и упакованных шифровальных ключей. В Kerberos как
пользователь, так и сетевая служба не различаются меж-
ду собой и именуются principal (принципал – юридический
термин, означающий лицо, поручающее агенту совершить
сделку от его имени), что весьма точно описывает функции
принципалов в Kerberos. Принципалы определяются своим
именем и паролем, причем в случае сетевой службы в ка-
честве этого пароля выступает ключ, хранящийся на том же
компьютере, где работает защищаемый сервис. База данных
принципалов хранится на сервере Kerberos, и при необходи-
мости проверить аутентичность пользователя или сервиса,
компьютеры, объединенные в сектора (realms), соединяются
с этим сервером. По поводу терминологии: точный перевод
«realm» («царство») применительно к Kerberos не прижился, а
иногда используемый термин «домен» не кажется мне удач-
ным, поскольку слово и так перегружено. Так же, как и в слу-
чае с DNS, главный контроллер сектора Kerberos (Key Distri-
bution Center, KDC, центр выдачи ключей) может иметь как
дополнительные, slave, контроллеры (что позволяет обеспе-
чить бесперебойную работу при выходе из строя основного
контроллера), так и в одиночку держать несколько секторов.
Типичное имя принципала, например, сервиса удаленного
доступа к командному интерпретатору компьютера, выгля-
дит таким вот образом: host/kdc.myrealm.ru@MYREALM.RU,
что обозначает сервис с основным именем (primary name)
host и характеристикой (instance) kdc.myrealm.ru, принадле-
жащий сектору MYREALM.RU. Разделение имен принципа-
лов на несколько частей позволяет различать, с одной сто-
роны, разные службы, работающие на одном хосте (с помо-
щью primary name, host в нашем случае). А с другой – сре-
ди нескольких однотипных служб, работающих в сети, вы-
бирать конкретную, запущенную на определенном сервере
(с помощью поля instance, которая в нашем случае совпада-
ет с именем компьютера). Название секторa не обязано по-
вторять доменное имя сети, но именно такое правило наи-
менований считается устоявшейся практикой.
Теперь посмотрим, что происходит, если пользователь
joeuser (а точнее, принципал joeuser@MYREALM.RU – поле
instance для «живых» пользователей обычно не использует-
ся) пытается получить доступ к этому серверу. Предполага-
ется, что как клиентская программа telnet, так и telnetd демон
собраны с поддержкой Kerberos (обе эти программы входят
в дистрибутив Heimdal). Разумеется, как сам сервер, так и
пользователь должны быть зарегистрированы в одном и том
же секторе Kerberos. Как обычно, сеанс подключения к сер-
веру начинается с того, что пользователь запускает telnet со
своим регистрационным именем и именем удаленного ком-
пьютера telnet -l joeuser kdc.myrealm.ru. Клиентская програм-
ма после этого обращается к KDC с просьбой предоставить
для joeuser доступ к хосту kdc.myrealm.ru. Kerberos генери-
рует по определенным правилам шифровальный ключ (ses-
sion key) и разыскивает по своей базе данных принципалов
joeuser и host/kdc.myrealm.ru, а также их пароли (ключи). Ес-
ли пароли найдены (в противном случае сеанс заканчивает-
ся аварийно – т.к. кто-то из этих двух принципалов не заре-
гистрирован в секторе Kerberos), Kerberos приступает к ге-
нерированию сессионного ключа (session key). С помощью
ключа принципала host/kdc.myrealm.ru он шифрует сгенери-
рованный session key вместе с именем пользователя joeus-

er, потом прилагает к зашифрованному блоку
вторую копию того же session key и снова шиф-
рует получившийся билетик с помощью паро-
ля пользователя. После этого пакет отсылает-
ся клиентской программе. Если к этому време-
ни пользователь набрал свой пароль и он со-
впадает с паролем, использованным Kerberos
при шифровке, то клиентская программа суме-
ет расшифровать билетик. Далее, половина би-
летика (с session key) остается пользователю,
а вторая, которая не может быть расшифрова-
на клиентом, поскольку ключ сервера ей неиз-
вестен, пересылается на сервер. Сервер рас-
шифровывает ее с помощью своего ключа и та-
ким образом узнает как session key, так и имя
пользователя, что позволяет серверу авторизо-
вать его своими собственными средствами. За- Рисунок 1.
метим, что помимо регистрации в этом случае имеется воз-
можность использовать полученный session key, поскольку
в итоге он известен как клиенту, так и серверу, для шифро-
вания сетевого трафика в рамках данной сессии, чем мно-
гие приложения и пользуются. Схематически процесс об-
мена сертификатами показан на рис. 1.
Что еще интересного в используемом Kerberos механиз-
ме аутентификации? Дело в том, что Kerberos оказывается
еще более параноидальным, чем мы предполагали внача-
ле, т.е. считает ненадежными не только сетевые соедине-
ния (ни один из паролей, как вы могли заметить, не пере-
дается в открытую по сети), но и клиентский, и даже сер-
верный компьютер. Для каждого из них ключ/пароль пар-
тнера так и остается неизвестным – только session key, ко-
торый для потенциального взломщика интереса не пред-
ставляет, поскольку используется только в данной сессии.
Как известно, безопасность и удобство пользователей ве-
щи взаимоисключающие. Но ученым из МТИ удалось найти
удачный компромисс, придумав еще одну замечательную
вещь – ticket granting ticket (TGT). Если пытаться переводить
этот термин на русский – «билет для выдачи других биле-
тов», что-то вроде единого проездного. Смысл его в том,
что пользователь сети проходит полностью процедуру ре-
гистрации (с вводом имени и пароля) в своем секторе толь-
ко один раз, а сертификат, полученный в результате, затем
используется клиентскими приложениями как эквивалент
пользовательского пароля для получения доступа к сете-
вым сервисам. Процесс выдачи ТGT ничем не отличается
от описанного выше, только в качестве службы, к которой
пользователь получает доступ, выступает сам Kerberos –
его Ticket Granting Service. После получения TGT записы-
вается в кэш-файл на диске клиентского компьютера и за-
тем по мере надобности извлекается оттуда. В схеме, опи-
санной выше, session-key, закодированный в TGT исполь-
зуется вместо пароля пользователя при шифровании сер-
тификата, предоставляемого для доступа к сетевому ре-
сурсу. И хотя TGT хранится в кэше на диске рабочей стан-
ции пользователя, угроза, связанная с его перехватом, не
столь уж серьезна, поскольку его действенность ограниче-
на по времени. TGT позволяет организовать в корпоратив-
ной сети single sign-on (система единой регистрации) систе-
му. Например, с помощью замены системного login на кер-
№6, июнь 2005
безопасность
Процесс обмена сертификатами
беризованный аналог (программа с тем же именем входит
в состав Heimdal Kerberos) при входе на рабочую станцию
пользователь получает TGT, который затем используется
для генерирования билетиков, специфичных для какой-ни-
будь из сетевых служб.
Таким образом, следует помнить, что при любой аутен-
тификации в Kerberos всегда участвуют два принципала –
один соответствует пользователю, пытающемуся получить
доступ к сервису, а второй – самому этому сервису. Мы не
будем рассматривать более сложный механизм аутенти-
фикации, так называемый user-to-user, когда сетевой сер-
вис не имеет собственной записи в базе данных Kerberos,
а использует сертификаты пользователя, запустившего
сервис. Аутентификация user-to-user могла бы быть полез-
на, например, для X-серверов, но и для них эта методика
не получила большого распространения.
Так в общих чертах выглядит принцип работы Kerberos.
Многие детали реализации протокола Kerberos при этом
пришлось опустить. В частности, формат сертификата в
действительности более сложен, чем описано здесь. В него
входит время выдачи и срок годности сертификата, адрес
компьютера, на который отсылается сертификат, и флажки,
позволяющие контролировать использование сертифика-
тов и тем самым настраивать политику безопасности вну-
три сектора Kerberos. Скажем, с помощью снятия флажка
forwardable можно «привязать» сертификат к одному ком-
пьютеру и запретить его перемещение на другие хосты.
Пример, рассмотренный в начале статьи, был бы невозмо-
жен в этом случае – после получения удаленного доступа
мне каждый раз потребовалось бы вводить пароль для за-
проса нового TGT.
В следующем номере журнала мы перейдем к практи-
ческой части и развернём инфраструктуру Kerberos в ло-
кальной сети.
Литература, ссылки:
1. Гребенников Р. Танцуем Самбу. – Журнал «Системный
администратор», №11, ноябрь 2004 г. – 32-38 с.
2. Фундаментальное обсуждение протокола Kerberos (на
англ.) можно найти в ссылках на сайте Массачусетско-
го технологического института: http://web.mit.edu/kerbe-
ros/www/papers.html.
59

ЗАЩИЩЕННАЯ ПОЧТОВАЯ СИСТЕМА
С TIGER ENVELOPES
Каждой компании приходится беспокоиться о безопасности информации, проходящей
по электронной почте или другим электрическим каналам связи. Используя сервер
Tiger Envelopes, вы сможете повысить уровень конфиденциальности передаваемых данных.
Н
е секрет, что сегодня именно информация является
самым ценным продуктом. В прессе постоянно по-
являются публикации о взломах, либо чьих-то секре-
тах, подробности появления которых достойны голливуд-
ских сценариев. Легкость и быстрота, позволяющие мгно-
венно обменяться сообщениями и решить все вопросы в ко-
роткий период времени, привели к тому, что сейчас львиная
доля деловой переписки ведется при помощи электронных
средств, в частности электронной почты. При этом среди
многочисленных источников перехвата информации имен-
но электронная почта (при правильном подходе) является
одной из самых результативных и в то же время не требую-
щей задействования больших ресурсов. С другой стороны,
мнимая безопасность и неосознание важности даже самой
пустяковой на первый взгляд информации приводят к тому,
что практически вся информация передается открыто. Кро-
ме вопросов, связанных с организацией процесса закрытия
информации, т.е. выбор средств шифрования, способов об-
мена ключей как среди внутренних корреспондентов, так и
с партнерами. Необходимо учитывать и человеческий фак-
тор. Есть пользователи, которым почтовый клиент дается с
большим трудом, а если попросить их еще и зашифровать
сообщение перед отправкой, то это будет для них вообще
высшим пилотажем. Скорее всего, почта и дальше будет
№6, июнь 2005
безопасность
СЕРГЕЙ ЯРЕМЧУК
втихаря отправляться обычным способом, либо придется
ему просить это сделать кого-нибудь другого, что тоже не-
приемлемо. Не выгонять же из-за этого лучшего бухгалте-
ра. Администратору в этом случае лучше всего взять си-
туацию под свой полный контроль. Хорошим примером та-
кого подхода является VPN, пользователь может и не до-
гадываться, что работает по защищенному каналу. Анало-
гичным путем пошли разработчики защищенной почтовой
системы Tiger Envelopes (http://www.tigerprivacy.com).
Что за зверь такой?
Уже в названии разработчики заложили принцип работы та-
кой системы. Аналогично тому, как, написав бумажное пись-
мо и положив его в конверт, вы тем самым предохраняете
его от просмотра другими, так и Tiger перехватывает отправ-
ленное обычным образом сообщение, зашифровывает и пе-
реправляет на указанный адрес. На другом конце програм-
ма, автоматически подбирая ключ, расшифровывает его и
отправляет пользователю, который может догадаться о на-
личии такой системы только по нестандартным настройкам
почтового клиента. Таким образом, он выступает как почто-
вый прокси-сервер, который автоматически кодирует и де-
кодирует сообщения. При этом почтовое сообщение может
пройти через несколько таких серверов, кодируясь несколь-
61
 безопасность
ко раз, на другом конце код будет сниматься слой за слоем, исходные тексты (src), библиотеки и прочее. Здесь же ле-
таким образом повышается устойчивость и общая защита. жит ряд скриптов (или исполняемых файлов в зависимости
В более поздних версиях, кроме сообщения, планируется ко- от ОС), которые понадобятся для настройки, проверки ста-
дировать и заголовок (например, кодирование поля «Тема» туса и тестирования. Например, Preferences позволит доба-
позволит скрыть характер самого сообщения). На сегодняш- вить (изменить настройки, удалить) почтовый ящик, пока-
ний день существует две версии Tiger Envelopes: Free и Busi- зать, экспортировать, импортировать и удалить ключи, про-
ness. Первая доступна для свободного скачивания, предна- тестировать конфигурацию. Кроме этого, в папке Envelopes,
значена для индивидуального использования и распростра- которая будет размещена в каталоге текущего пользовате-
няется под лицензией GPL. Более расширенная версия Bu- ля (в моем случае это C:\Documents and Settings\Sergej\En-
siness является коммерческой, и хотя также доступен исхо- velopes и /home/sergej/Envelopes), создается ряд подкатало-
дный код, но он прилагается исключительно для контроля. гов, в которых будут сохраняться открытые ключи (Public-
Написан Tiger на Java, и в настоящее время доступны паке- Keys), входящие и исходящие сообщения (messages), фай-
ты, собранные под Windows, Mac OS X и GNU/Linux. Каждый лы журнала (logs), плюс здесь же, в файлах XML-формата,
пакет, кроме непосредственно Tiger Envelopes, включает си- найдете индивидуальные настройки пользователя.
стему кодирования, виртуальную машину Java под исполь-
зуемую операционную систему и исходный код. Кроме то-
го, если собирать систему самостоятельно, то с сайта раз-
работчиков можно скачать исходники (как это сделать, мож-
но прочитать в http://www.tigerprivacy.com/docs/InstallSource.
html). Расширяемый API, основанный на CORBA-интерфей-
се, названный Open Crypto Engine (OCE), позволяет исполь-
зовать на принципе любую доступную систему шифрования,
написанную на любом языке, и менять ее при необходимо-
сти (например, при обнаружении уязвимости в конкретной
реализации). В настоящее время доступны расширения для
Bouncy Castle (http://www.bouncycastle.org), GPG (http://www.
gnupg.org) и PGP (http://www.pgpi.com). При этом ключи за-
даются фактически для группы абонентов, а не индивиду-
альных пользователей, что в целом облегчает администри-
рование и обмен информацией с корреспондентами, кото-
рым нет теперь необходимости в обмене ключами с каждым
сотрудником организации. В будущем разработчики плани-
руют добавить сервер ключей, который должен еще более
упростить использование системы.
Рисунок 1. Для того чтобы Tiger Envelopes мог дальше
Установка и настройка переправить сообщение, необходимо активировать хотя бы
В общем, процесс установки и настройки Tiger Envelopes для один действующий почтовый ящик
Windows и GNU/Linux (а судя по описанию, и для Mac OS X) Теперь самое время настроить почтовый клиент, для то-
отличается только особенностями самих систем, т.е. факти- го чтобы он отправлял и принимал почту через Tiger Enve-
чески используемыми каталогами, в которые будут распа- lopes. Хотя здесь тоже все просто.
кованы файлы. Итак, после запуска исполняемого файла,
скачанного с сайта по ссылке (размер для Windows – 35 Мб,
Linux – 45 Мб), программа установки проверит систему на
совместимость. После чего в следующем окне необходимо
ввести параметры почтового ящика, который будет защи-
щаться тигром, вкладки «More Info» и «Advanced» позволяют
более тонко настроить параметры. В этом же окне вводится
ключевая фраза (passphrase), необходимая при генерации
ключа GPG (для того чтобы Tiger Envelopes мог дальше пе-
реправить сообщение, необходимо активировать хотя бы
один действующий почтовый ящик) (см. рис. 1).
Далее создается ключ, выводится отчет, сообщающий
об успешном создании почтового аккаунта, и программа на-
чинает устанавливаться и прописывает себя в автозагруз-
ку. Вот в принципе и все. Установленную программу в Win-
dows можно найти в C:\Program Files\TigerPrivacy\FreeEnve- Рисунок 2. Для отправки и получения почты через Tiger
Envelopes, необходимо изменить настройки почтового клиента
lopes (отдельно в C:\gnupg распаковывается GPG). В Linux
Tiger Envelopes найдете в /usr/local/bin/FreeEnvelopes. Вну- В качестве SMTP-сервера для исходящих сообщений и
три этого каталога имеется подкаталог с документацией, ставим имя компьютера, на котором установлен Tiger En-

62

velopes, вариантами могут быть IP-адрес, localhost либо
127.0.0.1. Номер порта заменяем на 9025. Сервер для полу-
чения почты через POP3 также указываем на этот компью-
тер, а номер порта правим на 9110. И не менее важно: поль-
зователя, которого в почтовом клиенте обычно прописыва-
ем без доменного имени, пишем полностью. В моем случае
пользователь grinder был заменен на grinder@ua.fm.
Для тестирования работы в Tiger Envelopes по умолча-
нию создаются два пользователя.
Имя: Test User
Почтовый адрес: test@tigerprivacy.local
Пароль: 256 AV Audio
Имя: Test User2
Почтовый адрес: test2@tigerprivacy.local
Пароль: Memory F4800000
В каталоге, куда установлен Tiger, имеется скрипт Test,
предназначенный для тестирования работы, имитирую-
щий обмен данными между двумя этими пользователя-
ми. После чего нужно проверить работу в реальных усло-
виях, обменявшись сообщениями. Теперь письмо, отправ-
ленное с вашего компьютера, автоматически будет за-
шифровано. В теле письма будет содержаться открытый
ключ, а в конце после расшифровки будет добавлено та-
кое сообщение.
Tiger Envelopes decrypted this message at 2005-06-25 04:49:06.774 UTC.
Если пользователь не использует Tiger Envelopes, то он
получит зашифрованный текст, в конце которого будет та-
кая подпись.
№6, июнь 2005
безопасность
Get your privacy back with free email envelopes at
<a href="http://tigerprivacy.com">Tiger Privacy</a>
Tiger Envelopes encrypted this message at 2005-06-25 04:33:34.573 UTC.
Принятое зашифрованное сообщение будет расшиф-
ровано автоматически, если поступило обычное, т.е. не за-
крытое письмо, то к нему будет добавлена подпись, предуп-
реждающая, что так поступать не стоит.
Tiger Envelopes warning: Got this message without an envelope.
Anyone could have read it.
В целом вся дальнейшая работа проходит прозрачно
для пользователей, не подозревающих о шифровании.
Несмотря на то, что Tiger написан на Java, раздражающей
«заторможенности», присущей приложениям, работающим
в этой среде, замечено не было. Единственным организа-
ционным моментом, который может вызвать нестыковку,
является обмен сообщениями с корреспондентами, клю-
чи которых не внесены в базу. Здесь, очевидно, все зави-
сит от политики компании, количества сотрудников и про-
чих составляющих. Можно, например, разрешить обмен
открытой информацией только строго определенным ли-
цам, на которых и возложить обязанности по согласова-
нию этих моментов.
Сервер Tiger Envelopes является довольно удобным ин-
струментом, позволяющим очень просто наладить обмен
зашифрованными сообщениями. Для пользователей его
работа будет прозрачной, а использование «групповых»
ключей упрощает администрирование и избавляет адми-
нистратора от многих проблем, связанных с обменом клю-
чевыми данными.
63
 безопасность
НАСКОЛЬКО НЕУЯЗВИМА
ВАША БЕСПРОВОДНАЯ СЕТЬ?
Масштабное внедрение
беспроводных устройств
протекает довольно болезненно.
То тут, то там появляются
сообщения об их взломе,
который уже давно превратился
в настоящий радиоспорт
для тинейджеров.
Попробуем разобраться,
насколько велика угроза
и что можно противопоставить
коварным хакерам.
Б
еспроводные технологии проч-
но вошли в нашу жизнь и, похо-
же, не собираются никуда ухо-
дить. С их помощью организуются точ-
ки доступа в Интернет, строятся пол-
ноценные локальные сети, лишенные
змеящихся кабелей, и делается мно-
жество других удивительных вещей.
Се мей ство стан дар тов IEEE 802.11
описывает протоколы передачи дан-
ных, работающие на частоте 2,4 ГГц и
обеспечивающие скорость вплоть до
11 Мбитс/с (протокол 802.11b) или да-
же 54 Мбит/с (протокол 802.11g). Все
вместе они образуют WLAN (Wireless
Local Area Network – Беспроводная Ло-
кальная Сеть).
Фактически WLAN представляет
собой обыкновенный Ethernet, только
без проводов (см. рис. 1). Это значит,
что беспроводные сети наследуют все
уязвимости обыкновенных проводных
сетей и добавляют к ним свои собствен-
ные. Описывать классические Ether-
net-уязвимости, такие, например, как
подложный ARP-сервер, не интерес-
но, лучше обсудим «беспроводной»
аспект (рис. 1).
Для защиты от злоумышленников
разработчики IEEE 802.11 протоколов
предприняли целый комплекс противо-
хакерских мер: аутентификация, шиф-
рование тра фи ка, привязка к MAC-
64
адресам и т. д., однако это не остано-
вило атакующих. На протяжении че-
тырех последних лет разработчики не-
прерывно совершенствовали защиту,
но каждый раз в ней обнаруживались
все новые и новые дыры.
Подавляющее большинство ата-
кующих действуют без зло го умыс-
ла, воспринимая это как шалость или
интеллектуальную игру, но среди них
встречаются настоящие охотники за
чужим трафиком, из которого можно
извлечь различную конфиденциаль-
ную информацию (пароли на почто-
вые ящики, номера кредитных карт
и т. д.). Встречаются и просто желаю-
щие подключиться к Интернету за чу-
жой счет. Если точка беспроводного
доступа принадлежит крупной компа-
нии, ущерб будет не так уж и велик, но
вот в домашних сетях этим пренебре-
гать нельзя.
Чем вооружены хакеры и как им
противостоять, вот вопрос, достойный
нашей статьи!
Аутентификация
и шифрование
Согласно стандарту IEEE 802.11, су-
ществует три базовых режима безо-
пасности, выбираемых беспроводным
устройством в зависимости от уровня
секретности:
КРИС КАСПЕРСКИ
! открытый режим (ни шифрование,
ни аутентификация не используют-
ся);
! защищенный режим без аутенти-
фикации, но с шифрованием тра-
фика;
! защищенный режим с аутентифика-
цией и шифрованием трафика.
Шифрование в обоих случаях осу-
ществляется по WEP-протоколу (Wired
Equivalent Privacy – эквивалент провод-
ной защищенности), опирающемуся на
потоковый криптоалгоритм RC4. Ис-
ходные данные (data) нарезаются на
фреймы (fames) с размером 1.518 бит
(впрочем, размер задан не жестко и в
зависимости от конфигурации обору-
дования он может существенно отли-
чаться). Для каждого фрейма опреде-
ляется и укладывается в пакет 32-бит-
ная контрольная сумма (ICV), вычисля-
емая по алгоритму CRC32. Эффектив-
ный ключ шифрования (PRNG – Pseu-
do-Random Number Generator – генера-
тор псевдослучайных чисел) генериру-
ется на основе двух ключей – 40-бит-
ного секретного ключа (secret key или
WEP key), назначаемого пользовате-
лем, и 24-битного вектора инициали-
зации (IV – Initialization Vector), генери-
руемого случайным образом для каж-
дого пакета. Все вместе это называет-

