Так видит журнал читатель, который забыл оформить подписку:

СЬ

ЛИ
ЛИ
ТЯ Е

Ж ПИ
ЗА ДНИ
НУ

РА КУ
ЛЫ ГО

ТИ РАС
КУ ВО

О
НИ НО

№7(32) ИЮЛЬ 2005

ТР
С
БЫ
подписной индекс 81655
КА

www.samag.ru

Настраиваем Kerberos поверх LDAP

И
ЬГ
ЬД О
РА СКА
ТЕ
К

ИС НН
ЕН
УС

БО
НА ТПУ

ИЛ ДА
ТП

НЧ ЖИ
ВО

РА Е О

Open-Xchange – свободу группам!

КО НЕО
АВ СЛ
Л

Л
ХА

ПО
УЕ

ЗА
Есть ли жизнь
без антивируса?
Так видит журнал читатель, оформивший подписку:
Запускаем spamd
на FreeBSD
Проверяем
HTTP-трафик на лету
Настраиваем WSUS
Устанавливаем связку
Postfix + Exchange
Удаленно управляем
BIOS Setup
ПОДПИШИТЕСЬ И ЧИТАЙТЕ! Автоматизируем подключение
№7(32) июль 2005

баз 1С новой версии 8.0

Роспечать – 81655
Пресса России – 87836
Интер-почта – тел. (095) 500-00-60
 оглавление
2 СОБЫТИЯ 48 Автоматизируем подключение
баз 1С новой версии 8.0
3 ТЕНДЕНЦИИ Рассматриваем новый механизм подключения баз 1C.
Иван Коробко
БЕЗОПАСНОСТЬ ikorobko@prosv.ru

4 Проверяем HTTP-трафик на лету 54 Устанавливаем и настраиваем

Настраиваем антивирус-прокси на основе ClamAV и Windows Server Update Services
HTTP AntiVirus Proxy. Андрей Маркелов Служба WSUS облегчит отслеживание выхода новых
andrew@markelov.net версий программ, позволит своевременно устанавливать
обновления, и, как следствие, повысит уровень безопас-
6 DansGuardian + ClamAV ности информационной системы вашей компании.
Фильтруем веб-содержимое и строим антивирусную Сергей Сергеев
защиту. Андрей Авраменко sergs13@yandex.ru
liksx@mail.ru
60 Open-Xchange – свободу группам!
9 Проактивные системы защиты, Появилась альтернатива MS Exchange и Lotus Notes – те-
или Есть ли жизнь без антивируса? перь нам доступна свободная версия Novell/SUSE Linux
Обзор приложений, способных конкурировать с анти- Open-Xchange сервера. Павел Лебедев
вирусами. Сергей Яремчук lebedev.pavel@gmail.com
grinder@ua.fm
HARDWARE
14 Запускаем spamd на FreeBSD
Тонкости настройки программы для эффективного бло- 66 LinuxBIOS – фундамент для Linux?
кирования спама. Сергей Супрунов Спроектированная для работы в многоузловых клас-
amsand@rambler.ru терных системах, технология LinuxBIOS сегодня может
быть использована не только в серверах, но и в рабо-
20 Развертываем Heimdal Kerberos чих станциях. Так что же это – еще один BIOS или что-
Инфраструктура Kerberos в локальной сети. то большее? Антон Борисов
Михаил Кондрин a.borisov@tesv.tmb.ru
mkondrin@hppi.troitsk.ru
70 Удаленно управляем BIOS Setup
26 Настраиваем Kerberos поверх LDAP... Каждый из вас сталкивался с необходимостью войти
… и получаем однородную информационную среду для в BIOS Setup и слегка его «подкрутить» или починить
аутентификации и авторизации пользователей в Linux. «рухнувшую» Windows NT, Linux/FreeBSD. Традиционно
Алексей Барабанов эта задача решается при помощи мыши и клавиатуры,
alekseybb@mail.ru но что делать, если сервер физически недоступен?
Крис Касперски
АДМИНИСТРИРОВАНИЕ kk@sendmail.ru

32 Asterisk и Linux: миссия IP-телефония ПРОГРАММИРОВАНИЕ

Действие 2
Как подключить Asterisk к обычной телефонной сети. 76 Разрабатываем информационные
Михаил Платов системы на PHP методом визуального
platov@cs.vsu.ru программирования
Если вы часто создаете веб-приложения на языке
39 FreeBSD tips: работаем с TFTP PHP, вам пригодится инструмент, позволяющий стро-
Для некоторых задач возможности протокола FTP ока- ить PHP-код информационных систем в автоматичес-
зываются избыточными. Чтобы не тратить ресурсы на ком режиме. Евгений Воякин
их поддержку, воспользуемся TFTP. evgy@mail.ru
Сергей Супрунов
amsand@rambler.ru WEB
42 Устанавливаем связку Postfix + Exchange 82 История развития сайтостроения
Как организовать внутрикорпоративный документообо- Оценим текущее состояние WWW и определим его бу-
рот на базе MS Exchange, оставив пользователям воз- дущее развитие. Алексей Моисеев
можность общаться по электронной почте с внешним tsaralex@alpe.ru
миром, и при этом не уменьшить уровень внутренней
безопасности? Владимир Агапов 86 Кто, куда, зачем пришел,
onix@deepnet.ru или Анализируем логи веб-сервера
На каждом веб-сайте работает счетчик посещений. И
46 Автоматизация MS Windows, или AutoIt это неудивительно: всем нам интересно, а кому-то еще
как мечта эникейщика. и важно для бизнеса, сколько раз пользователи все-
Часть 4 мирной паутины посещали наш сайт.
Диск с автоматически установленной ОС Windows го- Денис Городецкий
тов. Теперь и рядовой сотрудник компании сможет уста- denik27@nm.ru
новить новую и переустановить поврежденную станцию
без локального участия системного администратора. 93 КНИЖНАЯ ПОЛКА
Алексей Барабанов
alekseybb@mail.ru 59, 94 BUGTRAQ

№7, июль 2005 1

 события
15-17 сентября
Open Source Forum’2005, п. Архыз
Некоммерческая общественная организация «ITX commu-
nity» совместно с Северо-Кавказской группой пользовате-
лей Linux «NC LUG» приглашают вас принять участие во
втором Международном форуме «Open Source Forum’05»,
намеченном на 15-17 сентября 2005 года в посёлке Архыз,
пансионат компании «ЮгТехМонтаж».
Цель форума: съезд IT- специалистов для обмена мне-
ниями, опытом в разработке решений на базе Open Source,
практикой внедрения.
Все подробности предстоящего события, а также реги-
страция слушателей и докладчиков на http://lug.kmv.ru/news.
php?extend.465 и http://itx.ru/projects/osf/index.html.
27 сентября – 1 октября
SofTool пройдет уже в 16-й раз
Ежегодная выставка «СОФТУЛ», отметившая в прошлом
году свое 15-летие, будет проводиться в период с 27 сен-
тября по 1 октября 2005 года в Москве, в 69-м павильо-
не ВВЦ. Выставка «СОФТУЛ» является самым крупным и
представительным российским форумом новейших разра-
боток в области информационных технологий и их приме-
нения в экономике страны. В этом году в выставке примут
участие более 300 компаний и ожидается свыше 60 000
посетителей.
Трудно переоценить значение этой выставки для раз-
вития российской компьютерной индустрии. Председа-
телем оргкомитета выставки является член президиума
Российской академии наук, академик, директор ИРЭ РАН
Ю.В. Гуляев, а в числе участников фигурируют такие из-
вестные компании, как 1С, ABBYY Software House, Галак-
тика, ГАРАНТ, Консультант Плюс, Лаборатория Касперско-
го, ПРОМТ, РЕЛЭКС, Intel, Microsoft и другие.
В рамках выставки также проходит 6-я Всероссийская
конференция «Информационные технологии в России».
Конференция включает несколько разделов по ключевым
направлениям развития IT: Управление, Информационная
безопасность, ИТ в образовании.
Выставка в этом году включает в себя 5 расширенных
экспозиций со своими секциями конференции: Документо-
оборот (DOCFLOW), LinuxLand, АСУТП’Экспо, САПР’Экспо,
ИТ в медицине и фармации.
Выставка LinuxLand на SofTool’2005
В этом году впервые в истории выставки под ее эгидой бу-
дет проводиться специализированная секция – LinuxLand,
предназначенная для компаний, работающих в области
Open Source.
Ее организатором выступит портал Линуксцентр (httt:\\
www.linuxcenter.ru). На LinuxLand планируется собрать все
Linux-компании в одном секторе выставочной площади, вы-
деляющемся среди остальных стендов особой застройкой,
приподнятым подиумным полом и освещением. В рамках
LinuxLand будет организована Демо-Зона, где посетители
выставки смогут непосредственно познакомиться с предла-
гаемыми решениями для корпоративных, домашних поль-
2
зователей и миграции с Windows. Помимо этого будет про-
ведена конференция по вопросам использования Linux в
бизнесе, образовании и обеспечении информационной бе-
зопасности. Организаторами конференции являются пор-
тал Линуксцентр и компания Linux INK.
Помимо собственного сектора выставки Linux будет ак-
тивно использоваться и в традиционных для SofTool облас-
тях. Участникам ежегодных Софтулийских игр будут пред-
ложены задания по тематике Open Source, будут проведены
Linux-конкурсы для школьников и студентов как наиболее
активных и обучаемых членов компьютерного сообщества.
Посетители интернет-кафе смогут воспользоваться терми-
налами с предустановленной ОС Linux.
Более подробную информацию о LinuxLand можно по-
лучить на официальном сайте выставки по адресу: http:\\
www.linuxland.ru.
13-16 октября
ISDEF’2005: инвестиции в будущее
Открыта регистрация на четвертую ежегодную междуна-
родную конференцию ISDEF’2005. Одной из центральных
тем для обсуждения в этом году станет развитие софтвер-
ных компаний.
Ассоциация ISDEF («Форум независимых разработчи-
ков программного обеспечения») объявляет о начале ре-
гистрации участников четвертой международной конфе-
ренции ISDEF’2005, которая пройдет в гостинице «Holiday
Inn» (п. Виноградово, 4 км от МКАД по Дмитровскому шос-
се) с 13 по 16 октября 2005 года.
Международная конференция ISDEF – это знаковое ме-
роприятие не только для российского, но и мирового IT-рын-
ка. Ежегодно ISDEF собирает все большее количество по-
сетителей со всего мира. В прошлом году ISDEF’2004 со-
брал около 500 участников, среди которых не только разра-
ботчики и производители программного обеспечения, но и
журналисты, крупнейшие дистрибьюторы и паблишеры ПО,
представители инвестиционных и юридических компаний,
государственных организаций и финансовых структур.
В этом году самыми насыщенными и объемными (как
по количеству участников, так и продолжительности) ста-
нут секции, посвященные развитию компаний. Выбор те-
мы обусловлен в первую очередь новым этапом становле-
ния российских компаний-производителей ПО, работаю-
щих как на отечественный, так и западный рынок. От ста-
дии становления российские софтверные компании пере-
ходят к этапу бурного роста, сталкиваясь с необходимос-
тью грамотно решать проблемы по эффективному управ-
лению, продвижению продуктов на международный рынок,
привлечению инвестиций и их оптимальному использова-
нию. Обсуждению этих вопросов будет посвящены все три
дня конференции. Также пройдут уже ставшие традицион-
ными тематические секции по юриспруденции, маркетингу
и игровому рынку ПО.
Без всякого сомнения, участие в конференции
ISDEF’2005 станет самой важной инвестицией в будущее
для многих софверных компаний.
Для участия в конференции вам необходимо зареги-
стрироваться на сайте: www.isdef.org.

Mozilla Suite будет жить
Новый учрежденный проект SeaMonkey Project продолжит
совершенствование набора открытых продуктов Mozilla
Suite. Результаты работы SeaMonkey не станут официаль-
ным обновлением к Mozilla Suite от Mozilla Foundation, одна-
ко организация будет взаимодействовать с группой разра-
ботчиков, предоставит им всю необходимую инфраструкту-
ру, а улучшения, проводимые в SeaMonkey, будут возвра-
щаться в кодовую базу Mozilla, откуда затем уже попадать в
другие продукты Mozilla (Firefox и Thunderbird). Первые рели-
зы SeaMonkey должны появиться в ближайшее время, и со-
общается, что пользователи Mozilla 1.7.x и Mozilla 1.8 Alpha/
Beta смогут найти в них множество улучшений.
Проблемы в безопасности Debian
Как стало известно от Мартина Шульца, после выпуска Debi-
an GNU/Linux 3.1 (Sarge) в инфраструктуре обеспечения бе-
зопасности возникли некоторые проблемы, из-за которых
команда Debian Security Team не могла выпускать обнов-
ления к уязвимым пакетам. Майкл Стоун в свою очередь
жаловался на нехватку людских ресурсов для своевремен-
ного создания необходимых патчей. Однако уже в скором
времени все проблемы были полностью решены, и с пер-
вой половины июля инфраструктура обеспечения безопас-
ности для двух последних стабильных релизов дистрибути-
ва Debian GNU/Linux (3.1 «Sarge» и 3.0 «Woody») вновь пол-
ностью функционирует, патчи ко всем пакетам предостав-
ляются в обычном режиме.
Вена начинает переход на Linux
В столице Австрии стартовала программа по миграции на
программное обеспечение с открытым кодом на настоль-
ных ПК. Городской советник Вены Руди Шикер представил
на пресс-конференции специально разработанный Linux-про-
ект, получивший название Wienux. Дистрибутив базируется
на Debian GNU/Linux с Linux-ядром 2.6.11, графической сре-
дой KDE и такими программами, как OpenOffice.org, Firefox
и GIMP. Департаменты городской администрации получи-
ли возможность перевода своих десктопов на Open Source.
Из 16 тысячи городских настольных ПК с Windows 2000 на
OpenOffice.org могут перейти 7,5 тысяч, а на Linux из них –
4,8 тысяч.
тенденции
сменить номер будущего major-релиза – им станет 1.5, а не
ожидавшийся ранее 1.1. Данные преобразования связаны с
желанием разработчиков отразить значимость и число нов-
шеств, которые появятся в Firefox 1.5. По ориентировочному
плану выхода Firefox 1.5 «Deer Park», его бета-версия (1.4)
выйдет в августе 2005 года, а сам стабильный релиз 1.5 –
в сентябре этого же года. Среди изменений отмечается но-
вый движок Gecko, совместимость с HIG, новая система об-
новлений, улучшения в менеджере расширений.
Проект корпоративного дистрибутива
Linux на базе Debian
Появились первые известия и подробности о проекте соз-
дания корпоративного дистрибутива на базе Debian GNU/
Linux. Среди компаний, подтвердивших свое участие в раз-
работке новой системы отмечаются: credativ GmbH, Knop-
pix, LinEx, Linspire, MEPIS, Progeny, Skolelinux, Sun Wah Linux,
UserLinux, VA Linux Japan, Xandros. Союз получил название
DCC (Debian Core Consortium), а в качестве руководителя и
главного инициатора – Progeny Linux Systems Inc., исполни-
тельным директором которой является основатель Debian
Ян Мердок. Стандартными для дистрибутива станут пакеты
формата DEB, но обещается и совместимость с RPM. Си-
стема будет соответствовать стандарту LSB (Linux Standard
Base) 2, положит основу для будущих релизов собственных
дистрибутивов компаний-участников.
Составил Дмитрий Шурупов
по материалам www.nixp.ru

IBM предлагает переход с OS/2 на Linux

Корпорация IBM официально прощается со своей опера-
ционной системой OS/2 – 23 декабря этого года продажи
OS/2 будут прекращены, а поддержка ОС продлится до
31 декабря 2006 года. В то же время IBM опубликовала до-
кумент для пользователей OS/2 по миграции на открытую
операционную систему Linux: «Среди продукции IBM заме-
ны нет. IBM предлагает пользователям OS/2 рассматривать
Linux как альтернативную операционную систему для кли-
ентских и серверных систем с OS/2». А петицию с прось-
бой открыть исходные коды OS/2 к концу июля подписало
свыше 12 тысяч человек.

Mozilla меняет план выпуска Firefox 1.1

Некоммерческая организация Mozilla Foundation обновила
план выпуска следующей версии браузера Firefox и решила

№7, июль 2005 3

 безопасность

ПРОВЕРЯЕМ HTTP-ТРАФИК НА ЛЕТУ

Сегодня антивирусная защита – непременный

атрибут грамотно спланированной IT-стратегии
организации. Для не обремененного лишними
деньгами бюджета IT-отдела закупка
и установка на всех пользовательских
компьютерах антивирусных программ может
стать вполне весомой статьей расходов.
АНДРЕЙ МАРКЕЛОВ Можно ли как-то
как-то избежать лишних
лишних затрат
затрат??

П
редставим, что у пользователей отсутствуют или от- Предполагается, что у вас уже имеется настроенный
ключены НГМД (про CD-ROM и USB я даже не упо- прокси-сервер, например Squid. На момент написания ста-
минаю – на мой взгляд, это непозволительная ро- тьи последней версией HAVP была 0.62. Установка произ-
скошь для клиентских рабочих мест). Почта уже проверя- водилась на Red Hat Linux Enterprise 4, но без проблем все
ется каким-нибудь открытым антивирусом типа Clamav. В должно работать и на других UNIX-системах.
таком случае единственным возможным источником виру-
сов может являться «дикий Интернет». И если доступ поль- Устанавливаем HAVP
зователям открыт только через протокол HTTP, то только Для начала создадим отдельную ФС для временных фай-
его нам и остается сканировать на предмет вирусов. Делать лов HAVP. Отдельную – потому что ее необходимо монти-
это удобнее и дешевле на сервере при помощи открытого ровать с поддержкой так называемых «ручных блокиро-
ПО, чем мы и займемся. вок» для файлов (mandatory locks).
Для проверки наличия вирусов традиционно предла- Это делается при помощи опции mand, команды mount.
гаю использовать наиболее распространенный из свобод- Я предпочел для ускорения работы и снижения нагруз-
ных антивирусов – Clam AntiVirus (http://www.clamav.net). Я ки на дисковый массив создать такую файловую систе-
не буду подробно рассказывать о его преимуществах и осо- му в ОЗУ:
бенностях, о которых уже написано в статьях [1, 2, 3]. Се-
годня мы разберем практические вопросы установки и ин- # mkdir /var/tmp/havp
# chown nobody /var/tmp/havp
теграции антивируса с прокси-сервером. В качестве прок- # chgrp nobody /var/tmp/havp
си мы возьмем HTTP AntiVirus proxy (HAVP) [4]. # mount -t tmpfs -o size=100M,mand tmpfs /var/tmp/havp
Помимо HAVP также рассматривались и другие вари-
анты. Но они либо на платной основе в случае коммерче- Соответствующая строчка, которую необходимо до-
ского применения как dansguardian.org (plug-in к нему), ли- бавить в /etc/fstab для автоматического создания файло-
бо показались менее стабильными, по отзывам в форумах. вой системы во время загрузки, выглядит следующим об-
Наверняка это не единственное, и, возможно, не самое разом:
лучшее решение, но тем не менее оно существует и впол-
не справляется с поставленными задачами. С возможны- # <fs> <mt _ point> <type> <options> ↵
<dump> <pass>
ми альтернативными вариантами вы можете ознакомить- tmpfs /var/tmp/havp tmpfs auto,size=100M,mand ↵
ся по ссылке [5]. 0 0
HTTP AntiVirus proxy – это прокси-сервер с фильтром –
антивирусом. Сканируется весь трафик, и проверка на ви- Проверяем, как смонтировалась наша файловая систе-
русы является единственной задачей данного прокси-серве- ма. Мы должны получить что-нибудь похожее на:
ра. Поэтому вполне разумным было бы использовать HAVP
в связке с кэширующим прокси, умеющим фильтровать тра- # df –h /var/tmp/havp
фик, например Squid. Ключевыми особенностями HAVP яв- tmpfs 100M 0 100M 0% /var/tmp/havp
ляются возможность непрерывной проверки трафика без
тайм-аутов и блокировок, а также корректная работа с ди- Кроме того, создадим директорию для лог-файлов прок-
намическими и защищенными паролем страницами. си-сервера и выставим владельца:

4
 безопасность
# mkdir /var/log/havp StreamSaveToDisk
# chown nobody /var/log/havp
# chgrp nobody /var/log/havp
и удаляем строчку:
Теперь развернем предварительно скачанный со стра-
нички [4] исходные коды прокси-сервера. Example

# tar zxvf havp-0.62.tar.gz Наконец, запускаем демон командой:

Далее, заходим в директорию havp-0.62 и начинаем пра- # /usr/local/sbin/clamd

вить файл havp/default.h. Изменить требуется следующее:
Теперь пробуем проверить наше свежеустановлен-
#deÞne GROUP "nobody" ное решение. После того как в настройках браузера ука-
// В дополнение к пользователю, из-под которого будет
// запускаться служба, меняем на nobody и группу жете порт, назначенный HAVP, и IP-адрес прокси, по ссыл-
#deÞne PARENTPROXY "localhost" ке [7] можно попробовать скачать тестовую сигнатуру ви-
#deÞne PARENTPORT 3128
// Указываем хост и порт, на котором установлен кэширующий руса. Что должно получиться при этой попытке, вы види-
// прокси-сервер, например Squid. Если «родительского» те на рис. 1, 2.
// прокси у вас нет, то комментируем
#deÞne SCANTEMPFILE "/var/tmp/havp-XXXXXX"
#deÞne ACCESSLOG "/var/log/havp/access.txt"
#deÞne ERRORLOG "/var/log/havp/error.txt"
// Указываем шаблон временных файлов и имена файлов
// журналов. При этом все три указанные директории и два
// файла журналов должны быть созданы вручную и иметь
// соответствующие разрешения для пользователя,
// из-под которого запускается HAVP. Естественно, вы можете
// изменить пути и названия файлов по своему усмотрению

Остальное можно оставить без изменений. Теперь вы-

полним стандартные для компиляции и установки програм-
мы шаги:

# ./conÞgure
# make
# make install

Сервис запускается командой /usr/local/bin/havp. Сле-

Рисунок 1. Пытаемся скачать файл с вирусом
дующим шагом необходимо установить антивирус Clamav.
Как это делать, описано ниже.

Устанавливаем Clamav
Про установку антивируса Clamav читайте в [1, 2, 3]. Здесь
же я приведу минимально необходимые для установки све-
дения. Добавляем группу и пользователя, из-под которого
будет запускаться демон:
# groupadd clamav
# useradd -g clamav -s /bin/false clamav
Скачиваем с сайта проекта [6] последнюю версию ис-
ходников, разархивируем и правим в clamav-config.h пере-
менную SCANBUFF. Ее значение должно быть меньше, чем
указанное в переменной MAXRECV файла havp/default.h.
После чего выполняем привычные:
# ./conÞgure
# make
# make install
Добавляем в crontab строчку, запускающую команду по
обновлению антивирусных баз:
1 * * * * /usr/local/bin/freshclam -quiet
Правим файл /usr/local/etc/clamav.conf. Добавляем:
LocalSocket /var/run/clamd.sock
Рисунок 2. Сработала защита
Не забудьте запретить пользователям подключаться
напрямую к Squid. Если все получилось, то я могу вас по-
здравить с очередным успешным шагом в создании защи-
щенной локальной сети.
Литература, ссылки:
1. Маркелов А. Броня моллюска. Обзор и установка анти-
вируса ClamAV. – Журнал «Компьютерра» №21, 2004 г. –
34-35 с. Статья доступна в Интернете по адресу: http://
www.markelov.net/articles.php?lng=ru&pg=44.
2. Яремчук С. Свободный антивирус. – Журнал «Систем-
ный администратор», №8, 2004 г. – 24-25 с.
3. Супрунов С. Еще раз о ClamAV: особенности установ-
ки в FreeBSD. – Журнал «Системный администратор»,
№3, 2004 г. – 32-37 с.
4. HAVP – http://www.server-side.de.
5. Методы проверки HTTP-трафика при помощи Clamav –
http://www.clamav.net/3rdparty.html#webftp.
6. http://www.clamav.net.
7. Тестовая сигнатура вируса – http://www.eicar.org/anti_vi-
rus_test_file.htm.

№7, июль 2005 5

безопасность

Dans
ansG
Guardian + C
Clam
lamAV:
AV:
ФИЛЬТРУЕМ ВЕБ-СОДЕРЖИМОЕ
И СТРОИМ АНТИВИРУСНУЮ ЗАЩИТУ

АНДРЕЙ АВРАМЕНКО

Сегодня многие компании все больше внимания уделяют информационной безопасности.

Для ее обеспечения, по данным исследования IDC, российские пользователи затратили почти
42$ млн. на специализированное программное обеспечение. Но существуют и бесплатные
продукты, не уступающие коммерческим по функциональности.

Я
думаю, ни для кого не секрет, что большая часть ви- дить и на локальной машине, но централизованная филь-
русов попадает на компьютеры локальной сети из Ин- трация трафика гораздо проще в обслуживании и позволя-
тернета. Конечно, проверку на вирусы можно прово- ет экономить ресурсы компьютеров локальной сети.

6
 безопасность
DansGuardian – фильтр веб-содержимого для ОС Linux, --runas _ grp=squid
FreeBSD, OpenBSD, NetBSD, Mac OS X, HP-UX и Solaris, ис- make
пользует прокси-серверы squid или oops. Он фильтрует со- make instal
держимое несколькими методами: по фразам, картинкам
и URL. В отличие от некоторых других фильтров, он не ис- Далее следует настроить dansguardian. Конфигураци-
пользует «черный лист» URL, который надо постоянно об- онный файл /etc/dansguardian/dansguardian.conf оснащен
новлять (да и к тому же Интернет большой, все не пере- отличными комментариями, так что, я думаю, не будет за-
числишь). труднений в конфигурировании:
Проект постоянно дорабатывается, имеется коммерчес-
кая версия под названием SmoothGuardian. В ней есть не- reportinglevel = 3
languagedir = '/etc/dansguardian/languages'
сколько дополнительных возможностей: блокировка лицен- # К сожалению, русского языка в списке нет. Я сделал
зионной музыки, удаление рекламы, многоязыковая под- # перевод и в ближайшее время отправлю автору. Вы можете
# скачать архив с сайта журнала http://www.samag.ru,
держка фраз фильтрования, генерация стандартных отче- # раздел «Исходный код». Чтобы установить язык, необходимо
тов, таких как самые популярные сайты, пользователи и # разархивировать файл в папку /etc/dansguardian/languages
# и в конфигурационном файле указать:
сайты, заблокированные чаще всего, позволяет блокиро- language = 'russian'
вать «по часам», т.е. блокировка происходит в определен-
# Что записывать в лог
ное время, и другое. # 0 = none 1 = just denied 2 = all text based
Я буду использовать именно бесплатную версию, так как # 3 = all requests
loglevel = 2
ее конфигурирование считается более сложным. # Протоколировать, если страница была передана пользователю
Я устанавливал dansguardian на ОС Linux Alt Mas- logexceptionhits = on
ter 2.4: # формат ведения лога
! Версия dansguardian – 2.8.0.3 (версия антивирусного # 1 = DansGuardian format
# 3 = Squid Log File Format
2 = CSV-style format
4 = Tab delimited
патча 6.3.8). logÞleformat = 1
! Версия squid – 2.5.STABLE9. # Местонахождение лог-файла
! Версия clamav – 0.86.1. loglocation = '/var/log/dansguardian/access.log'
! Версия libesmtp – 1.0.3r1.
# Сетевые опции
Dansguardian не является редиректором (как, напри- # IP-адрес, на котором слушает dansguardian
Þlterip =
мер, squidGuard), хотя многие первоначально думают имен- Þlterport = 8080
но так. Это прокси-сервер, и он использует squid как веб-
# IP-адрес и порт прокси-сервера (squid или oops)
браузер. Для того чтобы пользователи не использовали proxyip = 127.0.0.1
squid напрямую, необходимо в конфигурационном фай- proxyport = 3128
ле firewall указать перенаправление с порта squid на порт # URL, на который произойдет переадресация при блокировке
dansguardian. Либо установить dansguardian на порт 3128, accessdeniedaddress = ↵
'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl'
а squid перенести на какой-либо другой, открыв доступ nonstandarddelimiter = on
только с 127.0.0.1
# Заменять запрещенную картинку какой-нибудь своей
Для начала установим СlamAV. Скачать его можно с usecustombannedimage = 1
официального сайта http://www.clamav.net. custombannedimageÞle = '/etc/dansguardian/transparent1x1.gif'

# Создать фильтр для группы пользователей.

./conÞgure # Dansguardian будет автоматически смотреть в файл
make # dansguardianfN.conf, где N – номер группы
make install Þltergroups = 1
# Чтобы поставить пользователей в соответствие с группами,
# отредактируйте файл Þltergrouplist
Конфигурирование clamav не займет много времени. Þltergroupslist = '/etc/dansguardian/Þltergroupslistv
Просто немного подредактируйте clamd.conf. # Местоположение файлов аутентификации
bannediplist = '/etc/dansguardian/bannediplist'
Dansguardian требует библиотеку libesmtp для отправки exceptioniplist = '/etc/dansguardian/exceptioniplist'
сообщений системному администратору. Скачать ее мож- banneduserlist = '/etc/dansguardian/banneduserlist'
exceptionuserlist = '/etc/dansguardian/exceptionuserlist'
но с http://www.stafford.uklinux.net/libesmtp.
Устанавливается просто: # Записывать в лог найденные причины блокировки.
showweightedfound = on
./conÞgure –-preÞx=/usr # 0 = off – не использовать
make # 1 = on, normal – использовать в стандартном режиме
make install # 2 = on, singular – записывать каждый аргумент,
# но только один раз для страницы
weightedphrasemode = 2
Пропатчивать dansguardian для поддержки firewall не urlcachenumber = 2000
нужно, скачать его с поддержкой антивируса можно с http:// urlcacheage = 900
www.harvest.com.br/asp/afn/dg.nsf. # Фильтрация содержимого по фразам
# 0 – фильтрация html вместе с мета-тэгами
# 1 - удаление многочисленных пробелов и html-тэгов
./conÞgure # перед фильтрацией
--sysconfdir=/etc/dansguardian/ # 2 – оба метода
--cgidir=/var/www/cgi-bin/ phraseÞltermode = 2
--runas _ usr=squid preservecase = 0

№7, июль 2005 7

безопасность
# Перекодировка в hex для фильтрования документов # файлов, в которых можно вписывать исключения,
# с различными кодировками # т.е. информация с данных сайтов, url, ip или по запросам
hexdecodecontent = 0 # данных пользователей не будет фильтроваться.
# Использовать алгоритм «Quick Search», в отличие от virusscanexceptions = on
# алгоритма DFA. Алгоритм DFA позволяет работать быстрее, urlcachecleanonly = on
# но его текущая версия не совсем совместима с 16-битными virusscannertimeout = 60
# символами. Если вы хотите использовать 16-битные символы, # Использование почтового оповещения
# включите эту опцию. notify = 0
forcequicksearch = 0

reverseaddresslookups = off # Настройки CLAMDSCAN

reverseclientiplookups = off # --------------------
# Сокет демона clamd (указывается в clamd.conf)
# Создавать файлы bannedsitelist и bannedurllist localsocket = '/tmp/clamd'
# со списком запрещенных сайтов и URL
createlistcacheÞles = on
# Настройки CLAMAV
# Максимальный размер передаваемого от клиента файла # --------------------
# в байтах clmaxÞles = 1500
# 0 – блокировать clmaxreclevel = 3
# -1 – не блокировать clmaxÞlesize = 10485760
# или размер файла
maxuploadsize = -1 Конфигурационный файл squid менять не будем. Будем
maxcontentÞltersize = 256
# Методы аутентификации пользователя на прокси-сервере считать, что squid настроен и нормально функционирует, за
usernameidmethodproxyauth = on исключением того случая, если вы хотите установить Dan-
# **На данный момент не работает**
usernameidmethodntlm = off sguardian на порт 3128. Тогда необходимо изменить порт в
usernameidmethodident = off конфигурационном файле squid.
preemptivebanning = on
# Добавлять заголовки X-Forwarded-For: <IP-адрес клиента> Теперь необходимо настроить firewall на перенаправле-
forwardedfor = off ние. В Linux это делается примерно так:
usexforwardedfor = off
logconnectionhandlingerrors = on
iptables -t nat -A PREROUTING --dst x.x.x.x -p tcp ↵
# Опции дочерних процессов --dport 3128 -j DNAT --to-destination x.x.x.x:8080
# Максимальное количество процессов
maxchildren = 120 x.x.x.x поменяйте на IP интерфейса, который смотрит в сто-
# Первоначальное количество процессов
minchildren = 8 рону локальной сети.
# Количество процессов, которые должны быть готовы Ну вот и все. Теперь при скачивании файла, содержаще-
# к соединению
minsparechildren = 4 го вирус, у вас в этом файле появится сообщение о вирусе.
preforkchildren = 6 Конечно, не очень удобно, но зато безопасно. Лучшим вари-
# Максимальное количество бездействующих процессов
maxsparechildren = 32 антом теперь, наверное, будет не сохранять файлы на диск,
# Максимальное количество сайтов, обработанных процессом а сразу открывать, тогда не будет недоразумений.
maxagechildren = 500
К недостаткам dansguardian относится отсутствие ру-
# Опции коммуникации между процессами
сификации, т.е. происходит фильтрация по английским
ipcÞlename = '/tmp/.dguardianipc' фразам (придется самим придумывать фразы для филь-
urlipcÞlename = '/tmp/.dguardianurlipc' тра). При проверке больших файлов также придется по-
# PID Þlename дождать. Dansguardian использует больше ресурсов сер-
pidÞlename = '/var/run/dansguardian.pid' вера, по сравнению с редиректорами, что тоже нельзя от-
nodaemon = off
nologger = off нести к плюсам.
# Пользователь и группа, с чьими правами запускается В заключение хотел бы сказать, что необходимо от-
# dansguardian
daemonuser = 'squid' редактировать файлы, находящиеся в каталоге /etc/
daemongroup = 'squid' dansguardian, на которые есть ссылки из основного конфигу-
softrestart = off
рационного файла, так как при тестировании, например, вы-
# Антивирусные настройки яснилось, что по умолчанию он блокирует zip-архивы. Про-
# --------------------
# Включить проверку на вирусы грамма должна быть настроена под политику безопасности
virusscan = on организации, то есть если организация позволяет скачивать
# Способ проверки clamdscan, clamav или kav
virusengine = 'clamav' музыку, то какой смысл блокировать mp3-файлы.
# Максимальное количество информации, переданной клиенту, В целом у меня о программе сложилось хорошее впе-
# если файл содержит вирус
tricklelength = 32768 чатление. Простая в установке, несложная в настройке,
Þrsttrickledelay = 30 она имеет достаточно обширные возможности. Хотелось
followingtrickledelay = 60
# Список типов MIME, не проверяемых на вирусы бы, чтобы данный проект и дальше развивался, позволяя
exceptionvirusmimetypelist = ↵ системным администраторам защищать локальную сеть от
'/etc/dansguardian/exceptionvirusmimetypelist'
# Максимальный размер содержимого для проверки, нежелательных данных.
# если 0 – не ограничено
maxcontentscansize = 0
# Файлы с определенными расширениями не будут проверяться Ссылки:
exceptionvirusextensionlist = ↵ 1. Введение в dansguardian и руководство по детальной
'/etc/dansguardian/exceptionvirusextensionlist'
# Временная директория, в которую сохраняется файл инсталляции dansguardian: www.dansguardian.org.
# для проверки 2. Информация о продукте SmoothGuardian: www.smooth-
downloaddir = '/tmp/dgvirus'
# В директории /etc/dansguardian содержатся несколько wall.net.

8

ПРОАКТИВНЫЕ СИСТЕМЫ ЗАЩИТЫ,
ИЛИ ЕСТЬ ЛИ ЖИЗНЬ БЕЗ АНТИВИРУСА?
Антивирусное программное обеспечение так тесно вошло в жизнь каждого пользователя
компьютеров, что редко кто задумывается о наличии альтернативного решения. Существуют
программы проактивной защиты компьютеров, которые в отличие от реактивных систем,
используемых в настоящее время, способны обнаруживать новые угрозы.
О
тношения пользователей по от-
ношению к антивирусам варьи-
руется от полной уверенности
в защите до осознания того, что глав-
ное – выдержать первый удар. Дейс-
твительно антивирусы сегодня несут
уже не столько защитную функцию,
а скорее используются как средство
оценки нанесенного ущерба и удале-
ния заразы. Антивирусные компании,
полностью осознавая то, что вирус –
это некий алгоритм, включающий не
только программу со всеми команда-
ми, но и определенные действия, при-
водящие к поражению данных, упорно
продолжают идти наиболее простым
путем. И мы до сих пор пользуемся ан-
тивирусами, которые просто сравнива-
ют набор знаков, взятых из антивирус-
ных баз, с другим (файлом пользовате-
ля или оперативной памятью).
В итоге традиционные антивирус-
ные решения фактически оказались
не способны в одиночку противостоять
качественному разнообразию сущест-
вующих угроз. На одном из курсов, для
того чтобы убедить скептиков, я распа-
ковал вирус MyDoom, до этого благопо-
лучно распознаваемый антивирусами
с обновленными базами, а затем за-
паковал уже другим упаковщиком. Ан-
тивирусы оказались не способны най-
ти модернизированный, но работоспо-
№7, июль 2005
собный вариант вируса. Система об-
наружения, основанная на опыте пре-
дыдущих атак, становится бесполез-
ной при столкновении с неизвестным
вирусом или шпионской программой.
Для того чтобы сгенерировать сигна-
туру, антивирусной компании необхо-
димо получить экземпляр вируса, вы-
делить специфический только для него
фрагмент, и только после этого он бу-
дет занесен в базу. На все это уходит
некоторое время (а вслучае полимор-
фного вируса процесс создания сигна-
туры может еще более затянуться), в
течение которого антивирусы не спо-
собны, противостоять новому врагу,
но вполне достаточному, чтобы новый
червь заразил сотни тысяч компьюте-
ров. Классические сигнатурные анти-
вирусы оказываются не способны пре-
дотвратить глобальные эпидемии.
С другой стороны, наблюдение за
работой системы либо за основными
файлами позволяет определить не-
приятности и предотвратить нападе-
ние, такие системы принято относить
к классу систем предотвращения про-
никновения (Intrusion prevention sys-
tems) и проактивным системам защи-
ты. В мире Linux давно известны та-
кие проекты, как LIDS, RSBAC, grsecu-
rity, tripwire и другие которые при пра-
вильной настройке надежно защища-
безопасность
СЕРГЕЙ ЯРЕМЧУК
ют систему. В последнее время ста-
ло заметно оживление и среди раз-
работчиков систем безопасности для
ОС Windows.
Прежде чем приступить к конкрет-
ным решениям, хотелось бы пару слов
сказать об проблемах. Первое и самое
трудное, что придется сделать – это
убедить самого себя в том, что такая
утилита способна защитить компьютер
или хотя бы отреагировать. В течение
двух лет мой подопытный компьютер
защищался одним из бесплатных ан-
тивирусов, как правило, с базами по-
лугодичной давности, межсетевым эк-
раном и одной из программ, описанных
ниже. За это время система подверга-
лась (и постоянно подвергается) мно-
гочисленным атакам, но заражения так
и не произошло.
Вполне возможно, что просто по-
везло, а может, пора действительно пе-
ресмотреть взгляды. Но вся загвоздка
в том, что утилиты требуют от пользо-
вателя определенных знаний и неко-
торого понимания происходящего в
системе. Появление нового процесса
должно насторожить пользователя, он
должен как минимум прочитать преду-
преждающее сообщение и затем при-
нять верное решение. Щелчок по кноп-
ке без раздумий может привести к за-
ражению. Хотя стоит отметить, что в
9
 безопасность
последнее время такие программы, за-
дают уже меньше вопросов, самостоя-
тельно принимая решение.
Далее, если утилиты отреагиру-
ют на новый процесс, вызванный ата-
кой червя, то, вполне возможно, смо-
гут проспать макровирус, если он бу-
дет заражать только файл шаблонов
или рабочий документ без создания
новых файлов и процессов. Но в боль-
шинстве своем они реагируют на воз-
никшую проблему. Естественно, луч-
ше всего подобные программы уста-
навливать на «чистую» систему, так
легче будет контролировать добавле-
ние программ в «белый» список. Плюс
ко всему поведенческие программы не
всегда могут остановить проникнове-
ние, и для того чтобы вылечить или
найти зараженные файлы, все равно
необходимо использовать антивирус,
поэтому такие средства следует отно-
сить скорее к вспомогательным (под-
страховочным), основной их задачей
остается недопущение эпидемий, пос-
кольку они могут блокировать массо-
вые заражения. Для основной защи-
ты по-прежнему необходимо исполь-
зовать связку – межсетевой экран +
антивирус.
Часовой по имени Scotty
Начну с программы, которой поль-
зуюсь уже более двух лет. WinPatrol
(http://www.winpatrol.com) текущая вер-
сия 9.1, статус freeware, поддерживают-
ся Windows 95, 98, ME, 2000, NT и XP,
размер – 0.98 Кб.
WinPatrol делает снимок критиче-
ских системных ресурсов и предупреж-
дает в случае любых изменений. По-
сле запуска в трее возле часов появит-
ся значок с изображением собаки, на-
званной Scotty the Windows Watch Dog.
Вот теперь этот самый Scotty WWD без-
устанно и будет следить за всем, что
происходит на доверенном ему ком-
пьютере, «разнюхает» все о саморазм-
ножающиеся вирусах, Adware, Spy-
ware, троянах, пробравшихся на ваш
компьютер и, конечно, Cookies, кото-
рые будут поступать к вам постоянно.
Scotty позволяет подтверждать уста-
новку любых новых программ на ком-
пьютере. Вызвав программу, получим
окно программы с несколькими вклад-
ками (рис. 1):
! Startup Programs – позволяет про-
смотреть все запущенные прило-
10
Рисунок 1. Основное окно WinPatrol
жения, остановить или вообще
удалить из автозапуска ненуж-
ные, получить информацию о каж-
дом (имя, версия программы, ключ
реестра и пр.) или нажатием кноп-
ки «Full Report» получить отчет о
всех программах за один раз. При
первом запуске Scotty просматри-
вает список автоматически запу-
скающихся программ и при его из-
менении предупреждает об этом
пользователя.
! IE Helpers – контроль за Browser
Helper Objects, т.е. информация об
имеющихся объектах, запрос на
установку новых объектов, удале-
ние подозрительных объектов. На-
до сказать, что Browser Helper Ob-
jects запускаются каждый раз вме-
сте с Internet Explorer (который ста-
раниями Microsoft является неотде-
лимой частью систему), в том числе
и при открытии папок на локальном
компьютере. Поэтому при их помо-
щи можно без проблем следить за
пользователем, что и применяется
в программах типа SpyWare.
! Scheduled Task Monitoring – ото-
бражение запланированных задач,
контроль над добавлением новых и
получение дополнительной инфор-
мации о планируемых работах
! Services – отключить или времен-
но остановить запущенные серви-
сы и получение дополнительной ин-
формации о них. Чтобы не выиски-
вать подозрительные программы в
большом списке, можно включить
пункт «List non-Microsoft services
only», убрав таким образом систем-
ные.
! View Active Tasks – получение ин-
формации о запущенных на дан-
ный момент программах и зада-
чах, уничтожение и приостановка
ненужных и подозрительных. Так-
же при помощи этого пункта можно
разобраться в работе запущенной
системы, т.е. узнать, для чего пред-
назначена та или иная программа.
! Cookies – информирование о появ-
лении новых Cookies, отклонение,
управление и просмотр информа-
ции записанной в Cookies для при-
нятия решения. Можно также со-
ставить правило фильтрования
для Cookies, которые всегда долж-
ны удаляться (Cookies with Nuts).
! Options – установка опций самой
программы. Здесь же устанавли-
вается контроль за подменой до-
машней страницы в веб-браузере,
реакция на изменение файла hosts
или его полная блокировка, выве-
дение полного отчета по системе,
ведение истории изменений.
! File Types – позволяет просматри-
вать, контролировать и восстанав-
ливать измененную ассоциацию
приложений с расширениями фай-
лов.
! PLUS – зарегистрировавшись, вы
получаете доступ к сетевой базе
данных программ, цель которой по-
мочь пользователям разобраться в
списке незнакомых названий, ведь
надпись servise.exe в таблице про-
цессов большинству ничего не ска-

жет. На момент написания статьи
регистрация была бесплатной.
Менеджер процессов
AnVir Task Manager
Первое, что приходит в голову после
знакомства с менеджером процессов
AnVir Task Manager (http://anvir.com/an-
virrus.exe), что это не серьезно. Виной
является небольшой размер програм-
мы, чуть меньше 380 Кб. А зря. Несмо-
тря на такой маленький размер, про-
грамма помогает:
! получить полную информацию о за-
пущенных процессах (путь к файлу,
описание, время работы, родитель-
ский процесс, командная строка,
использование процессора, памяти,
список используемых dll, файлов,
драйверов, потоков, окон и пр.);
! вылечить зараженный компьютер
от вирусов, spyware и резидентных
вирусов-троянов;
! управлять приложениями, запуска-
ющимися при старте Windows, с воз-
можностью отложенного (через 1
минуту) запуска и блокировки до-
бавления новых программ (рис. 2).
Рисунок 2. Предупреждающее сообщение
AnVir Task Manager
При помощи AnVir Task Manager
возможно остановить любой процесс,
изменить приоритет, добавить в авто-
загрузку (рис. 3). Антивирусная ба-
за содержит только наиболее распро-
страненные вирусы, все запускаемые
программы и записи реестра автома-
тически проверяются на наличие виру-
сов. Кроме всего прочего, в трее ото-
бражаются иконки загрузки процес-
сора и диска, а из консоли управле-
ния можно быстро получить доступ к
основным системным утилитам.
Перехват системных
вызовов с Safe’n’Sec
Российская компания StarForce (http://
www.star-force.ru) уже давно известна
своим одноименным механизмом за-
щиты дисков от нелегального копиро-
№7, июль 2005
вания. Новая разработка Safe’n’Sec,
представленная в ноябре прошло-
го года, практически сразу получила
признание и была названа журналом
PC Magazine/RE антивирусом месяца.
При этом Safe’n’Sec не относится к ан-
тивирусам, а принадлежит к классу
систем проактивной защиты, которые
анализируют подозрительное поведе-
ние пользователя или программы. Для
малых и средних предприятий, а также
индивидуального использования пред-
назначена версия Personal. В корпора-
тивной версии Safe’n’Sec Business име-
ется административная консоль, ко-
торая позволяет системному админи-
стратору дистанционно инсталлиро-
вать и настраивать программу на ком-
пьютерах пользователей.
Версия 1.1, актуальная на момент
написания статьи, доступна в двух ва-
риантах – усеченная Safe’n’Sec ver. 1.1
и полная Safe’n’Sec ver. 1.1 + antivirus.
Последняя, как понятно из названия,
включает возможность антивирусной
проверки. Основу продукта составля-
ет модуль Intelligent activity control, поз-
воляющий обнаруживать комбиниро-
ванные атаки, предотвратить попыт-
ки внести изменения в системный ре-
естр или состояние сервисов операци-
онной системы, открыть доступ к ре-
гистрационным данным пользователя
и пр. При этом механизм принятия ре-
шения Safe’n’Sec действует на основе
правил, учитывающих все возможные
последовательности действий, класси-
фицируемых как вредоносные. Защита
Рисунок 3. AnVir Task Manager позволяет получить полную информацию о процессах
безопасность
всех данных на компьютере пользова-
теля осуществляется в соответствии с
политикой контроля активности, опре-
деляющую, какие действия и их после-
довательность нужно считать вредо-
носными. На данный момент имеются
три политики – жесткая, строгая и до-
верительная. После обнаружения по-
дозрительного приложения Safe’n’Sec
самостоятельно принимает решение
об его вредоносности и уведомляет
пользователя, который должен опре-
делить, что делать с таким приложе-
нием (разрешить или заблокировать)
(рис. 4). Причем для упрощения приня-
тия решения доступна история актив-
ности, по которой он может подробно
изучить последовательность действий,
выполненных приложением. Дополни-
тельно из консоли можно получить до-
ступ к списку запрещенных и доверен-
ных приложений, который можно здесь
же отредактировать. Для тестирования
работоспособности вместе с програм-
мой поставляется утилита snstest.exe,
которая имитирует занесение данных
в системный реестр, попытку записи и
удаления из системного каталога.
Всесторонний контроль
с RegRun
RegRun Security Suite (http://www.grea-
tis.com) работает со всеми версиями
Windows. Еще один комплект средств
для защиты компьютера против виру-
сов или троянцев, spyware и adware. Он
доступен в трех основных вариантах:
Standart (для обычных пользователей,
11
 безопасность
обеспечивает легкое управ- тор может быстро проверить
ление и безопасность), Pro- файлы, помещенные в авто-
fessional (имеет дополнитель- загрузку. Дополнительно де-
ные возможности по работе с тектор подстановки сравни-
системным реестром, позво- вает реальный путь к испол-
лят быстро оптимизировать няемому файлу с загружен-
системные параметры и обес- ным. Например, если процесс
печить надежную защиту), и с именем explorer.exe запуска-
самые большие возможнос- ется не из папки c:\windows\
ти имеет Gold, предназначен- system, а из другого места,
ная для профессионалов. По то пользователь будет опо-
ссылке http://www.greatis.com/ вещен. Трассировщик сис-
security/rus.exe доступен руси- темного реестра Registry Trac-
фикатор программы, к тому er, который имеется в верси-
же на сайте http://www.ruhelp. ях Professional или Gold, поз-
narod.ru имеется неофициаль- воляет указать список клю-
ный перевод файла помощи, чей реестра, при попытке из-
облегчающий знакомство с менения которых RegRun вы-
программой. даст предупреждающее со-
После запуска RegRun ак- общение.
тивизируется защита, опреде- Менеджер процессов поз-
ляемая уровнем безопаснос- Рисунок 4. Предупреждающее сообщение Safe’n’Sec воляет не только просмотреть
ти – от низкого до ультравы- новления они копируются в хранили- и при необходимости убить по-
сокого. В Центре Управления RegRun ще, которое находится в «Мои доку- дозрительный процесс, а также выдает
настраиваются параметры работы ос- менты\RegRun2». Правда, само хра- информацию по загруженным DLL и се-
новных модулей (рис. 5). Например, нилище почему-то программа никак не тевой активности приложений. Утили-
«WATCH DOG» обеспечивает контроль защищает и на подмену файлов никак та RunGuard, доступная в версии Gold,
за автозагрузкой в течение работы, не реагирует. проверяет файлы перед выполнением.
он может быть настроен на проверку При обнаружении модификации Контролируются файлы Microsoft Of-
конфигурации автозагрузки при стар- защищаемых файлов будет выведено fice (doc, dot, xls, xlt, ppt), html, Windows
те и выключении Windows либо через предупреждение, с указанием размера script (vbs, wsh, js, bat pif, cmd), hta и reg.
заданные промежутки времени. Если и даты создания обоих файлов. Теперь При появлении подозрительных запро-
при проверке обнаруживаются изме- этот файл можно копировать, переиме- сов они блокируются, и пользователь
нения, пользователь будет извещен новать, удалить, открыть или проска- может проанализировать содержание
об этом, и дополнительно запустится нировать антивирусной программой. файла, проверить его антивирусом, за-
утилита Start Control, при помощи ко- Для поиска вирусов, не известных ан- блокировать или разрешить дальней-
торой можно получить детальную ин- тивирусным программам, RegRun от- шее выполнение (см. рис. 6).
формацию об автоматически запуска- крывает и контролирует множество
емых программах. программ-«приманок», если обнаружи- Контроль целостности
вается изменение любого из этих фай- с Xintegrity
лов, RegRun сообщит о присутствии Немного другим путем пошли разра-
вируса. Для Windows такой приманкой ботчики Xintegrity (http://www.xinteg-
является файл winbait.exe, автозапуск rity.com). Основная задача которой –
которой заносится в реестр и сравни- контроль целостности и обнаружение
вается с winbait.org, кроме того, пре- любого даже самого незначительно-
дусмотрена возможность добавления го изменения файлов. Кроме контро-
своего подконтрольного файла. Reg- ля содержания файлов, утилита обна-
Run имеет базу данных приложений, руживает изменения в структуре ка-
которая содержит описание наибо- талога, включая альтернативные по-
лее часто встречающихся программ, токи данных (Alternate Data Streams),
помогающую пользователю опреде- изменения параметров доступа к
Рисунок 5. Центр Управления RegRun лить принадлежность к одной из четы- файлам, регистрационных данных
Одной из самых полезных функций рех групп: необходимые, бесполезные, и сервисах. Для этого первоначаль-
является File Protection, защищающая опасные и по вашему выбору. RegRun но создается база данных, содержа-
компьютер от вирусов, троянов и рабо- проверяет присутствие любых потен- щая информацию о контролируемых
тающих со сбоями программ. Первона- циально опасных программ и инфор- приложениях. Интересно, что разра-
чально создается список файлов, со- мирует пользователя о них, кроме то- ботчики учли возможность скрыто-
стояние которых необходимо контро- го, он совместим со всеми известными го применения утилиты, и можно за-
лировать. Для последующего восста- антивирусами, и Антивирус Координа- дать любое название, расширение

12
 безопасность
и месторасположение баз. Поэтому,
назвав файл как-то буднично, напри-
мер, kursovik.rtf или song.mp3 и поло-
жив в группу подобных файлов, мож-
но ее скрыть. При создании базы воз-
можны три варианта: в нее заносятся
только контрольные суммы файлов,
делается резервная копия всех дан-
ных, и резервные копии дополнитель-
но шифруются (256 бит AES). В пос-
ледних двух случаях, кроме контро-
ля, позволяют восстанавливать изме-
ненные файлы. В качестве контроль-
ной суммы можно использовать не-
сколько вариантов – от 128-разряд-
ной хеш-функции MD5 до AES с 256-
разрядной длиной ключа. При помо-
щи Xintegrity можно проверять целос-
тность файлов по требованию или за- Рисунок 6. Предупреждающее сообщение RegRun Run Guard
пустить ее в фоновом режиме, тогда
при обнаружении изменения поль-
зователь будет сразу же уведомлен.
Когда Xintegrity обнаружит такой из-
мененный файл, пользователю бу-
дет выдана подробная информация
о том, как и когда файл был изме-
нен, и при определенных опциях со-
здания базы будет предложено заме-
нить его резервной копией. Напри-
мер, на рис. 7 выведено различие
контролируемого файла и этого же
файла, зараженного вирусом Win32.
HLLP.Underscore.36864.
В целях безопасности при откры-
тии базы Xintegrity автоматически про-
веряет как себя, так и все зарегистри-
рованные базы на предмет целостно-
сти. При создании базы данных в нее
можно занести все файлы, лежащие в
определенном каталоге, либо при по-
мощи набора фильтров отобрать фай- Рисунок 7. Xintegrity позволяет сравнить измененный файл с оригиналом
лы, удовлетворяющие определенным в сети. И для каждой задать свой ре- ные приложения. Между тем произво-
критериям (размер, время модифика- жим проверки. дители уже встраивают подобные инс-
ции или создания, по типу, содержимо- трументы в свои утилиты. Например, Ti-
му, атрибутам и функциональным воз- Заключение ny Firewall (http://www.tinysoftware.com)
можностям). Имеется пункт, включаю- Существующие на сегодняшний день содержит Host Security Engine (HSE),
щий в себя все вышеперечисленное, а решения в области защиты информа- по принципу работы несколько напо-
также поддерживается Drag’and’Drop и ции эффективны в борьбе с уже извес- минающий проактивные антивирусы,
вставка файла с буфера обмена. Фай- тными угрозами и уязвимостями. Вре- а при помощи Track’n Reverse позво-
лы, расположенные на дисках с фай- мя реакции антивирусных компаний ляет в случае обнаружения зловред-
ловой системой FAT32, NTFS, и сете- после обнаружения неизвестного виру- ной утилиты вернуть систему в исход-
вые папки могут быть перечислены в са можно назвать медленным и доста- ное состояние. Или продукт компании
одной базе данных. Как видите, мож- точным для поражения тысяч компью- Aladdin (http://www.eAladdin.com) eSafe
но задать практически любые усло- теров. Но тенденции позволяют гово- (http://www.esafe.com) использует, кро-
вия. Поэтому можно создать несколь- рить о том, что нас ждет появление но- ме традиционных средств, и проактив-
ко баз, в одну собрать исполняемые и вых методов распространения угроз, с ный антивирус (Proactive Security En-
системные файлы, в другую – сетевые еще большей скоростью размножения. gine). По мнению многих аналитиков,
ресурсы, к которым имеете доступ, в Новые угрозы требуют нового подхода. ближайшее время пройдет под знаком
третью – ресурсы, способные работать В статье описаны только самостоятель- проактивной защиты.