Рисунок 1. OSI-модель, подтверждающая родственные связи
между протоколами 802.3 (Ethernet) и 802.11 (WLAN)
ся 64-битным шифрованием и предста-
вит собой классический пример аме-
риканского маркетинга по одурачива-
нию доверчивых пользователей. В са-
мом деле, зачем потребителю знать,
что для взлома ключа злоумышленни-
ку достаточно подобрать всего лишь
40 бит из 64!
Вектора инициализации назнача-
ются самим WLAN-устройством и пе-
редаются в открытом виде. Зачем
они нужны? А затем, что используе-
мый криптоалгоритм легко вскрыва-
ется атакой по открытому тексту. Ес-
ли злоумышленнику известен хотя бы
один исходный байт в каждом фрей-
ме, ключ шифрования восстанавлива-
ется без труда, поскольку различные
части ключа многократно применяют-
ся к различным частям зашифрован-
ных фреймов. Чтобы этого избежать,
никакой ключ шифрования не дол-
жен использоваться дважды. Векто-
ра инициализации автоматически из-
меняются с каждым пакетом, что обе-
спечивает «прозрачную» смену клю-
ча, без ведома и участия пользовате-
ля (см. рис. 2).
Строго говоря, для шифрования ис-
пользуется не один секретный ключ, а
целых четыре, последовательно назна-
чаемых пользователем при конфигу-
рации беспроводного оборудования.
Рисунок 3. Четыре секретных WEP-ключа, выбираемых пользователем и автоматически
сменяющих друг друга по истечении некоторого промежутка времени
№6, июнь 2005
Рисунок 2. Расчет контрольной суммы и шифрование трафика
по протоколу WEP
Смена ключей происходит произволь-
ным образом (номер ключа передает-
ся вместе с зашифрованным пакетом),
но на безопасность передачи данных
это никак не влияет. Если хакер сможет
взломать один ключ, он сломает и четы-
ре (см. рис. 3).
Упрощенно процесс шифрования
потока данных выглядит так (расчет
контрольной суммы здесь не показан):
K=IV.WEPkey → KSA(K) → PRNG (K)XOR
data stream, где функции KSA(A) и
PRNG(К) выражаются следующим псев-
докодом (см. листинг 1, 2 и рис. 4).
Аутентификация осуществляется
по старой доброй схеме запрос/отклик
(challenge/response). Клиент (Client или
Station), желающий подключится к точ-
ке доступа (Access Point), посылает за-
прос на аутентификацию (Authentica-
tion Request). Точка доступа генерирует
128-байтовый псевдослучайный «ис-
пытательный текст» (Challenge Text) и
отправляет его клиенту. Получив «ис-
пытательный текст», клиент шифрует
его 64-битным ключом, полученным
безопасность
на основе секретного WEP-ключа и
произвольного вектора инициализа-
ции. Зашифрованный испытательный
текст (Encrypted Challenge Text) вместе
с вектором инициализации передается
на точку доступа, где происходит об-
ратный процесс: используя имеющий-
Листинг 1. Псевдокод функции KSA(A),
инициализирующей массив S,
используемый впоследствии
для генерации псевдослучайной
последовательности
// инициализация
for(i = 0; i < N; i++) S[i] = i;
j = 0;
// перемешивание байт, оно же
// скремблирование (scrambling)
for i = 0; i<N; i++
{
j = j + S[i] + K[i % length];
swap(S[i], S[j]);
}
Листинг 2. Псевдокод функции PRNG(K),
генерирующей псевдослучайную
последовательность, используемую
для шифрования потока данных
операцией XOR
// инициализация:
static int i = 0;
static int j = 0;
// цикл генерации:
i = i + 1;
j = j + S[i];
swap(S[i], S[j]);
return S[S[i] + S[j]];
Рисунок 4. Блок-схема алгоритма
шифрования WEP, используемого
для шифрования трафика
и аутентификаци
65
 безопасность
ся в ее распоряжении секретный WEP-
ключ и открытый вектор инициализа-
ции, точка доступа расшифровывает
пакет и сравнивает полученный текст
с оригинальным испытательным тек-
стом. Если они совпадают, аутентифи-
кация считается успешной и клиенту
отправляется подтверждение доступа
(Confirm Success) (см. рис. 5).
Независимо от выбранного режи-
ма секретности, точка доступа может
использовать привязку к MAC-адре-
сам и проверку SSID/ESSID ([Extend-
ed] Service Set IDentifiсation – иденти-
фикация [расширенного] комплекта
услуг, условно называемая «именем
сети»), отсекая всех непрошеных нару-
шителей еще на стадии подключения
(технология Access Control List – спи-
сок управления доступом). Для само-
успокоения такая мера, может быть, и
сгодится, но вот злоумышленников она
остановит навряд ли. И MAC, и SSID пе-
редаются по сети открытым текстом,
так что их перехват не представляет
никакой проблемы. Перепрограмми-
ровать MAC-адрес своей карты чуть
сложнее, но хакеры с этим легко справ-
ляются (даже если карта не позволя-
ет сделать этого программным обра-
зом – а подавляющее большинство
карт это позволяет – атакующий всег-
да может «перешить» ПЗУ). Что же ка-
сается SSID, то он и вовсе прописыва-
ется с пользовательского интерфейса,
поскольку используется исключитель-
но как «маркер», позволяющий бес-
проводному устройству отличить од-
ну сеть от другой. Борьба с хакерами
в его задачу не входит. Тем не менее
это еще не значит, что SSID можно не
заполнять (а большинство пользовате-
лей именно так и поступает)!
Рисунок 5. Схема аутентификации
клиента, используемая в протоколе WEP
66
Атака по открытому тексту
Если беспроводная сеть имеет выход
в Интернет и злоумышленнику изве-
стен электронный адрес хотя бы одно-
го из ее абонентов, он может послать
жертве письмо, выловить относящиеся
к нему зашифрованные пакеты и вос-
становить секретный ключ по извест-
ному содержимому. В этом ему неве-
роятно поможет тот факт, что трафик к
почтовому серверу генерируется пери-
одически (например, проверка почты
Ошибки разработчиков
WEP-протокола
Стандартный 64-битный ключ шиф-
рования легко взла мы ва ет ся лобо-
вым перебором. Учитывая, что фак-
тическая длина секретного ключа со-
ставляет всего лишь 40 бит, в сред-
нем нам достаточно перебрать 240 /2 =
549 755 813 888 комбинаций. При ско-
рости перебора в сотню миллионов
ключей в секунду (вполне умеренная
скорость для современных процессо-
ров) атака займет всего час – полтора.
Злоумышленнику достаточно перехва-
тить всего один зашифрованный па-
кет, а затем терзать его до тех пор, пока
контрольная сумма расшифрованного
пакета не совпадет с ICV. «Стучаться»
на точку доступа при этом совершен-
но необязательно! (С учетом существо-
вания четырех секретных ключей про-
должительность полного цикла пере-
бора несколько возрастает, однако не
столь радикально).
Для предотвращения лобовой ата-
ки производители беспроводного обо-
рудования увеличили длину секретной
части ключа до 104 бит, попутно поро-
див проблему обратной совместимос-
ти. Добавьте сюда 24 бита вектора ини-
циализации и вы получите так называ-
емое 128-битное шифрование. Подо-
брать 104-битный ключ вслепую уже
нереально (при прежней скорости пе-
ребора в среднем на это уйдет 281 70
013 338 405 097 811 часов или 3 215 754
947 306 518 веков, что значительно пре-
вышает не только оставшееся время
существования Солнца, но и возраст
Вселенной), однако хакерам удалось
найти более короткий путь, сократив
время взлома в миллиарды раз.
В августе 2001 года три криптоана-
литика: Scott Fluhrer, Itsik Mantin и Adi
Shamir опубликовали свою подрывную
осуществляется каждые 5 минут), поэ-
тому его очень легко отличить ото всех
остальных. Главное, чтобы жертва со-
гласилась принять письмо, а не удали-
ла его на сервере как спам.
Существуют и другие эффектив-
ные атаки против WLAN, описание ко-
торых можно найти, например, в ста-
тье «What’s Wrong With WEP?» (http://
www.ilabs.interop.net/WLANSec/What_
is_wrong_with_WEP-lv03.pdf).
статью «Weaknesses in the Key Sched-
uling Algorithm of RC4» («Слабые ме-
ста алгоритма распределения клю-
чей RC4»), мгновенно сделавшую их
знаменитыми. Впоследствии все ата-
ки этого типа стали обозначаться аб-
бревиатурой FMS – по первым буквам
первооткрывателей: Fluhrer-Mantin-
Shamir. Они обнаружили существова-
ние крупных классов слабых («weak»)
ключей, в которых крошечная часть
битов ключа оказывает значитель-
ное влияние на зашифрованные дан-
ные. Поскольку в формировании эф-
фективного ключа участвует вектор
инициализации, генерируемый произ-
вольным образом, в общий шифропо-
ток неизбежно попадает некоторое ко-
личество слабых ключей. Собрав дос-
таточный объем трафика, злоумыш-
ленник отбирает па ке ты, зашифро-
ванные слабыми ключами (такие па-
кеты называются «слабыми» или «ин-
тересными» – interesting). Каждый сла-
бый пакет с 5% степенью вероятности
восстанавливает один байт секретно-
го ключа, поэтому общее количество
пакетов, которые атакующему необ-
ходимо собрать для реализации ата-
ки, в первую очередь зависит от сте-
пени его везучести. В среднем для
взлома требуется порядка 6 миллио-
нов зашифрованных пакетов. В зави-
симости от интенсивности трафика и
пропускной способности канала, на
это уходит от нескольких часов до не-
скольких дней, хотя в некоторых слу-
чаях атака заканчивается уже через
несколько минут. И это при 104-бит-
ном ключе! Так работает AirSnort и
многие другие хакерские утилиты, ко-
торые любой злоумышленник может
свободно скачать из сети.
Если обмен данными между ле-
гальными клиентами и точкой досту-
 безопасность
па незначителен или практиче- ства зашифрованных пакетов,
ски отсутствует, злоумышленник так что для восстановления клю-
может заставить жертву генери- ча атакующему потребуется со-
ровать большое количество тра- всем немного времени. Данный
фика, даже не зная секретного алгоритм реализован в chopper,
ключа. Достаточно просто пере- aircrack, WepLab и других хакер-
хватить «правильный» пакет и, не ских утилитах, недостатка в кото-
расшифровывая, ретранслиро- рых испытывать не приходится.
вать его вновь. В частности, ARP- В новом оборудовании, по-
запрос вызовет неизбежный ARP- строенном по технологии WPA –
ответ. Отличить APR-запросы от Wi-Fi Protected Access (защищен-
всех остальных пакетов очень ный Wi-Fi доступ), защищенность
просто: frame.pkt_len == 68 (раз- беспроводных устройств вновь
мер кадра) и wlan.da == FF:FF: была усилена. На место WEP при-
FF:FF:FF:FF (адрес назначения). шел TKIP (Temporal Key Integrity
Обычно для передачи запросов Protocol – протокол краткосроч-
используется отдельная WLAN- ной целостности ключей), гене-
Рисунок 6. Внешний вид утилиты dwepcrack,
карта (при этом расстояние меж- реализующей усиленную разновидность FMS-атаки рирующий динамические клю-
ду антеннами приемной и переда- на WEP-ключи чи, сменяющие друг друга через
ющей карт должно составлять по мень- рам пришлось искать новые пути для пару минут. Для совместимости с су-
шей мере 15 см, чтобы избежать вза- атаки. И они были найдены! ществующим оборудованием TKIP ис-
имных наводок), хотя некоторые кар- В августе 2004 года хакер по име- пользует тот же самый потоковый ал-
ты ухитряются перехватывать трафик и ни KoreK про де мон ст ри ро вал исхо- горитм шифрования, что и WEP – RC4,
одновременно с этим бомбардировать дный код нового криптоанализатора, но в каждый зашифрованный пакет те-
жертву пакетами. взламывающего даже «сильные» век- перь укладывается специальный вось-
Хакеры из лаборатории H1kari of торы инициализации. Для восстанов- мибайтный код целостности сообще-
Dasb0den Labs усилили FMS-алгоритм, ления 40-битного ключа ему требова- ния, рассчитанный по алгоритму Mi-
сократив количество необходимых па- лось всего 200 тысяч пакетов с уни- chael, предотвращающий ретрансля-
кетов с 6 миллионов до 500 тысяч, а в кальными векторами инициализации, цию подложных пакетов. Процедура
некоторых случаях 40/104 битный ключ а для 104-битного – 500 тысяч. Количе- аутентификации осуществляется по
взламывается всего с 3 тысячами па- ство пакетов с уникальными вектора- протоколу EAP (Extensible Authentica-
кетов, что позволяет атаковать даже ми инициализации в среднем состав- tion Protocol – расширенный протокол
домашние точки доступа, не напрягая ляет порядка 95% от общего количе- аутентификации), использующему ли-
их избыточным трафиком. Усиленный
алгоритм атаки реализован в утилите
dwepcrack, входящей в состав пакета
BSD-airtools, а также в другом хакер-
ском инструментарии (рис. 6).
Разработчики оборудования отре-
агировали вполне адекватным обра-
зом, изменив алгоритм генерации век-
торов инициализации так, чтобы сла-
бые ключи уже не возникали. Теперь
даже dwepcrack требовалось перехва-
тить свыше 10 миллионов пакетов, но
даже в этом случае успешная расшиф-
ровка ключа не гарантирована! Устрой-
ства, выпущенные после 2002-2003 гг.,
скорее всего уже защищены от FMS-
атаки, а более древние модели решают
эту проблему путем обновления про-
шивки (правда, не все производители
выпустили такое обновление). Впро-
чем, даже сегодня, в середине 2005
года, в эксплуатации находится мно-
жество уязвимых устройств, особен-
но на периферии, куда уходят все не-
реализованные складские запасы. Тем
Рисунок 7. Схема аутентификации, осуществляемой по WPA-протоколу с выделенным
не менее, ситуация такова, что хаке- Radius-сервером

№6, июнь 2005 67

 безопасность
бо RADIUS-сервер (Remote Authentica-
tion Dial-In User Service – служба дис-
танционной аутентификации пользо-
ва те лей по коммутируемым лини-
ям), либо предустановленный общий
ключ PSK (pre-shared key). В процес-
се аутентификации сервер генериру-
ет парный мастер ключ (PMK – Pair-
wise Master Key) и передает его Кли-
енту. Несмотря на относительную но-
визну этой технологии, в комплект air-
ckack уже входит специальный модуль
WZCOOK, отображающий PMK-ключ.
Для несанкционированного подключе-
ния к точке доступа, защищенной тех-
нологией WPA, этого оказалось впол-
не достаточно. Впрочем, атакующий
модуль все еще недостаточно отла-
жен и потому в некоторых случаях он
не срабатывает (см. рис. 7).
Стандарт IEEE 802.11i описывает
более продвинутую систему безопас-
ности, основанную на криптоалгорит-
ме AES и известную под именем WPA2.
Готовых утилит для ее взлома в откры-
том виде пока не наблюдается, так что
с этой технологией можно чувство-
вать себя в безопасности, по крайней
мере, какое-то время она продержит-
ся. Обладателям устаревшего обору-
дования настоятельно рекомендуется
пробить VPN-тоннели, задействовать
SSL-шифрование или подключить лю-
бые другие способы защиты, изначаль-
но ориентированные на небезопасные
каналы передачи данных.
Существует только один способ про-
верить, насколько безопасно приобрета-
емое вами беспроводное устройство –
это атаковать его! Каждый уважающий
себя администратор должен отчетливо
представлять, какой инструментарий
находится на службе у хакеров, знать
его сильные и слабые места. Бояться
хакерских утилит не нужно! Ни один
закон не запрещает «взламывать»
свою собственность, принадлежащую
вам по праву, поэтому никаких юриди-
ческих проблем здесь не возникает,
а под категорию «вредоносных» про-
грамм обсуждаемые утилиты не попа-
дают. Как показывает практика, боль-
ше всех волнуется тот, кто не контро-
лирует ситуацию, образно говоря, на-
ходясь в темноте с завязанными гла-
зами. Когда-то боялись привидений,
сейчас боятся хакеров, вирусов и чер-
вей. А все почему? Потому что не зна-
ют, как построить надежную защитную
68
систему, как из всех WLAN-карт, раз-
бросанных по витрине, выбрать ту, ко-
торая будет неподвластна взлому. Про-
изводители оборудования, как уже бы-
ло показано выше, постоянно лукавят.
Верить им нельзя, и приходится рассчи-
тывать только на самих себя.
От антенны до программы
Радиус действия большинства беспро-
водных устройств ограничен дистанци-
ей в 10-100 метров (точная цифра зави-
сит от класса и конструктивных особен-
ностей конкретного оборудования), по-
этому атакующий должен находиться в
непосредственной близости от жертвы.
Одни хакеры вооружаются карманными
компьютерами (они же «наладонники»
или Pocket PC), другие предпочитают
десктоп с WLAN-картой, подключенной
к внешней антенне. Добротная антенна
направленного типа, снабженная уси-
лителем мощности, уверенно держит
связь на расстояниях до 1,5-2 км, а в не-
которых случаях и больше того, так что
простой бдительности для его обнару-
жения уже будет недостаточно!
При выборе WLAN-карты атакую-
щий должен убедиться, что выбран-
ные хакерские утилиты (и в первую
очередь сниффер) умеют работать с
данным чипсетом. Список поддержи-
ваемого оборудования обычно публи-
куется на сайтах разработчиков соот-
ветствующих программ или содержит-
ся в документации. Наибольшей лю-
бовью пользуется чипсет Prism/Prism2
и беспроводные карты на его основе
(например Senao 2511-CD-PLUS). Он
Рисунок 8. Оружие наладонников — снифферы pocketWiNc (слева)
и Mobile Sniffer (справа)
отлично документирован, причем до-
кументация распространяется не по
подписке, а бесплатно раздается всем
желающим!
Из программного обеспечения нам
понадобится сетевой сканнер, сниф-
фер и взломщик паролей. Их можно
найти практически на любой платфор-
ме. На Pocket PC обычно используется
связка MiniStumbler/Sniffer Portable/Air-
scanner Mobile. MiniStumbler обнаружи-
вает присутствие сети в данной точке,
измеряет интенсивность сигнала, ото-
бражает SSID/MAC-адреса и опреде-
ляет, задействовано WEP-шифрова-
ние или нет. Sniffer Portable и Airscanner
Mobile захватывают все пролетающие
мимо пакеты и записывают их в файл,
который затем переносится на ноутбук
или настольный ПК и пропускается че-
рез взломщик паролей (процессорных
ресурсов карманного компьютера для
взлома паролей за разумное время по-
ка что недостаточно) (см. рис. 8).
Основной сниффер под LINUX и
BSD это, конечно же, Kismet, изначаль-
но ориентированный на исследователь-
ские цели. Он поддерживает большое
количество оборудования и беспровод-
ных протоколов, удобен в использова-
нии и к тому же абсолютно бесплатен.
Перехватывает сетевой трафик, по-
казывает SSID и MAC-адреса, подсчи-
тывает количество пакетов со слабы-
ми векторами инициализации и т. д.
Из взломщиков паролей в последнее
время реально работают только aircr-
ack и WepLap, причем первый работа-
ет значительно лучше.