№7, июль 2005 13

 безопасность
ЗАПУСКАЕМ SPAMD НА FreeBSD
Бороться и искать,
Найти и не сдаваться!
Программа spamd, являющаяся частью OpenBSD,
призвана блокировать нежелательную почту.
Благодаря своей эффективности и оригинальному
подходу к решению проблемы она была портирована
на ряд других систем, включая FreeBSD.
Об особенностях работы на этой платформе
и пойдет речь в сегодняшней статье.
СЕРГЕЙ СУПРУНОВ
Найти и не сдаваться
Spamd – система фильтрации спама, использующая меха-
низм «черного», «белого» и «серого» списков. Интересен ал-
горитм работы по серому списку: сообщение, отправитель
которого не входит ни в белый, ни в черный списки, откло-
няется с ошибкой 451 (временная ошибка, повторите попыт-
ку позже). И по реакции удаленной системы на эту вежли-
вую просьбу принимается решение о занесении отправите-
ля в белый список. В следующих подразделах будет описан
принцип работы spamd, а необходимые для этого настройки
рассмотрены далее в соответствующем разделе.
Работа в «нормальном» режиме
Spamd может быть сконфигурирован для работы в одном
из двух режимов – «нормальном» и «сером» (greylisting
mode). Схема работы spamd в нормальном режиме пред-
ставлена на рис. 1.
Рисунок 1. Схема работы spamd в нормальном режиме
Соединение на порт 25 (SMTP) в зависимости от принад-
лежности отправителя черному списку пакетный фильтр pf
либо пропускает как есть (на 25-й порт, прослушиваемый
MTA) либо перенаправляет на вход spamd (по умолчанию
используется порт TCP 8025, см. /etc/services). Типичный
SMTP-диалог со spamd (для перенаправленных соедине-
ний) выглядит следующим образом:
14
220 test.ru ESMTP spamd IP-based SPAM blocker; Thu Jul 7 07:56:09 2005
HELO me
250 Hello, spam sender. Pleased to be wasting your time.
MAIL FROM: me@me.ru
250 You are about to try to deliver spam. Your time will be spent, for nothing.
RCPT TO: serg@test.ru
250 This is hurting you more than it is hurting me.
data
354 Enter spam, end with "." on a line by itself
Hello, spamd!
I test you!!!
.
450 SPAM. Blocked by me.
Ко всему прочему, каждый символ ответных сообщений
выводится с задержкой в 1 секунду (по умолчанию, может
быть изменено). То есть для соединений, попавших на вход
spamd, стандартный диалог будет отрабатываться чрезвы-
чайно медленно, и в итоге отправитель получает сообщение
об ошибке. Таким образом, время соединения затягивает-
ся, спаммер должен полностью сформировать отправляе-
мое сообщение, но в самый последний момент, буквально
после завершающей точки, соединение разрывается. При-
чем в случае 450-го кода ответа оно обычно остается в оче-
реди на отправку, и столь же безнадежные попытки могут
повторяться неоднократно.
Работа в «сером» режиме
Будучи запущенным в greylisting mode (см. рис. 2), spamd
для отправителей, занесенных в описанные в конфигура-
ционном файле списки, работает так же, как и в нормаль-
ном режиме. Однако для соединений от неизвестных адре-
сатов алгоритм работы меняется – они отклоняются с кодом
451, но задержка вывода символов диалога при этом не вы-
полняется. Одновременно идентификационная информация
соединения (IP-адрес источника, почтовые адреса отправи-
теля и получателя) заносятся в базу данных /var/db/spamd с
пометкой GREY. Так же фиксируется и время первой попыт-
ки. И в дальнейшем, если сообщение будет получено спус-
тя время, равное значению параметра passtime (значение по
умолчанию – 25 минут), то адрес отправителя заносится в бе-
лый список. Если же повторная попытка не будет выполне-
на в течение времени, указанному параметром greyexp (по
умолчанию 4 часа), запись для данного соединения удаля-
ется из /var/db/spamd.

Рисунок 2. Схема работы spamd в greylisting mode
Для адресов, занесенных в белый список, выполняется
отслеживание соединений на 25-й порт (эту работу выпол-
няет spamlogd), и если активности не наблюдалось в тече-
ние времени, равного значению параметра whiteexp (864 ча-
са по умолчанию), то адрес удаляется из белого списка.
Перенаправление
За перенаправление почтового трафика, согласно спискам
spamd, на порт 8025 отвечает пакетный фильтр pf (также
портированный во FreeBSD из OpenBSD). Для этого в /etc/
pf.conf нужно создать следующие записи:
table <spamd> persist
rdr pass inet proto tcp from <spamd> ↵
to any port smtp -> 1.2.3.25 port 8025
Обратите внимание на такую особенность. В man 8
spamd в качестве примера показано перенаправление на
адрес 127.0.0.1. Однако если на вашей системе запущен
еще и ipfw (что вполне вероятно), то для него по умолча-
нию имеются такие правила (см. /etc/rc.firewall):
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
В итоге пакеты, которые перенаправит pf, ipfw безжа-
лостно заблокирует. Поэтому, на мой взгляд, лучше исполь-
зовать адрес другого интерфейса (дополнительно можно
указать его при запуске демона spamd с помощью ключа
-b). И в любом случае нужно обеспечить прохождение па-
кетов на порт 8025 через все фильтры, работающие в си-
стеме (это особенно актуально в случае закрытого бранд-
мауэра).
Таблица <spamd> формируется утилитой spamd-setup,
которая получает информацию из файла конфигурации /usr/
local/etc/spamd.conf. Адреса, входящие в списки, помечен-
ные в конфигурационном файле как black, будут занесены
в указанную таблицу при запуске фильтра spamd. Подроб-
нее использование списков будет рассмотрено позже при
обсуждении конфигурации.
Естественно, приведенный выше шаблон ни в коем слу-
чае не является обязательным. Вы можете ограничиться пе-
ренаправлением только запросов, приходящих на конкрет-
ный адрес, пропускать нужные (например, собственные)
№7, июль 2005
безопасность
адреса на 25-й порт до указанного правила (своеобразная
альтернатива белым спискам) и т. д.
«Запятая» для размышления
Поскольку принцип действия spamd связан с задержкой
сообщений, в ряде случаев это может оказаться критич-
ным. Например, установка этого фильтра на сервере про-
вайдера может породить массу возмущений со стороны
пользователей, привыкших к мгновенной доставке сооб-
щений. Поэтому spamd, особенно в «сером» режиме, боль-
ше пригоден для «внутреннего потребления», когда пере-
чень легальных отправителей известен и может быть за-
несен в белый список, а остальную почту можно и задер-
жать ненадолго.
Если вы, взвесив все «за» и «против», решили поста-
вить фильтр spamd или по крайней мере глубже познако-
миться с ним, то продолжим.
Установить и не запутаться
Инсталляция из системы портов никаких сложностей не вы-
зывает. Все традиционно:
# cd /usr/ports/mail/spamd; make install
Теперь осталось в файле /etc/rc.conf включить под-
держку spamd и пакетного фильтра pf (если он не был за-
пущен ранее):
pf _ enable="YES"
pf _ ßags=""
pßog _ enable="YES"
pfspamd _ enable="YES"
pfspamd _ ßags="-v"
Нужно обратить внимание вот на что: файл с именем
spamd уже может находиться в вашей системе. Это гордое
имя носит также и демон Spamassassin, и если вы устанав-
ливали этот пакет, то соответствующий файл будет лежать
в /usr/local/bin/ (при условии, что не менялись стандартные
пути). Однако беспокоиться по этому поводу не стоит – наш
spamd устанавливается в другое место, и перезаписи фай-
лов произойти не должно.
Чтобы было проще разобраться, что к чему относится,
приведу сравнительную таблицу:
Таблица 1. Расположение компонентов Spamassasin и Spamd
Небольшая проблема возникает при «ручном» управ-
лении фильтром с использованием сценария из /usr/local/
etc/rc.d: поскольку spamd не использует PID-файл, то при
запуске соответствующего скрипта с ключом «start» вы-
полняется проверка по имени запущенных процессов. Так
как при этом обнаруживаются процессы, принадлежащие
spamassassin, то запуск не выполняется:
15
 безопасность
# ./pfspamd.sh start
pfspamd already running? (pid=26357 26359 26361 26363 26366).
Обойти это можно, запуская pfspamd.sh с ключом «fast-
start» вместо «start». При этом проверка того, запущен ли
соответствующий процесс, выполняться не будет, эта за-
бота ложится на плечи администратора.
При автоматическом запуске во время загрузки системы
первым стартует pfspamd.sh (rc-сценарии исполняются в по-
рядке, определяемом утилитой rcorder, но в данном случае
требования к порядку запуска у рассматриваемых скрип-
тов одинаковы, и они будут выполняться в алфавитном по-
рядке, так что pfspamd.sh имеет преимущество). Поскольку
запускаемый вторым скрипт sa-spamd.sh ориентируется по
своему PID-файлу, то и его старт проходит нормально.
Настроить и запустить
Настройки белых и черных списков для spamd сосредоточе-
ны в файле /usr/local/etc/spamd.conf. Сразу после установки
в указанном каталоге будет находиться только файл spamd.
conf.sample, который следует переименовать в spamd.conf и
подправить под собственные нужды. Кроме того, потребует-
ся внести ряд изменений в файл /etc/pf.conf (конфигурацион-
ный файл пакетного фильтра pf). Также нужно знать ключи
запуска spamd, поскольку именно ими определяется режим
работы демона и значения используемых параметров.
Параметры spamd.conf
Данный конфигурационный файл используется утилитой
spamd-setup для первоначальной настройки таблиц pf при
запуске spamd. Формат spamd.conf достаточно прост и со-
ответствует getcap(3). В нем обязательно должна присут-
ствовать запись all:
all:\
:spamhaus:blacklist:whitelist:
В этой записи перечислены используемые списки в по-
рядке их применения. В данном случае описаны следую-
щие три списка:
spamhaus:\
:black:\
:msg="SPAM. Your address %A is in the Spamhaus ↵
Block List\n\
See http://www.spamhaus.org/sbl and\
http://www.abuse.net/sbl.phtml?IP=%A for more details":\
:method=http:\
:Þle=www.openbsd.org/spamd/SBL.cidr.gz:
Данный список для блокировки нежелательной почты
использует информацию о спаммерах, собираемую сайтом
spamhaus.org (для загрузки по http используется файл, со-
храненный на сервере openbsd.org).
blacklist:\
:black:\
:msg="SPAM. Blocked by me":\
:Þle=/usr/local/etc/spamd/blacklist.txt:
Эта запись указывает на необходимость загрузить в
черный список адреса из указанного локального файла.
Поскольку этот метод используется по умолчанию, ключ
«method» опущен.
16
whitelist:\
:white:\
:Þle=/usr/local/etc/spamd/whitelist.txt:
А это белый список. Параметр «msg» здесь за ненадоб-
ностью не используется. Если адрес отправителя занесен
в указанный файл, то он будет исключен из предыдущего
черного списка, если там окажется.
На основании данного конфигурационного файла spa-
md-setup формирует черные списки. При этом адреса в них
упорядочиваются по возрастанию, исключаются дублиро-
вания и пересечения подсетей так, чтобы любой адрес был
представлен только в единственном экземпляре. Адреса,
присутствующие в белом списке, исключаются из предыду-
щего черного (и только из него). Если «белый» адрес дол-
жен быть исключен из нескольких черных списков, в сек-
ции «all» соответствующий белый список следует указать
после каждого такого черного списка.
Сформированные списки утилита spamd-setup загружа-
ет в таблицу <spamd> фильтра pf (используя команду pfctl),
а также отправляет их на управляющий порт (tcp/8026) де-
мону spamd.
В ходе тестирования было выявлено интересное поведе-
ние демона (используемая версия программы – 3.7) – то ли
из-за ошибки разработчика, то ли по иной недосягаемой для
моего понимания причине spamd при обработке данных, по-
ступающих на порт 8026, не воспринимает последний (самый
большой) адрес. Поскольку в таблицу <spamd> он заносится
нормально, то перенаправление на порт 8025 его соедине-
ний выполняется, но spamd как «черный» данный адрес не
воспринимает, помечая его как серый (GREY) и возвращая
вместо ответа 450 или 550, определяемого ключами запу-
ска, код 451 «Временная ошибка». Но так как на MTA такое
соединение все равно не проходит, на корректность работы
фильтра эта ошибка практически не влияет.
Несколько слов нужно сказать о формате списков. Это
обычные текстовые файлы (могут быть упакованы утилитой
gzip), в которые заносятся черные или белые адреса, ин-
тервалы адресов или подсети, по одному в каждой строке.
Допускаются комментарии, начинающиеся с символа «#».
После адреса могут содержаться любые пометки – при об-
работке используется только первая часть строки, соответ-
ствующая одному из указанных форматов. Например, файл
списка может выглядеть так:
# Пример черного списка
192.168.0.5 # Отдельный IP-адрес
10.0.0.1 – 10.0.2.255 # Диапазон адресов наглых спаммеров!!!
5.6.7.0/24 # Так можно задать подсеть
# Попытка обмануть spamd:
255.255.255.254
Последняя строчка может быть использована для ре-
шения описанной выше проблемы. Поскольку при сорти-
ровке данный адрес окажется последним (независимо от
его места в файле списка), то именно он не будет воспри-
нят демоном spamd. Все остальные адреса нормально бу-
дут обработаны как «черные». Однако не забывайте, что та-
кой «завершающий» адрес все равно попадет в <spamd> и
будет перенаправляться.
Наблюдать за процессом заполнения черных списков
можно, запустив spamd-setup с ключом -d:
 безопасность
# /usr/local/sbin/spamd-setup -d all:\
:blacklist:
Getting http://www.openbsd.org/spamd/spews_list_level1.txt.gz
blacklist spews1 18541 entries blacklist:\
Getting http://www.openbsd.org/spamd/spews_list_level2.txt.gz :black:\
blacklist spews2 22641 entries :msg="SPAM. Blocked by me":\
Getting http://www.openbsd.org/spamd/chinacidr.txt.gz :Þle=/usr/local/etc/spamd/blacklist.txt:
blacklist china 321 entries
Getting http://www.openbsd.org/spamd/koreacidr.txt.gz
blacklist korea 162 entries В данном случае в таблицу <spamd> фильтра pf зано-
blacklist myblack 1 entries сятся все адреса из файла blacklist.txt. Все остальные ис-
whitelist mywhite 4 entries
точники будут пропущены на реальный MTA. Если же до-
Не забывайте выполнять spamd-setup каждый раз после бавить белый список:
перезапуска pf, чтобы вновь заполнить таблицу <spamd>.
Так же полезно занести вызов этой утилиты в crontab, что- all:\
:blacklist:whitelist:
бы периодически (например, раз в сутки) обновлять внеш-
ние черные списки. blacklist:\
:black:\
:msg="SPAM. Blocked by me":\
Настройка журналирования :Þle=/usr/local/etc/spamd/blacklist.txt:
Демон spamd пишет свои сообщения в syslog. Чтобы со- whitelist:\
брать все сообщения в одно место, удобно направить их :white:\
:Þle=/usr/local/etc/spamd/whitelist.txt:
в отдельный файл, для чего в /etc/syslog.conf поместим
строки: то в таблицу <spamd> попадет содержимое blacklist.txt за
исключением адресов, перечисленных в whitelist.txt. При-
!spamd чем таким свойством «вычитания» обладает только белый
*.* /var/log/spamd.log
список, приведенный в строке «all» непосредственно пос-
Правда, при такой настройке Spamassassin (если он ле имени черного.
запущен) тоже будет использовать этот файл. Поскольку
syslogd не создает отсутствующие файлы, то это придется «Серый» режим
сделать вручную, после чего нужно отправить сигнал HUP В сером режиме, как было показано выше, белый список
процессу syslogd: применяется явно, в то время как адреса, не представлен-
ные ни в одном из списков, получают серый оттенок и об-
# touch /var/log/spamd.log рабатываются особым образом. Для реализации этого, во-
# kill –HUP `cat /var/run/syslog.pid`
первых, требуется дополнительная таблица и правило пе-
Теперь сообщения от демона spamd будут собирать- ренаправления в /etc/pf.conf:
ся в файле /var/log/spamd.log. На стадии отладки для по-
вышения информативности можно будет запускать spamd table <spamd-white> persist
rdr pass inet proto tcp from !<spamd-white> to ↵
с ключом -v. any port smtp -> 1.2.3.25 port spamd
Типичный вывод выглядит следующим образом:
Jul 7 07:39:49 konst spamd[23]: 1.2.3.4: connected (2/2), lists: korea
В итоге соединения, источник которых не включен в
Jul 7 07:39:55 konst spamd[23]: (BLACK) 1.2.3.4: <br9@tlcm.ru> -> <kp@test.ru> <spamd-white>, тоже будут перенаправляться на порт 8025. За
Jul 7 07:39:58 konst spamd[23]: 1.2.3.4: From: =?Windows-1251?B?gg6vPv4O3o5ewu?=
Jul 7 07:39:58 konst spamd[23]: 1.2.3.4: To: kp@test.ru формирование белого списка теперь отвечает сам spamd, ди-
Jul
Jul
7
7
07:39:58
07:39:58
konst
konst
spamd[23]:
spamd[23]:
1.2.3.4: Subject: =?Windows-1251?B?wg6vPv4O3o5ewu?=
1.2.3.4: Body: <head> намически добавляя нужные адреса в таблицу <spamd-white>.
Jul
Jul
7
7
07:39:58
07:39:58
konst
konst
spamd[23]:
spamd[23]:
1.2.3.4: Body: <title></title>
1.2.3.4: Body: </head>
За черный список по-прежнему отвечает spamd-setup.
Jul 7 07:39:58 konst spamd[23]: 1.2.3.4: Body: <body bgcolor="#FFFFFF"> Обратите внимание, что адреса, занесенные в белые
Jul 7 07:39:58 konst spamd[23]: 1.2.3.4: Body: <p align="center">
Jul 7 07:39:58 konst spamd[23]: 1.2.3.4: Body: <p align="right"> списки spamd.conf, лишь исключаются из черных. То есть
spamd будет воспринимать их как серые.
Jul 7 07:39:58 konst spamd[23]: 1.2.3.4: disconnected after 9 seconds. lists: korea

То есть здесь можно найти информацию о времени уста-
новления и разрыва соединения, а также об отправителе и
получателе сообщения. Кроме того, в лог-файл (в режиме
подробного вывода, настраиваемого опцией -v) выводятся
заголовок и несколько первых строк тела сообщения.
Если для протоколирования работы spamd вы исполь-
зуете отдельный файл, то не забудьте добавить для него
правило ротации в /etc/newsyslog.conf.
Нормальный режим
В нормальном режиме spamd используется только для за-
держки спам-трафика, поэтому перенаправление выполняет-
ся лишь для адресов, занесенных в черный список. Белые спи-
ски используются для удаления адресов из черных списков.
Например, рассмотрим такой конфигурационный файл:
Во-вторых, чтобы spamd запустился в сером режиме,
используется ключ «-g», который нужно указать в файле
/etc/rc.d в строке pfspamd_flags:
pfspamd _ ßags="-g –G 25:4:864 -v"
Необязательный ключ «-G» задает временные интерва-
лы соответственно для pastime, greyexp и whiteexp. Здесь же
можно добавить ключ «-v», чтобы на период отладки полу-
чать более подробную информацию о работе фильтра.
Возможно, я что-то упустил в процессе настройки, но
при включении серого режима на экран стали выводиться
такие сообщения об ошибке:
pfctl : /dev/fd/7: No such file or directory

№7, июль 2005 17

 безопасность
Добиться нормальной работы удалось после ручного
монтирования файловой системы дескрипторов fdescfs
(см. man 5 fdescfs):
# mount _ fdescfs 7 /dev/fd/
Как видно на представленном ниже листинге, spamd в
«сером» режиме запускает еще два процесса – отвечаю-
щий за обновление белого списка (процесс 6017) и за об-
новление базы /var/db/spamd (процесс 6020):
6017 ?? Ss 0:00,02 spamd: (pf <spamd-white> update) (spamd)
6018 ?? S 0:00,07 /usr/local/libexec/spamd -v -g -G5:1:2
6020 ?? S 0:00,00 spamd: (/var/db/spamd update) (spamd)
Файл /var/db/spamd, хранящий информацию о поступив-
ших запросах и их дальнейшей судьбе, создается автома-
тически, когда spamd запускается с ключом -g. Посмотреть
состав этой базы можно, если выполнить команду spamdb
без параметров:
# /usr/local/sbin/spamdb
GREY|1.2.3.4|<ab@cd.com>|<qw@test.ru>|1120715668|1120719268|1120719268|1|0
GREY|5.6.7.8|<sv@ef.com>|<fort@test.ru>|1120716752|1120720352|1120720352|1|0
WHITE|10.0.0.203|||1120715625|1120717099|1120724330|2|0
Поля в каждой строчке означают следующее (слева на-
право): тип записи (GREY, WHITE и т. п.), IP-адрес источника,
адрес отправителя, адрес получателя, время первой попыт-
ки, время перехода адреса из статуса GREY в статус WHITE,
время удаления записи из базы, количество заблокирован-
ных попыток, количество пропущенных соединений.
Если повторная попытка соединения будет выполнена
спустя интервал pastime, но до истечения периода greye-
xp, адрес заносится в таблицу <spamd-white>, и в дальней-
шем соответствующие соединения пропускаются на MTA.
Состав таблицы <spamd-white> можно посмотреть следу-
ющей командой:
# pfctl -t spamd-white -Tshow
10.0.0.203
С помощью команды /usr/local/sbin/spamdb можно до-
бавлять в базу данных новые «белые» адреса либо уда-
лять имеющиеся:
# /usr/local/sbin/spamdb
GREY|1.2.3.4|<ab@cd.com>|<qw@test.ru>|1120715668|1120719268|1120719268|1|0
GREY|5.6.7.8|<sv@ef.com>|<fort@test.ru>|1120716752|1120720352|1120720352|1|0
WHITE|10.0.0.203|||1120715625|1120717099|1120724330|2|0
root# /usr/local/sbin/spamdb -d 10.0.0.203
root# /usr/local/sbin/spamdb
GREY|1.2.3.4|<ab@cd.com>|<qw@test.ru>|1120715668|1120719268|1120719268|1|0
GREY|5.6.7.8|<sv@ef.com>|<fort@test.ru>|1120716752|1120720352|1120720352|1|0
root# /usr/local/sbin/spamdb -a 10.161.193.253
root# /usr/local/sbin/spamdb
WHITE|10.0.0.203|||1120730510|1120730510|1123840910|1|0
GREY|1.2.3.4|<ab@cd.com>|<qw@test.ru>|1120715668|1120719268|1120719268|1|0
GREY|5.6.7.8|<sv@ef.com>|<fort@test.ru>|1120716752|1120720352|1120720352|1|0
Механизм «greylisting mode», конечно, не дает абсолют-
ной гарантии, что спам не попадет в ящики пользователей.
В этом режиме лишь предпринимается попытка отсеять слу-
чайные соединения (для которых не будут выполняться по-
18
вторные попытки) либо слишком частые попытки «протол-
кнуть» вам свое письмо.
Используем ловушки
При работе в «сером» режиме возможно использование так
называемых ловушек – фиктивных адресов электронной поч-
ты, которые в вашей системе отсутствуют. Если на такой адрес
будет получено письмо, его отправитель автоматически зано-
сится в черный список сроком на 24 часа. Хороший эффект
дает использование в качестве ловушки популярных у спам-
меров адресов (alex, max, oao, sales и др.). Подобная ловушка
заносится в базу /var/db/spamd следующей командой:
# /usr/local/sbin/spamdb -T -a "<max@test.ru>"
# /usr/local/sbin/spamdb -t -a 10.0.0.225
# /usr/local/sbin/spamdb | grep TRAP
SPAMTRAP|max@test.ru
TRAPPED|10.0.0.225|1120817623
Ключ -T позволяет добавить ловушку. Адреса, с которых
будут выполняться попытки доставить почту на адрес ловуш-
ки, заносятся в базу как TRAPPED и обрабатываются как при-
надлежащие черному списку, пока не пройдут сутки с момен-
та последней попытки соединения. Через 24 часа адрес уда-
ляется из базы и вновь обрабатывается как «серый». С по-
мощью ключа -t можно вручную добавить в базу адрес как
«пойманный», как это показано для адреса 10.0.0.225.
Подробнее о ключах запуска
Spamd помимо ключей g, G, v, которые нам уже встреча-
лись, может быть запущен еще с несколькими полезны-
ми опциями:
! -b: указывается IP-адрес интерфейса, на котором spa-
md будет ожидать входящие соединения (по умолчанию
прослушиваются все имеющиеся интерфейсы).
! -s: задает время задержки перед выводом каждого сим-
вола в диалоге с отправителем, занесенным в один из
черных списков. По умолчанию задано значение, рав-
ное 1 секунде.
! -4 или -5: код ответа спаммеру, 450 (по умолчанию) или
550 соответственно.
! -c: максимальное число одновременных подключений.
! -B: максимальное число одновременных подключений
для адресов, занесенных в черный список.
! -n: строка, выводимая в баннере приветствия.
! -d: запущенный с этим ключом spamd не переключает-
ся в фоновый режим, что позволяет наблюдать на экра-
не то, как он работает.
Поскольку spamd не имеет конфигурационного файла
(напомню, что spamd.conf обрабатывается утилитой spamd-
setup), то единственный способ настроить его работу – ис-
пользование ключей запуска.
Доработать и …
Пожалуй, одного инструмента для комфортной работы со
spamd не хватает – при первоначальном запуске в сером ре-
жиме адреса разрешенных отправителей (например, удален-
ных сотрудников, адреса главного офиса и т. д.) приходится
заносить в таблицу <spamd-white> вручную. Попробуем уст-
ранить это неудобство подручными средствами, разработав
 безопасность
на Python несложный скрипт, который будет заносить белые # cat wl.txt
адреса в базу /var/db/spamd из текстового файла:
10.10.29.192/29
1.2.3.4/33
Листинг 1. Сценарий a2w.py

#!/usr/local/bin/python Подсети, определяемые по наличию символа «/», функ-

цией Expand «разворачиваются» в список отдельных IP-
import sys, os
адресов whitelist, который затем поэлементно передается
def Usage(): программе spamdb. Если длина маски задана неправильно,
print 'Usage: a2w.py Þlename'
sys.exit(-1) то сценарий оставляет запись как есть, возлагая обработку
ошибки на утилиту spamdb (вторая запись в файле wl.txt де-
# Подпрограмма «разворачивает» подсеть в список адресов
def Expand(subnet): монстрирует поведение в этом случае). Если отладка вклю-
global whitelist чена (переменная DEBUG не равна 0), то каждая попытка
if subnet.Þnd(‘/’) == -1: и ее результат будут отображаться на экране:
subnet = subnet + '/32'
netaddr, masklen = subnet.split('/') # ./a2w.py wl.txt
masklen = int(masklen)
Try: /usr/local/sbin/spamdb -a 10.20.29.192 ok
# Если ошибка – оставляем запись как есть
if masklen < 1 or masklen > 32: Try: /usr/local/sbin/spamdb -a 10.20.29.193 ok
whitelist.append(subnet) Try: /usr/local/sbin/spamdb -a 10.20.29.194 ok
return Try: /usr/local/sbin/spamdb -a 10.20.29.195 ok
Try: /usr/local/sbin/spamdb -a 10.20.29.196 ok
# Здесь используется синтаксис «расширенного списка» – Try: /usr/local/sbin/spamdb -a 10.20.29.197 ok
# результат будет получен как список значений функции int Try: /usr/local/sbin/spamdb -a 10.20.29.198 ok
# для каждого элемента в списке, возвращаемом функцией split Try: /usr/local/sbin/spamdb -a 10.20.29.199 ok
o1, o2, o3, o4 = [int(o) for o in netaddr.split('.')] Try: /usr/local/sbin/spamdb -a 10.20.29.200 ok
for i in range(0, 2 ** (32 - masklen + 1)): Try: /usr/local/sbin/spamdb -a 10.20.29.201 ok
addr = '%d.%d.%d.%d' % (o1, o2, o3, o4) Try: /usr/local/sbin/spamdb -a 10.20.29.202 ok
whitelist.append(addr) Try: /usr/local/sbin/spamdb -a 10.20.29.203 ok
o4 += 1 Try: /usr/local/sbin/spamdb -a 10.20.29.204 ok
if o4 == 256:
Try: /usr/local/sbin/spamdb -a 10.20.29.205 ok
o3 += 1; o4 = 0
if o3 == 256: Try: /usr/local/sbin/spamdb -a 10.20.29.206 ok
o2 += 1; o3 = 0 Try: /usr/local/sbin/spamdb -a 10.20.29.207 ok
if o2 == 256: spamdb: invalid ip address 1.2.3.4/33
o1 += 1; o2 = 0 Try: /usr/local/sbin/spamdb -a 1.2.3.4/33 Failed
# Если нельзя, но очень хочется – то можно! WARNING: executed with errors (see above)
# (Это про несколько операторов в одной строке…)
#---------------------------------------------- После выполнения сценария можно убедиться, что соот-
if len(sys.argv) != 2: ветствующие адреса добавлены в базу как «белые»:
Usage()

DEBUG = 1 # /usr/local/sbin/spamdb | grep WHITE

errcnt = 0
spamdbcmd = '/usr/local/sbin/spamdb' WHITE|10.20.29.192|||1120801435|1120801442|1123911842|1|1
Þlelist = open(sys.argv[1], 'r').readlines() WHITE|10.20.29.193|||1120801435|1120801442|1123911842|1|1
whitelist = [] WHITE|10.20.29.194|||1120801435|1120801442|1123911842|1|1
for line in Þlelist: WHITE|10.20.29.195|||1120801435|1120801442|1123911842|1|1
Expand(line[:-1]) WHITE|10.20.29.196|||1120801435|1120801442|1123911842|1|1
WHITE|10.20.29.197|||1120801435|1120801442|1123911842|1|1
for addr in whitelist: WHITE|10.20.29.198|||1120801436|1120801442|1123911842|1|1
cmd = spamdbcmd + ' -a ' + addr
WHITE|10.20.29.199|||1120801436|1120801442|1123911842|1|1
# Запятая после аргументов команды print WHITE|10.20.29.200|||1120801436|1120801442|1123911842|1|1
# оставляет курсор на текущей строке WHITE|10.20.29.201|||1120801436|1120801442|1123911842|1|1
if DEBUG: WHITE|10.20.29.202|||1120801436|1120801442|1123911842|1|1
print 'Try: ' + cmd, WHITE|10.20.29.203|||1120801436|1120801442|1123911842|1|1
WHITE|10.20.29.204|||1120801436|1120801442|1123911842|1|1
# Функция os.system вернет 0, если указанная WHITE|10.20.29.205|||1120801436|1120801442|1123911842|1|1
# как аргумент команда будет выполнена успешно WHITE|10.20.29.206|||1120801436|1120801442|1123911842|1|1
err = os.system(cmd) WHITE|10.20.29.207|||1120801436|1120801442|1123911842|1|1
if err:
errcnt += 1
if DEBUG: Кстати, аналогично можно поступить и с ловушками, ес-
print 'Failed'
else: ли вы планируете создать их достаточно большое количе-
if DEBUG: ство. Эту задачу оставлю вам в качестве упражнения.
print 'ok'

if errcnt:
print 'WARNING: executed with errors (see above)'
Приведенный сценарий считывает данные из текстово-
го файла, передаваемого как аргумент командной строки, и
заносит их в базу spamdb, используя команду /var/local/sbin/
spamdb -a. Формат текстового файла не допускает коммента-
риев, пустых строк и т. д. Он может содержать только IP-адре-
са или подсети в формате CIDR, по одной записи в строке:
… поставить точку
Итак, мы рассмотрели работу пакета spamd в системе
FreeBSD. Используемый им оригинальный подход к реше-
нию проблемы спама в ряде случаев оказывается весь-
ма эффективным. К тому же можно порадоваться, что
теперь не только спаммеры могут портить нам жизнь –
есть инструмент, с помощью которого можно ответить
им тем же.

№7, июль 2005 19

 безопасность

РАЗВЁРТЫВАЕМ HEIMDAL KERBEROS

Мы изучили принципы работы Kerberos

и взглянули на него с пользовательской точки
зрения [1]. Теперь перейдем к практической
части и начнем развертывать инфраструктуру
Kerberos в локальной сети.
МИХАИЛ КОНДРИН
Устанавливаем контроллер Kerberos [libdefaults]
default _ realm=MYREALM.RU
Начнем установку сервера Heimdal на компьютере с ОС [realms]
Linux. Если Heimdal не включен в состав вашего дистри- MYREALM.RU={
kdc=kdc.myrealm.ru
бутива, то вы можете получить исходный код Heimdal с admin _ server=kdc.myrealm.ru
ftp-сервера Стокгольмского университета (ftp://ftp.pdc. kpasswd _ server = kdc.myrealm.ru
}
kth.se/pub/heimdal/src), сконфигурировать и скомпилиро- [logging]
вать его. kdc=FILE:/var/log/krb5kdc.log
admin _ server=FILE:/var/log/kadmin.log
default=FILE:/var/log/krb5.log
tar xzvf heimdal-0.6.3.tar.gz
cd heimdal-0.6.3
./conÞgure --preÞx=/usr --enable-shared В этом файле содержится необходимый минимум на-
make строек Kerberos – название сектора по умолчанию (строка,
make install
которая будет добавляться к именам принципалов без до-
Опции конфигурации позволяют вам собрать Heimdal в менной части), расположение серверов Kerberos : kdc, сер-
виде разделяемых библиотек, что в дальнейшем упрощает вера удаленного администрирования и их лог-файлов. В ка-
сборку программ с поддержкой Kerberos, и установить He- честве альтернативы для передачи настроек Kerberos мож-
imdal в каталог /usr. При этом пользовательские програм- но использовать службу DNS, для чего в файл зоны для до-
мы (kinit, klist, telnet и т. д.) записываются в каталог /usr/bin, мена myrealm.ru нужно добавить записи (предполагается,
программы для удаленного администрирования контрол- что адрес для kdc уже записан в файле зоны):
лера Kerberos – в /usr/sbin, а серверная часть Kerberos – в
/usr/libexec. _ kerberos TXT "MYREALM.RU"
kerberos CNAME kdc
Если предполагаемое число принципалов невелико (на- _ kerberos. _ udp SRV 0 0 88 kdc
пример, порядка сотни), то Heimdal не требует особенно _ kerberos. _ tcp SRV 0 0 88 kdc
_ kerberos-adm. _ tcp SRV 0 0 749 kdc
большого количества вычислительных ресурсов. В моем _ kpasswd. _ udp SRV 0 0 464 kdc
случае в качестве kdc используется 486 компьютер. Жела-
тельно тем не менее держать базу данных Kerberos на спе- Передача настроек Kerberos по DNS полезна при боль-
циально выделенном для этой цели компьютере, т.к. захват шом числе клиентских компьютеров, когда синхронизиро-
злоумышленником этого сервера полностью компромети- вать файлы /etc/krb5.conf вручную сложно.
рует безопасность всей системы. Теперь можно приступать к пополнению баз данных
После того как компьютер выбран, на нем нужно соз- Kerberos.
дать каталог для хранения баз данных Kerberos.
sudo /usr/sbin/kadmin -l
kadmin>init MYREALM.RU
mkdir /var/heimdal kadmin>add admin/admin@MYREALM.RU
chmod 600 /var/heimdal kadmin>add mike@MYREALM.RU
kadmin> add --random-key host/kdc.myrealm.ru@MYREALM.RU
Далее нужно проделать две вещи: создать конфигу- kadmin>ext */kdc.myrealm.ru@MYREALM.RU
рационный файл kdc и инициализировать (заселить не-
сколькими основными принципалами) базу данных Ker- Ключ -l позволяет запускать kadmin в локальном режи-
beros. Конфигурационный файл (/etc/krb5.conf) использу- ме без аутентификации в Kerberos. Команда init создает ба-
ется как сервером Kerberos, так и приложениями, собран- зу данных Kerberos и заселяет ее несколькими принципала-
ными с поддержкой Kerberos. Поэтому этот файл (практи- ми со случайным образом сгенерированными ключами для
чески без изменений) можно перенести на все компьюте- сервисов, предоставляемых самим Kerberos. Это krbtgt/MY-
ры, входящие в ваш сектор (будем считать, что его домен- REALM.RU для Ticket Granting Service, kadmin/admin для сер-
ное имя myreal.ru). виса kadmind и kadmin/changepw для сервиса kpasswd, поз-

20

воляющего пользователям менять свой пароли в Kerberos.
Принципал kadmin/hprop, также создаваемый при инициали-
зации Kerberos, используется при синхронизации баз данных
между дополнительными и основным контроллерами секто-
ра Kerberos, и в нашем случае он не актуален. С помощью ко-
манда add в эту вновь созданную базу записываются пользо-
ватели и сервисы. В данном случае добавляются пользова-
тели – администратор Kerberos (admin/admin), еще один ря-
довой пользователь (mike) и принципал для компьютера, на
котором работает контроллер Kerberos (host/kdc.myrealm.ru).
В отличие от первых двух случаев для сервиса пароль вы-
бирается случайным образом (ключ – random-key), посколь-
ку знать его ни администратору Kerberos, ни тем более ря-
довым пользователям необязательно. Затем этот ключ из-
влекается из базы данных Kerberos (команда ext) и дописы-
вается в файл /etc/krb5.keytab. Керберизованные серверные
программы знают, что их «пароли» записаны в этом файле и
при подключении клиента (см. схему работы Kerberos, изло-
женную выше) могут извлечь свой пароль оттуда. В данном
случае права root для запуска kadmin необходимы, посколь-
ку в результате помимо файла /etc/krb5.keytab в папке /var/
heimdal, куда запись простым пользователям запрещена, со-
здается файл heimdal.db с паролями принципалов.
Теперь все готово для запуска сервера kdc. Если по-
сле команды:
/usr/libexec/kdc -c /etc/krb5.conf --detach
в log-файле появились сообщения вида:
2005-03-15T23:43:46 listening on IPv4:127.0.0.1 port 88/udp
2005-03-15T23:43:46 listening on IPv4:127.0.0.1 port 88/tcp
значит, сервер успешно стартовал и можно переходить к
запуску сервера удаленного администрирования kadmind
(749/tcp-порт) и службы смены паролей kpasswdd (464/udp-
порт).
/usr/libexec/kadmind
/usr/libexec/kpasswdd
Хотя для смены паролей можно использовать программу
kadmin (/usr/sbin/kadmin passwd mike), но для пользователей
более удобно проделать то же самое с помощью утилиты
kpasswd, которая подключается к службе kpasswdd.
Поскольку сервис kadmind нужен не очень часто (при
добавлении/удалении принципалов), то имеет смысл ис-
пользовать его вызов в сервере inetd (xinetd). Для этого
вам, во-первых, нужно убедиться, что ссылки на сервисы,
собранные с поддержкой Kerberos (и kadmind в том числе)
присутствуют в файле /etc/services. Необходимые для это-
го данные содержатся в файле heimdal-0.6.3/etc/services.
append в дистрибутиве heimdal. Во-вторых, нужно добавить
запись, касающуюся сервера удаленного администрирова-
ния, в файл /etc/inetd.conf и перeзапустить inetd.
kerberos-adm stream tcp nowait root ↵
/usr/libexec/kadmind kadmind
В то же время kpasswdd может работать только как са-
мостоятельная служба, и организовать его вызов с помо-
щью inetd невозможно.
№7, июль 2005
безопасность
Контроль доступа к kadmind и управлению пользовате-
лями Kerberos обеспечивается списками, хранящимися в
файле /var/heimdal/kadmin.acl. Разумная политика – предо-
ставить администратору (admin/admin) полный контроль по
управлению записями Kerberos, а всем остальным – позво-
лить лишь менять свои пароли. Для такой цели достаточно
иметь такой acl-файл:
admin/admin@MYREALM.RU all
*@MYREALM.RU cpw
Для проверки работоспособности сервера Kerberos по-
пробуйте аутентифицироваться на нем (как администра-
тор) и посмотреть содержимое его баз данных:
kinit -p admin/admin
kadmin
kadmin> list *
На этом установку сервера Kerberos можно считать за-
конченной. Настройка же клиентов для использования это-
го сервера различается в случае рабочей станции и серве-
ров приложений. Разберем два случая – настройку только
сервера (компьютера, предлагающего сетевые сервисы)
и только рабочей станции (которая не предлагает никаких
сервисов и предназначена только для локальной работы).
Настраиваем серверные программы
Настройка серверов приложений достаточно проста (при
условии, что на сервере работает UNIX-подобная система).
Во-первых, устанавливайте дистрибутив Heimdal, как опи-
сано выше. Этого уже достаточно, чтобы компьютер (пред-
положим, что его сетевое имя server.myrealm.ru) работал как
клиент Kerberos, нужно только скопировать файл krb5.conf
с сервера Kerberos на настраиваемый компьютер. Конфи-
гурационный файл можно не редактировать – приведенный
выше файл подойдет как для серверов, так и рабочих стан-
ций. Кроме того, как уже говорилось, на хосте с сетевыми
сервисами должен присутствовать файл /etc/krb5.keytab с
набором ключей для этих сетевых служб (точнее, для при-
нципалов Kerberos, соответствующим этим сетевым служ-
бам). Также сервису должно быть известно имя принципала,
который представляет его в Kerberos. Как правило, этот па-
раметр настраивается для каждого сервиса индивидуально
(с помощью конфигурационных файлов) или используют-
ся какие-то фиксированные значения. В любом случае вам
придется изучить документацию, предлагаемую разработ-
чиками программы. Как уже говорилось ранее, для серви-
сов используются имена, состоящие из трех компонентов –
поле instance содержит сетевое имя компьютера, а основ-
ное имя обозначает тип предлагаемого сервиса. Предпо-
ложим, вы хотите установить все сервисы, входящие в дис-
трибутив Heimdal (telnet, ftp, несколько r*-служб). Для этого
регистрируйтесь в Kerberos как администратор, добавляе-
те принципалов host/server.myrealm.ru@MYREALM.RU, ftp/
server.myrealm.ru@MYREALM.RU и извлекаете их ключи в
локальный /etc/krb5.keytab файл.
kinit admin/admin
kadmin
kadmin>add --random-key host/server.myrealm.ru@MYREALM.RU
kadmin>add --random-key ftp/server.myrealm.ru@MYREALM.RU
21
 безопасность
kadmin>ext */server.myrealm.ru@MYREALM.RU
Если вы ошиблись – добавили в /etc/krb5.keytab ключ
службы, которая не используется на данном компьютере,
то для управления ключами в файле /etc/krb5.keytab пред-
назначена утилита ktutil. Удалить лишнюю запись мож-
но командой /usr/sbin/ktut il remove -p ftp/server.myrealm.ru,
точно так же, как и просмотреть все записи в keytab-фай-
ле (ktutil list) или добавить новый ключ (ktutil get ftp/server.
myrealm.ru).
Теперь настроим запуск сервисов через демон inetd, для
чего нужно добавить следующие строки в файл inetd.conf
(не забудьте также добавить записи из файла heimdal-0.6.3/
etc/services.append к системному файлу /etc/services):
telnet stream tcp nowait root ↵
/usr/libexec/telnetd telnetd -L /usr/bin/login
ftp stream tcp nowait root /usr/libexec/ftpd ftpd
shell stream tcp nowait root /usr/libexec/rshd rshd ↵
-vkshell stream tcp nowait root ↵
/usr/libexec/rshd rshd -k
ekshell stream tcp nowait root /usr/libexec/rshd ↵
rshd -kx
kx stream tcp nowait root /usr/libexec/kxd kxd
Почти все сервисы стандартные, shell/kshell/ekshell –
это вариации на тему rshd. Первый из них работает просто
как «заглушка», выдает сообщение об ошибке, если поль-
зователь подключается по старинке, без TGT. Второй и тре-
тий – керберизованные сервисы, использующие Kerberos
в последнем случае с шифрованием трафика. Нестандар-
тным является сервис kx (использует 2111/tcp-порт), кото-
рый предназначен для организации соединений по X-про-
токолу через шифрованный канал. Если вы, например, под-
ключитесь к серверу server.myrealm.ru с помощью команды
rxtelnet server.myrealm.ru, то при успешном соединении на
вашем X-сервере откроется окно xterm с командным интер-
претатором, запущенном на удаленном компьютере (server.
myrealm.ru). Вся графика при этом будет прозрачно пере-
адресовываться на вашу рабочую станцию. В некотором
смысле мы имеем аналог ssh – X server.myrealm.ru.
Поскольку время действия любого сертификата Kerbe-
ros ограничено, то одной из задач при настройке сектора
Kerberos является синхронизация времени между компью-
терами в локальной сети. Локальное время компьютера ис-
пользуется клиентами Kerberos при запросе на выдачу би-
лета, и если это время значительно отличается от времени
контроллера Kerberos (более чем на 5 минут), то такие за-
просы отвергаются. Так что бесполезно, например, пред-
лагать контроллеру Kerberos просроченный TGT, просто пе-
реведя часы на локальном компьютере. Но с другой сторо-
ны, удаленный доступ к какому-то компьютеру также мо-
жет быть невозможным только потому, что его часы опе-
режают часы контроллера Kerberos, скажем, на 10 минут.
Поэтому синхронизация времени внутри сектора необхо-
дима для корректного функционирования Kerberos. Если
у вас в локальной сети уже работает сервер ntp, то мож-
но воспользоваться им. Об установке и настройке сервера
ntpd написано в статье [2]. Однако для целей Kerberos до-
статочно, если вы выберете какой-то из компьютеров в ва-
шей сети (допустим, тот же самый server.myrealm.ru) в ка-
честве эталонного и будете сверять по нему часы осталь-
22
ных компьютеров (и контроллера Kerberos в том числе) по
протоколу time. Служба time уже встроена в сервер inetd,
нужно только убедиться, что в файле /etc/inetd.conf не за-
комментирована строка:
time dgram udp wait root internal
Синхронизация осуществляется с помощью базовой
UNIX-утилиты netdate server.myrealm.ru. Для рабочих стан-
ций ее достаточно запускать при загрузке, для серверов,
которые перегружаются не так часто, имеет смысл вызы-
вать ее периодически с помощью демона cron.
Еще один технический вопрос – вопрос о правах, кото-
рые нужно выставить на keytab-файл. Поскольку он содер-
жит пароли сетевых служб, то первая мысль, которая при-
ходит в голову, ограничить к нему доступ так же, как и к /etc/
shadow – чтение только для root. Но сервисы тоже должны
иметь возможность извлекать свои ключи из этого файла,
т.е. Keytab-файл также должен быть открыт для чтения поль-
зователем, с правами которого запущены сервисы. В нашем
случае это замечание не столь важно, поскольку все сер-
висы работают с правами root, но бывает ситуации, когда
нужно дать доступ к keytab-файлу непривилегированным
службам. В таком случае стоит завести специальную груп-
пу и занеcти в нее всех системных пользователей, исполь-
зуемых керберизованными службами, а файл /etc/krb5.key-
tab открыть для чтения этой группе.
Настраиваем рабочие станции
Для этого достаточно иметь упоминавшийся выше конфи-
гурационный файл /etc/krb5.conf и собственно сам дистри-
бутив heimdal. Но бывает также удобно настроить систем-
ный login на этой рабочей станции таким образом, чтобы при
входе на компьютер, пользователь автоматически получал
TGT с контроллера Kerberos. Для рабочих станций под уп-
равлением Linux такой функциональности можно добить-
ся, заменив системный login (/bin/login) на керберизован-
ный аналог из состава Heimdal (/usr/bin/login). Проще все-
го это сделать, отредактировав файл /etc/inittab:
c1:123:respawn:/sbin/agetty 38400 tty1 linux
c2:123:respawn:/sbin/agetty 38400 tty2 linux
k1:5:respawn:/sbin/agetty -l /usr/bin/login 38400 tty1 linux
k2:5:respawn:/sbin/agetty -l /usr/bin/login 38400 tty2 linux
и заменив default run-level на 5. Таким образом, по умолча-
нию загрузка компьютера будет осуществляться в кербери-
зованном режиме, а для аварийных ситуаций у админист-
ратора компьютера сохраняется возможность заходить на
компьютер в стандартном режиме (в run-level 1,2,3). Следу-
ет только иметь в виду, что керберизованный login запраши-
вает помимо собственно супербилета еще и session ticket
для доступа к рабочей станции. Как вы понимаете, это тре-
бует наличия принципала, соответствующего данной ра-
бочей станции в базе данных Kerberos и ее ключа в файле
/etc/krb5.keytab. Заметим также, что если по каким-то при-
чинам аутентификация пользователя на сервере Kerberos
закончилась неудачей, то login переключается в стандарт-
ный режим и аутентифицирует пользователя по локально-
му файлу /etc/shadow.
 безопасность
Для рабочих станций под управлением Windows2000/
XP получить такую же функциональность несколько слож-
нее. Во-первых, авторы Heimdal не предлагают свой про-
дукт в виде стандартного Windows-приложения, и Heimdal
может работать только в Cygwin-окружении (www.cygwin.
com) – эмуляторе POSIX-системы для Windows. Вы можете
установить Cygwin целиком с помощью установщика, ко-
торый можно скачать с сайта cygwin и затем скомпилиро-
вать исходный код Heimdal. Гораздо проще, однако, взять
уже готовые бинарные пакеты Heimdal и урезанную вер-
сию Сygwin с ftp-сервера Стокгольмского университета:
ftp://ftp.pdc.kth.se/pub/heimdal/binaries/i386-pc-cygwin/latest
<http://www.cygwin.com/>. Поскольку Cygwin для приложе-
ний, запущенных в нем, выглядит как полное UNIX-окруже-
ние, то дальнейшая конфигурация ничем не отличается от
установки под Linux.
После установки Cygwin и Heimdal пользователь по край-
ней мере может аутентифицироваться на сервере Kerberos,
запустив терминал Cygwin и введя команду kinit. Получен-
ный сертификат в дальнейшем может быть использован
клиентскими программами из дистрибутива Heimdal (ftp,
telnet и т. д.).
При этом остаются две проблемы – заставить Heimdal
использовать ваше имя и пароль, введенный при входе в
Windows для аутентификации на сервере Kerberos, и обес-
печить доступ к Kerberos не только для Cygwin, но и Windows-
приложений. К сожалению, только средствами Heimdal эти
проблемы не решаются.
Разберемся со второй проблемой. Хотя библиотеки
Cygwin, и библиотеки Heimdal в том числе, являются стан-
дартными, динамически линкуемыми библиотеками Win-
dows, но использование их для приложений Windows не-
возможно (подробнее об этом написано на сайте cygwin –
http://cygwin.com/faq.html). Поэтому для Windows-приложе-
ний есть две возможности – или использовать API предла-
гаемой самой Windows, или использовать библиотеки MIT-
Kerberos, которые доступны в Windows-версии, но при этом
бесполезны для Cygwin-приложений. Возникает вопрос –
какие из библиотек лучше установить на свой компьютер?
Правильный ответ – ставить все! Пакет Support Tools от Mi-
crosoft [3] включает в себя две утилиты ksetup и kpasswd, с
помощью которых можно настроить получение начальных
сертификатов Kerberos при входе пользователя на рабочую
станцию, а пакет Kerberos-For-Windows от МТИ [5] позволя-
ет обеспечить доступ к этим сертификатам как для библи-
отек MIT-Kerberos, так и Heimdal.
Так что начнем с настройки керберизованного входа в
Windows. Я использую WindowsXP-Pro без сервиспаков, но
тот же метод работает и для более новых версий Windows.
Установка Support Tools не должна вызвать затруднений.
Затем вам нужно добавить принципала для этой машины
(для определенности назовем ее xp.myrealm.ru) в базу дан-
ных Kerberos. Сделать это можно, например, из терминала
Cygwin (я полагаю, что вы уже настроили Heimdal в нем), но
в отличие от рабочих станций, под управлением LInux вам
нужно будет придумать пароль для этого компьютера:

kinit admin/admin
kadmin
kadmin>add -pw passwordforWinXP host/xp.myrealm.ru@MYREALM.RU

№7, июль 2005 23

безопасность
Затем с помощью утилиты ksetup.exe, зайдя на маши-
ну под администраторским логином, из командной строки
Windows вы должны указать название сектора Kerberos,
адрес контроллера Kerberos и ввести пароль для машины
(тот самый, что вы только что придумали):

C:> ksetup /setdomain MYREALM.RU

C:> ksetup /addkdc MYREALM.RU kdc.myrealm.ru
C:> ksetup /setcomputerpassword passwordforWinXP

После чего перегрузить компьютер. При загрузке маши-

ны обратите внимание, что форма с приглашением входа
в Windows изменилась. На ней должно появиться еще од-
но поле выбора с двумя вариантами – зарегистрировать-
ся на компьютере xp.myrealm.ru или в секторе Kerberos MY-
REALM.RU. Но второй вариант пока не работоспособен, т.к.
вы еще не настроили соответствия между локальными име-
нами пользователей и именами принципалов Kerberos. Так
что вам нужно снова войти на компьютер как Администра-
тор и настроить эти соответствия.
Тут есть два варианта:

C:> ksetup /mapuser * *

C:> ksetup /mapuser mike@MYREALM.RU mikeXP

В первом случае каждый принципал из базы данных

Kerberos отображается на пользователя Windows c тем-
же именем (только без доменной части). Во втором слу-
чае (если вас такая политика не устраивает) вы разре-
шаете только определенному пользователю (mikeXP) ау-
тентифицироваться в Kerberos под именем принципала
mike@MYREALM.RU.
Так или иначе, но теперь вы можете при входе на рабо-
чую станцию одновременно получать сертификаты Kerbe-
ros. Но этот сертификат хранится в памяти, а не на диско-
вом файле, как у Heimdal, и доступ к нему осуществляет-
ся посредством API Windows. Чтобы сделать его доступ-
ным для Heimdal, нужно воспользоваться утилитой ms2mit
из пакета MIT-Kerberos, разработчики которого работают в
тесном контакте с Microsoft и поэтому представляют себе
особенности ее реализации Kerberos.
Установка MIT-Kerberos очень проста. Помимо инстал-
лятора [4] они предлагают свой пакет в виде обычного zip-
архива [6], который можно распаковать в удобный для вас
каталог. Не стоит только устанавливать его в директорию
Program Files, т.к. она входит в переменную PATH Cygwin, что
может привести к конфликтам между одноименными ути-
литами Heimdal и MIT-Kerberos. Так что лучше распаковать
его в какой-нибудь из каталогов на диске C: (у меня это С:\
kfw-2.6.5). Помимо утилиты ms2mit, в него входят уже зна-
комый вам набор стандартных утилит Kerberos (kinit, klist,
kdestroy) и также графический интерфейс к ним (Leash32).
После установки MIT-Kerberos вам нужно настроить Heim-
dal и MIT-Kerberos таким образом, чтобы они использова-
ли один и тотже кэш сертификатов, с тем чтобы начальный
сертификат, полученный с помощью одной из этих библи-
отек, был бы автоматически доступен и другой. У Heimdal
кэш – это (как вы помните) файл с именем krb5cc_ + id поль-
зователя во временном каталоге (временный каталог Cyg-
win – это С:\Cygwin\tmp), но это название можно поменять
с помощью переменной окружения Сygwin KRB5CCNAME.