Под Windows перехват беспро-
водного трафика реализуется гораз-
до сложнее и кроме сниффера нам по-
тре бу ют ся модифицированные вер-
сии драйверов для WLAN-карты. Из
коммерческих снифферов можно по-
рекомендовать Airopeek, из некоммер-
ческих – утилиту airdump, входящую в
состав aircrack и портированную под
Windows. Еще мож но ис поль зо вать
Sniffer Pro или любой другой подходя-
щий сниффер.
На Mac весь хакерский инстру-
ментарий собран в одном флаконе –
утилите по имени KisMAC, которая на-
столько проста, что ей сможет поль-
зоваться даже ребенок. Здесь есть и
сетевой сканер, и сниффер, и пароль-
ный переборщик (brute force), и крип-
тоанализатор слабых векторов ини-
циализации. Предусмотрена даже та-
кая мелочь, как планировщик, позво-
ляющий осуществлять атаки по рас-
писанию.
Литература:
1. Andrew A. Vladimirov, Konstantin V.
Gavrilenko, Andrei A. Mikhailovsky.
Wi-Foo. – Addison Wesley, ISBN :
0-321-20217-1, 592 с. – лучшая кни-
га по взлому беспроводных сетей
с большим количеством практиче-
ских примеров, ориентированная
на хакеров и криптоаналитиков.
2. Jon Edney, William A. Arbaugh. Real
802.11 Security: Wi-Fi Protected Ac-
cess and 802.11i. – Addison Wesley,
ISBN : 0-321-13620-9, 480 с. – непло-
хая книга по безопасности беспро-
водных сетей, ориентированная на
теоретиков и системных админист-
раторов.
3. Bob Fleck, Bruce Potter. 802.11 Secu-
rity. – O’Reilly, ISBN: 0-596-00290-4,
208 с. – сильно теоретизированная,
но в целом весьма не плохая книга
по атакам на WLAN.
4. Weaknesses in the Key Scheduling Al-
gorithm of RC4: библия всех иссле-
дователей WEP-ключей, написан-
ная тройкой магов Scott Fluhrer, It-
sik Mantin и Adi Shamir (на англ.):
http://www.smallnetbuilder.com /
Weblink-req=visit-lid=66.php.
5. Practical Exploitation of RC4 Weak-
nesses in WEP Environments by Dav-
id Hulton: статья, описывающая уси-
ленный вариант FMS-атаки на WEP
с примерами исходного кода (на
№6, июнь 2005
В общем, на недостаток хакерско-
го инструментария жаловаться не при-
ходится, в глазах так и рябит от разно-
образия.
Загрузочный лазерный диск Audit-
or Security Collection уже содержит весь
необходимый инструментарий и моди-
фицированные драйвера, поддержи-
вающие большое количество разно-
образных беспроводных устройств.
518-мегабай т ный ISO-образ можно
бесплатно скачать с веб-сайта компа-
нии Moser Informatik, расположенного
по адресу: http://www.moser-informatik.
ch, очень удобная штука для тестов на
проникновение.
Заключение
Так все-таки безопасны беспроводные
сети или нет? Устройства, поддержи-
вающие стандарт IEEE 802.11i (WPA2),
еще никому взломать не удалось и, су-
дя по всему, в обозримом будущем и не
удастся. Все остальное оборудование
ан г л.): http://www.dachb0den.com/
projects/bsd-airtools/wepexp.txt.
6. Wireless Security Auditor (WSA): ста-
тья из исследовательского центра
IBM, описывающая проблемы безо-
пасности беспроводных протоколов
(на англ.): http://www.research.ibm.
com/gsal/wsa.
7. Атаки на WEP: практическое посо-
бие атакующего, сравнение различ-
ных хакерских утилит, советы по
их настройке (на рус.): http://www.
securitylab.ru/53508.html и http://
www.securitylab.ru/54769.html.
8. Dispelling the Myth of Wireless Se-
curity: слегка ус та рев шая статья
о способах взлома беспроводных
сетей, но комментарии к ней впол-
не актуальны (на англ.): http://www.
oreillynet.com/pub/a/wireless/excerpt/
wirlsshacks_chap1/index.html.
9. NetStumbler-форум: форум, на ко-
тором общаются WLAN-хакеры (на
англ.): http://www.netstumbler.org.
Ссылки
на инструментарий:
1. NetStumbler: монитор беспроводной
сети, работающий под Windows 20-
00/XP, версия для Windows CE назы-
вается MiniStumbler и работает на
Pocket PC: http://www.netstumbler.
com/downloads.
2. Airscanner Mobile: бесплатный
безопасность
(WEP и WPA1) вскрывается без труда.
Ни частая смена секретных ключей, ни
SSID, ни привязка к MAC-адресам, ни
даже так называемое 128-битное шиф-
рование от настоящих хакеров не спа-
сает и годится разве что на роль пу-
гала, отпугивающего новичков и про-
сто любопытствующих пользователей,
впервые взявших сниффер в руки.
Что же касается WPA1, то по этому
поводу существуют различные мнения.
Начнем с того, что схема аутентифика-
ции непосредственно в сам протокол
WPA1 не входит и осуществляется сто-
ронними средствами. Это может быть
и EAP-MD5, и EAP-TLS и MS-CHAP…
То есть сама по себе поддержка WPA1
ничего не решает! Безопасность обе-
спечивается лишь правильной настой-
кой оборудования, а это требует соот-
ветствующей квалификации обслужи-
вающего персонала! Поэтому, если вы
не уверены в себе, от использования
WPA1 лучше воздержаться.
сниф фер для Pocket PC: http://
www.snapfiles.com/get/pocketpc/
airscanner.html.
3. PocketWarrior: бесплатный сниф-
фер под Windows CE и Pocket PC:
http://pocketwarrior.sourceforge.net.
4. kismet: сниффер номер один под
Linux, BSD и MacOS, ориентирован-
ный на хакерскую деятельностью и
распространяющийся в исходных
текстах, версия под Windows обла-
да ет ог ра ни чен ны ми воз мож но с-
тя ми и потому не ре ко мен ду ет ся:
http://www.kismetwireless.net.
5. Airopeek: достойный сниффер под
Windows: http://www.wildpackets.
com/products/airopeek.
6. Sniffer Portable: http://www.snmp.
co.uk/nai/amnesty.htm.
7. aircrack: лучший взломщик WEP и
WPA-паролей на сегодняшний день,
распространяющийся на некоммер-
ческой основе; в комплект постав-
ки входит сниффер, работающий на
Linux и Windows 2000/XP: http://www.
cr0.net:8040/code/network/aircrack.
8. AirSnort: устаревший взломщик
WEP-паролей: http://airsnort.shmoo.
com.
9. kisMAC: утилита для атаки на беспро-
водные сети под MAC OS: сниффер
и взломщик паролей в одном флако-
не: http://binaervarianz.de/projekte/pro-
grammieren/kismac/download.php.
69
безопасность

КАК ЗАЩИТИТЬСЯ ОТ FINGERPRINTING?

Чаще всего хакерская атака начинается с fingerprinting –

сбора информации о точной версии операционной системы
и публичных сервисов. Приняв меры для противодействия
удалённому снятию отпечатков системы, вы сможете
остановить большинство атак на свою систему на самом
ранем этапе.

СЕРГЕЙ БОРИСОВ
70

Ч
тобы определить версии операционной системы или
прикладных сервисов, последователи Кевина Митни-
ка предпочли бы позвонить системному администра-
тору и выяснить все подробности по телефону. Остальные
же будут проводить исследование особенностей реализа-
ции стека TCP/IP и других протоколов в удаленной опера-
ционной системе.
Кроме того, fingerprinting используется при сборе ка-
кой- либо статистической информации. В системах обна-
ружения атак он позволяет определить ОС атакующего
или даже однозначно выделить его из общей массы (так
же, как отпечатки пальцев позволяют идентифицировать
преступника).
От чего защищаться?
Посмотрим, что выдает версию операционной системы и
публичных сервисов, и узнаем, от чего нам защищаться.
В fingerprinting используются следующие методы:
! Сбор баннеров и ручной анализ системы.
! Активное исследование реализации протоколов.
! Пассивное исследование реализации протоколов.
! Исследование некоторых технических характеристик си-
стемы.
Сбор баннеров
Это один из классических методов fingerprinting. Он заклю-
чается в опросе открытых в системе сервисов и анализа
возвращаемых ими стандартных приглашений (баннеров).
Помимо этого сервисы иногда предоставляют дополнитель-
ную возможность для определения версии ОС.
Так, например, ftp-сервис может позволить выполне-
ние команды SYST, которая выдает версию операцион-
ной системы. Заголовок веб-сервера можно получить ко-
мандой:
# echo 'GET / HTTP/1.0\n' | nc securitylab.ru 80 | ↵
grep '^Server:'
Server: Apache/2.0.52 (Unix)
Активное исследование реализаций протоколов
Это контрольный набор тестов, проводимых над удаленной
системой. Нас будут интересовать в первую очередь те про-
токолы, реализация которых имеет свои особенности у каж-
Таблица 1. Результаты исследования стека TCP/IP Windows, Linux и FreeBSD
№6, июнь 2005
безопасность
дого производителя. К ним можно отнести протоколы стека
TCP/IP, SNMP, HTTP, Telnet, FTP. Таким образом, достаточ-
но подобрать хороший набор тестов, в которых различные
системы ведут себя по-разному.
Fingerprinting стека протоколов TCP/IP-серверов
Сетевой стек в разных операционных системах различает-
ся по нескольким параметрам, и для каждого из них есть
технология получения отличий.
Часть возможных исследований, в результатах которых
есть различия, приведена в таблице 1. Этого вполне доста-
точно, чтобы легко распознать эти системы. Кроме этого
можно проводить исследования:
! значения поля ACK в TCP-заголовке в ответах на не-
стандартные запросы;
! закона изменения ISN сервера;
! флага DontFragment в IP-заголовке;
! ICMP-заголовка эхо-ответа;
! время отсылки повторных пакетов в реализации TCP;
! модели протокола TCP (TCP-reno, TCP-Vegas, TCP-Ta-
hoe, TCP-newreno, TCP-SACK), которые по-разному ре-
агируют на ухудшение пропускной способности кана-
ла, появление частых ошибок и пропадание связи.
Fingerprinting публичных сервисов
Большинство публичных сервисов или служб используют
достаточно сложные протоколы, которые подвержены сня-
тию отпечатков (SMTP, IMAP, Telnet, FTP, HTTP, LPD, IKE,
SNMP). От прав ка большого количества нестандартных
или неправильных команд позволяет определить как вер-
сию публичного сервиса на сервере, так и операционную
систему. Подробности об активном fingerprinting вы може-
те найти в [1, 2].
Пассивное исследование реализаций протоколов
Это анализ проходящего через систему сетевого трафика с
выделением некоторых ключевых параметров. Этот метод,
как и предыдущий, основывается на особенностях реализа-
ции протоколов в различных системах. Только вот зачастую
приходится довольствоваться меньшей точностью.
Идея пассивного fingerprinting заключается в анализе
информации, доступной без непосредственного воздей-
ствия на исследуемую систему. Чаще всего он применяет-
71
 безопасность
ся во внутренней сети организации, когда мы имеем непос-
редственный доступ к нормальному рабочему трафику. Это
одно из первых действий при моделировании внутреннего
нарушителя для обнаружения слабостей политики безопас-
ности внутренней сети. Примеры пассивного fingerprinting
можно посмотреть по ссылкам [3, 4, 5].
Исследование технических характеристик
системы
Это анализ таких отличительных характеристик, как вре-
мя работы сервера с момента последней перезагрузки, от-
клонение таймера системных часов, серийные номера фи-
зических частей сервера (например, MAC-адрес сервера в
том же сегменте сети). Подробнее об этом: http://www.caida.
org/outreach/papers/2005/fingerprinting.
Возможность исследования технических характеристик
системы может быть полезна в первую очередь как косвен-
ная улика при инцидентах безопасности.
Итак, мы разобрали, почему возможен fingerprinting опе-
рационной системы и публичных сервисов, теперь рассмот-
рим, как с ним бороться.
Способы защиты от fingerprinting
В идеале необходимо внедрять защиту от fingerprinting как
комплексную меру как на уровне сети, операционных сис-
тем и приложений, а также и на уровне процедур безопас-
ности. Тем не менее защита даже на одном уровне (напри-
мер, настройка межсетевого экрана) принесет свои плоды
и не позволит определить версию ОС или публичного сер-
виса первой попавшейся утилитой.
Внедрение в концепцию безопасности
на верхнем уровне
В политике безопасности необходимо обозначить отноше-
ние организации к тайне программного обеспечения. Ин-
формацию о версии операционной системы, версии пуб-
личного сервиса или другого установленного на сервере
программного обеспечения необходимо отнести к катего-
рии коммерческой или конфиденциальной. Необходимо из-
ложить требования к организации процесса защиты от се-
тевой разведки, в каких процедурах описан этот процесс
и кто ответственен за реализацию процедур, какая предус-
мотрена отчетность.
Внедрение в процедуры и инструкции
на нижнем уровне
Необходимо ввести специальную процедуру, например, за-
щиты от сетевой разведки. В ней указываются:
! цели, которые преследует организация, внедряя
этот документ, – например, недопущение утечки ин-
формации ограниченного распространения;
! условия, которые необходимы для выполнения це-
лей, – например, наличие демилитаризованной зоны,
фильтрация трафика, защита от НСД к архиву эталон-
ного программного обеспечения;
! различные профили защиты – например, публичный
сервис, локальный сервис, критический сервис;
! разделение обязанностей сотрудников – например,
администратор сети отвечает за реализацию процеду-
72
ры на уровне компьютерной сети, администратор сер-
веров – за реализацию процедуры на уровне систе-
мы, администратор информационной безопасности –
за контроль и оценку достаточности выполненных ме-
роприятий;
! порядок проверки эффективности и процедуры – на-
пример, тестирование с использованием методов, опи-
санных в статье, как извне, так и внутри организации,
и порядок пересмотра процедуры;
! ответственность сотрудников – например, хранителя
архивов эталонного программного обеспечения, за не-
разглашение информации, администраторов – за сво-
евременность мероприятий.
Помимо этого в инструкции по организации безопаснос-
ти серверов и компьютерной сети необходимо внести соот-
ветствующие пункты о защите от сетевой разведки.
Практическая реализация на уровне сети
Грамотная топология сети – это самая эффективная контр-
мера удаленному исследованию систем.
Первая возможная мера – фильтрация трафика с исполь-
зованием межсетевого экрана. Лучше всего оставить откры-
тым доступ только к одному порту публичного сервиса, филь-
тровать нестандартные сетевые запросы, ICMP-трафик. Ис-
пользуя межсетевой экран, можно подменять часть трафи-
ка на уровне приложений. Возможна замена приветствен-
ных баннеров и ответов при ошибке на универсальные и от-
ражающие корпоративную политику в целом. Это будет аль-
тернативой изменению настроек на каждом сервере.
Выделение демилитаризованной зоны, четкое разделе-
ние внутренних и внешних сервисов – эти механизмы по-
мимо своих основных задач увеличивают защищенность
от fingerprinting.
Размещение двух публичных сервисов на одном сер-
вере приводит к резкому повышению вероятности опреде-
ления версии системы. Если по каким-то причинам невоз-
можно от этого отказаться, тогда можно разместить сер-
висы в различных виртуальных машинах (jail) или с по-
мощью настройки NAT межсетевого экрана связать один
внутренний IP-адрес c несколькими внешними IP-адреса-
ми, по одному на каждый сервис. Тогда внешнему иссле-
дователю будет казаться, что приложения запущены на
разных серверах.
Сегментация трафика, активный поиск слушающих ус-
тройств, рассылка ложных пакетов (с поддельными заго-
ловками) в локальной сети уменьшают опасность пассив-
ного fingerprinting.
Приведу несколько примеров части конфигурации раз-
личных межсетевых экранов, которая поможет реализовать
защиту от fingerprinting.
Пример 1. Конфигурация межсетевого экрана
IPFW (для ОС семейства *BSD)
# Отбрасываем пакеты с нестандартными IP-опциями
/sbin/ipfw add deny log all from any to 195.195.195.1 ↵
in via xl0 ipoptions ssrr
/sbin/ipfw add deny log all from any to 195.195.195.1 ↵
in via xl0 ipoptions lsrr
/sbin/ipfw add deny log all from any to 195.195.195.1 ↵

in via xl0 ipoptions rr
# Запрещаем пакеты с Timestampf
#/sbin/ipfw add deny log all from any to 195.195.195.1 ↵
in via xl0 ipoptions ts
# Запрещаем пакеты с некорректными TCP-флагами.
# NULL-пакеты – второй тест nmap
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags !syn,!ack,!rst
# XMAS-пакеты – третий тест nmap
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags syn,Þn,urg,psh,!ack
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags syn,Þn,!ack,
# Седьмой тест nmap
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags Þn,urg,psh,!ack
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags Þn,!ack
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags urg,!ack
/sbin/ipfw add deny log tcp from any to 195.195.195.1
in via xl0 tcpßags psh,!ack
# Разрешаем ICMP-пакеты, только echo и echo _ replay
/sbin/ipfw add allow icmp from any to 195.195.195.1 ↵
icmptypes 8 via xl0
/sbin/ipfw add allow icmp from any to 195.195.195.1 ↵
icmptypes 0 via xl0
/sbin/ipfw add deny log icmp from any to any via xl0
# Можно различным образом блокировать закрытые порты
# При запросе на закрытый порт можно просто отбрасывать
# пакеты
/sbin/ipfw add deny tcp from any to 195.195.195.195 ↵
136-139 in via rl0
# Можно отправлять в ответ tcp rst или icmp host unreachable
# на запросы к закрытым TCP- и UDP-портам, но такие ответы
# убыстряют сканирование и демаскируют межсетевой экран
/sbin/ipfw add reject udp from any to any in via rl0
/sbin/ipfw add reset tcp from 195.195.195.195 ↵
to any 136-139 in via rl0
# Разрешаем только корректные пакеты на порты публичных
# сервисов
/sbin/ipfw add pass tcp from any to 195.195.195.1 25 ↵
in via xl0 tcpßags syn,!ack,!psh,!Þn,!urg,!rst
/sbin/ipfw add pass tcp from any to 195.195.195.1 25 ↵
in via xl0 tcpßags ack,!syn,!psh,!Þn,!urg,!rst
/sbin/ipfw add pass tcp from any to 195.195.195.1 25 ↵
in via xl0 tcpßags ack,psh,!syn,!Þn,!urg,!rst
/sbin/ipfw add pass tcp from any to 195.195.195.1 25 ↵
in via xl0 tcpßags ack,Þn,!syn,!psh,!urg,!rst
безопасность
pass out quick on xl0 proto icmp ↵
from 195.195.195.1 to any icmp-type echorep
pass out quick on xl0 proto icmp ↵
from 195.195.195.1 to any icmp-type echo
block in log level local3.info quick on xl0 proto icmp ↵
from any to any
block out log level local3.info quick on xl0 proto icmp ↵
↵ from any to any
# Реакция на закрытые порты
↵ block in log level local3.info quick on xl0 proto tcp ↵
from any to 195.195.195.1 port = 136 >< 140
↵ block in log level local3.info quick on xl0 proto udp ↵
from any to 195.195.195.1
↵ # Разрешаем только правильные tcp-запросы к публичному
# сервису
↵ pass in quick on xl0 proto tcp ↵
from any to 195.195.195.1 port = 25 ßags S/S
↵ pass in quick on xl0 proto tcp ↵
from any to 195.195.195.1 port = 25 ßags A/A
↵ pass in quick on xl0 proto tcp ↵
from any to 195.195.195.1 port = 25 ßags AP/AP
pass in quick on xl0 proto tcp ↵
from any to 195.195.195.1 port = 25 ßags AF/AF
Пример 3. Конфигурация межсетевого экрана
PF-FILTER (для ОС семейства *BSD)
# Нормализация трафика автоматически отфильтрует
# нестандартные пакеты атакующего, изменит TTL
scrub in on xl0 all fragment reassemble min-ttl 20 max-mss 1440
scrub on xl0 all reassemble tcp
# можно манипулировать IP-опциями, например, сбрасывать
# флаг DF в 0
scrub out on xl0 all no-df
# Фильтрация TCP-флагов
block in quick proto tcp from any to 195.195.195.1 ↵
ßags SF/SFRA
block in quick proto tcp from any to 195.195.195.1 ↵
ßags SFUP/SFRAU
block in quick proto tcp from any to 195.195.195.1 ↵
ßags FPU/SFRAUP
block in quick proto tcp from any to 195.195.195.1 ↵
ßags F/SFRA
block in quick proto tcp from any to 195.195.195.1 ↵
ßags U/SFRAU
block in quick proto tcp from any to 195.195.195.1 ↵
ßags P/P