24

У MIT-Kerberos в дефолтной установке используется кэш в
памяти, но его можно настроить на использование диско-
вого файла. Сделать это можно с помощью установки пе-
ременной окружения Windows (KRB5CCNAME) и записей
в реестре Windows HKCU\Software\MIT\Kerberos5\ccname,
HKLM\Software\MIT\Kerberos5\ccname. Системой использу-
ется первое непустое значение в этой последовательнос-
ти или значение по умолчанию – «API:». Я использую bat-
файл, запускаемый при входе в Windows, который устанав-
ливает переменную окружения KRB5CCNAME на название
файла, используемого Heimdal, и затем перемещает сер-
тификат Windows в этот файл утилитой ms2mit. Для каж-
дого из пользователей Windows этот файл свой, поскольку
значение KRB5CCNAME зависит от идентификатора этого
пользователя в Сygwin-окружении.
set KRB5CCNAME = FILE:C:\Cygwin\tmp\krb5cc _ 1017
ms2mit
То же самое вы можете проделать с помощью програм-
мы Leash32 (меню «Action → Import Ticket(s)/Token(s)»), так
же как просматривать/удалять имеющиеся сертификаты
и настраивать кэш сертификатов (меню «Options → Kerbe-
ros v5 Properties Dialog»).
Здесь имеется еще одна ловушка, заботливо расстав-
ленная компанией Microsoft. Для большей безопасности в
установке по умолчанию Support Tools экспорт начального
сертификата из памяти Windows запрещен, что делает его
использование бесполезным для MIT-Kerberos и Heimdal.
К счастью (точнее, благодаря давлению со стороны разра-
ботчиков из MIT), Microsoft оставила ключи в реестре, с по-
мощью которых можно снять этот запрет. Так что, для то-
го чтобы утилита ms2mit работала, в реестре должны быть
установлены значения:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
AllowTGTSessionKey = 0x01 (DWORD)
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
AllowTGTSessionKey = 0x01 (DWORD)
Заключение
Еще несколько слов о совместимости различных версий
Kerberos. Как вы могли только что убедиться, билетики,
получаемые от сервера Heimdal, работают во всех верси-
ях клиентов Kerberos (Microsoft, MIT, Heimdal). То же самое
верно, если бы в качестве сервера использовался KDC от
MIT. Пример же использования библиотеки MIT-Kerberos
в домене Windows 2000 c Active Directory, где реализован
сервер Kerberos от Microsoft, разобран в статье [7]. Так что
на уровне протокола совместимость между реализация-
ми удовлетворительная. В то же время на уровне API сов-
местимость даже между Heimdal и MIT Kerberos оставля-
ет желать лучшего.
Для того чтобы приложение (клиент или сервер) могло
использовать Kerberos, соответствующая поддержка долж-
на быть заложена в код программы. Реализация протоко-
ла Kerberos c нуля сложна, поэтому, как правило, приложе-
ние использует динамические библиотеки Kerberos. Реали-
зации от MIT пользуется большей популярностью, поэтому,
скорее всего, интересующее вас приложение будет исполь-
№7, июль 2005
безопасность
зовать именно ее библиотеки. При этом поддержка Heimdal
тоже может быть реализована авторами программы. Хотя
заголовки функций Heimdal практически повторяют функции
MIT-Kerberos, но структуры данных существенно различны.
Поэтому перелинковка приложения, разработанного под MIT
Kerberos c библиотеками Heimdal, даже если у вас получится
это проделать, скорее всего, приведет к некорректной рабо-
те приложения. Таким образом, модификация кода приложе-
ния, пусть и небольшая, неизбежна в любом случае.
Это замечание особенно актуально для Windows. Мно-
гие керберизованные приложения, разработанные под
UNIX-системы, можно использовать в Windows в среде Cyg-
win, поскольку для авторов портирование под Cygwin дает-
ся легче, чем перелицовывание программы под полноцен-
ное Windows-приложение. Единственная реализация Ker-
beros, доступная для такого рода программ, – это Heimdal,
и вам следует убедиться, что интересующее вас приложе-
ние поддерживает Heimdal. Удивительно, хотя MIT-Kerberos
и разрабатывается под UNIX-системы, но в Cygwin-окруже-
нии он неработоспособен.
Исключением является ситуация, когда приложение ис-
пользует Kerberos не напрямую, а через интерфейс GSSAPI.
Примером такого приложения является ftp из дистрибути-
ва Heimdal. GSSAPI (Generic Security Service Application Pro-
gram Interface) – это интерфейс, обеспечивающий стандар-
тизованный доступ к функциям аутентификации Kerberos.
Как MIT-Kerberos, так и Heimdal предлагают свои реализа-
ции GSSAPI, поэтому в данном случае обе библиотеки ока-
зываются полностью взаимозаменямыми.
На этом установку Kerberos в гетерогенной сети можно
считать завершенной. В итоге вы можете управлять регис-
трационной информацией пользователей из одного места
(сервера kdc). Ваши пользователи получают регистрацию
в секторе Kerberos при входе на свои рабочие станции, про-
зрачный доступ к компьютерам внутри сети с помощью ко-
манд telnet и rsh, удаленный доступ к файлам при помощи
ftp и rcp, шифрованный канал доступа к X-серверам. Ра-
зумеется, количество керберизованных сервисов не огра-
ничивается только службами из состава Heimdal, но уста-
новка и конфигурирование других сервисов требует отде-
льного обсуждения.
Литература, ссылки:
1. Кондрин М. Изучаем принципы работы Heimdal Ker-
beros. – Журнал «Системный администратор», №6,
2005 г. – 56-59 с.
2. Платов М. Атомные часы на вашем столе. – Журнал «Си-
стемный администратор», №4, 2004 г. – 16-21 с.
3. http://www.microsoft.com /downloads /details.aspx?
familyid=49AE8576-9BB9-4126-9761-BA8011FABF38&dis
playlang=en.
4. http://web.mit.edu/kerberos/www/dist/kfw/2.6/kfw-2.6.5/
MITKerberosForWindows-2.6.5.exe.
5. http://web.mit.edu/kerberos/www/dist/kfw/2.6/kfw-2.6.5/
MITKerberosForWindows-2.6.5.exe;
6. http://web.mit.edu/kerberos/www/dist/kfw/2.6/kfw-2.6.5/kfw-
2-6-5.zip.
7. Гребенников Р. Танцуем самбу. – Журнал «Системный
администратор», №11, 2004 г. – 32-38 с.
25
 безопасность
НАСТРАИВАЕМ KERBEROS ПОВЕРХ LDAP
Сегодня мы рассмотрим настройку открытой версии Kerberos Heimdal для работы с OpenLDAP
в качестве хранилища учетных данных. Такое решение позволит вам создать однородную
информационную среду для обеспечения процесса аутентификации и авторизации
пользователей в Linux.
С
истемы аутентификации на основе стандартов Ker-
beros все чаще используются в практических реше-
ниях. Безусловно, Kerberos обладает массой при-
влекательных качеств. Но сама по себе аутентификация –
это «паспорт» несуществующей страны, поскольку всегда
успешная аутентификация предполагает следующую фа-
зу – авторизацию. Если продолжим паспортную аналогию,
то именно на стадии авторизации владелец действитель-
ного «паспорта» получает соответствующие права. Авто-
ризационная база, содержащая перечень данных на каж-
дую снабженную «паспортом» персону должна содержать
еще и данные, позволяющие установить соответствие пер-
соны и паспорта. Но ведь и база аутентификации, т.е. база
фактически проверяемых при сопоставлении «паспорта»
и персоны данных, тоже содержит информацию, частично
продублированную в «паспорте», как минимум имя персо-
ны. Возвращаясь к информационным технологиям, далее
будем называть набор прав к «паспорту» бюджетом, как это
принято в практике администрирования, а персону с «пас-
портом» – принципалом, как это принято в Kerberos.
Итак, если информация о бюджетах хранится в одной
базе, а информация о принципалах в другой, то получает-
ся, что для нормального функционирования неразрывно-
го механизма аутентификации и авторизации необходи-
мо поддерживать обе базы, обеспечивать их связанность,
иметь для каждой собственное средство управления досту-
пом. Кроме этого, архивирование информации системы ау-
26
АЛЕКСЕЙ БАРАБАНОВ
тентификации и авторизации тоже в таком случае не мо-
жет производиться единым образом. Напрашивается оче-
видное решение – разместить обе базы в одном хранили-
ще. В качестве такого хранилища может выступать LDAP.
Для реализации этой идеи надо обеспечить возможность
для системных средств получать информацию о бюджетах
из базы LDAP, во-первых, и, во-вторых, заставить Kerberos
хранить свои записи о принципалах и соответствующих им
ключах тоже в LDAP. И то и другое уже достижимо.
Размещение бюджетной информации в LDAP – это отде-
льная большая тема. Ей посвящено много руководств и да-
же учебников. Вы можете воспользоваться рекомендациями
из заметок [1] на эту тему. Кроме того, использование LDAP
зачастую является стандартнным для некоторых платформ.
Поэтому предположим, что данный вопрос уже решен. Вся
дальнейшая работа будет производится в среде SuSE Linux с
уже настроенным хранением бюджетов в OpenLDAP, напри-
мер, так как это сделано согласно требованиям Samba PDC.
Теперь к такой системе добавляем Kerberos. Воспользуем-
ся открытой версией Kerberos, что поставлялась в SuSE до
версии 9.3 – Heimdal. С версии 9.3 в SuSE произошел пере-
ход на Kerberos от MIT, в опциях настройки которого отсутс-
твует возможность работы с LDAP, поэтому далее эту реа-
лизацию Kerberos не будем рассматривать.
Итак, в OpenLDAP уже хранятся аутентификационные
данные, соответствующие системным службам в атрибуте
userPassword, аутентификационные данные, соответствую-

щие Samba в атрибутах sambaLMPassword и sambaNTPass-
word. Если в систему добавится Kerberos, то дополнительно
каждому бюджету будет сопоставлены данные о принци-
пале Kerberos. Это тот же пароль и права на участие в от-
ношениях внутри определенной области Kerberos (Kerbe-
ros realm). Далее рассмотрим настройку Kerberos, работа-
ющего с LDAP, по шагам.
Собираем Heimdal
Да-да, собираем. Оказывается, стандартный Heimdal, пос-
тавляемый в SuSE, собирается без поддержки LDAP. Для
проверки установим дистрибутивные пакеты:
# rpm -qa | grep heimdal
heimdal-devel-0.6-67
heimdal-lib-0.6-67
heimdal-tools-0.6-67
heimdal-0.6-67
И посмотрим, с какими библиотеками скомпонован де-
мон kdc:
# ldd /usr/lib/heimdal/sbin/kdc | grep ldap
Так как ссылок на ldap нет, то придется пересобрать
Heimdal заново. Для этого установим исходные тексты:
# rpm -ivh heimdal-0.6-67.src.rpm
Можно даже взять версию поновее с сайта разработчи-
ков [2]. Режим сборки задается в файле rpm-спецификации
в строках, где производится конфигурирование пакета пе-
ред непосредственным выполнением команды make. Загля-
нем в оригинальный файл rpm-спецификации:
# cat /usr/src/packages/SPECS/heimdal.spec | ↵
sed -n "/^# building with openldap/,+14p"
# building with openldap support does not work right now because
# autobuild cannot handle circular dependencies such as
# libhdb -> libldap -> libsasl -> libgssapi -> libhdb
#with_openldap="--with-openldap=/usr"
# чи запуска LDAP.
CFLAGS="$RPM_OPT_FLAGS -DOPENSSL_DES_LIBDES_COMPATIBILITY" \
./configure --enable-shared --prefix=/usr/lib/heimdal \
--with-x --mandir=%{_mandir} \
--libdir=%{_libdir} \
--infodir=%{_infodir} --libexecdir=/usr/lib/heimdal/sbin \
--includedir=/usr/include/heimdal \
--with-readline-include=/usr/include/readline \
--with-readline-lib=/usr/lib \
$with_openldap
make
Читаем предупреждение. Не верим. Снимаем коммен-
тарий с управляющей переменной и собираем пакеты зано-
во. Протокол сборки завершается сообщениями об успеш-
ной записи новых rpm:
# rpmbuild -ba /usr/src/packages/SPECS/heimdal.spec
.....
Wrote: /usr/src/packages/SRPMS/heimdal-0.6-67.src.rpm
Wrote: /usr/src/packages/RPMS/i586/heimdal-0.6-67.i586.rpm
Wrote: /usr/src/packages/RPMS/i586/heimdal-devel-0.6-67.i586.rpm
Wrote: /usr/src/packages/RPMS/i586/heimdal-lib-0.6-67.i586.rpm
Wrote: /usr/src/packages/RPMS/i586/heimdal-tools-0.6-67.i586.rpm
№7, июль 2005
безопасность
Удивительно, но все собралось вопреки предупрежде-
ниям SuSE-гуру. Устанавливаем полученное.
# rpm -Uvh --force /usr/src/packages/RPMS/i586/heimdal-*.rpm
Проверяем, что теперь сборка выполнена с поддерж-
кой LDAP:
# ldd /usr/lib/heimdal/sbin/kdc | grep ldap
libldap.so.2 => /usr/lib/libldap.so.2 (0x4007a000)
Все отлично, ссылка на библиотеку LDAP появилась.
Как и следовало ожидать, в информационных технологи-
ях здоровый скепсис всегда кстати.
Настраиваем OpenLDAP
В отличие от NSS и PAM сервер Kerberos не имеет спе-
циального файла настройки LDAP-клиента. В отличие от
Postfix, Squid, Courier-IMAP он не имеет также опций на-
стройки LDAP-клиента в своих конфигурационных фай-
лах. И это совершенно правильное решение. Дело в том,
что если подключения Kerberos к LDAP будет использо-
вать уязвимый способ аутентификации, то грош цена всей
остальной системной безопасности, которую несет техно-
логия Kerberos. Защита внутри Kerberos, а в предлагаемом
способе подключения LDAP становится частью Kerberos,
должна гарантироваться физическими, а не информаци-
онными условиями. Другими словами, Kerberos может ра-
ботать только с локальным сервером LDAP и только через
локальное подключение, не допускающее перехвата ин-
формационного обмена.
Для этого настроим LDAP на прослушивание локально-
го сокета. В SuSE это делается путем изменения специаль-
ного файла в sysconfig.
# cat /etc/sysconÞg/openldap | grep LDAPI
OPENLDAP_START_LDAPI="yes"
А в других дистрибутивах надо просто настроить клю-
Вся информация внутри LDAP размещается согласно
определенным схемам. Есть такая схема и для размеще-
ния информации Kerberos. Эта схема не входит в состав
дистрибутивных пакетов. Но ее нетрудно разыскать в Ин-
тернете. Авторство этой схемы принадлежит PADL Software
Pty Ltd. Можно взять версию, прилагаемую к статье [3], или
поискать поновее по ссылке [4]. Эту схему надо положить
ко всем остальным схемам и добавить соответствующую
ссылку на нее в файл настроек LDAP :
# cat /etc/openldap/slapd.conf | grep krb5
include /etc/openldap/schema/krb5-kdc.schema
Разрешим полный доступ через локальный сокет, доба-
вив соответствующие строки в настройки ограничений до-
ступа LDAP. Здесь используется специальный подключае-
мый файл slapd.access.conf , содержащий очень грубую на-
стройку условий доступа. Можно даже сказать так, что эта
настройка носит только учебный характер.
27
 безопасность
# cat /etc/openldap/slapd.access.conf | grep -v "^\(#\|$\)" «set user ID». Вроде все верно, только расположен он внут-
access to dn=".*,dc=office,dc=localnet" ри директории, доступной лишь для ldap.ldap.
by sockurl="^ldapi:///$" write
by self write # ls -als /var/run/slapd
by * read
total 24
Согласно указанным правилам все пользователи мо- 4 drwx------
4 drwxr-xr-x
4
20
ldap
root
ldap
root
4096
4096
Jun
Jun
12
12
13:04
23:02
.
..
гут читать всю базу LDAP, а вот править могут только лишь 0 srwx------ 1 root root 0 Jun 12 13:04 ldapi
собственные контейнеры. Строка «by sockurl=”^ldapi:///$”»
4 drwx------ 2 ldap ldap 4096 Sep 24 2003 openldap-data
4 drwx------ 2 ldap ldap 4096 Sep 24 2003 openldap-slurp
выбирает из всех запросов те, что поступают в LDAP через 4 -rw-r--r-- 1 ldap ldap 76 Jun 12 13:04 slapd.args
4 -rw-r--r-- 1 ldap ldap 5 Jun 12 13:04 slapd.pid
локальный сокет, и дает таким клиентским подключениям
права на запись, то есть самые высокие по шкале эскала- Процесс kdc в SuSE запускается от пользователя root,
ции прав LDAP. Как уже стало понятно, базовый контейнер и поэтому нет никаких проблем с подключением к сокету
LDAP имеет имя dc=office,dc=localnet. для связи с LDAP. Если в некоторой системе приняты иные
Заметим, что хотя все атрибуты, использованные для соглашения, то недоступность локального сокета, создан-
хранения ключей принципалов, шифруются по мастер- ного LDAP, со стороны процесса kdc может быть причиной
ключу конкретного KDC (Kerberos Key Distribution Ceter или отказа Kerberos. Для исправления этого надо просто поме-
в русской аналогии ЦРК – центр распределения ключей), нять права доступа у сокета после запуска slapd.
для предотвращения доступа к таким записям со стороны Подключенный через локальный сокет Kerberos име-
иных служб рекомендуется настроить соответствующим об- ет исключительно доверительные права на доступ к базе
разом правила доступа к LDAP базе. Да и права, собствен- LDAP. Но это нужно только для режима наполнения базы
но, Kerberos тоже можно ограничить определенным уров- данными. Для регулярной работы Kerberos, аутентифика-
нем дерева LDAP. ции и выдачи билетов достаточно иметь доступ на чтение.
Но разрешить все со стороны локального сокета не до- То есть всегда остается возможность «заморозить» состо-
статочно. Поскольку Kerberos никак себя не аутентифици- яние базы Kerberos. Хотя верно это лишь для применяемой
рует при подключении к LDAP, то в сеансе связи он будет версии Heimdal, которая не обновляет индексы в базе при
считаться анонимным пользователем. В версиях OpenLD- выдаче билетов, и, естественно, в таком случае станет не-
AP с индексом более 2 модификация базы через такое под- возможным изменение паролей принципалов.
ключение приводит к ошибке.
Например, попытка инициализации области Kerberos Настраиваем Kerberos
завершается сообщением: Создадим файл управления службой Kerberos. Рабочей
областью Kerberos (в оригинале realm) назначим OFFICE.
kadmin: kadm5_create_principal: ldap_add_s:
Strong(er) authentication required
LOCALNET и ограничим перечень прослушиваемых адре-
сов внутрисетевыми. Должно получиться так:
Добавим специальную опцию «allow update_anon» в
управляющий файл LDAP перед директивами, описыва- # cat /etc/krb5.conf
ющими базу данных. Эта опция допускает изменение ба- [kdc]
зы LDAP анонимным клиентом, если последнее разреше- database = {
dbname = ldap:ou=KerberosPrincipals,dc=office,dc=localnet
но операторами access. log_file = /var/heimdal/log
Теперь можно запустить LDAP. acl_file = /var/heimdal/kadmind.acl
}
addresses = 127.0.0.1 192.168.0.1
# rcldap start
[libdefaults]
Starting ldap-server done default_realm = OFFICE.LOCALNET
server:~ # netstat -apn | grep slapd clockskew = 300
tcp 0 0 127.0.0.1:389 0.0.0.0:* LISTEN 11036/slapd dns_lookup_kdc = 1
unix 2 [ ACC ] STREAM LISTENING 82235 11036/slapd /var/run/slapd/ldapi
unix 2 [ ] DGRAM 182233 11036/slapd
[realms]
OFFICE.LOCALNET = {
Видно, что процесс slapd слушает не только локальный kdc = kerberos.office.localnet
адрес, но и сокет /var/run/slapd/ldapi. Здесь есть еще один admin_server = kerberos.office.localnet
kpasswd_server = kerberos.office.localnet
«подводный камень», который, возможно, будет иметь зна- }
чение для владельцев дистрибутивов, отличных от SuSE.
[domain_realm]
Дело в том, что традиционно LDAP запускается от соответ- .office.localnet = OFFICE.LOCALNET
ствующего пользователя.
[logging]
default = SYSLOG:NOTICE:DAEMON
# ps -eo user,args | grep slapd | grep -v grep | head –n 1 kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
ldap /usr/lib/openldap/slapd -h ldapi:///
ldap://127.0.0.1:389/ -u ldap -g ldap [appdefaults]
pam = {
ticket_lifetime = 1d
И несмотря на это, сокет для связи создается от пользо- renew_lifetime = 1d
forwardable = true
вателя root и с правами, ограничивающими доступ к нему proxiable = false
от иных пользователей и групп, но с установленным битом }

28
 безопасность
Проверим настройки специальной программой. Master key:
Verifying - Master key:
kstash: writing key to `/var/heimdal/m-key'
# verify _ krb5 _ conf

verify_krb5_conf: /kdc/database/log_file: unknown entry Проверим, что появился соответствующий файл.

verify_krb5_conf: /kdc/database/acl_file: unknown entry
# ls -als /var/heimdal
Сообщения игнорируем, так как они ошибочные. Мож- 4 -rw------- 1 root root 72 Jun 11 00:04 m-key
но или собрать более свежую версию verify_krb5_conf, или
сразу писать авторам сообщение об ошибке. В дальнейшем пароль, использованный для генера-
Прокомментирую секцию kdc и оператор database. Внутри ции мастер-ключа, можно забыть. Самое главное, не те-
указывается контейнер LDAP, в котором будут размещаться рять файл с мастер-ключом, так как без него KDC не смо-
записи, используемые Kerberos. Дополнительно определим жет работать с собственной базой. Считается, что копию
файл протокола и файл с установками ограничений доступа файла с мастер-ключом надо хранить отдельно от архива
к самой базе со стороны принципалов. Эти строки надо ука- базы Kerberos.
зывать обязательно. Но Kerberos работает со своей базой Подключимся к Kerberos в оффлайне (ключ -l) и настро-
на очень примитивном уровне и поэтому не имеет возмож- им область Kerberos.
ности анализировать специфические ошибки LDAP. Иначе
говоря, он не может распознать отсутствие подготовленно- # kadmin -l
го контейнера в LDAP и создать его самостоятельно. Зна- kadmin> init OFFICE.LOCALNET
чит, нужно предварительно создать контейнер для Kerberos Realm max ticket life [unlimited]:
Realm max renewable ticket life [unlimited]:
ou=KerberosPrin-cipals,dc=office,dc=localnet. Для этого подго- kadmin> exit
товим данные в специальном файле kerberos.ldif.
Проверим, используя опять же оффлайновое подклю-
# cat kerberos.ldif чение, что вышло.
dn: ou=KerberosPrincipals,dc=office,dc=localnet
ou: KerberosPrincipals # kadmin -l
objectClass: top
kadmin> list *
objectClass: organizationalUnit krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET
objectClass: domainRelatedObject kadmin/changepw@OFFICE.LOCALNET
associatedDomain: office.localnet kadmin/admin@OFFICE.LOCALNET
changepw/kerberos@OFFICE.LOCALNET
Здесь отмечу одну забавную особенность. На сайте [4] в kadmin/hprop@OFFICE.LOCALNET
default@OFFICE.LOCALNET
описании аналогичной настройки записан контейнер с ou= kadmin> exit
KerberosPrincpals, который отличается отсутствием буквы
«i» в слове «Principals». Это именно описка, поскольку там Интерпретируем результат. Итак, выше приведен пере-
же в примере с ldapsearch приведен грамматически пра- чень служебных принципалов, созданных автоматически.
вильный вариант. Но тем не менее многими такая форма Структура именования принципалов следующая: primary_
была воспринята как стандарт и бездумно повторена. Этот name/instance@REALM. Но в данном случае часть instance
случай свидетельствует о высоком уровне априорного до- имеет значение «роль». Для администрирования зарегис-
верия всякому экспертному мнению в области компьютер- трируем принципала sysadmin/admin.
ной безопасности.
Создадим контейнер для Heimdal. # kadmin -l

kadmin> add sysadmin/admin

# ldapadd -v -H ldap://localhost -D "cn=ldapadmin, ↵ Max ticket life [1 day]:
dc=ofÞce,dc=localnet" -x -w secret -f kerberos.ldif Max renewable life [1 week]:
Principal expiration time [never]:
ldap_initialize( ldap://localhost )
Password expiration time [never]:
add ou:
Attributes []:
KerberosPrincipals
add objectClass:
sysadmin/admin@OFFICE.LOCALNET's Password:
top Verifying - sysadmin/admin@OFFICE.LOCALNET's Password:
organizationalUnit kadmin> exit
domainRelatedObject
add associatedDomain: Вот пароль этого принципала надо запомнить обяза-
office.localnet тельно. Хотя в случае утери его можно восстановить через
adding new entry "ou=KerberosPrincipals,dc=office,dc=localnet"
modify complete оффлайновое подключение. Создание sysadmin/admin в
файле-реплике LDAP отображается следующим образом:
Теперь все готово для настройки Kerberos. time: 1118439261
dn: cn=sysadmin/admin@office.localnet,ou=KerberosPrincipals,dc=office,dc=localnet
changetype: add
Оффлайновое администрирование objectClass: top
objectClass: person
В первую очередь подготовим мастер-ключ. objectClass: krb5Principal
objectClass: krb5KDCEntry
krb5PrincipalName: sysadmin/admin@OFFICE.LOCALNET
# kstash krb5KeyVersionNumber: 1

№7, июль 2005 29

 безопасность
krb5MaxLife: 86400 рирования kadmind прослушивает все возможные адреса
по порту 749, а вот kpasswdd, т.е. сервис изменения паро-
krb5MaxRenew: 604800
krb5KDCFlags: 126
krb5Key:: MCWhIzAhoAMCARChGgQYCCzqjwcCvAduYvIOzSVKuq33j9qeBJe5
krb5Key:: MBWhEzARoAMCAQOhCgQIUl6ATDGML2g=
лей, слушает на всех активных в данный момент адресах
krb5Key:: MBWhEzARoAMCAQKhCgQIUl6ATDGML2g= по порту 464, не исключая и двух внешних подключений к
krb5Key:: MBWhEzARoAMCAQGhCgQIUl6ATDGML2g=
cn: sysadmin/admin@office.localnet ISP. Другими словами, без firewall не обойтись, иначе если
sn: sysadmin/admin@office.localnet
structuralObjectClass: person не атаки, то сканирований не избежать. Но все вышеска-
entryUUID: 271bfa42-6e43-1029-90f0-b1a0d84cadb1
creatorsName: cn=anonymous
занное относится только к принятой в SuSE схеме запус-
createTimestamp: 20050610213421Z ка. Ничего не мешает запустить kadmind и kpasswdd через
entryCSN: 2005061021:34:21Z#0x0001#0#0000
modifiersName: cn=anonymous суперсервер xinetd, и уже средствами последнего ограни-
modifyTimestamp: 20050610213421Z
чить доступ. Схема запуска через суперсервер, кроме про-
Здесь видно, что создатель записей в контейнерах Ker- чего, еще и позволит сэкономить ресурсы.
beros anonymous.
Работаем в сети
Настраиваем DNS Теперь проверим, как будет работать не оффлайновое, а
Перейдем к настройкам удаленного доступа к сервисам Ke- сетевое администрирование Kerberos.
rberos. Сначала настроим DNS. Здесь предполагается, что
KDC запускается в локальной сети 192.168.0.0/24 на хосте # kadmin -p sysadmin/admin
192.168.0.1. Добавим в описание зоны office.localnet следу- kadmin> list *
ющие строки: sysadmin/admin@OFFICE.LOCALNET's Password:
kadmin: get *: Operation requires `get' privilege
kadmin> exit
$ORIGIN .ofÞce.localnet.
$TTL 86400 ; 1 day
_ kerberos TXT "OFFICE.LOCALNET." Это значит, в базе Kerberos не настроены права доступа.
kdc A 192.168.0.1 Ранее все подключения делались напрямую к базе данных,
kerberos A 192.168.0.1
$ORIGIN _ tcp.ofÞce.localnet. и права доступа не учитывались. Настроим их.
$TTL 600 ; 10 minutes
_ kerberos SRV 0 100 88 kerberos.ofÞce.localnet. # cat >/var/heimdal/kadmind.acl <<EOT
_ kerberos-adm SRV 0 100 749 kerberos.ofÞce.localnet.
_ kpasswd SRV 0 100 464 kerberos.ofÞce.localnet.
$ORIGIN _ udp.ofÞce.localnet. > sysadmin/admin all
$TTL 600 ; 10 minutes > * cpw
_ kerberos SRV 0 100 88 kerberos.ofÞce.localnet. > EOT
_ kpasswd SRV 0 100 464 kerberos.ofÞce.localnet.
Это значит, sysadmin/admin может делать все, а осталь-
Перезапустим сервер DNS и проверим, что разрешение ные только менять пароли. И теперь повторим попытку под-
имен работает нужным образом. ключения.

# dig _ kerberos. _ tcp.ofÞce.localnet any +short # kadmin -p sysadmin/admin

0 100 88 kerberos.office.localnet. kadmin> list *

sysadmin/admin@OFFICE.LOCALNET's Password:
krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET
kadmin/changepw@OFFICE.LOCALNET
Запускаем Kerberos kadmin/admin@OFFICE.LOCALNET
Настало время запустить службы Kerberos. changepw/kerberos@OFFICE.LOCALNET
kadmin/hprop@OFFICE.LOCALNET
default@OFFICE.LOCALNET
# rckdc start sysadmin/admin@OFFICE.LOCALNET
kadmin> exit
Starting kdc done
Как показала эта проверка, kdc перечитывает правила
Посмотрим, что вышло. доступа к базе при каждом обращении, то есть нет необ-
ходимости перезагружать демон.
# netstat -apn | grep "\(kdc\|kadmin\|kpasswd\)" И теперь проделаем все то же самое, но с удаленного
tcp 0 0 192.168.0.1:88 0.0.0.0:* LISTEN 10984/kdc компьютера, предварительно переложив туда файл настро-
tcp 0 0 127.0.0.1:88 0.0.0.0:* LISTEN 10984/kdc ек krb5.conf, который одновременно является и файлом на-
tcp
udp
0
0
0 :::749
0 XX.XXX.XX.XX:464
:::*
0.0.0.0:*
LISTEN 10986/kadmind
10988/kpasswdd
строек клиента Kerberos.
udp 0 0 192.168.0.1:464 0.0.0.0:* 10988/kpasswdd Получим билет для принципала sysadmin/admin на ра-
udp 0 0 YYY.YY.Y.YY:464 0.0.0.0:* 10988/kpasswdd бочей станции:
udp 0 0 10.0.0.1:464 0.0.0.0:* 10988/kpasswdd
udp 0 0 127.0.0.1:464 0.0.0.0:* 10988/kpasswdd
alekseybb@wsalekseybb:~> kinit sysadmin/admin
udp 0 0 192.168.0.1:88 0.0.0.0:* 10984/kdc
udp 0 0 127.0.0.1:88 0.0.0.0:* 10984/kdc sysadmin/admin@OFFICE.LOCALNET's Password:
udp 0 0 ::1:464 :::* 10988/kpasswdd kinit: NOTICE: ticket renewable lifetime is 1 week
unix 2 [ ] DGRAM 359313 10988/kpasswdd alekseybb@wsalekseybb:~> klist
Credentials cache: FILE:/tmp/krb5cc_500
Примечательно, что kdc, т.е. сервис аутентификации и Principal: sysadmin/admin@OFFICE.LOCALNET

выдачи билетов, запустился на внутренних адресах и пор- Issued Expires Principal

ту 88, как и планировалось. Сервис удаленного админист- Jun 11 02:14:33 Jun 11 12:15:57 krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET

30

Здесь видно, что в кеше Kerberos для локального кли-
ента alekseybb лежит билет от krbtgt/OFFICE.LOCALNET,
выписанный на принципала – администратора sysadmin/
admin@OFFICE.localnet. Такой билет называется суперби-
лет (в оригинале – Ticket Granting Ticket), поскольку он да-
ет право на получение билетов на доступ ко всем другим
принципалам, расположенным в той же области Kerberos.
В нашем случае это список, полученный по команде «list *».
Проверим доступ к базе на правах администратора.
alekseybb@wsalekseybb:~> /usr/sbin/kadmin
kadmin> list *
krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET
kadmin/changepw@OFFICE.LOCALNET
kadmin/admin@OFFICE.LOCALNET
changepw/kerberos@OFFICE.LOCALNET
kadmin/hprop@OFFICE.LOCALNET
default@OFFICE.LOCALNET
sysadmin/admin@OFFICE.LOCALNET
kadmin> exit
Теперь снова заглянем в кеш билетов.
alekseybb@wsalekseybb:~> klist
Credentials cache: FILE:/tmp/krb5cc_500
Principal: sysadmin/admin@OFFICE.LOCALNET
Issued Expires Principal
Jun 11 02:14:33 Jun 11 12:15:57 krbtgt/OFFICE.LOCALNET@OFFICE.LOCALNET
Jun 11 02:14:47 Jun 11 03:14:47 kadmin/admin@OFFICE.LOCALNET
Кроме супербилета, там появился второй билет, полу-
ченный на основании универсального и предназначенный
для доступа к принципалу kadmin/admin@ OFFICE.LOCAL-
NET. Оба билета выданы на «имя» sysadmin/admin.
Значит, работает. Удостоверимся в том, что Heimdal не
модифицирует в процессе аутентификации записи в базе.
Для этого есть много способов, но достаточно более вни-
мательно просмотреть записи в самой базе.
alekseybb@wsalekseybb:~> /usr/sbin/kadmin
kadmin> list -l kadmin/admin
Principal: kadmin/admin@OFFICE.LOCALNET
Principal expires: never
Password expires: never
Last password change: never
Max ticket life: 1 hour
Max renewable life: 1 hour
Kvno: 1
Mkvno: 0
Policy: none
Last successful login: never
Last failed login: never
Failed login count: 0
Last modified: 2005-06-10 20:04:12 UTC
Attributes: requires-pre-auth
Keytypes(salttype[(salt-value)]): des-cbc-crc(pw-salt),
des-cbc-md4(pw-salt), des-cbc-md5(pw-salt), des3-cbc-sha1(pw-salt)
kadmin> exit
Видно, что поля с указанием времени последней ау-
тентификации и прочие не установлены. Точно также
можно убедиться в отсутствии модификаций по файлу-
реплике LDAP, в который должны заноситься все такие
операции.
Взвесим «за» и «против»
Итак, давайте взвесим, какие преимущества достигаются
комбинацией Kerberos и LDAP. Быть может, не стоило все
это и городить.
№7, июль 2005
безопасность
Перечислим положительные приобретения:
! Вся аутентификационная и бюджетная информация хра-
нится в одной базе и, значит, может быть архивирована
единым образом.
! Появляется возможность «заморозки» изменений в ба-
зе Kerberos, что позволяет сделать его работу более на-
дежной.
! Появляется второй канал репликации базы Kerberos
за счет реплики LDAP. То есть возрастает доступность
(availability) службы KDC.
Теперь подсчитаем отрицательные:
! У KDC появляется зависимость от дополнительной служ-
бы, надежность предоставления сервиса которой надо
гарантировать теперь вдвойне.
! Хотя использование мастер-ключа не позволяет вскрыть
или подменить ключи принципалов, но гарантия того, что
они не будут простого уничтожены, теперь лежит на дру-
гом сервисе и его настройках. Значит, в подобной схеме
хранения надежность определяется по наислабейшему
компоненту. Скорее всего, таким нужно считать LDAP.
Во всех руководствах по созданию KDC записано тре-
бование размещать KDC на отдельном хосте, который бо-
лее ничем не может быть занят. Ну разве что SSH для ад-
министрирования. Но здесь же основанием для сочетания
Kerberos и LDAP главными были мотивы интегрального ха-
рактера. С другой стороны, есть успешный пример такой
интеграции – разработка фирмы Microsoft под названием
ActiveDirectory. Конечно, вопросы безопасности нужно про-
рабатывать очень тщательно и применительно к конкретно-
му составу приложений, которые будет обслуживать LDAP.
Поскольку если в общей директории хранится еще и инфор-
мация Kerberos, то надо будет оградить ее от потенциаль-
но небезопасных приложений.
Ну и последнее соображение. Как следует из материа-
лов работы [5], использование LDAP в качестве хранилища
увеличило среднее время обработки запроса с 8 мс до 2.4 с,
то есть почти в 300 раз. Конечно, измерения проводились
на области, содержащей 1000 принципалов, и на не очень
сильном компьютере. Но даже с поправкой на закон Мура
надо учитывать фактор снижения производительности при
переводе системы на подобную конфигурацию.
Ссылки:
1. Заметки по настройке размещения пользовательских
бюджетов в LDAP: http://www.barabanov.ru/arts/LDAPre-
marks-2.pdf.
2. Домашний сайт проекта Heimdal: http://www.pdc.kth.se/
heimdal.
3. Схема для размещения информации Kerberos в LDAP:
http://www.barabanov.ru/arts/kerberos_over_ldap/krb5-kdc.
schema.
4. Лидер в области разработок АиА с использованием
LDAP: http://www.padl.com.
5. Different database methods in Heimdal. Assar Westerlund,
Swedish Institute of Computer Science: http://www.chips.
chalmers.se/Chips/conference/made2000/presentations/
danielsson.et.al.pdf.
31
 администрирование
ASTERISK И LINUX: МИССИЯ IP-ТЕЛЕФОНИЯ
ДЕЙСТВИЕ 2
В прошлой статье [1] мы познакомились с основными возможностями Asterisk PBX,
настроив небольшую мини-АТС, работающую по протоколу SIP. Сегодня мы значительно
расширим ее функциональность, добавив поддержку протокола H323 и обеспечив связь
с городской сетью.
Альтернативный межгород
В прошлый раз мы предоставили нашим пользователям воз-
можности дешевой междугородной связи. Для этого мы под-
ключили наш сервер к сети одного из провайдеров по «род-
ному» для Asterisk протоколу SIP. Однако, как показывает
практика, провайдеры в большинстве своем не спешат пере-
ходить на SIP и при предоставлении своих услуг продолжают
использовать более традиционный H323. Сильно расстраи-
ваться по этому поводу не стоит – рано или поздно все рав-
но все перейдут. А пока этого не произошло, решим эту про-
блему со своей стороны – установим H323-модуль Asterisk.
На данный момент мне известно о существования четырех
различных H323-драйверов (см. таблицу 1)для Asterisk:
! chan_oh323 – исторически первый H323-драйвер для
Asterisk. При работе использует RTP-стек библиотеки
OpenH323, со всеми вытекающими отсюда последствиями
(поддерживаемые кодеки, стабильность, совместимость).
Поддерживается компанией inAccess Networks [2].
! chan_h323 – отличительной особенностью данного драй-
вера является более тесная интеграция с Asterisk (ис-
пользуется Asterisk-реализация протокола RTP), что поз-
воляет достичь большей производительности по сравне-
нию с chan_oh323. Платой же за это является несколько
меньшая функциональность. Так, например, chan_h323
не имеет собственного буфера дрожания (jitter buffer) [3],
а также не поддерживает некоторые кодеки.
! chan_ooh323c – драйвер компании Objective Systems
Inc [4], основанный на их открытом H323 стеке – Objec-
tive Open H.323 for C. И хотя количество поддерживае-
мых кодеков и H323-настроек несколько меньше, чем у
конкурентов, драйвер вполне можно использовать. На
данный момент статус драйвера – «beta», но со слов
разработчиков, модуль в скором времени должен вой-
дет в состав официальной версии Asterisk.
! chan_woomera – драйвер, позволяющий связать Asterisk
с сервером Woomera. На данный момент через woomera
можно совершать только H323-звонки, хотя в будущем
разработчики обещают обеспечить поддержку универ-
сального уровня абстракции OPAL.
32
МИХАИЛ ПЛАТОВ
Что же выбрать? Ответ на этот вопрос нужно искать ис-
ходя из конкретных задач.
Если вы используете STABLE-версию Asterisk, то вариан-
ты ограничиваются первыми двумя представителями. При
этом, если планируемое количество одновременных звон-
ков, совершаемых через H323, достаточно велико, то бо-
лее предпочтительным будет chan_h323, если желательна
более «качественная» реализация H323, то лучше исполь-
зовать chan_oh323.
Драйверы chan_ooh323 и chan_woomera можно реко-
мендовать к использованию разработчикам и «очень про-
двинутым пользователям», желающим заглянуть в за-
втрашний день (H323 и SIP поверх IPv6 и т. д.). Для наших
же задач возможностей chan_h323 или chan_oh323 будет
более чем достаточно. Определенности ради будем счи-
тать, что мы выбрали chan_oh323, хотя приведенные ни-
же настройки с небольшими изменениями будут работать
и с chan_h323.
Устанавливаем chan_oh323
Для канальных драйверов Asterisk отсутствуют готовые би-
нарные пакеты, поэтому воспользуемся единственно воз-
можным способом установки – компиляцией из исходно-
го кода.
При этом будем использовать машину следующей кон-
фигурации:
! CPU AthlonXP 1500+
! MB Epox 8KHA+ (VIA KT266A)
! 512 Мб RAM
! HDD 40 Гб IDE Samsung
! Gentoo Linux Linux 2005.0 (ядро 2.6.12, gcc 3.4.3 и
glibc 2.3.4)
Нам понадобятся следующие версии программ и биб-
лиотек:
! pwlib 1.6.6
! openh323 1.13.5
! chan_oh323 0.6.6
! Asterisk 1.0.9
 администрирование
Таблица 1. Сравнение H323-драйверов для Asterisk

Очень большое количество проблем при установке ка- стройку, а также внести соответствующие изменения в но-
нальных драйверов H323 возникает именно из-за исполь- мерной план.
зования других версий pwlib и openh323. Кроме того, у не- Параметры chan_oh323 хранятся в файле /etc/aster-
которых людей наблюдались трудности при использова- isk/oh323.conf. Итак, в контексте [general] определим сле-
нии готовых бинарных пакетов, входящих в состав у неко- дующие параметры (для остальных оставим значения по
торых дистрибутивов. умолчанию):
Взять нужные версии лучше всего с сайта inAccessNet-
works (к сожалению, у меня не получилось собрать openh323 с [general]
listenAddress=IP _ адрес _ интерфейса
сайта inAccessNetworks, поэтому я взял эту же версию библи- fastStart=yes
отеки из репозитория исходных кодов Gentoo) [5, 6, 7]. Итак, inBandDTMF=yes
gatekeeper=IP _ адрес _ GateKeeper
загружаем чуть меньше 4 Мб исходных кодов в /root/src/oh323 gatekeeperPassword=secret
и переходим к установке. Начинать необходимо с pwlib. context=generic-inc

# cd /root/src/oh323 Здесь мы указали:

# tar xfz ./pwlib-Janus _ patch4-src-tar.gz
# cd pwlib ! IP-адрес, который chan_oh323 будет использовать для
# ./conÞgure работы с H323-устройствами (очень полезно, если у
# make opt
# make install Linux-машины имеется несколько адресов в различных
сетях);
Оптимизированная версия pwlib установлена, перехо- ! IP-адрес GateKeeper, пароль, с которым мы будем ре-
дим к openh323. гистрироваться;
! контекст Asterisk, в который будут попадать все звонки,
# cd .. приходящие со стороны H323;
# tar xfz ./openh323-v1 _ 13 _ 5-src.tar.gz
# cd openh323 ! включили режим faststart для более быстрой установки
# ./conÞgure H323-соединений;
# make opt
# make install ! сообщили серверу, что тоновые сигналы (DTMF) необходи-
мо передавать внутри RTP-пакетов (inBandDTMF=yes).
Библиотека OpenH323 собирается достаточно долго
(в моем случае на это ушло чуть больше часа). Кроме того, Заметим, что приведенные значения параметров не яв-
во время компиляции вам понадобятся около 150 Мб дис- ляются «лучшими для всех случаев жизни», просто в мо-
кового пространства и 300 Мб swap. ей ситуации именно этот набор вызывает наименьшее ко-
Теперь перейдем к канальному драйверу chan_oh323: личество проблем.

# cd ..
# tar xfz ./asterisk-oh323-0.6.6.tar.gz
# cd ./asterisk-oh323-0.6.6
# make
# make install

Драйвер установлен. Запустим Asterisk с режимом кон-

соли (asterisk -cvvvvv) и выполним команду:

* CLI> show modules

Модуль chan_oh323 должен присутствовать в списке за-

груженных модулей (см. рис. 1).