# Разрешаем ICMP только echo request и echo reply

Пример 2. Конфигурация межсетевого экрана
IP-Filter (для ОС семейства *NIX)
Редактируем файл ipf.rules:
# IP options
block in log level local3.info quick on xl0 ↵
from any to 195.195.195.1 with opt ssrr
block in log level local3.info quick on xl0 ↵
from any to 195.195.195.1 with opt lsrr
block in log level local3.info quick on xl0 ↵
from any to 195.195.195.1 with opt rr
# TCP ßags
block in log level local3.info quick proto tcp
from any to 195.195.195.1 ßags SF/SF
block in log level local3.info quick proto tcp
from any to 195.195.195.1 ßags SFUP/SFUP
block in log level local3.info quick proto tcp
from any to 195.195.195.1 ßags FPU/FPU
block in log level local3.info quick proto tcp
from any to 195.195.195.1 ßags F/F
block in log level local3.info quick proto tcp
from any to 195.195.195.1 ßags U/U
block in log level local3.info quick proto tcp
from any to 195.195.195.1 ßags P/P
# Разрешенные icmp types
pass in quick on xl0 proto icmp ↵
from any to 195.195.195.1 icmp-type echo
pass in quick on xl0 proto icmp ↵
from any to 195.195.195.1 icmp-type echorep
pass in quick on xl0 proto icmp ↵
from any to 195.195.195.1 icmp-type echoreq
pass in quick on xl0 proto icmp ↵
from any to 195.195.195.1 icmp-type echorep
pass out quick on xl0 proto icmp ↵
from 195.195.195.1 to any icmp-type echoreq
pass out quick on xl0 proto icmp ↵
from 195.195.195.1 to any icmp-type echorep
block in log-all quick on xl0 proto icmp from any to any
block out log-all quick on xl0 proto icmp from any to any
# Блокируем закрытые порты
block in log-all quick on xl0 proto tcp ↵
from any to 195.195.195.1 port 136 >< 140
block in log quick on xl0 proto udp from any to 195.195.195.1
↵
# Фильтруем входящие пакеты на публичный сервис
↵ pass in quick on xl0 proto tcp from any to 195.195.195.1 ↵
port = 25 ßags S/SA synproxy state
↵
↵
↵ Пример 4. Конфигурация межсетевого экрана
PIX Firewall
↵
В межсетевом экране PIX Firewall реализован механизм
ASA, который отбрасывает не SYN-пакеты, которые не яв-
ляются частью установленного соединения (2, 4, 6, 7 тесты
NMAP), так что большая часть работы по защите от finger-
printing выполняется по умолчанию.

№6, июнь 2005 73

 безопасность
# Разрешаем исходящие ping
access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 ↵
echo-reply
# Разрешаем входящие ping
access-list 101 permit icmp any host 209.165.200.246 echo
# Включаем анализатор протоколов приложений. Какие точно
# правила фильтрации использует PIX, не ясно. Но тот факт,
# что реально клиент устанавливает соединение не с сервером
# приложений, а с PIX затрудняет Þngerprinting
fuxup protocol ftp 21
Þxup protocol smtp 25
# Для фильтрации нестандартных или неправильных
# TCP/IP-пакетов PIX использует встроенную IDS
# с фиксированным набором сигнатур
ip audit name Þngeraudit atack action alarm drop
ip audit name Þngeraudit info action alarm drop
# Выберем только те сигнатуры, которые имеют отношение
# к Þngerprinting
# Нужные нам сигнатуры:
# ID Название Тип
400000 1000 IP options-Bad option list Informational
400002 1002 IP options-Timestamp Informational
400007 1100 IP Fragment Attack Attack
400008 1101 IP Unknown IP Protocol Attack
1102 Impossible IP Packet Attack
400009 1103 IP Fragments Overlap Attack
400023 2150 Fragmented ICMP TrafÞc Attack
400026 3040 TCP NULL ßags Attack
400027 3041 TCP SYN+FIN ßags Attack
400028 3042 TCP FIN only ßags Attack
# Остальные сигнатуры можно исключить из политики
no ip audit name Þngeraudit signature sigN
ip audit interface outside Þngeraudit
Остальные межсетевые экраны можно сконфигуриро-
вать соответствующим образом.
Практическая реализация на уровне системы
В зависимости от выбранной стратегии, возможно скрыть
часть параметров системы, усложнив тем самым вероят-
ность обнаружения версии системы, или изменить некото-
рые параметры системы так, чтобы ввести атакующего в
заблуждение. В различных публичных сервисах необходи-
мо изменить их демаскирующие признаки.
Изменение параметров стека TCP/IP
операционных систем
Так, в Windows мы можем менять следующие параметры
стека TCP/IP в разделах реестра HKEY_LOCAL_MACHINE\
SYSTEM\Current ControlSet\Services\Tcpip\Parameters и
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi-
ces\Tcpip\Parameters\Interfaces\ID of Adapter:
! KeepAliveInterval – время ожидания перед повторной от-
правкой пакета, если на предыдущий ответ не получен.
! MTU – максимальный размер пакета, который переда-
ется через сеть.
! TcpMaxConnectRetransmissions – количество повтор-
ных отсылок SYN-пакета, на который не получен ответ
при установке соединения.
! TcpMaxDataRetransmissions – количество повторных от-
сылок остальных пакетов, на которые не получен ответ.
! TcpWindowSize – максимальный размер окна TCP-со-
единения, в байтах.
! DefaultTTL – определяет значение TTL по умолчанию в
заголовках IP-пакета.
! Tcp1323Opts=1 – изменять значения TCP window и tim-
estamps в соответствии с RFC 1323.
74
Операционные системы семейства UNIX позволяют из-
менять стек TCP/IP гораздо более гибко.
В системе FreeBSD добавим следующие опции в кон-
фигурацию ядра:
# Параметр ID в заголовке IP-пакета генерируется случайно
Options random _ ip _ id
# Отбрасываются пакеты с флагами syn+Þn
Options tcp _ drop _ synÞn
Options icmp _ bandlim # Включаем контроль над ICMP
После этого необходимо пересобрать ядро и перезагрузить
систему. Теперь можно производить настройки на ходу:
# Определяем реакцию системы при получении пакета
# на закрытый TCP-порт
sysctl net.inet.tcp.blackhole=2
# Определяем реакцию системы при получении пакета
# на закрытый UDP-порт
sysctl net.inet.udp.blackhole=1
# Определяем размер окна TCP-соединения
sysctl net.inet.tcp.sendspace=64395
sysctl net.inet.tcp.recvspace=64395
# Определяем TTL в заголовке IP-пакета
sysctl net.inet.ip.ttl=128
sysctl net.inet.tcp.drop _ synÞn=1
# Указываем ОС изменять параметры window и timestamps
# в соответствии с RFC 1323.
sysctl net.inet.tcp.rfc1323=1
Или мы можем закрепить эти параметры в файле /etc/
sysctl.conf.
В операционной системе Linux в конфигурацию ядра
добавим опции CONFIG_PROC_FS и CONFIG_SYSCTL, ко-
торые позволяют менять элементы /proc без перезагрузки
системы или перекомпиляции ядра.
# Запрет ICMP echo (ping):
echo "1" > /proc/sys/net/ipv4/icmp _ echo _ ignore _ broadcasts
echo "1" > /proc/sys/net/ipv4/icmp _ echo _ ignore _ all
# Изменяем IP TTL по умолчанию
echo "128" > /proc/sys/net/ipv4/ip _ default _ ttl
Скорость генерации ICMP пакетов (по умолчанию 100)
echo "70" > /proc/sys/net/ipv4/icmp _ ratelimit
# Количество повторных отсылок пакетов, на которые
# не получен ответ
echo "5" > /proc/sys/net/ipv4/tcp _ synack _ retries
echo "5" > /proc/sys/net/ipv4/tcp _ syn _ retries 5
# Устанавливаем стандартный размер TCP window
echo "64395" > /proc/sys/net/core/rmem _ default
echo "64395" > /proc/sys/net/core/wmem _ default
# Изменять параметры TCP window и timespamp
# в соответствии с 1323.
echo "1" > /proc/sys/net/ipv4/tcp _ window _ scaling
echo "1" > /proc/sys/net/ipv4/tcp _ timestamps
# Разрешить использование SACK в соответствии
# с RFC2018 (SACK будет добавляться в tcp options)
Echo "1" > /proc/sys/net/ipv4/tcp _ sack
Продукты, которые реализуют защиту системы от fin-
gerprinting на уровне операционной системы:
! FingerPrintFucker
! IP Personality
! Morth
В операционной системе Solaris изменять параметры
TCP/IP можно утилитой /usr/sbin/ndd. Изменения вступают
в силу только после перезагрузки системы.
# Изменяем стандартное значение maximux segmet size.
ndd -set /dev/tcp tcp _ mss _ def 546
# Отключим «path MTU discovery» и система перестанет
# ставить бит «don’t fragment»
ndd -set /dev/ip ip _ path _ mtu _ discovery 0
# Устанавливаем закон генерации ISN действительно

# случайным образом.
ndd –set /dev/tcp tcp _ strong _ iss 2
# Изменяем стандартное значение tcp window size
ndd -set /dev/tcp tcp _ xmit _ hiwat 64395
ndd -set /dev/tcp tcp _ recv _ hiwat 64395
# Изменяем стандартное время жизни пакета (TTL)
ndd –set /dev/tcp tcp _ ip _ ttl 128
Защита от fingerprinting публичных сервисов
на верхнем уровне
Для маскировки приложений можно произвести измене-
ние конфигурации, изменение исходников или установить
специальное ПО, которое будет фильтровать сетевой тра-
фик на уровне приложения.
Защита от HTTP fingerprinting:
! Замена стандартных баннеров.
! Фильтрация или преобразование заголовков HTTP.
! Настройка кодов ошибок, таких как 404 или 500.
! Использование дополнительного ПО. Для веб-сервера
IIS есть продукт ServerMask, который позволяет настро-
ить три вышеописанных способа защиты. Он имеет про-
фили для маскировки под различные сервера.
Для веб-сервера APACHE перед компиляцией в src/inc-
lude/httpd.h находим строки:
# deÞne SERVER _ BASEPRODUCT "Apache"
# deÞne SERVER _ BASEREVISION "X.X.X"
Вместо него напишем (выдаем за ОС Windows + IIS)
# deÞne SERVER _ BASEPRODUCT "Microsoft-IIS"
# deÞne SERVER _ BASEREVISION "5.0"
Дополнительно проверим, что в http.conf есть:
# IIS не ставит подпись в рапортах об ошибках
ServerSignature Off
# Для того чтобы выдавать только ту информацию,
# которую мы изменили
ServerTokens Min
Защита от SMTP fingerprinting:
! Фильтрация заголовков исходящей почты защитит
пользовательские почтовые программы и серверные
почтовые приложения, расположенные во внутренней
сети организации от ID fingerprinting.
На внешнем почтовом сервере Sendmail, можно исполь-
зовать опции:
MASQUERADE _ AS(mail.somedomain.com)
MASQUERADE _ DOMAIN(mailofÞce.somedomain.com)
чтобы заголовки почтовых сообщений из вашей локальной се-
ти перезаписывались заново так, как будто они посылаются не-
посредственно с почтового сервера mail.somedomain.com.
Для почтового сервера QMAIL есть фильтр qmail-masq,
который позволяет изменять заголовки исходящих писем,
подменяя внутренние адреса внешним.
Для организаций, которые предоставляют почтовые ус-
луги сторонним организациям или пользователям, необхо-
димы более сложные фильтры, изменяющие лишь ту часть
заголовка почтового письма, где есть информация о внут-
ренних почтовых ретрансляторах (relay).
№6, июнь 2005
безопасность
! Замена стандартных баннеров, кодов и ответов ошибок
возможна путем изменения соответствующих конфигу-
рационных файлов. Это позволяет защитить от finger-
printing внешний почтовый сервер.
Например, в Windows 2000 smtp запустить metaedit.exe,
выбрать lm\smtpsvc\<номер виртуального сервера>: «Edit →
new» в ID ввести 36907, в Data ввести баннер.
В Postfix редактируем /etc/postfix/main.cf:
smtpd _ banner = secure SMTP server
В Sendmail редактируем sendmail.cf:
# SMTP initial login message (old $e macro)
O SmtpGreetingMessage=$j secure SMTP server; $b
В EXIM редактируем /etc/exim.conf:
smtpd _ banner = secure SMTP server
В QMAIL необходимо отредактировать файл smtpgreet-
ing, в котором хранится приветственное сообщение.
Аналогично настраиваются коды и ответы ошибок в кон-
фигурационных файлах или в исходниках до компиляции.
Защита от исследования таймеров
Возможными контрмерами могут служить, например, мето-
ды маскирующего перекоса временной диаграммы с улуч-
шенной генерацией случайных чисел.
Можно отключить timestamps там, где они не нужны (на-
пример, на модемном соединении).
# sysctl net.ipv4.tcp _ timestamps=0
net.ipv4.tcp _ timestamps = 0
Заключение
Фильтрация и модификация заголовков и другие методы за-
щиты от fingerprinting, являются элементом «security through
obscurity» (безопасности за счет незнания) и не могут ис-
пользоваться в качестве основного средства защиты.
Литература и ссылки:
1. http://cherepovets-city.ru/insecure/runmap/runmap-osde-
tect.htm.
2. http://cherepovets-city.ru/insecure/runmap/runmap-version-
scan.htm.
3. http://www.securitylab.ru/49847.html.
4. http://www.honeynet.org/papers/finger.
5. http://lcamtuf.coredump.cx/p0f.shtml.
6. Маскировка локальных адресов в QMail – http://
www.folug.org/sviluppo/qmail-masq/qmail-masq.html.
7. Параметры конфигурации TCP/IP и NBT для Windows
XP – http://support.microsoft.com/kb/314053/ru.
8. Сравнение трех пакетных фильтров FreeBSD 5.3 (IPFW,
PF, IPFILTER) – http://www.opennet.ru/docs/RUS/ipfw_pf_
ipfilter/index.html.
9. CP tuning cookbook.
10. Кейт Е. Страссберг. Полный справочник по брандмауэрам.:
Пер. с англ. – М.: Издательский дом «Вильямс», 2004 г.
75
 bugtraq
Обход ограничений безопасности
в Hosting Controller
Программа: Hosting Controller 6.1 HotFix 2.0 и более ран-
ние версии.
Опасность: Средняя.
Описание: Уязвимость существует в сценарии UserPro-
file.asp из-за недостаточной обработки правил доступа.
Удаленный авторизованный пользователь может изме-
нить e-mail целевого пользователя и затем воспользовать-
ся формой восстановления пароля, чтобы получить до-
ступ к учетной записи жертвы. Таким образом, злоумыш-
ленник может получить доступ к произвольной учетной за-
писи приложения, в том числе и к учетной записи админи-
стратора. Пример:
<form
action=»http://[URL]/admin// ↵
accounts/UserProÞle.asp?action=updateproÞle»
method=»post»>
Username : <input name=»UserList» value=»hcadmin»
type=»text» size=»50»>
< br>
emailaddress : <input name=»emailaddress»
value=»Crkchat@msn.com» type=»text» size=»50»>
< br>
Þrstname : <input name=»Þrstname» value=»Crkchat»
type=»text» size=»50»>
< br>
< input name=»submit» value=»submit» type=»submit»>
< /form>
URL производителя: www.hostingcontroller.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
SQL-инъекция и межсайтовый
скриптинг в PostNuke
Программа: PostNuke 0.750 и более ранние версии.
Опасность: Средняя.
Описание: Уязвимость позволяет удаленному пользовате-
лю произвести XSS-нападение и выполнить произвольные
SQL-команды в базе данных приложения.
1. Уязвимость существует в сценарии /modules/Mes-
sages/readpmsg.php из-за недостаточной обработки вход-
ных данных в параметре start. Удаленный пользователь
может с помощью специально сформированного URL вы-
полнить произвольные SQL-команды в базе данных при-
ложения. Пример:
http://[target]/[postnuke _ dir]/modules.php?op=
modload&name=Messages&Þle=readpmsg&
start=0%20UNION%20SELECT%20pn _ uname,
null,pn _ uname,pn _ pass,pn _ p
2. Удаленный пользователь может с помощью специаль-
но сформированного URL выполнить произвольный HTML-
сценарий в браузере жертвы в контексте безопасности уяз-
вимого сайта. Пример:
http://[target]/[postnuke _ dir]/modules.php?op=
modload&name=Messages&Þle=rea dpmsg&
start=0’<h1>cXIb8O3 and sp3x - SecurityReason
</h1>&total _ messages=1
URL производителя: www.postnuke.com.
Решение: Установите последнюю версию (0.750b) с сай-
та производителя.
76
Множественные уязвимости
в GNU Mailutils
Программа: GNU Mailutils 0.6.
Опасность: Высокая.
Описание: Уязвимости позволяют удаленному пользова-
телю вызвать отказ в обслуживании или выполнить произ-
вольный код на целевой системе.
1. Уязвимость форматной строки обнаружена в imap4d-
сервере. Удаленный пользователь может с помощью спе-
циально сформированной команды вызвать отказ в обслу-
живании или выполнить произвольный код на целевой си-
стеме. Пример:
%n%n%n%n%n die
2. Переполнение буфера обнаружено в утилите mail в
функции header_get_field_name() файла mailbox/header.c.
Удаленный пользователь может с помощью специально
сформированного сообщения выполнить произвольные
команды на системе с привилегиями пользователя, запу-
стившего утилиту.
3. Переполнение кучи обнаружено в imap4d-сервере при
обработке почтовых сообщений. Удаленный авторизован-
ный пользователь может выполнить произвольные коман-
ды на системе или вызвать отказ в обслуживании.
4. Обнаружен отказ в обслуживании в imap4d-сервере
при обработке аргументов команды FETCH. Удаленный ав-
торизованный пользователь может с помощью специаль-
но сформированной команды заставить приложения потре-
блять все доступные ресурсы на системе.
URL производителя: www.gnu.org/software/mailutils/mailu-
tils.html.
Решение: Установите последнюю версию (0.6.90) от про-
изводителя.
Повышение привилегий в Qpopper
Программа: Qpopper версии до 4.0.6.
Опасность: Низкая.
Описание: Уязвимость существует при обработке конфи-
гурационных файлов. Локальный пользователь может пе-
резаписать произвольные файлы с root-привилегиями на
системе и создать новые файлы с правами на чтение и за-
пись для всех пользователей.
Решение: Установите последнюю версию от производи-
теля.
Отказ в обслуживании в продуктах Cisco
в опции TCP/IP Timestamp
Программа: VxWorks SN5400 series routers; Cisco CSS11-
000 switch series; Cisco AP350 и AP1200 series; MGX8200,
MGX8800 и MGX8900 series switches.
Опасность: Низкая.
Описание: Удаленный пользователь может послать пакет
со специально сформированной TCP timestamp опцией и
заморозить текущую TCP-сессию.
URL производителя: www.cisco.com.
Решение: Установите исправление от производителя.
Составил Александр Антипов