Настраиваем chan_oh323
Прежде чем приступить к использованию chan_h323 в As-
terisk, нам необходимо предварительно произвести на- Рисунок 1. Список загруженных модулей Asterisk

№7, июль 2005 33

 администрирование
Если провайдер предоставляет нам телефонные номера
для входящих звонков, запишем их в секцию [register]:
[register]
context=generic _ inc
alias=телефонный _ номер _ 1 _ от _ провайдера
alias=телефонный _ номер _ 2 _ от _ провайдера
Звонки, приходящие на указанные номера, будут по-
падать в контекст generic_inc (при необходимости звон-
ки на разные номера можно направить в различные кон-
тексты).
Для кодеков определим следующие параметры:
[codecs]
codec=G729
frames=6
codec=G711U
frames=20
codec=G729A
frames=6
codec=G729B
frames=6
codec=G729AB
frames=6
codec=GSM0610
frames=4
codec=G7231
frames=4
Данные настройки определяют количество голосовых
кадров, упаковываемых в один IP-пакет. Значение по умол-
чанию («1») слишком расточительно, поэтому поставим
здесь типичные значения для голосового оборудования
H323 – «4,6». Заданные параметры будут применены по-
сле следующего перезапуска Asterisk (см. «Перезагрузка
конфигурации»). Перейдем к изменениям номерного пла-
на. Для входящих звонков (со стороны H323) подойдет кон-
текст, который мы создавали в прошлый раз (ведь по боль-
шому счету нам все равно посредством какой технологии
до нас дозвонились):
[generic-inc]
exten => s,1,Wait, 1
exten => s, 2, Answer
exten => s,3, BackGround(local-welcomе)
exten => s,4, WaitExten
exten => 200,1, Macro(stdexten,200,SIP/200)
exten => 201,1, Macro(stdexten,201,SIP/201)
exten => 202,1, Macro(stdexten,202,SIP/202)
exten=> 8500,1, VoiceMailMain
exten=> 8500,n, Hangup
А вот для исходящих звонков потребуются некоторые из-
менения. Добавим в контекст [office] следующую запись:
exten => _ 6 Dial(OH323/{EXTEN:1},20,rT)
При наборе номера с префиксом «6» звонок будет осу-
ществляться с помощью chan_oh323, т.е. согласно номерно-
му плану провайдера определенному на его GateKeeper.
Если же провайдер не использует Getekeeper (схема
терминации на шлюз), то в файле oh323.conf необходи-
мо указать:
gatekeeper=DISABLE
А в номерном плане написать так:
34
exten => _ 6 Dial(OH323/preÞx{EXTEN:1}@gw _ addr,20,rT)
Здесь prefix – служебный номерной префикс провайдера
IP-телефонии, а gw_addr – IP-адрес его H323-шлюза.
Выход в город
Как вы могли заметить, на данный момент наша система
обладает одним недостатком, несколько затрудняющим ее
широкое использование, – отсутствие связи с городской
телефонной сетью. Действительно довольно сложно пред-
ставить себе ситуацию, в которой связь с ТФОП (или c уже
существующей мини-АТС) не требовалась. Сейчас мы ис-
правим это недоразумение.
Как вы помните из [3], существуют два основных спо-
соба подключения к городской телефонной сети: аналого-
вый (через стандартный телефонный провод) и цифровой
(например, 30 каналов через интерфейс E1). Также нам из-
вестно, что «переводом» звонков из телефонной сети в VoIP
занимаются шлюзы. Так вот, с Asterisk можно не только ис-
пользовать обычные шлюзы H323, SIP с портами FXO, FXS,
E1, но и специализированные модули выпускаемые специ-
ально для Asterisk. Фактически они представляют собой
PCI-платы с соответствующими разъемами, необходимой
электроникой «на борту», а также драйверами, позволяю-
щими всему этому добру работать с Asterisk.
В город вместе с Digium
Наиболее известным (но не единственным [8]) производи-
телем таких плат является компания Digium [9] – основной
спонсор Open Source-проекта Asterisk. Спектр выпускаемых
ею плат достаточно велик – от однопортовых FXS и FXO
адаптеров, до модулей с четырьмя интерфейсами E1/T1.
Платы с аналоговыми портами наиболее привлекательны
для малых предприятий (2 платы 4FXO = 8 аналоговых ли-
ний (рис. 2)), цифровые модули наиболее интересны сред-
ним предприятиям (1 плата 4E1 – 120 цифровых каналов!).
Рисунок 2. Модуль Digum TDM22B (2 FXO + 2 FXS)
С точки зрения стоимости особенно привлекательны-
ми являются платы Digium Wildcard X100P/X101P. С ними
связана одна интересная история. Первоначально Wild-
card X100P/X101P продавалась Digium по цене около 100$.
Однако через какое-то время пользователи заметили, что
на самом деле эти платы есть ни что иное, как обычные
PCI-софт-модемы на широко распространенных чипсетах
(Intel 537PU, 537PG, Ambient MD3200, Motorola 62802-51,
первые 3 определятся как X101P или generic clone, пос-
ледний как X100P), продаваемые в обычном компьютер-
ном магазине за 10-15$. После того как эта информация
стала общеизвестной, Digium ничего не оставалось, кро-
ме как свернуть продажи линейки X100P/X101P (в пос-
ледствии ее место занял внешний модуль IAXy). Впрочем,
это не означает, что остальные поступили также. Наобо-
рот, во многих online-магазинах эту плату (X100P, X101P
 администрирование
или их клоны) по-прежнему можно купить по цене 10-15$. Первая строчка означает, что для платы 1 необходи-
К сожалению, в России софт-модемы на нужных чипсетах мо использовать сигнализацию FXS loop-start (в Asterisk
не продаются в широкой рознице (у нас более популяр- для плат FXO используется сигнализация FXS, и, наобо-
ны модемы на микросхемах Conexant и Lucent, а не Intel и рот; если при указанных настройках сервер не будет опре-
Motorola), поэтому я заказал эту плату (X101P) через Ин- делять сигнал «занято», попробуйте другие разновиднос-
тернет [10, 11]. Итак, вставим модем в компьютер и на- ти fxs-сигнализации: fxs_ks, fxs_gs). Если плат в системе
строим его с Asterisk. несколько (например, две), то в первой строчке нужно на-
Первое, что нам необходимо сделать, – убедиться, что писать fxsks=1-2.
модем определился системой. Для этого выполним ко- Строки 2 и 3 определяют параметры телефонной сети
манду: для используемого оборудования (частоты тоновых сигна-
лов, их длительность и т. д.). К сожалению, в списке доступ-
# lspci ных стран России нет, поэтому, для того чтобы в вашем кон-
кретном случае все заработало, возможно, придется пере-
Если среди вывода этой утилиты присутствует строч- брать несколько стран. Список всех доступных вариантов
ка, похожая на эту: проще всего посмотреть в исходном тексте – файл zoneda-
ta.c библиотеки zaptel.
0000:00:09.0 Network controller: Tiger Jet Network Inc. Intel 537
Следующим шагом при настройке нашего сервера яв-
можете считать, что ядро Linux PCI-плату увидело и можно ляется определение параметров карты в файле /etc/aster-
пробовать загружать ее драйверы: isk/zapata.conf. Выбор значения того или иного парамет-
ра определяется конкретной АТС, к которой мы подклю-
# modprobe zaptel чаем Asterisk. Как известно, в России могут встречаться
# modprobe wcfxo
различные типы АТС. Привести универсальную конфигу-
Если модули загрузились без ошибок, то в /var/log/mes- рацию, подходящую для всех случаев жизни, достаточно
sages мы увидим следующее: сложно, поэтому ограничимся описанием двух наиболее
типичных – с импульсным набором (для старых АТС), с то-
Found a Wildcard FXO: Generic Clone
новым набором (для более-менее новых АТС). Итак, вна-
Данная строчка является лучшей иллюстрацией того, чале определим общие параметры, подходящие практи-
что с «железом» у нас все в порядке. чески для всех АТС:
Однако прежде чем перейти к настройке Asterisk оста-
новимся на еще одном важном моменте. Дело в том, что [channels]
context=[generic-inc]
платы Digium реализуют «телефонный» интерфейс (FXO, signalling=fxs _ ls
FXS, E1, T1) программно (в zaptel-драйвере), используя для group=1
callgroup=1
этого вычислительные ресурсы компьютера (в то время как pickupgroup=1
производители других систем телефонии используют спе- busydetect=yes
busycount=5
циализированные (и более дорогие) сигнальные процессо- channel=1
ры – DSP). При этом ввиду специфики задачи (быстрая об-
работка сигналов) работа с платой ведется в режиме пре- Замечание. Приводимые параметры сгруппированы для
рываний. Поэтому для нормальной работы очень важно на- более удобного изложения. При фактическом редактиро-
строить систему так, чтобы платы Digium ни с кем не дели- вании файла Zapata.conf настоятельно рекомендуется со-
ли одно прерывание, в противном случае возможны ухуд- хранять порядок, принятый в файле.
шения качества звука. Посмотрим, как с этим обстоит си- Итак, мы задали контекст, в который будут попадать все
туация у нас: телефонные звонки, приходящие со стороны ТФОП. Опре-
делили тип сигнализации, используемой Asterisk при рабо-
# cat /proc/interrupts те с FXO-портом.
0: 384085652 XT-PIC timer Кроме того, мы создали группу каналов (состоящую из
1:
2:
287894
0
XT-PIC
XT-PIC
i8042
cascade
одной телефонной линии), включили распознавание сиг-
8: 2 XT-PIC rtc нала «занято» (параметр busycount определяет количест-
9: 0 XT-PIC acpi
10: 181360 XT-PIC wcfxo во коротких гудков, необходимое для того, чтобы Asterisk
11: 48942244 XT-PIC hci_hcd, uhci_hcd, uhci_hcd, eth0 освободил линию), а также разрешили перехват звонков
12: 2690249 XT-PIC i8042
14: 810676 XT-PIC ide0 с ТФОП.
15:
NMI:
699164
0
XT-PIC ide1
Теперь перейдем к параметрам, определяемым в зави-
LOC: 0 симости от возможностей конкретной АТС:
ERR: 0

Все нормально, плата монопольно использует прерыва- callerid=asreceived

callprogres=yes
ние 10. Перейдем к настройке Asterisk. Первым делом от- usecallerid=yes
редактируем файл /etc/zatel.conf: usecallingpres=yes
callwaitingcallerid=yes
threewaycalling=yes
fxsls=1 transfer=yes
loadzone=us canpark=yes
defaultzone=us cancallforward=yes

№7, июль 2005 35

 администрирование
Первой строкой мы сказали, что сигналы «европейского
АОН», приходящие из города, нужно передавать в Asterisk
без изменений. Вторая строка включает отслеживание со-
стояния линии (сигналы вызова, ответ, занято) при звонках.
(На данный момент эта опция является эксперименталь-
ной и может работать некорректно). Следующие 3 строки
актуальны, если телефон, подключенный к данной линии,
может нормально работать с flash (извещение о входящем
вызове, конференц-связь, АОН должны поддерживаться и
быть активизированы на АТС). Последние два параметра
разрешают парковку и передачу звонков с ТФОП.
Заметим, что приведенные выше настройки актуальны
для более-менее современных АТС (электронные, цифро-
вые). Для их престарелых собратьев (координатных, ша-
говых, декадно-шаговых) вышеперечисленные параме-
тры, скорее всего, придется установить в «no». Кроме то-
го, для активизации импульсного набора нужно будет до-
бавить следующую строчку:
pulsedial=yes
В независимости от АТС нам, скорее всего, понадобит-
ся включить подавление «эха» для zaptel-каналов. Для это-
го добавим следующие две строчки:
echocancel=yes
echocancelwhenbridging=yes
Если же с помощью этих настроек полностью избавить-
ся от эха не удается, можно дополнительно задействовать
следующие:
echotraining=yes
txgain=0.0
rxgain=0.0
Первой строкой мы включаем режим тренировки эхопо-
давления (полезно, если «эхо» регулярно слышно в нача-
ле разговора), а последними двумя задаем усиление для
входного и выходного сигналов. Для определения конкрет-
ных значений последних можно воспользоваться утилитой
ztmonitor, входящей в модуль zaptel.
Перейдем к настройке номерного плана. В качестве
префикса для выхода в город будем использовать цифру
«5». В уже знакомый нам контекст [office] добавим следу-
ющую строку:
exten=> _ 5.,1,Dial(ZAP/g1/EXTEN:1,20,rT)
Этим мы указали Asterisk, что если все номера, начина-
ющиеся с цифры 6, должны передаваться на группу кана-
лов 1 zaptel-интерфейса. Первая цифра набранного номе-
ра будет отбрасываться сервером Asterisk.
Необходимо заметить, что способ маршрутизации звон-
ков с использованием префиксов не является единствен-
ным. Так ничто не мешает использовать нам следующую
конструкцию:
[pstn-dialout]
exten => s,1,Wait, 1
exten => s,2, Answer
exten => s,3, BackGround(pstn-announce)
36
exten => s,4, Read(ext)
exten => s,5, Dial(ZAP/g1/${ext:1},20,rT)
[ofÞce]
exten => 101,1,Goto(pstn-dialout,s,1)
Таким образом, при наборе номера 101 Asterisk перей-
дет в контекст pstn-dialout, зачитает приветствие pstn-ann-
ounce (которое необходимо предварительно записать), по-
сле чего совершит звонок в город по введенному нами но-
меру. Подобную схему можно с успехом использовать и для
других технологий (H323, SIP).
Выход через SIP-шлюз
К сожалению, далеко не всегда имеется возможность ис-
пользования оборудования Digium. Например, в ввиду фи-
зических ограничений иногда бывает несколько затрудни-
тельно установить PCI-платы в стандартные стоечные сер-
веры (1U, 2U). Кроме того, рынок оборудования IP-телефо-
нии в России все еще находится в состоянии, близком к за-
чаточному, и найти в продаже платы Digium по разумным
ценам может быть несколько проблематичным.
Для решения этих проблем рассмотрим альтернативный
вариант сопряжения Asterisk с городской сетью – c помощью
«внешних» голосовых шлюзов. Теоретически совместно с
Asterisk можно использовать любые из шлюзов, поддержи-
вающих протоколы SIP/H323/SCCP, однако, по моему мне-
нию, на практике совместно с Asterisk лучше использовать
шлюзы c протоколом SIP. Наиболее известными производи-
телями таких устройств (совместимых с Asterisk) являются –
Cisco, Mediatrix, Quintum, AddPac, VegaStream и D-Link.
В качестве примера рассмотрим сопряжение Asterisk с
городской сетью с использованием шлюза AddPac AP200D.
Данный шлюз представляет собой отдельное устройство,
имеющее 2 порта FXO (рис. 3).
Рисунок 3. Шлюз IP-телефонии AddPac AP200D (2FXO)
Устройство поддерживает все наиболее популярные
способы конфигурации (console, telnet, web, EMS), а его
командный интерфейс очень сильно похож на интерфейс
устройств Cisco (таким образом, с некоторыми поправками
приведенное ниже применимо и к голосовому оборудова-
нию Cisco). Для базовой конфигурации устройства необхо-
димо определить сетевые и голосовые параметры. И если
с первыми все достаточно просто (нужно всего лишь опре-
делить стандартные настройки – IP-адрес, маску подсети и
маршрут по умолчанию), то со вторыми могут возникнуть
затруднения. Остановимся на них более подробно.
При описании голосовых параметров ключевым являет-
ся понятие dial-peer – точка, участвующая в голосовом со-
единении. Существует два типа dial-peer (см. рис. 4):
! POTSdial-peer – описывает параметры соединения с
традиционной телефонной сетью. POTS dial-peer «при-
вязываются» к аппаратным портам (FXO, FXS) шлюза.
! VOIPdial-peer – описывает параметры соединения с VoIP-
сетью. Для простоты понимания VOIP dial-peer можно
ассоциировать с Ethernet-разъемом шлюза.

Полезные советы
Запись звуков
При создании голосовых меню часто возникает необходи-
мость использования собственных файлов озвучки. Зву-
ковые файлы, используемые в Asterisk, хранятся в фор-
мате gsm. Наиболее просто и быстро записать такие фай-
лы можно с помощью самого Asterisk. Для этого в номер-
ном плане можно создать специальный контекст со следу-
ющим содержанием:
[gsm-record]
exten => 150,1,Wait(2)
exten => 150,2,Record(testrecord:gsm)
exten => 150,3,Wait(2)
exten => 150,4,Hangup
exten => 151,1,Playback(testrecord2)
exten => 151,2,Wait(2)
exten => 151,3,Hangup
Позвонив на номер 150, мы сможем наговорить необхо-
димый текст, который будет сохранен в стандартной папке
звуков Asterisk (/var/lib/asterisk/sound) в файле ivrrecording.
gsm. Прослушать содержимое этого файла можно, позво-
нив по номеру 151.
Помимо записи с помощью Asterisk можно использо-
вать специальные утилиты конвертации форматов, напри-
мер sox [12]:
# sox inputÞle.wav -r 8000 -c 1 outputÞle.gsm resample -ql
Перезагрузка конфигурации
Как вы могли заметить, после редактирования конфигура-
ционных файлов мы всегда перезапускали сервер. Действи-
тельно для некоторых модулей (например, zaptel и oh323)
такая операция обязательна. Однако при незначительных
изменениях (добавление нового устройства, изменение но-
мерного плана и т. д.) полного перезапуска сервера можно
Для минимальной настройки нам понадобится сконфи-
гурировать два dial-peer (по одному каждого типа), а также
определить правила маршрутизации между ними внутри
нашего шлюза. POTS dial-peer «привяжем» к FXO-линии, а
VOIP dial-peer «настроим» на Asterisk. Звонок из ТФОП на
наш сервер будут делаться с помощью донабора внутрен-
него номера. При наборе городских номеров из Asterisk бу-
дем добавлять префикс «9» перед исходным номером.
Для конфигурирования воспользуемся telnet-интер-
фейсом шлюза. Для этого подключимся к устройству и
перейдем в интерфейс конфигурирования с помощью ко-
манды conf:
AP200# conf
Enter configuration commands, one per line. End with CNTL/Z
AP200(config)#
Создадим POTS-dial-peer с номером 0 (для второго пор-
та нужно произвести аналогичные действия):
AP200(conÞg)# dial-peer voice 0 pots
AP200(config-dialpeer-pots-0)#
№7, июль 2005
администрирование
избежать. Для этого в консоли asterisk достаточно выпол-
нить следующую команду:
*CLI > reload
Ежедневная перезагрузка
Некоторые пользователи [13] отмечали проблемы с утечка-
ми памяти при очень интенсивном использовании Asterisk.
Эта проблема в той или иной степени присуща всем про-
дуктам и вызвана ошибками в исходном коде. Безусловно,
самым правильным способом ее решения является исправ-
ление исходного кода. Однако в качестве временной меры
(до тех пор пока ошибки в коде не будут исправлены разра-
ботчиками) можно предложить регулярно (для профилак-
тики) перезапускать сервер с Asterisk в свободное время,
например, ночью. Для этого можно добавить в файл /etc/
crontab строку следующего содержания:
0 0 * * * root /etc/init/asterisk restart> /dev/nu
Восстановление после сбоев
Не исключено, что во время работы процесс Asterisk «совер-
шит недопустимую операцию и будет закрыт». (И хотя такая
ситуация для STABLE-версии является из ряда вон выходя-
щей, не учитывать ее появление для «боевой» системы все
же нельзя.) Как это отразится на пользователях?
Думаю, что не нужно быть пророком, чтобы понимать,
что в этом случае связи не будет. Возможным решением
этой проблемы может быть сокращение общего времени
простоя сервиса путем его быстрого перезапуска. Для As-
terisk эта возможность является практически стандартной –
достаточно просто для запуска использовать файл asterisk_
safe (вместо asterisk). Теперь при «авариях» сервис будет
перезапускаться автоматически. В принципе аналогично-
го результата можно добиться и с помощью простого shell-
скрипта, выполняемого по cron.
Определим для него следующие параметры:
dial-peer voice 0 pots
destination-pattern 9T
port 0/0
user-name 100
user-password potsfxopwd1
Только что мы сказали, что все звонки, приходящие на
шлюз и начинающиеся с номера «9», должны уходить на
первый порт FXO, ассоциированный с dial-peer 0. При звон-
ках из ТФОП на указанный FXO-порт шлюз будет аутен-
тифицироваться на Asterisk с использованием указанных
имени пользователя и пароля. Правда, для этого устрой-
ству предварительно необходимо указать, где именно на-
ходится Asterisk, которому будут передаваться звонки из
ТФОП. Опишем VOIP dial-peer:
AP200(conÞg)# dial-peer voice 1000 voip
AP200(config-dialpeer-voip-1000)#
Определим следующие параметры:
dial-peer voice 1000 voip
37
 администрирование
destination-pattern T
session target sip-server
session protocol sip
dtmf-relay rtp-2833
no vad
Перейдем в контекст определения настроек sip user-
agent:
AP200(conÞg)# sip-ua
AP200(config-sip-ua)#
Зададим следующие параметры:
sip-ua
user-register
sip-server 192.168.0.20
register e164
Этим мы сказали шлюзу, что SIP-сервер находится по
адресу 192.168.0.20. и при регистрации на нем необходимо
использовать e164-номер (международный стандарт, опре-
деляющий правила нумерации абонентов в телефонных се-
тях) и пароль, указанными для POTS dial-peer. Теперь разбе-
ремся со «служебным» префиксом «9». Очевидно, что пере-
давать его в ТФОП нельзя, поэтому его необходимо отбра-
сывать. Делать это можно как на Asterisk (см. выше приме-
ры для межгорода и плат Digium), так и непосредственно на
шлюзе. Воспользуемся вторым способом. Для этого созда-
дим translation-rule и применим его к POTS dial-peer:
AP200(conÞg)# translation-rule 0
AP200(conÞg-translation-rule#0)# rule 0 9T T
AP200(conÞg-translation-rule#0)# exit
AP200(conÞg)# dial-peer voice 0
AP200(conÞg-dialpeer-pots-0)# translate-outgoing ↵
called-number 0
Теперь при наборе номера через первый голосовой порт
FXO префикс «9» будет отбрасываться.
Рисунок 4. POTS и VOIP dial-peer
Итак, с настройками шлюза мы закончили. Применим
конфигурацию и перейдем к настройке Asterisk:
AP200(conÞg)# write
Do you want to WRITE configuration ? [y|n] y
Writing configuration....done
AP200(config)# reboot
System Reboot...
Для того чтобы использовать шлюз из Asterisk, нам по-
надобится создать для него учетную запись SIP, а также
внести необходимые изменения в номерной план. Добавим
в файл /etc/asterisk/sip.conf следующие строки:
[100] ;AP200
type=friend
host=dynamic
username=100
38
secret= potsfxopwd1
dtmfmode=rfc2833
context=generic-inc
Звонки из ТФОП будем направлять в наш стандартный
контекст для входящих звонков – generic_inc.
Для исходящих звонков добавим в контекст [office] сле-
дующую строчку:
exten => _ 9,Dial(SIP/EXTEN@100,20,rT)
Перезапустим Asterisk.Через некоторое время шлюз за-
регистрируется на сервере, о чем можно будет узнать, вы-
полнив на нем следующую команду:
AP200# show sip
Proxyserver Registration Information
proxyserver registration option = e164
Proxyserver list :
---------------------------------------------------------------
Server address Port Priority Status
---------------------------------------------------------------
192.168.0.20 5060 128 Registered(E.164)
Proxyserver registration status :
------------------------------------------------
UserName Regist Status
------------------------------------------------
100 yes Registered
Теперь мы можем звонить не только нашим соседям по
офису, но и любым абонентам городской телефонной се-
ти!
Заключение
Оглядываясь на проделанное, можно смело сказать – те-
перь у нас есть полноценная (по функциональности) мини-
АТС. Изучение Asterisk на этом не заканчивается! В следу-
ющий раз мы более подробно остановимся на способах об-
легчения управления сервером, рассмотрев установку раз-
личных веб-интерфейсов.
До встречи!
Литература и ссылки:
1. Платов М.В. Asterisk и Linux: миссия IP-телефония. – Жур-
нал «Системный администратор», №6, 2005 г. – 12-19 c.
2. http://www.inaccessnetworks.com/projects/asterisk-
oh323.
3. Платов М. Что важно знать об IP-телефонии. – Журнал
«Системный администратор», №5, 2005 г. – 20-25 c.
4. http://obj-sys.com/open/index.shtml.
5. http://www.inaccessnetworks.com/ian/projects/asterisk-
oh323/Libraries/pwlib-Janus_patch4-src-tar.gz.
6. ftp://ftp.gtlib.cc.gatech.edu/pub/gentoo/distfiles/openh323-
v1_13_5-src.tar.gz.
7. http://www.inaccessnetworks.com/projects/asterisk-oh323/
download/asterisk-oh323-0.6.6.tar.gz.
8. http://www.voipsupply.com/index.php?cPath=99.
9. http:/www.digium.com.
10. http://www.goods2world.com.
11. http://www.iaxtalk.com.
13. http://sox.sourceforge.net.
14. http://www.voip-info.org/tiki-index.php?page=Asterisk+adm
inistration.

Free
reeBSD
BSD TIPS: РАБОТАЕМ С TFTP
П
ротокол TFTP (Trivial File Transfer Protocol – триви-
альный протокол передачи файлов) благодаря сво-
ей предельной простоте довольно часто использу-
ется в различном оборудовании (маршрутизаторах, ком-
мутаторах, модулях DSLAM и т. п.). Его удобно применять
для обмена файлами внутри локальной сети, при необходи-
мости он легко может быть интегрирован в разрабатывае-
мую программу. В последнее время все большую популяр-
ность приобретают бездисковые рабочие станции, перво-
начальная загрузка которых выполняется по сети также с
использованием протокола TFTP. В данной статье мы рас-
смотрим реализацию TFTP в системе FreeBSD.
Протокол TFTP (a.k.a. RFC1350)
Сначала коротко рассмотрим сам протокол, как он опреде-
лен в документе RFC1350. Поскольку главное требование
к протоколу – простота, то в нем поддерживается лишь не-
обходимый минимум функций: возможность чтения файла
с удаленного хоста и записи файла на хост. Протоколом не
предусматривается ни аутентификация/авторизация поль-
зователя, ни навигация по каталогам, ни даже просмотр со-
держимого каталога.
Нет в TFTP и отдельной процедуры соединения, как это
происходит в случае с FTP – соединение устанавливается
№7, июль 2005
администрирование
Для некоторых задач обмена
файлами по сети многие
возможности протокола FTP
оказываются избыточными.
Чтобы не тратить ресурсы
на их поддержку, был
разработан протокол TFTP.
СЕРГЕЙ СУПРУНОВ
по запросу на чтение или запись, после завершения опе-
рации оно разрывается. С этой точки зрения TFTP больше
похож на HTTP, также работающий без поддержания по-
стоянного соединения.
В качестве стандартного порта для протокола TFTP
определен порт 69. Основным транспортным протоколом
для TFTP является UDP, однако работа поверх TCP также
возможна. Чтобы прочитать файл, на этот порт посылается
запрос на чтение, содержащий код операции (opcode, рав-
ный 1 (RRQ)), имя запрашиваемого файла и режим переда-
чи, который может быть «netascii» или «octet». Стандартом
также определен режим «mail», предназначенный для пере-
дачи сообщений электронной почты, но он считается уста-
ревшим и не рекомендуется к применению. Эти значения
соответствуют тому, что обычно именуется «текстовым» и
«двоичным» режимами: в режиме netascii предусматривает-
ся обработка управляющих символов (например, перевода
строки) в соответствии со стандартами, принятыми на той
или иной платформе; в режиме octet данные должны быть
переданы в «сыром» виде, без какой-либо обработки.
В ответ на запрос, если нужный файл существует и до-
ступен для чтения, сервер отсылает первую порцию дан-
ных, содержащую opcode 3 «DATA», номер блока (1) и соб-
ственно данные. Данные передаются блоками по 512 байт,
39
 администрирование
после отправки каждого из них сервер должен дождать- Verbose mode on.
ся подтверждения от клиента (opcode 4, ACK). Если под- tftp> conn localhost
tftp> status
тверждение не будет получено, то через определенный пе- Connected to localhost.
риод времени сервер должен повторить отправку послед- Mode: netascii Verbose: on Tracing: on
него блока. Если подтверждение так и не придет в течение Rexmt-interval: 5 seconds, Max-timeout: 25 seconds
tftp> get config
тайм-аута, заданного для сеанса связи, то соединение раз- getting from localhost:config to config [netascii]
рывается. Вообще нужно иметь в виду, что тайм-ауты игра- sent RRQ <file=config, mode=netascii>
sent RRQ <file=config, mode=netascii>
ют очень важную роль в TFTP-соединении. sent RRQ <file=config, mode=netascii>
Блок данных менее 512 байт рассматривается как по- sent RRQ <file=config, mode=netascii>
следний, и соединение после его получения разрывает- sent RRQ <file=config, mode=netascii>
Transfer timed out.
ся. Если размер файла кратен 512 и последний блок име-
ет размер также 512 байт, то должен быть отправлен еще На приведенном выше листинге показана попытка счи-
один блок нулевой длины. тать файл при неработающем сервере. Как видите, клиент
Запись файла выполняется аналогично, с той разницей, не обнаруживает наличие проблемы и через каждые 5 се-
что в ответ на запрос о записи (opcode 2, WRQ) сервер от- кунд (параметр Rexmt-interval) повторяет попытки устано-
сылает подтверждение с номером блока 0. вить соединение, передавая запрос RRQ и ожидая пер-
Для оповещения удаленной стороны о возникновении вый блок данных. Спустя 25 секунд (Max-timeout) эти по-
ошибки используются специальные пакеты с opcode = 5 пытки прекращаются. Обратите внимание, что приглаше-
(ERROR). ние вы получите в любом случае, независимо от того, за-
Как видите, протокол отводит два байта для указания пущен ли на указанном узле TFTP-сервер или нет. Как бы-
номера отсылаемого блока, что накладывает ограниче- ло описано выше, попытка установить соединение выпол-
ние на размер передаваемого файла в 32 Мб. Существу- няется только при отправке запроса на чтение или запись.
ют документы RFC 1782 – 1785, расширяющие возможно- До этого момента клиент ничего не знает о наличии серве-
сти TFTP. В частности, RFC1783 определяет дополнитель- ра на удаленной машине.
ный параметр blksize, позволяющий задать размер блока, Пример успешной записи файла на сервер выглядит
отличный от 512 байт. Помимо увеличения максимального так (включена трассировка):
размера файла данная возможность также способствует
увеличению скорости передачи в средах с большим зна- tftp> verbose
Verbose mode on.
чением MTU. tftp> trace
Packet tracing on.
Клиент tftp tftp> put messages
putting messages to test.ru:messages [netascii]
Система FreeBSD включает в себя как TFTP-сервер (tftpd), sent WRQ <file=messages, mode=netascii>
так и утилиту tftp, выполняющую функции клиента. Про- received ACK <block=0>
sent DATA <block=1, 512 bytes>
грамма tftp представляет собой интерактивную оболочку received ACK <block=1>
для работы с TFTP-серверами (в отличие от одноименной sent DATA <block=2, 512 bytes>
received ACK <block=2>
утилиты в Windows, которая требует в качестве параметра sent DATA <block=3, 512 bytes>
сразу указывать и выполняемую операцию). По команде «?» received ACK <block=3>
можно получить список и краткое описание всех доступных sent DATA <block=4, 512 bytes>
received ACK <block=4>
команд (в приведенном листинге вместо оригинальных опи- sent DATA <block=5, 512 bytes>
саний команд стоят мои комментарии): received ACK <block=5>
sent DATA <block=6, 512 bytes>
received ACK <block=6>
serg$ tftp
tftp> ?
sent DATA <block=7, 512 bytes>
Команды могут сокращаться, пока сохраняется уникальность. received ACK <block=7>
sent DATA <block=8, 512 bytes>
connect указать сервер, с которым будет устанавливаться соединение received ACK <block=8>
mode установить режим передачи (ascii|netascii|binary|image|octet) sent DATA <block=9, 120 bytes>
put отправить файл на сервер received ACK <block=9>
get получить файл с сервера Sent 4216 bytes in 0.1 seconds [337280 bits/sec]
quit выйти из tftp
verbose
trace
вкл./откл. подробные сообщения
вкл./откл. трассировку пакетов в ходе обмена с сервером
Клиент tftp не поддерживает согласование размера
status показать текущие настройки блока по RFC1783, поэтому размер передаваемого файла
binary
ascii
включить режим обмена octet
включить режим обмена netascii
ограничивается значением 32 Мб. На трассировке это вы-
rexmt установить таймаут, используемый для каждого пакета глядит следующим образом:
timeout установить общий таймаут сеанса
? вывести на экран эту справку .. .. .. ..
sent DATA <block=65534, 512 bytes>
Установка соединения и обмен данными обеспечивает- received ACK <block=65534>
sent DATA <block=65535, 512 bytes>
ся командами put и get, все остальные служат для настрой- received ACK <block=65535>
ки поведения клиента: sent WRQ <file=messages, mode=netascii>
sent WRQ <file=messages, mode=netascii>
tftp> trace received ACK <block=65535>
Packet tracing on. sent WRQ <file=messages, mode=netascii>
tftp> verbose received ACK <block=65535>

40

sent WRQ <file=messages, mode=netascii>
received ACK <block=65535>
sent WRQ <file=messages, mode=netascii>
received ACK <block=65535>
Transfer timed out.
То есть клиент (рассматривается отправка файла), ото-
слав блок номер 65535, не может отослать следующий из-
за переполнения счетчика и повторно отправляет запрос на
запись WRQ. Сервер же ожидает следующий блок, повто-
ряя периодически подтверждение блока 65535. По истече-
нии тайм-аута соединение разрывается. При этом переда-
ваемый файл сохраняется на сервере частично (он вроде
бы и есть, но попытка его использовать приведет к ошиб-
ке). Таким образом, не следует использовать TFTP для об-
мена большими файлами.
Сервер tftpd
Несмотря на букву «d» в конце имени, tftpd не является де-
моном, его запуск выполняется супердемоном inetd при по-
явлении запроса на порту 69. По умолчанию соответству-
ющая строка в /etc/inetd.conf закомментирована, и для ак-
тивизации сервера комментарий нужно удалить и переза-
пустить процесс inetd.
Все настройки поведения сервера выполняются с по-
мощью ключей командной строки путем редактирования
файла /etc/inetd.conf. Наиболее часто используются сле-
дующие опции:
! -s <каталог>: после запуска tftpd установит указанный
каталог как корневой, используя функцию chroot. Если
не указан пользователь (см. опцию –u), то процесс по-
лучает права nobody.
! -c: позволяет привязывать корневой каталог сервера к
IP-адресу удаленного хоста. Используется совместно с
опцией –s, указывающей базовый каталог. Например,
если базовый каталог определен как /var/tftp, то при по-
лучении запроса с адреса 1.2.3.4 корневым каталогом
будет являться /var/tftp/1.2.3.4. Если данный каталог от-
сутствует, соединение разрывается.
! -C: аналогична ключу -c, но при отсутствии каталога,
соответствующего адресу клиента, корневым катало-
гом становится базовый.
! -l: включает режим протоколирования работы, исполь-
зуя syslog (сообщения сохраняются как LOG_FTP).
! -u <пользователь>: указывается имя непривилегирован-
ного пользователя, с правами которого будет работать сер-
вер после переключения в chroot. Пользователь должен
быть задан по имени, использование UID недопустимо.
! -w: разрешает создавать несуществующие файлы по
запросу на запись. По умолчанию запись файла разре-
шена только в том случае, если он существует и досту-
пен для записи пользователю, от имени которого рабо-
тает процесс tftpd.
Особое внимание следует уделить вопросу безопасно-
сти. Поскольку сам сервер tftpd не выполняет никаких про-
верок авторизации, то доступ к нему необходимо ограни-
чивать. Наиболее часто для этого используют брандмауэ-
ры, пропуская пакеты на 69-й порт только с разрешенных
узлов. Также может быть удобен файл /etc/hosts.allow, ко-
№7, июль 2005
администрирование
торым руководствуется inetd, решая, запускать ли соответ-
ствующий процесс при попытке установить соединение на
том или ином порту или нет.
Если нужно позволить клиентам запись любых файлов,
то рекомендуется использовать опцию -w совместно с -c,
чтобы такая запись была разрешена только с указанных из-
вестных адресов. Однако не забывайте о возможности под-
мены IP-адреса отправителя, что открывает возможность
для атаки типа «Отказ в обслуживании» путем переполне-
ния соответствующей файловой системы.
Также рекомендуется с файлов, которые предназначе-
ны только для считывания, снимать права на запись. Если
файл требуется записывать на сервер, но он не предназна-
чен для чтения другими пользователями, можно поставить
на него права 222 (-w--w--w-). При включенной опции –w это
можно автоматизировать с помощью ключа «-U mask», кото-
рый определяет маску для создаваемых (самим процессом
tftpd по запросу на запись) файлов. Для описанного выше
примера следует указать «-U 555» – в этом случае каждый
созданный по запросу клиента файл получит разрешение
только на запись и не сможет быть никем прочитан (кроме
администратора сервера, разумеется).
Обмен файлами
с маршрутизатором CISCO
В качестве примера рассмотрим применение TFTP для со-
хранения на сервер конфигурации с CISCO (например, для
более удобного редактирования или как резервную копию)
и последующую загрузку на CISCO с сервера.
Итак, предполагая, что обмен с CISCO выполняется по
изолированной сети 10.100.100.0/24, а интересующие нас
устройства имеют адреса 10.100.100.1 и 10.100.100.2, запуск
tftpd удобно выполнять со следующими ключами:
tftpd -clw -s /var/tftp/cisco -u tftp
Создаем каталог /var/tftp/cisco, и в нем две директо-
рии 10.100.100.1 и 10.100.100.2, владельцем которых дела-
ем пользователя tftp (создать его придется вручную). Раз-
решаем прохождение соединений на порт 69 с указанных
адресов через все запущенные в системе пакетные филь-
тры. Теперь после перезапуска inetd (или перезагрузки сер-
вера) tftpd готов к работе.
На CISCO копирование на сервер выполняется коман-
дой copy:
Host>ena
Password:
Host #copy running-config tftp:
Address or name of remote host []? 10.100.100.254
Destination filename [host-confg]? config
!!!!!!
20693 bytes copied in 1.044 secs (19821 bytes/sec)
Аналогично можно загружать конфигурацию с сервера
на CISCO, поменяв местами аргументы команды copy.
Заключительное слово
Надеюсь, эта статья поможет вам эффективно использо-
вать протокол TFTP в своей работе. Главное – не забывай-
те о безопасности, которую приходится обеспечивать внеш-
ними по отношению к TFTP средствами.
41
 администрирование

УСТАНАВЛИВАЕМ СВЯЗКУ POSTFIX + EXCHANGE

Перед нами нетривиальная задача. Требуется организовать внутрикорпоративный

документооборот на базе MS Exchange, оставив пользователям возможность общаться
по электронной почте с внешним миром. И при этом не уменьшить уровень внутренней
безопасности. Предлагаем вам быстрое и эффективное решение данной задачи.

ВЛАДИМИР АГАПОВ

И
так, вы – системный администратор. Большой кон-
торы или маленькой, принципиального значения
не имеет. Равно как и то, настроена ли у вас почто-
вая система или это только предстоит сделать в ближай-
шее время. Главное другое: однажды вас вызывает к се-
бе начальник и говорит: «хочу». Хочу, чтобы у нас все бы-
ло как у людей: и книга адресная единая, корпоративная, и
планировщик задач, и календарь событий на месяцы и го-
ды, ну, в общем, все, что только он где-то слышал или, не
дай бог, видел. Озадаченные этим вопросом, вы возвра-

42

щаетесь к себе, попутно думая, а что же проще: настро-
ить The Bat на работу с LDAP и найти какие-нибудь утили-
ты, позволяющие получить данный функционал, или снес-
ти The Bat со всех машин, и поставить туда Outlook, закрыв
глаза на резко упавшую в этом случае безопасность? По-
думав с полчасика, приходим к выводу: придется ставить
Outlook, и не только его, что было бы только половиной бе-
ды, но и Exchange в качестве почтового сервера. Посколь-
ку начальнику может прийти в голову и еще что-нибудь не-
приличное, типа внутрикорпоративного документооборо-
та. Вместо MS Exchange можно, конечно, использовать и
OpenXchange, Hula, Opengroupware и пр. Но мы остановим-
ся на первом варианте.
Скорее всего, у вас совершенно нет желания вывеши-
вать наружу машину с установленной на ней ОС Windows
и Exchange в придачу. Значит, придется разделить функ-
ции внешнего и внутреннего почтовых серверов. На внут-
реннем пусть себе крутится Exchange, а на внешнем пос-
тавим UNIX-подобную операционную систему и, например,
Postfix в качестве почтового сервера. Вот из этих предпо-
сылок и будем исходить.
Поставить и запустить эти два сервера – задача сама
по себе для новичка нетривиальная, но такой вариант нас
не устраивает, в нашем случае необходимо, чтобы эти сер-
вера взаимодействовали между собой и прозрачно пропус-
кали почту в мир и обратно.
В результате всех размышлений получается примерно
следующий список задач:
1. Установка на все рабочие машины Microsoft Office Out-
look в качестве почтового клиента.
2. Установка на первый сервер (exchange) ОС Windows и
Microsoft Exchange (в данном документе будет подраз-
умеваться версия 2003).
3. Установка на второй сервер (gate) ОС из семейства UNIX
и Postfix (FreeBSD 5.3 и postfix 2.2 соответственно).
4. Настройка Exchange для работы с Postfix
5. Настройка Postfix для работы с Exchange
6. Дополнительное конфигурирование для поддержки alias
и прочего.
Пункты с 1-го по 3-й выходят за рамки обсуждения дан-
ной статьи, поэтому детально описывать их я не буду, а бо-
лее подробно остановлюсь на пунктах 4, 5 и 6.
Одно из решений задачи уже было предложено в жур-
нале [1]. Мы же в отличие от него будем использовать ва-
риант проверки Postfix наличия почтового аккаунта в Win-
dows-домене перед приемом почты.
Настраиваем Exchange для работы
совместно с Postfix
Для начала определимся, что именно мы хотим получить
от Exchange в данной конфигурации:
! Он должен получать почту, которую будет перенаправ-
лять ему Postfix и доставлять ее в соответствующие по-
чтовые ящики пользователей.
! Почта пользователей, отправляемая за пределы доме-
на, должна попадать в Exchange и пересылаться им для
дальнейшей обработки на внутренний интерфейс gate
для дальнейшей отсылки ее в мир уже Postfix.
№7, июль 2005
администрирование
! В связи с тем, что название Windows-домена в AD часто
не совпадает с почтовым доменом, необходимо вклю-
чить маскарадинг.
! Во избежание локальных эпидемий внутреннюю почту
также необходимо проверять на вирусы.
Приступим к настройке Exchange
Запускаем Exchange System Manager:
! Разворачиваем «Administrative Group → company → Serv-
ers → Exchange → protocols SMTP». Открываем свойства
default. На закладке «Access» выбираем «Relay Restric-
tions» и записываем туда IP-адрес нашего Postfix-сер-
вера. В некоторых случаях может потребоваться ука-
зать подсети целиком. Например, в случае использова-
ния приложений, напрямую общающихся с SMTP-сер-
вером.
! Там же, на закладке «Delivery», выбираем «Advanced»
и указываем в поле «Smart Host» IP-адрес Postfix-сер-
вера в квадратных скобках.
! Здесь же, в поле «masquerade domain», указываем наш
почтовый домен, для того чтобы Exchange отправлял
всю почту от имени этого домена.
! Выбор антивирусного сканера под Exchange я остав-
ляю за вами, поскольку почти все крупные производи-
тели антивирусных продуктов имеют в своих линейках
такие решения.
Этих настроек на данный момент достаточно. Более де-
тальную настройку и конфигурирование оставляю на ва-
ше усмотрение.
Настраиваем Postfix для работы
с Exchange
Определимся, что мы ожидаем от Postfix.
! Принимать почту, пересылаемую ему Exchange и от-
правлять ее дальше в мир.
! Проверять всю входящую и исходящую почту на виру-
сы.
! Проверять всю входящую почту на наличие спама и вы-
ставлять ей соответствующие балы.
! Для экономии трафика необходимо проверять, есть ли
получатель входящего письма в нашем домене, и в за-
висимости от результата либо принимать, либо отвер-
гать письмо.
! Пересылать все прошедшие проверку входящие пись-
ма на Exchange.
Прежде всего нам потребуется установить Postfix. Об
этом достаточно много имеется информации в Интернете,
поэтому остановлюсь лишь на главных моментах. У нас
есть два варианта установки:
! просто пересылать всю входящую почту внутрь сети, не
задумываясь, есть ли такой почтовый пользователь;
! предварительно проверять наличие пользователя в AD
и в случае его отсутствия не принимать почтовое сооб-
щение.
По первому варианту вы можете посмотреть уже упо-
минавшуюся здесь статью [1]. Однако я предпочел остано-
43
 администрирование
виться на втором варианте. Это позволит нам существен-
но сэкономить трафик и поможет уменьшить количество
приходящего спама.
Для начала установим LDAP-client.
# cd /usr/ports/net/openldap22-client/
# make install clean
Далее устанавливаем Postfix с поддержкой LDAP. Ес-
ли вы собираете его из портов, отметьте соответствую-
щий пункт, в другом случае вам потребуется указать это
явно:
# gmake tidy
# gmake makeÞles CCARGS="-I/usr/local/include -DHAS _ LDAP" ↵
AUXLIBS="-L/usr/local/lib -R/usr/local/lib -lldap ↵
-L/usr/local/lib -R/usr/local/lib -llber"
# gmake install
Приступаем к конфигурированию Postfix
Для начала установите все минимально необходимые зна-
чения. Что именно, можно узнать в документации на Post-
fix и в Интернете.
! Добавим в значение переменной «mynetworks» IP-ад-
рес Exchange-сервера (например, 192.168.1.2/32).
! В качестве антивирусного сканера я использую ClamAV.
Как его подключить к Postfix, можно прочитать в ста-
тье [2].
! Как подключить SpamAssassin, можно прочитать там
же.
! Для проверки наличия учетной записи будем исполь-
зовать LDAP-запросы к AD. Именно для этого мы и со-
бирали Postfix с поддержкой LDAP. Внесем следующие
записи в main.conf:
# имя Windows-домена
ldapmap _ search _ base = dc=ofÞce, dc=company, dc=ru
# IP-адрес PDC
ldapmap _ server _ host = 192.168.16.1
# LDAP-порт
ldapmap _ server _ port = 3268
ldap _ timeout = 60
ldapmap _ query _ Þlter = (&(proxyAddresses=smtp:%s) ↵
(|(objectClass=user)(objectClass=group) ↵
(objectClass=contact)))
ldapmap _ result _ Þlter = %s
ldapmap _ result _ attribute = canonicalName
ldapmap _ special _ result _ attribute =
ldapmap _ scope = sub
ldapmap _ bind = yes
ldapmap _ bind _ dn = ldapquery@ofÞce.company.ru
ldapmap _ bind _ pw = LdaPassworD
ldapmap _ cache = no
ldapmap _ dereference = 0
ldapmap _ domain = ofÞce.company.ru
ldapmap _ debuglevel = 0
virtual _ mailbox _ maps = ldap:ldapmap
virtual _ mailbox _ domains = company.ru
Для того чтобы у Postfix были права на выборку инфор-
мации о пользователях домена, заведем в домене но-
вого пользователя ldapquery с паролем LdaPassworD.
В результате данной процедуры Postfix будет опраши-
вать домен на наличие пользователя с заведенным поч-
товым ящиком типа user@company.ru. В случае положи-
тельного ответа письмо будет приниматься для дальней-
шей доставки, в случае отрицательного – отвергаться
с кодом, указанным в переменной unknown_local_recip-
ient_reject_code.
44
! Чтобы Postfix после всех проверок отправлял письмо
Exchange, добавим в main.conf:
virtual _ transport = hash:/etc/postÞx/virtual _ transport
transport _ maps = hash:/etc/postÞx/virtual _ transport
и создадим файл /etc/postfix/virtual_transport:
company.ru smtp:[192.168.16.5]
где 192.168.16.5 – IP-адрес Exchange-сервера, а compa-
ny.ru – домен, всю приходящую для которого почту сле-
дует пересылать на другой сервер. Не забываем после
создания или редактирования этого файла делать:
postmap /etc/postÞx/virtual _ transport
Дополнительное конфигурирование
Для полноценной работы нам, возможно, потребуется еще
несколько штрихов, а именно:
! Создать группы рассылок на Exchange. Для этого необ-
ходимо сделать следующее:
! Создать группу распределения.
! Создать почтовый аккаунт для этой группы.
! Добавить в эту группу всех, кто должен быть подпи-
сан на эту рассылку.
! Разобраться, как можно сделать алиасы в Exchange.
Для этого можно использовать два варианта:
! Создать в Active Directory дополнительные SMTP-за-
писи для каждого пользователя, которому необхо-
димо прописать alias. Этот вариант проще и пред-
почтительнее.
! Там же можно создать запись типа CC для тех же це-
лей.
На этом можно считать минимально необходимую на-
стройку для работы данной связки законченной. Все воз-
можные ошибки и проблемы всегда возможно отследить
в логах postfix, где все достаточно информативно пишет-
ся. Так же для обсуждения этой статьи и всех дополни-
тельных вопросов существует специально созданный то-
пик на форуме [3].
Данный вариант является рабочим, проверен на офисе
компании. Но у него есть как минимум один недостаток – он
потенциально не защищен от атак типа DoS на AD, в случае
большого количества одновременных внешних SMTP-сес-
сий. Чтобы этого избежать, можно либо настроить в Post-
fix ограничения на количество одновременных сессий, ли-
бо скриптом по cron забирать информацию из AD и скла-
дывать ее на машине с Postfix. Но это тема уже совсем дру-
гой статьи.
Литература, ссылки:
1. Полянский И. Postfix как шлюз для Exchange. – Журнал
«Системный администратор», №5, 2004 г. – 34-37 с.
2. Почтовая система на базе Postfix, PostgreSQL, с филь-
трацией вирусов и спама на FreeBSD 5.3 – www.deepn-
et.ru, раздел «Статьи».
3. http://forum.deepnet.ru.
 администрирование
АВТОМАТИЗАЦИЯ MS WINDOWS,
ИЛИ AUTOIT КАК МЕЧТА ЭНИКЕЙЩИКА
ЧАСТЬ 4
Итак, когда диск для автоматической
Итак,
установки уже у вас в руках, надо правильно
его использовать. А после установки рабочей
станции еще и получить отчет. Обо всем этом
в последней, заключительной части статьи
об AutoIt.
Полная виртуализация работы
Если у вас дома в телефоне нет гудка, позвоните
в службу компьютерной поддержки.
Мы можем это починить прямо из офиса.
Наконец-то диск с автоматически устанавливаемым Win-
dows готов. Самое главное, что пользоваться им должны
не системные администраторы, а обычные рядовые со-
трудники обслуживаемых компаний. Такой диск позволя-
ет произвести установку новой станции или переустанов-
ку поврежденной станции без локального участия систем-
ного администратора. Сотрудник, оставшийся без рабоче-
го места, должен лишь в общих чертах представлять про-
цесс установки. Ему достаточно поместить диск, заранее
созданный по указанной методе и оставленный для тако-
го случая на предприятии, в лоток CD-Rom и произвести
перезагрузку компьютера, не забыв нажать «any key», что-
бы активировать загрузку с CD. Единственный раз, когда
ему придется проявить самостоятельность, это выбор мес-
та, точнее, раздела, установки. Так как используется рус-
сифицированная версия Windows, то все диалоги, опреде-
ляющие выбор, переведены на русский язык и снабжены
комментариями. У меня не было случая, чтобы кто-нибудь
ошибся разделом. Это ведь так просто – нажать <Enter> и
затем <L>. После чего самое главное для окружающих не
трогать ни клавиатуру, ни мышку. Установка продолжается
от 40 минут до полутора часов, в зависимости от мощности
компьютера. В результате будет запущен сеанс Админис-
тратора с уже известным паролем. Вот в этот момент при-
ходит черед для приложения рук реального сисадмина-аут-
сорсера. Обычно этому предшествует звонок с сообщени-
ем, что установка завершена. С точки администрирования
через сеть (автор это делает по каналам openvpn или pptp)
поднимается подключение к удаленному рабочему столу.
И затем неторопливо производится завершение настрой-
ки рабочей станции. Например, так:
! Бюджетам Администратор и localadmin устанавливают-
ся надежные пароли.
! Оба бюджета назначаются в список удаленного досту-
па.
! Рабочей станции меняется имя на реальное.
46
АЛЕКСЕЙ БАРАБАНОВ
! Перезагрузка и далее снова подключение к рабочему
столу как localadmin.
! Рабочая станция включается в домен.
! Перезагрузка с последующим подключением к рабоче-
му столу как localadmin.
! Выбранный доменный пользователь прописывается на
рабочей станции как администратор и назначается в
список удаленного доступа.
! Устанавливается принтер.
! Пользователь localadmin выходит из системы.
Все! Станция готова к работе. Можно перед выходом
распечатать на локальном принтере приглашение для со-
трудника приступить к работе. После этого обрадованный
решением его проблем сотрудник прекращает курить и на-
чинает работать. А «утомленный» сисадмин переходит к
кофе-брейку, что никак не раздражает его работодателя,
так как происходит за десятки или даже сотни километров
от кабинета строгого руководителя. Шутка, конечно, но так
или иначе все свои действия сисадмин может выполнять в
весьма комфортных условиях. Скорее всего, с только что
установленной станции надо будет снять информацию для
отчета или дождаться, когда эта информация поступит в ав-
томатизированную систему учета, так как именно для это-
го была предусмотрена установка snmp и настройка файр-
вола для доступа из локальной сети. Отчет можно офор-
мить по вкусу, например, так, как приведено на снимке с
экрана http://www.barabanov.ru/arts/autoit/draw7-8.png, пос-
ле чего остается его распечатать и заполнить приватной
информацией. Если одновременно устанавливается боль-
шое число станций, то возможность автоматически полу-
чить их характеристики сильно облегчает создание отчет-
ности, что уже прямо связано с закрытием работ у заказ-
чика. Но даже на изолированной рабочей станции можно
получить ту же самую отчетность прямо в процессе уста-
новки. Например, используя утилиту cpu-z для детектиро-
вания оборудования с http://www.panopsys.com, «обернув»
ее скриптом на AutoIt, или просто воспользоваться данны-
ми из реестра MS Windows, которые можно считать тем же
самым AutoIt, и после форматирования записать в файл с
отчетом. Вариант с cpu-z рассмотрим подробнее.
 администрирование
При написании этого скрипта опять немного усложним
использованный инструментарий. Обратите внимание, в ко-
манду запуска добавим флаг @SW_HIDE, заставляющий
спрятать окошко с запускаемым командным интерпрета-
тором. Далее все по обычной схеме : запуск → анализ пе-
рехватчика → написание команд. Но в случае с этой про-
граммкой все оказывается не так просто. После выхода на
закладку с кнопкой для генерации отчета в форме html ока-
зывается, что нет способа сделать ее активной с помощью
клавиатурных нажатий. Приходится воспользоваться эму-
ляцией мышиных кликов. Для этого, как показано на рис. 1,
надо определить относительные координаты точки, в кото-
рой должно произойти нажатие мыши.
Эта задача должна иметь решение, независимое от раз-
мера экрана и положения рабочего окна на нем. Для этого
способ указания координат мыши переводим в относитель- Рисунок 1. Определяем координаты точки нажатия
ный, отсчитываемый от верхнего левого угла активного ок-
на режим, задавая параметр «MouseCoordMode», равный 0.
Но координаты курсора, отражаемые в перехватчике, име-
ют абсолютное значение. Поэтому сначала определяем ко-
ординаты точки, соответствующей верхнему левому краю
окна, затем координаты нужной точки и только тогда пере-
водим координаты второй точки в относительные. В нашем
случае получается так: X=455-308=147, а Y=528-116=412.
И именно 147 и 412 надо использовать в программе. Пол-
ный текст программы приведен далее:

Листинг 1. Программа получения состава оборудования

AutoItSetOption ( "WinTitleMatchMode", 2 )
AutoItSetOption ( "WinDetectHiddenText", 1 )
AutoItSetOption ( "SendAttachMode", 1 )
; open free desktop
WinMinimizeAll ( )
Sleep ( ‘1000’ )
; run test Рисунок 2. Отчет о завершении установки
Run ( @ComSpec & " /c cpuz.exe", '' ,@SW _ HIDE )
If WinWaitActive ( 'CPU-Z','',10 ) == 0 Then
Exit Для работы этого скрипта нужно скачать с указанного
EndIf сайта утилиту cpu-z и, для того чтобы эта утилита могла за-
Send ( '{RIGHT}' )
Sleep ( '1000' ) пускаться автоматически без указания точного пути до ис-
Send ( '{LEFT 2}' ) полняемого файла, подложить ее в $OEM$/$$/System32.
Sleep ( '1000' )
Send ( '{RIGHT 5}' ) Скрипт, который будет производить запуск, поместить в
Sleep ( '1000' ) $OEM$/$1/InstData в откомпилированном виде. Далее ко-
FileDelete ( @WindowsDir & '\' & @ComputerName & '.html')
AutoItSetOption ( "MouseCoordMode", 0 ) манду запуска запишем в общий командный файл :
MouseClick ( 'left', 147, 412, 1 )
If WinWaitActive ( 'Сохранить как','',10 ) == 0 Then Листинг 2. Вызов программы получения состава оборудования
ProcessClose ( 'cpuz.exe' )
Exit /heap/Windows/uawsp2 # grep cpu-z ↵
EndIf \$OEM\$/\$1/InstData/GuiRunOnce.cmd
Send ( '{DEL}' )
Sleep ( '1000' ) %systemdrive%\InstData\get_cpu-z_info.exe
Send ( @WindowsDir & '\' & @ComputerName & '.html')
Sleep ( '1000' ) По завершении установки будет создаваться отчет по
Send ( '{ENTER}' ) оборудованию в формате html и записываться автоматиче-
If WinWaitActive ( 'CPU-Z','',10 ) == 0 Then
ProcessClose ( 'cpuz.exe' ) ски в файл «Имя рабочей станции.html». Примерно так, как
Exit это показано на рис. 2.
EndIf
Send ( '!{F4}' ) В заключение добавлю, что некоторые тексты, обсуж-
If WinWaitClose ( 'CPU-Z','',10 ) == 0 Then даемые в статье, но не удостоившиеся отдельной ссылки,
ProcessClose ( 'cpuz.exe' )
Exit можно найти в архиве по ссылке 1.
EndIf Hикогда нас не благодарите. Мы любим это, и нам за
If FileExists ( @WindowsDir & '\' & @ComputerName & ↵
'.html') == 1 Then это платят!
; run browser
Run ( @ComSpec & " /c rundll32 url.dll, ↵
FileProtocolHandler " & @WindowsDir & ‘\’ ↵ Ссылки:
& @ComputerName & '.html','',@SW _ HIDE ) 1. Архив исходных текстов: http://www.barabanov.ru/arts/
EndIf
Exit autoit/src.tgz.

№7, июль 2005 47

администрирование

АВТОМАТИЗИРУЕМ ПОДКЛЮЧЕНИЕ
БАЗ 1С НОВОЙ ВЕРСИИ 8.0

ИВАН КОРОБКО

Специалисты компании 1С значительно переработали систему безопасности в базах 1С новой

версии 8.0 по сравнению с прошлой 1С 7.7. В связи с этим архитектура программы изменилась
коренным образом. Как следствие стал иным и механизм подключения баз.

48

М
ы уже знакомили вас с автоматическим управлени-
ем подключения баз 1С v.7.7 с помощью сценария
регистрации пользователей в сети (см. [1]). Поль-
зователям, которые входили в соответствующие группы
безопасности, сценарий автоматически подключал необ-
ходимые сетевые базы и отключал те, к которым пользо-
ватель не имел прав доступа, при этом подключенные ло-
кальные базы сценарием не затрагивались. С появлением
1С v.8.0 ситуация изменилась: сценарий для подключения
баз 1С v.7.7 не подходит для новой версии 1С, поскольку ин-
формация о подключаемых базах для версии 7.7 хранилась
в системном реестре на рабочей станции, а для версии 8.0 –
в файлах. Сегодня мы подробно рассмотрим механизм под-
ключения баз 1С v.8.0, ее итогом будет сценарий, который
в автоматическом режиме управляет подключением сете-
вых баз, записи, соответствующие в браузере локальным
базам, будут перенесены в отдельную папку.
Выбираем язык программирования
Для создания сценариев регистрации пользователей сущес-
твует множество языков, однако остановим свой выбор на
KIXTart. Этот язык является стандартным языком програм-
мирования сценариев компании Microsoft. Его дистрибутив
можно найти в Microsoft Resource Kit или бесплатно загру-
зить последнюю версию из сети Интернет (http://kixtart.org).
Подробное описание функционала языка можно найти на
этом же сайте.
Замечание: сценарии, созданные вами ранее на VB-
Script, Jscript, могут быть легко переписаны под KIXtart.
Рассмотрим внутреннее устройство
клиентской части 1C v.8.0
Как было сказано ранее, информация о подключенных ба-
зах для версий 7.7 и 8.0 находится в разных местах. Теперь
все данные хранятся в каталоге «Documents and Settings\
%username% \Application Data\1C\1Cv8». Для успешно-
го подключения баз необходимо в нем создать минимум
два файла (1Cv8strt.pfl и v8ib.lst) и соответствующие ID баз
папки. В каждой из них также должен быть создан файл
usr.def. Файловая структура подключаемых баз приведе-
на на рис. 1.
Рисунок 1. Файловая структура клиентской части 1С 8.0
Управление отображением списка баз (визуальная
структура) в браузере 1С осуществляется с помощью файла
v8ib.lst (рис. 2). С помощью второго файла – 1Cv8strt.pfl ре-
ализовано манипулирование такими параметрами, как раз-
мер и положение браузера 1С на экране, сортировка спис-
ка баз и т.д. В файле usr.def содержится имя пользователя,
который последний открывал данную информационную ба-
зу. Все три файла имеют кодировку utf-8, и соответственно
создавать их необходимо именно в этой кодировке. В про-
№7, июль 2005
администрирование
Рисунок 2. Браузер 1С
тивном случае данные в браузере 1С будут отображаться
некорректно либо не будут отображаться вовсе.
Управляем текстовыми файлами
в кодировке utf-8
Объект FSO, традиционно используемый для создания тек-
стовых файлов, не подходит, поскольку он не поддержива-
ет требуемой кодировки (utf-8). Для решения поставленной
задачи предлагается использовать объект ADODB.Stream.
Управление текстовыми файлами подразумевает чтение и
запись данных в файл. Приведу два соответствующих при-
мера. Чтение данных из текстового файла:
$Stream = CreateObject("ADODB.Stream")
$Stream.Type =2
$Stream.CharSet = "Utf-8"
$Stream.Open
$Stream.LoadFromFile("1.txt")
$GetFile = $Stream.Readtext()
$Stream.Close
В примере данные считываются из файла 1.txt в пе-
ременную $GetFile. Параметр $Stream.Type может прини-
мать значения 1(binary) или 2(text), в зависимости от ти-
па данных, содержащихся в файле. С помощью параме-
тра $Stream.CharSet управляют кодировкой чтения/записи
данных в файл. Доступные для данной ОС кодировки пе-
речислены в системном реестре HKEY_CLASSES_ROOT\
MIME\Database\Charset.
Запись данных в текстовый файл:
$Stream = CreateObject("ADODB.Stream")
$Stream.CharSet = "utf-8"
$Stream.Mode = 3
$Stream.Open
$Stream.WriteText("Записываемые данные")
$Stream.SaveToFile("1.txt")
$Stream.Close
В приведенном примере данные, на которые ссылает-
ся функция Stream.WriteText(), записываются в файл 1.txt;
С помощью параметра $Stream.Mode осуществляется уп-
равление режимом работы с данными файла. Основные
принимаемые значения – 1 (чтение – по умолчанию), 2 (за-
пись) и 3 (чтение/запись).
Структура файла v8ib.lst
В файле v8ib.lst содержащиеся данные описывают один из
двух объектов: папку или ссылку на базу. Существуют ссыл-
49
 администрирование
ки на локальную или серверную базу. Описываемый файл Таблица 2. Описание параметров, управляющих конфигурацией
браузера 1С
имеет структуру ini-файла, названия разделов в котором
совпадают с именами баз, отображаемыми в браузере.

Синтаксис баз
Как уже говорилось, название разделов должно совпадать
с соответствующими именами баз. В каждом разделе при-
сутствует пять обязательных параметров, описания кото-
рых приведены в таблице 1.
Таблица 1. Описание параметров, используемых в файле
v8ib.lst

Рисунок 3. Параметры настройки браузера 1С

Параметры «ShowIBsAsTree», «AutoSortIBs», «LRInfoBa-

seIDList» могут принимать значения 0 или 1, исключение со-
ставляет параметр «ShowRecentIBs» – принимаемые зна-
Пример подключения локальной базы: чения от 1 до 9.

[Тестовая локальная база] Алгоритм работы скрипта

Connect=File="С:\Base";
ID=28f15724-3c41-4753-b5a4-42bb454b8be3 Работу скрипта условно можно разделить на несколько
OrderInList=32768 частей:
Folder=/Тестовые базы
OrderInTree=65536 1. Генерация файла 1Сv8strt.pfl
2. Обработка данных файла v8ib.lst:
Пример подключения сетевой базы: ! Чтение, анализ и вычленение данных о локальных
базах.
[Тестовая сетевая база] ! Определение и формирование данных для подклю-
Connect=Srvr="sql.server.domain.ru";Ref="Enterprise _ test";
ID=28f15724-3c41-4753-b5a4-42bb454b8be3 чения доступных сетевых баз.
OrderInList=16384 ! Формирование файла v8ib.lst, создание соответству-
Folder=/
OrderInTree=32768 ющих каталогов, файлов def.usr.

Скрипт: файл 1cv8strt.pfl

Синтаксис подкаталога
Описание каталога аналогично описанию баз, однако
есть два принципиальных отличия: отсутствие параметра
connect и значение параметра OrderInList=-1:
[Локальные базы]
ID=7fa1d5a9-d087-4026-9eea-f18a233d618f
OrderInList=-1
Folder=/
OrderInTree=16384
Структура файла 1Сv8strt.pfl
Анализируя создаваемый 1С файл и изменяя различные
параметры, были приобретены знания по управлению на-
стройками визуального представления браузера 1С, уме-
ние назначать базу по умолчанию (при открытии браузера).
Проанализируем фрагменты файла (листинг файла см. на
сайте www.samag.ru, в разделе «Исходный код»):
Файл 1cv8strt.pfl статичен и меняется крайне редко, поэтому
существует два варианта его создания на рабочей станции
пользователя: первый – копирование с сервера (см. лис-
тинг файла в приложении на сайте журнала www.samag.ru
в разделе «Исходный код»), второе – его генерация с по-
мощью сценария. Рассмотрим второй случай.
Для упрощения управления базами по умолчанию и
упорядочиванию структуры рекомендуется считывать со-
ответствующую информацию из конфигурационного фай-
ла. Пример файла приведен ниже:
[1c8]
ShowAsTree=1
AutoSort=1
DefaultBaseName=Сетевая база данных 1
Считывание данных из конфигурационного файла осу-
ществляется следующим образом:

{"N",1},"ShowIBsAsTree", …
{"B",1},"AutoSortIBs", $DefaultBaseName=readproÞlestring("$conÞg _ ini","1c8", ↵
{"B",0},"ShowRecentIBs", "DefaultBaseName")
{"B",0},"LRInfoBaseIDList", $meta _ 1c8=readproÞlestring("$conÞg _ ini","1c8", ↵

50

"base1c8preÞx")
$ShowAsTree=readproÞlestring("$conÞg _ ini","1c8", ↵
"ShowAsTree")
$AutoSort=readproÞlestring("$conÞg _ ini","1c8","AutoSort")
… Имеющиеся данные необходимо разбить на подстро-
где переменная $config_ini содержит имя и полный путь, в
случае необходимости, к конфигурационному файлу. Вто-
рой параметр – название раздела, третий – соответственно
параметра, значение которого возвращает функция.
Ранее описывалась структура этого файла. ID-номер ба-
зы по умолчанию определяется в двойном цикле Do…Loop
и зафиксируется в переменной $default_guid.
… ";" + chr(13) + chr(10) + ↵
if instr(ucase($des), ucase($DefaultBaseName))<>0
$default _ guid=right( $infos[1],len( $infos[1])-3)
Endif
… chr(10) + "OrderInTree=32768"
Перед записью в файл данные накапливаются в пере-
менную, в данном случае $cfg. Полностью листинг генера-
ции файла 1cv8strt.pfl приведен в приложении. В данном
примере покажем лишь принцип, лежащий в основе фор-
мирования. Использование кавычек вносит коррективы в
механизм генерации файла: в листинге скрипта кавычка
выглядит следующим образом: « + chr(34) + ».
$en=chr(13)+chr(10)
… $en=chr(13)+chr(10)
$cfg = $cfg + "{"+$en
$cfg = $cfg + "{" + chr(34) + "LRInfoBaseIDListSize" + ↵
chr(34) + ","+$en
$cfg = $cfg + "{" + chr(34) + "N" + chr(34) + ","+ ↵
$ShowAsTree+"}," + chr(34) + "ShowIBsAsTree" + ↵
chr(34) + ","+$en
$cfg = $cfg + "{" + chr(34) + "B" + chr(34) + ","+ ↵
$AutoSort+"}," + chr(34) + "AutoSortIBs"+ ↵
chr(34) + ","+$en
… $element="["+$element
$cfg = $cfg + "}"+$en
После наполнения переменной данными осуществля-
ется запись ее содержимого в файл. Напомним, что файл
1cv8strt.pfl находится в каталоге «Documents and Settings\
%username%\Application Data\1C\1Cv8».
$FSO = CreateObject("Scripting.FileSystemObject"). ↵
GetFile($path _ to _ base+"1cv8strt.pß")
if @error=0
$FSO.Delete
endif
$FSO.close
$Stream = CreateObject("ADODB.Stream")
$Stream.CharSet = "utf-8"
$Stream.Mode = 3
$Stream.Open
$Stream.WriteText($cfg)
$Stream.SaveToFile($path _ to _ base+"1cv8strt.pß")
$Stream.Closeendif
Скрипт: файл v8ib.lst
Локальные базы
На первом этапе осуществляется чтение существующего
файла и вычленение списка локальных баз. Пример чте-
ния файла был приведен ранее, поэтому сразу перейдем
к обработке считанных данных в переменную, например,
$GetFile: после того как данные считаны, файл необходи-
мо удалить:
№7, июль 2005
администрирование
$fso = CreateObject("Scripting.FileSystemObject")
$fso.DeleteFile($f _ name)
$fso.close
ки и записать в массив, затем, проанализировав их, вы-
членить локальные базы. В качестве признака, по кото-
рому будут формироваться подстроки, рекомендуется ис-
пользовать символ «[». При таком преобразовании эле-
ментами массива будут содержать описания баз цели-
ком, например:
a[0]= "[Тестовая сетевая база]" + chr(13) + chr(10) + ↵
"Connect= File = " + chr(34) + "С:\Base" + chr(34) + ↵
"ID=28f15724-3c41-4753-b5a4-42bb454b8be3" + chr(13) + ↵
chr(10) + "OrderInList=16384" + chr(13) + chr(10) + ↵
"" + chr(13) + chr(10) + "Folder=/" + chr(13) + ↵
Затем просмотрите и отберите элементы массива, ха-
рактеризующие локальные базы. Признаком локальности
базы является значение элемента connect, начинающегося
с file=. Накопление данных осуществляется в переменную,
которая потом также будет разложена в массив, но уже по
другому признаку: переводу и возврату каретки на новую
строку, а именно chr(13)+chr(10):
…
$temp=""
' расчленение строки на элементы массива.
' Признак – наличие "["
$array _ 0=split($GetFile,"[")
for each $element in $array _ 0
' "connect=Þle=" – признак локальности БД
if instr(ucase($element),ucase("connect=Þle="))<>0
$temp=$temp+$element
endif
next
$array _ base=split($temp, $en) ' массив локальных баз
Поскольку нумерация баз меняется, существующие
локальные базы данных необходимо переместить в отде-
льную виртуальную папку, например, «Локальные базы»,
поэтому значения параметров OrderInList и OrderInTree не-
обходимо обнулить, значения параметра Folder исправить
на Folder=/ Локальные базы. Для этого необходимо обно-
вить значения элементов массива:
$virtual _ local _ folder="Локальные базы"
for $i=0 to ubound($array _ base)
$element=$array _ base[$i]
if instr(ucase($array _ base[$i]),ucase("orderin"))<>0
$array _ base[$i]=left($element, ↵
instr($element,"="))
endif
if instr(ucase($element),ucase("folder="))<>0
$array _ base[$i]=left($element, ↵
instr($element,"=")+1)+ ↵
$virtual _ local _ folder
endif
next
После переприсвоения элементы массива $array_base
могут иметь следующий вид:
51
 администрирование
$array _ base[0]= "[Тестовая сетевая база]" Поскольку название группы все время меняется, то
$array _ base[1]= "Connect=File="С:\Base";"
$array _ base[2]= "ID=28f15724-3c41-4753-b5a4-42bb454b8be3" в соединение с AD необходимо интегрировать функцию
$array _ base[3]= "OrderInList=" EnumGroup():
$array _ base[4]= "Folder=/ Локальные базы"
$array _ base[5]= "OrderInTree="
…………………………………. ' определение имени текущено домена
$Domain = "LDAP://"+GetObject("LDAP://RootDSE"). ↵
Get("defaultNamingContext")
$objConnection = CreateObject("ADODB.Connection")
$objCommand = CreateObject("ADODB.Command")
Сетевые базы $objConnection.CommandTimeout = 120
Составление списка сетевых баз основано на чтении дан- $objConnection.Provider = "ADsDSOObject"
$objConnection.Open ("Active Directory Provider")
ных из AD по следующему алгоритму: с помощью встроен- $objCommand.ActiveConnection = $objConnection
ной в KIX функции EnumGroup() просматривается список
$i=ubound($array _ base)
групп, в которые входит настоящий пользователь, и отфиль- DO
тровываются только те из них, которые имеют заранее ого- $Group = ENUMGROUP($p)
if instr("$Group","$meta _ 1c8")<>0
воренный префикс в названии, например, «1с8$_»: $1c8 _ group=right($group, ↵
len($group)-instrrev($group,"\"))
$i=0 $strADSQuery = "SELECT name,info,description FROM ↵
$Temp="" '" +$domain+"' WHERE objectClass='group’ ↵
Do and samaccountname='"+$1c8 _ group+"'"
$Group = EnumGroup($i)
$i = $i + 1 $objCommand.CommandText = $strADSQuery
If instr(ucase($group), ucase("1c8$ _ "))<>0
………….. $st = $objCommand.Execute
EndIf $st.MoveÞrst
Until Len($Group) =0 Do
MessageBox("$Temp","",0,0) $name = $St.Fields("name").Value
$description = $St.Fields("description").Value
$des=""
Итак, если пользователь входит в группу с указанным For each $element in $description
префиксом, то ему должна быть подключена соответствую- $des=$des+$element
Next
щая сетевая база данных. Параметры ее подключения на-
ходятся в свойствах группы (см. рис. 4). Поле Description $infos = split($St.Fields("info").Value,chr(13)+chr(10))
содержит название базы, которое совпадает с названием ……………………………….
раздела в файле v8ib.lst. Месторасположение и ID-базы – $st.MoveNext
Until $st.EOF
значение параметра notes. Обратите внимание, что пара- endif
метр Description представляет собой массив элементов, $p=$p+1
UNTIL Len($Group) = 0
а notes – строку, которую будет необходимо превратить в
массив. Однако прежде всего необходимо получить доступ Замечание: в приведенном примере название группы,
к Active Directory с помощью ADODB.Connection и ADODB. возвращаемое функцией enumgroup() имеет вид domain\
Command и составить запрос. groupname, где domain – короткое имя домена. В SQL-за-
просе к Active Directory должно фигурировать только имя
группы, т.е. необходимо отбросить префикс «domain\», по-
этому короткое имя группы будет выглядеть:

$1c8 _ group=right($group,len($group)-instrrev($group,"\"))

Данные, содержащиеся в массиве $infos необходимо

преобразовать и добавить их в конец массива $array_base.
При этом добавляемые в него элементы должны соответс-
твовать ранее описанному шаблону для сетевых баз:

$i=ubound($array _ base)
DO
…
$array _ base[$i]="["+$des+"]"
$infos = split($St.Fields("info").Value,chr(13)+chr(10))
$array _ base[$i+1]= "Connect="+$infos[0]
$array _ base[$i+2]= $infos[1]
$array _ base[$i+3]= "OrderInList="
$array _ base[$i+4]= $infos[2]
$array _ base[$i+5]= "OrderInTree="
$i=$i+6
…

Формирование файловой структуры

Файловая структура формируется внутри каталога «Doc-
Рисунок 4. Группа безопасности uments and Settings\%username%\Application Data\1C\

52

1Cv8». Расположение данного каталога на рабочей стан-
ции не фиксировано, поэтому для каждого пользовате-
ля путь необходимо определять индивидуально с помо-
щью функции:
$path _ to _ base=CreateObject("WScript.Shell").↵
SpecialFolders(5)+"\1C\1Cv8\"
Определив ID сетевой базы, в том же цикле Do..Loop
(см. листинг скрипта на сайте www.samag.ru в разделе «Ис-
ходный код»), необходимо создать соответствующую базе
файловую структуру.
В каталоге «Documents and Settings\%username%\Ap-
plication Data\1C\1Cv8» для каждой базы необходимо со-
здать папку, название которой совпадает с ID этой базы,
а в нем файл usr.def в кодировке UTF-8 со следующим со-
держанием: {«У Вас нет доступа. Обратитесь к системно-
му администратору»}. Это сообщение будет появляться в
том случае, если у пользователя нет прав доступа к дан-
ной базе данных 1С.
… $s=$s+$element+cstr($const _ w*$w _ 2)+$en
$id _ dir _ name=$path _ to _ base+right( $infos[1], ↵
len( $infos[1])-3)
… if instr(ucase($element), ↵
md $id _ dir _ name ; создание каталога
; создание файла def.usr
$FSO = CreateObject("Scripting.FileSystemObject"). ↵
GetFile($id _ dir _ name+"\def.usr")
if @error=0
$FSO.Delete
endif
$FSO.close
$Stream = CreateObject("ADODB.Stream")
$Stream.CharSet = "utf-8"
$Stream.Mode = 3
$Stream.Open
$Stream.WriteText("{"+chr(34)+"У Вас нет доступа. ↵
Обратитесь к системному администратору."+chr(34)+"}")
$Stream.SaveToFile($id _ dir _ name+"\def.usr")
$Stream.Close
… менная s). Напомню, что файл v8ib.lst находится в катало-
Запись данных в файл
На последнем этапе осуществляется запись сформиро-
ванных данных в файл. В решении данной задачи есть не-
сколько нюансов: помимо сформированных данных в фай-
ле необходимо в него записать информацию, касающую-
ся каталогов, и обновить нумерацию параметров OrderIn-
List и OrderInTree.
Листинг описания папок для тестовых и локальных баз
выглядит следующим образом:
$local _ folder = "[Локальные базы]" + $en + ↵
"ID=7fa1d5a9-d087-4026-9eea-f18a233d618f" + $en + ↵
"OrderInList=-1" + $en + "Folder=/" + $en + ↵
"OrderInTree=16384"
$test _ folder = "[Тестовые базы]" + $en + ↵
"ID=7fa1d5a9-d087-9636-9eea-f18a233d618f" + $en + ↵
"OrderInList=-1" + $en + "Folder=/" + $en + ↵
"OrderInTree=32768"
ID должен быть уникальным. Каким конкретно? – не из-
вестно. Был проведен эксперимент, в результате которого
выяснилось, что ID может быть любым. На практике реко-
мендуется выбрать один из ID, созданных 1C, и изменить
одну из его частей произвольным образом.
№7, июль 2005
администрирование
Из примера видно, что максимальное значение парамет-
ра OrderInTree=32768. Ранее отмечалось, что начало нуме-
раций и шаг значений параметров OrderInList и OrderInTree
не имеют значения. Этот факт подтвержден многочислен-
ными экспериментами. В качестве начала отсчета были вы-
браны число 16384 и такой же шаг (заимствовано из 1С).
Для удобства корректировки значений введены два коэф-
фициента $w_1 и $w_2. Один из них управляет значениями
OrderInList, а второй – OrderInTree соответственно. При та-
ком способе установки нумерации получится, что в одном из
каталогов нумерация параметра OrderInList начнется с од-
ного числа, например, 32768, а в другом – 65536. В каждом
из разделов нумерация произвольна и содержимое файла
будет корректно считано браузером 1С. Листинг корректи-
ровки данных следующий:
$const _ w=16384
$w _ 1=1
$w _ 2=3
for each $element in $array _ base
if instr(ucase($element),ucase("orderintree"))<>0
$w _ 2=$w _ 2+1
else
ucase("orderinlist"))<>0
$s=$s+$element+cstr ↵
($const _ w*$w _ 1)+$en
$w _ 1=$w _ 1+1
else
$s=$s+$element+$en
endif
endif
next
После того как все данные к записи приготовлены, мож-
но приступить к записи в файл. В него следует записать со-
держание трех переменных: две переменные содержат ин-
формацию о создаваемых каталогах в браузере 1С, тре-
тья – накопленные элементы массива $array_base (пере-
ге «Documents and Settings\%username%\Application Data\
1C\1Cv8».
$en=chr(13)+chr(10)
…
$Stream = CreateObject("ADODB.Stream")
$Stream.CharSet = "utf-8"
$Stream.Mode = 3
$Stream.Open
$Stream.WriteText($local _ folder+$en+$test _ folder+$en+$s)
$Stream.SaveToFile($path _ to _ base+"v8ib.lst")
$Stream.Close
Таким образом, мы создали компонент сценария ре-
гистрации пользователей в сети, который позволил нам
в автоматическом режиме управлять подключением се-
тевых баз данных, при этом локальные базы остаются
неприкосновенными. Также выполняется сортировка су-
ществующего списка по локальным, сетевым и тесто-
вым базам.
Литература:
1. Коробко И. Автоматизация процесса подключения баз
1С с помощью сценария регистрации пользователей
в сети. – Журнал «Системный администратор» №3,
2005 г. – 48-51 с.
53
 администрирование
УСТАНАВЛИВАЕМ И НАСТРАИВАЕМ
WINDOWS SERVER UPDATE SERVICES
В компьютерной сети любого масштаба обновление всех программных продуктов
без специального средства будет занимать значительную часть вашего рабочего времени.
Внедрение службы управления этим процессом освободит ваше время для решения других
задач, облегчит отслеживание выхода новых версий программ, позволит своевременно
устанавливать обновления и, как следствие, повысит уровень безопасности информационной
системы вашей компании.
В
июне этого года вышла офици-
альная версия службы Windows
Server Update Services (WSUS),
предназначенной для централизо-
ванного управления обновлениями и
исправлениями корпоративных про-
дуктов Microsoft: Windows XP Profes-
sional, Windows 2000, Windows Server
2003, Office XP, Office 2003, SQL Server
2000, Exchange Server 2000 и Exchange
Server 2003.
С большинством возможностей
WSUS мы уже познакомили читате-
ля в обзоре «Windows Server Update
Services» (см. №4, 2005 г). А сегод-
ня займемся установкой и первона-
чальной настройкой сервера WSUS на
компьютер с операционной системой
Windows Server 2003 в среде Active Di-
rectory. Установка на компьютер с Win-
dows 2000 Server несколько отличает-
ся. Так, Microsoft SQL Server 2000 Desk-
top Engine (MSDE) для Windows 2000
Server не входит в состав дистрибути-
ва WSUS, в отличие от Microsoft Win-
dows SQL Server 2000 Desktop Engine
(WMSDE) для Windows Server 2003.
Подробнее об этом можно прочитать
в документации к WSUS.
Ссылки на все необходимые для
установки WSUS программы и доку-
ментацию (в основном на английском
языке) можно найти на домашней стра-
нице WSUS (http://www.microsoft.com/
windowsserversystem/updateservices/
default.mspx).
Готовим все необходимое
к установке
Для работы сервера WSUS, обслужи-
54
вающего до 500 клиентов, Microsoft ре-
комендует использовать компьютер с
процессором частотой не ниже 1 ГГц,
оперативной памятью не менее 1 Гб.
Для установки WSUS файловая
система сервера должна соответство-
вать следующим требованиям:
! системный раздел и раздел, пред-
назначенный для установки WSUS,
должны быть отформатированы в
файловой системе NTFS;
! для системного раздела требует-
ся не менее 1 Гб свободного про-
странства;
! необходимо не менее 6 Гб свобод-
ного пространства на диске, где
хранятся данные WSUS; рекомен-
дуется 30 Гб;
! необходимо не менее 2 Гб свободно-
го пространства на диске, куда про-
граммой установки WSUS устанав-
ливается Windows SQL Server 2000
Desktop Engine (WMSDE).
На компьютере, предназначенном
для сервера WSUS, предварительно
необходимо установить следующие
компоненты Windows Server 2003:
! Microsoft Internet Information Services
(IIS) 6.0;
! Microsoft .NET Framework 1.1 с
пакетом обновления 1 для
Windows Server 2003;
! Background Intelligent Transfer
Service (BITS) 2.0.
На клиентских компьютерах долж-
на функционировать служба автома-
тического обновления. Она существу-
ет для операционных систем:
СЕРГЕЙ СЕРГЕЕВ
! Семейство Microsoft Windows 2000
с пакетом обновления 3 или вы-
ше;
! Microsoft Windows XP Professional
с пакетами обновления SP1 и SP2
или без них;
! Семейство серверов Microsoft
Windows Server 2003.
Приступаем к установке
Установку WSUS могут выполнить
только члены локальной группы «Ад-
министраторы». Размер дистрибути-
ва WSUS – около 125 МБ. Для запуска
мастера установки необходимо выпол-
нить файл WSUSSetup.exe.
После принятия лицензионного со-
глашения вам будет предложено вы-
брать источник обновлений клиентских
компьютеров: либо они будут храниться
локально на сервере, либо каждый раз
по запросу клиента будут загружаться
с узла Microsoft Update. Гораздо рацио-
нальнее представляется хранить обнов-
ления локально. Во-первых, в этом слу-
чае уменьшаются затраты на интернет-
трафик. Во-вторых, клиентские ком-
пьютеры будут обновляться быстрее. В
любом случае при желании эту настрой-
ку вы сможете позже изменить.
В следующем окне необходимо вы-
брать параметры базы данных: можно
установить WMSDE вместе с WSUS
или использовать существующий
Microsoft SQL Server 2000. Поскольку
WMSDE входит в состав дистрибути-
ва WSUS и является бесплатным про-
дуктом, вряд ли найдутся причины от-
казаться от его установки.
Следующее окно позволяет вы-

брать веб-узел для использования
сервером WSUS. Microsoft рекоменду-
ет использовать существующий веб-
узел IIS по умолчанию и 80-й порт. Ес-
ли этот порт уже занят, потребуется со-
здать отдельный узел IIS (специально
для WSUS), работающий по настраи-
ваемому порту.
В окне «Параметры зеркального
обновления» можно указать управля-
ющую роль этого сервера. Если это
первый сервер WSUS в сети, пропус-
каем это окно. Иначе, ставим флажок
и вводим имя сервера верхнего уров-
ня в поле «Имя сервера». После уста-
новки WSUS будет предложено запус-
тить консоль администрирования, ко-
торая также доступна с других ком-
пьютеров сети по адресу: http://<имя
сервера WSUS>/wsusadmin. Для запус-
ка консоли администрирования необ-
ходимо быть членом группы «Админис-
траторы WSUS» или членом локальной
группы безопасности «Администрато-
ры» на сервере WSUS.
Настраиваем WSUS
Теперь мы выполним первоначальную
настройку сервера WSUS: создадим
группу компьютеров, на которых бу-
дем тестировать обновления, устано-
вим параметры синхро-
низации и автоматичес-
кого одобрения. А за-
тем с помощью группо-
вых политик настроим
службу автоматическо-
го обновления клиент-
ских компьютеров.
Для начала нужно настроить спо-
соб назначения компьютеров в группы:
либо они будут добавляться в группы
со стороны сервера (т.е. вручную через
консоль WSUS), либо со стороны кли-
ента (т.е. с помощью групповых поли-
тик или настроек реестра Windows).
Для этого откроем страницу «Па-
раметры компьютеров», щелкнув по
ссылке «Параметры» в верхней части
консоли администрирования WSUS,
затем «Параметры компьютеров».
На открывшейся странице можно вы-
брать способ назначения компьютеров
в группы. Если сеть небольшая и ко-
личество групп WSUS невелико, мож-
но оставить значение по умолчанию.
(Использовать задание «Переместить
компьютеры» в Windows Server Update
Services.)
Для создания группы необходимо
щелкнуть по ссылке «Компьютеры» в
консоли администрирования WSUS.
Затем на открывшейся странице на-
жать на ссылку «Создать группу ком-
пьютеров» и ввести ее имя. В нашем
случае назовем группу Тест. В нее не-
обходимо включить несколько типич-
ных по конфигурации компьютеров, на-
ходящихся в сети. Однако сделать это
можно будет только после настройки
администрирование
параметров службы автоматического
обновления клиентских компьютеров.
Параметры синхронизации
Теперь необходимо настроить типы за-
гружаемых обновлений. Для этого на
странице консоли администрирования
WSUS щёлкаем по ссылке «Парамет-
ры → Параметры синхронизации». От-
кроется страница с настройками синх-
ронизации WSUS (рис. 1).
В разделе «Расписание» можно вы-
брать ручную либо автоматическую
ежедневную синхронизацию в опре-
деленное время. Пока оставляем руч-
ной режим запуска процесса синхро-
низации.
В разделе «Продукты и классы»
можно указать программные продук-
ты и типы обновлений для них. Щёлк-
нув по кнопке «Изменить» в левой час-
ти раздела, открываем окно со спис-
ком программ, для которых можно за-
гружать обновления (рис. 2). Отмеча-
ем продукты, которые есть в нашей се-
ти и которые хотим обновлять.
Таким же образом, щелкнув по
кнопке «Изменить» под перечнем клас-
сов обновлений, в открывшемся окне
(рис. 3) отмечаем нужные типы (клас-
сы). Для загрузки доступны следую-

Создаём группы
компьютеров
Важным моментом в на-
стройке WSUS является
создание групп компью-
теров. Хорошей практи-
кой является тестирова-
ние вновь полученных с
узла Microsoft Update об-
новлений на небольшой
группе типичных для се-
ти компьютеров. Затем в
случае успешного функ-
ционирования тестовых
компьютеров в течение
некоторого времени,
распространение об-
новлений на остальные
компьютеры сети. Рисунок 1. Параметры синхронизации

№7, июль 2005 55

 администрирование
Рисунок 2. Добавление и удаление
продуктов
щие классы: драйверы, критические
обновления, накопительные пакеты
обновления, обновления системы бе-
зопасности и пакеты новых функций.
Для каждого типа приводится описа-
ние. По умолчанию загружаются толь-
ко критические обновления и обновле-
ния системы безопасности. На первое
время можно оставить загрузку обнов-
лений только этих классов.
Следующий раздел – «Прокси-сер-
вер». Если в сети для доступа в ин-
тернет используется прокси-сервер,
заполняем необходимые поля этого
раздела.
Следующий раздел – «Источник
обновления». Если это первый сервер
WSUS в сети, оставляем загрузку с уз-
ла Microsoft Update. В противном слу-
чае указываем адрес и порт вышесто-
ящего сервера WSUS, с которого будут
загружаться обновления.
Последний раздел – «Файлы об-
новлений и языки». Нажав на кнопку
«Дополнительно», попадаем в окно на-
стройки дополнительных параметров
синхронизации (рис. 4). В группе пара-
метров «Файлы обновлений» задаётся
место хранения и в случае выбора мес-
Рисунок 4. Дополнительные параметры синхронизации
56
Рисунок 3. Добавление и удаление
классов
та на локальном сервере указывается
способ загрузки и тип файлов обновле-
ний. В большинстве случаев оптималь-
ным вариантом будет локальное хране-
ние файлов обновлений при включен-
ном флажке «Загружать файлы обнов-
лений на этот сервер, только если они
одобрены». В этом случае обновле-
ния будут загружаться с узла Microsoft
Update только в случае одобрения ус-
тановки (администратором или автома-
тически). Файлы так называемой экс-
пресс-установки имеют больший раз-
мер, т.е. будут увеличивать трафик ин-
тернет-соединения, и соответственно
увеличится время их загрузки на сер-
вер, но обновления клиентских ком-
пьютеров будут происходить быстрее.
Здесь нужно сделать выбор в зависи-
мости от конкретной конфигурации
сети, скорости, загруженности и стои-
мости интернет-соединения. Пока мож-
но не включать параметр «Загружать
файлы экспресс-установки».
Параметры автоматического
одобрения
Далее необходимо настроить автома-
тическое одобрение обнаружения и
установки обнов-
лений. Под обнару-
жением понимается
проверка необходи-
мости и возможнос-
ти установки обнов-
ления для клиент-
ского компьютера.
В консоли WSUS
щелкаем ссылк у
«Параметры → Па-
раметры автома-
тического одобре-
ния». На открыв-
шейся странице
(рис. 5) в разделе
«Обновления» на-
страиваем пара-
метры автоматического одобрения для
обнаружения и установки обновлений.
Пожалуй, будет вполне логичным авто-
матически обнаруживать все синхрони-
зируемые с узлом Microsoft Update клас-
сы обновлений для всех компьютеров
сети, но автоматически устанавливать
их пока не будем.
В разделе «Новые редакции об-
новлений» устанавливается реакция
сервера WSUS на выход новых вер-
сий уже одобренных обновлений. По-
лагаю, что вполне естественным бу-
дет установить параметр «Автомати-
чески одобрять новейшую редакцию
этого обновления».
В разделе «Обновления Windows
Server Update Services» настраивает-
ся автоматическая загрузка обновле-
ний самого сервера WSUS. Естествен-
но, нужно включить этот параметр для
своевременной установки обновлений
и исправлений WSUS.
Брандмауэр
Если между сетью организации и ин-
тернетом находится брандмауэр,
возможно, понадобится его настро-
ить. Для получения обновлений с уз-
ла Microsoft Update сервер WSUS ис-
пользует 80-й порт при подключении
по протоколу HTTP и 443-й при под-
ключении по HTTPS. Поэтому эти пор-
ты должны быть открыты на брандмау-
эре для исходящих соединений.
Если политикой информационной
безопасности организации запрещен
доступ к этим портам, можно разре-
шить доступ только для определен-
ных доменов, список которых приве-
ден в документации к WSUS.
Параметры службы
автоматического обновления
клиентских компьютеров
Теперь можно приступить к настройке
службы автоматического обновления
клиентских компьютеров. Если в сети
используется служба каталогов Active
Directory, можно и нужно использовать
объекты групповой политики (GPO)
для настройки клиентов. При отсутс-
твии в сети развернутой службы ката-
логов можно использовать локальную
групповую политику.
Для этого в редакторе объектов
групповой политики нужно открыть
узел «Конфигурация компьютера →
Административные шаблоны → Ком-
 администрирование
поненты Windows → Windows Update» мещение службы
(рис. 6). Если этого узла нет, то не- обновлений Micro-
обходимо самостоятельно добавить soft в интрасети»
административный шаблон wuau. (рис. 8). Включа-
adm. Каждый из параметров доста- ем и вводим путь
точно подробно описан, поэтому ос- к серверу WSUS в
тановимся только на тех, которые не- виде: http://<Имя
обходимы для первоначальной на- сервера WSUS>.
стройки. Параметр Раз-
Откройте свойства параметра «На- решать пользова-
стройка автоматического обновления» телям, не являю-
(рис. 7). Во включенном состоянии щимися админис-
этот параметр может принимать одно траторами, полу-
из четырех значений: чать уведомле-
! Уведомлять перед загрузкой об- ния об обновлени-
новлений и уведомлять повторно ях. Не стоит обре-
перед их установкой. При выборе менять пользова-
этого варианта зарегистрирован- телей лишней ин-
ный в системе пользователь с пра- формацией, они и
вами администратора уведомляет- без того постоян-
ся перед началом загрузки и уста- но загружены ра- Рисунок 5. Параметры автоматического одобрения
новки обновлений на компьютер. ботой. Отключим этот параметр. За- на домашней странице консоли WSUS
! Загружать автоматически и уве- одно уменьшим количество входящих или на странице настройки параметров
домлять перед установкой. Если ус- телефонных звонков на наше рабо- синхронизации. Сервер WSUS подклю-
тановить это значение параметра, чее место. чится к узлу Microsoft Update для про-
обновления начинают загружаться Теперь откроем страницу Компью- верки новых доступных обновлений.
автоматически, а зарегистрирован- теры консоли WSUS. Через некоторое После окончания синхронизации сер-
ный в системе пользователь с пра- время, после применения рабочими вер начнет процесс обнаружения. От-
вами администратора оповещает- станциями групповых политик, на этой кроем страницу со списком обновле-
ся перед началом установки. странице начнут появляться имена ком- ний, щелкнув по ссылке «Обновле-
! Загружать автоматически и уста- пьютеров. После этого можно перемес- ния» (рис. 9).
навливать по заданному расписа- тить несколько в созданную ранее груп- В соответствии с нашими настрой-
нию. В этом случае нужно указать пу Тест для установки и проверки об- ками автоматически были одобрены
дни и время принудительной уста- новлений. Для этого выделим нужные для обнаружения все синхронизируе-
новки обновлений на клиентские компьютеры в списке, нажмём ссылку мые обновления для всех компьюте-
компьютеры. Выберем это значе- «Перемещение выбранных компьюте- ров. А для группы Тест автоматически
ние параметра и назначим время, к ров» и в открывшемся окне выберем разрешена установка критических па-
примеру, на начало обеденного пе- группу Тест. кетов и обновлений системы безопас-
рерыва (12:00). Это позволит нам ности (у них в столбце «Одобрение»
выполнять установку обновлений Синхронизация указан тип «Смешанное»). После тес-
в часы наименьшей загрузки сети После настройки параметров щелкаем тирования эти обновления можно уста-
и компьютеров, и без вмешательс- по ссылке «Синхронизировать сейчас» новить на остальные компьютеры сети.
тва и лишних вопро-
сов со стороны поль-
зователей.
! Разрешить локаль-
ному администра-
тору указывать на-
стройки. Если вы ре-
шите доверить ло-
кальным админист-
раторам самим на-
страивать парамет-
ры автоматического
обновления, выбе-
рите это значение.

Следующий пара-
метр – «Указать раз- Рисунок 6. Настройка автоматического обновления

№7, июль 2005 57

 администрирование
Рисунок 7. Настройка автоматического
обновления
Естественно, изменив настройки, мож-
но возложить обязанности по одобре-
нию на сервер WSUS, тем самым сде-
лав процесс установки обновлений
полностью автоматическим.
После синхронизации, сбора дан-
ных о требуемых для клиентских ком-
пьютеров обновлениях и их одобре-
ния для установки (автоматического
или ручного) начнётся процесс загруз-
ки необходимых файлов с узла Micro-
soft Update на сервер WSUS. В списке
обновления помечаются характерны-
ми значками в зависимости от состо-
яния загрузки. Естественно, первона-
Рисунок 9. Список обновлений
58
Рисунок 8. Размещение службы
обновлений Microsoft в интрасети
чальная загрузка всех требуемых фай-
лов обновлений может занять доста-
точно долгое время. Это зависит от
многих факторов: разнообразия опе-
рационных систем, программных про-
дуктов, настроек параметров синхро-
низации, пропускной способности ин-
тернет-канала.
При выборе обновления в списке в
нижней части страницы (вкладка «Под-
робности») появится соответствующая
дополнительная информация: назва-
ние, описание, дата, класс, оценка кри-
тичности, и т. д. На вкладке «Состоя-
ние» приводится информация о теку-
щем состоянии установки данного ис-
правления на клиентские компьюте-
ры. На вкладке «Редакции» выводит-
ся список всех версий данного обнов-
ления. Для изменения статуса одоб-
рения необходимо щелкнуть по ссыл-
ке «Изменить одобрение» в левой вер-
хней части страницы в разделе «Зада-
чи обновлений».
В разделе «Представление стра-
ницы обновления» можно задать ус-
ловия для фильтра отображения спис-
ка обновлений.
Щелкнув по ссылке «Отчеты», по-
падем на страницу со списком доступ-
ных для генерации отчетов. С их помо-
щью можно получить информацию о
состоянии обновлений, компьютеров,
результатах синхронизации, а также
параметрах настройки сервера WSUS.
Работа с системой генерации отчетов
достаточно понятна, поэтому не будем
рассматривать ее подробно.
В самом простом случае настройка
сервера WSUS практически законче-
на. Осталось поменять ручной режим
запуска синхронизации на выполнение
в определенное время, например, но-
чью, в часы наименьшей загрузки се-
ти. В списке загружаемых классов об-
новлений в параметрах синхрониза-
ции можно отметить Пакеты обновле-
ния. Также можно вклю-
чить автоматическое
одобрение установки
обновлений на компью-
теры из группы Тест. Но
здесь необходимо быть
осторожным, так как в
результате интернет-
трафик может оказать-
ся значительным (со-
тни мегабайт и даже ги-
габайты), поскольку ло-
кальная база ещё не со-
держит файлов обнов-
лений. При последую-
щих загрузках, разуме-
ется, объем входящего
трафика будет значи-
тельно меньше.
В большинстве слу-
чаев установка и на-
стройка службы WSUS
достаточно проста и по-
нятна и не должна вы-
звать особых трудно-
стей у системных адми-
нистраторов.