ИСПОЛЬЗУЕМ IImage
mageM
Magick В ВЕБ-РАЗРАБОТКЕ
Работа с готовыми изображениями – достаточно распространенное явление
в веб-программировании. Построение обычной веб-галереи требует создания уменьшенных
копий картинок, компрессии, конвертации формата, а возможно, и некоторых других
операций по их обработке. Идеальное, на мой взгляд, средство для решения подобных
задач – графический пакет ImageMagick.
ля подобных действий также
широко применяется библио-
тека GD, имеющая в арсенале
своей второй версии , довольно
внушительный список функций.
Работать с GD можно посредством
PHP, Perl, Tcl и некоторых других язы-
ков. Она имеет широкие возможности,
но качество результирующих изобра-
жений часто оставляет желать лучше-
го. Кроме того, такие действия, как из-
менение пропорций, «обрезка» изо-
бражения, манипуляции с цветами,
вставка другого рисунка, хоть и воз-
можны, но крайне неудобны. Здесь на
помощь приходит пакет ImageMagick
(http://imagemagick.org), представля-
ющий прекрасное средство для обра-
ботки изображений. Работа с ним воз-
можна посредством интерфейсов для
различных языков программирования
(Perl, Python, PHP, C). Сегодня мы рас-
смотрим способы и приёмы работы с
графикой PHP с использованием па-
кета ImageMagick.
Что представляет собой
ImageMagick?
Коротко поясню, чем является этот
пакет и какие задачи можно решить
№6, июнь 2005
с его помощью. Вообще говоря, я ис-
пользую не совсем детерминирован-
ный термин «пакет», хотя данный про-
дукт называют обычно библиотекой и
даже утилитой. На самом деле это со-
гласованный (что немаловажно) набор
утилит для работы с графикой, причём
в полном соответствии с идеологией
каждая из них выполняет свою задачу.
Конечно, возможности ImageMagick не
могут сравниться с потенциалом гра-
фического процессора, но для наших
задач это и не нужно. Если вы поль-
зователь *nix-операционной системы,
то ImageMagick у вас, скорее всего,
уже установлен или по крайней мере
присутствует в дистрибутиве. В про-
тивном случае забираем его по адре-
су http://www.imagemagick.org/script/
download.php (присутствуют также
версии для Windows и MacOS).
Способы применения
Для PHP-разработчика есть два основ-
ных пути работы с изображениями с по-
мощью ImageMagic: выполнять коман-
ды пакета, пользуясь функцией exec()
(или system()), или использовать класс
imagick из репозитария PEAR. Боль-
шинство программистов применяют
web
КИРИЛЛ СУХОВ
именно первый подход. Причины это-
го очевидны – любая работа с графи-
кой означает довольно существенное
потребление ресурсов веб-сервера,
а дополнительный интерфейс, как бы
хорошо он ни был написан, эту нагруз-
ку отнюдь не уменьшает. Правда, в по-
следнее время появился повод пере-
смотреть эту точку зрения, но об этом
чуть позже. Кроме того, прямой вызов
команд пакета даёт доступ ко всем его
возможностям.
Конечно, у данного метода есть и
недостатки. У скриптов, вернее, у поль-
зователя, от имени которого они запу-
скаются, должны быть соответствую-
щие права, но проблемы безопасной
и эффективной работы веб-серве-
ра мы в данный момент не обсужда-
ем. Основные возможности пакета бу-
дем рассматривать, предполагая, что
его команды запускаются именно та-
ким образом.
Возможности пакета
Наверное, самая часто используемая
утилита ImageMagic – это convert. Её
возможности мы продемонстрируем
на достаточно типовой задаче конвер-
тации графических файлов из одного
77
 web
формата в другой. Вот как просто про-
ходит эта операция:
// исходный файл
$primary="test.jpg";
// имя нового файла
$secundary ="test2.gif";
exec("convert ". $primary." " ↵
test2.gif);
Вот и всё! Под именем test2.gif мы
получили копию исходного изображе-
ния в новом формате.
Разумеется, продемонстрированная
функциональность довольно скромна,
но в справке по convert можно найти бо-
лее 150 (!) опций этой утилиты, ознако-
мившись с которыми, начинаешь пони-
мать, почему в названии пакета присут-
ствует слово magick.
Скажем, уменьшить вес картин-
ки можно, просто включив одну из оп-
ций:
exect("convert ". $primary." ↵
-resize 30% ". test.gif);
Не отступая от традиции, для приме-
ра работы библиотеки я взял (не очень
качественную) фотографию (рис. 1).
Рисунок 1. Исходное фото
Картинка (в формате jpg) занима-
ет 124 Kb. После вышеприведённо-
го преобразования получаем рису-
нок в формате gif (рис. 2), «весящий»
уже 37 Kb.
Рисунок 2. Уменьшаем «вес» фотографии
Конечно, потеря качества есть, но
любой человек, работавший до этого
с GD, признает результат замечатель-
ным. Воспользуемся какой-нибудь ещё
возможностью convert, например, из-
меним цвета оригинала:
exect("convert ". $primary." ↵
-coloreze 0, 0, 50 ". test2.gif);
результат на рис. 3.
78
Рисунок 3. Экспериментируем с цветом
Опции утилиты реализуют огром-
ное количество различных трансфор-
маций изображения – изменение раз-
меров и координат, применение разно-
образных фильтров, размытие, нало-
жение тени и многое другое. На полное
их описание не хватило бы всего жур-
нала, поэтому лучше кратко опишем
возможности остальных утилит.
Утилита mogrify во многом повто-
ряет функциональность convert, но ре-
зультаты преобразования она сохраня-
ет в исходном файле. Кроме того, дан-
ная утилита позволяет работать с груп-
пой файлов по маске.
! Montage – позволяет комбиниро-
вать изображения, создавать ком-
позиции.
! Animate – как видно из названия,
используется для анимации, позво-
ляет работать с анимированными
gif-файлами.
! Combine – комбинирует изображе-
ния (очень удобна для нанесения
логотипов на картинки).
! Import – «снимает» изображение
заданной области экрана.
! Composite – также позволяет созда-
вать композиции нескольких изо-
бражений и изменять форму изо-
бражения.
! Identify – возвращает информацию
о параметрах изображения.
Утилита conjure стоит несколько
особняком, она представляет собой
командный процессор для встроенно-
го скриптового языка Magick Scripting
Language (MSL).
Основная при ручной работе ути-
лита display является «обвёрткой»
для остальных функций преобразо-
вания графики, нам в данном случае
бесполезна.
Более подробную информацию по
использованию утилит пакета можно
увидеть на официальном веб-сайте
ImageMagic (http://www.imagemagick.
net/script/command-line-tools.php) или
в документации, идущей вместе с дис-
трибутивом.
Использование модуля
Imagick
Недостатки вызова утилит ImageMa-
gick как внешних программ становят-
ся очевидны, когда операции по ма-
нипуляциям с изображениями явля-
ются обычной функциональностью
приложения. Банальный пример – пу-
бличная веб-галерея со средними воз-
можностями. Как уже говорилось вы-
ше, класс для работы с пакетом при-
сутствует (вернее, присутствовал) в
репозитарии PEAR. Относительно не-
давно на его основе был создан PECL-
модуль imagick, доступный в настоя-
щее время по адресу: http://pecl.php.
net/package/imagick (присутствует и
версия под Windows, в виде скомпили-
рованной dll, скачать её можно здесь:
http://snaps.php.net/win32/PECL_4_3).
PECL – это репозитарий модулей PHP,
не входящих в официальный дистри-
бутив. Большинство из них находятся
в разработке, а самые успешные ста-
новятся штатными расширениями (из
недавних это модуль SOAP).
Расширение устанавливается как
обычный php-модуль, в папку ext/imag-
ick (или, в зависимости от версии PHP,
в extensions/imagick), затем в конфигу-
рационном файле php.ini, в секции Dy-
namic Extensions, прописываются соот-
ветствующие строчки:
;для UNIX систем
extension= imagick.so
;для Windows
extension=msql.dll
После перезагрузки веб-сервера, функ-
ции imagick становятся доступны.
Предупреждение для программи-
стов, решивших опробовать возмож-
ности пакета на операционной систе-
ме Windows, – скомпилированная dll бу-
дет работать только самой последней
версией интерпретатора PHP.
Разумеется, модуль imagick не пре-
доставит доступ ко всем возможно-
стям ImageMagick (по уверению его
создателя, пока), но наиболее рас-
пространенные действия с графикой
в веб-программировании в нём уже
реализованы.
К сожалению, на момент написа-
ния статьи официальная документа-

ция на модуль практически отсутство-
вала, поэтому я постараюсь осветить
работу всех доступных в данное вре-
мя функций.
Следует также заметить, что рас-
ширение в разработке и все его функ-
ции имеют статус экспериментальных,
в частности это обозначает, что ис-
пользовать их нужно осторожно (use
this function at your own risk). Правда, в
моей практике никаких опасных сбоев
замечено не было. Работа с расшире-
нием происходит так:
<?php
$handle = imagick _ create () or ↵
die ("Could not create handle")
imagick _ read($handle,"myimg.gif");
imagick _ set _ attribue($handle, ↵
array("quality"=>10, ↵
"format"=>"jpeg");
imagick _ write($handle,"myimg.jpg");
imagick _ free($handle);
?>
В первой строчке функцией imagick_
create() мы получаем указатель на но-
вый экземпляр imagick, который по-
том используем во всех дальнейших
действиях. Затем с помощью imagick_
read() считываем существующее изо-
бражение. Формат файла при этом
определяется автоматически, если
же этого не происходит, разработчики
рекомендуют использовать префикс
из названия формата, отделённый от
имени файла двоеточием (например,
GIF:mygif.gif). Данная функция позво-
ляет задавать в качестве второго пара-
метра и URL (например, http://my.server.
com/picture.gif). Другой пример исполь-
зования imagick_read():
<?php
$handle = image _ new() or die ↵
("Could not connect");
imagick _ read($handle, ↵
array("mypic.gif", ↵
"http://my.server.com/mypic.png"));
imagick _ write($handle, ↵
"PNG:mypic.myext");
imagick _ free($handle);
?>
В данном случае применяется image_
new(), синоним и вероятная замена
imagick_create ().
Функция imagick_set_attribue() из-
меняет атрибуты рисунка, получая в
качестве второго параметра их мас-
сив. В настоящее время доступны сле-
дующие атрибуты:
! adjoin ! magick
! delay ! quality
! format ! size
№6, июнь 2005
Пояснять их значение, я думаю, нет
необходимости. Получить атрибуты
существующего изображения можно
функцией imagick_set_attribute(), при-
нимающей в качестве параметров ука-
затель и имя атрибута. Сейчас доступ-
ны следующие значения:
! format ! height
! magick ! width
! quality
Конечно, список не впечатляет, но
всё, что здесь написано, касается вер-
сии модуля 0.1, а он активно разраба-
тывается.
Imagick_write() осуществляет за-
пись результата в указанный файл ло-
кальной файловой системы, при этом
формат файла определяется по задан-
ному расширению. В случае нераспо-
знавания формата рекомендации та-
кие же, как и для функции imagick_
read().
Наконец imagick_free(), как нетруд-
но догадаться из названия, освобож-
дает указатель и все связанные с ним
ресурсы.
Что осталось за рамками нашего
небольшого примера? Прежде всего
группа функций для преобразования
изображений:
! imagick_copy_shear() – усекает изо-
бражение до заданных размеров;
! imagick_copy_ crop() – также усека-
ет, но с возможностью задания на-
чальных координат;
! imagick_copy_rotate() – поворачива-
ет изображение вокруг своей оси
на заданный угол;
! imagick_copy_sample() – масштаби-
рует изображение.
Все эти функции возвращают ука-
затель на новый ресурс, оставляя ис-
ходный (являющийся входным параме-
тром) неизменным.
Функция imagick_copy_resize(), так-
же возвращающая указатель на новый
ресурс, позволяет задать размеры изо-
бражения, применить к нему фильтр, а
также контрастность/размытие (в за-
висимости от знака входного параме-
тра). На данный момент доступны сле-
дующие фильтры:
web
Imagick_convert() преобразует один
файл в другой или (когда конечный
файл не указан) выводит его в брау-
зер. Её упрощённый вариант imagick_
dump(), выводит картинку на экран.
Imagick_annotate() добавляет к изо-
бражению текст, принимая в качестве
второго параметра массив его атрибу-
тов. Пример работы этой функции:
imagick _ annotate($handle,array(
"primitive"=>"text 150,150 ↵
hello world",
"pointsize"=>60,
"antialias"=>1,
"stroke"=>’green’,
"Þll»=>’#ff7755’,
"font»=>"Arial.ttf",
"rotate"=>90
));
Imagick_list-magickinfo() выводит
список доступных файловых форма-
тов (в настоящие время таковых бо-
лее 130, правда, некоторые из них до-
ступны только для чтения).
В заключение хочу заметить, что
лидер проекта Imagick, Christian Stock-
er, в предварительной документации к
модулю сетует на нехватку у него сво-
бодного времени на доработку и при-
глашает желающих в ней поучаство-
вать. Как он утверждает: «It’s really not
very hard». Приветствуются также по-
желания о том, какие функции следу-
ет реализовать в первую очередь. Так
что, коллеги, всё в наших руках.
Ссылки:
1. Адрес проекта – http://pecl.php.net/
package/imagick.
2. Examples of ImageMagick Usage –
http://www.cit.gu.edu.au/~anthony/
graphics/imagick6.
3. Graphics from the command line –
http://www-106.ibm.com/developer-
works/library/l-graf/?ca=dnt-428.
79
 hardware

МОДИФИЦИРУЕМ BIOS

BIOS-моддинг таит в себе практически неограниченные

возможности: экстремальный разгон системы,
разблокирование скрытых возможностей, исправление
ошибок разработчиков, украшения на свой вкус – это высший
пилотаж хакерства, требующий знания железа и умения
держать дизассемблер в руках. Это дремучий лес, в котором
очень легко заблудиться, но я покажу вам кратчайший путь.

КРИС КАСПЕРСКИ

Е
сли процессор – это сердце ком-
пьютера, то BIOS – его душа.
Качество прошивки определя-
ет все! К сожалению, качественные
прошивки в живой природе встреча-
ются достаточно редко. Разработчики
допускают грубые ошибки, блокиру-
ют многие полезные возможности, в
общем, по отношению к потребителю
ведут себя нехорошо. Древние моде-
ли материнских плат, выпущенные до
2000 года, зачастую вообще не имеют
свежих прошивок и с новым оборудо-
ванием (например, жесткими дисками
большого объема) они уже не работа-
ют, а ведь могли бы…
Многие качественные материнские
платы умышленно препятствуют раз-
гону, имеют скудный диапазон допу-
стимых значений или слишком грубый
шаг их изменения. Разумеется, очень
многое зависит и от «железной» ча-
сти, но без правильной прошивки – ни-
куда! В сети можно найти множество
улучшенных прошивок, модернизиро-
ванных энтузиастами, однако все они
ориентированы на вполне конкрет-
ную модель материнской платы (как
правило, уже устаревшую), и раздо-
быть прошивку для своего оборудо-
вания весьма затруднительно, к тому
же нет никаких гарантий, что под ви-
дом «улучшенного» BIOS вам не под-
сунут заживо похороненную или, что
еще хуже, умышленно троянизирован-
ную версию.
А моддинг? Разве не заманчиво
заставить компьютер перемигивать-
ся клавиатурными огоньками во вре-
мя загрузки или выводить красочный
логотип на экран?! Одним словом, мо-
дифицировать BIOS не только мож-
но, но и нужно. Главным образом мы
будем говорить об Award BIOS. В AMI
все сильно по-другому… Однако когда-
нибудь мы доберемся и до них. Кстати
говоря, фирма Award была выкуплена
Phoenix и в настоящее время суще-
ствует только как бренд. А это зна-
чит, что последние версии Phoenix-
BIOS устроены точно так же, как и Aw-
ard, поскольку их разрабатывает одна
и та же фирма, правда, на старые про-
шивки это утверждение не распростра-
няется. Впрочем, существуют готовые
редакторы и для них, но не будет зао-
стрять внимание на мелочах, а сразу
перейдем к делу.
Что нам понадобится
Для экспериментов нам потребует-
ся материнская плата с Award-BIOS
на борту. Опознать микросхему BIOS
очень легко – на ней обычно наклее-
на голографическая этикетка, которую
необходимо оторвать, чтобы обнажить
маркировку. Маркировка представля-
ет последовательность цифр наподо-
бие «28F1000PPC-12C4».
Как ее расшифровать? Идем на
http://www.datasheetarchive.com, за-
полняем строку запроса и получа-
ем pdf-файл с подробным описани-
ем чипа (так называемый datasheet).
Теперь необходимо найти идентич-
ный или совместимый чип FLASH-па-
мяти, над которым мы, собственно, и
будем экспериментировать. Его мож-
но приобрести в специализированном
радиомагазине или вытащить с поло-
манной материнской платы. Большо-
го дефицита эти чипы не представля-
ют, поскольку в материнских платах
используются серийные микросхе-

№6, июнь 2005 81

 hardware
Рисунок 1. Микросхема Award BIOS
с традиционной голографической
наклейкой, по которой её легко
определить
мы, выпускаемые независимыми по-
ставщиками.
Для «горячей» замены BIOS (т.е.
выдергивания микросхемы с работаю-
щей платы) русские умельцы аккурат-
но обвязывают микросхему нитками, а
затем осторожно тянут вверх (можно,
конечно, просто подковырнуть отверт-
кой, но при этом легко что-то закоро-
тить), а вот иностранцы после эпиде-
мии «чиха» придумали специальные
приспособления – chip extractor (съем-
щик чипов) и BIOS savior (BIOS-спаси-
тель). По сути дела, это одно и то же
приспособление, только торговые мар-
ки разные. Приобрести их можно в ра-
диомагазинах или заказать по Интер-
нету (см. рис. 1-6).
Еще нам потребуется документа-
ция на чипсет материнской платы. Ком-
пании Intel и AMD бесплатно выклады-
вают все, что нужно на сайт. Другие
производители (VIA, SiS) держат доку-
ментацию под спудом и отдают только
за деньги плюс подписку о неразгла-
шении. В частности, на дисках, рассы-
лаемых компанией AMD, встречается
много интересной документации со
штампом «confidential», пролистывая
которую, ощущаешь волнующее чув-
ство причастности к тайне.
Комплект утилит для прошивки
BIOS можно найти на сайте разработ-
чика конкретного BIOS или произво-
дителя материнской платы. Некото-
рые производители (например, ASUS)
вносят в BIOS большое количество из-
менений, в результате чего «родные»
утилиты от Award перестают с ними
работать и приходится использовать
инструментарий, поставляемый вме-
сте с материнской платой. Обычно там
содержится:
! awdflsh.exe – «прожигатель»;
! modbin – простой редактор BIOS;
82
Рисунок 2. Набор BIOS Savior kit Рисунок 3. Положение рук при съемке
для безопасного извлечения микросхемы микросхемы
BIOS с материнской платы и «кроватка»
для резервного BIOS с переключателем,
устанавливаемым на заднюю панель
! cbrom – просматривает содержи-
мое BIOS и добавляет новые мо-
дули в прошивку.
Все эти утилиты можно найти на
сайте www.rom.by. Там же находится
замечательный «патчер» BIOS – BP.exe
(сокращение от «BIOS Patсher»), ис-
правляющий ошибки в известных ему Рисунок 4. Установка «кроватки»
с двойным BIOS — снизу оригинальная
прошивках и разблокирующий многие микросхема, сверху — экспериментальная
заблокированные возможности. Нашим
основным инструментом будет интерак-
тивный редактор BIOS Award BIOS Ed-
itor, который можно бесплатно скачать
c http://awdbedit.sourceforge.net.
Как мы будем
действовать
Модификация BIOS – очень рискован-
ное занятие. Малейшая ошибка – и си-
стема отказывается загружаться, вы-
давая унылый черный экран. Большин- Рисунок 5. Двойной BIOS в собранном
состоянии
ство современных материнских плат
снабжено защитой от неудачных про-
шивок, однако обычно она срабаты-
вает лишь тогда, когда BIOS действи-
тельно поврежден (например, не соот-
ветствует контрольная сумма).
Вот для этих целей нам и требует-
ся второй BIOS! Запускаем материн-
скую плату, считываем содержимое
прошивки соответствующей утили-
той (или скачиваем обновленную вер-
сию с сайта производителя), модифи- Рисунок 6. Переключатель, отвечающий
за выбор между оригинальным (ORG)
цируем ее по своему вкусу, затем, не и экспериментальным (RD1) BIOS
выключая компьютера, аккуратно вы-
нимаем оригинальный чип, отклады- ке и повторить всю процедуру вновь.
вая его в сторону, и вставляем чип, Другими словами, мы будем экспери-
над которым мы будем эксперимен- ментировать только над «нашим» чи-
тировать. Остается запустить AWDF- пом, оставляя родной BIOS в непри-
LASH.EXE и зашить модифицирован- косновенности.
ную прошивку в BIOS. Теперь, случись Насколько такая процедура безо-
вдруг что, мы всегда сможем вернуть пасна? По правде говоря, опасности
оригинальный чип на место, исправить нас подстерегают на каждом шагу. Ми-
ошибку в экспериментальной прошив- кросхема может выскользнуть из рук и

Рисунок 7. Award BIOS editor, готовый к модификации
текстовых строк, отображающихся при загрузке системы
упасть на плату, малейшая ошибка в
прошивке может вывести оборудова-
ние из строя (например, переключить
стабилизатор на повышенное напря-
жение, выбрать слишком большую так-
товую частоту и т. д.). До приобретения
боевого опыта лучше всего экспери-
ментировать над старыми матерински-
ми платами, которые все равно идут в
утиль (например, Pentium-155).
Первые эксперименты
Запускаем Award BIOS editor (кстати
говоря, он запускается только из-под
GUI, а под FAR просто «слетает»), в
меню File выбираем файл с прошив-
кой, которую мы будем модифициро-
вать (предварительно ее необходимо
скачать с сайта производителя или за-
пустить AWDFLASH.EXE с ключом /sy,
чтобы сохранить текущую прошивку
в файл). В левой колонке выбираем
пункт «System BIOS» и смотрим, что
хорошего тут можно изменить. А из-
менить тут можно очень многое! На-
пример, имя BIOS, высвечивающее-
ся при загрузке (в моем случае это:
Award Modular BIOS v6.00PGN), да-
ту выхода и название чипсета (03/29/
2001-i815-W83627F-6A69RI3DC-00) и
другие идентификационные строки по-
добного типа. А давайте напишем «as-
sembled at military-industrial USA facto-
ry», чтобы потом подшучивать над при-
ятелями (см. рис. 7).
Точно так же можно заменить все
надписи в «BIOS Setup» (они находят-
ся во вкладке «BIOS Options») и от-
редактировать значения по умолча-
нию (те самые, что загружаются по
№6, июнь 2005
Рисунок 8. Разблокирование заблокированных возможностей
в «BIOS Setup» в Award BIOS editor
команде «load default BIOS configurat-
ion») под свой вкус. Наибольший ин-
терес представляют пункты, поме-
ченные как «Disabled». Это и есть оп-
ции, заблокированные производите-
лем! Простым переводом радиокноп-
ки в состояние «Active» мы разблокиру-
ем их! Разумеется, никакой гарантии,
что система после этого заработает, у
нас нет. Чаще всего блокируются не-
доделанные или нестабильно работа-
ющие режимы и возможности. Реже –
производитель просто не хочет, чтобы
материнские платы начального уров-
ня конкурировали с дорогими моде-
лями, вот и тормозит их. Нестабильно
работающая материнская плата спо-
собна разрушить содержимое жестко-
го диска еще в процессе загрузки Wi-
ndows, поэтому экспериментировать
Как прожигают BIOS
AMI BIOS имеют специальный интер-
фейс, позволяющий работать с микро-
Рисунок 9. Микросхема FLASH-памяти, подключенная обходимое программное обе-
к южному мосту
hardware
на своем рабочем винчестере недо-
пустимо! Используйте запасной жест-
кий диск, на котором нет ничего цен-
ного. Запустите несколько тестирую-
щих программ и дайте им поработать
несколько суток. Если за это время не
произойдет ни перезагрузок, ни зави-
саний, можно переходить на основной
жесткий диск, на всякий случай, пред-
варительно зарезервировав его содер-
жимое (см. рис. 8).
А хотите изменить логотип, высве-
чивающийся в северо-восточном углу
экрана? Это совсем несложно сделать.
Старые BIOS хранили картинку в сек-
ции «LOGO» в нестандартном форма-
те, условно называемом logo-форма-
том. С ним была связана куча огра-
ничений, и требовался специальный
конвертор, иногда прилагаемый к ма-
схемой FLASH-памяти (читать или про-
жигать), доступный через прерывания
INT 15h и INT 16h (подробности– в Inter-
rupt List Ральфа Брауна). Award
BIOS такой возможности не
имеют и программируются че-
рез порты ввода/вывода.
Конструктивно FLASH-ми-
кросхема подключена к юж-
ному мосту чипсета, поэтому
описание интерфейса взаи-
модействия с BIOS, следует
искать именно в документа-
ции на южный мост. Как вари-
ант, можно воспользоваться
готовым программатором, с
которым поставляется все не-
спечение.
83
 hardware
теринской плате, но чаще его Запускаем Award BIOS edi-
приходилось писать самосто- tor, заходим в System BIOS, на-
ятельно. ходим вкладку «Chipset Reg-
Сейчас же секция «LOGO» isters» и открываем докумен-
в большинстве случаев пуста, тацию на чипсет. Где-то там
а картинка хранится в секции должен быть раздел «PCI Con-
«EPA pattern» в стандартном figuration Registers» или что-
BMP-формате. Ограничений то в этом роде. Для каждо-
на размер и глубину цветно- го из регистров будет указа-
сти нет никаких, однако не все но устройство (device), к ко-
BIOS поддерживают слишком торому он «подключен», но-
большие и цветастые картин- мер функции (function) и но-
ки. Что произойдет, если под- мер самого регистра, также
сунуть BIOS картинку, кото- называемый смещением (of-
рую он не в состоянии обра- fset). Все регистры 8-битные,
батывать? Ничего страшно- однако несколько последова-
го! Система либо откажется тельных регистров могут объ-
выводить ее на экран или вы- единяться в слова или даже
ведет с искажениями. Чтобы двойные слова.
не попасть впросак, рекомен- Сравнение конфигураци-
дуется отталкиваться от уже онных возможностей чипсета
существующей картинки: из- с BIOS Setup показывает, что
влекаем оригинальный лого- Рисунок 10. Страничка из документации на чипсет, часть настроек в ней отсут-
тип в файл (в Award BIOS Edi- описывающая конфигурационные регистры ствуют. Даже в заблокирован-
tor за это отвечает команда «Export as ки в настойках BIOS и увеличить ее! А ных возможностях (о которых мы уже
Windows BMP»), загружаем его в Paint для этого нам вновь пригодится Award говорили выше) их нет! В частности,
и правим в свое удовольствие без из- BIOS editor (см. рис. 11). мой любимый AMD 761 поддерживает
менения глубины цветности и разме- А вот еще один трюк. Запустив уже намного больший диапазон таймингов,
ров. Один из примеров такой работы упомянутую утилиту BP.EXE с ключом чем указано в BIOS Setup. Взять хо-
приведен ниже. /c, мы сможем вручную задать имя про- тя бы величину tPR (time to precharge),
При желании можно зашить в BIOS цессора, высвечивающееся при за- определяющую время закрытия DR-
полноэкранный логотип, высвечива- грузке, и его тактовую частоту. Реаль- AM-страницы, в процессе которого
емый при загрузке. Этим занимается ная тактовая частота отображаться происходят возврат данных в банк па-
одноименная утилита от Award, вхо- уже не будет. Почему бы не написать мяти и его перезарядка. По умолчанию
дящая в штатный комплект поставки «AMD Pentium-V 666 GHz beta» и не по- BIOS ставит 3 такта и не дает его изме-
многих материнских плат ASUS. Од- хвастаться перед друзьями?
нако в некоторых BIOS задержка вы- Да много чего можно придумать! В
вода полноэкранного логотипа столь умелых руках BP.EXE и Award BIOS ed-
мала, что ряд CRT-мониторов просто itor творят настоящие чудеса! Как бы
не успевают прогреться за это время! там ни было, после всех издевательств
Но ведь не переходить же ради это- прошивка должна быть залита в BIOS.
го на LCD-монитор? Разумеется, нет! О том, как это сделать, можно прочи-
Достаточно найти величину задерж- тать в документации на материнскую
плату (см. рис. 12).
Редактирование BIOS
Некоторые утилиты, например, WP- Настройка PCI-регистров Рисунок 11. Изменение стандартного
CREDIT.EXE, позволяют редактиро- Конфигурирование чипсета осущест- логотипа, выводимого при загрузке
на экран
вать содержимое регистров чипсета вляется специальными регистрами,
«на лету» прямо из-под Windows, что доступными через шину PCI. При за-
особенно полезно для экспериментов грузке системы BIOS настраивает про-
по экстремальному разгону систем, цессор, контроллер системной шины,
однако их возможности весьма огра- контроллер оперативной памяти и всю
ниченны, поскольку многие регистры прочую периферию в соответствии с
должны настраиваться лишь на ста- настройками, выбранными в «BIOS
дии инициализации чипсета и всякая Setup». Однако практически ни один
попытка их изменения на работающей BIOS не дает доступа ко всем настрой-
системе носит непредсказуемый ха- кам чипсета или умышленно ограни-
рактер или не носит вообще никакого чивает диапазон доступных значений. Рисунок 12. Прожигание BIOS
(чипсет нас попросту игнорирует). Как быть, что делать? специализированной утилитой от ASUS

84
 hardware
нять. Чтобы сократить tPR до вания BIOS или расширения
1 такта, необходимо модифи- его возможностей. Они пере-
цировать 8 и 7 биты регистра числены во врезке.
Dev 0:F0:0x54, присвоив им В рамка х одной- един-
значение 2 («10» в двоичной ственной статьи просто не-
нотации). Остальные биты не возможно охватить все под-
трогать! А как это сделать? робности этого увлекатель-
Необходимо наложить ма- ного процесса целиком, по-
ску (mask), которая в данном этому не воспринимайте ее
случае будет выглядеть так: как законченный путеводи-
«XXXX XXX1 1XXX XXXX». тель. Скорее это пригласи-
Как видно, 8 и 7 биты установ- тельный билет в удивитель-
лены в единицу, остальные ный мир, скрытый в недрах
помечены знаком «Х», указы- небольшой микросхемы. И
вающим BIOS, что данный бит пускай кто-то скажет, что ре-
необходимо оставить без из- дактирование BIOS носит
менений (см. рис. 10). скорее познавательный, чем
Запись «Dev0:F0:0x54» практический характер (уста-
обозначает: Device 0:Function Рисунок 13. Разгон системы при помощи редактирования навливать «разблокирован-
0:Register 0x54. На самом де- конфигурационных регистров ный» BIOS в ответственный
ле этих регистров целых два. Регистр ши возможности будут довольно огра- сервер я бы не рискнул)! Но должны
0x54 хранит младшую, а 0x55 – стар- ничены. же у администратора быть хоть ка-
шую половину слова. Следователь- кие-то развлечения, тем более что
но, в 0x54 необходимо занести 80h Заключение экспериментировать со списанными
(«10.00.00.00»), а в 0x55 – 01h. Соот- Кроме Award BIOS editor существуют материнскими платами никто не за-
ветственно в первом случае маска бу- и другие программы для редактиро- прещает!
дет равна 80h («1X.XX.XX.XX»), а во
втором 01h. DUAL-BIOS своими руками
Возвращаемся к Award BIOS Edi- Каждый радиолюбитель, умеющий
tor, находим регистр с номером 0x54 держать паяльник в руках, может дора-
и, кликнув правой клавишей мыши, ботать материнскую плату, установив
выбираем пункт «modify». В появив- на нее сразу две микросхемы FLASH–
шемся окне первые три поля (Regis- памяти. Тогда между ними можно бу-
ter, PCI, PCI) оставляем без измене- дет переключаться без труднодоступ-
ний (это номер регистра, устройства ного и притом весьма дорогостоящего
и функции), а вот с двумя последую- chip-extractor. Как видно из рис. 14, ни- Рисунок 14. Принципиальная схема
щими полями «Resister» и «Value» при- чего сложного в DUAL-BIOS нет. DUAL-BIOS
дется разобраться особо. Мы не можем
просто взять и записать значение 0x- Интересные ссылки: 8. Исходные тексты пары устаревших
80, поскольку в этом регистре уже хра- 1. http://www.biosmods.com (на англ.) прошивок (на ассемблере): http://
нятся какие-то параметры, модифи- 2. Статьи по прошивке и их доработ- miscellaneous.newmail.ru.
цирующие остальные поля. Мы долж- ке (на русс.): http://www.rom.by. 9. Описание формата BIOS для его
ны устанавливать лишь «наши» би- 3. FAQ по BIOS (на рус.): http://www. ручной распаковки (на рус.): http://
ты (в данном случае это бит 7), а над ixbt.com/mainboard/faq/biosfaq.shtml. www.winsov.ru/bios002.php.
остальными выполнить операцию ло- 4. Сайт хакера, исследовавшего ку- 10. Статья по редактированию реги-
гическое «OR» по маске. Аналогичным чу BIOS вдоль и поперек (на англ.): стров чипсета (на рус.): http://www.
образом настраивается и регистр 55h http://www.geocities.com/mamanzip. tweakfactor.com/articles/tweaks/
(см. рис. 13). 5. Статья о модификации BIOS (на amd762/1.html.
Залив обновленную прошивку в англ.): http://www.ryston.cz/petr/bios/ 11. Разгон системы путем редактирова-
BIOS и установив качественные моду- ga586hx_mod.html. ния регистров чипсета: http://www.
ли памяти, мы с удовлетворением за- 6. Статья известнейшего хакера по overclockers.com/tips105/index.asp.
мечаем, что быстродействие системы внедрению своего кода в BIOS (на 12. Утилита для модификации регист-
ощутимо возросло, особенно на опера- англ.):http://www.codebreakers-jour- ров чипсета: http://www.h-oda.com.
циях хаотичного доступа к памяти, ког- nal.com/include/getdoc.php?id=83& 13. Редактор Award BIOS: http://awd-
да закрытие DRAM-страниц происхо- article=38&mode=pdf. bedit.sourceforge.net.
дит чуть ли не на каждом шагу. 7. Новые идеи по внедрению своего ко- 14. Утилита для автоматизированно-
Аналогичным образом можно ре- да в BIOS (на англ.): http://www.code- го внедрения своего кода в BIOS:
дактировать и остальные регистры, от- breakers-journal.com/include/getdoc.p http://webzoom.freewebs.com/tmod/
сутствующие в BIOS Setup, однако на- hp?id=127&article=58&mode=pdf. Awdhack.zip.

№6, июнь 2005 85

 IMHO
РАЗМЫШЛЕНИЯ О UNIX
Различия операционных систем семейств Windows и UNIX видны практически
с первого взгляда и в процессе работы становятся все более отчетливыми.
Попытаемся обобщить и систематизировать основные принципы UNIX,
делающие представителей этого семейства операционных систем именно
такими, какие они есть.
П
онимание этих особенностей,
причем не на интуитивном уров-
не, а вполне осознанное, долж-
но помочь пользователям, «воспитан-
ным» на DOS и Windows, при перехо-
де на UNIX-подобные системы. Я не
претендую на абсолютную истинность
мыслей, которые здесь прозвучат. Так
или иначе, но каждый будет пропускать
все сквозь призму своего опыта.
Какой должна быть
идеальная ОС?
Для начала попытаемся сформулиро-
вать некоторые требования к идеаль-
ной с точки зрения конечного пользо-
вателя операционной системе.
Во-первых, система должна быть
понятной, не требующей обучения
(разве что экспресс-курсов вождения
мыши) для начала работы. Назовем
это требованием интуитивной по-
нятности.
Во-вторых, с системой должно быть
удобно работать. Из курсов эргономи-
ки и психологии известна так называе-
мая формула «7 ± 2», согласно которой
человек способен охватить своим вни-
манием одновременно от 5 до 9 объек-
тов. Таким образом, и операционная
система должна строиться с расче-
том, чтобы пользователю не приходи-
лось постоянно держать в уме большее
количество возможных действий, клю-
чей и т. д. То есть важно, чтобы конеч-
ный результат мог быть получен за не-
большое количество «ходов». Это бу-
дет требование эргономичности.
В-третьих, разработчики системы
должны гарантировать, что их детище
будет в любой ситуации вести себя так,
как описано в инструкции (не забывай-
те, что речь идет об идеальной систе-
ме; юридически такие гарантии предо-
ставляют единицы). То есть добавля-
ется еще требование ответственно-
сти разработчика.
86
В-четвертых, квалифицирован-
ный пользователь может захотеть из-
менить поведение системы в соответ-
ствии со своими предпочтениями. Дей-
ствительно, требования понятности и
эргономичности слишком субъектив-
ны, чтобы любое действие можно бы-
ло подогнать под предпочтения абсо-
лютно всех. Отсюда вытекает требо-
вание модифицируемости.
В-пятых, система должна береж-
но относиться к вверенным ей ресур-
сам. Любая задача должна решаться
по возможности «малой кровью», ис-
пользуя только те ресурсы, которые
действительно необходимы. Назовем
это требованием экономности.
Заметили противоречие требова-
ний ответственности разработчика и
модифицируемости? Действительно,
как разработчик будет что-либо га-
рантировать, если пользователь мо-
жет сам менять систему?
Есть еще одно противоречие, на
первый взгляд неочевидное, – между
требованиями экономности и интуитив-
ности. Чтобы система была понятна че-
ловеку, она должна быть максимально
приближенной (хотя бы по внешнему
виду) к тем инструментам, которыми он
привык пользоваться в своей «неком-
пьютерной» жизни. Кнопочки должны
«нажиматься», рычажки «опускаться»,
лампочки «загораться»... Все это, есте-
ственно, требует дополнительных ре-
сурсов и совершенно бесполезно соб-
ственно для решения задачи.
Процедурные
и проективные ОС
На стыке этих противоречий и роди-
лось деление операционных систем
на два типа – процедурные и проектив-
ные. Первые из них, преимущественно
коммерческие, пошли по пути «ублаже-
ния» пользователя – максимум внима-
ния уделяется интуитивной понятности,
СЕРГЕЙ СУПРУНОВ
разработчик худо-бедно пытается что-
то гарантировать, то есть берет на се-
бя ответственность за работу продава-
емой им системы (по крайней мере, на
уровне рекламных сообщений). Моди-
фицируемость при этом сведена прак-
тически к нулю – делать можно только
то, что предусмотрено инструкцией (то
есть, определен ряд процедур, отсюда
и название – «процедурные»). Мини-
мизация ресурсных требований также
отодвинута на задний план – пользова-
тель скорее согласится подождать не-
сколько лишних секунд, любуясь кра-
сивыми картинками на экране, чем
вспоминать консольную команду, кото-
рая отработает за доли секунды. Такая
расстановка приоритетов вполне оче-
видна, если учесть, что основная зада-
ча подобной операционной системы –
продаваться. Типичный представитель
процедурных систем – Windows.
Проективные системы (прежде
всего это UNIX и производные) исто-
рически разрабатывались для «вну-
треннего потребления». Отсюда мак-
симум внимания модифицируемости
системы (модификация выполняется
путем разработки «проектов» на язы-
ке инструментальной области, поэтому
такие системы и называют проектив-
ными) и ее экономности – чем меньше
ресурсов она будет требовать для той
или иной задачи, тем больше можно
будет сделать за то же время при той
же стоимости оборудования.
Документирование систем
Эти ключевые различия повлекли ряд
других. Так, совершенно по-разному
осуществляется документирование
процедурных и проективных систем и
разрабатываемого для них ПО. В си-
стемах типа Windows документируются
исключительно действия пользовате-
ля, которые он должен совершить, что-
бы получить желаемые свойства того