Выполнение произвольных команд
в CSV_DB
Программа: CSV_DB 1.00.
Опасность: Высокая.
Описание: Уязвимость существует из-за недостаточной
обработки входных данных в параметре file сценария csv_
db.cgi. Удаленный пользователь может добавить произволь-
ную команду к параметру и выполнить ее с привилегиями
веб-сервера на целевой системе. Пример:
http://[target]/csv _ db/csv _ db.cgi?Þl e=Þle.extention|command|
URL производителя: www.k-collect.net/cgi_lab/csv_db.htm.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Удаленное выполнение PHP-кода
в XML-RPC for PHP
Программа: XML-RPC for PHP 1.1 и более ранние версии.
Опасность: Высокая.
Описание: Уязвимость в XML-RPC for PHP может позволить
злоумышленнику выполнить произвольный PHP-код на це-
левом сервере. Подробности не сообщаются.
URL производителя: http://phpxmlrpc.sourceforge.net.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Отказ в обслуживании в реализации
TCP-стека во FreeBSD
Программа: FreeBSD 4.10, 4.11, 5.3, 5.4.
Опасность: Средняя.
Описание: Уязвимость в опции PAWS Timestamp позволя-
ет удаленному пользователю послать большое количест-
во специально сформированных пакетов с большим зна-
чением таймера, что заставит систему воспринимать все
последующие пакеты как старые и отвергать их. Удален-
ный пользователь может разорвать все текущие TCP-со-
единения.
Удаленный пользователь может послать специально
сформированный TCP-пакет с флагом SYN и перезаписать
определенные TCP-опции.
URL производителя: www.freebsd.org.
Решение: Установите обновление с сайта производителя.
Отказ в обслуживании в браузере
Netscape при обработке
Javascript-функций
Программа: Netscape 8.0.2.
Опасность: Средняя.
Описание: Уязвимость существует при обработке специаль-
но сформированных Javascript-функций. Удаленный пользо-
ватель может создать специально сформированную HTML-
страницу и вызвать отказ в обслуживании браузера.
Эксплоит: www.kurczaba.com/html/security/0506241_poc.htm.
URL производителя: browser.netscape.com/ns8/product/
default.jsp.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
№7, июль 2005
bugtraq
Отказ в обслуживании в IA eMailServer
при обработке команды IMAP LIST
Программа: IA eMailServer версии до 5.3.4.2019.
Опасность: Средняя.
Описание: Уязвимость существует из-за недостаточной
обработки входных данных в команде LIST IMAP-серве-
ра. Удаленный авторизованный пользователь может с по-
мощью специально сформированной строки, содержащей
символы (%x), вызвать аварийное завершение работы про-
цесса MailServer.exe.
URL производителя: www.tnsoft.com.
Решение: Установите последнюю версию (5.3.4.2019) с
сайта производителя.
HTTP Request Smuggling-атака
в различных proxy и веб-серверах
Программа: Squid 2.5.STABLE7 и более ранние версии; Sun
Java System Web Proxy Server 3.6 SP4; SunONE Web Server
6.1 SP4; DeleGate 8.9.2; Microsoft Internet Information Server 5.0,
6.0; Apache Tomcat 4.1.24, 5.0.19; BEA WebLogic Server 8.1 SP1;
IBM WebSphere 5.0, 5.1; Oracle Application Server Web Cache
9.0.2; Oracle Application Server 9.0.2; Apache web server вер-
сии 2.x до 2.1.6.
Опасность: Низкая.
Описание: Уязвимость позволяет удаленному пользова-
телю произвести HTTP Request Smuggling-атаку (атаку со
скрытым HTTP-запросом) и отравить кеш прокси-сервера.
Удаленный пользователь может послать специально сфор-
мированный HTTP-запрос, содержащий два поля заголов-
ка Content-Length, что заставит уязвимый сервер и следу-
ющий за ним HTTP-агент (веб-сервер или еще один прок-
си-сервер) обработать этот запрос по-разному. Злоумыш-
ленник может внедрить злонамеренный запрос в обычный
и потенциально отравить кеш прокси-сервера.
Злоумышленник может также создать специальный
HTTP-запрос, содержащий большое количество пробелов
и дополнительный взвод каретки в именах HTTP-заголов-
ков для удачной эксплуатации этой уязвимости.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Примечание: Только некоторые производители выпусти-
ли исправления.
Выполнение произвольного PHP-сценария
в phpBB в коде highlighting
Программа: phpBB 2.0.15.
Опасность: Высокая.
Описание: Уязвимость существует из-за некорректного
использования функции preg_replace() в сценарии viewtop-
ic.php при обработке входных данных. Удаленный пользо-
ватель может с помощью специально сформированного
запроса заставить приложение интерпретировать входные
данные как PHP-сценарий и выполнить его.
URL производителя: www.phpbb.com.
Решение: Установите последнюю версию (2.0.16) с сайта
производителя.
Составил Александр Антипов
59
 администрирование
OPEN-XCHANGE – СВОБОДУ ГРУППАМ!
Многие из вас задумываются об альтернативе таким Groupware-продуктам, как MS Exchange
и Lotus Notes. Наконец, нам стала доступна свободная версия Novell/SUSE Linux Open-Xchange-
сервера (SLOX).
O
pen-Xchange (OX) базируется на компонентах с от-
крытым исходным кодом, таких как веб-сервер, поч-
товый сервер c IMAP, база данных и сервер дирек-
торий. Сервер почти целиком написан на JAVA с присутс-
твием элементов на языке С для участков, которые требу-
ют большей безопасности. OX предоставляет пользовате-
лю такие модули: портал, календарь, контакты, адреса, за-
дачи, проекты, документы, знания, закладки, доска голо-
сований, форум, веб-интерфейс для почты. Доступ к сер-
веру OX можно получить из многих браузеров и програм-
мных пакетов, например: KDE Kontact, Apples iCAL, Konquer-
or, Mozilla Suite и многих других, основанных на открытых
стандартах и интерфейсах. Также можно подключаться из
MS Outlook или Palm-устройств с помощью OX-клиента, ко-
торый доступен для скачивания с сайта.
В данной статье как операционную систему для OX бу-
дем использовать FreeBSD версии 5.3, с локально уста-
новленными пакетами: Apache2/Tomcat, Postfix/Cyrus, Post-
greSQL, OpenLDAP и т. д. Но это не говорит о том, что вы
жестко привязаны к такому набору компонентов. OX пре-
красно работает на многих UNIX/Linux-подобных системах.
Связки пакетов можно менять по вашему вкусу или основы-
ваясь на уже установленных программных комплексах. На-
пример, Apache2/Tomcat можно заменить на Apache1.3/jserv,
Postfix/Cyrus на Exim/Сourier, использовать внешние базы
данных, серверы директорий, почтовые серверы и т. д.
До того как вы приступите к установке OX, чтоб луч-
ше представлять себе, как выглядит система, ее возмож-
ности, интерфейс пользователя, рекомендую посмотреть
скриншоты (http://mirror.open-xchange.org/ox/EN/community/
screenshots.htm), поработать в demo-режиме с порталом и
веб-интерфейсом для почты (http://mirror.open-xchange.org/
ox/EN/community/online.htm).
Будьте внимательны! Автор не несет ответственнос-
ти за возможную потерю данных при использовании дан-
ной статьи.
Все бренды и названия продуктов являются или мо-
гут быть торговыми марками и используются, чтобы иден-
60
ПАВЕЛ ЛЕБЕДЕВ
тифицировать продукты или услуги, их соответствующих
владельцев.
Подготовим окружение для OX
Введем переменные для простоты написания и понима-
ния:
! OX_home=/usr/local/openxchange – папка, в которую бу-
дет установлен OX;
! OX_install=/home/user/OX – в эту папку будем склады-
вать файлы, требуемые для установки;
! p_dir=/usr/ports – папка, где лежит дерево портов Free-
BSD.
Для компиляции, инсталляции и работы OX потребуется
установить такие программы из коллекции портов:
! shells/bash – мощный интерпретатор команд, требует-
ся для запуска OX и просто в повседневной жизни ад-
мина;
! security/sudo – программа для ограниченной раздачи
прав администратора пользователям, нужна для запу-
ска OX-сервера;
! java/jdk15 – Sun’s Java Development Kit под FreeBSD;
! www/jakarta-tomcat5 – веб-сервер, позволяющий запус-
кать Java Servlet и JavaServer Pages;
! lang/perl5.8 – язык программирования Perl;
! www/apache2 – очень распространенный веб-сервер;
! devel/apache-ant – основанная на Java утилита для сбор-
ки приложений;
! net/openldap22-server – сервер директорий LDAP.
Java
Мы будем устанавливать Native JDK для FreeBSD (http://www.
freebsd.org/java/install.html). Напомню, что при установке Java
понадобится около 2 Гб свободного места для раздела, на
котором будет происходить компиляция пакета. Также для
этого потребуются исходники и бинарные архивы Java.
Замечание: файлы надо скачать самостоятельно в свя-
зи с лицензионными ограничениями. Для этого надо заре-
 администрирование
гистрироваться на сайте www.sun.com, а потом со страни- > tar xzvf jdom-1.0.tar.gz
> sudo mv ./jdom-1.0 /usr/local/jdom
цы http://www.sun.com/software/java2/download.htm, выбрав
платформу Java(TM) SDK 1.5.0, скачать:
! jdk-1_5_0-src-scsl.zip Tomcat
! jdk-1_5_0-bin-scsl.zip Установим сервлет-сервер и проверим его работу, для
этого нужно запустить сервис Tomcat и пройти по ссылке
Со страницы http://www.eyesbeyond.com/freebsddom/ja- http://127.0.0.1:8180. В результате должна появиться стра-
va/jdk15.html: ница с информацией о Tomcat:
! bsd-jdk15-patches-1.tar.bz2
> cd $p _ dir/www/jakarta-tomcat5
> sudo make install clean
И положить архивы в папку $p_dir/distfiles. > sudo /usr/local/etc/rc.d/020.jakarta-tomcat50.sh start
Как написано в BUILD, для начала процесса компиля- > lynx http://127.0.0.1:8180
ции нужен рабочий javac-компилятор. По умолчанию порт
ставит java/linux-sun-jdk14, но можно использовать и род-
ной java/jdk14 и java/linux-blackdown-jdk14: Perl + модули, требуемые для OX
Из дерева портов нам нужно установить следующие ком-
> cd $p _ dir/java/jdk15 поненты:
> sudo make install
! devel/p5-Storable
Замечание: если процесс завис, нужно остановить его ! devel/p5-Time-Local
нажатием <Ctrl-C> и добавить Linux proc-файловую систе- ! net/p5-URI
му командами: ! net/p5-perl-ldap
! www/p5-CGI.pm
> sudo kldload linprocfs
> sudo mount -t linprocfs linprocfs /compat/linux/proc
! converters/p5-MIME-Base64
! converters/p5-Convert-ASN1
Запускаем процесс компиляции еще раз, предвари- ! security/p5-Net-SSLeay
тельно почистив порт java/jdk15 от уже скомпилирован- ! security/p5-Digest-MD5
ного кода. По окончании проверяем, если вывод команды ! security/p5-Authen-SASL
java -version похож на приведенный ниже, значит, установ- ! security/p5-IO-Socket-SSL
ка прошла успешно: ! textproc/p5-XML-NamespaceSupport
! textproc/p5-XML-SAX-Base
> sudo make clean && sudo make install clean
> java -version
Установка perl-модулей происходит так же, как и обыч-
java version "1.5.0-p1"
Java(TM) 2 Runtime Environment, Standard Edition
ных портов, например, установим devel/p5-Storable:
(build 1.5.0-p1-root_08_apr_2005_22_00)
Java HotSpot(TM) Client VM > cd $p _ dir/devel/p5-Storable
(build 1.5.0-p1-root_08_apr_2005_22_00, mixed mode) > sudo make install clean

Для работы OX потребуются дополнительные jar-ком-

поненты:
! mail.jar – http://java.sun.com/products/javamail/downloads/
index.htm
! activation.jar – http://java.sun.com/products/javabeans/
glasgow/jaf.html
! xerces.jar – http://xml.apache.org/xerces2-j/download.cgi
! jdom.jar – http://www.jdom.org/dist/binary
На момент написания статьи были использованы сле-
дующие версии jar-архивов:
! javamail-1_3_2.zip
! jaf-1_0_2-upd.zip
! Xerces-J-bin.2.6.2.tar.gz
! jdom-1.0.tar.gz
Теперь создадим папки и распакуем в них архивы:
> cd $OX _ install
> unzip javamail-1 _ 3 _ 2.zip
> sudo mv ./javamail-1.3.2 /usr/local/javamail
> unzip jaf-1 _ 0 _ 2-upd.zip
> sudo mv ./jaf-1.0.2 /usr/local/jaf
> tar xzvf Xerces-J-bin.2.6.2.tar.gz
> sudo mv ./xerces-2 _ 6 _ 2 /usr/local/xerces
PostgreSQL
Установим SQL-сервер и добавим автоматический запуск
при старте системы. Для этого в файл /etc/rc.conf внесем
строку: postgresql_enable=”YES”:
> cd $p _ dir/databases/postgresql80-server
> sudo make install clean
Запустим скрипт инициализации базы данных OX. Сле-
дует напомнить, что пароль для пользователя openxchange
в PostgreSQL-сервере будет использоваться при конфигу-
рировании OX в директиве --with-dbpass=:
> sudo /usr/local/etc/rc.d/010.pgsql.sh initdb
> sudo /usr/local/etc/rc.d/010.pgsql.sh start
После этого добавляем пользователя и создаем базу:
> sudo su -l -m pgsql
%createuser –pwprompt
Введите имя нового пользователя: openxchange
Введите пароль для нового пользователя:
Введите снова:
Разрешить новому пользователю создавать базы данных? (y/n) y
Разрешить новому пользователю создавать пользователей? (y/n) n
CREATE USER

№7, июль 2005 61

 администрирование
%createdb -O openxchange -E UNICODE openxchange
CREATE DATABASE
Кроме этого, для работы OX с PostgreSQL надо скачать
JDBC (http://jdbc.postgresql.org).
В портах есть версия 8.0 databases/postgresql-jdbc, но
мы предлагаем использовать коннектор версии pg74.215.
jdbc3.jar, скачать который можно с сайта http://jdbc.post-
gresql.org/download.htm:
> sudo mkdir /usr/local/jdbc
> sudo cp pg74.215.jdbc3.jar /usr/local/jdbc
Apache2 и Ant
Настала очередь веб-сервера, установим его и настро-
им автозапуск. Также установим утилиту для сборки
приложений. Для автозапуска Apache2 при старте сис-
темы в файл /etc/rc.conf добавляем строку: apache2_
enable=”YES”.
> cd $p _ dir/www/apache2
> sudo make install clean
> cd $p _ dir/devel/apache-ant
> sudo make install clean
Для соединения сервлет-сервера Tomcat и веб-серве-
ра Apache2 нам потребуется установить модуль mod_jk.
На данный момент есть 2 версии этого модуля – mod_jk
и mod_jk2, но так как mod_jk2 официально больше не под-
держивается, использовать его не будем. Опираясь на ре-
комендации разработчиков, вместо него возьмем www/
mod_jk-apache2.
> cd $p _ dir/www/mod _ jk-apache2
> sudo make install clean
LDAP
Для работы OX надо собрать LDAP-сервер с эксперимен-
тальной функцией ACI (inside-the-tree access controls). Эта
функция дает контроль над правами объекта в дереве.
> cd $p _ dir/net/openldap22-server
> sudo make -DWITH _ ACI install clean
Добавляем автоматический запуск при старте системы
и разрешаем слушать только на внутреннем интерфейсе,
для этого в файл /etc/rc.conf добавляем строки:
slapd _ enable="YES"
slapd _ ßags='-h "ldap://127.0.0.1/"'
Установливаем OX и настраиваем
взаимодействие с окружением
Инсталляция OX
Все готово для начала инсталляции OX. Первым делом
необходимо скачать исходники OX с сайта (www.open-
xchange.org). Я взял исходники версии 0.7.5, так как для
нее на момент установки была русификация. Нам потре-
буются файлы:
! open-xchange-0.7.5.tar.gz
62
! OX-RU-Groupware.0.7.5.tar.gz
! OX-RU-Webmail.0.7.5.tar.gz
Далее делаем такие операции:
> cd $OX _ install
> tar xzvf open-xchange-0.7.5.tar.gz
> cd open-xchange-0.7.5
Чтобы посмотреть возможные опции конфигурации, вы-
полняем команду:
> ./conÞgure -help
Конфигурируем, компилируем и устанавливаем пакет
OX. При этом обратите внимание на опцию --with-dbpass=
и укажите тот самый пароль, который задан для пользова-
теля openexchnge в PostgreSQL.
> ./conÞgure –preÞx=$OX _ home \
> --enable-webdav --enable-doc \
> --with-mailjar=/usr/local/javamail/mail.jar \
> --with-activationjar=/usr/local/jaf/activation.jar \
> --with-jdomjar=/usr/local/jdom/build/jdom.jar \
> --with-xercesjar=/usr/local/xerces/xercesImpl.jar \
> --with-jsdkjar=/usr/local/jakarta-tomcat5.0/common/lib/ ↵
servlet-api.jar \
> --with-jdbcjar=/usr/local/jdbc/pg74.215.jdbc3.jar \
> --with-dbpass=open \
> --with-runuid=www –with-rungid=www
> make
> sudo make install
На данный момент у нас есть установленный OX и его
окружение, приступим к пост-инсталляционному конфигу-
рированию.
Login.pl (Perl/CGI)
Настроим и проверим окно авторизации пользователя OX:
> cd $OX _ home/share/perl/
> sudo cp login.pl login.pm /usr/local/www/cgi-bin/
> sudo /usr/local/etc/rc.d/apache2.sh start
> lynx http://127.0.0.1/cgi-bin/login.pl
Замечание: если окно ввода имени и пароля пользо-
вателя OX не появилось, нужно смотреть настройки и лог-
файлы, веб-сервера Apache2.
Servlets
Настроим servlet-движок так, чтоб он обрабатывал запросы
OX. Для этого скопируем нужные файлы из пакета OX.
> cd /usr/local/jakarta-tomcat5.0/webapps
> sudo mkdir -p servlet/WEB-INF/classes ↵
servlet/WEB-INF/lib
> sudo cp $OX _ home/share/servlets/*.class ↵
./servlet/WEB-INF/classes
> cd servlet/WEB-INF/
Создаём файл web.xml с таким содержимым. Этот файл
требуется для того, чтобы Tomcat понимал, как обрабаты-
вать запросы к groupware и webmail:
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE web-app
PUBLIC "-//Sun Microsystems, Inc.// ↵

DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app _ 2 _ 3.dtd">
<web-app>
<display-name>Servlet OpenXchange</display-name>
<description>Servlet OpenXchange 0.7.5</description>
<servlet>
<servlet-name>intranet</servlet-name>
<servlet-class>intranet</servlet-class>
<display-name>OX Groupware</display-name>
<description>OX</description>
</servlet>
<servlet-mapping>
<servlet-name>intranet</servlet-name>
<url-pattern>/intranet</url-pattern>
</servlet-mapping>
<servlet>
<servlet-name>webmail</servlet-name>
<servlet-class>webmail</servlet-class>
<display-name>OX Webmail</display-name>
<description>OX</description>
</servlet>
<servlet-mapping>
<servlet-name>webmail</servlet-name>
<url-pattern>/webmail</url-pattern>
</servlet-mapping>
</web-app>
Скопируем jar-файлы для Tomcat из установленно-
го пакета OX и проверим правильность работы Tomcat,
просмотрев в браузере вывод http://127.0.0.1:8180/servlet/
intranet:
> cd /usr/local/jakarta-tomcat5.0/webapps/servlet/WEB-INF/lib
> sudo cp $OX _ home/lib/*.jar .
> sudo chown -R www:www /usr/local/jakarta-tomcat5.0/webapps/
> sudo /usr/local/etc/rc.d/020.jakarta-tomcat50.sh stop
> sudo /usr/local/etc/rc.d/020.jakarta-tomcat50.sh start
> lynx http://127.0.0.1:8180/servlet/intranet
Если сервер ответил:
No running Server found. Please inform the Administrator!
это говорит о том, что всё идет нормально, продолжаем
настраивать OX.
mod_jk
Настроим взаимодействие Apache2 и Tomcat с помощью
mod_jk. Для этого добавим в файл /usr/local/etc/apache2/
httpd.conf, такие строки:
LoadModule jk _ module libexec/apache2/mod _ jk.so
<IfModule mod _ jk.c>
JkWorkersFile /usr/local/etc/apache2/workers.properties
JkLogFile /var/log/apache2/mod _ jk.log
JkLogLevel error
JkMount /servlet/* test
Alias /servlet "/usr/local/jakarta-tomcat5.0/webapps/servlet"
<Location "/servlet/WEB-INF/">
AllowOverride None
deny from all
</Location>
</IfModule>
Скопируйте /usr/local/etc/apache/workers.properties.sam-
ple в workers.properties. Измените hostname. Убедитесь, что
две последние строки с правильными путями, в нашем слу-
чае файл должен выглядеть так:
№7, июль 2005
администрирование
worker.list=test
worker.test.port=8009
worker.test.host=localhost
worker.test.type=ajp13
worker.test.lbfactor=1
workers.tomcat _ home=/usr/local/jakarta-tomcat5.0
workers.java _ home=/usr/local/jdk1.5.0
PostgreSQL
С базой данных PostgreSQL проведем те же операции, кото-
рые написаны в [1], сначала инициализируем базу, а потом
наполним данными из файла, который идёт с пакетом OX:
> sudo su -l -m pgsql
%psql -U openxchange openxchange < $OX_home/share/init_database.sql
%psql -U openxchange openxchange
openxchange=>INSERT INTO sys_gen_rights_template values
openxchange->('now','admin','now','','default_template','y','y','y','y',
openxchange(>'y','y','y','y','y','y','y','y','y','y','y','y','y','y','y',
openxchange(>'y','y','y','y','y','y','y','y','y','y','y','y','y','y','y',
openxchange(>'y','y','y','y','y','y','y','y','y','y','y','y','y');
openxchange=> \q
Также потребуется изменить файлы конфигурации
servers.conf в папках:
! /usr/local/openxchange/etc/groupware
! /usr/local/openxchange/etc/webmail
Для того чтобы OX получил доступ к созданной нами
базе данных, нужно изменить:
NAS _ CON _ CLASS _ NAME: ↵
jdbc:postgresql://localhost/openexchange
NAS _ CON _ USER: openexchange
на
NAS _ CON _ CLASS _ NAME: ↵
jdbc:postgresql://localhost/openxchange
NAS _ CON _ USER: openxchange
OpenLDAP
Приступим к настройке сервера директорий. Обратите внима-
ние на то, что, если поменять суффикс «dc=example,dc=org»
на что-то более родное типа «dc=good-domain,dc=ua», то это
надо будет сделать во всех файлах конфигурации (до за-
пуска OpenLDAP), а именно:
! /usr/local/etc/openldap/ldap.conf
! /usr/local/etc/openldap/slapd.conf
! /usr/local/openxchange/share/init_ldap.ldif
! /usr/local/openxchange/etc/admintools.conf
Изменяем конфигурацию OpenLDAP. Для этого в файле
/usr/local/etc/openldap/ldap.conf добавляем строки:
BASE dc=example,dc=org
HOST localhost
а в файл /usr/local/etc/openldap/slapd.conf такие:
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/openxchange/share/openxchange.schema
pidÞle /var/run/openldap/slapd.pid
63
 администрирование
argsÞle /var/run/openldap/slapd.args
database bdb
sufÞx "dc=example,dc=org"
rootdn "cn=Manager,dc=example,dc=org"
rootpw secret
directory /var/db/openldap-data
index objectClass eq
index uid,mailEnabled,cn,sn,givenname, ↵
lnetMailAccess,alias,loginDestination eq,sub
Теперь запускаем OpenLDAP:
> sudo /usr/local/etc/rc.d/slapd.sh start
Редактируем файл /usr/local/openxchange/share/init_
ldap.ldif и меняем пароль для доступа к базе:
userPassword: {CRYPT}newmailadminpass
В этой строке newmailadminpass меняем на вывод ко-
манды:
> perl -e 'print crypt(YOURPASSHERE, ↵
pack("C2",(int(rand 26)+65),(int(rand 26)+65)));'
где YOURPASSHERE – пароль для доступа к OpenLDAP.
Теперь импортируем данные для OX из файла /usr/local/
openxchange/share/init_ldap.ldif командой:
> sudo slapadd -l $OX _ home/share/init _ ldap.ldif
Создадим символические ссылки для OX на ldap.conf:
> sudo ln -s /usr/local/etc/openldap/ldap.conf ↵
$OX _ home/etc/groupware/ldap.conf
> sudo ln -s /usr/local/etc/openldap/ldap.conf ↵
$OX _ home/etc/webmail/ldap.conf
Добавляем пользователя
Так как многие скрипты в папке /usr/local/openxchange/sbin
используют в качестве оболочки /bin/bash, а оригиналь-
ное расположение bash в FreeBSD /usr/local/bin/bash, сде-
лаем символическую ссылку и добавим первого пользо-
вателя OX:
> sudo ln -s /usr/local/bin/bash /bin/bash
> sudo $OX _ home/sbin/adduser _ ox \
> --username="test" \
> --passwd="test" \
> --name="Pavel" \
> --sname="Lebedev" \
> --maildomain="example.org" \
> --ox _ timezone="Europe/Kiev"
Если скрипт запустить от обычного пользователя, он
выдаст:
Execute as root...or make sure slappasswd is in PATH
Запускаем от root, появилась надпись зеленого цвета,
что с LDAP все хорошо, а красным цветом, что база open-
exchange в PostgreSQL не существует:
LDAP Success
psql: FATAL: database "openexchange" does not exist
SQL Error
Deleting User from LDAP
64
Возвращаемся в пункт PostgreSQL и смотрим, наша ба-
за называлась openxchange, а OX использует для доступа
базу openexchange, находим и исправляем строки, в фай-
ле /usr/local/openxchange/etc/admintools.conf, который отве-
чает за конфигурацию сервера:
DEFAULT _ SQL _ DB="openxchange"
DEFAULT _ SQL _ USER="openxchange"
Запускаем еще раз и получаем в ответ:
LDAP Success
SQL Success
Теперь добавим группу:
> sudo $OX _ home/sbin/addgroup _ ox –group=developers
Added Group developers to LDAP
Добавление первого пользователя и группы успешно
завершено.
Apache2 / Website
Настроим взаимодействие веб-сервера и OX. Для этого со-
здаем папки в директории data веб-сервера и скопируем в
них контент, который идет вместе с OX.
> cd /usr/local/www/data
> sudo mkdir -p cÞntranet/webmail
> cd $OX _ home/share/groupware/data/
> sudo cp -R images css javascript ↵
/usr/local/www/data/cÞntranet/
> cd $OX _ home/share/webmail/data/
> sudo cp -R images css javascript ↵
/usr/local/www/data/cÞntranet/webmail
Хранилище файлов
Создадим хранилище данных, для этого запустим скрип,
который на медленных машинах, с многими файловыми си-
стемами, может выполняться довольно долго.
Как написано в [2], файл sbin/correctfilespool в качест-
ве интерпретатора содержит «#!/bin/sh», но, скорее всего,
это какая-то модификация bash. Так что поменяем «#!/bin/
sh» на «#!/usr/local/bin/bash». Также скрипт sbin/correctfile-
spool использует GNU seq для счета от 0 до 255, но в со-
ставе FreeBSD ее нет. Для решения проблемы можно вы-
брать два пути. Первый поставить порт sysutils/coreutils и
заменить все seq на gseq. Второй вместо seq использовать
программу jot, идущую в стандартной поставке FreeBSD, и
везде заменить «seq 0 255» на «jot 256 0».
> cd $OX _ home/sbin/
> sudo sh ./correctÞlespool
Русификация интерфейса
Перейдем в папку, где лежат архивы, скачанные с сайта
OX, раз архивируем и установим русификацию для Group-
ware и Webmail:
> cd $OX _ install
> tar xzvf ./OX-RU-Groupware.0.7.5.tar.gz
> sudo cp -r ~/opt/html/RU ↵
$OX _ home/share/groupware/data/templates/
> sudo cp -r ~/opt/locales/RU.dlc ↵
$OX _ home/etc/groupware/locales/

> rm -r ./opt
> tar xzvf ./OX-RU-Webmail.0.7.5.tar.gz
> sudo cp -r ~/opt/html/RU ↵
$OX _ home/share/webmail/data/templates/
> sudo cp -r ~/opt/locales/RU.dlc ↵
$OX _ home/etc/webmail/locales/
> rm -r ./opt
Теперь надо открыть файл login.pm. в папке /usr/local/
www/cgi-bin и для добавления возможности выбора языка
интерфейса изменить строку:
my $languages = ['DE','EN'];
на
my $languages = ['EN','RU'];
Замечание: если после перезапуска Groupware, Web-
mail и Apache2, появится ошибка в файлах webmail.log или
groupware.log:
Language RU is in the wrong version
Значит установлена неправильная версия OX-русифи-
кации. Скачайте пакет русификации с такой же версией,
как и устанавливаемый пакет OX.
Как, оказалось, для отображения иконок панели в ру-
сифицированном интерфейсе потребуется создать папки
RU и скопировать в них содержимое папок EN. Или как в
примере сделать ссылку:
> sudo ln -s ↵
/usr/local/www/data/cÞntranet/images/top/EN ./RU
> sudo ln -s ↵
/usr/local/www/data/cÞntranet/webmail/images/top/EN ./RU
Запускаем ОХ
Вот наступил долгожданный момент первого запуска OX. Что-
бы вступили в силу сделанные изменения в настройках веб
сервера и сервера сервлетов, нужно перезапустить службы
Apache2 и Tomcat, для этого надо выполнить такие команды:
>cd /usr/local/etc/rc.d
>sudo ./020.jakarta-tomcat50.sh stop
>sudo ./020.jakarta-tomcat50.sh start
>sudo ./apache2 .sh stop
>sudo ./apache2.sh start
Перед запуском OX нужно отредактировать скрипты:
! /usr/local/openxchange/etc/init.d/groupware
! /usr/local/openxchange/etc/init.d/sessiond
! /usr/local/openxchange/etc/init.d/webmail
на предмет того, что в FreeBSD используется синтаксис ко-
манды ps, отличный от GNU/Linux ps. Для этого нужно за-
менить «ps xao “%p %a”» на «ps xao “pid args”», и раском-
ментировать строки:
sudo -u $USER $OX _ BIN >> $LOGFILE 2>&1 &
ps xao "pid args" | grep -E ↵
'.*java.*-DappName=groupwareApp' | grep -v grep | ↵
awk '{print $1}'
После этого надо закомментировать строки:
№7, июль 2005
администрирование
ps axwww | grep -E '.*java.*-DappName=groupwareApp' | ↵
grep -v grep | awk '{print $1}'
и
su $USER -s /bin/bash $OX _ BIN >> $LOGFILE 2>&1 &
Далее можно пробовать запустить openxchange:
> sudo $OX _ home/etc/init.d/openexchange start
Если появились ошибки при старте groupware, webmail
и sessiond, нужно по аналогии со скриптами из папки /usr/
local/openxchange/sbin в папке /usr/local/openxchange/etc/
init.d для всех файлов заменить командный интерпретатор
с «#!/bin/sh» на «#!/bin/bash».
После пробных неудачных запусков выяснились еще не-
которые изменения, которые нужно внести. Для файлов в
папке /usr/local/openxchange/bin изменить командный интер-
претатор с «#!/bin/sh» на «#!/bin/bash» и заменить строку:
SERVER=$(test "$HOSTTYPE" == "i386" && echo "-server")
на
SERVER=$(test "$HOSTTYPE" == "FreeBSD" && echo "-server")
Хочется обратить внимание на то, что скрипт /usr/local/
openxchange/etc/init.d/openexchange с опцией start будет ра-
ботать, но вот опция status и stop работать не будут. Это свя-
занно с тем, что в FreeBSD очень длинная командная стро-
ка с опциями, в выводе команды ps укорачивается до на-
звания команды, и однозначно определить, что запущено
под этой командой, будет невозможно.
Для проверки после старта openexchange советую зайти
по адресу: http://server_ip/cgi-bin/login.pl, где server_ip – адрес
вашего сервера, ввести логин и пароль созданного пользо-
вателя, выбрать groupware, язык локализации RU и нажать
login. Во время входа портал будет медленнее работать. Но
это нормально, OX проверяет новую почту для пользователя,
а почтовый сервер еще не настроен. По наступлению тайм-
аута ответа почтового сервера отобразится главная страни-
ца портала. Все остальные функции портала будут работать,
и можно будет насладиться проделанной работой.
В следующей статье вы узнаете, как настроить допол-
нительную функциональность OX-сервера:
! почтовый сервер для работы с OX;
! настройка доступа через webdav;
! безопасные соединения HTTPS;
! контроль над доступом к данным пользователей.
Литература:
1. Файл INSTALL из архива пакета OX.
2. Установка OX на FreeBSD от Peter Schober – http://homep-
age.univie.ac.at/peter.schober/OX_on_FreeBSD.html.
3. Форум OX – http://www.open-xchange.org/cgi-bin/simple-
forum.cgi.
4. Документация по установке на другие операционные
системы – http://www.open-xchange.org/oxwiki/OXInstal-
lations.
65
 hardware
Linux
inuxBIOS
BIOS – ФУНДАМЕНТ ДЛЯ LLinux
inux??
Будучи спроектированной для работы в многоузловых
кластерных системах, технология LinuxBIOS за 5 лет
оказалась настолько универсальной, что может быть
сегодня использована не только в серверах, но и в
рабочих станциях. Так что же это – еще одна Basic Input/
Output System или что-то большее?
L
inuxBIOS является альтернативой
обычным BIOS [1], выполняет те
же самые функции, что и выпус-
каемые фирмами AMI (American Mega-
trends), Phoenix (Phoenix Technologies),
IBM, DELL и некоторыми другими, толь-
ко на порядок быстрее, т.е. в 10-20 раз.
LinuxBIOS производит инициализацию
оборудования, проверку на исправ-
ность модулей памяти и собственно на-
чинает загрузку операционной систе-
мы уже после 3 секунд (!) после вклю-
чения питания. Многие коммерческие
изделия затрачивают на эту же проце-
дуру от 30 до 60 секунд. В дополнение
ко всему, LinuxBIOS может быть скон-
фигурирован уже из-под самого Linux
во время работы.
Структура LinuxBIOS
Прежде чем начать, проведем неболь-
шой экскурс в современную архитекту-
ру персональных ЭВМ. ПЭВМ состоит
из набора чипов, в первую очередь са-
мого большого и любимого – процес-
сора, затем чипа с графическим про-
цессором и контроллера клавиатуры,
далее из соединяющих всё это богатс-
тво шин данных.
Шина – это набор одного или не-
скольких проводников, которые сое-
диняют между собой два или более
чипа. Некоторые шины используют
два провода – сигнальный и «землю»,
другие используют десятки или сотни
проводников.
Сильно упрощенная схема PC-архи-
тектуры представлена на рис. 1. Раз-
ные типы шин не могут быть напря-
мую соединены между собой, поэто-
66
му используют промежуточные чипы,
известные как мосты. Первая шина –
это FSB (Front Side Bus) – системная
шина, на большинстве персоналок она
соединяет процессоры между собой и
между северным мостом. Серверный
мост в свою очередь соединяет про-
цессор с шиной памяти и PCI-шиной.
На диаграмме показан только один се-
верный мост, хотя их может быть и не-
сколько. На платформах с процессо-
рами AMD Opteron, например, исполь-
зуется свой северный мост к каждому
процессору, и системная шина соеди-
няет только конкретный процессор к
своему северному мосту. Другими сло-
вами, не существует общей системной
шины для Opteron.
Южный мост, который почти всегда
расположен на 0-й PCI-шине, является
следующим мостом в схеме. Задача
южного моста – соединять PCI-шину с
устройствами с набором более медлен-
ных устройств и отвечать за функции
записи/чтения BIOS Flash (рис. 1).
Когда ПЭВМ включается или же
идет на перезагрузку, процессор пе-
редает управление на адрес, который
традиционно располагается на самой
вершине памяти (TOM – Top Of Memo-
ry) за вычетом 16 байт. То есть на архи-
тектурах 8086 это был адрес 0xffff0, на
платформах с современными процес-
сорами этот адрес – 0xfffffff0. На пер-
воначальном этапе единственным язы-
ком, который понимает машина – это
машинный код (Ассемблер). Маши-
на активируется в несколько этапов.
В результате, LinuxBIOS переходит из
одной фазы в другую последователь-
АНТОН БОРИСОВ
но, по мере инициализации определен-
ных ресурсов.
Фазы запуска LinuxBIOS (рис. 2):
! Обрабатываются инструкции, ко-
торые инициализируют процессор,
лишнюю виртуальную память в ми-
нимальной конфигурации (32-бит-
ную адресацию), а также другие
ресурсы, необходимые для вклю-
чения памяти (например, I2C-ши-
ну). Затем производится сброс ке-
ша процессора.
! Происходит старт кода, отвечаю-
щий за дальнейшую настройку про-
цессора и установку параметров
памяти.
! Загружается объектный «C»-код
из Flash-памяти в оперативную па-
мять. Объектный код может быть
сжатом виде (заархивирован).
! Выполняется код, который функ-
ционирует только при настроенной
памяти. Происходит сканирование
и инициализация всех аппаратных
ресурсов.
! Дополнительная фаза, в ходе ко-
торой происходят финальная на-
стройка и затем старт операцион-
ной системы.
LinuxBIOS содержит опциональ-
ную возможность старта при наличии
проблем с обычным BIOS. Такая под-
держка добавляется при компиляции
проекта. Дополнительный код прове-
ряет сохранность CMOS-памяти и оп-
ределяет, был ли удачным старт ПЭВМ
в предыдущей попытке. Если нет, то ис-
пользуется альтернативная загрузка. В
таком случае используется LinuxBIOS-

Рисунок 1. Упрощенная схема
классической PC-архитектуры.
Мосты – это логика, которая соединяет
одну шину с другой
Рисунок 2. Фазы запуска LinuxBIOS
образ, который позволяет загрузиться
с другого, гарантированного источни-
ка, например, по сети.
Корни и эволюция
LinuxBIOS
Проект LinuxBIOS был начат в Нацио-
нальной Лаборатории Лос Аламос (Los
Alamos National Lab – LANL) в сентя-
бре 1999 года под руководством Рона
Минниха (Ron Minnich). В предыдущие
восемь лет он занимался построени-
ем кластеров всех видов, в частности
в 1994 году он подготовил свой пер-
вый кластер на базе PC. Всё это вре-
мя BIOS был краеугольным камнем в
создании больших кластеров.
№7, июль 2005
Так получилось, что некоторые тех-
нологические разработки 1999 года
послужили толчком для начала проек-
та. В какой-то степени это и появление
1 Мб модулей FLASH-памяти на систем-
ных платах и широкое использование
PCI-шины, которая заменила устарев-
шую ISA-шину. Также показательно, что
Linux начал работать на таких машинах,
как SGI Visual Workstation, на которых
использовался свой вариант BIOS.
Что казалось ясным на том этапе,
так это то, что если бы удалось скре-
стить Linux с кодом в BIOS, то цели бы-
ли бы достигнуты. Linux настраивает
аппаратные средства намного лучше,
нежели варианты BIOS того дня. Тре-
бовалось написать простейший загруз-
чик BIOS, который бы в свою очередь
пускал ядро Linux. Дальнейшая иници-
ализация была бы прерогативой Linux.
Таким образом, возникло выражение –
«Пусть этим займется Linux!»
Прежде чем начался полномасш-
табный LinuxBIOS проект, в декабре
1999 года была продемонстрирова-
на работа под названием «LOBOS», в
ходе которой ядро Linux грузилось из
Flash-памяти и дальше передавало уп-
равление опять Linux-ядру, но находя-
щемуся на жестком диске.
Проще и быстрее
Самый простой способ достичь резуль-
тата в Open Source-среде – это найти
решения, которые уже работают. Поэ-
тому следующим логическим шагом в
развитии проекта стал поиск програм-
много обеспечения схожей тематики.
Джеймс Хендрикс (James Hendricks)
вместе с Дейлом Вебстером (Dale
Webster) нашли нечто похожее в про-
екте OpenBIOS. После ознакомления
с проектом за пять дней удалось со-
здать тестовый вариант на платформе
Intel L440GX+. Она загружалась, прав-
да, не с холодной загрузки (когда сис-
тема первоначально выключена и за-
тем включается), а с горячего старта.
Чтобы добавить эту функциональность
(возможность холодного старта) при-
шлось затратить пять месяцев.
Выяснилось, что ассемблерный код
не сможет стать языком LinuxBIOS-про-
екта. Проект OpenBIOS почти полно-
стью состоял из ассемблерных вста-
вок, и было проблематично добавить
что-то новое, свое. Неудивительно,
что следующим шагом было удачное
hardware
открытие Джефом Гарзиком (Jeff Gar-
zik) следующего факта – автор проек-
та STPC BIOS предоставляет в обще-
ственный доступ свой труд. Так, STPC
BIOS становится фундаментом новой
структуры LinuxBIOS. Дальнейшая ра-
бота над кодом потребовала постоян-
ной реорганизации, чтобы проект смог
поддерживать многие системные пла-
ты и логику, таким образом был зало-
жен хороший фундамент для дальней-
шего развития.
Следующие шесть месяцев были
посвящены запуску LinuxBIOS на но-
вых платформах. Первой платфор-
мой без использования графических
средств настройки (как в классических
программах BIOS Setup) стала систем-
ная плата Intel L440GX+, за которой
последовала SiS 630. Именно с этого
момента, т.е. с приходом фирмы SiS в
проект, началась новая эра. Компания
предоставляла схемотехнику, техниче-
скую поддержку, ассемблерный код,
т.е. действительно серьезно подошла
к тому, чтобы запустить LinuxBIOS на
своем продукте.
Вскоре выяснилось, что Linux мо-
жет делать, а чего нет. Выяснилось,
что ядро 2.2, с которым тогда работа-
ли в проекте, не способно с нуля про-
извести инициализацию PCI-шины.
Этим пришлось заниматься LinuxBIOS.
Пришлось вытащить код из Linux и с
небольшими изменениями использо-
вать непосредственно в LinuxBIOS, до-
бавляя по мере необходимости расши-
рения. Также вскоре выяснилось, что
загрузка происходит настолько быст-
ро, что IDE-диски не успевают старто-
вать. Но вскоре и эта проблема была
успешно решена.
По истечении следующих девяти
месяцев LinuxBIOS успешно работал
на двух платформах, будучи написан-
ным почти полностью на C. Корпора-
ции стали проявлять интерес к разра-
батываемому продукту. Так, VIA и Acer
предоставили спецификации на свои
новые продукты, таким образом так-
же была включена поддержка для их
плат. Джеймс Хендрикс начал работу
над SMP-поддержкой тем же летом.
Патчи стали включаться в разработку
Linux-ядра, а не как расширения в Linux-
BIOS. С этой стороны Linux-ядро стало
походить на унипроцессорное – добав-
ление поддержки новых процессоров
стало занимать меньше времени.
67
 hardware
Летом того же года к проекту при-
соединился Linux NetworX, и Эрик Бье-
дерман (Eric Biederman) стал ключе-
вой фигурой при добавлении подде-
ржки Alpha-архитектуры. Он также
произвел реорганизацию стартового
кода управления памятью. Сотрудни-
чество с Linux NetworX продолжает-
ся и по сей день – фирма является са-
мым крупным продавцом систем на ос-
нове LinuxBIOS. Также немаловажной
заслугой Эрика является создание ар-
хитектуры LinuxBIOS следующей, вто-
рой версии.
В конце года участники проекта
выступали на Atlanta Linux Showcase
2000 и там познакомились со Стивом
Джеймсом (Steve James) из Linux Labs.
Это партнерство позволило менее чем
за месяц построить 13-узловой клас-
тер на базе LinuxBIOS для Supercom-
puting 2000.
К следующему, 2001 году Linux Net-
worX завершила портирование под Al-
pha-платформу для машин DS10. Был
построен кластер из 104 машин клас-
са DS10, все под управлением Linux-
BIOS. Машины грузились значитель-
но медленнее, нежели системы на
Pentium, поэтому для выхода в рабо-
чий режим требовалось примерно 50
секунд, но все-таки скорость была до-
статочно высокой. По сравнению с тем
немодифицированные машины за то
же время успевали выполнить лишь
тест памяти.
Портирование под Alpha-машины
продемонстрировало, что проект мож-
но перенести и на другие платформы.
Для того чтобы LinuxBIOS заработал на
64-битных системах, пришлось немно-
го переработать программный код –
раньше он ориентировался в основ-
ном на 32-битные системы.
С 2001 года пришли новые разра-
ботчики (всего их сейчас 11 человек) и
продолжился перенос на другие плат-
формы. Одна из них – это AMD Opteron.
Оказалось, что все-таки некоторые
процедуры лучше выполнять именно
в LinuxBIOS, нежели в Linux, напри-
мер, SMP-инициализацию. На примере
SMP-инициализации для платформы
AMD K7 SMP стало ясно, что некоторые
процедуры лучше выполнять именно в
LinuxBIOS, нежели в Linux.
Ожидалось, что производители
поддержат начинание. Но прошло че-
тыре года развития, и вот только в на-
68
чале пятого начинает проявляться за-
интересованность крупных фирм в
данном проекте. Так, в 2003 г. было
продано продуктов, основанных на
LinuxBIOS, на сумму 30 миллионов
долларов. По сравнению с 2000 г., ког-
да продаж таких продуктов не было.
Неплохое начало, не правда ли?
Аппаратные платформы
LinuxBIOS работает на многих плат-
формах. Официально поддерживают-
ся более 50 системных плат. Многие
платы похожи друг на друга и компа-
нии используют код от одной систем-
ной платы, запускают на другой. По-
этому шансы, что LinuxBIOS зарабо-
тает на «неподдерживаемой» моде-
ли, достаточно высоки. Это возможно
в том случае, когда системные платы
собраны на одной аппаратной основе,
т.е. северный и южный мосты, а также
схема инициализации совпадают как
для заявленной системной платы, так
и для «неподдерживаемой».
LinuxBIOS работает на 64- и 32-бит-
ных процессорах. Среди них: Alpha,
K8, K7, PowerPC, P4, PIII, PII, Cyrix (VIA),
Geode (сейчас AMD) и SC520 (AMD).
Список системной логики слишком
обширный, чтобы упоминать. Форм-
факторы: от малых систем (PC/104),
до самых больших K8. Портирование
под IBM PPC 970 сейчас находится в
развитии.
Секреты успеха
развития LinuxBIOS
Исторически сложилось, что произ-
водители аппаратного обеспечения
очень рьяно хранили в секрете специ-
фикации выпускаемых процессоров,
чипсетов, системных плат. Как полу-
чилось, что разработчики свободно-
го проекта получили столь секретные
сведения? Очень просто – если компа-
нии не видят выгоды, то они и не вы-
пустят эту информацию. С другой сто-
роны, как только появляется интерес,
то развитие происходит с удивитель-
ной скоростью.
Бросая беглый взгляд на сегод-
няшнюю ситуацию, можно сказать, что
два фактора повлияли на успех – бо-
гатство выбора. Богатство выбора за-
ключалось в разнообразии системных
плат, чипсетов и процессоров. Создав
прецедент, производители сами стали
подтягиваться.
Успех в LANL показателен. В тре-
бованиях министерства по энергети-
ке США (а именно оно в конечном ито-
ге является заказчиком LinuxBIOS)
для постройки 2 последних класте-
ров значилось – «необходимо постро-
ить на основе LinuxBIOS». Всего же на
данную работу предназначалось осво-
ить около 19 миллионов долларов. Те
компании, которые не захотели участ-
вовать в движении проекта LinuxBIOS,
не смогли отреагировать на данный за-
каз. Те же, которые предвидели нечто
подобное, были подготовлены. Пред-
видение в данном случае сыграло зна-
чительную роль.
Выводы
LinuxBIOS прошел длинный путь за че-
тыре года – от стадии «Это возможно»
до «Сделано!». LinuxBIOS использует-
ся везде – от огромных кластеров до
встраиваемых (embedded) систем, в
MP3-плейерах, портативных класте-
рах и т. п.
LinuxBIOS позволяет построить
системы без громадного PC-багажа.
Их можно оптимизировать под Linux
и сделать еще более компактными и
простыми. Для таких систем находит-
ся применение.
Проект сейчас находится в своей
второй стадии, LinuxBIOS V2. За че-
тыре года 6 видов процессоров, более
50 системных плат и огромный багаж
опыта. Сейчас для переноса на новую
систему требуются дни, по сравнению
с месяцами, как было раньше. Влия-
ние проекта на мир вычислений толь-
ко начинается!
Когда готовилась эта статья, глав-
ный идеолог проекта Ron Minnich вы-
пустил статью об использовании Linux-
BIOS в разработке учебной мини-раке-
ты. Подробности смотрите в [3, 4].
На этой оптимистичной волне раз-
решите с вами распрощаться до сле-
дующего выпуска, в котором мы не-
посредственно займемся настройкой
LinuxBIOS для аппаратной системы
VIA EPIA-M.
Ссылки:
1. http://en.wikipedia.org/wiki/BIOS.
2. http://www.linuxbios.org.
3. http://www.linuxjournal.com/article/
8120.
4. http://www.linuxjournal.com/article/
8310.
 hardware
УДАЛЕННО УПРАВЛЯЕМ
BIOS SETUP
Каждый из вас хотя бы раз в жизни сталкивался с необходимостью войти в BIOS Setup
и слегка его «подкрутить» или починить «рухнувшую» Windows NT, Linux/FreeBSD.
Традиционно эта задача решается при помощи мыши и клавиатуры, но что делать,
если сервер физически недоступен?
К
омпьютеры семейства IBM PC
долгое время рассматривались
как недорогие рабочие станции
и сервера на их основе начали стро-
ить лишь недавно. Разработчики уве-
личили количество процессоров, до-
бавили поддержку коррекции памяти,
отказоустойчивые дисковые массивы
и прочие прелести, однако полное пре-
вращение в сервер так и не наступи-
ло. В частности, сохранилась пробле-
ма удаленного администрирования.
Операционные системы семейства
Windows NT поддерживают удален-
ный контроль лишь формально. Да-
же такие программы, как Remote Ad-
min, выполняют ограниченный спектр
простейших операций, и на полноцен-
ное обслуживание сервера по сети не
способны. В мире UNIX дела обстоят
чуть-чуть получше, но проблемы все
равно есть.
Вот, например, BIOS отказывает-
ся грузиться, предлагая нажать <F1>
для входа в BIOS Setup или <F2> для
загрузки с параметрами по умолча-
нию (см. рис. 1). Но сервер находится
в другом конце города, да еще в по-
мещении, ключей от которого у адми-
нистратора нет. Знакомая ситуация, не
правда ли? Другой вариант: после ус-
70
тановки очередного пакета обновле-
ния операционная система «умерла»,
стала жертвой хакерской атаки или
просто зависла. Во всех этих случаях
стандартные средства удаленного уп-
равления уже не работают и приходит-
ся приближаться к серверу вплотную,
что достаточно затруднительно. Даже
если сервер расположен на соседнем
этаже, намного предпочтительнее уп-
равлять им без отрыва от своего лю-
бимого кресла, чем бегать с дискетами
(лазерными дисками) туда-сюда.
И это действительно можно сде-
лать! Существуют по меньшей мере три
пути, о которых я и хочу рассказать.
Удаленный контроль
за BIOS
Порядок загрузки BIOS в общих чер-
тах выглядит так. Первым получает
управление BOOT-block (загрузочный
блок или первичный загрузчик, не пу-
тать с boot-сектором!). Он выполняет
инициализацию основного оборудова-
ния (оперативная память, контроллер
прерываний, системный таймер и т. д.),
сканирует ISA-шину и подключает BIOS
всех обнаруженных устройств (напри-
мер, SCSI-контроллеров, видео-, се-
тевых карт и т. д.). Перед завершени-
КРИС КАСПЕРСКИ
ем своей работы BOOT-block распако-
вывает основной код BIOS (так назы-
ваемый BIOS extensions, или вторич-
ный загрузчик) и передает ему управ-
ление. Вторичный загрузчик сканиру-
ет PCI-шину и выполняет окончатель-
ную инициализацию оборудования –
распознает IDE-диски, при необходи-
мости выводит интерактивный редак-
тор BIOS Setup, распределяет систем-
ные ресурсы между PnP-устройства-
ми и, наконец, считывает boot-сектор
с гибкого или жесткого диска.
Таким образом, BIOS, установлен-
ные на картах расширения, получа-
ют управление на самой ранней ста-
дии инициализации, задолго до того,
как начинается подсчет контрольной
суммы CMOS или распаковка вторич-
ного загрузчика. Кстати говоря, боль-
шинство утилит «прожига» BIOS не
трогают BOOT-block и даже если про-
жиг прошел неудачно, ISA-слоты рас-
ширения все-таки инициализируют-
ся. С PCI-слотами все обстоит намно-
го сложнее, и в общем случае они до-
ступны только из вторичного загруз-
чика (а он гибнет при неудачном про-
жиге). Некоторые производители, на-
пример ASUS, включают в BOOT-block
специальный драйвер для работы с
 hardware
PCI-шиной, чтобы материнс- Все управление происхо-
кая плата могла инициализи- дит либо через telnet, либо
ровать видеокарту и хоть что- через веб-браузер. Как бу-
то вывести на экран, даже ес- дет удобнее администратору.
ли основной код BIOS повер- На сервере может быть уста-
жен. Но мне не известен ни новлена практически любая
один BIOS, BOOT-block кото- операционная система: Win-
рого мог бы работать с шиной dows 2000/2003 (Advanced
AGP или PCI-express. Server, Data Center, Terminal
Следовательно, все, что Server, Standard или Enterprise
нам нужно, – изготовить «фик- Рисунок 1. BIOS отказывается грузиться до тех пор, Edition), Novell NetWare 5.1, 6.0,
пока не будет нажата клавиша <F1> или <F2>
тивную» ISA- или PCI-кар- Red Hat Advanced Server2.1,
ту, установить на ней «свой» BIOS и имеется возможность подключать уда- Red Hat Linux 7.3/8.0, SuSE Linux En-
запрограммировать его на удален- ленный дисковод и привод CD-ROM, terprise Server V7/V8 и некоторые дру-
ное управление. Когда-то я «дораба- без которых не обходится ни одна пе- гие (см. рис. 4).
тывал» древние сетевые карты (кото- реустановка системы. Это просто фан- Карту можно приобрести в магази-
рые просто выбрасывались), превра- тастика! Всегда можно загрузиться с не или заказать по Интернету непос-
щая их в «пульт» удаленного управле- Live CD и посмотреть, что случилось с редственно в самой Hewlett-Packard.
ния, позволяющий редактировать на- сервером и сохранить уцелевшие дан- Она обойдется в $399, которые явно
стройки BIOS по локальной сети. Это ные на любой носитель, который толь- стоят того! В принципе можно найти
совсем несложно сделать! Достаточно ко будет под рукой. Это усиливает бе- производителя и подешевле, но в от-
уметь программировать на Ассембле- зопасность системы, поскольку сер- ношении цена/функциональность этой
ре и чуть-чуть разбираться в архитек- вер, оснащенный «Remote Insight», мо- карте равных нет, тем не менее она да-
туре «железа» (см. рис. 2). жет вообще не иметь никаких съемных лека от идеала. Исходных текстов про-
Впрочем, корпеть над отладчиком носителей! шивки нам никто не даст, и дорабо-
совсем необязательно, все можно ку- Кстати, о безопасности. Remote In- тать «напильником» под свои конкрет-
пить и готовое. Такие платы (они назы- sight поддерживает SSL и 128-битное ные нужны ее не удастся (теоретичес-
ваются Remote Boards) выпускает мно- шифрование, что позволяет ему фун- ки это возможно, но очень затрудни-
жество фирм. Обычно они представ- кционировать даже на незащищенных тельно). К тому же качество реализа-
ляют из себя стандартную VGA-кар- каналах (а других каналов в распоря- ции протоколов шифрования находит-
ту с интегрированным COM-портом, к жении рядового администратора за- ся под большим вопросом. Возможно,
которому подключается внешний мо- частую просто не оказывается). в карте присутствуют отладочные лю-
дем. В некоторых моделях ки или переполняющиеся бу-
имеется Ethernet-порт. Его феры, которые позволят ата-
можно воткнуть в DSL-модем кующему захватить штурвал
или соединить со Switch. Че- управления в свои руки ( см.
рез эти порты передается ко- рис. 5)!
пия экрана на удаленный мо- Этих недостатков лише-
нитор и принимаются коман- на PC Weasel 2000 от одно-
ды от клавиатуры, в результа- именной компании. Вместе с
те чего IBM PC превращается самой платой покупатель по-
в самый настоящий «мейн- лучает полный исходный код
фрейм» и физического до- прошивки и лицензию на пра-
ступа к нему уже не требует- во его изменения. Это все та
ся (см. рис. 3)! Рисунок 2. Удаленное редактирование настроек BIOS Setup же самая VGA-плата, только
по терминалу — это реальность!
Большой популярностью вместо Ethernet-порта на ней
пользуется модель Remote In- находится контроллер UART
sight от Hewlett-Packard, кото- (он же стандартный COM-
рая вставляется в PCI-слот и порт типа 16550). К сожале-
управляется через 10/100 Мбит нию, ее функциональность на-
Ethernet-порту. Она подде- много беднее. Поддержива-
рживает как текстовые, так и ются только текстовые виде-
графические режимы (вплоть орежимы и отсутствуют уда-
до 1280х1024/256 цветов), пи- ленные приводы, правда, со-
тается от внешнего источни- храняется возможность «на-
ка, что позволяет ей «нажи- жать» серверу на «Reset» или
мать» на кнопки «Power» и посмотреть POST-коды, что-
«Reset». В дополнение к уда- бы сразу оценить масштабы
ленной мыши и клавиатуре Рисунок 3. Удаленная настройка дисков неисправности (см. рис. 6).

№7, июль 2005 71

 hardware
Рисунок 4. Плата удаленного управления
Remote Insight от Hewlett-Packard
Рисунок 5. Еще одна плата удаленного
управления – PC Weasel 2000
Рисунок 6. Инженерное меню,
высвечиваемое PC Weasel 2000
ISA-вариант обойдется вам в $250,
а PCI – во все $350. Не слишком ли
большая цена за открытую лицензию
при урезанной функциональности? Не
торопитесь с выводами. Исходные тек-
сты – великая штука! Можно купить од-
ну плату и установить ее на неограни-
ченном количестве машин. Клониро-
вать аппаратное обеспечение нам не
понадобится. Если слегка переделать
прошивку можно обойтись и стандарт-
ными компонентами, но об этом – чуть
позже. Сначала познакомимся с диа-
метрально противоположным клас-
сом устройств удаленного управления,
среди которых, возможно, притаилось
устройство вашей мечты (см. рис. 7).
KVM, или Удаленный
контроль продолжается
Главный недостаток VGA-плат с моди-
фицированным BIOS состоит в том, что
они требуют вскрытия корпуса серве-
ра, что не всегда желательно. К тому
же техника перехвата изображения и
эмуляция клавиатурного ввода далека
от идеала и чрезвычайно конфликтна.
KVM-коммутаторы исповедуют совер-
72
шенно иной подход. Свое название они
получили по трем первым буквам: Key-
board, Video-monitor и Mouse. Коммута-
тор представляет собой автономное
устройство, подключаемое к компью-
теру через стандартные PS/2 и DB-15
VGA-коннекторы. Их сигнал преобра-
зуется в цифровой поток и передается
на соседний KVM-терминал, подклю-
ченный к удаленному компьютеру. Гру-
бо говоря, мы как бы подключаем кла-
виатуру, мышь и монитор очень длин-
ными кабелями (см. рис. 8).
Можно настраивать BIOS Setup или
рассматривать Windows, свалившуюся
в синий экран, но ни удаленных диско-
водов, ни даже возможности нажать на
Reset у нас нет, то есть иллюзия пол-
ного физического доступа оказывает-
ся не такой уж и полной. Зато подде-
рживаются практически все видеоре-
жимы и в код BIOS не вносится ника-
ких изменений, а в критических инфра-
структурах это очень актуально. Внед-
рять посторонний эмулятор в банковс-
кий компьютер нам попросту не дадут,
поскольку эта технология не сертифи-
цирована, а вот у KVM-коммутаторов
все необходимые сертификаты, как
правило, имеются (см. рис. 9).
Подавляющее большинство мо-
делей рассчитано на управление не-
сколькими серверами с одного тер-
минала, при этом сигнал пускается
по экранированной витой паре с мак-
симальной длиной в несколько сотен
метров. Это совсем не Ethernet и в се-
тевой концентратор его вставлять не-
льзя! Для реального удаленного уп-
равления по Интернету или модему
нам потребуется установить допол-
нительный компьютер, принимающий
KVM-сигнал и с помощью специально-
го программного обеспечения ретран-
слирующий его в «удобоваримую» се-
тевую форму. А это нехорошо! К счас-
тью, некоторые модели поддерживают
работу по модему или локальной сети.
Такой тип KVM-коммутаторов называ-
ется «over IP», хотя здесь не обходится
без вариаций. Просто загляните в спе-
цификацию: если там встретится что-
то похожее на LAN или Dial-Up, это то,
что нам нужно (рис. 10)!
Довольно хорошо зарекомендо-
вала себя фирма Minicom, в ассорти-
менте которой можно обнаружить по
меньшей мере две подходящие моде-
ли – Phantom Dial-Up Remote Access и
Smart IP Extender Switch Over IP. Пер-
вая стоит в районе $800, вторая… –
$3500. Для банков и прочих денежных
учреждений такая сумма, может быть,
и подойдет, но вот для мелкой конто-
ры – навряд ли. Кончено, порывшись
в магазинах, можно найти KVM-ком-
мутатор и подешевле, но лучше соб-
рать систему удаленного управления
самостоятельно.
Как это работает,
или Удаленный контроль
своими руками!
Для создания собственной системы
удаленного управления нам понадо-
бится любая PCI-карта и материнская
плата, поддерживающая работу с PCI-
шиной через BOOT-block (например,
ASUS). На борту карты обязательно
должна присутствовать «кроватка» с
BIOS. На худой конец BIOS может на-
ходиться в отдельной микросхеме, ко-
торую несложно выпаять с платы и вот-
кнуть в программатор. К сожалению,
сетевые карты с «внешним» BIOS вы-
ходят из употребления и найти их ста-
новится все сложнее и сложнее. Сов-
ременные Ethernet-контроллеры интег-
рируют BIOS в микросхему чиспета, и
мы уже не можем ничего с ним сделать
(только не перепутайте BIOS с панель-
ной для Boot-ROM, это совсем не од-
но и то же!).
Вот и приходится пересаживать-
ся на SCSI-контроллеры, цены на ко-
торые упали до 10$-14$. Разумеется,
речь идет о простейших моделях, но
Рисунок 7. Плата удаленного
управления типа eRIC enhanced
Remote Management Card
Рисунок 8. KVM-коммутатор за работой
 hardware
ведь нам ничего, кроме BIOS, не грабить весь вывод на экран и
нужно! Поэтому, даже дешевая передавать его на удаленный
модель будет работать ничуть компьютер («грабить» – вполне
не хуже дорогой. Заботиться о легальный термин, позаимство-
сохранении работоспособнос- ванный у англоязычных инжене-
ти контроллера не обязатель- ров, которые говорят в этом слу-
но. Намного проще переписать чае «grab», звучит грубовато, за-
BIOS с чистого листа, чем до- то почестному).
бавлять свои собственные моду- Разумеется, без сложностей
ли в уже существующий (одна- здесь не обходится. Поскольку в
ко при желании это можно сде- процессе инициализации BIOS
лать) (см. рис. 11). вектора прерывания могут пе-
Дополнительный UART-кон- реустанавливаться многократ-
троллер приобретать не нужно. но, одной лишь модификации
Лучше воспользоваться тем, что таблицы прерываний (т.е. клас-
встроен в материнскую плату, сического способа перехвата)
а при желании можно задейс- Рисунок 9. Схема подключения KVM-коммутатора будет явно недостаточно. Да,
для удаленного управления через Интернет
твовать еще и интегрирован- или по модемному соединению мы можем изменить far-указа-
ный Ethernet или любое другое тель по адресу: 0000h:10h*size
средство коммуникации. of(DWORD) == 0000h:0040h,пе
Разработка прошивок обыч- ренаправив его на свой собс-
но ведется на Ассемблере, но твенный обработчик, но… че-
при желании можно использо- рез некоторое время контроль
вать и высокоуровневые языки за INT 10h будет утерян. Чтобы
типа Си/Си++. Только ни в коем Рисунок 10. Внешний вид некоторых KVM-коммутаторов
этого избежать, необходимо ус-
случае не используйте стандар- тановить аппаратную точку ос-
тные библиотеки ввода/выво- танова на запись этой ячейки
да и прикажите линкеру отклю- памяти. В этом нам помогут от-
чить Start-Up. Для этого доста- ладочные регистры семейства
точно переименовать функцию DRx. Регистры Dr0-Dr3 хранят
main в нечто вроде MyMain. Пос- линейный физический адрес
кольку Си не поддерживает ба- Рисунок 11. SCSI-контролер с несъемным BIOS (слева), точки останова, а Dr7 опреде-
зирования, откомпилированный он нам не подходит. Справа SCSI-контроллер со съемным ляет условия, при которых она
BIOS, который легким движением руки превращается
код должен быть полностью пе- в плату удаленного управления срабатывает, заставляя про-
ремещаем (то есть выполнять- цессор генерировать прерыва-
ся независимо от базового адреса за- ние должно быть инициализировано ние INT 01h, на котором должен нахо-
грузки в память). Этого можно добить- вручную. В частности, интегрирован- диться наш обработчик, выполняющий
ся, отказавшись от глобальных пере- ный COM-порт еще не имеет ни базо- повторную «экспроприацию» INT 10h
менных и выключив все опции ком- вого адреса, ни IRQ, ведь PnP-менед- у системы.
пилятора, которые могут генериро- жер, распределяющий системные ре- Пример работы с отладочными ре-
вать неперемещаемый код, о котором сурсы, еще не получил управления! гистрами приведен ниже.
мы даже не подозреваем (например, Приходится открывать документацию
контроль «срыва» стека). Если вы не на южный мост чипсета и программи- Листинг 1. Перехватчик передает
управление нашему коду в момент
уверены, что хорошо знаете «задний ровать все железо с нуля. Это самый загрузки Boot-сектора
двор» компилятора, – не используйте низкий уровень «общения» с аппара-
; перехватываем INT 01h
его! Программируйте на Ассемблере. турой! Необычайно сложный, но в то MOV ax, CS
Он не подведет! же время захватывающе интересный! XOR bx,bx
MOV DS,bx
Код прошивки исполняется в 16- К счастью, серверный мост уже час- ; смещение нашего обработчика
разрядном сегменте реального режи- тично инициализирован, поэтому на- MOV [bx], offset our _ vx _ code
; относительно сегмента 0000h
ма, однако никто не запрещает нам пе- страивать контроллер памяти не обя- MOV [bx+2],bx
реходить в защищенный режим и вы- зательно. MOV DS, ax
ходить оттуда, правда, не совсем по- Теперь поговорим о методиках эму- ; устанавливаем точку останова
нятно, зачем это нужно. Использовать ляции и перехвата. Для вывода ин- ; на исполнение
MOV eax,302h
служебные функции BIOS недопусти- формации на экран BIOS использует ; линейный физический адрес
мо, поскольку часть аппаратуры еще свою собственную сервисную службу ; точки останова
MOV ebx,7С00h
не инициирована, да и сам BIOS еще INT 10h. Она же используется на ста-
не распакован. Работайте только че- дии первичной загрузки операционных ; Заносим значения в отладочные
; регистры
рез порты ввода/вывода, однако пе- систем семейства Windows и UNIX. Пе- MOV dr7,eax
ред этим не забудьте, что оборудова- рехватив это прерывание, мы сможем mov dr0,ebx

№7, июль 2005 73

 hardware
Прерывание INT 10h поддержива-
ет свыше сотни различных функций,
номер которых передается в регистре
AH. В частности, 02h управляет кур-
сором, а 09h печатает символ. Естес-
твенно, чтобы грабить вывод на экран,
необходимо уметь отличать одну фун-
кцию от другой и знать, чем именно
каждая из них занимается. Описание
функций можно найти либо в техничес-
кой документации на конкретную виде-
окарту (а если карта встроена в мате-
ринскую плату, то в документации на
серверный мост чипсета), либо в зна-
менитом Interrupt List Ральфа Брауна,
правда, он уже давно не обновлялся и
сильно устарел. Последняя версия да-
тируется летом 2000 года. С тех пор
вышло множество новых карт! Впро-
чем, базовые видео-функции не пре-
терпели никаких изменений, и если от-
бросить нестандартные видеорежимы,
все будет работать на ура.
Текстовые режимы грабятся прос-
то замечательно, а вот графические в
пропускную способность аналоговых
модемов уже не вмещаются, и переда-
ваемую информацию приходится как-
то сжимать. Самое простое – переда-
вать только изменения, предваритель-
но упаковав их по gzip-алгоритму, для
работы с которым существует множес-
тво готовых библиотек.
Правда, с переходом операционной
системы в защищенный режим, весь
наш перехват будет «подавлен», и уда-
ленный компьютер отобразит унылый
застывший экран. В принципе с этим
можно и смириться. Главное, что нам
подконтролен BIOS Setup и начальная
стадия загрузки оси, а там можно и
стандартным telnet воспользоваться,
если, конечно, на середине загрузки
Windows не выбросит синий экран.
В своих первых моделях систем
удаленного управления я поступал так:
отслеживал попытку перехода в защи-
щенный режим (а отследить ее можно
с помощью все тех же отладочных ре-
гистров), переходил в защищенный ре-
жим сам, устанавливал свои обработ-
чики прерывания и отдавал управле-
ние операционной системе, не позво-
ляя ей ничего менять. Это работало!
Хотя и сбоило тоже. Универсального
перехватчика создать не получилось, и
пришлось учитывать особенности реа-
лизации всех операционных систем. В
конце концов я махнул рукой и написал
74
обыкновенный драйвер-фильтр, рабо-
тающий, как VGA-miniport, и пересыла-
ющий экранный вывод на «нашу» кар-
ту расширения (рис. 12).
Рисунок 12. Принцип работы платы
удаленного управления
Некоторые системы удаленного
контроля (например, уже упомянутый
комплекс PC Weasel 2000) вместо пе-
рехвата INT 10h просто грабят видео-
буфер, что на первый взгляд суще-
ственно упрощает реализацию. Не
нужно возиться с отладочными реги-
страми, рыться в Interrupt List и т. д. На
самом деле даже в текстовом режиме
имеется множество экранных страниц,
а уж про графический мы вообще мол-
чим! Причем совершенно неясно, как
синхронизовать экранный вывод с его
перехватом. Сканировать видеопамять
с частой 50-60 Гц вполне реально, но
вот запихать награбленные данные в
модемный канал получится едва ли. А
как это дело будет тормозить! Неуди-
вительно, что PC Weasel 2000 работает
только с текстовыми режимами!
Теперь перейдем к эмуляции вво-
да с клавиатуры. Мышь рассматривать
не будем, поскольку нормальные ад-
министраторы свободно обходятся и
без нее. Весь клавиатурный сервис со-
средоточен в прерывании INT 16h, ко-
торое мы должны перехватить. Когда
программа (и в частности, BIOS Setup)
ожидает нажатия на клавишу, она об-
нуляет регистр AH и вызывает INT 16h.
Конечно, существуют и другие вариан-
ты, но этот – самый популярный. В этом
случае наш обработчик прерывания
должен поместить ASCII-код симво-
ла, нажатого на удаленной клавиату-
ре, в регистр AL и возвратить управле-
ние. Естественно, все это будет рабо-
тать только до перехода операционной
системы в защищенный режим, а по-
сле – придется подгружать свой драй-
вер, «садящийся» поверх стандартно-
го клавиатурного драйвера и эмулиру-
ющего ввод.
Удаленные диски реализуются
совсем тривиально. За это отвеча-
ет прерывание INT 13h. Функция 02h
обеспечивает чтение сектора, 03h –
его запись. Номер сектора передает-
ся в регистрах CX и DX в CHS-форма-
те. Удаленный CD-ROM реализуется
чуть-чуть сложнее. Если вы не силь-
ны в системном программировании,
на первых порах лучше ограничиться
виртуальными дискетами. Между про-
чим, использовать физические диске-
ты совсем не обязательно – удаленная
машина может работать с их образом,
записанным на жестком диске в виде
файла. Для удаленной переустановки
Windows NT этот прием вполне подхо-
дит. А смену виртуальных дискет авто-
матизировать совсем нетрудно.
В результате мы получим довольно
могучий комплекс удаленного управ-
ления, и самое главное – очень деше-
вый. Конечно, наше время тоже что-то
стоит (а времени на разработку и пу-
ско-наладку уйдет много), но если та-
кие комплексы изготавливать под за-
каз, они быстро себя окупят, тем более
что на них наблюдается устойчивый
спрос, ведь западные аналоги боль-
шинству просто не по карману.
Для завершения картины остается
сущая мелочь – удаленный Reset, без
которого наше творение будет непол-
ноценно. Ну тут все просто. Достаточно
подключить к LPT-порту реле, ведущее
к «заветной» кнопке, и проблема будет
решена. Из прошивки SCSI-контролле-
ра мы можем управлять LPT-портом,
конечно, не забыв, что перед этим его
нужно инициализировать.
Один маленький трюк напоследок.
Если полноценная система удаленно-
го управления вам не нужна и всего
лишь требуется запретить BIOS тре-
бовать нажатия на клавишу при за-
грузке, то без дополнительного обору-
дования легко обойтись. Достаточно
загрузить прошивку основного BIOS в
дизассемблер и найти все «ругатель-
ные» сообщения. Перекрестные ссыл-
ки приведут нас к машинному коду, ко-
торый эти строки и выводит. Там же бу-
дет код, ожидающий нажатия на клави-
шу, который мы должны удалить. Пря-
мой вызов INT 16h используется редко.

Скорее всего, мы увидим что-то вро-
де CALL xxx, где xxx – адрес функции-
обертки. Для достижения задуманно-
го мы должны заменить CALL xxx на
«MOV AX,scan-code», указав скэн-код
требуемой клавиши. Например, клави-
ша <F2> в большинстве BIOS означа-
ет «загрузку с настройками по умол-
чанию», однако в некоторых случаях
может потребоваться нажать <Enter>
или <Esc>.
Проблема в том, что основной об-
раз BIOS упакован и защищен конт-
рольными суммами. Практически все
разработчики BIOS распространяют
утилиты для распаковки/упаковки и
пересчета контрольных сумм, одна-
ко никакой гарантии, что модифици-
рованный BIOS будет исправно рабо-
тать, у нас нет. Ошибки могут появ-
ляться в самых неожиданных местах.
Работа системы становится нестабиль-
ной, материнская плата без всяких ви-
димых причин начинает зависать и т. д.
Разумеется, для серверов это непри-
емлемо, поэтому приходится идти дру-
гим путем.
Вместо того чтобы модифициро-
вать упакованный образ основного ко-
да BIOS, мы возьмем неупакованный
BOOT-block и добавим в него автомати-
ческий патчер, правящий нужные бай-
ты прямо в памяти, когда распаковка
уже завершена. Поскольку основной
код BIOS распаковывается в RAM, ни-
Ссылки:
1. Remote Insight «Lights Out» boards –
обзор систем удаленного управле-
ния (на англ.): http://www.paul.slad-
en.org/lights-out/riloe.html;
2. Remote Insight Lights-Out Edition II –
описание платы удаленного управ-
ления от Hewlett-Packard с возмож-
ностью заказа по Интернету (на
англ.): http://h18004.www1.hp.com/
products/servers/management/riloe2/
server-slot-matrix.html;
3. PC Weasel 2000 – описание аль-
тернативной платы удаленного уп-
равления, микрокод, который рас-
пространяется по открытой лицен-
зии (на англ.): http://www.realweasel.
com/intro.html;
4. Технические характеристики ог-
ромного количества систем уда-
ленного управления (преимущес-
твенно KVM-коммутаторов, на
англ.): http://www.kvms.com;
№7, июль 2005
администрирование hardware
каких проблем с его исправлением не
возникает. Главное – определить нуж-
ные адреса. В этом нам поможет тот
факт, что сам BIOS свой образ не за-
тирает и в момент загрузки boot-сек-
тора он присутствует в памяти. Доста-
точно написать крошечную ассемблер-
ную программу, считывающую первые
640 Кб нижней памяти и записываю-
щую их на гибкий диск, а затем вне-
дрить ее в boot-сектор. После переза-
грузки системы мы станем обладате-
лями распакованного BIOS, лежащего
по своим «родным» адресам.
Остается только прожечь обнов-
ленный BOOT-block и можно наслаж-
даться бесперебойной работой сер-
вера!
Заключение
Полноценный удаленный контроль за
системой – это реальность! Ассорти-
мент возможных решений необычайно
широк: от готовых (и весьма дорогос-
тоящих!) KVM-устройств до более де-
шевых, но вместе с тем и более функ-
циональных (!) плат расширения, кото-
рые большинство программистов лег-
ко изготовят самостоятельно. Физи-
ческий доступ к серверу будет требо-
ваться только при его ремонте (здесь
без него никак не обойтись, ведь плос-
когубцы с отверткой по модему не пе-
редашь), однако фатальные отказы
происходят не так уж и часто.
5. Raritan IP-Reach TR364 – описа-
ние KVM-коммутатора TR364 (на
англ.): http://www.42u.com/tele-
reach_bk.htm;
6. Архитектура ввода-вывода персо-
нальных ЭВМ IBM PC – электрон-
ная версия книги, посвященной
устройству IBM PC, которую на-
стоятельно рекомендуется прочи-
тать перед разработкой собствен-
ной системы удаленного управ-
ления (на русском языке): http://
redlib.narod.ru/asmdocs/asm_doc_
07.zip;
7. Ralf Brown Interrupt List – электрон-
ный справочник по всем прерыва-
ниям, портам ввода/вывода, «вол-
шебным» адресам памяти, вклю-
чая нестандартные расширения и
недокументированные возможнос-
ти (на англ.): http://www.ctyme.com/
rbrown.htm.
75 75
 программирование

РАЗРАБАТЫВАЕМ ИНФОРМАЦИОННЫЕ СИСТЕМЫ НА PHP

МЕТОДОМ ВИЗУАЛЬНОГО ПРОГРАММИРОВАНИЯ

Если вы часто создаете веб-приложения на языке PHP, вам приходится выбирать средства
разработки под свои задачи. Некоторых устраивает Блокнот, другие предпочитают Zend Studio
или Macromedia Dreamweaver. Мы предлагаем вам инструмент, позволяющий в ряде случаев
строить PHP-код целых информационных систем в автоматическом режиме.

Как построить
информационную систему
Ни для кого не секрет, что в последнее
время автоматизированные инфор-
мационные системы (ИС) стали сер-
дцем многих бизнес-процессов пред-
приятий и основой общедоступных се-
тевых сервисов. Как известно, в боль-
шинстве информационных систем дан-
ные хранятся в БД. Одновременный
доступ к ИС нескольких пользовате-
лей реализуется с помощью специа-
лизированного программного обеспе-
чения, ориентированного на работу в
сети. Чтобы поддержать такое взаимо-
действие, программное обеспечение
должно располагаться на обеих сто-
ронах сети – на сервере и на компью-
тере клиента. Безусловно, такой под-
ход имеет недостаток: помимо одно-
кратной установки ПО на сервер под-
ключение каждого нового клиентско-
го компьютера подразумевает уста-
новку клиентских программ и на него.
Поэтому в последнее время у разра-
ботчиков все четче заметно стремле-
ние перенести максимально возмож-
ную часть специализированного про-
граммного обеспечения с клиентских
рабочих станций на серверы.
Такой подход позволит вам исполь-
зовать менее сложные компьютеры
с минимальным набором программно-
го обеспечения в качестве клиентских.
А это в свою очередь означает сниже-
ние затрат на аппаратную составляю-
щую системы. При этом разработчи-
ки все чаще основываются на исполь-
зовании веб-технологий для доступа
к информационным системам. В ар-
хитектуре системы между клиентским
программным обеспечением и сервер-
ной СУБД появляется дополнительный
уровень, который можно назвать уров-
нем веб-транспорта. На стороне сер-
вера он представлен веб-сервером с
ЕВГЕНИЙ ВОЯКИН
модулями функционального расшире-
ния, на клиентской – веб-браузером в
качестве универсального клиентского
программного обеспечения. Этот уро-
вень реализует возможность инфор-
мационного обмена в сети.
Какой инструмент
выбрать разработчику
Учитывая эти тенденции, многие фир-
мы направляют свои усилия на разви-
тие и совершенствование технологий
и инструментария в области веб-про-
граммирования. Примерами могут слу-
жить технологии от Microsoft, под кото-
рые созданы мощные средства разра-
ботки (к примеру, Interdev), среда Zend
Studio, созданная разработчиками
языка PHP (см. [1]). Познакомившись
с этими пакетами и осознав, насколько
отличаются их функциональные воз-
можности, у меня сложилось ощуще-
ние некой ограниченности в средствах

76

доброй части программистов, пишу-
щих на PHP. Действительно, предла-
гаемая компанией Microsoft среда In-
terdev содержит всё необходимое для
построения динамических веб-стра-
ниц, поддерживает визуальное про-
граммирование интерфейса, параме-
тры оформления документов и работу
с базами данных.
В то же время почти все представ-
ленные на рынке средства разработ-
ки на языке PHP, включая даже доста-
точно мощную среду Zend Studio, пред-
ставляют собой лишь развитые текс-
товые редакторы, ориентированные
на работу с текстами на языках про-
граммирования. Тем не менее, имен-
но язык PHP, СУБД MySQL или Post-
greSQL, как показывает практика, на-
иболее часто выбираются нами при
разработке целого ряда информацион-
ных систем, особенно на *nix-платфор-
мах. Эти средства обоснованно заслу-
жили популярность своей простотой и,
одновременно с этим мощностью и на-
дежностью. Кроме того, они доступны
бесплатно, что немаловажно для мно-
гих разработчиков.
С моей точки зрения, современ-
ные инструменты разработки на PHP
должны предоставлять следующие
возможности:
! максимальная автоматизация раз-
работки веб-документов;
! комплексная поддержка разработ-
ки приложений, ориентированных
на работу с базами данных, воз-
можно, с поддержкой создания са-
мих баз данных;
! поддержка визуальной методики
программирования (как у «боль-
ших братьев» – Delphi, C Builder).
Частичное решение этих задач
в той или иной мере успешно дости-
галось различными разработчиками
средств программирования, но пол-
ного комплексного решения этих за-
дач в едином инструменте мне до сих
пор не встречалось.
Имея определенный опыт разра-
ботки информационных систем, я опи-
шу некоторые методы, которые позво-
лят перенести технологию визуальной
разработки в область программирова-
ния на языке PHP. Объединение этих
методов и алгоритмов по работе с ин-
формацией в базе данных позволи-
ло мне создать интегрированную ви-
№7, июль 2005
зуальную среду программирования.
Эта среда дает возможность разраба-
тывать интерфейсы доступа к базам
данных посредством веб-технологий
и в ряде случаев комплексно автома-
тизирует создание ИС в целом.
Что следует
автоматизировать
Разработка любой информационной
системы не является простой зада-
чей. Вне зависимости от того, какую
информационную систему бы вы ни
проектировали, будьте готовы стол-
кнуться с некоторыми «классически-
ми» этапами разработки, а именно
вам придется:
! спроектировать базу данных (а пе-
ред этим будет изучение предмет-
ной области, построение ее моде-
ли, разработка логической, а затем
физической модели данных в сред-
ствах той или иной СУБД, нормали-
зация базы и т. д.);
! запрограммировать базу данных
непосредственно в СУБД;
! выбрать, как пользователи будут
получать доступ к данным – то есть
спроектировать интерфейсы (оп-
ределить их количество и функци-
ональные требования к ним, вы-
брать средства и инструменты про-
граммирования, разработать алго-
ритмы);
! осуществить программирование
интерфейсов;
! отладить ИС в целом.
Нетрудно заметить, что данная ра-
бота потребует от вас значительных
знаний в как минимум трех областях –
программирования, проектирования
баз данных и знания веб-технологий.
Безусловно, если вы гуру в SQL и по-
стоянно занимаетесь разработками в
данной сфере, решение этих задач не
составит труда. Однако для начинаю-
щего программиста, сталкивающегося
с такой задачей время от времени, ее
решение займет много времени.
Как я заметил ранее, почти все при-
званные помочь разработчику в дан-
ной ситуации средства программи-
рования на языке PHP по сути пред-
ставляют собой лишь развитые тек-
стовые редакторы, поддерживающие
работу с текстами на языках програм-
мирования. Исключением, пожалуй,
может являться только Macromedia
программирование
Dreamweaver, позволяющий осущест-
влять визуальную разработку веб-
форм и поддерживающий подключе-
ние к MySQL.
Технология визуального програм-
мирования даст вам возможность су-
щественно сократить время создания
программного модуля. Представьте
любой веб-интерфейс к базе данных в
некой информационной системе. При
традиционном написании кода с увели-
чением числа элементов в веб-форме
время, затраченное вами на создание
такой страницы, будет возрастать не
линейно, а более стремительными тем-
пами. Это объясняется тем, что для ре-
ализации тех или иных особенностей
вам потребуется вводить все больше
переменных, циклов, ветвлений. Ста-
нет сложнее отслеживать синтаксис и
логику сценария. Кроме того, при этом
возрастет и сложность базы данных –
наличие большого числа интерфейс-
ных элементов означает существова-
ние соответствующего числа полей та-
блиц для хранения значений.
Применение визуальной интегри-
рованной среды может снять с вас все
эти трудности. В идеале время должно
затрачиваться лишь на определение
связи интерфейсного элемента веб-
формы с теми или иными данными в
базе. Остальные задачи – включение
в код сценария тегов HTML, реализу-
ющих элемент, функций, осуществля-
ющих запросы к базе данных для ото-
бражения значений в элементе, разра-
ботка структуры базы данных, проце-
дуры верификации и во многом отлад-
ки создаваемого программного кода –
должны выполняться для вас средой.
«Визуализируем»
программирование
Как перенести концепцию визуально-
го программирования в, казалось бы,
изначально «невизуальную» область?
Ведь по своей сути PHP не является
языком программирования широко-
го назначения и не позволяет строить
пользовательские интерфейсы. Но в
нашем случае от него это и не требу-
ется. Как известно, основу для инте-
рактивного взаимодействия посред-
ством веб-технологий содержит сам
язык HTML, позволяющий строить веб-
формы. Следовательно, «визуализи-
ровав» работу с интерфейсными эле-
ментами формы и разработав систе-
77
 программирование
му взаимосвязи этих элементов с ба-
зой данных посредством языка PHP,
мы получим методику визуального
программирования на PHP в области
разработки веб-интерфейсов для ин-
формационных систем.
Можно сказать, что данный подход
создает достаточный фундамент для
существенной автоматизации процес-
са разработки. Замечу, что этот метод,
разумеется, не автоматизирует разра-
ботку любых сценариев на PHP полно-
стью, но он позволяет строить целый
класс приложений на PHP (в частнос-
ти – веб-интерфейсов к БД), вообще
не сталкиваясь с кодом сценария на
языке PHP. Для многих других прило-
жений (отображающих информацию
из баз данных или содержащих веб-
формы) применение данного метода
позволит снять с разработчика боль-
шую часть работы по рутинному напи-
санию кода приложения на языке PHP
и тегов HTML.
Среда визуальной
разработки
Не найдя «идеальной» среды под свои
задачи, я решил опробовать данный
подход на практике и создать инстру-
мент визуального программирования
на языке PHP самостоятельно.
При создании своей среды, по-
лучившей условное название «Син-
бад» (от «Сетевой ИНтерфейс к БА-
зе Данных»), я не ставил задачи полу-
чить полностью универсальное средс-
тво программирования на PHP. Дейс-
твительно, сложно разработать инс-
трумент, более полно использующий
средства языка, нежели Zend Studio,
созданный разработчиками PHP.
Но обладая меньшими функцио-
нальными возможностями в области
работы с веб-формами и базами дан-
ных, «Синбад» существенно превос-
ходит Zend Studio: он позволяет реа-
лизовать методику визуального про-
граммирования и осуществляет комп-
лексную разработку компонентов ин-
формационной системы.
При этом среда не ограничит вас
только возможностью разработки ин-
терфейсов. В конечном итоге приме-
нение среды позволяет задейство-
вать для реализации целого ряда за-
дач программистов существенно ме-
нее высокой квалификации, нежели
могло бы потребоваться при тради-
78
ционной процедуре разработки при-
ложений.
«Мощность», или степень, до кото-
рой данная среда позволит вам авто-
матизировать процесс разработки веб-
приложений на PHP, вполне сопоста-
вима с той, до которой позволяет ав-
томатизировать разработку обычных
приложений хорошо известные среды
Borland Delphi и C Builder, а в некоторых
случаях и превосходит их. Так, при ис-
пользовании Синбада для построения
интерфейсов к БД результатом рабо-
ты программы может быть полностью
функционально готовый интерфейс,
полученный абсолютно без примене-
ния ручного написания кода. В продук-
тах Borland визуальное программиро-
вание позволяет лишь построить поль-
зовательский интерфейс – окно прило-
жения. Любую смысловую связку ин-
терфейсных элементов окна вам при-
дется осуществлять вручную.
Разработка программы осущест-
влена на Delphi, Синбад рассчитан на
выполнение под управлением опера-
ционной системы Microsoft Windows.
Работоспособность программы про-
верена в версиях 98, 2000 Profession-
al, XP Pro, XP Home.
Работа с новым
инструментом
Работа в среде предусматривает ре-
дактирование проектов. Каждый про-
ект предполагает работу со своей БД
и имеет ряд настроек – название, ка-
талог, в котором хранятся файлы про-
екта, нацеленность на различные опе-
рационные системы (кодировки симво-
лов Windows-1251, koi-8r, символы пе-
реноса строки #13#10 или #10). Также
задаются параметры для подключения
к базе данных: ее тип, имя, логин, па-
роль, имя сервера и т. п.
Проект состоит из одной или не-
скольких страниц, работающих с еди-
ной базой данных. Каждая из страниц
может выполнять одно действие по ма-
нипуляции с данными, определяемое
назначением страницы.
В свойствах проекта можно также
определить единые для всех страниц
проекта шаблоны заголовков и конце-
виков страниц, в которых возможно за-
дание параметров оформления.
Пользовательский интерфейс (см.
рис. 1) программы представляет собой
окно, состоящее из двух закладок –
«Мастерская» и «Редактор». В верх-
ней части расположено меню, содер-
жащее вызов основных операций, ко-
торые могут потребоваться при разра-
ботке приложений.
Закладка «Мастерская» предна-
значена для визуальной разработки
PHP-приложения. Панель инструмен-
тов включает восемь кнопок для бы-
строго доступа к пунктам меню: соз-
дать, открыть и сохранить страни-
цу проекта, вызов свойств страницы,
свойств элемента, удаление элемента,
вызов окна базы данных и преобразо-
вание, или, по аналогии с другими ви-
зуальными средами разработки, «ком-
пиляция» страницы в PHP-код.
Палитра компонентов состоит из
набора некоторых, наиболее часто ис-
пользуемых элементов языка HTML
(параграфы, ссылки, списки и т. п.)
и интерфейсных элементов для по-
строения веб-форм.
Рабочее поле программы служит
для визуального построения страни-
цы. На это поле из палитры с помощью
мыши могут быть перенесены те или
иные элементы в соответствии с ваши-
ми задачами. Нажатие на элемент пра-
вой кнопкой мыши открывает его кон-
текстное меню. Таким образом, при по-
строении страницы вы сталкиваетесь
не с ручным вводом тегов языка HTML,
а с «визуализованными» элементами,
имеющими такой же внешний вид, ка-
кой они приобретут при отображении
страницы в браузере, что значитель-
но нагляднее.
Определять свойства элементов
страницы вы можете с помощью набо-
ра окон, позволяющих задать имя эле-
мента и его исходное состояние, закре-
пить связь с базой данных и т.п. К при-
меру, вид окна, управляющего списка-
ми выбора, представлен на рис. 2.
В качестве примера представлены
свойства элемента place. Как видите,
элемент имеет вид строки с выпада-
ющим списком (размер равен 1). Для
списка задано наполнение исходны-
ми данными из таблицы place: исполь-
зуются столбец id (для значений эле-
ментов списка) и caption (для тексто-
вых меток). При выборе имеется воз-
можность определить условие отбора
строк – в данном случае для напол-
нения списка используются все стро-
ки с id>10.
Преобразование элемента, имею-

Рисунок 1. Пользовательский интерфейс среды «Синбад».
Режим построения формы
щего эти свойства, в PHP-код приведет
к формированию следующего фраг-
мента кода (для СУБД MySQL):
<SELECT NAME="place» SIZE="1">
<?php
$rz = mysql _ query("select id, ↵
caption from place ↵
where id>10 order by 1;");
while ($row = ↵
mysql _ fetch _ row($rz)) {
print ("<OPTION VALUE=$row[0]> ↵
$row[1]</OPTION>\n");
} курсора.
?>
</SELECT>
Нижняя часть окна позволяет опре-
делить связь с базой данных. В данном
случае выбор строки списка, сделан-
ный будущим пользователем этой
страницы, повлияет на значения столб-
ца place_id таблицы events.
Возможности визуального пост-
роения сценариев не ограничивают-
ся только элементами веб-форм. Для
элементов палитры HTML-тегов окна
свойств в первую очередь позволяют
определить параметры отображения в
браузере или предоставляют нагляд-
ный интерфейс для определения тега
(например, для параграфов текста).
При построении кода страницы на
языке PHP результат помещается в ре-
дактор кода для проверки и корректи-
ровки. Этот редактор (см. рис. 3) со-
держит в свою очередь четыре заклад-
ки для работы с текстами. Первые две
предназначены для редактирования
основного (с формой) и подчиненного
(вызываемого из формы) сценариев,
образующих страницу. В окно третьей
помещается текст дампа базы данных,
а последняя предназначена для работы
в интерфейсе среды с любыми файла-
ми по усмотрению пользователя.
№7, июль 2005
Рисунок 2. Это окно позволит вам управлять
свойствами списков выбора
Панель инструментов редактора
содержит кнопки, позволяющие вам
открыть файл в редакторе или сохра-
нить редактируемый файл, работать
с буфером обмена, редактором ша-
блонов. Для ввода тегов языка HTML
редактор имеет дополнительную па-
нель с кнопками (на рис. 4, в левой
части окна), нажатие на которые при-
водит к вставке HTML-тега в позицию
Среда предоставляет возможность
создавать свои шаблоны кода, имеет
систему предиктивного набора иден-
тификаторов. Список последней сис-
темы вы можете изменить по своему
усмотрению.
Процедура построения файлов на
языке PHP, которую по аналогии с дру-
гими средами визуального програм-
мирования можно назвать компиля-
цией, запускается по окончании поль-
зователем проектирования интерфей-
са. Вы можете запускать эту проце-
дуру всякий раз, когда хотите прове-
рить целостность проекта и правиль-
ную связанность интерфейсных эле-
ментов с теми или иными полями ба-
зы данных.
В результате компиляции вы по-
лучите готовый программный код на
языке PHP и требуемые теги HTML,
отображающие всю страницу в целом
в соответствии с ее функциональным
назначением.
Для генерируемого кода опреде-
ляются следующие требования. Код
должен:
! отображать все элементы страни-
цы в таком же порядке, как они бы-
ли расположены вами на рабочем
поле среды при проектировании;
программирование
! выполнять все необходимые опе-
рации, связанные с элементом: на-
полнение исходными данными, вы-
бор исходного значения и т. п. – для
сценария с формой; манипуляция
с определенными пользователем
данными в базе данных – для вы-
зываемого сценария.
Среда начинает построение сценари-
ев с файла, в котором будет находиться
веб-форма. Прежде всего в текст буду-
щего сценария включаем шаблон заго-
ловка, позволяющий определить единые
для всех сценариев параметры оформ-
ления. Далее определяем взаимное рас-
положение друг относительно друга ин-
терфейсных элементов и элементов, от-
носящихся к языку HTML. Для этого ис-
пользуется специально разработанный
алгоритм. При обработке элементов веб-
форм для них осуществляется генера-
ция кода на языке PHP, отображающего
элемент в браузере, а также кода, реали-
зующего связанные с элементом опера-
ции по наполнению его исходными дан-
ными и т. п. Для объектов языка HTML
генерируем текст тега в соответствии с
заданными параметрами.
При компиляции кода элемента
Синбад проверяет, достаточно ли за-
дано для этого данных. Если при об-
работке в свойствах встретится ссыл-
ка на поле несуществующей таблицы
или на несуществующее поле (напри-
мер, таблица или поле были переиме-
нованы после определения связи эле-
мента с ними), преобразование приос-
тановится. Вы получите соответствую-
щее уведомление с указанием элемен-
та, а также поля или таблицы, которые
не были обнаружены.
79
 программирование

Рисунок 3. Пользовательский интерфейс среды «Синбад». Рисунок 4. Так выглядит спроектированная страница
Режим редактора кода в окне браузера
По окончании обработки всех эле- 2) Применение максимально простых дополнен параметрами оформления с
ментов генерация главного сценария шаблонов кода, упрощающее пони- помощью стилей и т.п.
завершается включением в него тек- мание технологии создания страни- Именно в силу этих особенностей
ста шаблона концевика файла. цы разработчиком и облегчающее (и мой опыт практического примене-
Генерация вызываемого сценария дальнейшую их модификацию; ния Синбада подтверждает это) рабо-
происходит по похожей схеме. Основ- 3) Использование строго ограничен- та с программой значительно ускоря-
ным отличием от описанного механиз- ного набора функций на языке PHP ет разработку интерфейсов к инфор-
ма является то, что в тело подчиненного для работы с базами данных. Име- мационным системам в целом.
сценария встраивается операция по ма- на функций хранятся во внешних
нипуляции данными непосредственно в текстовых файлах, редактирова- Доступ к данным
БД. В случае, когда назначением стра- ние которых позволит вам работать Для проектирования базы данных
ницы является ввод данных, среда про- в среде с практически любой СУБД, Синбад требует наличия в операцион-
верит, достаточно ли информации для поддерживаемой языком PHP. ной системе подключения к СУБД че-
добавления новой записи в таблицу. Ес- рез источник ODBC с именем Sinbad.
ли с каким-либо полем записи не связа- Первый критерий, как может снача- Следует отметить, что вы должны со-
но элемента, то это поле, в зависимости ла показаться, идет в ущерб функци- здать такой источник в операционной
от типа, заполняется либо нулем, либо ональным качествам и возможностям системе до начала работы с програм-
пустой строкой. При этом вам также вы- среды. Однако эта особенность вклю- мой. Среда имеет интерфейс для руч-
водится соответствующее предупреж- чена в программу намеренно. Как по- ного управления структурой базы дан-
дающее сообщение (см. рис. 5). казывает практика, опытные дизайне- ных (см. рис. 6), позволяющий добав-
Пример того, как в окне браузера ры даже после оформления страницы лять и удалять таблицы в базе, управ-
отображается страница, проектирова- с помощью тех или иных автоматизи- лять полями таблиц – удалять ненуж-
ние которой показано на рис. 1, пока- рованных средств «шлифуют» стра- ные, создавать новые, задавать их тип,
зан на рис. 4. ницы вручную, уже после разработки вводить, изменять и удалять данные в
При разработке среды в качестве и отладки программной части. любой из таблиц и т. п.
параметров оптимизации генерируе- Учет данных критериев позволит В случае если непосредственное
мого кода на языке PHP я выбрал сле- вам достичь получения в результате подключение к серверу базы данных
дующие критерии: «компиляции» легкочитаемого высо- посредством источника ODBC невоз-
1) Не требуется сохранять параметры конадежного кода на языке PHP. Этот можно (отсутствует доступ, в вашей
оформления генерируемой страни- код не требует дальнейшей верифи- системе нет источника ODBC требуе-
цы в максимально возможной сте- кации и может быть легко модифици- мого типа и т. п.), можно определить
пени. В результате компиляции ко- рован и использован в качестве осно- источник любого типа, например, Mi-
да в полученной странице не гаран- вы при разработке сложной страницы, crosoft Access Driver (*.mdb), ссыла-
тируется расположение элемен- ющийся на пустую базу данных.
тов точно так же и с такими же При разработке в ней будут со-
расстояниями между элемента- зданы необходимые таблицы. Во
ми, как они располагались на время построения кода сценари-
этапе проектирования. Однако ев (при компиляции) среда также
среда обеспечит соблюдение автоматически выполняет генера-
взаимного расположения эле- цию дампа полученной к моменту
ментов друг относительно дру- Рисунок 5. Выполняется преобразование в PHP-код.
компиляции базы данных. Вы мо-
га; Отладочные сообщения жете перенести этот дамп непос-

80
 программирование
редственно в сервер СУБД. тогда с этими данными авто-
Универсальность и перено- матически будут связаны от-
симость дампа достигает- дельные таблицы. Осталь-
ся за счет применения в нем ные атрибуты концерта мо-
для управления структурой гут быть введены через тек-
базы и данными операторов стовые поля и автоматичес-
на языке SQL. ки попадут в главную табли-
Среда предусматривает цу, содержащую помимо этих
возможность определения атрибутов и первичный ключ,
автоматической связи меж- и ключ места проведения.
ду элементом и столбцом од- Разумеется, при постро-
ной из таблиц базы данных. ении сложных многоуровне-
При этом у вас возникает воз- вых систем или при «класси-
можность автоматизировать ческом» подходе к проекти-
процесс разработки структу- Рисунок 6. Встроенный интерфейс управления базой данных рованию информационной
ры базы данных, основываясь на ин- сколько этапов, среди которых мож- системы такой подход является невер-
формации, получаемой из визуально- но выделить: ным – проектирование базы данных
го программирования. 1) изучение предметной области, в ко- должно предшествовать разработке
Пример структуры автоматически торой производится разработка; интерфейса. Но я хочу отметить, что
разрабатываемой базы данных при- 2) построение модели предметной об- такая функциональная возможность
веден на рис. 7. В качестве примера ласти; вполне может быть использована в
приводится интерфейс для базы дан- 3) разработка логической модели целом ряде случаев, когда структура
ных «афиши концертов». данных; базы данных не очень сложна или из-
Таким образом, при построении 4) разработка физической модели начально очевидна.
нового проекта некой информацион- данных в средствах той или иной
ной системы Синбад позволяет пол- СУБД; Что дальше
ностью снять с вас задачу проектиро- 5) программирование базы данных На текущий момент остаются нерешен-
вания базы данных – она будет разра- непосредственно в СУБД. ными некоторые задачи, касающиеся
ботана автоматически. Единственной функциональных возможностей среды
рекомендацией в данном случае будет Создание БД на этапе построения разработки. Требуется разработка ме-
необходимость задавать для элемента интерфейса к ней по сути является ме- ханизма сохранения результатов ком-
осмысленное имя до назначения ему тодом, позволяющим вам в целом ря- пиляции с учетом изменений, сделан-
автопривязки к БД, так как при созда- де случаев получить готовую физи- ных программистом в конечном коде
нии полей таблиц будет использовано ческую модель БД непосредственно программного модуля на языке PHP.
имя элемента. из модели предметной области. Дейс- На текущий момент, если вы отредак-
В классическом случае проектиро- твительно, на этапе создания интер- тировали полученный в результате
вание базы данных выполняется в не- фейса достаточно представлять се- компиляции код, то при последующей
бе лишь модель пред- компиляции его изменения будут по-
метной области. Так, теряны. Также необходима доработка
в нашем примере БД, редактора кода. В среде пока нет сис-
содержащей концерт- темы выделения синтаксических эле-
ную афишу, вам доста- ментов языка различными цветовыми
точно разработать эле- схемами и нумерации строк.
менты интерфейса для Возможно, отмеченные недостатки
ввода свойств пред- будут исправлены в последующих вер-
метной области – на- сиях среды. Также планируется доба-
звания концерта, вре- вить возможность проверки вводимых
мени и места его про- пользователем в элемент значений с
ведения, перечня ар- помощью скриптов на JavaScript.
тистов и прочее. Зада- Разрабатываемый продукт будет
ча проектирования ко- бесплатным, бета-версии в скором
нечных таблиц, ключей времени будут доступны по адресу
и связей в них и т. п. с http://evgy.opennet.ru.
вас снимается. В дан-
ном случае целесооб- Литература:
разно для выбора мес- 1. Воякин Е. Zend Studio 4.0 – новая
та проведения концер- версия, новые возможности. – Жур-
Рисунок 7. Схема автоматизации разработки структуры
та и артиста использо- нал «Системный администратор»,
базы данных вать списки выбора, №2, 2005 г. – 75-79 с.

№7, июль 2005 81

 web

ИСТОРИЯ РАЗВИТИЯ САЙТОСТРОЕНИЯ

АЛЕКСЕЙ МОИСЕЕВ
WWW является одним из наиболее динамично развивающихся сервисов глобальной сети
Интернет. За 14 лет развития сайтостроения была проделана большая работа по созданию
существующих стандартов, обеспечивающих не просто существование, а развитие WWW,
благодаря чему можно строить планы на будущее, не совершая ошибок прошлого.
Только полная картина всего, что было и есть, позволит понять, чего именно не хватает
на рынке в данный момент, а значит и определить дальнейший путь веб-разработок.

К
настоящему времени в Интер-
нете уже существует около двух
миллиардов страниц. Ни одна
из возможных тем не ускользнула от
упоминаний в Web. Каждую секунду
в Сети добавляется примерно 25 но-
вых сайтов.
Рождение
Со времён создания сети Интернет од-
ним из наиболее известных его серви-
сов стала «Всемирная паутина» – World
Wide Web. В 1991 году Пол Линдер (Paul
Linder) и Марк П. МакКейгил (Mark P.
McCahill) из Университета Миннесоты
создали Gopher (полное название Go-
pher State – штат сусликов, шутливое
название штата Миннесота). Техноло-
гия организации файлов в логическую
систему меню обусловила его немед-
ленное принятие как стандарт в сети
Интернет. Протокол Gopher является
непосредственным предшественником
концепции и функций WWW. Серверы
Gopher быстро распространились в се-
ти Интернет, хотя в них не было гипер-
текстовых ссылок и графических эле-
ментов. Через короткий отрезок време-
ни стало ясно, что возможностей таких
серверов не хватает.
Самый большой сервер Gopher
принадлежал европейской организа-
ции CERN (Европейская лаборатория
физики частиц высокой энергии). Эта
организация стала движущей силой
подключения Европы к Интернету.
Первые шаги
В 1992 году была создана Всемирная
информационная сеть (World Wide Web
или просто Web). Разработчиком тех-
нологии был Тим Бернерс-Ли (Tim Ber-
ners-Lee). Задача Сети заключалась в
распространении информации посред-
ством сетевой компьютерной техноло-
гии. Технология WWW стала развити-
ем идей Gopher.
В истории было немало учёных, чьи
мысли опережали время, в котором
они живут. Среди них был и Тед Нель-
сон (Ted Nelson), который первым пред-
ложил концепцию гипертекста в своей
книге «Computer Lib/Dream Machines»,
опубликованной в 1974 году. В середи-
не 90-х годов понятие гипертекста рас-
ширилось и включило в себя идею ги-
пермедиа, то есть добавление ссылок
на графические видеоклипы и музы-
кальные ролики.
На основе результатов работ Теда
Нельсона, а также концепции гипер-
текста он сделал возможным включе-
ние графики, типографских текстовых
стилей и самое главное – гипертексто-
вые ссылки в веб-страницы.
«Три кита»
новой технологии
Основой Web стали три новых техно-
логии:
HTML (HyperText Markup Language,
язык разметки гипертекста) – язык ло-
гической разметки веб-страниц. HTML
«вырос» из более сложного языка
SGML (Single Generalized Markup Lan-
guage, ISO 8879) [1]. HTML как стандарт
для разметки веб-страниц вышел в
свет в ноябре 1995 года под названием
«HTML 2.0». После чего были предпри-
няты попытки его модернизации, одна-
ко проект «HTML 3.0» так и не был ре-
комендован интернет-консорциумом.
Возможно, тогда потребностям веб-
разработчиков вполне отвечал преды-
дущий стандарт. С течением времени
число пользователей WWW увеличи-
валось, что привело к появлению сре-
ди разработчиков всё более талантли-
вых людей, которых возможности вто-
рой версии HTML явно не устраивали.
То есть паутина всего за два года раз-
вилась до «HTML 4.0», который прак-
тически в неизменном виде использу-
ется и по сей день с незначительными
изменениями.
В конце 90-х интернет-консорциуму
стало ясно, что HTML не отвечает пот-
ребностям Web, и любая новая версия
HTML быстро устареет. Поэтому было
предложено развивать расширяемый
язык разметки: XML (eXtensible Markup
Language) – новый стандарт оформле-
ния самых разнообразных докумен-
тов, в том числе и веб-страниц. Уни-
кальность XML заключается в его не-
ограниченной расширяемости в си-
лу четкой структурированности дан-
ных, возможности определения сво-
их тегов и т.д.