или иного объекта. То есть документа-
ция вырождается в инструкцию.
В UNIX, наоборот, информация о
системе приобретает первостепенное
значение. Поскольку в силу требова-
ния экономности интерфейс ориенти-
рован в первую очередь на удобство
для системы, а не для пользователя,
то любой инструмент такой ОС дол-
жен быть снабжен подробным описа-
нием того, как им пользоваться. Чтобы
иметь возможность модифицировать
систему, информация о ней должна
быть еще более полной и охватывать
не только возможные способы ее ис-
пользования, но и описывать внутрен-
нее устройство. Говоря другими слова-
ми, проективная система должна быть
информационно открытой. И верхом
такой открытости являются доступ-
ные исходные коды, поскольку ника-
кое описание на естественном языке
не может обладать такой полнотой.
Использование системных
ресурсов
Благодаря информационной открыто-
сти сторонние разработчики получи-
ли возможность широко использовать
системные средства, следуя при этом
требованию экономности (зачем пи-
сать и помещать в систему то, что уже
написано). Думаю, каждый, кто ставил
что-нибудь, например, из коллекции
портов FreeBSD, обращал внимание
на массу дополнительных пакетов, свя-
занных с устанавливаемым. В отдель-
ном случае необходимость устанавли-
вать дополнительные пакеты ради не-
скольких функций выглядит очень не-
эффективной, но в целом для системы
позволяет сэкономить и на разработке,
и на поддержке, и в некоторых случаях
на дисковом пространстве.
При работе с процедурными систе-
мами многие нужные функции прихо-
дится разрабатывать с нуля, за исклю-
чением тех, которые реализованы в тех
или иных API. В итоге программные
продукты приобретают определенную
самодостаточность, но вынуждены
обеспечивать весь требуемый функци-
онал, не предоставляемый операцион-
ной системой, что в целом может ока-
заться избыточным. В последнее вре-
мя разработчики коммерческих ОС все
большее внимание уделяют возмож-
ности использовать системные функ-
ции при разработке прикладного ПО,
№6, июнь 2005
что существенно повышает эффектив-
ность работы, не перегружая систему
зависимостями (но привязывая разра-
ботчика к средствам, которые предо-
ставляет ОС).
Кто несет ответственность:
разработчики
или пользователь?
Следующий принцип, вытекающий из
требования модифицируемости, – от-
каз от ответственности разработчика.
Раз пользователь вправе менять в си-
стеме все, что ему заблагорассудит-
ся, то и вся ответственность за послед-
ствия ложится на него. То есть UNIX
ориентирован на квалифицированно-
го пользователя, который любое дей-
ствие выполняет осознанно. А раз так,
то можно сэкономить немного (а иногда
и много) ресурсов на «откате» – поль-
зователю предоставляется возмож-
ность отменить последнюю операцию
только в том случае, если существует
вероятность опечатки. Например, в ре-
дакторе vi существует отмена послед-
него действия, но только последнего –
у пользователя будет время увидеть
свою ошибку и исправить ее, а если со-
всем «заредактируется» – всегда к его
услугам возможность выйти без сохра-
нения. При работе в командной строке,
как правило, ни возможности возврата,
ни дополнительных вопросов не преду-
сматривается. Действительно, вряд ли
можно совершенно случайно набрать
«rm -Rf/ ». А раз уж эта команда была
набрана, значит, именно она и должна
быть выполнена. В конце концов, это
оскорбительно, когда какая-то «желе-
зяка» сомневается в правильности ва-
ших решений.
Применение конвейерных
операций
Еще один из основополагающих прин-
ципов систем UNIX – широкое исполь-
зование «конвейерных» операций, ког-
да конечный результат достигается
за счет последовательной работы не-
скольких утилит, каждая из которых
выполняет определенную задачу и от-
дает промежуточный результат на вход
следующей утилите. Идея конвейера
(канала) естественным образом проис-
текает из требования экономности: ес-
ли есть программа, умеющая сортиро-
вать входной поток данных, и есть про-
грамма, умеющая отправлять данные
IMHO
по электронной почте, то было бы не-
рационально писать еще одну – для от-
правки отсортированных данных. По-
этому в любой UNIX-подобной систе-
ме вы найдете множество небольших
утилит, каждая из которых выполняет
достаточно узкую задачу, зато дела-
ет это очень хорошо. Комплексная же
задача раскладывается на последова-
тельность простых операций.
Кстати говоря, применение кана-
лов отвечает и требованию эргоно-
мичности – проще запомнить несколь-
ко утилит и в дальнейшем комбиниро-
вать их в различных сочетаниях, чем
держать в уме десятки и сотни команд
на все случаи жизни.
Что в итоге
Описанные выше принципы, есте-
ственно, не являются догматически-
ми, и разработчики различных инстру-
ментов и дистрибутивов операционных
систем вольны смещать акценты в ту
или иную сторону. Например, в редак-
торе vim может быть отменено любое
количество последних операций – его
разработчики решили пожертвовать
некоторыми ресурсами системы ра-
ди дополнительного удобства пользо-
вателя. (По мнению некоторых, такое
отступление от идеологии развраща-
ет, поскольку отучает обдумывать каж-
дый свой шаг.) Системы Linux, ориенти-
рованные на среднеквалифицирован-
ного пользователя, все больше внима-
ния уделяют графическому интерфей-
су и пошаговым процедурам настрой-
ки, хотя их «проективность» в полной
мере доступна через окно термина-
ла. Такой гибридный подход к постро-
ению системы сыграл далеко не по-
следнюю роль в увеличении популяр-
ности Linux как для домашних машин
и рабочих станций, так и для построе-
ния серверов.
В целом можно сказать, что систе-
мы UNIX требуют гораздо большей от-
ветственности, зато и делать позволя-
ют гораздо больше. Не ждите от них,
что они будут вести вас за руку или по
нескольку раз уточнять, действитель-
но ли вы хотите сделать нечто такое,
последствия чего будут необратимы.
UNIX – послушный исполнитель, кото-
рый воспринимает вас как полновласт-
ного хозяина и безукоризненно выпол-
нит любую вашу команду. И именно вы
отвечаете за любой результат.
87
 полезные советы
СИСТЕМНЫЙ АДМИНИСТРАТОР –
ИЩЕМ ДОПОЛНИТЕЛЬНЫЕ ИСТОЧНИКИ ДОХОДА
Ваша сеть отлажена и работает, как швейцарские часы, появилось свободное время и желание
зарабатывать больше. Однако смена работы в ближайшие планы не входит, а работодатель
не в состоянии увеличить вам зарплату. Лучший вариант в этой ситуации – искать
дополнительные источники дохода.
Т
ема по ис ка до пол ни тель но го
заработка актуальна для мно-
гих IT-специалистов. Когда ва-
ша собственная сеть отлажена и рабо-
тает, как часы, появляется свободное
время и естественное желание выпол-
нять большее количество работы, по-
высив тем самым уровень оплаты сво-
его труда. Однако на основном месте
работы часто таких обязанностей для
IT-специалиста найти не могут – отсут-
ствует дальнейшее IT-развитие фир-
мы. В этот момент приходится прини-
мать решение и выбирать один из трех
вариантов – смириться с этим, продол-
жая работать за ту же зарплату, сме-
нить место работы либо найти дополни-
тельный источник дохода. Если по ка-
кой-либо причине смена места работы
не входит в ваши планы (а это бывает
очень часто – например, при хорошей
социальной защищенности на данной
работе и пр.), а без повышения уровня
доходов не обойтись, то лучший вари-
88
ант – это поиск дополнительных рабо-
чих мест. Прежде всего интерес пред-
ставляют фирмы, где системный спе-
циалист нужен на неполный рабочий
день, т.е. необходима только первона-
чальная настройка, отладка и своевре-
менная поддержка по заявкам пользо-
вателей. Поверьте – такие организации
в большом количестве присутствуют
практически в любом городе, общее ко-
личество компьютеров в котором пре-
вышает 1000 единиц.
В этой статье я поделюсь с вами
собственным опытом поиска дополни-
тельных источников заработка. Не пре-
тендуя на однозначность и правиль-
ность методов, скажу лишь, что в дан-
ный момент помимо основной работы
я поддерживаю локальные сети еще
четырех компаний, а также являюсь
IT-консультантом в двух фирмах, где
есть свои системные администрато-
ры. От остальных предложений о по-
стоянном сотрудничестве приходится
РОМАН МАРКОВ
отказываться из-за отсутствия време-
ни. Однако заказы на разовые рабо-
ты по настройке часто оказываются
полезны. Такое обилие дополнитель-
ных источников заработка достигнуто
в процессе довольно долгой собствен-
ной рекламной кампании, о тонкостях
которой я и попытаюсь рассказать чи-
тателям. По ми мо этого рассмотрим
психологические аспекты ведения пе-
реговоров и вообще стиля общения с
потенциальным заказчиком. Акценти-
рую внимание на том, что данные со-
веты не подойдут тем, кто хочет зара-
батывать много, сразу и в одном ме-
сте – либо такие специалисты уже не
нуждаются в рекламе, либо это чело-
век, который слишком себя переоцени-
вает. Описанная методика подразуме-
вает необходимость работать больше,
чем в настоящее время. Однако ши-
роко известно, что никогда не бывает
«всего и сразу». Этому благополучию
всегда предшествует активная подго-

товка, повышение квалификации и по-
иски новых идей.
С чего начать?
Прежде всего с оценки собственной
квалификации. Именно исходя из это-
го вы сможете понять – нужно ли сроч-
но ее повышать (либо осваивать дру-
гие технологии – об этом мы также по-
говорим) или уже можно брать «с мес-
та в карьер». Тут возможным решени-
ем является совмещение самообразо-
вания и поиска дополнительной рабо-
ты, а зачастую – и повышение/расши-
рение своей квалификации уже на до-
полнительном рабочем месте. Стоит
ответить на вопрос – а какие все-таки
сети и программное обеспечение вы в
состоянии администрировать, не напря-
гаясь и не затрачивая на это более од-
ного часа в день. На самом деле, да-
же час в день – это много при удален-
ном администрировании небольшой
сети до 10-20 компьютеров. Мой лич-
ный опыт, а также информация коллег
показывают, что, как правило, при от-
лаженной схеме на это тратится не бо-
лее двух-трех часов в неделю при усло-
вии, что система отлажена и работает
безупречно, а пользователи не зада-
ют глупых вопросов каждые 5 минут.
На этих аспектах мы более подробно
остановимся далее.
Теперь необходимо упомянуть о
профессиональных навыках. Не хо-
чется обидеть уважаемых и чтимых
мной представителей UNIX-сообще-
ства, однако на данный момент сред-
нестатистической операционной си-
стемой для рабочих станций (да и для
серверов) в мелких и средних российс-
ких фирмах все же является Microso-
ft Windows. Поэтому, если вы действи-
тельно хотите получить возможность
дополнительного заработка, эти ОС
придется хорошо изучить. В против-
ном случае вы не будете востребова-
ны большинством таких компаний, а
именно они и являются для вас потен-
циальными клиентами. Любые фразы
о том, что «можно все настроить под
Linux, 1С запустить в режиме эмуля-
ции, а OpenOffice абсолютно такой же,
как и Microsoft Office» почти во всех
случаях обречены на провал – никто
не захочет работать в другой опера-
ционной среде, обучаться заново и пр.
При этом я ни в коем случае не говорю
о том, что проблематичным окажет-
№6, июнь 2005
ся перевод backend-серверов (файло-
вых служб, печати, web и т. п.) на дру-
гие ОС. В этом случае на клиентских
компьютерах все равно остается Win-
dows, а сервер администрирует «при-
ходящий специалист». Однако стоит
помнить, что никто не захочет нани-
мать «только серверного специалис-
та» – вам придется настраивать и кли-
ентские компьютеры.
Как рассказать о себе
другим?
Теперь стоит задуматься о том, что не-
обходимо делать, чтобы о вашем су-
ществовании, профессиональных на-
выках и желании осуществлять пер-
воначальные настройки и в дальней-
шем вести новые фирмы узнали дру-
гие люди. В данном случае это не ба-
нальное размещение резюме на спе-
циализированных сайтах (хотя это то-
же не будет лишним), а своеобразная
личная реклама. Не буду учить вас со-
ставлять резюме – этих советов в Ин-
тернете более чем достаточно. Старай-
тесь основывать собственное продви-
жение так, чтобы максимальное коли-
чество потенциальных заказчиков или
те, кто с ними работает по другим дого-
ворам (это наиболее важно), знали о
том, какой вы высококлассный специ-
алист. Чтобы создать такую рекламу,
необходимо придерживаться следую-
щих рекомендаций:
Участвуйте в специализирован-
ных интернет-конференциях. При
этом не стоит метаться от одного фо-
рума к другому. Гораздо лучше будет
выбрать от одной до трех конференций
и принимать в них участие постоянно.
Это только на первый взгляд кажется,
что такие ресурсы предназначены ис-
ключительно для коллективного реше-
ния существующих проблем. На самом
деле там вы должны больше отвечать
на вопросы, а не только приобретать
опыт. Обязательным условием являет-
ся использование одного уникального
Nickname, так как именно по нему вас
со временем будут отождествлять с
профессионалом высокого класса. Вы-
бирая Nickname старайтесь, чтобы он
был не тривиальным. Например, имена
типа «Alex» совершенно не унифициро-
ваны (если только на форуме зарегист-
рировано не 10 человек, а такие ресур-
сы никакой пользы не принесут). Поми-
мо виртуального общения, форумы по
полезные советы
интересам периодически организуют
встречи «за пивом», на которых специ-
алисты знакомятся воочию, а также ве-
дут неспешные беседы. Обязательно
приходите на такие встречи – на них
вы сможете на других посмотреть и
себя показать, понять, кто может быть
полезен вам, а кому, возможно, окаже-
тесь полезны вы. Это не означает, что
вы обязательно должны быть профес-
сионалом для участия в них. Напро-
тив, это поможет накопить хорошую
базу знаний о проблемных ситуациях,
не проверяя их на себе. Постепенно
опыт будет расти, и задавать вопросы
вы будете гораздо реже, чем отвечать
на них. Однако помните, что стремле-
ние как можно больше «засветиться»,
отвечая не по существу, а также на воп-
росы, в которых вы некомпетентны,
принесет только отрицательную славу.
Лучше меньше, но абсолютно точно.
Пройдет много времени, прежде чем
другие участники смогут нанять вас,
вместо того чтобы сделать работу са-
мостоятельно. Однако главный минус
саморекламы среди коллег состоит в
том, что все они получают зарплату за
свой труд, и даже если вы приобретете
репутацию исключительного професси-
онала, их фирмы все равно не смогут
предложить вам даже разовые рабо-
ты – очень трудно объяснить руковод-
ству, что необходимо нанимать специ-
алиста со стороны.
Для эффективной саморекламы
принимайте участие не только в кон-
ференциях для системных админис-
траторов. Крайне полезным окажется
участие в форумах для смежных спе-
циальностей – программистов бухгал-
терских систем, например 1С:Предп-
риятие, даже если вы не являетесь та-
ким специалистом. В данный момент
одним из самых популярных общерос-
сийских форумов является «Террито-
рия 1С» на www.kuban.ru. Однако сто-
ит помнить, что в нем действительно
участвуют почти все города России и
некоторые города СНГ, поэтому, может
быть, понадобится дополнительно най-
ти похожий ресурс для своего региона.
Почему же так полезно участвовать в
подобных форумах и почему в конфе-
ренциях именно этого направления вы
имеете шанс найти своего потенциаль-
ного работодателя?
Дело в том, что на таких конферен-
циях под грифом «Offtopic» постоянно
89
 полезные советы
появляются вопросы системно-техни-
ческой направленности. Именно на них
вы и должны отвечать – грамотно, чет-
ко и наиболее информативно для непос-
вященных. Прямая реклама недопусти-
ма не только по правилам таких конфе-
ренций. Пока вы не приобрели хотя бы
виртуальную известность профессиона-
ла, никто не обратит внимания на вас.
Напротив, обзовут барыгой.
Опишем данный процесс подроб-
нее. Это не теория, а именно практичес-
кий опыт реализации, проверенный и
приносящий свои плоды.
Первая задача, стоящая перед
PR-специалистами при организации
какой-либо рекламной акции, – пра-
виль ный выбор целевой аудитории
для продвижения товаров или услуг.
Именно с этого начинается планиро-
вание всей акции. Неправильный вы-
бор целевой аудитории приводит к от-
сутствию необходимого количества от-
кликов, а значит, к общей неэффектив-
ности. Этим, кстати, объясняется низ-
кая эффективность продвижения ва-
ших услуг с использованием профес-
сиональных конференций системных
администраторов. Однако совсем отка-
зываться от участия в них нельзя – та-
кая самореклама все равно пригодит-
ся вам не раз. Познакомившись с вир-
туальными коллегами в обычной жиз-
ни и обозначив свои профессиональ-
ные навыки, вы потом еще не раз вос-
пользуетесь их помощью, а они спро-
сят что-то у вас. Завязав хорошие зна-
комства, есть шанс затем получить от
коллег контакт заказчика, который хо-
тел бы что-то заказать у них, но выпол-
нить это они не в состоянии по причи-
не занятости либо некомпетентности в
конкретной области.
Участие же в форумах несетевой
направленности принесет вам гораз-
до больше заказчиков, так как авто-
матизированная система бухгалтерс-
кого учета используется практически
на любом предприятии. Соответствен-
но специалисты, участвующие в этих
конференциях, в большинстве своем
об слу жи ва ют эти системы. И имен-
но они часто задают вопросы, четко и
ясно отвечая на которые, вы обрете-
те популярность профессионала. Для
начала эта известность будет вирту-
альной. Однако после нескольких дру-
жеских встреч «за пивом» вас будут
знать уже не только виртуально. Ес-
90
ли данные очные знакомства подкре-
плять дальнейшей постоянной помо-
щью на таком форуме – очень скоро вы
приобретете популярность именно как
грамотный сетевой специалист. Даль-
нейшее общение обязательно прине-
сет вам для начала маленькие пору-
чения в виде разовых работ по на-
стройке, а в дальнейшем и постоян-
ные контракты на обслуживание. Ва-
ша главная задача – правильно себя
позиционировать и обязательно лич-
но знакомиться с та кими специали-
стами. Не следует бояться посещать
такие мероприятия по причине того,
что вы плохо разбираетесь конкрет-
но в данном программном продукте и
направлении. Если грамотно провести
подготовительную работу на форуме,
отвечая на вопросы, являющиеся ва-
шим коньком, то на встрече вас узна-
ют, вспомнят и будут очень часто обра-
щаться за советом. Именно во время
таких встреч вы обрастете нужными
контактами и оставите свои коорди-
наты для потенциальных заказчиков.
Не забудьте визитки. Указанная в них
должность должна сразу отвечать на
вопрос: почему необходимо обратить-
ся именно к вам? Например: «Систем-
ный администратор», «Ведущий техни-
ческий специалист» и т. д. Если у вас
нет визиток, закажите их в любой по-
лиграфической фирме – их цена на се-
годняшний день крайне низка.
Всегда помните, что делать прямые
или косвенные намеки на то, что вы мо-
жете решить сложный вопрос за день-
ги, на форумах запрещено. Но когда
репутация хорошего специалиста бу-
дет заработана, ситуация может поме-
няться, так как даже завуалированный
намек на то, что вы можете помочь, вы-
зовет обращение к вам другим спосо-
бом (например, по уже известному лю-
дям телефону).
К сожалению, такое повышение
собственной известности в определен-
ных кругах – сложный, трудоемкий и
долгосрочный процесс. Однако он при-
носит великолепные результаты, и в
какой-то момент вы начнете понимать,
что даже через несколько месяцев от-
сутствия на форуме вас по-прежнему
будут приглашать на встречи. Напри-
мер, в Санкт-Петербурге такое нефор-
маль ное общение специалистов по
платформе 1С:Предприятие существу-
ет уже более 6 лет, и большинство до-
полнительных источников дохода мне
приносят именно они. Встречи носят
организованный характер, проходят в
ресторанах с банкетным меню. Обяза-
тельным атрибутом в последнее время
стал проектор, на котором специалис-
ты демонстрируют новинки. При этом
темы докладов не всегда посвящены
данному специализированному про-
дукту. На последней встрече я догово-
рился о включении в программу вечера
моего выступления, в котором по воз-
можности понятно рассказал про осно-
вы системной интеграции. Тем самым
для старых участников была закре-
плена уже существующая репутация,
а для новичков – доведена информа-
ция о том, что в их компании есть гра-
мотный сетевой специалист.
Как успешно провести
переговоры?
Теперь стоит поговорить о стиле про-
ведения переговоров, если вас уже
пригласили на собеседование, чтобы
подробнее ознакомиться с предлага-
емыми вами услугами и рассказать
о тех проблемах, которые необходи-
мо ре шить. Очень внимательно от-
неситесь к этим советам – они не го-
лословны и в большинстве своем по-
могают выделиться из числа других
кандидатов.
Предварительная
договоренность о встрече
Как правило, это телефонный звонок.
Уже в этот момент вы должны произве-
сти первое впечатление на потенциаль-
ного заказчика, ведя разговор четко и
уверенно. Дайте понять собеседнику,
что вы деловой человек, проявив пун-
ктуальность при назначении времени
встречи. Четко оговорите дату, время и
место встречи, узнайте, кого необходи-
мо будет найти (ФИО и должность), ка-
кие документы необходимо взять с со-
бой. Всегда имейте при себе паспорт,
чтобы не попасть впросак на проход-
ной, вынудив сотрудника ком па нии
улаживать эти вопросы. Назначайте
встречу на точное время, а не «с утра
до обеда» – цените время других, и
они оценят вас. Максимально допусти-
мое уточнение времени – до 30 минут,
при условии вашей ссылки на трудно-
сти проезда из-за пробок. Наличие ав-
томобиля, кстати, большой плюс в дан-
ном случае. Если он у вас есть – не за-