82

XML так сильно отличается от HTML,
что был разработан XHTML (это осно-
ванный на XML язык разметки гипер-
текста, максимально приближенный к
текущим стандартам HTML. Был опуб-
ликован консорциумом в первый день
2000 года как переформулирование
(Reformulation) HTML в XML.
HTTP (HyperText Transfer Protocol,
протокол передачи гипертекста) ис-
пользуется для передачи веб-стра-
ниц от сервера к пользовательскому
браузеру.
Веб-браузер – программа, необхо-
димая для просмотра веб-страниц.
Практически сразу после создания
Web был создан первый браузер, при-
чём он распространялся совершенно
бесплатно. Браузер назывался Mosa-
ic, его создали в Национальном цен-
тре суперкомпьютерных приложений
при университете Иллинойса в 1993
году. Ничто в истории информацион-
ных технологий не распространялось
с такой же быстротой.
Более подробную информацию о
WWW можно найти по ссылке [2], где
есть ответы на все наиболее часто
встречающиеся вопросы.
Нововведением в стандарте W3C
HTML 4.0 явились листы стилей (style
sheets), позволяющие отделять содер-
жание HTML-документов от их пред-
ставления. Связывая один сценарий
со всеми страницами ресурса, вы мо-
жете изменять внешний вид сразу все-
го сайта, даже если со страницами в
данный момент работают пользова-
тели. В настоящее время существует
стандарт Cascade Style Sheets Level 2
(CSS2), однако полностью его не под-
держивает ни один браузер. Элемен-
ты, поддержка которых реализована
в тех или иных браузерах, как прави-
ло, по разному «понимаются». Даль-
ше всех в этой области продвинулись
браузеры, выпускаемые под маркой
Mozilla (Mozilla, Mozilla ForeFox, Mozil-
la ThunderBird). В ближайшее время
выйдет стандарт Cascade Style Sheets
Level 3 (CSS3). Исследования [3] пока-
зывают, что в текущее время наибо-
лее популярным браузером является
Internet Explorer, им пользуются около
89% пользователей WWW. На втором
месте Mozilla, у которого около 6,8%.
Среди остальных браузеров можно вы-
делить: Opera, Konqueror, Lynx, а так-
же браузеры, построенные на основе
№7, июль 2005
Mozilla и недавно открытого кода Inter-
net Explorer.
Быстрое развитие
Число пользователей WWW лавино-
образно увеличивалось, благодаря
чему всё большую роль в развитии
паутины стал играть бизнес. Каждый
день создавалось множество интер-
нет-представительств компаний, ра-
ботающих в различных сферах рынка.
Каждый отдельный сайт представлял
собой набор статических HTML-стра-
ниц, CSS-таблиц стилей, а также гра-
фических файлов. Для оперативного
обновления и своевременного добав-
ления новых разделов на сайт было
необходимо держать в штате компа-
нии группу веб-разработчиков. Сде-
лать переоформление (редизайн) та-
кого сайта вообще не представляется
возможным, так как для этого необхо-
димо отредактировать каждую стра-
ницу в отдельности. Например, если
на одну страницу уходит 20 минут, то
на 1000 страниц уйдёт примерно 42
рабочих человеко-дня, что составля-
ет чуть более двух недель работы не-
большой группы веб-разработчиков
при условии, что в это время им не
будут давать срочных заданий. В ито-
ге для переоформления ресурса от-
дел информационных технологий бу-
дет полностью парализован на отно-
сительно длительное время, что недо-
пустимо, за редким исключением. На
рынке сформировалась потребность
в автоматизированной системе пост-
роения страниц сайта на основе напи-
санных статей и HTML-шаблонов. Та-
кие системы были названы CMS (Con-
tent Management System, системы уп-
равления контентом), они, как прави-
ло, состоят из трёх частей:
! Статическая часть – HTML-шабло-
ны.
! Программная часть – в большин-
стве случаев интерпретируемые
модули, которые также можно раз-
делить по назначению
! Пользовательские скрипты, по-
казывающие информацию по-
сетителям, используя шаблоны
страниц и информацию из хра-
нилища данных.
! Администраторские скрипты
позволяют управлять возмож-
ностями веб-ресурса, такими
как: голосования, анонсы и т. п.
web
! Хранилище данных представляет
собой совокупность сервера уп-
равления базами данных и самой
базы данных. Однако в некоторых
случаях можно использовать фай-
лы на жёстком диске.
Благодаря шаблонам количество
HTML-кода сокращается в десятки
раз. К шаблонам обычно относят так-
же CSS-код и JavaScript-код.
Программная часть вполне может
быть написана на любом языке про-
граммирования, однако при этом по-
явится чрезмерная сложность отлад-
ки и платформозависимость. В начале
развития CMS использовали Perl (для
UNIX-хостингов) и ASP (для Windows-
хостингов). Популярность Perl (Prac-
tical Extraction and Report Language) в
те времена можно было объяснить це-
лым рядом причин: простота синтакси-
са, большие возможности интерпрета-
тора, а главное – каждый администра-
тор UNIX использовал его для управле-
ния и настройки системы. То есть люди,
чья работа хоть как-то связана с UNIX-
подобными системами, уже владели
практически всеми необходимыми зна-
ниями для веб-разработки. Однако Perl
изначально не был предназначен для
этого. Поэтому параллельно существо-
вали более адаптированные для Web
языки (интерпретаторы). К ним можно
отнести PHP (раньше понималось как
Personal Home Pages, однако в послед-
нее время расшифровывается как Hy-
pertext Preprocessor), Python, KixtArt,
Yo-Script (скриптовый язык, который
длительное время использовался для
отображения страниц в www.yahoo.
com) и множество других. Работа над
большинством таких языков прекра-
щена, однако остальные начали раз-
виваться быстрыми темпами. Напри-
мер, PHP до 4-й версии обладал рядом
недостатков, не позволявших ему по-
лучить абсолютную популярность (на-
пример, первые версии PHP позволя-
ли писать лишь небольшие скрипты),
однако в 4-й версии все они были уст-
ранены. В текущий момент большинс-
тво проектов работают именно на PHP-
скриптах, однако также встречаются и
Perl/ASP-движки.
Хранилище информации
В качестве хранилища данных на лю-
бом, сколько бы то ни было весомом
83
 web
проекте используется база данных.
В большинстве случаев это MySQL
или PostgreSQL. Они получили широ-
кую распространённость (особенно
MySQL) благодаря тому, что отсутс-
твует плата за использование обоих
СУБД, а также они существуют под все
платформы, используемые на WWW-
серверах. Однако «дёшево хорошо не
бывает», в случае если от сервера баз
данных требуются работы с огромными
объёмами данных, то приходится ис-
пользовать Oracle, MS SQL либо дру-
гие СУБД, осуществляющие достаточ-
но быструю работу с большими объё-
мами данных. Однако все они явля-
ются платными. Об этом можно дол-
го спорить. Для большинства CMS не
нужны огромные объемы данных. Важ-
нее скорость обработки SQL-запросов.
Помимо перечисленных есть множес-
тво других СУБД, каждая из которых
обладает как недостатками, так и пре-
имуществами по сравнению со своими
конкурентами.
Все выше упомянутые СУБД явля-
ются SQL-серверами баз данных. Ис-
пользовать что-то работающее не на
технологии Клиент/Сервер не пред-
ставляется возможным, так как по
ряду причин (например, на разных
платформах существуют различные
СУБД, каждая ориентирована под
свой круг задач) нецелесообразно
встраивать систему управления ба-
зами данных (СУБД) в интерпретатор.
С момента опубликования стандарта
SQL92 СУБД, работающие на основе
SQL-предложений, фактически стали
единственным стандартом для серве-
ров управления базами данных, су-
ществующих в Web. Под SQL-предло-
жением понимают команду SQL-серве-
ру, однако в отличие от других команд,
используемых для управления какими-
либо приложениями ЭВМ, SQL-коман-
ды являются весьма приближенными к
человеческому языку, возможно, это и
есть важнейшая причина, по которой
их называют именно SQL-предложе-
ниями, а не командами. Пример про-
стейшего SQL-предложения «SELECT
* FROM table_name».
Итоги развития WWW
За несколько лет системы управления
содержимым веб-ресурсов серьёзно
развились, их можно классифициро-
вать по областям применения.
84
1. Порталы. Используются для ин-
формационных ресурсов, основ-
ной целью ставят максимальное
упрощение публикации статей и
новостей. Могут включать в себя
нижеследующие типы CMS как са-
мостоятельные модули. Наиболее
известные представители данного
класса: PHP-Nuke, XOOPS.
2. Движки без SQL. Данное ответв-
ление в разработке CMS развито
наиболее слабо, так как исполь-
зование в качестве хранилища ин-
формации файлов вместо таблиц
базы данных сопряжено со мно-
жеством нерешаемых проблем (та-
ких как одновременная запись в
один файл несколькими копиями
скрипта). Достоинство таких CMS
заключается в том, что они мо-
гут быть размещены на бесплат-
ных хостингах. Есть несколько ре-
ализаций данной идеи: Cute News,
Gruppy.
3. Блог (название «блог» (blog) про-
исходит от английского слова «we-
blog». Русский термин – «сетевой
дневник») – это сайт, на котором
находятся личные заметки авто-
ра. В основном заметками являют-
ся ссылки на сайты, которые кажут-
ся владельцу ресурса наиболее ин-
тересными, и комментарии к ним.
В большинстве случаев владель-
цы блогов дают небольшие ком-
ментарии на приведенные ресур-
сы, другие же пытаются подробно
описать сайт. Блог может содер-
жать не только ссылки, но и прос-
то электронный дневник пользо-
вателя. В эту категорию можно от-
нести следующие CMS: b2evolution,
bBlog.
Сетевые дневники приобретают
все большую популярность. Уже
начинают активно обсуждать, кто
же влиятельнее: СМИ или блоги.
Они постепенно входят в жизнь
рядового пользователя всемирной
паутины – например, в Штатах вы-
ходит телепередача о блогах. Су-
ществует два способа начать вести
блог: воспользоваться специаль-
ным сервисом (например, LiveJour-
nal) или установить к себе на сер-
вер (платный или бесплатный хос-
тинг) автономный блог, то есть ис-
пользовать специализированную
CMS.
4. Форумы – это инструмент для об-
щения на сайте. Принципиаль-
ное свойство форума заключает-
ся в том, что сообщения в нем объ-
единены в треды (от англ. thread –
«нить»). Когда вы отвечаете в фо-
руме на чье-то сообщение, ваш от-
вет будет «привязан» к исходному
сообщению. Последовательность
таких ответов, ответов на ответы
и т. д. и создает тред. В итоге фо-
рум представляет собой древовид-
ную структуру, состоящую из тре-
дов.
5. Магазины. К магазинам можно от-
нести любой сайт, при помощи кото-
рого можно заказать какой-либо то-
вар. В данном случае в определение
«товара» может входить абсолютно
всё, включая время доступа в Ин-
тернет, минуты сотовой связи. CMS,
позволяющие создать виртуальный
магазин: MyMarket, osc2nuke.
6. Групповая работа (Groupware) –
комплекс программного обеспе-
чения, позволяющий организо-
вать работу предприятия, отноше-
ния с клиентами и заказчиками в
Интернете. Обычно представляет
закрытую полностью или частич-
но часть сайта с возможностью от-
слеживать сроки выполнения пос-
тавленных задач, распределения
ролей и временных нормативов.
Возможно, выносить вопросы на
обсуждения и решения вышестоя-
щего руководства. В большинстве
случаев иcпользуются следующие
CMS: dotProject, eGroupWare, More-
Groupware, phpCollab, PHProjekt.
7. Обучение (e-Learning) – дистан-
ционная форма обучения с исполь-
зованием сети Интернет. Онлайно-
вая форма обучения уже не один
год является «маяком», на кото-
рый ориентируются образователь-
ные системы разных стран мира,
переживающие сложный процесс
реформирования. Процесс их мо-
дернизации все больше связан с
реализацией задач информатиза-
ции, учитывая все возрастающую
роль информационных и интер-
нет-технологий в современном об-
ществе и бизнесе. Стратегическим
направлением становится обеспе-
чение интеллектуального разви-
тия на основе быстрого обновле-
ния знаний в области технических

наук, а также развития навыков эф-
фективного использования инфор-
мационных ресурсов. Таких систем
существует не много: ATutor, Claro-
line, LogiCampus, Moodle, Segue,
Site@School.
8. Базы знаний (KnowledgeBase)
позволяют накапливать опыт мно-
жества разработчиков, работаю-
щих (или работавших) в какой-ли-
бо одной организации. Каждая та-
кая база знаний имеет свою специ-
фичную структуру, поэтому общих
решений на данный момент пред-
ложено крайне мало, а точнее толь-
ко одно – Wiki. На этом «движке»
работает широко известная элек-
тронная энциклопедия Wikipedia.
Наиболее известная из существу-
ющих ныне баз знаний – RFC (Re-
quest For Comment, запрос на ком-
ментирование, обычно описание
работы с каким-либо протоколом и
тому подобное, публикуется в виде
небольшого документа, как прави-
ло, с примером программы.).
9. Биллинг (Billing). Программное
обеспечение, позволяющее про-
вайдерам и реселлерам работать
со счетами клиентов. Такие CMS
являются неотъемлемой частью
крупной системы учёта потребле-
ния услуг пользователями. Зада-
ча же CMS данной категории – в
визуализации информации о пре-
доставленных услугах, подключе-
нии новых услуг, изменении теку-
щих параметров, приёме плате-
жей и т. п. Во всех случаях такие
системы пишутся своими силами.
Для примера можно привести бил-
линг-панель RuWEB. В ней созда-
но огромное количество тарифных
планов, позволяющих пользовате-
лям платить только за те парамет-
ры хостинга (трафик, место на жёс-
тком диске, MySQL, PHP, Perl), кото-
рые используются в полном объё-
ме. Пока ни одна другая фирма (ра-
ботающая в этой секторе рынка ИТ-
услуг) не воспользовалась этой, не-
сомненно, удачной идеей.
10. Администраторская панель хос-
тинга. К этому классу относятся та-
кие продукты, как «Direct Admin» и
«Control Panel». Немало хостинг-
провайдеров стараются написать
панель управления для пользова-
теля хостинга своими силами, од-
№7, июль 2005
нако ни одно такое решение, на-
сколько мне известно, так и не
смогло по возможностям и эрго-
номике хоть немного приблизить-
ся к вышеупомянутым системам.
Например, админ. панель хостинга
net.ru даёт лишь простейшие фун-
кции управления и способна пока-
зать только то, что может сделать
администратор за день работы.
Альтернатива CMS
Для того чтобы перевести статический
ресурс под управление одной из CMS,
необходимо создать его заново. Если
на сайте уже имеются сложная струк-
тура и большие объёмы данных, то це-
на вопроса становится ощутимой да-
же для относительно богатых органи-
заций. Так как продолжение существо-
вания в старом формате уже не пред-
ставляется возможным, то формирует-
ся спрос на продукт, позволяющий уп-
равлять существующим статическим
сайтом. Спрос порождает предложе-
ние, и вот уже около пяти лет на рын-
ке существует продукт IPI.CONTROL
(www.ipi.ru). В первом приближении он
выполняет функции «насадки» на сайт,
позволяющей приблизить возможнос-
ти такого ресурса к функциональности
CMS. Текущие возможности системы
(в плане CMS) для больших проектов
оставляют желать лучшего – IPI пред-
назначена для малого и среднего биз-
неса. Однако профессиональные мар-
кетологи сделали своё дело, что дало
системе некоторое число постоянных
потребителей, ежемесячно пополня-
ющих бюджет компании, из которого
идут деньги на дальнейшие разработ-
ки. Важно отметить, система сделана
таким образом, что позволяет в лю-
бой момент прекратить пользоваться
её услугами. В этом смысле её мож-
но сравнить с некоторым инструмен-
том (например, отвёрткой), взятым в
аренду. Пока пользуетесь – платите,
если чувствуете, что некоторое время
(больше двух-трёх месяцев) вы не бу-
дете использовать её, – то можно вре-
менно отключиться… или вообще пе-
рестать пользоваться услугами ком-
пании. Возможно, в этом заключается
одна из причин, почему скрипты сис-
темы не продаются, а сдаются в арен-
ду. Описанное свойство является боль-
шим плюсом, который пока не реали-
зован ни в одной системе управления
web
контентом, кроме рассматриваемой).
В принципах работы этой организа-
ции можно почерпнуть наиболее удач-
ные идеи: если брать деньги не за са-
му CMS, а за её аренду, причём раз-
мещать её на своём сервере (тут важ-
но учесть все условия к хостингу по-
тенциальных будущих заказчиков), то
это даст возможность предоставлять
более эффективную поддержку кли-
ентам, постоянно повышать безопас-
ность и улучшать качество работы как
самой системы, так и всего сервера в
целом. При увеличении числа поль-
зователей такой организации, рабо-
ты программистами добавляется ми-
нимум, что позволяет снижать плату
для всех пользователей, а самое глав-
ное – постоянно расширять возмож-
ности системы. Если в первые дни су-
ществования IPI.CONTROL могла лишь
управлять содержимым сайтов, теперь
это полноценный рабочий кабинет ад-
министратора сайта. В системе реали-
зован принцип единой администратор-
ской панели. Это можно связать с тем
фактом, что за последние четыре го-
да в BugTraq не раз появлялись уязви-
мости PHPNuke и других CMS, одна-
ко о взломах сайтов на базе IPI.CON-
TROL не было ни одного сообщения.
Безусловно, использование IPI не яв-
ляется столь массовым, как PHPNuke,
по той причине, что последний беспла-
тен, а IPI.CONTROL стоит больших де-
нег, однако в случае появления бреши
в PHPNuke её будут устранять некото-
рое (возможно, продолжительное) вре-
мя, а в случае с IPI можно связаться по
сотовому телефону с директором и вы-
сказать всё, что наболело.
В следующей части, на основе ана-
лиза текущего состояния WWW, будут
сформулированы требования к CMS,
отвечающие потребностям пользо-
вателей (как бизнеса, так и частных
лиц) завтрашнего дня. Благодаря ко-
личественной и качественной оцен-
ке ошибок, появлявшихся в истории
развития ресурсо-строения, быть мо-
жет, обозначенный в следующей час-
ти путь развития CMS окажется наибо-
лее правильным.
Ссылки:
1. http://www.w3.org/pub/WWW/Mark-
Up/SGML.
2. http://www.boutell.com/faq.
3. http://www.securitylab.ru/54639.html.
85
 web
КТО, КУДА, ЗАЧЕМ ПРИШЕЛ,
ИЛИ АНАЛИЗИРУЕМ ЛОГИ ВЕБ-СЕРВЕРА
Практически на каждом веб-сайте работает счетчик посещений. И это неудивительно:
всем нам интересно, а кому-то еще и важно для бизнеса, сколько раз пользователи всемирной
паутины посещали наш сайт.
ля компаний и владельцев интернет-ресурсов важ-
но знать, какова информационная эффективность
сайта. Поэтому возникает необходимость выбрать
инструмент для сбора статистической информации.
Для нас важны простота установки и настройки, количест-
во используемых программой ресурсов, информативность
получаемых данных и удобство пользования ими. Сегодня
мы сравним возможности, приведем основные настрой-
ки и осветим тонкости работы наиболее часто использу-
емых некоммерческих средств сбора статистики – анали-
заторов логов.
Как достичь желаемого результата
Для анализа посещаемости сайта существуют всевозмож-
ные счетчики посещений, как встраиваемые в конструкцию
сайта, так и предоставляемые различными сервисами и
провайдерами. Использовать данный инструмент в допол-
нение к другим средствам сбора статистики можно, но дан-
ная мера оправдывает себя на небольших некоммерческих
проектах. Для компаний, интернет-ресурсы которых исполь-
зуются для продвижения своей продукции или же в реклам-
ных целях, важно знать несколько основных моментов:
! количество посещений;
! какие разделы наиболее востребованы;
! с помощью каких запросов пользователи находят ваш
сайт;
! с какого URL пользователь заходил для просмотра.
В данном случае целесообразно использовать програм-
мы, которые выдают всю необходимую информацию на ос-
нове анализа логов веб-сервера. Плюсы:
! несложная настройка большинства из них;
! возможность с помощью одной программы осущест-
влять сбор статистики с нескольких сайтов;
! большая информативность полученных результатов.
86
…Стой! Ты куда? Где тапочки, плед, кресло-качалка?
Где это все? Я за вас носить буду?...
капитан команды КВН
«Утомленные солнцем» г. Сочи
ДЕНИС ГОРОДЕЦКИЙ
Webalizer
Первая из рассмотренных программ и, пожалуй, наиболее
распространенная – это Webalizer (http://www.mrunix.net/
webalizer). Webalizer анализирует журналы сервера и гене-
рирует статистические данные в формате HTML на основе
информации, полученной из log-файлов. Также умеет ри-
совать красивые гистограммы для лучшего восприятия ин-
формации. Поддерживает анализ log-файлов FTP-серве-
ров wu-ftpd и ProFTPD, а также прокси-сервера Squid. Вхо-
дит в состав дистрибутива Red Hat 7.0 и выше. Для всех ос-
тальных пакет с программой можно взять по адресу: http://
www.mrunix.net/webalizer.
Для Webalizer необходимо наличие графической библио-
теки GD, которая требуется для генерации встроенных гра-
фиков Webalizer. Если GD отсутствует, то вы должны инс-
таллировать ее. Для проверки наличия установленной биб-
лиотеки GD используйте следующую команду:
# rpm -qa | grep gd
Если пакет в системе присутствует, то на экран будет
выведено его название.
Основные позиции конфигурационного файла /etc/
webalizer.example.conf выглядят следующим образом:
# Определяет журнал сервера
LogFile /usr/local/etc/httpd/logs/access _ log
# Определяет месторасположение отчетов Webalizer
OutputDir /usr/local/etc/httpd/usage
# Имя хоста, который мониторится
HostName www.example.com
# Задает имя файла, в котором будет содержаться информация
# о посещении веб-сервера на протяжении одного года
HistoryName HistoryName webalizer.hist
# Возрастающая обработка позволяет использовать несколько
# относительно небольших файлов журналов вместо одного
 web
# огромного. Данная опция полезна для больших сайтов,
# период ротации журналов которых меньше, чем период
# ротации обыкновенных веб-серверов.
Incremental

# Задает заголовок отчета. Русские заголовки поддерживаются

# (при условии настроенной локализации системы)
ReportTitle

# Определяет расширение для файлов-отчетов

HTMLExtension

# Позволяет использовать безопасное соединение HTTPS

# для просмотра статистики
UseHTTPS

# Директива PageType указывает расширения файлов,

# которые будут считаться веб-страницами.
PageType htm*
PageType cgi
PageType phtml
PageType php*
PageType pl

#GraphLegend Рисунок 1. Стартовая страница Webalizer

#GraphLines
#TopSites 30
#TopKSites 10
#TopURLs 30
#TopKURLs 10
#TopReferrers 30
#TopAgents 15
#TopCountries 30
#TopEntry 10
#TopExit 10
#TopSearch 20
#TopUsers 20
#IgnoreSite bad.site.net
#IgnoreURL /test*
#IgnoreReferrer Þle:/*
#IgnoreAgent RealPlayer
#IgnoreUser root

Изменяя эти опции, можно манипулировать «внешним

видом» полученной статистики, количеством строк в таб-
лицах, отображать или нет диаграммы и графики, игнори-
ровать в статистике определенные url, браузеры и т. д.
После инсталляции необходимо отредактировать файл
httpd.conf и добавить следующие строки между тэгами сек-
ции <IfModule mod_alias.c> и </IfModule>:
Alias /usage/ "/home/httpd/usage/"
<Directory "/home/httpd/usage">
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 192.168.1.0/24
</Directory>
Для запуска Webalizer может использоваться несколь-
ко параметров:
! -c файл – альтернативный файл конфигурации. По умол-
чанию используется файл /etc/webalizer.conf.
! -n name – имя машины, которое будет отображено при
выводе статистики.
! -o каталог – каталог, в который будут помещены файлы
статистики.
! -t название – заголовок отчета.
! -F (clf | ftp | squid) – тип журнала: clf или ftp или squid.
Для обеспечения сбора статистики с нескольких вир-
туальных серверов я рекомендую создать несколько кон-
фигурационных файлов и добавить необходимые коман-
ды в cron.
Например, вот так:
Рисунок 2. Статистика кодов отклика
* 2 * * * /usr/local/bin/webalizer
* 2 * * * /usr/local/bin/webalizer ↵
-c /etc/call-net.webalizer.conf
* 2 * * * /usr/local/bin/webalizer ↵
-c /etc/webalizer.hotofÞce.conf
Исходя из соображений не столько безопасности, сколь-
ко нежелательного попадания данной информации в руки
наших конкурентов, доступ к результатам по http рекомен-
дуется закрыть с помощью htaccess.
Как выглядит отображаемая статистика, смотрите на
рис. 1.
Usage Summary for yourdomain.com. Этот график ви-
зуализирует суммарный трафик за последние 12 меся-
цев. Информация будет доступна только с момента запус-
ка Webalizer на сайте.
Summary by Month. Эта таблица содержит месячную
статистику, выраженную в цифрах, средние показатели в
день и суммарные показатели за каждый месяц.
Кликнув по названию месяца (подчеркнуто красной
чертой), вы сможете получить детализированный отчет за
каждый месяц.
Monthly Summary. Кликнув по ссылкам, вверху стра-
ницы, вы перейдете в определенный раздел отчета. Ста-
тистический месячный отчет (имеется в виду календар-
ный месяц) предоставляет информацию на текущий мо-
мент времени.
Hits By Response Code. Анализ кодов отклика (рис. 2)

№7, июль 2005 87

 web
дает возможность понять, насколько хорошо работает сайт
с точки зрения пользователя.
Значения кодов:
! Код 200 – все работает должным образом.
! Код 206 – буквально – «частичное отображение содер-
жания». Причиной этого может быть нажатие пользова-
телем кнопки «stop» до полной загрузки страницы. Это
не является ошибкой.
! Код 304 – браузер пользователя (в первую очередь
Netscape) использует сохраненное содержание либо из-
влекает страницу из кэша. Это не является ошибкой.
! Код 404 – пользователь получил сообщение об ошибке
и не увидел содержания страницы. Запрошенный поль-
зователем документ отсутствует на сервере. Этот код
также может выдаваться сервером неавторизованным
пользователям, отказывая в доступе к закрытым доку-
ментам.
! Hits: Количество файлов, запрошенных с сервера кли-
ентами. Включает в себя все графические файлы, CGI
скрипты (например, обработчики форм), а также html-
страницы.
! Files: Количество файлов, отправленных сервером по
запросам. Включает в себя графические файлы и html-
страницы.
! Sites: Количество уникальных мест в Интернете (хостов),
откуда на сайт заходят посетители. Это самый объек-
тивный показатель, по которому можно определить ко-
личество уникальных посетителей сайта.
! Kbytes: Объем информации, которая была переслана
сервером веб-браузерам посетителей. Показывает ко-
личество исходящего трафика, генерируемого сайтом.
! URLs: Самые популярные страницы сайта. Этот показа-
тель поможет понять, над какими страницами, возмож-
но, стоит поработать.

Daily Usage Graph & Statistics. Этот раздел содержит

информацию о количестве hits, files, sites и Kbytes, зарегис-
трированных за каждый день. Эти данные помогают опре-
делить, на какой день приходится пик трафика (рис. 3).
Hourly Usage Graph & Statistics. Этот раздел содер-
жит информацию о количестве hits, files, sites и Kbytes, за-
регистрированных для каждого часа суток на протяжении
календарного месяца. Эти данные помогут определить, ког-
да на сайт приходит больше всего посетителей, и вы смо-
жете спланировать обновление веб-страниц на менее за-
груженное время суток (рис. 4).
Top 30 Sites. Из этой таблицы вы узнаете, с каких сер-
веров (хостов) на сайт заходят посетители. Вы сможете оп-
ределить это по IP-адресу (набор цифр) или по DNS-адре-
су (набор слов; например, coral.tci.com (рис. 5).
Top URLs. Эта таблица поможет вам понять, что конк-
ретно посетители ищут на сайте. По крайней мере, вы смо-
жете определить, какие страницы сайта являются наибо-
лее посещаемыми (рис. 6).
Usage by Country Graph & Chart. Данная таблица содер-
жит информацию о том, из каких стран и доменов на сайт
заходят посетители. Жители США различаются по исполь-
зуемым ими доменам (рис. 7):
! Коммерческие США: .com
! Сетевые: .net
! Образовательные США: .edu
! Правительственные США: .gov

Жителей остальных стран можно также различить по

используемым расширениям. Например, украинские про-
вайдеры чаще всего имеют окончание .ua, российские – .ru,
белорусские – .by и т. д.

Достоинства Webalizer:
! Доступность пакета.
! Простота и гибкость настройки.
! Достаточная информативность.

Недостатки Webalizer:
! Не очень удобный интерфейс отображения статистики.
! Нет возможности обновлять статистику из браузера. Рисунок 3. Статистика по дням месяца

88

Рисунок 4. Общая статистика по времени суток
! Для поддержки русского языка необходимо «пропат-
чить» библиотеку GD и пересобрать пакет заново.
AWStats
AWStats (http://awstats.sourceforge.net) – это система пред-
ставления расширенной статистики по веб-сайту. Мощная
и удобная программа, которая генерирует статистику на
основе логов веб-сервера и представляет ее графически.
Этот анализатор работает как через интерфейс CGI, так и в
командной строке и отображает всю возможную информа-
цию, содержащуюся в логах, в виде графиков на нескольких
страницах. AWStats анализирует log-файлы таких серверов,
как Apache, WebStar и многих других веб-, прокси-, wap-, ftp-
, почтовых и других серверов. В отличие от Webalizer, раз-
работанного на С, AWStats написан на Perl, поэтому и рабо-
тает помедленнее, но этот недостаток компенсируется ку-
да большей информативностью полученных результатов.
Более прост и понятен в установке.
Пакет можно взять по адресу http://awstats.sourceforge.net.
Последовательность действий при установке очень проста,
скачиваете архив, распаковываете, затем запускаете про-
грамму awstats_configure.pl. С ее помощью создается файл
типа awstats.www.domain.com.conf, в котором необходимо
будет явно указать следующие параметры:
# Путь к файлу с логами
LogFile="/usr/apache/logs/access _ log"
# Формат логов. Поддерживаются следующие типы:
# 1 - combined log format
# 2 - Old IIS log format
# 3 - Webstar native log format.
# 4 - common log format
LogFormat=1
# Где хранить данные от анализатора
DirData="/awstatsdatadir"
# Размещение ваших CGI, сюда необходимо класть awstats.pl
DirCgi="/cgi-bin"
№7, июль 2005
web
Рисунок 5. Эта таблица показывает 30 сайтов, с которых
чаще всего приходят пользователи
SiteDomain="www.domain.com"
# Разрешать или нет обновлять статистику через браузер
# (Wbalizer такого не позволяет)
AllowToUpdateStatsFromBrowser=1
А также при работе awstats_configure.pl в конфигураци-
онный файл веб-сервера добавляются строки:
Alias /awstatsclasses "/usr/local/awstats/wwwroot/classes/"
Alias /awstatscss "/usr/local/awstats/wwwroot/css/"
Alias /awstatsicons "/usr/local/awstats/wwwroot/icon/"
ScriptAlias /awstats/ "/usr/local/awstats/wwwroot/cgi-bin/"
<Directory "/usr/local/awstats/wwwroot">
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>
После создания своего конфигурационного файла и
размещения awstats.pl в /cgi-bin (права на файл необходи-
мо сделать 755) можно начать работать двумя способами:
! обновить статистику через командную строку:
# ./awstats.pl -conÞg=www.domain.com
! напрямую обратившись к файлу www.domain.com/cgi-
bin/awstats.pl.
При использовании первого способа есть дополнитель-
ные возможности:
! обработать статистику за нужный месяц (-month=12 для
декабря);
! генерировать только отдельные страницы;
! выдать html-код того, что получится прямо на STDOUT,
не записывая в файл.
Подробнее о всех функциях можно узнать, задав в ко-
мандной строке команду:
89
 web
Рисунок 6. Наиболее популярные страницы сайта
# ./awststs.pl –help
Внешний вид отображаемой статистики смотрите на
рис. 8.
Совершенно очевидно, что интерфейс более прият-
ный, чем в предыдущем случае, и как мы видим, статисти-
ка несколько полнее, есть информации о запросах от ро-
ботов (позволяет объективнее оценить общую посещае-
мость), продолжительность визитов и многое другое. На
мой взгляд, программа AWStats намного лучше справля-
ется с возложенными на нее обязанностями, чего не ска-
жешь о Webalizer.
Достоинства AWStats:
! Очень красивый и удобный интерфейс отображения ре-
зультатов сбора статистики.
! Возможность работать как из командной строки, так че-
рез браузер.
! Возможность создать выборочные статистические ре-
зультаты.
! Присутствует автоматическое определение языка отоб-
ражения.
Недостатки AWStats:
! Написан на Perl, за счет этого может медленно рабо-
тать.
Analog
Если для вас статистика, получаемая при помощи описан-
ных инструментов, покажется избыточной, существует еще
один из анализаторов логов, называемый Analog (http://
www.analog.cx). Самый простой (как мне показалось) из
представленных образцов. Инсталяция и настройка заня-
ла не больше 15 минут. Устанавливается из стандартного
rpm-пакета analog-6.0-1.i386.rpm. Домашняя страница http://
90
Рисунок 7. Информация о принадлежности посетителей
к географическому местоположению
www.analog.cx. После инсталляции в конфигурационном
файле были изменены всего три строки:
LOGFILE /usr/local/apache/logs/access _ log
OUTFILE /usr/local/apache/htdocs/report.html
HOSTNAME "myname"
Для обеспечения вывода статистики на русском (или
любом из поддерживаемых языков) в конфигурационный
файл достаточно добавить строку, указывающую место-
расположение языкового файла, например:
LANGFILE ru.lng
или
LANGFILE /usr/etc/httpd/analog/lang/ru.lng
В первом случае указанный файл будет искаться во
всех возможных местах его расположения. Во втором слу-
чае месторасположение указывается явно.
В результате мы сразу получили работающий анализа-
тор логов веб-сервера. Analog может запускаться со мно-
жеством параметров (подробнее о них можно узнать из
справочного руководства по данному продукту). После стар-
та все полученные результаты отправляются в указанный
файл, и мы, используя наш браузер, можем просмотреть
полученную статистику (см. рис. 9).
Как видно, полученный результат намного отличается
от предыдущих образцов, но тем не менее, оценивая соот-
ношение затраченных усилий на установку к полноте по-
лучаемых данных. Analog вполне оправдывает свое пред-
назначение.
Достоинства Analog:
! Быстро настраиваем.

Рисунок 8. Так выглядитотображаемая статистика в AWStats
! Подойдет для тех, кому не нужна слишком большая ин-
формативность.
Недостатки Analog:
! Не слишком эргономичный интерфейс отображения ста-
тистики.
! Естественно, если подходит для не желающих получать
много информации, то для тех, кому необходимо знать
больше о посещаемости, данная программа не подойдет.
№7, июль 2005
web
Рисунок 9. Пример отображения cтатистики Analog
! Существует проблема с русскими поисковыми строка-
ми.
В представленном мной обзоре рассматривалась лишь
малая часть из существующих некоммерческих решений
в области анализа посещений, но, на мой взгляд, эти про-
дукты наиболее часто используются для выполнения та-
ких задач.
Удачи!
91

Java. Карманный
справочник
Питерд
Дж. ДеПаскуале
Несмотря на свой небольшой
объем, книга предоставляет
читателю максимум информа-
ции в сжатом виде. Повество-
вание начинается с изложения
основ языка Java. Рассмотре-
ны: управляющие последова-
тельности, простые числовые
типы, логические операторы,
расширяющие преобразова-
ния, служащие преобразования, основные исполняемые
приложения. После того как читатель получил общее пред-
ставление о синтаксисе языка, автор переходит к описанию
модификаторов, управляющих операторов, типов данных,
описаний классов. Не остались без внимания и часто ис-
пользуемые классы и интерфейсы из Java API. Весь мате-
риал изложен в очень удобном виде, каждая тема освяще-
на достаточно подробно: синтаксис, описание, пример, при-
мечания. Удобный формат и легкость усвоения изложенно-
го материала делает эту книгу отличным спутником любого
программиста на Java. Книгу можно порекомендовать как
новичкам, так и людям с солидным стажем разработки.
Издательство «КУДИЦ-ОБРАЗ», 2005 г. – 128 стр. ISBN
5-9579-0085-0 (ориг. 0-321-30472-6).
книжная полка
Автоматизация
процессов
тестирования
И. Винниченко
Эта книга – единственное из-
дание на русском языке, посвя-
щенное такой актуальной теме,
как тестирование программно-
го обеспечения на этапе раз-
работки. В вводной части – ос-
новы автоматизации тестиро-
вания ПО. Далее идет деталь-
ное описание трех основных
программных средств: Segue
SilkTest, Mercury Interactive WinRunner и Rational Robot. Отде-
льная глава посвящена скриптовым языкам, входящим в со-
став вышеперечисленных продуктов – TSL, 4TEST, SQABasic.
В ходе описания представлены примеры работы с перемен-
ными, массивами данных, операторами сравнения, цикла и
условными операторами. Приводится подробная информа-
ция о элементах интерфейса и функций (window, menu, button,
editbox и др.) Рассмотрены вспомогательные функции выше-
описанных программных средств. Не остались без внима-
ния функции работы с базами данных и управление процес-
сом исполнения. В приложении излагаются методы работы с
нестандартными объектами в SilkTest и WinRunner.
Издательство «Питер», 2005 г. – 203 стр. ISBN 5-469-
00798-7.

Сетевые Теория и практика

распределенные построения баз
вычисления. данных
Достижения Д. Крёнке
и проблемы Книга является переводом 9
Макс К. Гофф издания фундаментальной ра-
Интереснейшая во всех боты известного специалиста
отношениях книга. Изло- в области баз данных. В кни-
женный материал по сути ге приводится доскональное
является аналитическими описание широкого круга за-
рассуждениями автора на дач и технологий, связанных
тему перманентной техни- с базами данных. Среди рас-
ческой революции. Основ- смотренных тем: проектиро-
ные темы книги: построе- вание баз данных (реляцион-
ние «ландшафтов приспособленности» сетевых распреде- ная модель и нормализация), структурированный язык за-
ленных вычислений, использование законов Мура и Меткла- просов (введение в SQL, использование SQL в приложени-
фа, преодоление восьми классических заблуждений в от- ях, перепроектирование), обработка многопользователь-
ношении распределенных вычислений, улучшение сотруд- ских баз данных (Oracle 9i и SQL server 2000), стандарты до-
ничества и безопасности в отношении распределенных вы- ступа (ODBC, OLE DB, ADO, ASP), рассказано о технологи-
числений. Любопытен материал про интеграцию проводных ях XML и ADO.NET. Так же приводятся подробные сведения
и беспроводных сетей – рассмотрены ключевые проблемы о работе с объектно-ориентированными базами данных. В
существующего ПО. Также рассказано про коммуникаци- приложении вы найдете информацию о структурах данных
онные протоколы и передачу сообщений в распределенных и семантической объектной модели. Изложенный материал
системах, мета-тенденции, семантический web, глобальную очень удачно сочетает теорию и практические работы. Кни-
прозрачность, нанотехнологии, робототехнику. Несмотря на гу можно рекомендовать как программистам, так и админис-
сложность излагаемых тем, книга написана простым и до- траторам баз данных.
ступным языком. Любой человек, независимо от специали- Издательство «Питер», 2005 г. – 859 стр. ISBN 5-94723-
зации, откроет для себя много интересных вещей. 583-8 (ориг. 0-12-101514-1).
Издательство «КУДИЦ-ОБРАЗ», 2005 г. – 320 стр. ISBN Рубрику ведет
5-9579-0072-9 (ориг. 0-13-100152-3). Александр Байрак

№7, июль 2005 93

 bugtraq
Переполнение буфера в zlib
при обработке сжатых потоков данных
Программа: zlib 1.2.2.
Опасность: Высокая.
Описание: Уязвимость существует в функции inflate_table()
файла inftrees.c. Удаленный пользователь может создать
специально сформированный архив, который вызовет пе-
реполнение буфера и аварийно завершит приложение или
выполнит произвольный код на системе с привилегиями те-
кущего пользователя.
URL производителя: www.gzip.org/zlib.
Решение: Установите исправление с сайта производителя.
Отказ в обслуживании в ASP.NET
в RCP-методе
Программа: Microsoft .NET Framework 1.x, ASP.NET 1.x.
Опасность: Средняя.
Описание: Уязвимость существует в функции System.Xml.
Serialization.Xml.XmlSerializationReader.ReadReferencedEle-
ments() в RCP-веб-методе. Удаленный пользователь мо-
жет послать методу специально сформированное SOAP-
сообщение и потребить все доступные ресурсы процессо-
ра на системе.
URL производителя: microsoft.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Выполнение произвольного кода
и отказ в обслуживании
в Cisco CallManager
Программа: Cisco CallManager 3.2 и более ранние версии,
3.3-3.3(5), 4.0- 4.0(2a)SR2b, 4.1- 4.1(3)SR1.
Опасность: Критическая.
Описание: 1. Программное обеспечение некорректно об-
рабатывает тайм-ауты сокетов в Realtime Information Server
Data Collection (RISDC). Процесс RisDC.exe может потре-
бить большое количество системных ресурсов и не за-
крыть сокеты.
2. Удаленный пользователь может послать большое ко-
личество специально сформированных пакетов службе CTI
Manager (ctimgr.exe), что приведет к потреблению более 1 Гб
памяти и рестарту приложения.
3. Удаленный пользователь может послать процессу
ccm.exe большое количество специально сформирован-
ных пакетов и заставить приложение потребить до 500 Мб
памяти.
4. Удаленный пользователь может произвести большое
количество неудачных входов в систему и вызвать утечку
памяти в Admin Service Tool при включенной опции Multi
Level Admin (MLA). Уязвимое приложение может потребить
до 750 Мб памяти.
5. Удаленный пользователь может послать службе
aupair.exe специально сформированные пакеты, вызвать
переполнение буфера и выполнить произвольный код на
целевой системе.
URL производителя: www.cisco.com.
Решение: Установите исправление с сайта производителя.
94
Обход ограничений безопасности
в Hosting Controller
Программа: Hosting Controller 6.1 HotFix 2.1 и более ран-
ние версии.
Опасность: Низкая.
Описание: Удаленный авторизованный пользователь мо-
жет послать специально сформированный HTTP POST-
запрос сценарию /Admin/Accounts/AccountActions.asp?Ac
tionType=UpdateCreditLimit с произвольным параметром
CreditLimit и изменить свои данные о кредите.
URL производителя: hostingcontroller.com.
Решение: Способов устранения уязвимости не существу-
ет в настоящее время.
Удаленное выполнение произвольного
кода в Mozilla Firefox
Программа: Mozilla Firefox версии до 1.0.5.
Опасность: Высокая.
Описание: Уязвимость существует из-за недостаточной
обработки клонированных объектов. Удаленный пользо-
ватель может с помощью специально сформированно-
го сценария выйти за пределы песочницы браузера, по-
лучить доступ к привилегированным объектам и выпол-
нить произвольный код на системе с привилегиями теку-
щего пользователя.
Удаленный пользователь может создать специально
сформированную HTML-страницу, которая обращается к
внешнему приложению (Flash Player или QuickTime player)
и затем с помощью javascript: и chrome: URL выполнить про-
извольный код на целевой системе.
URL производителя: www.mozilla.com.
Решение: Установите последнюю версию (1.0.5) с сайта
производителя.
Отказ в обслуживании и выполнение
произвольного кода в Kerberos
Программа: krb5-1.4.1 и более ранние версии.
Опасность: Высокая.
Описание: 1. Двойное освобождение памяти обнаружено
в функции krb5_recvauth(). Удаленный пользователь может
выполнить произвольный код на целевой системе.
2. Уязвимость в реализации центра распределения клю-
чей позволяет удаленному пользователю вызвать отказ в
обслуживании или выполнить произвольный код на целевой
системе. Удаленный пользователь может послать KDC спе-
циально сформированные TCP-пакеты, освободить случай-
ную область памяти и вызвать отказ в обслуживании.
3. Удаленный пользователь может послать специаль-
но сформированные TCP- или UDP-пакеты и вызвать од-
нобайтовое (single-byte) переполнение стека. Удаленный
пользователь может выполнить произвольный код на це-
левой системе. Уязвимость обнаружена в файлах kdc/do_
as_req.c и kdc/do_tgs_req.c.
URL производителей: web.mit.edu.
Решение: Установите последнюю версию (krb5-1.4.2) от
производителя.
Составил Александр Антипов

Российская Федерация
! Подписной индекс: 81655
Каталог агентства «Роспечать»
! Подписной индекс: 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
! Альтернативные подписные агентства:
Агентство «Интер-Почта» (095) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (095) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
! Подписка On-line
http://www.arzy.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номен-
клатуры АРЗИ:
! Азербайджан – по объединенному каталогу российских
изданий через предприятие по распространению печа-
ти «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
подписка на II полугодие 2005
! Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
! Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г.Минск, пр-т Ф.Скорины, 10)
! Узбекистан – по каталогу «Davriy nashrlar» российские
издания через агентство по распространению печати
«Davriy nashrlar» (7000029, Ташкент, пл.Мустакиллик,
5/3, офис 33)
! Армения – по списку номенклатуры «АРЗИ» через ГЗАО
«Армпечать» (375005, г.Ереван, пл.Сасунци Давида, д.2)
и ЗАО «Контакт-Мамул» (375002, г. Ереван, ул.Сарьяна,
22)
! Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г.Тбилиси, ул.Хошараульская, 29) и
АО «Мацне» (380060, г.Тбилиси, пр-т Гамсахурдия, 42)
! Молдавия – по каталогу через ГП «Пошта Молдавей»
(МД-2012, г.Кишинев, бул.Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-33-
00, г.Тирасполь, ул.Ленина, 17)
по прайслисту через ООО Агентство «Editil Periodice»
(2012, г.Кишинев, бул. Штефан чел Маре, 134)
! Подписка для Украины:
Киевский главпочтамп
Подписное агентство «KSS»
Телефон/факс (044)464-0220

Подписные
индексы:

81655
по каталогу
агентства
«Роспечать»
87836
по каталогу
агентства
«Пресса
России»

№7, июль 2005 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№7(32), Июль, 2005 год
РЕДАКЦИЯ
Исполнительный директор
Владимир Положевец
Ответственный секретарь
Наталья Хвостова
sekretar@samag.ru
Технический редактор
Владимир Лукин
Редакторы
Андрей Бешков
Алексей Барабанов
Михаил Платов
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (095) 928-8253
Константин Меделян
reсlama@samag.ru
Верстка и оформление
maker_up@samag.ru
Дизайн обложки
Николай Петрочук
По вопросам распространения
обращайтесь по телефону:
(095) 928-8253 (доб. 120)
107045, г. Москва,
Ананьевский переулок, дом 4/2 стр. 1
тел./факс: (095) 928-8253
Сайт журнала: www.samag.ru
РУКОВОДИТЕЛЬ ПРОЕКТА
Петр Положевец
УЧРЕДИТЕЛИ
Владимир Положевец
Александр Михалев
ИЗДАТЕЛЬ
ЗАО «Издательский дом
«Учительская газета»
Отпечатано типографией
ГП «Московская Типография №13»
Тираж 8400 экз.
Журнал зарегистрирован
в Министерстве РФ по делам печати,
телерадиовещания и средств массо-
вых коммуникаций (свидетельство
ПИ № 77-12542 от 24 апреля 2002 г.)
За содержание статьи ответствен-
ность несет автор. За содержание
рекламного обьявления ответствен-
ность несет рекламодатель. Все пра-
ва на опубликованные материалы за-
щищены.
96
ЧИТАЙТЕ
В СЛЕДУЮЩЕМ
НОМЕРЕ:
DSPAM: некоторое количество серверов, на
персонифицированная всех установлена AIDE, базу которой
система фильтрации рекомендуется хранить на сменном но-
спама сителе с целью не допустить попада-
Фильтрация почты, особенно на сер- ния ее в чужие руки. Как реализовать
вере провайдера, затруднена тем, что это требование? Не вручную ведь ко-
администратор не может брать на се- пировать базу с каждого сервера? Для
бя вынесение вердикта, что доставить автоматизации этой задачи и был раз-
абоненту, а что нет. Система DSPAM работан скрипт AIDEControl.
позволяет переложить принятие тако-
го решения на пользователя. SAP + MySQL = MaxDB
При выборе СУБД для проекта перед
Asterisk и Linux: нами часто встаёт проблема выбора
миссия IP-телефония между низкой (часто нулевой) стои-
Действие 3 мостью открытых БД, таких как MySQL
Мы достаточно подробно изучили воз- или PostgreSQL, и мощью и широтой
можности Asterisk в сопряжении с го- возможностей «серьёзных» СУБД –
родской телефонной сетью. Теперь, Oracle, DB2, MSSQL. MaxDB от компа-
после того как в нашем распоряже- нии MySQL AB, наследница SAP DB –
нии оказалась полноценная мини-АТС, прекрасная альтернатива такому вы-
самое время приступить к плановому бору. Это промышленная, SAB-серти-
улучшению ее возможностей. Начнем с фицированная база данных, распро-
вещей наиболее приятных – облегчим страняемая под лицензией GPL. Уста-
процесс администрирования. новим MaxDB и познакомимся побли-
же с возможностями, которые она пре-
Управление удаленными доставляет.
базами AIDE
Программа AIDE предназначена для Копирование без границ
контроля за изменениями файловой Копировщики лазерных дисков совер-
системы посредством создания отде- шенствуется с каждым днем, но и раз-
льной базы, содержащей информацию работчики защитных механизмов не
об атрибутах файлов – дате и време- дремлют, тем не менее, новые защи-
ни создания и модификации, размере, ты тут же ломаются. Почему? Предла-
владельце, а также контрольную сумму гаем вам обзор наиболее популярных
содержимого файла для проверки его ошибок и конструктивных просчетов
на неизменность содержимого. Пра- с рекомендациями по их устранению,
вильное использование AIDE гаранти- а так же законченный алгоритм чрез-
рует в достаточной степени неизмен- вычайно стойкой защиты, не копируе-
ность файлов. Но, допустим, имеется мой никаким копировщиком.
Уважаемые читатели!
Спешите оформить подписку
на второе полугодие 2005 года!
Приобрести новые и старые номера журнала
вы можете через интернет-магазины LinuxCenter.ru и Allsoft.ru.
Доставка почтой в любую точку России.