будьте при разговоре непринужденно
об этом упомянуть.
Форма одежды и стиль
общения
Не стоит игнорировать известную пого-
ворку и приходить на собеседование в
любой подвернувшейся под руку одеж-
де. Хочу вас уверить, что общеприня-
тый стереотип о том, что системный
администратор – это человек с гряз-
ными волосами, одетый в поношенные
джинсы, не более чем заблуждение.
Если этот стереотип также присутству-
ет в мыслях работодателя, то ваш пре-
зентабельный вид приятно удивит его.
Есть одно «но». Ваш стиль общения
должен также соответствовать хоро-
шему внешнему виду. То есть умение
четко излагать свои мысли и обсуж-
дать на переговорах поставленные за-
дачи – неотъемлемый атрибут успеха.
Помните, если вы являетесь техниче-
ским специалистом экстра-класса, но
при этом у вас полностью отсутствует
ораторское искусство – считайте, что
половина успеха переговоров потеря-
на. Руководители ценят умение чет-
ко и кратко изложить суть проблемы
и способы ее решения, а не простран-
ные рассуждения, кишащие непонят-
ными для них терминами. Поэтому суть
предлагаемых вами услуг должна быть
ясна даже несведущему в технических
подробностях человеку.
Да, именно так. Если вы действи-
тельно хотите достигнуть чего-то боль-
шего, необходимо научиться излагать
свои мысли, вести переговоры, а так-
же (как описано выше) выступать пе-
ред публикой.
Переговоры начинаются
со знакомства
Представьтесь и протяните свою ви-
зитную карточку – ваши координаты
должны быть доступны при необходи-
мости. После этого предложите заказ-
чикам самим рассказать об их пробле-
мах и пожеланиях. Начинайте перегово-
ры с извлечения из сумки (кейса) па-
почки с чистыми листами. Положите
перед собой и записывайте все услы-
шанные пожелания. Рассказывая о тех-
нологиях, которые вы предлагаете, ис-
пользуйте простейшие иллюстрации к
своим словам – это облегчает понима-
ние технических решений некомпетент-
ными пользователями. Затем предло-
№6, июнь 2005
жите осмотреть сеть заказчика. Ни при
первичном, ни при более глубоком об-
следовании не критикуйте открыто не-
компетентность предыдущего специа-
листа – это большая ошибка при пере-
говорах. Очень часто встречаются си-
туации, когда предыдущий специалист
является родственником руководите-
ля, и ваша грубая критика не принесет
успеха. Лучше аккуратно и продуман-
но применять фразы типа: «Да, ваша
сеть уже требует дополнительных на-
строек, предусматривающих дальней-
шее масштабирование» или «Тут более
надежным и при этом экономичным ре-
шением станет применение аппаратно-
го маршрутизатора» и пр.
Разговоры о стоимости
обслуживания
Последняя стадия переговоров. Начи-
нать об этом говорить можно, только
точно зная, какой фронт работ предсто-
ит выполнить. Рекомендую применять
следующую последовательность дей-
ствий: переговоры, составление карты
состояния сети, уточнение задач, до-
полнительное исследование, состав-
ление рекомендаций и технического
задания по реорганизации. При этом
любая переделка чего бы то ни было
должна предваряться четкой мотива-
цией данного процесса. В противном
случае работодатель не поймет, для
чего нужно что-то изменять. Все опи-
санные этапы в этом случае (если вы
ищете дополнительную работу) долж-
ны быть бесплатными. А вот оплату
реализации первоначального улучше-
ния и рационализации работоспособ-
ности сети рекомендуется оговорить
отдельной строкой. То есть модерни-
зация оплачивается отдельно, так как
это довольно трудоемкий процесс, и
после реализации начинается отсчет
абонентской платы за ваше обслужи-
вание. Всегда четко оговаривайте пе-
речень ваших обязанностей. В против-
ном случае такие работы, как отнесе-
ние на заправку картриджа от ксерок-
са, будут поручать вам, а это не явля-
ется работой приходящего системного
администратора. Круг ваших обязанно-
стей – это обеспечение работоспособ-
ности сети: компьютеров, установлен-
ных на них операционных систем и их
взаимодействия, настройка серверов,
антивирусной защиты и пр.
Со своей стороны, очень рекомен-
полезные советы
дую иметь дело только с теми фирма-
ми, которые имеют скоростное подклю-
чение к сети Интернет, чтобы вы мог-
ли удаленно конфигурировать необхо-
димые параметры и диагностировать
проблемы. Уверяю вас, что больше
75% проблем решаются именно так
и, как правило, являются следствием
невнимательности пользователя. Ес-
ли на каждый такой сигнал вы буде-
те выезжать, то уже через пару меся-
цев (максимум) работать с заказчиком
прекратите.
И последнее замечание. Даже ес-
ли вам очень нужна работа, ни в ко-
ем случае не нужно показывать это-
го потенциальному работодателю. Из-
лишняя активность и бессмысленное
рвение обычно не нравится руководи-
телям. Им больше по душе четкий рас-
чет и планирование, прогнозирова-
ние и мотивация. Поэтому не стоит ве-
сти беседу в стиле «буду работать за
еду». Такие специалисты почти никог-
да не обрадуют работодателя. Объяс-
няется это просто – если у вас посто-
янные проблемы с финансами, то ваше
положение нестабильно. Никому не за-
хочется иметь дело с сотрудником, ко-
торый раз в неделю будет прибегать и
просить очередной аванс.
Все должно быть с точностью до на-
оборот: не они дают вам работу, а вы
соглашаетесь их обслуживать и уде-
лять свое время.
Тему можно развивать очень долго,
однако это выведет нас за рамки дан-
ной статьи. Если у вас возникнут во-
просы или появится желание подиску-
тировать – добро пожаловать на форум
журнала «Системный администратор»
(www.samag.ru) для обсуждения.
ОТ РЕДАКЦИИ
Есть еще один эффективный способ
дополнительно зарабатывать, о кото-
ром не упомянул Роман Марков в сво-
ей статье. Впрочем, он только что про-
демонстрировал его на деле – каждый
из вас может стать автором нашего
журнала! Поделитесь с коллегами по-
ложительным опытом, расскажите об
успешном решении проблем - это при-
несет вам дополнительный доход, ува-
жение и известность в IT-кругах.
Ваши статьи, исследования, раз-
работки и заметки отправляйте на
адрес sekretar@samag.ru для Натальи
Хвостовой.
91
 книжная полка
Linux. Порождающее
Программирование программирование.
в примерах Методы,
Арнольд Роббинс инструменты,
Из эпиграфа к книге: «Од- применение
ним из лучших способов К. Чарнецки,
научиться программирова- У. Айзенекер
нию является чтение хоро- Основной философией по-
шо написанных программ». рождающего программиро-
Именно этому совету и по- вания является идея пере-
следовал автор. Все рас- хода к полуавтоматическо-
сматриваемые темы сопро- му производству различного
вождаются изучением кон- ПО. В книге речь идет о мето-
кретных примеров, боль- дах и инструментах порожда-
шинство из которых являются исходным кодом канони- ющего программирования и удачно сочетаются теорети-
ческой версии UNIX v7. Среди подробно рассмотренных ческие и практические сведения. Среди рассмотренных
тем: аргументы, опции и переменные окружения. Управ- тем: методы и приемы анализа и проектирования (инже-
ление памятью на уровне пользователя, файлы и файло- нерия предметной области и объектно-ориентированные
вый ввод/вывод. Каталоги и служебные данные файлов, методы анализа проектирования, моделирование харак-
общие библиотечные интерфейсы. Среди более слож- теристик), технологии реализации (родовое программи-
ных тем: управление процессами и каналы, сигналы, ин- рование, компонентно-ориентированные методики ша-
тернационализация и локализация, расширенные интер- блонного программирования на С++, аспектно-ориенти-
фейсы. Отдельная глава книги посвящена отладке при- рованное программирование, генераторы, статическое и
ложений. Весь материал основан на личном опыте авто- ментальное программирование на С++). В разделе прак-
ра, полученном более чем за 15 лет программирования, тических примеров рассмотрены варианты реализации
а «житейские» советы, которыми он делится, приходятся спискового контейнера и порождающей библиотеки рас-
всегда кстати. На мой взгляд, это одно из лучших изда- чета матриц. Материал сопровождается большим коли-
ний, посвященных программированию на С под Linux из чеством примеров и иллюстраций. Книга рассчитана на
появившихся за последнее время. опытных программистов.
Издательство «КУДИЦ-ОБРАЗ», 2005 г. – 657 стр. ISBN 5- Издательство «Питер», 2005 г. – 731 стр. ISBN 5-469-00118-
9579-0059-1 (ориг. 0-13-142964-7). 0 (ориг. ISBN 0-201-30977-7).

UNIX/Linux. Теория Windows server 2003.

и практика Справочник
программирования Митч Таллоч
Брюс Моли Это издание можно смело
Книга посвящена вопросам назвать настольной книгой
системного программирова- любого администратора ОС
ния в среде UNIX. Основная Windows 2003. Автор разде-
задача издания показать, как лил задачи на выполняемые
работает UNIX изнутри. В ка- с помощью графического ин-
честве основных языков раз- терфейса и на исполняемые
работки выступают C и shell из командной строки, что не-
script. Приводятся подробные сомненно очень удобно. При-
сведения о вводе/выводе для водятся подробные сведе-
файлов и устройств, а также ния о DHCP, AD, DFS, DNS,
о таймерах, драйверах терминала. Рассмотрены вопросы, WINS, автоматических обновлениях, аудите, групповых
посвященные созданию соединения между локальными и политиках, делегировании прав, дистанционном управле-
удаленными процессами, сокетам. Отдельные главы посвя- нии рабочим столом, доменах, консоли управления MMC
щены POSIX-нитям, параллельным функциям и IPC. На всем и многом другом. Среди рассмотренных команд и утилит
протяжении книги излагаемый материал сопровождается командной строки: bootcfg, diskpart, driverquery, net, netsh,
примерами исходного кода и иллюстрациями. В качестве route, rsh и других, многие из них появились только в W2k3.
примеров автор предлагает разработку собственных вер- На всем протяжении изложения материала автор приме-
сий команд who, ls, pwd, простого варианта sh и минималь- няет «справочный» стиль изложения, раскрывающий са-
ную версию веб-сервера httpd. Контрольные вопросы и за- мую суть задачи.
дания в конце каждой из глав помогут читателю проверить, Издательство «Питер», 2005 г. – 748 стр. ISBN 5-469-00-
насколько хорошо был усвоен прочитанный материал. 023-0 (ориг. 0-596-00404-4).
Издательство «КУДИЦ-ОБРАЗ», 2004 г. – 576 стр. ISBN 5- Рубрику ведет
93378-087-1 (ориг. 0-13-008396-8). Александр Байрак

№6, июнь 2005 93

 bugtraq
Множественные уязвимости
в Ipswitch Imail-сервере
Программа: Ipswitch Imail 8.13 и более ранние версии.
Опасность: Критическая.
Описание: Обнаруженные уязвимости позволяют удален-
ному пользователю вызвать отказ в обслуживании, полу-
чить доступ к потенциально важным данным и выполнить
произвольный код с системными привилегиями.
1. Уязвимость обнаружена при обработке входных дан-
ных в команде STATUS в IMAP-сервере. Слишком длинное
имя почтового ящика может вызвать переполнение стека
и позволить удаленному авторизованному пользователю
выполнить произвольный код на целевой системе с при-
вилегиями Local System.
2. Уязвимость существует при обработкe NULL-симво-
лов в команде LSUB в процессе IMAPD32.EXE. Удаленный
пользователь может с помощью специально сформирован-
ного аргумента команды заставить уязвимый процесс по-
треблять все доступные ресурсы на системе, что приведет
к отказу в обслуживании.
3. Уязвимость обнаружена в команде LOGIN. Удаленный
неавторизованный пользователь может послать в качестве
имени пользователя строку длиной более 2000 байт, вы-
звать переполнение стека и выполнить произвольный код
на целевой системе.
4. Уязвимость существует при обработке некоторых
символов (% : * @ &) в команде LOGIN. Удаленный неав-
торизованный пользователь может с помощью специаль-
но сформированного имени пользователя выполнить про-
извольный код на целевой системе.
5. Уязвимость обнаружена при обработке запроса к не-
существующим javascript сценариям (jsp) в Imail Web Calen-
daring. Удаленный неавторизованный пользователь может с
помощью символов обхода каталога прочитать произволь-
ные файлы на системе. Пример:
GET /bla.jsp?\..\..\..\..\..\..\..\..\..\..\boot.ini HTTP/1.0
Connection: Close
Host: example.com
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Pragma: no-cache
6. Уязвимость при обработке данных в команде SE-
LECT в IMAP сервере позволяет удаленному авторизован-
ному пользователю вызвать отказ в обслуживании. Злоу-
мышленник может послать строку длиной более 260 байт
и аварийно завершить работу приложения.
URL производителя: www.ipswitch.com.
Решение: Установите исправление от производителя: ftp://
ftp.ipswitch.com/Ipswitch/Product_Support/IMail/imail82hf2.exe.
Ошибка при обработке zip-архивов
в MailScanner
Программа: MailScanner 4.41.3.
Опасность: Низкая.
Описание: Уязвимость существует при обработке опреде-
ленных типов zip-файлов. Удаленный пользователь может
обойти фильтрацию сообщений и заставить приложение не
генерировать отчет об обнаружении вируса.
URL производителя: www.sng.ecs.soton.ac.uk/mailscanner.
Решение: Установите обновление с сайта производителя.
94
Множественные уязвимости
в BEA WebLogic
Программа: BEA WebLogic 6.1, 7.0, 8.1.
Опасность: Средняя.
Описание: Обнаруженные уязвимости позволяют удален-
ному пользователю получить доступ к потенциально важ-
ной информации и вызвать отказ в обслуживании.
1. Пользователь с привилегиями Monitor security role мо-
жет манипулировать JDBC-пулами. Уязвимые приложения:
WebLogic Server / Express 8.1 Service Pack 2 (all platforms),
WebLogic Server / Express 8.1 Service Pack 3 (all platforms).
2. Ошибка при обработке исключений в security provid-
er позволяет злоумышленнику управлять аудитом исклю-
чений. Уязвимые приложения: WebLogic Server / Express 8.1
Service Pack 3 (all platforms), WebLogic Server / Express 7.0
Service Pack 5 (all platforms).
3. Приложение не требует пройти повторную аутентифи-
кацию пользователей после изменений политик безопас-
ности. Уязвимые приложения: WebLogic Server / Express 7.0
Service Pack 5 (all platforms).
4. После неудачной авторизации пароль пользователя
может быть опубликован на странице авторизации. Уязви-
мые приложения: WebLogic Portal 8.1 through Service Pack
3 (all platforms).
5. Ошибка при обработке файлов куки может замедлить
работу кластера сайтов. Уязвимые приложения: WebLogic
Server / Express 7.0 through Service Pack 5 (all platforms).
6. Межсайтовый скриптинг возможен при обработке не-
которых входных данных. Уязвимые приложения: WebLog-
ic Server / Express 8.1 through Service Pack 4 (all platforms),
WebLogic Server / Express 7.0 through Service Pack 6 (all plat-
forms).
7. Удаленный неавторизованный пользователь может
подключиться к LDAP-серверу и получить доступ к потен-
циально важной информации или вызвать отказ в обслу-
живании. Уязвимые приложения: WebLogic Server / Express
8.1 through Service Pack 4 (all platforms), WebLogic Server /
Express 7.0 through Service Pack 5 (all platforms).
8. Возможен отказ в обслуживании. Уязвимые прило-
жения: WebLogic Server / Express 6.1 Service Pack 4 (all plat-
forms).
URL производителя: www.bea.com.
Решение: Установите исправления от производителя.
Отказ в обслуживании в ImageMagick
и GraphicsMagick XWD-декодере
Программа: ImageMagick версии до 6.2.2-3; GraphicsMag-
ick версии до 1.1.6-r1.
Опасность: Средняя.
Описание: Уязвимость существует при обработке цветовых
масок в XWD-декодере. Удаленный пользователь может с
помощью специально сформированного изображения (цве-
товая маска установлена в ноль) заставить уязвимое прило-
жение потреблять все доступные ресурсы на системе.
Решение: Установите последнюю версию от производи-
теля.
Составил Александр Антипов

Российская Федерация
! Подписной индекс: 81655
Каталог агентства «Роспечать»
! Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
! Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
! Подписка On-line
http://www.arzy.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номен-
клатуры АРЗИ:
! Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
подписка на II полугодие 2005
! Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
! Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г.Минск, пр-т Ф.Скорины, 10)
! Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, Ташкент, пл.Мустакиллик,
5/3, офис 33)
! Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г.Ереван, пл.Сасунци Давида, д.2)
и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул.Сарьяна,
22)
! Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г.Тбилиси, ул.Хошараульская, 29) и
АО «Мацне» (380060, г.Тбилиси, пр-т Гамсахурдия, 42)
! Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г.Кишинев, бул.Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-33-
00, г.Тирасполь, ул.Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г.Кишинев, бул. Штефан чел Маре, 134)
! Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

81655
по каталогу
агентства
«Роспечать»
87836
по каталогу
агентства
«Пресса
России»

№6, июнь 2005 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№6(31), Июнь, 2005 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редакторы
Андрей Бешков
Валентин Синицын
Алексей Барабанов
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (095) 928-8253
Константин Меделян
reсlama@samag.ru
Верстка и оформление
maker_up@samag.ru
Дизайн обложки
Николай Петрочук
По вопросам распространения
обращайтесь по телефону:
(095) 928-8253 (доб. 120)
107045, г. Москва,
Ананьевский переулок, дом 4/2 стр. 1
тел./факс: (095) 928-8253
Сайт журнала: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ГП «Московская Типография №13»
Тираж 8400 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств массо-
вых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002 г.)
За содержание статьи ответствен-
ность несет автор. За содержание
рекламного обьявления ответствен-
ность несет рекламодатель. Все пра-
ва на опубликованные материалы за-
щищены.
96
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
Устанавливаем jabber- чта уже проверяется каким-нибудь от-
кластер на базе ejabberd крытым антивирусом, типа Clamav, то
Jabber в настоящее время становится единственным возможным источником
все более распространенным в кор- вирусов может являться &laquo;дикий
поративной и интернет-среде. Круп- интернет&raquo;. И если доступ поль-
ные jabber-серверы находятся под по- зователям открыт только через прото-
стоянной высокой нагрузкой. Одним кол HTTP, то только его нам и остается
из методов оптимизации стабильно- сканировать. Делать это удобнее и де-
сти и производительности является шевле на сервере и при помощи откры-
кластеризация. В данной статье бу- того ПО, чем мы и займемся.
дет описана настройка одного из наи-
более продвинутого по возможностям Kaspersky Antivirus 5.0
jabber-сервера в кластерном вариан- в составе Sendmail
те – ejabberd. Настраиваем 5-ю версию антивируса
Касперского в составе почтовой си-
Kerberos поверх LDAP стемы Sendmail. Отличий от прошлых
Настроим открытую версию Kerberos конфигураций несколько: в настрой-
Heimdal для работы с OpenLDAP в ка- ке и реализации протокола связи ан-
честве бэкэнда для хранения своих тивируса; в использовании milter; сты-
данных. Такое решение позволит нам ковка компонентов осуществляется с
создать единое хранилище всей ин- минимальными затратами и настрой-
формации для обеспечения процесса ками; а также появилась возможность
аутентификации и авторизации поль- использовать антивирус для рабочих
зователей в GNU/Linux. станций UNIX.
Настраиваем Используем технологию
антивирус-прокси LinuxBIOS на системах
Несомненно антивирусная защита VIA EPIA-M
должна быть обязательным атрибу- Почти каждый из вас в детстве играл
том грамотно спланированной IT-стра- в конструктор, собирал железную до-
тегии организации. И для не обреме- рогу или машинки. Есть такая фраза,
ненного лишними деньгами бюджета что по мере взросления у сильной по-
IT-отдела закупка и установка на всех ловины человечества игрушки не ис-
пользовательских компьютерах анти- чезают, а только становятся более до-
вирусных программ может стать впол- рогими. Вот и сегодня мы попытаем-
не весомой статьей расходов. Можно ся своими руками собрать из своео-
ли как-то избежать лишних расходов? бразного конструктора – связки Linux-
Если на клиентских рабочих местах от- BIOS и VIA EPIA-M – домашнюю bare-
сутствуют или отключены НГМД, а по- bone-систему.
Уважаемые читатели!
Спешите оформить подписку
на второе полугодие 2005 года!
Приобрести новые и старые номера журнала
вы можете через интернет-магазины LinuxCenter.ru и Allsoft.ru.
Доставка почтой в любую точку России.